2 hafta evvel yayınlanan ve “Bilgi ve İletişim Güvenliği Tedbirleri” başlığını taşıyan Cumhurbaşkanlığı Genelgesini [1], gerekli ve yerinde ama geç kalmış bir hareket olarak değerlendirmiştik [2]. Şimdi bu gecikmenin bileşenlerini tartışmaya başladık.
Mayıs ayında Kişisel Verileri Koruma Kurulu’nun (KVKK) yayınladığı, kurumsal mail kullanımının Gmail’den alımı ile ilgili karar, Cumhurbaşkanlığı Genelgesinin bir boyutunu gösteriyor. Office 365, Gmail, Yandex ve benzeri mail kullanımı, bu karar sonrası zorlaşacak mı? Bunun sadece kamu değil, özel firmalara da getireceği zorluklar olacak. Peki o zaman arkasından getirilecek bir “güvenli liman (ülke)[3][4]” yaklaşımı ile esneklik getirilecek mi? Ama o zaman genelge anlamsız hale dönüşecek mi? Sorular muhtelif.
Bugünkü durumun hukuki boyutunu, Ahi Hukuk Bürosundan avukat Umut Zorer ile konuştuk.
turk-internet.com Cumhurbaşkanlığı genelgesi, kamu kurumlarının maillerinin Gmail gibi sistemler üzerinde gönderilebildiğine işaret ediyor anladığımız kadarıyla. Yani kendi kurumlarındaki mail sunucuları değil, ücretsiz gmail, yandex gibi servisler kullananlar var anlaşılan. Hatırlayacaksınız, Hilary Clinton’ın böyle bir işlem (kendi özel mailinden devletle ilgili işlem yaptığı) nedeniyle başı epeyce ağrımıştı.. Bunu siz nasıl değerlendiriyorsunuz..
Av. Umut Zorer:6 Temmuz 2019 tarihinde yayımlanan Bilgi ve İletişim Güvenliği Tedbirleri ile İlgili 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi (Genelge), aslında bilgi güvenliği tedbirleri ile Kişisel Verileri Koruma Kanunu’nun (KVKK) belli hükümlerinin kamu kurum ve kuruluşlarındaki uygulamasına yönelik çerçeve çizmek amacını taşıyor diyebiliriz. Genelge’nin 18. maddesinde
“Kamu e-posta sistemlerinin ayarlan güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.”
Denerek aslında Gmail, Yandex Mail, Microsoft Office365 gibi yurt dışındaki sunucuların kullanılamayacağını açıkça belirtiyor. Ayrıca Genelgenin 19. maddesi kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmasını ve kurumsal e-postaların şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmasını da yasaklıyor.
turk-internet.com : Diğer bir konu, bu mail servisinin ücretli olarak alınması durumu. Başka deyişle Gmail, Yandex ya da banzer bir servisin “kurumsal” olarak kullanılması. Çünkü malum bu servisler bir yandan da spam konusunda iyi servis veriyor. Bu tür bir yaklaşımı (kamu kurumu için) nasıl değerlendirirsiniz?
Av. Umut Zorer:Aslında ücretli kurumsal hizmet veya tamamen ücretsiz servis alınıp alınmamasının bir önemi yok. Esas yasak, verilerin yurt dışına çıkarılması konusunda ortaya çıkıyor. Genelge, kamu kurum ve kuruluşlarına ait verilerin, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmasını engelliyor. Bu yasağa bilumum veri depolama ve paylaşım işlemi dahil.
turk-internet.com : Ülkemizde 2015’de kayıtlı elektronik posta (KEP) başladı. Bunu da lisanslı firmalar yapabiliyor. Peki, devletle KEP dışı işlem yapacak olan (mesela bir soru soracak olan) firmaların maillerinin Gmail, Yandex vs olması nasıl değerlendirilmeli?
Av. Umut Zorer:Devlet kurumları ile özel hukuk kişilerinin yazışmaları kural olarak yazının elden, posta ile, KEP yolu ile veya ilgili devlet kurumunun işleme özel kurduğu bir sistem üzerinden (Ör. UYAP, TÜBİS vb.) gerçekleştirilir. Soru sorma gibi işlemler de Dilekçe Hakkı Kanunu’nda belirtilen usule göre yapılır. Bu işlemlerin herhangi birinde bireysel veya kurumsal e-posta adresi ile iletişim söz konusu değildir. Bu sebeple firmaların sunucularının nerede olduğundan bağımsız olarak firmaların bu yolu kullanarak kamu kurumaları ile iletişim kurmasının yasal bir dayanağı bulunmamaktadır.
turk-internet.com : Bu genelge giderek özel firmaları da etkiler mi? Yani firmaların kendi mail sunucularını kullanmak yerine bu tür servisleri kullanması bir tehdit midir?
