Anasayfa/ Makale/ Bulut Bilişimde Kişisel Veri İşleme Şartları ve Sınır Ötesi Aktarım

Bulut Bilişimde Kişisel Veri İşleme Şartları ve Sınır Ötesi Aktarım

Bulut bilişim sistemlerinde kişisel verilerin hukuka uygun işlenebilmesi için açık rıza veya kanundaki istisnai şartların varlığı aranır. Sunucuların genellikle yurt dışında yer alması sebebiyle sınır ötesi aktarım kuralları gündeme gelmekte, yeterli koruma veya taahhütname gibi spesifik hukuki prosedürlerin işletilmesi gerekmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK AÇIK RIZA

Gelişen teknolojiyle birlikte kurumlar ve bireyler, esneklik ve maliyet avantajları sunan bulut bilişim sistemlerini sıklıkla tercih etmektedir. Ancak, bu sistemler üzerinde yürütülen faaliyetler, hukuki boyutta kişisel verilerin işlenmesi anlamına geldiği için 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili alt mevzuat uyarınca sıkı kurallara tabidir. Bir hukuk bürosu ve bilişim hukuku uzmanı olarak vurgulamak gerekir ki, bulut hizmetleri kullanılırken kişisel veri işleme şartlarının doğru tespit edilmesi ve tüm süreçlerin hukuka uygunluk zeminine oturtulması en kritik aşamadır. Bunun yanı sıra, bulut hizmet sağlayıcılarının veri merkezlerinin ekseriyetle yurt dışında bulunması, verilerin ulusal sınırları aşarak depolanması sonucunu doğurmaktadır. Bu durum, sınır ötesi veri aktarımı prosedürlerinin işletilmesini ve kanunun öngördüğü hukuki kurallara uyulmasını zorunlu kılmaktadır. Dolayısıyla süreçlerin detaylıca analiz edilmesi riskleri bertaraf etmek adına elzemdir.

Bulut Bilişim Sistemlerinde Kişisel Veri İşleme Şartları

Bulut bilişim sistemlerinde verilerin depolanması süreci, kanun kapsamında açıkça bir veri işleme faaliyeti olarak kabul edilmektedir. Bu süreçte verilerin hukuka uygun olarak işlenebilmesi için ilgili kişinin açık rızası yahut kanunda sayılan istisnai hallerden birinin kesinlikle bulunması şarttır. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak kanunda tanımlanmıştır. İnternet üzerinden kurulan bulut hizmeti sözleşmelerinde, rızanın hukuken geçerli olabilmesi için aktif bir eylem gerektiren işaretleme yöntemlerinin kullanılması elzemken, sessiz kalınarak onay verildiği varsayılan rıza beyanları geçersiz sayılmaktadır. Ayrıca, belirli bir konu ile sınırlandırılmayan, genel nitelikte metinlerle alınan battaniye rızalar da yasal olarak hukuka aykırı bulunmaktadır. Hukuki riskleri minimize etmek için açık rızanın, sunulan bulut hizmetinin bir ön şartı olarak dayatılmaması ve özgür irade unsurunun korunması büyük önem taşımaktadır.

Açık Rıza Dışındaki Veri İşleme Dayanakları

Hizmet sağlayıcı ile kullanıcı arasındaki ilişki genellikle bir ticari anlaşmaya dayandığı için, işleme faaliyeti sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması şartına sıklıkla dayandırılmaktadır. Bulut bilişim hizmetinin kusursuz sağlanması amacıyla, anlaşma amacından hiçbir şekilde sapmadan ve yalnızca ifa için gerekli olan verilerin işlenmesi hukuka tamamen uygundur. Bu şartın doğal olarak var olduğu bir olayda, kişilerden ayrıca açık rıza alınması yetkili merciler nezdinde aldatıcı eylem olarak değerlendirilerek dürüstlük kuralına aykırı bulunmaktadır. Bunun haricinde, veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi veya bir hakkın tesisi ile kişilerin temel hak ve özgürlüklerine zarar vermemek şartıyla veri sorumlusunun meşru menfaatinin zorunlu kıldığı yasal hallerde de bulut sistemleri üzerinde açık rızasız veri işlenebilir. Meşru menfaate dayanılan hallerde titiz bir denge testi yapılması ve hesap verilebilirliğin sağlanması yasal bir zorunluluktur.

Sınır Ötesi Veri Aktarımı ve Yasal Gereklilikler

Bulut bilişim altyapısını sağlayan firmaların, kesintisiz hizmet vermek ve olası veri kaybını önlemek amacıyla sunucularını dünyanın farklı coğrafi bölgelerine dağıttığı yaygın bir gerçektir. Kullanıcının verilerini yurt dışındaki bir sunucuda depolaması süreci, hukuki düzlemde doğrudan yurt dışına veri aktarımı olarak kabul edilmektedir. İlgili mevzuat kapsamında, bulut bilişim sistemleri üzerinden yabancı ülkelere veri aktarılabilmesi için uygulanması gereken yasal ve idari yöntemler şu şekilde sıralanmaktadır:

  • Yurt dışına aktarım işlemi için kural olarak verisi işlenen kişilerin şüpheye yer bırakmayacak biçimde aydınlatılması ve bu kişilerin açık rıza beyanlarının alınması gerekmektedir.
  • Kişisel verilerin açık rızasız yasal işlenme şartlarının fiilen varlığı halinde, yetkili idari kurul tarafından ilan edilecek yeterli korumaya sahip ülkelere herhangi bir ek onay olmaksızın aktarım yapılabilir.
  • Yeterli korumanın bulunmadığı destinasyonlara aktarımda, Türkiye'deki ve yurt dışındaki muhatapların korumayı sağlamaya yönelik idari tedbirleri içeren yazılı taahhütname imzalaması ve bu belgenin kuruma onaylatılması zorunludur.
  • Aynı şirketler topluluğuna bağlı olarak global çapta faaliyet gösteren çok uluslu bulut firmaları arasındaki veri transferlerinde ise onaylanmış bağlayıcı şirket kuralları mekanizması devreye alınabilir.

Veri Yerelleştirme ve Sektörel Düzenlemelerin Etkisi

Bulut bilişim mimarilerinde sınır ötesi aktarım kuralları hassasiyetle değerlendirilirken, yalnızca genel veri koruma kanunları değil, aynı zamanda sektöre özel regülasyonlar da büyük bir titizlikle incelenmek zorundadır. Özellikle bankacılık, finans, e-ticaret ve elektronik haberleşme gibi sıkı idari kurallarla regüle edilen sektörlerde faaliyet gösteren firmaların, veri yerelleştirme uygulamalarına sıkı sıkıya tabi olduğu asla unutulmamalıdır. Yetkili denetleme kurumlarının yürürlüğe koyduğu spesifik mevzuatlar gereğince, bankaların kullandıkları bilgi sistemlerinde yer alan birincil ve ikincil sistemlerinin yurt içinde konumlandırılması kesin bir yasal zorunluluktur. Benzer bir yaklaşımla yayımlanan resmi genelgeler uyarınca, kamu kurum ve kuruluşlarına ait kritik verilerin, sunucuları coğrafi olarak yurt dışında bulunan bulut bilişim platformlarına aktarılması açıkça yasaklanmış durumdadır. Bu tür emredici kurallar, ticari sözleşmeler imzalanmadan önce veri merkezlerinin coğrafi lokasyonlarının dikkatle denetlenmesini gerektirmektedir.

Şirketimin verilerini buluta yükleyeceğim, herkesin tek tek onayını almam şart mı? expand_more
Bulut sistemlerinde veri depolamak hukuken bir veri işleme faaliyetidir ve kural olarak kişinin açık rızasını gerektirmektedir. Ancak yürüttüğünüz faaliyet ticari sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgiliyse, kişilerden ayrıca bir açık rıza almanıza gerek yoktur. Hatta böyle bir zorunluluğun var olduğu hallerde rıza talep etmek, dürüstlük kuralına aykırı ve yetkili merciler nezdinde aldatıcı eylem olarak kabul edilmektedir. Kanundaki diğer hukuki yükümlülüklerin yerine getirilmesi veya temel haklara zarar vermemek kaydıyla meşru menfaatiniz söz konusu olduğunda da zorunlu bir denge testi yaparak rızasız işlem yapabilirsiniz.
Müşteriye sözleşmede "kabul etmezsen hizmet yok" deyip genel bir onay alsam olur mu? expand_more
Hayır, hukuki riskleri bertaraf etmek adına bu yöntemden kesinlikle kaçınmalısınız. Kanun uyarınca açık rıza, belirli bir konuya ilişkin ve özgür iradeyle açıklanmış olmalıdır; dolayısıyla ucu açık bırakılan genel nitelikli "battaniye rızalar" hukuka açıkça aykırıdır. Ayrıca, açık rızanın sunulan bulut hizmetinin bir ön şartı olarak kesinlikle dayatılmaması ve kullanıcının aktif eylemini gerektiren işaretleme yöntemleriyle alınması zorunludur. Müşterinin sadece sessiz kalarak onay verdiğini varsayan uygulamalar hukuken tamamen geçersiz sayılmaktadır.
Kullandığım bulut depolama sisteminin sunucusu yurt dışındaysa ne yapmam gerekiyor? expand_more
Verilerinizi yurt dışındaki bir sunucuda depolamanız, hukuki düzlemde doğrudan sınır ötesi veri aktarımı olarak değerlendirilmektedir. Bu işlemi hukuka uygun şekilde yürütebilmek için kural olarak verisi işlenen kişilerin şüpheye yer bırakmayacak biçimde aydınlatılarak açık rıza beyanlarının alınması gerekmektedir. Eğer elinizde kanuni bir istisna şartı varsa, Kurul tarafından ilan edilecek yeterli korumaya sahip ülkelere herhangi bir ek onay olmaksızın aktarım yapabilirsiniz. Yeterli korumanın bulunmadığı ülkelere aktarım yapacaksanız, taraflar arasında idari tedbirleri içeren yazılı bir taahhütname imzalanması ve bu belgenin muhakkak Kuruma onaylatılması şarttır.
Banka veya kamu kurumu işi yapıyoruz, verileri yabancı bulutta tutmamız yasak mı? expand_more
Evet, söz konusu sektörler sıkı idari kurallarla regüle edildiği için veri yerelleştirme uygulamalarına sıkı sıkıya tabidir. İlgili denetleyici kurumların mevzuatları uyarınca, bankaların kullandıkları birincil ve ikincil sistemleri yurt içinde konumlandırması kesin bir yasal zorunluluktur. Benzer bir yaklaşımla yayımlanan resmi genelgeler de kamu kurumlarına ait kritik verilerin yurt dışı lokasyonlu bulut bilişim platformlarına aktarılmasını açıkça yasaklamış durumdadır. Bu tür emredici kurallarla karşı karşıya kalmamak için ticari sözleşmeleri imzalamadan önce veri merkezlerinin coğrafi konumlarını dikkatle denetlemeniz elzemdir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir