Makale
Bulut bilişim sözleşmeleri, servis sağlayıcı ve kullanıcıya karşılıklı yükümlülükler getiren, özellikle veri güvenliği ve kişisel verilerin korunması (KVKK, GDPR) hususlarında kritik sorumluluklar barındıran hukuki ilişkilerdir. Bu makalede tarafların yasal borçları ve veri korumaya dair alması gereken önlemler hukuki perspektifle incelenmiştir.
Bulut Sözleşmelerinde Tarafların Borçları ve Veri Koruma
Bulut bilişim teknolojisinin sunduğu esnek, mekandan bağımsız ve ekonomik altyapı çözümleri, günümüzde işletmeler ve bireyler için vazgeçilmez bir bilişim hizmeti haline gelmiştir. Geleneksel yazılım ve donanım satın alma modelinin aksine “kullandığın kadar öde” prensibine dayanan bulut bilişim hizmetleri, kullanıcılar ile bulut servis sağlayıcıları arasında karmaşık ve sürekli bir hukuki ilişki yaratmaktadır. Bu sözleşmesel ilişki kapsamında tarafların üstlendiği borçlar, hukuki uyuşmazlıkların önlenmesi ve veri güvenliğinin tesis edilmesi açısından büyük bir önem taşımaktadır. Özellikle şirketlerin ve bireylerin hassas nitelikteki ticari sırları ile kişisel verilerini bulut platformlarına aktarmaları, kişisel verilerin korunması hususunu bulut bilişim sözleşmelerinin en kritik unsuru haline getirmiştir. Bir bilişim hukuku avukatı gözüyle değerlendirildiğinde, bu sözleşmelerde bulut servis sağlayıcısının donanım ve altyapı sağlama, verileri işleme ve güvenliği tesis etme borçları ön plana çıkarken; kullanıcının ise hizmetleri hukuka uygun kullanma, hesap güvenliğini sağlama ve bedel ödeme borçları söz konusu olmaktadır.
Bulut Servis Sağlayıcısının Temel Borçları
Bir bulut bilişim sözleşmesinde bulut servis sağlayıcısının asli yükümlülükleri, kullanıcının ihtiyaç duyduğu bilişim teknolojileri kaynaklarını sürekli ve kesintisiz olarak erişime sunmaktır. Servis sağlayıcı, kullanıcıların talepleri doğrultusunda verilerin sanallaştırılarak işlenmesi ve aktarılması borcunu üstlenmektedir. Sanallaştırma işlemi sayesinde fiziksel bilgisayarların yerini yazılım uygulamaları almakta, böylece kaynak havuzundan ihtiyaç oranında hizmet sağlanmaktadır. Bununla birlikte, servis sağlayıcının yalnızca bir altyapı sunması yeterli değildir; aynı zamanda sunulan bu donanım ve uygulamaların periyodik bakımlarını yapmak, sistem arızalarına karşı kurtarma planları (felaket kurtarma) oluşturmak ve teknik aksaklıkları derhal gidermekle yükümlüdür. İşletmelerin faaliyetlerini durdurabilecek nitelikteki donanım arızalarına karşı verilerin düzenli olarak yedeklenmesi, bulut servis sağlayıcısının ifa etmek zorunda olduğu bir diğer kritik sözleşmesel borçtur. Servis sağlayıcı, taahhüt ettiği performans kriterlerini (hizmet kalitesini) sağlamak ve sistem yanıt sürelerini sözleşmede belirlenen asgari standartlarda tutmak zorundadır.
Kullanıcının Sözleşmesel Yükümlülükleri
Bulut bilişim sözleşmelerinde kullanıcılar da sistemin sağlıklı bir şekilde işlemesi ve hukuki ihlallerin önlenmesi adına çeşitli borçlar altına girmektedir. İlk olarak, kullanıcıların hizmetleri hukuka ve kurallara uygun kullanma borcu bulunmaktadır. Kullanıcıların bulut platformları üzerinden gerçekleştirebilecekleri hizmet reddi saldırıları (DDoS) veya spam mail gönderimi gibi hukuka aykırı fiiller, sözleşmenin servis sağlayıcı tarafından haklı nedenle derhal feshedilmesine yol açabilir. Nitekim 5651 sayılı Kanun uyarınca hukuka aykırı içerikten bizzat eylemi gerçekleştiren kullanıcı sorumludur. İkinci temel yükümlülük ise hesap bilgilerinin ve şifrelerin korunmasıdır. Kullanıcılar, üçüncü kişilerin kolaylıkla kırabileceği şifreler seçmemek ve yetkisiz erişimleri engellemek için kendi taraflarındaki veri güvenliği önlemlerini almakla mükelleftir. Bunların yanı sıra, çoğu bulut sözleşmesi “kullandığın kadar öde” ilkesine dayandığından, kullanıcının alınan hizmetin kapasitesine, depolama hacmine ve süresine göre tahakkuk eden hizmet bedelini zamanında ödeme borcu bulunmaktadır. Ücretsiz sunulan hizmetlerde ise kullanıcılar genellikle kişisel verilerinin anonimleştirilerek gelir amaçlı kullanılmasına onay verme borcu altına girmektedir.
Bulut Bilişimde Veri Güvenliğinin Sağlanması
Bulut bilişim servislerinin doğası gereği veriler, kullanıcının kendi fiziksel sunucularından çıkarak dünyanın farklı yerlerindeki veri merkezlerinde (data center) depolanmaktadır. Bu durum, verilerin yetkisiz kişilerin erişimine, ifşasına veya kaybolmasına karşı korunmasını zorunlu kılmaktadır. Bulut servis sağlayıcıları, veri güvenliğini sağlamak amacıyla kullanıcı verilerini diğer kullanıcıların verilerinden ayırmak için veri izolasyonu yöntemlerini kullanmak zorundadır. Ayrıca aktarım ve depolama aşamalarında verilerin okunamaz hale getirilmesini sağlayan kriptolama (veri şifreleme) ile verilerin parçalanması (fragmentation) gibi gelişmiş teknik güvenlik tedbirlerinin alınması gerekmektedir. Hukuki bir zorunluluk olarak servis sağlayıcıların, bilgi güvenliği yönetim sistemlerini (ISMS) kurmaları ve hizmet kalitelerini kanıtlamak için ISO 27001 veya Cloud Controls Matrix (CCM) gibi uluslararası güvenlik sertifikasyonlarına sahip olmaları önem taşımaktadır. Olası bir siber saldırı veya veri kaybı ihlali durumunda, servis sağlayıcının idari yaptırımlarla ve ağır tazminat yükümlülükleriyle karşı karşıya kalmaması için sözleşmede belirtilen veya kanunların emrettiği tüm teknik ve idari tedbirleri eksiksiz bir şekilde yerine getirmesi esastır.
Kişisel Verilerin Korunması: KVKK ve GDPR Çerçevesi
Bulut sistemlerine aktarılan verilerin kişisel veri niteliği taşıması halinde, hukuki sorumlulukların boyutu ciddi oranda değişmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) uyarınca, bulut platformlarında işlenen kimliği belirli veya belirlenebilir kişilere ait bilgilerin korunması özel bir rejimle düzenlenmiştir.
- Kullanıcının Açık Rızası ve Aydınlatma Yükümlülüğü: Kişisel veriler, kanundaki istisnai haller dışında ancak veri sahibinin açık rızası ile işlenebilir ve bulut servis sağlayıcısı aydınlatma yükümlülüğünü yerine getirmelidir.
- Yurtdışına Veri Aktarımı (Transferi): Bulut sunucularının yurt dışında bulunması halinde verilerin aktarımı için özel prosedürler, KVKK izinleri ve yeterli koruma güvenceleri sağlanmalıdır.
- Veri İhlali Bildirimleri: Olası bir veri sızıntısında (örneğin izinsiz erişim durumunda), bulut servis sağlayıcıların ilgili otoritelere ve veri sahiplerine en kısa sürede bildirim yapma zorunluluğu bulunmaktadır.
- Verilerin Silinmesi ve Anonimleştirilmesi: Sözleşme ilişkisi veya veri işleme amacı sona erdiğinde, kişisel veriler re'sen veya talep üzerine silinmeli, yok edilmeli veya kimlikle ilişkilendirilemeyecek şekilde anonim/sidonim (takma ad) hale getirilmelidir.