Makale
Bulut bilişim teknolojileri, verilere uzaktan erişim imkanı sunarken çeşitli hukuki statüleri de beraberinde getirir. Bu makalede, bilişim hukuku perspektifiyle bulut bilişim hizmet modelleri ile bulut hizmet sağlayıcılarının Kişisel Verilerin Korunması Kanunu kapsamındaki veri sorumlusu ve veri işleyen rolleri analiz edilmektedir.
Bulut Bilişim Sistemlerinin Temelleri ve Aktörlerin Hukuki Rolleri
Teknolojik gelişmelerin hız kazanmasıyla birlikte ortaya çıkan bulut bilişim teknolojileri, yerel depolama alanları yerine sanal ağlar üzerinden internet aracılığıyla veri depolama ve işleme imkanı sunmaktadır. Amerikan Ulusal Teknoloji ve Standartlar Enstitüsü (NIST) tarafından yapılan genel kabul görmüş tanıma göre bulut bilişim; yapılandırılabilir bilişim kaynaklarından oluşan ortak bir havuza, isteğe bağlı olarak her zaman ve her yerden erişime imkan veren bir modeldir. Bu modelin temelini oluşturan isteğe bağlı self servis, geniş ağ erişimi, kaynak havuzu, hızlı esneklik ve ölçülü hizmet özellikleri, kurumların bilgi işlem maliyetlerini düşürürken operasyonel verimliliklerini artırmaktadır. Ancak bu yenilikçi teknolojinin getirdiği avantajların yanı sıra, sistem içerisindeki aktörlerin ve hukuki rollerinin belirlenmesi, özellikle Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında büyük bir önem taşımaktadır. Bilişim hukuku uygulamaları bağlamında, veri üzerinde kontrol sahibi olan tarafların doğru tespit edilmesi, hukuki sorumlulukların dağılımı açısından kritik bir başlangıç noktasıdır.
Bulut Bilişim Hizmet ve Dağıtım Modelleri
Bulut bilişim sistemleri, kullanıcıların çeşitli ihtiyaçlarına cevap verebilmek amacıyla farklı hizmet ve dağıtım modelleri üzerinden kurgulanmıştır. Temel hizmet modelleri; donanım kaynaklarının sanal olarak sunulduğu Bulut Altyapı Hizmeti (IaaS), yazılım geliştiriciler için platform sağlanan Bulut Platform Hizmeti (PaaS) ve son kullanıcıya doğrudan ağ üzerinden uygulama erişimi veren Bulut Yazılım Hizmeti (SaaS) olarak üç ana gruba ayrılmaktadır. Bu hizmet modellerinin yanı sıra, bulut bilişimin mimarisini belirleyen dağıtım modelleri de bulunmaktadır. Güvenliğin ön planda tutulduğu ve kaynağın tek bir kuruma tahsis edildiği özel bulut, kaynakların internet üzerinden genel erişime açık olduğu genel bulut, ortak menfaatleri olan kurumların altyapıyı paylaştığı topluluk bulutu ve bu modellerin birleşimiyle oluşan karma bulut yapıları mevcuttur. Hukuki incelemeler ve sözleşme süreçlerinde, tercih edilen hizmet ve dağıtım modelinin niteliği, tarafların sorumluluk sınırlarını doğrudan tayin eden en önemli unsurdur.
Bulut Bilişim Sistemlerindeki Temel Aktörler
Bulut bilişim ekosistemi, NIST mimarisine göre kendi içerisinde belirli işlevleri yerine getiren beş temel aktörden oluşmaktadır. Bu aktörler arasındaki ilişki, hukuki uyuşmazlıkların çözümünde sorumluluk merkezinin tespitini sağlar. Bulut kullanıcısı, bulut hizmet sağlayıcı ile iş ilişkisi kuran ve sunulan servislerden faydalanan gerçek veya tüzel kişileri ifade etmektedir. Bulut bilişim altyapısını yöneten, hizmetin sunulması ve verinin depolanması için gerekli koşulları bizzat sağlayan taraf ise bulut hizmet sağlayıcısı olarak adlandırılır. Sistem içerisinde ayrıca, veri iletimini gerçekleştiren ve aracı rolü üstlenen bulut taşıyıcısı, sunulan hizmetin gizlilik ve güvenlik gibi performans kriterlerini denetleyen bulut denetçisi ve sağlayıcı ile kullanıcı arasındaki müzakereleri ve dağıtımı yöneten bulut komisyoncusu gibi yan aktörler de yer almaktadır. Hukuk uygulamalarında uyuşmazlıkların asli muhatapları genel olarak hizmeti sunan sağlayıcılar ve ondan yararlanan kullanıcılar etrafında şekillenmektedir.
Aktörlerin Kişisel Verilerin Korunması Hukukundaki Rolleri
Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, veri işleme faaliyetinin hukuki statüleri veri sorumlusu ve veri işleyen olmak üzere iki ana eksende değerlendirilmektedir. Bulut bilişim sistemlerinde aktörlerin bu rollerden hangisine sahip olduğu, verinin işlenme amacına ve kimin kontrolünde olduğuna göre değişiklik gösterir:
- Veri Sorumlusu Olarak Bulut Kullanıcısı: Bir kurum, kendi müşterilerine veya personeline ait kişisel verileri bulut sistemine yüklüyorsa, verinin işleme amaç ve vasıtalarını belirlediği için kural olarak veri sorumlusu statüsündedir.
- Veri İşleyen Olarak Bulut Hizmet Sağlayıcısı: Bulut bilişim sözleşmeleri kapsamında, kullanıcının talimatlarına uygun olarak ve yalnızca depolama veya yedekleme amacıyla faaliyet gösteren hizmet sağlayıcılar veri işleyen sıfatını taşır.
- Veri Sorumlusu Olarak Bulut Hizmet Sağlayıcısı: Bulut hizmet sağlayıcısının, bulut kullanıcısına ait fatura ve konum bilgilerini işlemesi veya kullanıcının verilerini kendi reklam ve pazarlama amaçları doğrultusunda kendi inisiyatifiyle kullanması durumunda, hizmet sağlayıcı veri sorumlusu veya ortak veri sorumlusu statüsüne geçmektedir.
Alt Veri İşleyenlerin Hukuki Konumu
Bulut bilişim sektöründe, hizmet sağlayıcıların kendi altyapılarını kurmak yerine başka şirketlerin veri merkezlerini veya bilişim altyapılarını kullanması oldukça yaygın bir ticari faaliyettir. Bu tür senaryolarda, ana hizmeti sunan sağlayıcının altında faaliyet gösteren ve veriye müdahale imkanı bulunan yapılar alt veri işleyen olarak karşımıza çıkmaktadır. Türk hukuku uygulamasında KVKK içerisinde doğrudan böyle bir tanım bulunmasa da, Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) hükümleri kıyasen uygulandığında, ana veri işleyenin başka bir sağlayıcı ile çalışabilmesi için kural olarak veri sorumlusunun onayı gerekmektedir. Uzman bir bilişim hukuku avukatı olarak değerlendirildiğinde, bulut sözleşmeleri hazırlanırken zincirleme hizmet yapılarının mutlaka göz önünde bulundurulması ve alt veri işleyenlere yönelik yetki ve denetim mekanizmalarının sözleşmelere açıkça derç edilmesi hukuki bir zorunluluktur. Aksi halde, veri sorumlusu olan bulut kullanıcısının kontrolü dışında gerçekleşen veri aktarımları kanuna aykırılık teşkil edecektir.