KVKK Şirketlerde Gmail Kullanımına Ne Diyor?

Kurumsal E-posta Hizmetinin, Google (gmail) Üzerinden Yine Aynı Uzantıya Sahip Olarak Kullanılıp Kullanılamayacağına İlişkin Karar!

KVKK Şirketlerde Gmail Kullanımına Ne Diyor?

Kurumsal işletmeler açısından iletişim oldukça önemlidir. Gerek müşterilerle iletişim, gerekse çalışanların birbirleriyle olan iletişimleri için, iş akışı şeması içerisinde tüm çalışanlara e-posta adresi kullandırılmaktadır. İşletmeler iletişimsel ve hukuksal problemleri asgari düzeye indirgemek için e-posta kullanımını bir iletişim metodu olarak belirlemektedir. Google, veri sorumlusu işletmelere kurumsal e-posta adresini ücretsiz sunmaktadır. Piyasada faaliyet gösteren birçok firma da kurumsal e-posta hizmetini google (gmail) üzerinden ve yine aynı uzantıya sahip olarak kullanmaktadır.

Bu yazımızda işletmelerin gmail uzantılı e-posta adresi kullanmasının kişisel verilerin korunması açısından nasıl değerlendirilmesi gerektiği konusuna değineceğiz.

Burada akla gelen ilk husus google firmasına ait g-mail e-posta hizmeti altyapısının kullanılması durumunda çalışanlar tarafından gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulduğudur. Böylelikle alınan ve gönderilen e-postalar kişisel veri barındıracağından "kişisel verilerin yurtdışına aktarılması" gündeme gelecektir. KVKK bu konuyla alakalı kararında;

Veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun  “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;

“Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine karar vererek google uzantılı e-posta adresi kullandıran tüm firmaları uyarmıştır.

Kanunun 9 uncu maddesine göre öncelikli olarak belirtilen ilk husus; kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağıdır. Gmail uzantılı e-posta adresi kullanan tüm firmalar çalışanlarından mutlaka bu konuda açık rıza almalıdır. Fakat kişisel veri aktarımı faaliyetinin; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması sebeplerinden birisi varsa hizmet kullanılan Google veri merkezlerinin bulunduğu yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla açık rıza aranmaksızın ilgili e-posta adresleri kullandırılabilir. Fakat Google firması açısından bu yeterliliklerin sağlanıp sağlanmadığı konusunda en ufak bir bilgi bulunmamaktadır.

Dolayısıyla gmail uzantılı kullandırılan kurumsal e-posta adresleri için ilk akla gelen önlem, tüm çalışanlardan açık rıza alınmasıdır. Fakat herkesten açık rıza almanın mümkün olmadığı durumlarda yurt içinde host edilen bir şirketten e-posta hizmeti almak daha doğru bir yöntem olacaktır. Burada dikkat edilmesi gereken en önemli nokta ise çalışanlardan açık rıza alınacaksa bunun nasıl olması gerektiğidir. Veri sorumlusu işletme çalışanlardan açık rıza alırken bunu hizmet şartı haline getirmemelidir. Aksi halde alınan açık rıza geçersiz olacaktır. Ayrıca çalışanları mutlaka başka bir e-posta sunucusu kullanma seçeneği de sunulmalıdır.

KVKK'nın konuyla alakalı olarak vermiş olduğu Kurul kararı özeti aşağıdaki şekildedir;

 

Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin Kişisel Verileri Koruma Kurulunun 31/05/2019 Tarihli ve 2019/157 Sayılı Karar Özeti

 
Karar Tarihi : 31/05/2019
Karar No : 2019/157
Konu Özeti : Kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin başvuru hakkında


 

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …... uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,

Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;

“Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine

​​​​​​​karar verilmiştir.


 

Güncelleme Tarihi: 22 Şubat 2022, 09:48
YORUM EKLE
SIRADAKİ HABER