Anasayfa/ Makale/ Bulut Bilişimde Veri İhlali ve Sözleşmesel...

Makale

Bulut bilişim sözleşmelerinde servis sağlayıcıların asli yükümlülüklerinden biri veri güvenliğinin sağlanmasıdır. Bu yükümlülüğün ihlali, Türk Borçlar Kanunu kapsamında sözleşmeye aykırılık oluşturarak servis sağlayıcının kusur ilkesine dayalı maddi ve manevi tazminat sorumluluğunu doğurur. İhlal durumunda ispat külfeti servis sağlayıcıdadır.

Bulut Bilişimde Veri İhlali ve Sözleşmesel Sorumluluk

MANEVİ TAZMİNAT KVKK VERİ İHLALİ

Bulut bilişim teknolojilerinde kullanıcıların en temel beklentisi, sisteme aktardıkları verilerin güvenliğinin tam anlamıyla sağlanmasıdır. Taraflar arasında kurulan güven ilişkisi ve bulut bilişim sözleşmeleri, servis sağlayıcılara veri güvenliğini tesis etme konusunda özel ve asli bir yükümlülük yüklemektedir. Bu kapsamda, veri güvenliğini sağlama borcu, servis sağlayıcının fiziki ve zihni çabası ile yerine getirdiği bir yapma borcu niteliğindedir. Dolayısıyla bu borcun hiç veya gereği gibi ifa edilmemesi, doğrudan sözleşmeye aykırılık oluşturur ve servis sağlayıcının Türk Borçlar Kanunu (TBK) kapsamında sözleşmeden doğan sorumluluğunu gündeme getirir. Sözleşme sorumluluğunda, zarar gören ile zarar veren arasında ihlalin gerçekleşmesinden önce geçerli bir hukuki ilişkinin, yani sözleşmenin mevcudiyeti aranmaktadır. Veri güvenliğinin sağlanamaması neticesinde ortaya çıkan uyuşmazlıklarda, servis sağlayıcının tazminat yükümlülüğünün doğabilmesi için; sözleşmeyi ihlal niteliğinde bir davranışın bulunması, kullanıcının bu ihlal sebebiyle zarara uğraması, eylem ile zarar arasında uygun illiyet bağının kurulması ve servis sağlayıcının kusurlu olması şartlarının birlikte gerçekleşmesi gerekmektedir.

Veri İhlalinde Sözleşmeye Aykırı Davranış ve Kusur Unsuru

Veri güvenliğinin ihlali, servis sağlayıcının yükümlülüklerini yerine getirirken yapması gereken bir şeyi yapmaması, yapmaması gereken bir şeyi yapması veya yapması gereken şeyi gereği gibi yapmaması şeklinde ortaya çıkar. Örneğin; yetkisiz erişimleri engellemek için gerekli güvenlik standartlarının oluşturulmaması, eski çalışanların şifrelerinin iptal edilmemesi veya verilerin şifrelenmeden saklanması gibi ihmaller, borca aykırı davranış teşkil eder. TBK m. 112 hükmü gereğince borçlu, kendisine hiçbir kusurun yüklenemeyeceğini ispat etmedikçe doğan zararı gidermekle yükümlüdür. Sözleşme sorumluluğunda alacaklı lehine bir kusur karinesi benimsenmiştir. Bu sebeple veri güvenliği ihlal edilen bulut kullanıcısı kusuru ispatla yükümlü tutulmaz; aksine servis sağlayıcı, gerekli tüm teknik ve idari tedbirleri aldığını, basiretli bir iş adamı gibi hareket ettiğini ve zararın doğmasında hiçbir kusuru bulunmadığını kanıtlamak zorundadır. Aksi takdirde, hafif kusuru da dâhil olmak üzere, ihlalden doğan zararları tazmin etmekten kurtulamaz.

İlliyet Bağının Kesilmesi ve Sorumluluktan Kurtuluş

Sorumluluğun doğması için aranan en temel şartlardan biri, sözleşmeye aykırı eylem ile ortaya çıkan zarar arasında uygun illiyet bağının bulunmasıdır. Meydana gelen veri ihlali, hayatın olağan akışına göre söz konusu zararı doğurmaya elverişli değilse veya bu bağ araya giren başka yoğun sebeplerle kesilmişse servis sağlayıcının sorumluluğuna gidilemez. İlliyet bağını kesen ve servis sağlayıcıyı sorumluluktan kurtaran sebepler; mücbir sebep, zarar görenin kusuru ve üçüncü kişinin ağır kusuru olarak sıralanmaktadır. Örneğin; verilerin bulunduğu fiziksel veri merkezinin öngörülemeyen bir doğal afet sonucu yıkılması durumunda illiyet bağı mücbir sebeple kesilir. Aynı şekilde, bulut müşterisinin hesap erişim şifrelerini güvenlik kurallarına aykırı şekilde üçüncü kişilerle paylaşması veya yetkisiz olduğunu bildiği kişilere sisteme giriş imkânı tanıması durumunda, kullanıcının ağır kusuru nedeniyle servis sağlayıcının sorumluluğu ortadan kalkabilecektir.

Yardımcı Kişilerin Fiillerinden Doğan Sorumluluk

Bulut bilişim hizmetleri, genellikle servis sağlayıcının doğrudan kendi personeli dışında bulut aracıları, alt yükleniciler, taşıyıcılar veya denetçiler gibi yardımcı kişiler aracılığıyla da sunulmaktadır. TBK m. 116 hükmü uyarınca borçlu, borcun ifasını kanuna uygun şekilde yardımcılarına bırakmış olsa dahi, onların işi yürüttükleri sırada diğer tarafa verdikleri zararı gidermekle yükümlüdür. Dolayısıyla servis sağlayıcının, alt servis sağlayıcılarının veya sistem bakımı yapan teknik personelin veri güvenliğini ihlal eden eylemleri, doğrudan servis sağlayıcının sözleşme sorumluluğunu doğuracaktır. Yardımcı kişinin fiilinden doğan sorumlulukta, servis sağlayıcı ile yardımcı kişi arasında bir bağımlılık ilişkisinin bulunması zorunlu değildir. Servis sağlayıcı ancak, ilgili işi bizzat kendisi yapmış olsaydı dahi kendisine hiçbir kusur atfedilemeyeceğini ispatlayarak bu sorumluluktan kurtulabilir; aksi halde kullanıcıların uğradığı veri sızıntısı veya kayıp zararlarından tam olarak sorumlu tutulacaktır.

Veri İhlali Sonucu Meydana Gelen Zarar Türleri

Sözleşmeye aykırılık nedeniyle kullanıcının uğrayabileceği zararlar maddi ve manevi olmak üzere iki farklı boyutta değerlendirilir. Maddi zarar, kullanıcının malvarlığında iradesi dışında meydana gelen azalmayı ifade ederken; manevi zarar, şahıs varlığında ve ticari itibarında ortaya çıkan ihlalleri kapsar. Sözleşmeye aykırılıktan doğan zararlar bakımından talep edilebilecek zarar türleri şunlardır:

  • Fiili Zarar: Kullanıcının malvarlığının aktifindeki doğrudan azalma veya pasifindeki artıştır.
  • Yoksun Kalınan Kâr: Sözleşme ihlal edilmeseydi kullanıcının malvarlığında beklenen kesin artışın engellenmesidir.
  • Manevi Zarar: Veri ihlali sonrası gerçek veya tüzel kişilerin ticari itibarı ve pazar saygınlığının zedelenmesi sonucunda talep edilebilen tazminat kalemidir.

Bu bağlamda zarar gören kullanıcı, veri ihlali ile zarar arasındaki bağlantıyı ispatlamak koşuluyla, müspet zarar niteliğindeki tüm bu olumsuzlukların giderilmesini servis sağlayıcıdan mahkeme yoluyla talep etme hakkına sahiptir.

4 dk okuma Yayınlanma: Güncelleme: