Anasayfa/ Makale/ Bulut Bilişim Sistemlerinin Temelleri ve Aktörlerin Hukuki Rolleri

Bulut Bilişim Sistemlerinin Temelleri ve Aktörlerin Hukuki Rolleri

Bulut bilişim teknolojileri, verilere uzaktan erişim imkanı sunarken çeşitli hukuki statüleri de beraberinde getirir. Bu makalede, bilişim hukuku perspektifiyle bulut bilişim hizmet modelleri ile bulut hizmet sağlayıcılarının Kişisel Verilerin Korunması Kanunu kapsamındaki veri sorumlusu ve veri işleyen rolleri analiz edilmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
KVKK HUKUKA AYKIRILIK

Teknolojik gelişmelerin hız kazanmasıyla birlikte ortaya çıkan bulut bilişim teknolojileri, yerel depolama alanları yerine sanal ağlar üzerinden internet aracılığıyla veri depolama ve işleme imkanı sunmaktadır. Amerikan Ulusal Teknoloji ve Standartlar Enstitüsü (NIST) tarafından yapılan genel kabul görmüş tanıma göre bulut bilişim; yapılandırılabilir bilişim kaynaklarından oluşan ortak bir havuza, isteğe bağlı olarak her zaman ve her yerden erişime imkan veren bir modeldir. Bu modelin temelini oluşturan isteğe bağlı self servis, geniş ağ erişimi, kaynak havuzu, hızlı esneklik ve ölçülü hizmet özellikleri, kurumların bilgi işlem maliyetlerini düşürürken operasyonel verimliliklerini artırmaktadır. Ancak bu yenilikçi teknolojinin getirdiği avantajların yanı sıra, sistem içerisindeki aktörlerin ve hukuki rollerinin belirlenmesi, özellikle Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında büyük bir önem taşımaktadır. Bilişim hukuku uygulamaları bağlamında, veri üzerinde kontrol sahibi olan tarafların doğru tespit edilmesi, hukuki sorumlulukların dağılımı açısından kritik bir başlangıç noktasıdır.

Bulut Bilişim Hizmet ve Dağıtım Modelleri

Bulut bilişim sistemleri, kullanıcıların çeşitli ihtiyaçlarına cevap verebilmek amacıyla farklı hizmet ve dağıtım modelleri üzerinden kurgulanmıştır. Temel hizmet modelleri; donanım kaynaklarının sanal olarak sunulduğu Bulut Altyapı Hizmeti (IaaS), yazılım geliştiriciler için platform sağlanan Bulut Platform Hizmeti (PaaS) ve son kullanıcıya doğrudan ağ üzerinden uygulama erişimi veren Bulut Yazılım Hizmeti (SaaS) olarak üç ana gruba ayrılmaktadır. Bu hizmet modellerinin yanı sıra, bulut bilişimin mimarisini belirleyen dağıtım modelleri de bulunmaktadır. Güvenliğin ön planda tutulduğu ve kaynağın tek bir kuruma tahsis edildiği özel bulut, kaynakların internet üzerinden genel erişime açık olduğu genel bulut, ortak menfaatleri olan kurumların altyapıyı paylaştığı topluluk bulutu ve bu modellerin birleşimiyle oluşan karma bulut yapıları mevcuttur. Hukuki incelemeler ve sözleşme süreçlerinde, tercih edilen hizmet ve dağıtım modelinin niteliği, tarafların sorumluluk sınırlarını doğrudan tayin eden en önemli unsurdur.