Av. Umut Zorer:Genelge yalnızca kamu kurumları için çıkarıldı. Ancak Kişisel Verileri Koruma Kurulu (Kurul) geçtiğimiz hafta bir şirketin görüş talebi doğrultusunda 31.05.2019 tarihli bir karar yayınladı. Burada şirketin e-posta sevisini Gmail’den almanın KVKK’ya uygun olup olmadığı soruldu. Kurul ise
“Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine”
karar verdi. Bir de ekledi:
“’Server’ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine”…
Yani Kurum Türkiye’deki şirketlerin kişisel verileri yurt dışına çıkarmasına KVKK ile aynı doğrultuda bir set çekti. Set dediğimiz Kanun’un 9. Maddesi ise yurt dışına kişisel veri aktarımı için size 3 seçenek sunuyor:
i. Açık rıza: Kurumsal e-posta adresini kullanan veya bir kurumsal e-posta adresine e-posta gönderen herkesin açık rızasının alınması süreci yalnızca çok zor değil, imkansıza yakın.
ii. Güvenli ülke: Kullanılan e-posta sunucusunun Kurul’un ilan ettiği güvenli ülkelerden birinde bulunması halinde açık rıza almanıza gerek yok. Ancak gelin görün ki Kurul bugüne kadar elinde olmayan sebeplerle hiçbir ülkeyi güvenli ilan etmedi. Yakın zamanda da böyle bir liste yayınlanacağına pek ihtimal verilmiyor. Çünkü güvenli ülke belirleme kriterlerinden biri Kaldı ki bazı ülkeleri güvenli ilan etse dahi Google gibi küresel firmalar bulut sunucularındaki verileri dünyanın bambaşka ülkelerinde sakladığından bu yol da temel bir çözüm olabilecekmiş gibi durmuyor. En azından şimdilik.
iii. Taahhütname: Yurt dışında kişisel veri aktarılan veri sorumlusu veya veri işleyen firmanın yeterli korumanın bulunduğunu yazılı olarak taahhüt etmesi. Burada da yeterli koruma için şartlara bakılacak ve karşılıklılık sorunu karşımıza çıkacaktır.
Bu seçeneksizlik ise şirketleri yurt içindeki e-posta sunucularından hizmet almak zorunda bırakıyor. Kurul diyor ki, ben güvenli ülke listesini yayınlayana kadar e-postaların dahil herhangi bir kişisel veriyi yurt dışına çıkarman çok zor. Bu karardan bir çok firma etkilenecek ve Türkiye’de server arayışına girişecektir diye düşünüyorum.
turk-internet.com : Diyelim ki şirketlerin kendi yerli mail sunucuları olsun. Ya da büyük mail sunan yerli firmalardan (operatör, mynet vs) alınıyor olsun. Ancak mail sunucu olarak kullanılan yazılımlar da yerli değil. Örneğin çoğunda office 365 var. Bunların içini göremiyoruz (kapalı kaynak) ya da bunlar bulut servisi verebiliyor. Bunu nasıl değerlendiriyorsunuz?
Av. Umut Zorer: Burada da üç büyük operatörden ikisi Office 365 satıyor. Veriler yine yurt dışına çıkıyor. Yani kişisel verilerin tamamen yurt içinde bulunduğu sistemlerde tutulması gerekiyor. Az da olsa yurt içinde e-posta hizmeti veren şirketler var. Tabi maliyetler yurt dışına göre çok pahalı. Ancak diğer tarafta da Kurul’un verdiği 1 M TL’nin üzerinde para cezaları var. Şirketlerin bir karar vermesi gerekecek. Ancak olumlu tarafından bakılırsa ülkemizde sunucu hizmetleri ve e-posta servisleri konusunda yatırımlar artacak.
turk-internet.com : Bütününe bakarsak, bugünlerde bazı ülkeler ilişkilerimizde gerginlik olduğu görülüyor. Dolayısıyla bu olayın milli güvenlik yönü başka bir soru ama kişisel veriler açısından sorun olabilir mi?
Av. Umut Zorer: Aslına bakarsanız şu an esas sorun Kişisel Verileri Koruma Kurulu’nun güvenli ülke listesini yayınlamamış olması. Yayınlanana dek yurt dışında KVKK’nın 9. Maddesine uymadan kişisel veri saklayan tüm firmalar için “hukuka aykırı kişisel veri işleme”den cezalandırılma riski var.
[2]Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Hakkında Düşünceler
[3] NSA Skandalı Sonrasında ABD Yönetimi Yeni Güvenli Liman Şablonuyla AB’ye Güven Vermeye Çalışıyor
[4] şu anda “güvenli ülke” tespiti olmamasına karşın, KVKK güvenli ülke kriterlerini yayınlamış durumda : “Yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form” hakkındaki 02/05/2019 tarihli ve 2019/125 sayılı Kurul Kararı