Kurumsal E-posta Hizmetinin, Google (G-mail) Üzerinden Yine Aynı Uzantıya Sahip Olarak Kullanılıp Kullanılamayacağı İlişkin Kişisel Verileri Koruma Kurulu’nun 31/05/2019 Tarih ve 2019/157 Sayılı Karar Değerlendirilmesi

/in /tarafından

BİLGİLENDİRME NOTU

Konu: Kurumsal E-posta Hizmetinin, Google (G-mail) Üzerinden Yine Aynı Uzantıya Sahip Olarak Kullanılıp Kullanılamayacağı İlişkin Kişisel Verileri Koruma Kurulu’nun 31/05/2019 Tarih ve 2019/157 Sayılı Karar Değerlendirilmesi

Tarih: 13/10/2020

Kişisel Verileri Koruma Kurulu (“Kurul”), 31.05.2019 tarihli ve 2019/157 sayılı kararında veri sorumlusunun kurumsal e-posta hizmetinin Google (Gmail) üzerinden yine aynı uzantıya sahip olacak şekilde kullanılmasının kişisel verilerinin yurt dışına aktarılması olacağına ve bu kapsamda açık rıza alınması gerektiğine karar vermiştir.

Kurul, Veri Sorumlusunun Kişisel Verilerin Yurt Dışına Aktarılması Bakımından Kişisel Verileri Koruma Kanunu’nun (“KVKK”) 9. Maddesine Uygun Şekilde Yapılması Gerektiği Şeklinde Sonuca Varmıştır

KVKK’nın 9. maddesi, “(1)Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” hükmünü içermektedir.

Kişisel Verilerin Korunması Kurumu henüz verilerin korunmasında güvenilir ülke isimlerini açıklamamış olduğundan ötürü yurtdışına yapılacak olan veri aktarımlarında yeterli korumaya ilişkin taahhüt vermek veya aktarıma ilişkin açık rıza almak gerekmektedir.

Kurul, 2019/157 sayılı kararında, Google firmasına bağlı Gmail uygulaması aracılığıyla gönderilen e-postaların, Google’ın alt yapısını aracılığıyla dünyanın farklı yerlerindeki veri merkezlerinde tutulacağı için bu hususun veri sorumlusu tarafından KVKK’nın 9. maddesine uygun şekilde gerçekleştirmesi gerektiği ve serverları yurt dışında bulunan veri işleyenlerin veya sorumluları aracılığıyla yapılan saklama hizmetlerinin de KVVK’nın 9. maddesine uygun şekilde yapılması gerektiği yönünde karar verilmiştir.

Saygılarımızla;