Bulut Bilişim Sistemlerindeki Temel Aktörler

Bulut bilişim ekosistemi, NIST mimarisine göre kendi içerisinde belirli işlevleri yerine getiren beş temel aktörden oluşmaktadır. Bu aktörler arasındaki ilişki, hukuki uyuşmazlıkların çözümünde sorumluluk merkezinin tespitini sağlar. Bulut kullanıcısı, bulut hizmet sağlayıcı ile iş ilişkisi kuran ve sunulan servislerden faydalanan gerçek veya tüzel kişileri ifade etmektedir. Bulut bilişim altyapısını yöneten, hizmetin sunulması ve verinin depolanması için gerekli koşulları bizzat sağlayan taraf ise bulut hizmet sağlayıcısı olarak adlandırılır. Sistem içerisinde ayrıca, veri iletimini gerçekleştiren ve aracı rolü üstlenen bulut taşıyıcısı, sunulan hizmetin gizlilik ve güvenlik gibi performans kriterlerini denetleyen bulut denetçisi ve sağlayıcı ile kullanıcı arasındaki müzakereleri ve dağıtımı yöneten bulut komisyoncusu gibi yan aktörler de yer almaktadır. Hukuk uygulamalarında uyuşmazlıkların asli muhatapları genel olarak hizmeti sunan sağlayıcılar ve ondan yararlanan kullanıcılar etrafında şekillenmektedir.

Aktörlerin Kişisel Verilerin Korunması Hukukundaki Rolleri

Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, veri işleme faaliyetinin hukuki statüleri veri sorumlusu ve veri işleyen olmak üzere iki ana eksende değerlendirilmektedir. Bulut bilişim sistemlerinde aktörlerin bu rollerden hangisine sahip olduğu, verinin işlenme amacına ve kimin kontrolünde olduğuna göre değişiklik gösterir:

  • Veri Sorumlusu Olarak Bulut Kullanıcısı: Bir kurum, kendi müşterilerine veya personeline ait kişisel verileri bulut sistemine yüklüyorsa, verinin işleme amaç ve vasıtalarını belirlediği için kural olarak veri sorumlusu statüsündedir.
  • Veri İşleyen Olarak Bulut Hizmet Sağlayıcısı: Bulut bilişim sözleşmeleri kapsamında, kullanıcının talimatlarına uygun olarak ve yalnızca depolama veya yedekleme amacıyla faaliyet gösteren hizmet sağlayıcılar veri işleyen sıfatını taşır.
  • Veri Sorumlusu Olarak Bulut Hizmet Sağlayıcısı: Bulut hizmet sağlayıcısının, bulut kullanıcısına ait fatura ve konum bilgilerini işlemesi veya kullanıcının verilerini kendi reklam ve pazarlama amaçları doğrultusunda kendi inisiyatifiyle kullanması durumunda, hizmet sağlayıcı veri sorumlusu veya ortak veri sorumlusu statüsüne geçmektedir.

Alt Veri İşleyenlerin Hukuki Konumu

Bulut bilişim sektöründe, hizmet sağlayıcıların kendi altyapılarını kurmak yerine başka şirketlerin veri merkezlerini veya bilişim altyapılarını kullanması oldukça yaygın bir ticari faaliyettir. Bu tür senaryolarda, ana hizmeti sunan sağlayıcının altında faaliyet gösteren ve veriye müdahale imkanı bulunan yapılar alt veri işleyen olarak karşımıza çıkmaktadır. Türk hukuku uygulamasında KVKK içerisinde doğrudan böyle bir tanım bulunmasa da, Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) hükümleri kıyasen uygulandığında, ana veri işleyenin başka bir sağlayıcı ile çalışabilmesi için kural olarak veri sorumlusunun onayı gerekmektedir. Uzman bir bilişim hukuku avukatı olarak değerlendirildiğinde, bulut sözleşmeleri hazırlanırken zincirleme hizmet yapılarının mutlaka göz önünde bulundurulması ve alt veri işleyenlere yönelik yetki ve denetim mekanizmalarının sözleşmelere açıkça derç edilmesi hukuki bir zorunluluktur. Aksi halde, veri sorumlusu olan bulut kullanıcısının kontrolü dışında gerçekleşen veri aktarımları kanuna aykırılık teşkil edecektir.

