Email göndermek, günlük hayatımızın bir parçası. Gerçek ve tüzel kişi vergi mükellefleri için de email, en önemli iletişim kanallarından biri. Şirket yöneticileri için emailler hayati bir öneme sahip. Bununla birlikte KOBİ firmalarının çoğu email için ayrıca bir yazılım yaptırmaz. KOBİ’ler genellikle herkesin kullandığı gmail, hotmail, mynet gibi yaygın email platformalarını kullanırlar. Bu platformları kullandığınızda verileriniz yurt dışına aktarılmış olmaktadır. Çünkü, bunların merkezleri ve kayıt cihazları(server) yurt dışında bulunmaktadır.

12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanunun (7499 sayılı Kanun) 34 üncü maddesi ile Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde değişiklikler yapılmış ve yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girmiştir.

KVKK m.9’daki açık rıza merkezli anlayış, 7499 sayılı Kanun’un kabul edilmesiyle yerini üç katmanlı sistematiğe bırakmıştır. Buna göre; aktarım için sırasıyla yeterlilik kararına, uygun güvencelere ve arızi hallere başvurulmalıdır. (F. Güven TAŞTAN, Kişisel Verilerin Yurtdışına Aktarılmasında Açık Rıza, Terazi Hukuk Dergisi, Sayı 217, s.110-121, Eylül 2024, s.113).

Bir görüşe göre; kanun koyucunun, sürekli ve düzenli yurtdışı kişisel veri aktarımı için tek başına açık rızayı yeterli görmediği ve 01 Eylül 2024 tarihi itibariyle sadece açık rızaya dayalı yurt dışına kişisel veri aktarımını sona erdirmek istediği söylenebilir. (TAŞTAN, s.115).

Kişisel Verileri Koruma Kurumunun resmi internet sitesinde “yeterli korumanın bulunduğu ülkeler için tıklayınız” ibarelerinin yer aldığı bölüm tıklandığında sadece şu bilgi verilmektedir: “Bu konuda Kurul tarafından henüz bir belirleme yapılmamıştır.” (Bakınız: https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim , Erişim Tarihi: 27.10.2024).

Bu nedenle üç katmanlı sistemin birinci katmanı olan, yeterlilik kararı yöntemi henüz kullanılamamaktadır. Üçüncü katman olan, “arızi haller katmanı” da süreklilik arz eden veri aktarımlarında kullanılamaz, çünkü sadece geçici aktarımlar için öngörülmüş bir yoldur. Geriye sadece ikinci katman olan “uygun güvence yöntemi” kalmaktadır.

Uygun güvenceler, tahdidi bir sayımla öngörülen dört kategoriden oluşmaktadır. Buna göre uygun güvence yöntemiyle aktarım yapılmasının mümkün olduğu kategoriler şunlardır(TAŞTAN, s.114):

1-   Kamu kurumları arasındaki uluslararası sözleşme niteliği taşımayan sözleşmeler

2-   Bağlayıcı şirket kuralları

3-   Yazılı taahhütnameler

4-   Standart sözleşmelerin imzalanması

Tahdidi olarak sayılan yollardan birincisi olan uluslararası sözleşme seçeneğini kullanmak en kolay görünen yol. Ancak çoğu zaman bir uluslararası sözleşme mevcut olmayacaktır ve yapılmasını beklemek de çok uzun bir süre alacaktır. İkinci yol olan “bağlayıcı şirket kuralları yöntemi” ve üçüncü yol olan “yazılı taahhütnameler yöntemi” için Kişisel Verileri Koruma Kurumu’nun onayı gerekmektedir. Yani, bir yazılı taahhütname alınmış olsa bile onay işlemi gerçekleşmeden veri aktarımı yasal zemine kavuşamayacaktır. O halde, geriye tek bir yol kalmaktadır: Standart sözleşmelerin imzalanması.

Aynı teşebbüs grubu içinde bulunan şirketler arasında, Kurul tarafından önceden onaylanmış ve kişisel verilerin korunmasını içeren bağlayıcı şirket kurallarının bulunması durumunda, Kanunun 5 ve 6 ncı maddelerindeki veri işleme şartlarından biri de mevcut ise, Kuruldan ek bir izin alınmadan bu şirketler arası veri aktarımı gerçekleştirilebilecektir. Böylece Kurulca onaylanan bağlayıcı şirket kuralları olan bir teşebbüs grubunun Türkiye’deki şirketinden, aynı grubun yabancı ülkedeki şirketine Kuruldan bir kez daha izin alınmaksızın veri aktarımı yapılabilecektir. (Bakınız: https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim , Erişim Tarihi: 27.10.2024).

Kişisel Verileri Koruma Kurulu tarafından önceden onaylanmış ve kişisel verilerin korunmasını içeren bağlayıcı şirket kurallarının bulunması durumunda, Kanunun 5 ve 6 ncı maddelerindeki veri işleme şartlarından biri de mevcut ise, Kuruldan ek bir izin alınmadan bu şirketler arası veri aktarımı gerçekleştirilebilecektir. Acaba, yaygın olarak kullanılan email platformları için bu husus geçerli midir? Yani, bu platformlar hakkında “önceden onaylanmış ve kişisel verilerin korunmasını içeren bağlayıcı şirket kurallarının” mevcut olduğu varsayımı ile hareket etmek KOBİ firmaları için mümkün müdür?

Kurul tarafından verilecek olan uygunluk kararının güvenli ülke nitelemesiyle verilmesi mümkün olduğu gibi “güvenli sektör” ya da “güvenli kuruluş” nitelemesiyle verilmesi de mümkündür. O halde, belli bir sayıyı aşan mesela bir milyon kullanıcı sayısını aşan platformlar için Kurul’un bir karar alması daha sağlıklı bir yöntem olacaktır.

Yeterince büyük sorunlarla mücadele eden KOBİ Firmalarının bir de sadece bir prosedürü yerine getirmiş olmak için herkesçe kullanılan platformlardan standart sözleşme imzalatıp getirmesini beklemek hakkaniyete uygun düşmez. Kaldı ki, söz konusu iletişim kanalları herkes tarafından kullanılmaktadır. Söz gelimi, gmail üzerinden email trafiğini yürüten bir firmaya “sen yurt dışına kişisel veri aktarımı yapıyorsun, aktarım için yeterlilik kararına ya da uygun güvenceler getirmelisin” demek, kesinlikle makul sınırları aşıyor. Üstelik, Kişisel Verileri Koruma Kurumunun da gmail atyapısını kullandığı düşünülecek olursa, sırf gmail için standart sözleşme getirmemiş olmak bir cezalandırılma nedeni olmamalı. Kaldı ki, verileri aktarılan kişiler de bu iletişim kanallarını kullanıyorsa, durum daha saçma bir hal alacaktır. Çünkü, kişinin verileri zaten daha önce fazlasıyla aynı platform üzerinden yurtdışına aktarılmış olacaktır ki, artık bu veri koruma faaliyeti tamamen anlamsız hale gelecektir.

Netice olarak, yaygın iletişim kanalı haline gelmiş olan email platformlarının KVKK tarafından bizzat muhatap alınması ve haklarında yeterlilik kararı yayımlanması herkes için kolay ve faydalı yöntem olacaktır. Özellikle meslek kuruluşlarının bu hususu gündeme getirmesini isabetli olacaktır, zira KOBİ Firmalar iletişimlerini büyük ölçüde yaygın email platformları ve whatsapp üzerinden yerine getirmektedirler. İçinde bulunduğumuz zorlu ekonomik koşullar altında KOBİ Firmalarından kendilerine özgü yazılım ve yurtiçi server hizmeti satın almaları beklemek veya yaygın email platformlarından satandart sözleşme imzalatıp getirmelerini beklemek, onlar için çok ağır bir yük olacaktır. Zaten herkesçe kullanılan bir uygulama için açık rıza ya da başkaca prosedürler yerine getirmesini istemek, veri koruma faaliyetine herhangi bir katkı sağlamayacaktır.