Kişisel Verilerin Korunması Kanunu

KVKK Kapsamında Bulut E-Posta Çözümlerinin Kullanılması

Kişisel Verilerin Korunması Kurumu’nun 31/05/2019 tarihli karar özetinde Office365 ve Gmail gibi bulut e-posta servislerinin kişisel verilerin korunması kanunu yönünden değerlendirilmiştir.

Kurulun karar özetine göre

Veri sorumlusunun ücretsiz bir kurumsal e-posta hizmeti sunan açık kaynak kodlu Zimbra aracılığıyla …… uzantılı kurumsal e-posta adreslerinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı hususunda Kurumumuz görüşlerini talep eden yazısının incelenmesi neticesinde Kurul tarafından,

Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı

Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;


“Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine
karar verilmiştir.

https://kvkk.gov.tr/Icerik/5493/2019-157

Buna göre, veri merkezi yurt dışında bulunan bulut eposta çözümlerinin kullanılması, verilerin yurt dışına çıkartılması olarak değerlendirilmiştir. Bu sebeple bu hizmetleri kullanan kişiler veya firmalar ilgili kişiden açık rıza almalı ve aydınlatma yapmakla yükümlü hale gelmektedir.

Bunun haricinde Kişisel Verilerin Korunması Kurumu hala güvenli ülkeler listesini yayınlamıştır. Bu durum bulut eposta hizmeti kullanan pek çok kurumsal firma için belirsizlik doğurmaya devam etmektedir.