Makale
Bulut bilişim sistemlerinde kişisel verilerin hukuka uygun işlenebilmesi için açık rıza veya kanundaki istisnai şartların varlığı aranır. Sunucuların genellikle yurt dışında yer alması sebebiyle sınır ötesi aktarım kuralları gündeme gelmekte, yeterli koruma veya taahhütname gibi spesifik hukuki prosedürlerin işletilmesi gerekmektedir.
Bulut Bilişimde Kişisel Veri İşleme Şartları ve Sınır Ötesi Aktarım
Gelişen teknolojiyle birlikte kurumlar ve bireyler, esneklik ve maliyet avantajları sunan bulut bilişim sistemlerini sıklıkla tercih etmektedir. Ancak, bu sistemler üzerinde yürütülen faaliyetler, hukuki boyutta kişisel verilerin işlenmesi anlamına geldiği için 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili alt mevzuat uyarınca sıkı kurallara tabidir. Bir hukuk bürosu ve bilişim hukuku uzmanı olarak vurgulamak gerekir ki, bulut hizmetleri kullanılırken kişisel veri işleme şartlarının doğru tespit edilmesi ve tüm süreçlerin hukuka uygunluk zeminine oturtulması en kritik aşamadır. Bunun yanı sıra, bulut hizmet sağlayıcılarının veri merkezlerinin ekseriyetle yurt dışında bulunması, verilerin ulusal sınırları aşarak depolanması sonucunu doğurmaktadır. Bu durum, sınır ötesi veri aktarımı prosedürlerinin işletilmesini ve kanunun öngördüğü hukuki kurallara uyulmasını zorunlu kılmaktadır. Dolayısıyla süreçlerin detaylıca analiz edilmesi riskleri bertaraf etmek adına elzemdir.
Bulut Bilişim Sistemlerinde Kişisel Veri İşleme Şartları
Bulut bilişim sistemlerinde verilerin depolanması süreci, kanun kapsamında açıkça bir veri işleme faaliyeti olarak kabul edilmektedir. Bu süreçte verilerin hukuka uygun olarak işlenebilmesi için ilgili kişinin açık rızası yahut kanunda sayılan istisnai hallerden birinin kesinlikle bulunması şarttır. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak kanunda tanımlanmıştır. İnternet üzerinden kurulan bulut hizmeti sözleşmelerinde, rızanın hukuken geçerli olabilmesi için aktif bir eylem gerektiren işaretleme yöntemlerinin kullanılması elzemken, sessiz kalınarak onay verildiği varsayılan rıza beyanları geçersiz sayılmaktadır. Ayrıca, belirli bir konu ile sınırlandırılmayan, genel nitelikte metinlerle alınan battaniye rızalar da yasal olarak hukuka aykırı bulunmaktadır. Hukuki riskleri minimize etmek için açık rızanın, sunulan bulut hizmetinin bir ön şartı olarak dayatılmaması ve özgür irade unsurunun korunması büyük önem taşımaktadır.
Açık Rıza Dışındaki Veri İşleme Dayanakları
Hizmet sağlayıcı ile kullanıcı arasındaki ilişki genellikle bir ticari anlaşmaya dayandığı için, işleme faaliyeti sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması şartına sıklıkla dayandırılmaktadır. Bulut bilişim hizmetinin kusursuz sağlanması amacıyla, anlaşma amacından hiçbir şekilde sapmadan ve yalnızca ifa için gerekli olan verilerin işlenmesi hukuka tamamen uygundur. Bu şartın doğal olarak var olduğu bir olayda, kişilerden ayrıca açık rıza alınması yetkili merciler nezdinde aldatıcı eylem olarak değerlendirilerek dürüstlük kuralına aykırı bulunmaktadır. Bunun haricinde, veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi veya bir hakkın tesisi ile kişilerin temel hak ve özgürlüklerine zarar vermemek şartıyla veri sorumlusunun meşru menfaatinin zorunlu kıldığı yasal hallerde de bulut sistemleri üzerinde açık rızasız veri işlenebilir. Meşru menfaate dayanılan hallerde titiz bir denge testi yapılması ve hesap verilebilirliğin sağlanması yasal bir zorunluluktur.
Sınır Ötesi Veri Aktarımı ve Yasal Gereklilikler
Bulut bilişim altyapısını sağlayan firmaların, kesintisiz hizmet vermek ve olası veri kaybını önlemek amacıyla sunucularını dünyanın farklı coğrafi bölgelerine dağıttığı yaygın bir gerçektir. Kullanıcının verilerini yurt dışındaki bir sunucuda depolaması süreci, hukuki düzlemde doğrudan yurt dışına veri aktarımı olarak kabul edilmektedir. İlgili mevzuat kapsamında, bulut bilişim sistemleri üzerinden yabancı ülkelere veri aktarılabilmesi için uygulanması gereken yasal ve idari yöntemler şu şekilde sıralanmaktadır:
- Yurt dışına aktarım işlemi için kural olarak verisi işlenen kişilerin şüpheye yer bırakmayacak biçimde aydınlatılması ve bu kişilerin açık rıza beyanlarının alınması gerekmektedir.
- Kişisel verilerin açık rızasız yasal işlenme şartlarının fiilen varlığı halinde, yetkili idari kurul tarafından ilan edilecek yeterli korumaya sahip ülkelere herhangi bir ek onay olmaksızın aktarım yapılabilir.
- Yeterli korumanın bulunmadığı destinasyonlara aktarımda, Türkiye'deki ve yurt dışındaki muhatapların korumayı sağlamaya yönelik idari tedbirleri içeren yazılı taahhütname imzalaması ve bu belgenin kuruma onaylatılması zorunludur.
- Aynı şirketler topluluğuna bağlı olarak global çapta faaliyet gösteren çok uluslu bulut firmaları arasındaki veri transferlerinde ise onaylanmış bağlayıcı şirket kuralları mekanizması devreye alınabilir.
Veri Yerelleştirme ve Sektörel Düzenlemelerin Etkisi
Bulut bilişim mimarilerinde sınır ötesi aktarım kuralları hassasiyetle değerlendirilirken, yalnızca genel veri koruma kanunları değil, aynı zamanda sektöre özel regülasyonlar da büyük bir titizlikle incelenmek zorundadır. Özellikle bankacılık, finans, e-ticaret ve elektronik haberleşme gibi sıkı idari kurallarla regüle edilen sektörlerde faaliyet gösteren firmaların, veri yerelleştirme uygulamalarına sıkı sıkıya tabi olduğu asla unutulmamalıdır. Yetkili denetleme kurumlarının yürürlüğe koyduğu spesifik mevzuatlar gereğince, bankaların kullandıkları bilgi sistemlerinde yer alan birincil ve ikincil sistemlerinin yurt içinde konumlandırılması kesin bir yasal zorunluluktur. Benzer bir yaklaşımla yayımlanan resmi genelgeler uyarınca, kamu kurum ve kuruluşlarına ait kritik verilerin, sunucuları coğrafi olarak yurt dışında bulunan bulut bilişim platformlarına aktarılması açıkça yasaklanmış durumdadır. Bu tür emredici kurallar, ticari sözleşmeler imzalanmadan önce veri merkezlerinin coğrafi lokasyonlarının dikkatle denetlenmesini gerektirmektedir.