Anasayfa/ Makale/ Bulut Sözleşmelerinde Tarafların Borçları ve Veri Koruma

Bulut Sözleşmelerinde Tarafların Borçları ve Veri Koruma

Bulut bilişim sözleşmeleri, servis sağlayıcı ve kullanıcıya karşılıklı yükümlülükler getiren, özellikle veri güvenliği ve kişisel verilerin korunması (KVKK, GDPR) hususlarında kritik sorumluluklar barındıran hukuki ilişkilerdir. Bu makalede tarafların yasal borçları ve veri korumaya dair alması gereken önlemler hukuki perspektifle incelenmiştir.
search
6 dk okuma Yayınlanma: Güncelleme:
AYDINLATMA YÜKÜMLÜLÜĞÜ TAZMİNAT VERİ İHLALİ GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) KVKK BİLİŞİM HUKUKU

Bulut bilişim teknolojisinin sunduğu esnek, mekandan bağımsız ve ekonomik altyapı çözümleri, günümüzde işletmeler ve bireyler için vazgeçilmez bir bilişim hizmeti haline gelmiştir. Geleneksel yazılım ve donanım satın alma modelinin aksine “kullandığın kadar öde” prensibine dayanan bulut bilişim hizmetleri, kullanıcılar ile bulut servis sağlayıcıları arasında karmaşık ve sürekli bir hukuki ilişki yaratmaktadır. Bu sözleşmesel ilişki kapsamında tarafların üstlendiği borçlar, hukuki uyuşmazlıkların önlenmesi ve veri güvenliğinin tesis edilmesi açısından büyük bir önem taşımaktadır. Özellikle şirketlerin ve bireylerin hassas nitelikteki ticari sırları ile kişisel verilerini bulut platformlarına aktarmaları, kişisel verilerin korunması hususunu bulut bilişim sözleşmelerinin en kritik unsuru haline getirmiştir. Bir bilişim hukuku avukatı gözüyle değerlendirildiğinde, bu sözleşmelerde bulut servis sağlayıcısının donanım ve altyapı sağlama, verileri işleme ve güvenliği tesis etme borçları ön plana çıkarken; kullanıcının ise hizmetleri hukuka uygun kullanma, hesap güvenliğini sağlama ve bedel ödeme borçları söz konusu olmaktadır.

Bulut Servis Sağlayıcısının Temel Borçları

Bir bulut bilişim sözleşmesinde bulut servis sağlayıcısının asli yükümlülükleri, kullanıcının ihtiyaç duyduğu bilişim teknolojileri kaynaklarını sürekli ve kesintisiz olarak erişime sunmaktır. Servis sağlayıcı, kullanıcıların talepleri doğrultusunda verilerin sanallaştırılarak işlenmesi ve aktarılması borcunu üstlenmektedir. Sanallaştırma işlemi sayesinde fiziksel bilgisayarların yerini yazılım uygulamaları almakta, böylece kaynak havuzundan ihtiyaç oranında hizmet sağlanmaktadır. Bununla birlikte, servis sağlayıcının yalnızca bir altyapı sunması yeterli değildir; aynı zamanda sunulan bu donanım ve uygulamaların periyodik bakımlarını yapmak, sistem arızalarına karşı kurtarma planları (felaket kurtarma) oluşturmak ve teknik aksaklıkları derhal gidermekle yükümlüdür. İşletmelerin faaliyetlerini durdurabilecek nitelikteki donanım arızalarına karşı verilerin düzenli olarak yedeklenmesi, bulut servis sağlayıcısının ifa etmek zorunda olduğu bir diğer kritik sözleşmesel borçtur. Servis sağlayıcı, taahhüt ettiği performans kriterlerini (hizmet kalitesini) sağlamak ve sistem yanıt sürelerini sözleşmede belirlenen asgari standartlarda tutmak zorundadır.

Kullanıcının Sözleşmesel Yükümlülükleri

Bulut bilişim sözleşmelerinde kullanıcılar da sistemin sağlıklı bir şekilde işlemesi ve hukuki ihlallerin önlenmesi adına çeşitli borçlar altına girmektedir. İlk olarak, kullanıcıların hizmetleri hukuka ve kurallara uygun kullanma borcu bulunmaktadır. Kullanıcıların bulut platformları üzerinden gerçekleştirebilecekleri hizmet reddi saldırıları (DDoS) veya spam mail gönderimi gibi hukuka aykırı fiiller, sözleşmenin servis sağlayıcı tarafından haklı nedenle derhal feshedilmesine yol açabilir. Nitekim 5651 sayılı Kanun uyarınca hukuka aykırı içerikten bizzat eylemi gerçekleştiren kullanıcı sorumludur. İkinci temel yükümlülük ise hesap bilgilerinin ve şifrelerin korunmasıdır. Kullanıcılar, üçüncü kişilerin kolaylıkla kırabileceği şifreler seçmemek ve yetkisiz erişimleri engellemek için kendi taraflarındaki veri güvenliği önlemlerini almakla mükelleftir. Bunların yanı sıra, çoğu bulut sözleşmesi “kullandığın kadar öde” ilkesine dayandığından, kullanıcının alınan hizmetin kapasitesine, depolama hacmine ve süresine göre tahakkuk eden hizmet bedelini zamanında ödeme borcu bulunmaktadır. Ücretsiz sunulan hizmetlerde ise kullanıcılar genellikle kişisel verilerinin anonimleştirilerek gelir amaçlı kullanılmasına onay verme borcu altına girmektedir.

Bulut Bilişimde Veri Güvenliğinin Sağlanması

Bulut bilişim servislerinin doğası gereği veriler, kullanıcının kendi fiziksel sunucularından çıkarak dünyanın farklı yerlerindeki veri merkezlerinde (data center) depolanmaktadır. Bu durum, verilerin yetkisiz kişilerin erişimine, ifşasına veya kaybolmasına karşı korunmasını zorunlu kılmaktadır. Bulut servis sağlayıcıları, veri güvenliğini sağlamak amacıyla kullanıcı verilerini diğer kullanıcıların verilerinden ayırmak için veri izolasyonu yöntemlerini kullanmak zorundadır. Ayrıca aktarım ve depolama aşamalarında verilerin okunamaz hale getirilmesini sağlayan kriptolama (veri şifreleme) ile verilerin parçalanması (fragmentation) gibi gelişmiş teknik güvenlik tedbirlerinin alınması gerekmektedir. Hukuki bir zorunluluk olarak servis sağlayıcıların, bilgi güvenliği yönetim sistemlerini (ISMS) kurmaları ve hizmet kalitelerini kanıtlamak için ISO 27001 veya Cloud Controls Matrix (CCM) gibi uluslararası güvenlik sertifikasyonlarına sahip olmaları önem taşımaktadır. Olası bir siber saldırı veya veri kaybı ihlali durumunda, servis sağlayıcının idari yaptırımlarla ve ağır tazminat yükümlülükleriyle karşı karşıya kalmaması için sözleşmede belirtilen veya kanunların emrettiği tüm teknik ve idari tedbirleri eksiksiz bir şekilde yerine getirmesi esastır.

Kişisel Verilerin Korunması: KVKK ve GDPR Çerçevesi

Bulut sistemlerine aktarılan verilerin kişisel veri niteliği taşıması halinde, hukuki sorumlulukların boyutu ciddi oranda değişmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) uyarınca, bulut platformlarında işlenen kimliği belirli veya belirlenebilir kişilere ait bilgilerin korunması özel bir rejimle düzenlenmiştir.

  • Kullanıcının Açık Rızası ve Aydınlatma Yükümlülüğü: Kişisel veriler, kanundaki istisnai haller dışında ancak veri sahibinin açık rızası ile işlenebilir ve bulut servis sağlayıcısı aydınlatma yükümlülüğünü yerine getirmelidir.
  • Yurtdışına Veri Aktarımı (Transferi): Bulut sunucularının yurt dışında bulunması halinde verilerin aktarımı için özel prosedürler, KVKK izinleri ve yeterli koruma güvenceleri sağlanmalıdır.
  • Veri İhlali Bildirimleri: Olası bir veri sızıntısında (örneğin izinsiz erişim durumunda), bulut servis sağlayıcıların ilgili otoritelere ve veri sahiplerine en kısa sürede bildirim yapma zorunluluğu bulunmaktadır.
  • Verilerin Silinmesi ve Anonimleştirilmesi: Sözleşme ilişkisi veya veri işleme amacı sona erdiğinde, kişisel veriler re'sen veya talep üzerine silinmeli, yok edilmeli veya kimlikle ilişkilendirilemeyecek şekilde anonim/sidonim (takma ad) hale getirilmelidir.
Bulut sunucu çöktü ve şirket verilerim silindi, zararım karşılanır mı? expand_more
Bulut servis sağlayıcılarının en temel hukuki yükümlülüklerinden biri, hizmetleri kesintisiz sunmak, sistem arızalarına karşı kurtarma planları oluşturmak ve verileri düzenli olarak yedeklemektir. Eğer servis sağlayıcı taahhüt ettiği donanım bakımını veya yedekleme işlemlerini eksiksiz yapmamışsa, doğrudan sözleşmeye aykırılık söz konusu olur. Olası bir veri kaybı veya siber aksaklık durumunda, gerekli teknik ve idari tedbirleri almayan firmanın tazminat yükümlülüğü doğacaktır. Uğradığınız bu kayıp nedeniyle ilgili sağlayıcıya karşı zararlarınızın tazmini amacıyla yasal yollara başvurabilirsiniz.
Müşteri bilgilerimi yurt dışındaki bir bulut servisine yükleyebilir miyim? expand_more
Bulut platformlarında barındırılan verilerin fiziksel sunucuları genellikle dünyanın farklı yerlerindeki veri merkezlerinde (data center) bulunmaktadır. Sunucuların yurt dışında bulunması halinde kişisel verilerin dışarı aktarımı özel bir hukuki rejime tabidir. KVKK ve GDPR uyarınca, müşteri verilerini bu tarz sistemlere aktarabilmek için aydınlatma yükümlülüğünü yerine getirmeli, kişilerin açık rızasını almalı ve özel prosedürler ile yeterli koruma güvencelerini sağlamalısınız. Aksi takdirde, kanunlara aykırı şekilde yurt dışına veri aktarımı yapmış sayılır ve kurumunuz adına ağır idari yaptırımlarla karşılaşırsınız.
Bulut hesabımın şifresi çalındı ve suç işlenmiş, bundan ben mi sorumlu olurum? expand_more
Bulut bilişim sistemlerinde hesap bilgilerinin ve şifrelerin korunması doğrudan kullanıcının temel sözleşmesel yükümlülükleri arasındadır. Üçüncü kişilerin kolaylıkla ele geçirebileceği basit şifreler seçmemek ve yetkisiz erişimleri engellemek için kendi tarafınızdaki güvenlik önlemlerini almakla hukuken mükellefsiniz. Hesabınız üzerinden hizmet reddi saldırıları (DDoS) veya spam mail gönderimi gibi yasadışı işlemler yapılmışsa, bulut sağlayıcısı sözleşmenizi derhal feshedebilir. Ayrıca, 5651 sayılı Kanun uyarınca hesabınızdan gerçekleştirilen hukuka aykırı fiil ve içeriklerden dolayı işlemi gerçekleştiren kişi olarak bizzat sorumlu tutulabilirsiniz.
Ücretsiz bulut depolama kullanıyorum, kişisel bilgilerimi satabilirler mi? expand_more
Ücretsiz olarak sunulan bulut bilişim hizmetlerinde, parasal bir bedel ödemeseniz dahi sözleşme gereği farklı bir borç altına girmeniz mümkündür. Hizmet sağlayıcılar bu ücretsiz kullanım karşılığında genellikle kişisel verilerinizin gelir elde etme amacıyla kullanılmasına onay vermenizi talep etmektedir. Fakat bu işlemlerin hukuka uygun olabilmesi için KVKK kapsamında mutlaka açık rızanızın alınması ve tarafınıza aydınlatma yapılması şarttır. Gelir elde etme amacıyla yapılacak kullanımlarda verilerinizin kimliğinizle ilişkilendirilemeyecek şekilde tamamen anonimleştirilmesi veya takma ad (sidonim) kullanılarak şifrelenmesi zorunludur.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir