Anasayfa/ Makale/ Bulut Bilişimde Veri Güvenliği, Standartlar ve İhlal Sorumluluğu

Bulut Bilişimde Veri Güvenliği, Standartlar ve İhlal Sorumluluğu

Bulut bilişim sistemlerinde veri güvenliğinin hukuki boyutu, uluslararası standartların rolü ve veri ihlali durumunda hizmet sağlayıcıların sorumlulukları detaylıca incelenmektedir. Veri gizliliği, bütünlüğü ve erişilebilirliğine yönelik idari ve teknik tedbirler ile ihlal halinde uygulanacak yaptırımlar hukuki bir perspektifle ele alınmıştır.
search
6 dk okuma Yayınlanma: Güncelleme:
TAZMİNAT GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) KVKK BİLİŞİM HUKUKU

Teknolojinin gelişmesiyle birlikte dijital ekosistemde verilerin muhafazası ve işlenmesi büyük oranda bulut teknolojilerine kaymıştır. Bu dönüşüm, bulut bilişim sistemlerinde veri güvenliği konusunu hukuki açıdan en kritik tartışma alanlarından biri haline getirmiştir. Kişisel verilerin korunması hukuku bağlamında, veri güvenliği yalnızca teknik bir gereklilik değil, aynı zamanda veri sorumlusu ve veri işleyen konumundaki bulut hizmet sağlayıcıları için kanuni bir yükümlülüktür. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Tüzüğü (GDPR) uyarınca, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı şekilde erişilmesini önlemek amacıyla her türlü teknik ve idari tedbirin alınması zorunludur. Alınması gereken bu önlemler, verilerin gizliliği, bütünlüğü ve erişilebilirliği ilkeleri çerçevesinde şekillenmekte olup bulut hizmet sağlayıcılarının uluslararası güvenlik standartlarına uyumunu şart koşmaktadır. Aksi halde yaşanacak siber saldırılar veya sistemsel zafiyetler neticesinde meydana gelen veri ihlallerinden dolayı hukuki, idari ve cezai sorumluluklar gündeme gelmektedir.

Veri Güvenliğinin Sağlanması ve Teknik Tedbirler

Bulut bilişim altyapısında veri güvenliğinin temin edilebilmesi adına uygulanan en yaygın ve etkili yöntemlerin başında kriptografik şifreleme gelmektedir. Verilerin bulut sistemlerine aktarılmadan önce veya depolanma aşamasında şifrelenmesi, yetkisiz erişim riskini büyük ölçüde bertaraf etmektedir. Şifreleme anahtarlarının bulut hizmet sağlayıcısından bağımsız, farklı ortamlarda güvenle saklanması, kişisel verilerin korunması bağlamında alınması gereken temel teknik tedbirler arasında yer almaktadır. Bununla birlikte, kimlik ve erişim yönetimi (IAM) teknolojileri sayesinde bulut kaynaklarına sadece yetkilendirilmiş kişilerin ulaşması sağlanmaktadır. İki faktörlü kimlik doğrulama (2FA) ve ayrıcalıklı erişim yönetimi gibi mekanizmalar, olası siber ihlallerin önüne geçmekte hayati bir işleve sahiptir. Bu tedbirlerin eksikliği, sistemin dışarıdan gelebilecek siber tehditlere veya içeriden kaynaklanan kötü niyetli hareketlere karşı savunmasız kalmasına sebebiyet vermektedir.

Bulut Bilişim Standartları ve Sertifikasyonlar

Bulut hizmet sağlayıcılarının sundukları hizmetin kalitesini ve veri güvenliği düzeyini yasal merciler önünde kanıtlamak amacıyla çeşitli uluslararası standartlar ve sertifikasyon süreçleri geliştirilmiştir. Kullanıcılar, bulut altyapısı seçerken sağlayıcının kişisel veri güvenliği standartlarına uyumunu detaylıca irdelemek, incelemek ve yasal özen yükümlülüğünü eksiksiz yerine getirmek durumundadır. Veri sorumlularının iş ortaklarını belirlerken bu standartları asgari bir güvenlik garantisi olarak kabul etmeleri, gelecekte yaşanabilecek yasal ihtilaflarda kusur ve sorumluluğun sınırlarını belirlemek açısından büyük önem taşır. Aşağıdaki veri tablosunda, bulut bilişim ekosisteminde hukuken ve teknik olarak kabul gören başlıca güvenlik standartları ve bunların regülatif kapsamları özetlenmiştir:

Standart / Sertifika Kapsam ve Hukuki Önemi
BSI C5 Standardı Bulut sistemleri için minimum güvenlik özelliklerini ve bulut hizmet sağlayıcıların yasal regülasyonlara uygunluğunu belirler.
ISO 27001 Bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini korumaya yönelik, yasal uyumluluğu destekleyen uluslararası bilgi güvenliği yönetim sistemidir.
CSA (Cloud Security Alliance) Bulut bilişim güvenliği için geliştirilen CSA STAR ve CSA CCM sertifikalarıyla sağlayıcıların güvenlik ve hukuki uyumluluk seviyelerini ölçer.
Trusted Cloud (Güvenilir Bulut) Almanya menşeli olup, veri gizliliği, veri bütünlüğü ve iş sürekliliği gibi belirli regülatif güvenlik kriterlerini güvence altına alır.
TSE Bulut Standardı Türk Standartları Enstitüsü tarafından ulusal mevzuata uygunluk çerçevesinde geliştirilen, güvenlik ve hizmet kalitesi kriterlerini düzenleyen standarttır.

Veri İhlalleri ve İlliyet Bağının Kesilmesi

Bulut sistemlerinde alınan tüm idari ve teknik tedbirlere rağmen veri ihlalleri yaşanması muhtemeldir. Bu tür durumlarda, bulut hizmet sağlayıcısının hukuki sorumluluğunun tayin edilebilmesi için meydana gelen zarar ile gerçekleşen ihlal arasında uygun illiyet bağı bulunup bulunmadığı değerlendirilmelidir. Sözleşmelerde sıklıkla yer alan doğal afetler, savaş, iletişim altyapısındaki genel çökmeler gibi mücbir sebep halleri, sağlayıcının kontrolü dışında gerçekleştiği için illiyet bağını kesen unsurlar olarak kabul edilmektedir. Ayrıca, bulut kullanıcısının kendi kusuruyla şifreleme anahtarlarını çaldırması veya zayıf güvenlik politikaları uygulaması gibi durumlar, dürüstlük kuralı çerçevesinde hizmet sağlayıcının sorumluluğunu ortadan kaldırabilmektedir. Ancak, kullanıcı hatalarını önleyecek asgari sistemsel kontrollerin sağlayıcı tarafından sunulmamış olması, sağlayıcının kusursuz olduğunu iddia etmesini zorlaştırmaktadır.

İhlal Durumunda Uygulanacak Yaptırımlar

Veri ihlalinin meydana gelmesi ve illiyet bağının tespit edilmesi halinde, eylemin mahiyetine göre idari, hukuki ve cezai yaptırımlar devreye girmektedir. Kişisel Verileri Koruma Kurulu (KVKK), veri güvenliğini sağlama yükümlülüğüne aykırı hareket eden veri sorumluları hakkında yüksek tutarlarda idari para cezaları uygulayabilmektedir. Zarara uğrayan ilgili kişiler, ihlal nedeniyle maruz kaldıkları maddi ve manevi kayıpların telafisi için Türk Borçlar Kanunu ve Türk Medeni Kanunu hükümleri uyarınca tazminat davası açma hakkına sahiptir. Bununla birlikte, kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, yayılması veya kanuni süreler dolmasına rağmen yok edilmemesi eylemleri, Türk Ceza Kanunu (TCK) kapsamında bilişim suçları ve hayata karşı suçlar başlıkları altında hapis cezası ile yaptırıma bağlanmıştır. Söz konusu süreçte, bulut hizmet sağlayıcılarının hem sözleşmesel yükümlülükleri hem de kanuni mükellefiyetleri bir bütün olarak değerlendirilerek yargısal yollara başvurulmaktadır.

Verilerim bulutta çalındı, şirketi hemen dava edip tazminat alabilir miyim? expand_more
Bulut hizmet sağlayıcısına karşı uğradığınız zararlar için tazminat davası açma hakkınız kural olarak bulunmaktadır, ancak şirket her durumda kusurlu sayılamaz. İhlal nedeniyle sağlayıcının sorumlu tutulabilmesi için, meydana gelen zarar ile gerçekleşen ihlal arasında uygun bir illiyet bağı bulunması şarttır. Eğer şifreleme anahtarlarını kendi kusurunuzla çaldırdıysanız veya zayıf güvenlik politikaları uyguladıysanız dürüstlük kuralı çerçevesinde şirketin sorumluluğu ortadan kalkabilmektedir. Ayrıca, deprem, savaş veya iletişim altyapısındaki genel çökmeler gibi mücbir sebep halleri de sağlayıcının kontrolü dışında olduğu için illiyet bağını keserek yasal sorumluluğu kaldırır.
Bulut şirketindeki verilerim sızdırıldı, bu durumun bir cezası yok mu? expand_more
Evet, bulut sistemlerindeki verilerinizin hukuka aykırı şekilde sızdırılmasının ciddi idari ve cezai yaptırımları mevcuttur. Kişisel Verileri Koruma Kurulu (KVKK), gerekli güvenlik tedbirlerini almayan bulut hizmet sağlayıcıları hakkında çok yüksek tutarlarda idari para cezaları uygulayabilmektedir. Ayrıca, kişisel verilerinizin hukuka aykırı olarak ele geçirilmesi veya yayılması, Türk Ceza Kanunu (TCK) kapsamında bilişim suçları çerçevesinde hapis cezası ile yaptırıma bağlanmıştır. Şirketlere kesilen idari cezalar dışında, maruz kaldığınız maddi ve manevi kayıpların telafisi için siz de ilgili kanunlar uyarınca tazminat davası açabilirsiniz.
Dosyalarımı koyacağım bulut şirketinin güvenilir olduğunu nasıl anlarım? expand_more
Bulut altyapısı seçerken, hizmet sağlayıcının kişisel veri güvenliği standartlarına uyumunu detaylıca incelemeniz ve uluslararası sertifikasyonlarını sorgulamanız gerekmektedir. Güvenilir bir şirketin ISO 27001, BSI C5 veya TSE Bulut Standardı gibi regülasyonlara ve hukuki standartlara uyumlu belgeleri bulunmalıdır. Teknik açıdan ise sistem, verilerinizi korumak için kriptografik şifreleme ile iki faktörlü kimlik doğrulama (2FA) gibi kimlik ve erişim yönetimi araçlarını mutlaka sunmalıdır. Yasal ihtilaflarda sorumluluktan kurtulabilmeniz ve özen yükümlülüğünüzü yerine getirdiğinizi ispatlayabilmeniz adına bu asgari güvenlik garantilerini mutlaka aramalısınız.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir