Kurumsal E-posta ve Yurt Dışı Veri Aktarımı: 2019/157 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 31/05/2019 tarihli bu stratejik kararı ile kurumsal e-posta altyapısı olarak Google (Gmail), Microsoft 365 gibi bulut tabanlı hizmetleri kullanan tüm veri sorumluları için çok önemli bir hukuki sınır çizmiştir. Karar, “e-posta uzantısı yerel olsa bile sunucu (server) dışarıdaysa bu bir yurt dışı aktarımıdır” ilkesini tescil etmektedir.

---

1. Olayın Özeti: Yerel Uzantı, Küresel Altyapı

Olay: Bir veri sorumlusu, halihazırda açık kaynak kodlu (Zimbra) bir sistem üzerinden yönettiği ...@kurumadi.com uzantılı kurumsal e-postalarını, Google (Gmail) altyapısına taşımak istemiştir. Kurum, e-posta uzantısının değişmeyeceğini, sadece altyapının Google üzerinden sağlanacağını belirterek bunun KVKK açısından uygunluğunu sormuştur.

---

2. Kurulun Hukuki Değerlendirmesi: Sunucu Neredeyse Veri Oradadır

Kurul, teknik altyapının hukuki sonuçlarını şu net kriterlere bağlamıştır:

A. Fiziksel Konum ve Veri Merkezleri

Google (Gmail) gibi küresel bulut hizmet sağlayıcıları, verileri dünyanın çeşitli yerlerinde bulunan devasa veri merkezlerinde (data centers) saklamaktadır. Kurumsal e-posta adresiniz @kurum.com.tr olsa dahi, Gmail altyapısını kullandığınızda gönderdiğiniz veya aldığınız e-posta fiziksel olarak Türkiye dışındaki bir sunucuda depolanmaktadır.

B. Yurt Dışı Aktarım Tanımı (Md. 9)

Kurul, e-posta altyapısının veya saklama (storage) hizmetlerinin yurt dışı kaynaklı sunuculardan temin edilmesini doğrudan “Kişisel Verilerin Yurt Dışına Aktarılması” olarak tanımlamıştır. Bu durumda uzantının yerel olması bir önem arz etmemekte, verinin fiziksel rotası esas alınmaktadır.

C. Hukuki Uyumluluk Zorunluluğu

Bu tür bir hizmetin kullanılabilmesi için veri sorumlularının KVKK Madde 9’daki şartlardan birini yerine getirmesi gerekir:

• İlgili kişilerin (çalışanlar, müşteriler vb.) bu aktarıma ilişkin açık rızasının alınması,
• Veya (karar tarihindeki mevzuat uyarınca) Kurul tarafından ilan edilen güvenli ülkelere aktarım yapılması, güvenli olmayan ülkeler için ise taahhütname veya bağlayıcı şirket kuralları (BCR) gibi mekanizmaların işletilmesi.

---

3. Karar Sonucu: “KVKK Madde 9’a Uyun”

Kurul inceleme neticesinde;

1. Google/Gmail altyapısının kullanılması durumunda verilerin dünyanın çeşitli yerlerinde tutulacağı, bunun da bir yurt dışı aktarımı olduğu,
2. Sunucuları (server) yurt dışında bulunan her türlü saklama ve altyapı hizmetinin KVKK Madde 9’a uygun olarak gerçekleştirilmesi gerektiği,hususlarına karar vermiştir.

---

4. Özgür Eralp Perspektifi: “Bulutun Yağmuru Yurt Dışına Yağar”

Bilişim hukuku alanındaki tecrübemizde, şirketlerin “Biz Gmail kullanıyoruz ama uzantımız @şirketimiz.com, dolayısıyla veri dışarı çıkmıyor” şeklindeki yanlış inancına çok sık rastlıyoruz. Bu karar, o yanılsamayı tamamen ortadan kaldırmıştır. Uzantı sadece bir maskedir; asıl önemli olan verinin hangi kablonun ucundaki hangi diskte yazıldığıdır.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler kurumsal e-posta hizmetlerini seçerken ya sunucuları Türkiye’de olan yerli sağlayıcıları tercih etmeli ya da küresel sağlayıcıları kullanacaklarsa KVKK Madde 9’daki yeni düzenlemelere (Standart Sözleşmeler vb.) harfiyen uymalıdır. Özellikle kamu kurumları ve kritik sektörler için verinin “yerli ve milli” sunucularda kalması sadece bir tercih değil, bu karar sonrası hukuki bir zorunluluktur. Eğer veriniz sınır ötesine gidiyorsa, o sınırı KVKK pasaportu olmadan geçemezsiniz.

---

Sıkça Sorulan Sosyal Sorular

1. Gmail üzerinden kurumsal e-posta kullanmak yasak mı?

Yasak değildir ancak bu bir “yurt dışı aktarımı” sayıldığı için KVKK Madde 9’daki şartları (açık rıza veya standart sözleşme gibi mekanizmalar) yerine getirmeniz zorunludur.

2. Verilerim neden yurt dışına gitmiş sayılıyor?

Çünkü Google, Microsoft ve Amazon gibi devlerin ana sunucu merkezleri ve yedekleme üniteleri çoğunlukla ABD veya Avrupa’dadır. E-postayı gönderdiğiniz an veriniz internet otobanından geçerek o fiziksel sunuculara yazılır.

3. Yerli e-posta sağlayıcıları bu sorunu çözer mi?

Evet, eğer e-posta sağlayıcınız sunucularının (data center) Türkiye sınırları içerisinde olduğunu garanti ve tevsik ediyorsa, bu bir yurt dışı aktarımı sayılmaz ve Madde 9 süreçlerine gerek kalmaz.

4. Bu karar sadece Google için mi geçerli?

Hayır. Kararda belirtildiği üzere, sunucusu yurt dışında olan tüm veri sorumluları ve saklama hizmeti (Dropbox, iCloud, Microsoft 365 vb.) sağlayan veri işleyenler için geçerlidir.

5. KVKK Madde 9’a uymazsak ne olur?

Yurt dışına hukuka aykırı veri aktarımı yapmak, KVKK Madde 18 uyarınca ciddi idari para cezaları ile sonuçlanır. Ayrıca bu durum verinin güvenliğini sağlayamama (Md. 12) kapsamında da değerlendirilebilir.

---

Kaynaklar

• KVKK Kurumu – 2019/157 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 9 ve 12)
• Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik

---

Etiketler

KVKK, Kurumsal E-posta, Gmail, Yurt Dışı Veri Aktarımı, Madde 9, Sunucu Konumu, Bilişim Hukuku, Özgür Eralp, Veri Güvenliği, Bulut Bilişim, Zimbra, Veri Merkezi, Standart Sözleşmeler