Sosyal medya platformlarında kişisel verileriniz hangi ülkelere aktarılıyor?


Türkiye'nin ilk KVKK arama motoru: KVKK Arar "Acaba aynı veri ihlali Avrupa'da yaşansaydı GDPR kapsamında nasıl bir karar verilirdi?" diye soran yüzlerce kişinin ihtiyaç duyduğu GDPR karar arşivine KVKK ARAR sayesinde ulaşabilirsiniz. İlgilendiğiniz konudaki KVK Kurumu kararı ile aynı konularda verilmiş onlarca kararın Türkçe özetlerine saniyeler içerisinde erişebilirsiniz. Yirmiden fazla dilde GDPR kapsamında verilmiş kararların tamamının Türkçe özetlerine KVKK ARAR ile hemen şimdi ulaşabilirsiniz. Verini Koru okurlarına özel ilk 15 gün sadece 1 TL ile burayı ziyaret ederek deneyebilirsiniz. Elbette dilediğiniz zaman iptal garantisine sahipsiniz. ŞİMDİ DENEYİN
Daha fazlasını öğren →
Black Mirror’ın geçtiğimiz haftalarda çıkardığı yeni sezonun ilk bölümünü izleyenler varsa aramızda okumadan kabul ettiği şartlar konusunda içine bir kurt düşmüş olabilir. Henüz izlemeyenlere de izlemelerini tavsiye ederek asıl konuya dönelim. Peki, sosyal medya platformlarına üye olurken paylaştığımız verilerimiz gerçekten nerede depolanıyor ve hangi ülkelere aktarılıyor? Bu yazıda, Türkiye'de sosyal medya hesabına sahip bir kişinin verilerinin gizlilik politikalarına uygun olarak hangi ülkelerde işlendiğini ve depolandığını inceleyeceğiz. İlk etapta günlük hayatta pek çoğumuzun kullandığı birkaç sosyal medya hesabını ele alarak başlayalım.
Instagram:
Instagram bir Meta şirketidir. Genellikle Amerika Birleşik Devletleri'nde (ABD) bulunan sunucularda verilerimizi depolar. Ancak, Avrupa Ekonomik Alanı (EEA) ülkeleri gibi diğer ülkelerdeki sunuculara da aktarım yapabilir.
Twitter:
Twitter'ın verileri genellikle ABD ve İrlanda'daki sunucularda depolanır. Böylece, Avrupa'da veri koruma düzenlemelerine uyum sağlanmış olur.
YouTube:
YouTube'un verileri de genellikle ABD'de depolanır. YouTube, Google şirketinin bir parçası olduğundan, Google'ın veri merkezlerinden yararlanır.
WhatsApp:
WhatsApp, Meta tarafından işletilen bir platformdur. Verilerimiz, genellikle ABD'deki Meta sunucularında depolanır. Ancak, son kullanıcı anlaşmasına göre WhatsApp verileri farklı ülkelerdeki sunuculara da aktarabilir.
TikTok:
TikTok, Çin merkezli bir platformdur. Bu nedenle, verilerimizin belirli bir süre Çin sunucularında depolanmış olabileceğini belirtmek önemlidir. Ancak, TikTok, dünya genelinde verileri farklı bölgelerdeki sunucularda da depolayabilir.
Zoom:
Zoom'un verileri genellikle ABD ve İrlanda'daki sunucularda depolanır. Bu, GDPR gibi veri koruma düzenlemelerine uyum sağlamak amacıyla yapılan bir tercihtir.
Google:
Google, dünya genelinde veri merkezleri olan büyük bir şirkettir. Türkiye'de Google hesabına sahip bir kişinin verileri genellikle ABD'deki Google sunucularında işlenir ve depolanır.
Facebook:
Facebook, verileri genellikle ABD'de depolar. Ancak, dünya genelindeki kullanıcılara hizmet sunmak için farklı ülkelerdeki sunuculara da veri transferi yapabilir.
ChatGPT:
OpenAI tarafından işletilen yapay zeka tabanlı platformu ChatGPT'de verileri ABD'deki sunucularda depolar.
LinkedIn:
LinkedIn, verileri genellikle İrlanda'daki sunucularda depolar. Bu, Avrupa'da veri koruma düzenlemelerine uyum sağlama amacını taşır.
Netflix:
Netflix, kullanıcı verilerini genellikle ABD'deki sunucularda depolar. Ancak, hizmetlerini dünya genelinde sunmak için farklı bölgelerdeki sunucuları da kullanabilir.
Bu bilgiler, platformların genel uygulamalarını yansıtmaktadır. Ancak, veri aktarımları ve depolama politikaları zaman zaman değişebilir. Dolayısıyla, güncel politikaları ve uygulamaları takip etmek her zaman önemlidir. Sonuç olarak, Türkiye'de sosyal medya hesabına sahip bir kişi olarak verilerinizin genellikle ABD, İrlanda ve diğer ülkelerde işlendiğini ve depolandığını görebilirsiniz.
Bu noktada kişisel verilerimizin depolandığı ve aktarıldığı ülkelerin kişisel veriler alanındaki düzenlemelerine göz atmakta fayda var.
Yukarıda da belirtildiği üzere kişisel verilerimiz genellikle ABD ve İrlanda'da depolanıyor. İlk olarak ABD’deki yasalara göz atacak olursak, ABD'de genel bir federal kişisel veri koruma yasası olmadığı için eyaletler arasında farklılıklar olabilir ve sektörel düzenlemeler önemli bir rol oynayabilir. Veri depolama merkezleri genellikle ABD’nin Kaliforniya eyaletinde bulunur. Dolayısıyla kişisel verilerimiz California Consumer Privacy Act (CCPA) uyarınca muhafaza ediliyor.
Verilerimizin depolandığı bir diğer ülke de İrlanda. İrlanda Avrupa Birliği ülkesi olması sebebi ile bu aşamda General Data Protection Regulation (GDPR) kapsamındaki mevcut düzenlemelere bakmak gerekiyor. AB'de GDPR (Genel Veri Koruma Tüzüğü) uyarınca, kişisel veri sahiplerine ait verilerin depolanmasıyla ilgili bazı önemli düzenlemeler bulunuyor. Bu düzenlemeler, AB vatandaşlarının verilerinin güvenliği ve gizliliğini korumayı amaçlar. AB harici bir ülkede faaliyet gösteren veya sunucuları AB dışında bulunan bir sosyal medya platformu, AB vatandaşı bir kullanıcısının verilerini GDPR'a uygun şekilde saklayabilmesi için bazı şartları sağlaması gerekli. Bu şartlardan en önemlisi AB vatandaşı kullanıcının verileri, üçüncü bir ülkeye aktarılıyorsa, bu ülkenin Avrupa Komisyonu tarafından veri koruması yeterliliği açısından kabul edilmiş olmasıdır. Şu anda, Avrupa Komisyonu tarafından veri koruması yeterliliği açısından kabul edilmiş ülkeler şunlardır: Andorra, Arjantin, Faroe Adaları, Guernsey, İsrail, İzlanda Kanada (yalnızca bazı Kanada federal bölgeleri), Lihtenştayn, Yeni Zelanda, Norveç, Şelburne İçtimaiyeti (Man Adası), İsviçre, Uruguay, Birleşik Krallık. Bu ülkeler, AB ile veri aktarımı konusunda daha kolay bir süreci sağlamak için AB'nin veri koruma düzenlemelerine benzer bir seviyede veri koruması sağladıkları kabul edilen ülkelerdir. AB vatandaşlarına ait verilerin bu ülkelerde depolanması ve işlenmesi, GDPR gerekliliklerine uygun kabul edilebilir. Görüldüğü üzere listede ABD yer almıyor; bu sebeple GDPR uyarınca AB vatandaşlarına ait verilerin ABD’de işlenmesi ve depolanması mümkün değil. AB kullanıcılarının verilerini GDPR standartlarına uygun bir şekilde işlemek ve AB'deki veri koruma düzenlemelerine uyum sağlamak için ABD’de faaliyet gösteren sosyal medya platformları İrlanda’da da sunucular bulunduruyor. Bu sayede ABD’de faaliyet gösteren sosyal medya platformları AB vatandaşlarına ait kişisel verileri mevzuata uygun olarak depolayabilir ve işleyebilir.
Son olarak kişisel verilerin yurt dışına aktarılması hakkında Türkiye’deki hukuki düzenlemelere de bakacak olursak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) veri sahibine ait verilerin yurt dışına aktarılmasını genel olarak yasaklıyor. Ancak, belirli istisnalar vardır ve bu istisnalar KVKK'nın 9. maddesinde belirtiliyor. Örneğin, veri sahibinin açık rızası, yurt dışına veri aktarımına izin verebilir. Bir üst paragrafta ele aldığımız üzere GDPR uyarınca yurt dışına veri aktarımı durumunda, alıcı ülkenin veri koruma düzenlemeleri açısından "yeterlilik" düzeyine sahip olmasını gerektirir ancak KVKK, veri aktarımı için "yeterlilik" düzeyini açıkça tanımlamaz. KVKK’da yeterli korumaya sahip ülkelerden birine ilgilinin açık rızası aranmaksızın veri aktarılabileceği düzenlenmiştir ancak Kurum tarafından yeterli korumanın bulunduğu ülkeler hala belirlenmedi. Bu sebeple platformların gizlilik politikalarını ve kullanıcı sözleşmelerini dikkatlice incelemek, verilerinizin nasıl işlendiği konusunda daha fazla bilgi edinmemize yardımcı olacaktır.
Kişisel verilerimizin yurt dışına aktarılmasını ele aldığımız bu yazıda son olarak yeni çıkan sosyal medya platformu Threads'ten bahsetmezsek olmaz.
Pek çoğumuz sosyal medyanın yeni gözdesi bu platforma üye olmak için ya gözlem aşamasındayız ya da bazılarımız çoktan üye oldunuz. Ancak üye olurken platformun gizlilik politikalarını ve kullanıcı sözleşmelerini dikkatlice incelemeyi unutmayalım ve bu noktada bir kere üye olduktan sonra platformundaki hesabımızı silemeyeceğimizi (tabii Instagram hesabımızdan vazgeçmek istemiyorsak) hatırlatmış olalım. Umarız bu bilgiler, sosyal medya hesaplarınızın veri işleme ve depolama süreçleri hakkında size yardımcı olur.
Bu yazı Verini Koru gönüllüsü Sema Selek tarafından hazırlanarak, 10.07.2023 tarihli bültenimizde yayınlanmıştır.
Kaydet
Okuma listesine ekle
Paylaş
İLGİLİ BAŞLIKLAR
NEREDE YAYIMLANDI?
İrlanda'dan çok tartışılacak Bölüm 26A yasa değişikliği, 7 gate-keeper açıklandı, Brezilya'dan Threads'e inceleme, Manchester Üniversitesi'nde veri ihlali, Google Analytics kullanana ceza ve çok daha fazlası...
10 Tem 2023

YAZARLAR

Veri Koruma ve Mahremiyet Gündemi
Sivil toplum kuruluşu Verini Koru'nun ekibi, Türkiye'de ve dünyada kişisel verilerin korunması alanında yaşanan gelişmeleri yakından takip ediyor ve her Pazartesi sizlerle buluşturmak için bültenler hâline getiriyor.
İLGİLİ OKUMALAR


