Bulut Bilişimde Veri Mahremiyeti ve SLA Hukuku

5 dk okuma Yayınlanma: 28.01.2025 Güncelleme: 02.06.2026

AÇIK RIZA KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

Bilişim teknolojilerinin hızla gelişmesiyle birlikte işletmeler ve bireyler, verilerini geleneksel kapalı ağlardan çıkararak bulut bilişim ortamlarına taşımaya başlamıştır. Bu durum, bilgiye mekandan bağımsız erişim sağlarken, aynı zamanda veri mahremiyeti ve taraflar arasındaki hukuki ilişkileri düzenleyen hizmet seviyesi anlaşmaları (SLA) konusunda yeni hukuki zeminler oluşturmuştur. Bir bilişim hukuku avukatı olarak değerlendirdiğimizde, bulut mimarisinde verilerin dünyanın farklı lokasyonlarındaki sunucularda eş zamanlı olarak tutulabilmesi, verinin mülkiyeti ve güvenliği konularında belirsizliklere yol açmaktadır. Özellikle çok sayıda kullanıcının aynı fiziksel kaynağı paylaştığı genel bulut modellerinde, kişisel verilerin korunması sadece teknik bir gereklilik değil, aynı zamanda anayasal bir haktır. Bu noktada, veri sahiplerinin haklarını güvence altına almak ve hizmet sağlayıcıların sorumluluklarını netleştirmek için kapsamlı ve bağlayıcı hukuki metinlere ihtiyaç duyulmaktadır. Hukuk uygulamaları bağlamında, işletmelerin sadece maliyet odaklı düşünmemesi, aynı zamanda verilerin nerede barındırıldığına ve olası ihlallerde hangi hukukun uygulanacağına dikkat etmesi elzemdir.

Veri Mahremiyeti ve Yasal Düzenlemeler

Bulut platformlarında barındırılan verilerin gizliliği, ülkemizde 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile güvence altına alınmıştır. Önceleri Anayasa'nın 20. maddesi ve Türk Ceza Kanunu'nun ilgili maddeleri ile sağlanan koruma, yetersiz kaldığı için bu kanun yürürlüğe girmiştir. Bulut mimarisinde kişisel verilerin işlenmesi; hukuka ve dürüstlük kurallarına uygun olma gibi temel ilkelere tabidir. Bir ihlal yaşanmaması adına, sağlık ve cinsel hayat gibi özel nitelikli kişisel veriler söz konusu olduğunda, verinin sahibinden açık rıza alınması kanunla zorunlu kılınmıştır. Ayrıca, verilerin tutulduğu veri merkezleri genellikle yurt dışında bulunduğundan, kişisel verilerin yurt dışına aktarılması kuralları da devreye girmektedir. İlgili kanun kapsamında, verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması şartı aranmakta olup, aksi takdirde ciddi hukuki yaptırımlar doğabilmektedir. Hukuki güvence açısından veri sorumlusunun aydınlatma yükümlülüğünü eksiksiz yerine getirmesi gerekmektedir.

SLA (Hizmet Seviyesi Anlaşması) ve Hukuki Boyutu

Bulut bilişim hizmetlerinin sürdürülebilirliği ve tarafların sorumluluk sınırlarının belirlenmesi açısından hizmet seviyesi anlaşması (SLA) kritik bir hukuki öneme sahiptir. Bu anlaşmalar, elektrik veya su hizmeti gibi bilişim hizmetinin de kullanıcılara kesintisiz sunulmasını taahhüt altına almayı amaçlar. Ancak uygulamada, birçok küresel bulut hizmet sağlayıcısı, veri kaybı veya hizmet kesintisi durumlarında sorumluluk almaktan kaçınan, ihtilaflarda yabancı ülke mahkemelerini yetkili kılan standart sözleşmeler sunmaktadır. İşletmelerin mağduriyet yaşamaması için, yapılacak SLA metinlerinde erişilebilirlik oranları, veri yedekleme süreçleri, kesinti halinde uygulanacak cezai şartlar ve olası bir uyuşmazlıkta uygulanacak hukuk kuralları gibi hususların net bir şekilde düzenlenmesi şarttır. Sözleşmelerde genellikle hizmet sağlayıcı lehine yer alan maddeler, hukuki ihtilaflarda hizmet alan kurumu korumasız bırakabilmektedir. Bu nedenle, sözleşme aşamasında hukuki danışmanlık alınarak teknik standartların ve gizlilik bildirimlerinin sözleşme metnine doğru yansıtılması telafisi imkansız zararları önleyecektir.

Kişisel Verilerin İşlenme İlkeleri

Bulut hizmeti alırken verilerin hukuka uygun bir şekilde yönetilebilmesi için uyulması gereken belirli standartlar mevcuttur. Kanun uyarınca, bulut ortamında veri işleme faaliyetleri gerçekleştirilirken uyulması zorunlu olan temel ilkeler şunlardır:

Hukuka ve dürüstlük kurallarına uygun hareket edilmesi.
Verilerin doğru ve gerektiğinde güncel tutulması.
Belirli, açık ve yasal amaçlar doğrultusunda işlenmesi.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde kullanılması.
İlgili yasal mevzuatta öngörülen süre kadar muhafaza edilmesi.

Bu ilkeler, sadece yerel sunucularda değil, dağıtık ve sanallaştırılmış bulut mimarisi üzerinde tutulan tüm veriler için de aynen geçerlidir. Hizmet sağlayıcıların bu ilkelere uyum sağlayacak idari tedbirleri alması, aksi halde oluşabilecek veri sızıntılarında ihlallerle karşı karşıya kalınması kaçınılmazdır. Veri denetiminin etkin yapılabilmesi için yetkili üçüncü taraf denetleyiciler tarafından süreçlerin izlenmesi de hukuki güvenliği artıracaktır.

Şirket verilerimizi yabancı bir bulut servisine koysak ceza yer miyiz? expand_more

Şirket verilerinizi bulut ortamına taşırken sunucuların fiziksel olarak nerede bulunduğuna mutlaka dikkat etmeniz gerekmektedir. Ülkemizde Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, yabancı bulut servislerinin veri merkezleri genellikle yurt dışında olduğu için yurt dışına veri aktarımı kuralları devreye girmektedir. Verilerin aktarılacağı yabancı ülkede yeterli hukuki korumanın bulunması şartı aranmaktadır. Aksi takdirde, kanuna uygun hareket edilmeden gerçekleştirilen aktarımlar neticesinde şirketiniz açısından ciddi hukuki yaptırımlar doğabilmektedir.

Bulut sistemi çökerse ve verilerim silinirse zararı kim karşılar? expand_more

Bu tür kayıplarda sorumluluğun kime ait olacağı, hizmet sağlayıcı ile imzaladığınız Hizmet Seviyesi Anlaşması'nın (SLA) içeriğine bağlıdır. Birçok küresel bulut firması, veri kaybı veya hizmet kesintisi durumlarında sorumluluk almaktan kaçınan standart sözleşmeler dayatmaktadır. Herhangi bir mağduriyet yaşamamanız adına; sözleşmenizde veri yedekleme süreçlerinin, kesinti hallerinde işletilecek cezai şartların ve muhtemel bir ihtilafta hangi hukukun uygulanacağının net olarak belirlenmesi şarttır. Sisteme dahil olmadan önce alınacak profesyonel bir hukuki danışmanlık, telafisi imkansız zararların önüne geçecektir.

Müşterilerin sağlık bilgilerini bulutta saklamak için ne yapmam lazım? expand_more

Müşterilerinize ait sağlık bilgileri hukuken "özel nitelikli kişisel veri" statüsünde yer almaktadır ve standart verilere nazaran çok daha yüksek bir hukuki korumaya tabidir. Bu tür verilerin bulut sistemlerinde işlenebilmesi ve barındırılabilmesi için ilgili kişiden (veri sahibinden) mutlaka "açık rıza" almanız kanunla zorunlu kılınmıştır. Buna ek olarak, hukuki güvence sağlayabilmek adına veri sorumlusu sıfatıyla aydınlatma yükümlülüğünüzü de eksiksiz şekilde yerine getirmeniz gerekmektedir. İdari tedbirlerin eksik uygulanması halinde oluşabilecek ihlaller, doğrudan yasal sorumluluğunuzu doğuracaktır.

Buluttaki müşteri verilerini istediğim kadar uzun süre tutabilir miyim? expand_more

Hayır, bulut ortamında barındırılan verilerinizi dilediğiniz kadar uzun süre muhafaza etmeniz yasal olarak mümkün değildir. Kişisel verilerin dağıtık ve sanallaştırılmış bulut mimarisi üzerinde yönetilmesi, kanunun öngördüğü birtakım sıkı ilkelere tabidir. Mevzuat uyarınca; işlenen verilerin yalnızca yasal düzenlemelerde öngörülen veya işlendikleri amaçla bağlantılı, sınırlı ve gerekli olan süre kadar muhafaza edilmesi zorunludur. Veri işleme şartları ortadan kalktığında bu verilerin hukuka ve dürüstlük kurallarına uygun olarak silinmesi veya yok edilmesi gerekmektedir.

Av. Hanifi Bayrı | İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama

star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir