KVKK müşteri verilerini yurt dışında mı saklıyorsunuz? Aman dikkat!

2016 yılının Nisan ayında yürürlüğe giren KVKK ile bizi ve müşterimizi ilgilendiren birçok değişiklik meydana geldi. Bu değişikliklerin hepsi genel olarak müşteri verilerinin nasıl işleneceği, saklanacağı ve daha sonrasında nasıl saklanacağı ile ilgili.

Hepimiz son 3 yıldır bu konular üzerinde hassas bir şekilde ilerledik ve hem müşterilerimizin verilerinin nasıl işleneceği, hangi şartlarda onlarla iletişime geçeceğimiz konusunda bilgilendik ve tüm sistemlerimizi buna göre geliştirdik. Peki, acaba her şeyi doğru yaptığımızdan ve verileri doğru yerde sakladığımızdan emin miyiz?

Yakın zamanda Kişisel Verileri Koruma Kurulunun aldığı bir karar, yurt dışı üzerinden pazarlama yapan, kurumsal mail hizmetini Google ve Yandex gibi verilerini yurt dışı serverlar da saklayan firmalardan hizmet alanları işlerini zorlaştıracak gibi gözüküyor.

Bir firmanın Kişisel Verileri Koruma Kuruluna başvurarak, kurumsal e-posta hizmetinin Gmail üzerinden kullanılıp kullanılamayacağı hakkındaki sorusu üzerine Kişisel Verileri Koruma Kurulu aşağıdaki cevapları vermiş.

Google’a ait Gmail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine;
Server’ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine

Karar Eğer böyle bir işlem yapacaksanız 9 uncu maddeye tabi olacağımızı söylemektedir. Peki 9 uncu madde neleri kapsamaktadır?

#Revotas hakkında bilgi almak için tıklayınız!

RevoTalks Youtube videolarımızı izlemek için hemen tıklayın!

9 uncu madde, Eğer elinizdeki müşteri ya da çalışan verileri yurt dışına aktarmanız, yurt dışında depolamamız, işlememiz vb. işlemleri yapacağınız takdirde devreye girmektedir. Kanunun tamamını incelemek için Tıklayınız.

Şimdi gelelim detaylara. Bu kanuna göre, bir E-ticaret sayfanız var ve yurt dışında hizmet veren yada Türkiye de ofisi olan ama serverlerı yurt dışında olan yabancı kaynaklı bir firmayla çalışmak istediniz. Peki, o zaman ne yapmanız gerekecek?

Eğer böyle bir modelde çalışmak isterseniz hem yeni müşterilerinizden hem de mevcut müşterilerinizin hepsinden açık rıza almanız gerekmektedir. Eğer Müşterilerinizin bilgileri, pazarlama, işlenme, yedekleme amaçlı olsa dahi yurt dışında bir sunucuda bulunacaksa o zaman tüm müşterilerinizden açık rıza almanız gerekmektedir. Aksi takdirde müşterilerinizin hiçbir bilgisini yurt dışında bulunduramazsınız. Aynı şekilde E-ticaret alt yapı sunucularınız içinde bu geçerli. Eğer sunucularınız yurt dışında ise sitenize kayıt olan tüm müşterilerinizden mutlaka açık rıza almanız gerekmektedir. Açık Rıza Nedir?

Bir örnek daha verelim, Şirketiniz mail sunucuları maliyetten veya başka bir sebepten dolayı yurt dışında ise. Maliyeti düşürmek için Google , Yandex veya Office 360 gibi bir yerden hizmet alıyor yada almak istiyorsanız yine tüm çalışanlarınızdan açık rıza almanız gerekmektedir. Aksi takdirde bir kişi bile açık rıza vermez ise sunucularınızı yurt dışında barındıramazsınız ya o kişiyi işten çıkartmanız gerekebilir.

Aşağıdaki tabloda da Kişisel Verilerin Yurt dışına Aktarılmasının şartları ile ilgili Kişisel Verileri Koruma Kurulunun oluşturduğu tabloyu inceleyebilirsiniz.