Müşteri bilgilerimi buluta yüklüyorum, veriler sızarsa kim suçlu olur? expand_more
Müşterilerinize veya personelinize ait bilgileri bulut sistemine yüklediğinizde, verinin işlenme amacını siz belirlediğiniz için Kişisel Verilerin Korunması Kanunu kapsamında kural olarak "veri sorumlusu" sıfatını taşırsınız. Hizmet aldığınız bulut firması ise yalnızca talimatlarınızla depolama yapıyorsa "veri işleyen" konumundadır. Bilişim hukuku bağlamında veri üzerindeki kontrolün sizde olması, olası ihlallerde hukuki sorumluluğun başlangıç noktası olarak sizi işaret eder. Bu nedenle, bir veri sızıntısı durumunda idari yaptırımların asli muhatabı siz olacağınız için bulut sözleşmelerinizdeki güvence maddelerini en baştan çok sıkı tutmanız şarttır.
Bulut firması benim verilerimi kendi reklamı için kullanabilir mi? expand_more
Bir bulut hizmet sağlayıcısının, size ait konum veya fatura gibi bilgileri kendi inisiyatifiyle reklam ve pazarlama amaçları doğrultusunda kullanması durumunda hukuki statüsü tamamen değişir. Sözleşme gereği sadece depolama yaparken "veri işleyen" konumunda olan firma, bu tür bir kullanımda kanun kapsamında "veri sorumlusu" veya "ortak veri sorumlusu" statüsüne geçer. Statüdeki bu değişiklik, hizmet sağlayıcının ilgili eylemlerinden dolayı veri hukuku kapsamında doğrudan sorumluluk altına girmesine neden olur. Uzman bir siber hukukçu olarak belirtmeliyim ki, aydınlatma yükümlülükleri ve açık rızanız dışında yapılan bu tür kullanımlar mevzuata açıkça aykırıdır.
Bulut şirketim verilerimi benden habersiz başka bir sunucuya aktarabilir mi? expand_more
Bilişim sektöründe hizmet sağlayıcıların, kendi altyapıları yerine başka şirketlerin veri merkezlerini (alt veri işleyen) kullanmaları oldukça yaygın bir ticari faaliyettir. Ancak, veri sorumlusu olarak sizin kontrolünüz altındaki bu verilerin başka bir yapıya aktarılabilmesi için kural olarak sizin onayınızın alınması gerekmektedir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) ilkeleri kıyasen uygulandığında, onayınız olmadan gerçekleşen bu tür zincirleme aktarımlar hukuka aykırılık teşkil edecektir. Bu sebeple, sözleşmenizde alt veri işleyenlere yönelik yetki sınırlarının ve denetim mekanizmalarının açıkça yazılı olması hukuki bir zorunluluktur.
Hangi bulut paketini (altyapı, yazılım vb.) seçtiğim hukuki açıdan önemli mi? expand_more
Bulut sistemlerinde altyapı (IaaS), platform (PaaS) veya yazılım (SaaS) gibi farklı hizmet modellerinin yanı sıra genel, özel veya karma gibi dağıtım modelleri bulunmaktadır. Tercih ettiğiniz hizmet ve dağıtım modelinin niteliği, sözleşme süreçlerinde tarafların hukuki sorumluluk sınırlarını doğrudan tayin eden en önemli unsurdur. Çıkabilecek hukuki uyuşmazlıklarda sistemin kimin kontrolünde olduğuna bu modellere bakılarak karar verilmektedir. İleride bir hak kaybına uğramamak adına, seçtiğiniz modelin özelliklerine ve risklerine uygun sözleşmesel güvencelerin sağlanmış olması son derece kritiktir.
Bulut şirketimle sorun yaşarsam kime dava açacağım, aracı firmalara mı? expand_more
Bulut bilişim mimarisinde sizin ve hizmet sağlayıcınızın yanı sıra veri taşıyıcısı, denetçi veya komisyoncu gibi aracı yan aktörler de sisteme dahil olabilmektedir. Fakat uyuşmazlıkların hukuki çözümünde sorumluluk merkezinin tespiti yapıldığında, davaların asli muhatapları kural olarak hizmeti sunan sağlayıcı ile hizmetten yararlanan kullanıcı etrafında şekillenmektedir. Davanın yanlış kişiye yöneltilmesi durumunda davanın usulden reddedilmesi riskiyle karşılaşmamak için sistem içindeki rollerin en baştan doğru belirlenmesi esastır. Dolayısıyla, muhtemel bir uyuşmazlıkta öncelikli olarak aracı kurumlara değil, asıl sözleşme kurduğunuz bulut hizmet sağlayıcısına karşı hukuki süreç başlatmanız gerekecektir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir