Anasayfa/ Makale/ Bulut Bilişimde KVKK Kapsamında Veri Güvenliği

Bulut Bilişimde KVKK Kapsamında Veri Güvenliği

Bulut sistemlerinde işlenen kişisel verilerin güvenliği, kullanıcılar ve servis sağlayıcılar için kritiktir. Bu makalede, bulut platformlarındaki verilerin 6698 sayılı KVKK kapsamındaki hukuki statüsü, veri sorumlusu ile işleyen rolleri ve alınması gereken teknik tedbirler bilişim hukuku perspektifiyle incelenmektedir.
search
5 dk okuma Yayınlanma: Güncelleme:
KVKK

Günümüz teknoloji çağında bulut bilişim teknolojileri, kurumların ve bireylerin verilerini depolamak, işlemek ve aktarmak için en çok tercih ettiği altyapıların başında gelmektedir. Sanal depolama alanları sayesinde maliyet ve zaman tasarrufu sağlayan bu sistemler, aynı zamanda çok büyük hacimli verilerin kıtalararası sunucularda barındırılmasına imkan tanımaktadır. Ne var ki, bulut sistemlerine aktarılan verilerin gizliliği ve dış müdahalelere karşı korunması, hukuki anlamda ciddi sorumlulukları beraberinde getirmektedir. Bilhassa ülkemizde yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, bulut bilişim aktörlerinin kişisel veri işleme faaliyetlerini sıkı kurallara bağlamaktadır. Bulut platformlarında yer alan kişisel verilerin izinsiz erişimlere, siber saldırılara ve veri sızıntılarına karşı korunması, yalnızca teknik bir gereklilik değil, aynı zamanda emredici bir hukuki yükümlülüktür. Bu hukuki yükümlülüklerin doğru analizi için, bulut bilişim ekosistemindeki aktörlerin rollerinin KVKK perspektifiyle net bir şekilde saptanması şarttır.

Bulut Bilişimde Veri Sorumlusu ve Veri İşleyen Rolleri

Bulut bilişim mimarisinde hukuki statülerin tespiti, sorumluluk rejiminin doğru uygulanması adına büyük önem taşımaktadır. KVKK uyarınca kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi veri sorumlusu, bu yetkiye dayanarak verileri işleyen taraf ise veri işleyen olarak tanımlanmaktadır. Bir ticari işletmenin veya e-ticaret platformunun kendi müşterilerine ait kişisel verileri bulut sistemine aktarması durumunda, söz konusu işletme veri sorumlusu sıfatını haizdir. Bu verileri işletmenin talimatları doğrultusunda depolayan ve barındıran bulut servis sağlayıcısı ise kural olarak veri işleyen konumunda kabul edilmektedir. Ancak bu durum her somut olayda değişkenlik gösterebilir. Özellikle doğrudan son kullanıcıya hizmet veren ve kullanıcı verileri üzerinde kontrol ve müdahale yetkisine sahip olan servis sağlayıcıların bizzat veri sorumlusu olarak değerlendirilmesi de mümkündür. İlgili aktörlerin rolleri, sunulan altyapı, platform veya yazılım modelinin niteliğine göre hukuki bir analize tabi tutulmalıdır.

KVKK Madde 12 Kapsamında Veri Güvenliği Yükümlülükleri

Bulut sistemlerinde depolanan kişisel verilerin hukuka aykırı erişimlerden korunması ve muhafazası, kanun koyucu tarafından emredici hükümlerle düzenlenmiştir. KVKK hükümlerine göre, veri sorumlusu uygun güvenlik düzeyini temin etmeye yönelik her türlü idari ve teknik tedbiri almak zorundadır. Bulut servis sağlayıcısının veri işleyen sıfatıyla hareket ettiği durumlarda dahi, kişisel verilerin güvenliğinin sağlanmamasından doğan zararlardan veri sorumlusu ve veri işleyen müştereken sorumlu tutulmaktadır. Sistemlerde yaşanabilecek herhangi bir yetkisiz erişim, kimlik hırsızlığı veya veri sızıntısı durumunda idari para cezaları gündeme gelmektedir. Ayrıca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumun en kısa sürede Kişisel Verileri Koruma Kurulu'na ve ilgili veri sahibine bildirilmesi yasal bir zorunluluktur. Kurul, yaşanan bu veri ihlalini gerekli gördüğü takdirde resmi internet sitesi üzerinden kamuoyuna ilan edebilmektedir.

Bulut Sistemlerinde Alınması Gereken Teknik Tedbirler

Kişisel Verileri Koruma Kurulu tarafından yayımlanan rehberler, bulut ortamlarında tutulan verilerin mahremiyetini sağlamak adına alınması gereken teknik önlemlere detaylı şekilde yer vermiştir. Rehberlerde de altı çizildiği üzere, hukuka aykırı erişimleri engellemek ve siber güvenlik açıklarını kapatmak, proaktif bir risk yönetimi gerektirmektedir. Özellikle verilerin yurt içi veya yurt dışı kıtalararası sunucularda dolaşıma girmesi, aktarım sırasında sızıntı risklerini artırdığından bulut bilişim hizmetlerinde standart kimlik denetimlerinin ötesine geçilmelidir. Bulut servis sağlayıcılarının uluslararası güvenlik standartlarına uygun hareket etmesi, yaşanabilecek ihlallerde sorumlulukların tespiti bakımından da büyük bir ispat kolaylığı sağlayacaktır. Bu noktada, veri güvenliğini temin etmek amacıyla uygulanabilecek temel teknik tedbirler şu şekilde sıralanabilir:

  • Kriptografik yöntemlerle verilerin şifrelenmesi ve farklı bulut çözümleri için ayrı şifreleme anahtarlarının kullanılması.
  • Ağ segmentasyonu yapılarak bulut mimarisinin farklı güvenlik adacıklarına bölünmesi ve dış kaynaklı tehditlerin sınırlandırılması.
  • Kimlik avı ve yetkisiz erişimleri önlemek adına iki aşamalı kimlik doğrulama ve ayrıcalıklı erişim yönetimi sistemlerinin entegre edilmesi.
  • Kişisel verilerin buluta aktarılmadan önce veya sistem içerisinde anonim hale getirilmesi işlemlerine tabi tutulması.
Müşterilerimin bilgileri bulutta hacklenirse ceza yer miyim? expand_more
Evet, 6698 sayılı Kişisel Verilerin Korunması Kanunu'na göre işletmeniz veri sorumlusu sıfatını taşıdığı için ceza ile karşılaşabilirsiniz. Kanun, kişisel verilerin korunması ve güvenliğinin sağlanması amacıyla veri sorumlusuna uygun güvenlik düzeyini temin etmeye yönelik her türlü idari ve teknik tedbiri alma zorunluluğu yüklemektedir. Sistemlerde yaşanabilecek kimlik hırsızlığı, yetkisiz bir erişim veya veri sızıntısı durumunda idari para cezaları gündeme gelecektir.
Verileri bulutta tutuyorum, sızıntı olursa suçlu ben miyim bulut firması mı? expand_more
Müşterilerinize ait verileri buluta aktardığınızda, kural olarak siz amaç ve vasıtaları belirleyen "veri sorumlusu", talimatlarınızla verileri depolayan bulut firması ise "veri işleyen" konumundadır. Ancak mevzuatımıza göre kişisel verilerin güvenliğinin sağlanmamasından doğan zararlardan hem veri sorumlusu olan işletmeniz hem de veri işleyen sıfatındaki bulut firması müştereken sorumlu tutulmaktadır. Dolayısıyla bulut servis sağlayıcısının bir güvenlik zafiyeti olsa dahi, veri sorumlusu olarak işletmeniz bu hukuki ihlalden doğrudan sorumlu olacaktır.
Buluttaki verilerimiz çalınırsa hukuken ne yapmamız gerekiyor? expand_more
Bulut platformlarında işlediğiniz kişisel verilerin kanuni olmayan yollarla veya siber saldırılarla başkaları tarafından elde edilmesi durumunda hızlıca yasal bildirim süreçlerini işletmeniz gerekir. Bu ihlal durumunu en kısa sürede hem Kişisel Verileri Koruma Kurulu'na hem de verisi çalınan ilgili veri sahiplerine bildirmeniz yasal bir zorunluluktur. Ayrıca Kişisel Verileri Koruma Kurulu, yaşanan bu veri ihlalini gerekli gördüğü takdirde resmi internet sitesi üzerinden kamuoyuna da ilan edebilmektedir.
Bulut sistemi kullanırken yasal olarak hangi önlemleri almalıyım? expand_more
Kişisel Verileri Koruma Kurulu'nun ilgili rehberlerine göre, yetkisiz erişimleri engellemek ve siber güvenlik açıklarını kapatmak için proaktif bir risk yönetimi uygulamalısınız. Bu kapsamda atmanız gereken temel adımlar arasında verilerin kriptografik yöntemlerle şifrelenmesi ve sisteme erişimde iki aşamalı kimlik doğrulamanın entegre edilmesi bulunmaktadır. Bununla birlikte, ağ segmentasyonu yapılarak bulut altyapısının güvenlik adacıklarına bölünmesi ve kişisel verilerin buluta aktarılmadan önce anonim hale getirilmesi de hukuken almanız beklenen kritik teknik tedbirlerdendir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir