Makale

Günümüzde hızla gelişen teknoloji ve dijital dönüşüm süreçleri, işletmelerin verilerini geleneksel yöntemler yerine bulut bilişim sistemleri üzerinde yönetmelerini zorunlu kılmıştır. Ancak bu esnek ve ölçeklenebilir altyapı, hukuki açıdan kişisel verilerin korunması bakımından çeşitli yükümlülükleri ve uyum gerekliliklerini beraberinde getirmektedir. Avrupa Birliği'nin kabul ettiği GDPR ve iç hukukumuzdaki KVKK düzenlemeleri, bireylere ait kimliği belirli veya belirlenebilir her türlü bilgiyi sıkı bir koruma şemsiyesi altına almaktadır. İşletmelerin faaliyetlerini yasal zeminde güvenle sürdürebilmeleri için bulut ortamına aktarılan bilgilerin kişisel veri, özel nitelikli kişisel veri, anonim veri veya takma adlı veri gibi spesifik kategorilerden hangisine girdiğini doğru tespit etmeleri şarttır. Verilerin niteliğine göre şekillenen bu süreç, veri sorumlularının ve veri işleyen konumundaki bulut hizmet sağlayıcıların hak ve yükümlülüklerinin sınırlarını kesin hatlarla çizmektedir.

Bulut Sistemlerinde Kişisel Veri Kategorileri ve Hukuki Statüleri

Bulut bilişim mimarisinde saklanan bilgilerin hukuki statüsü, verinin üçüncü kişiler tarafından şifrelenme, anonimleştirme veya parçalara ayrılma durumlarına göre değişiklik gösterir. Hukuki tanımıyla kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilen her türlü bilgiyi ifade ederken; özel nitelikli kişisel veri kategorisi ırk, etnik köken, sağlık, biyometrik ve genetik verileri kapsar ve işlenmesi kural olarak yasaklanmış daha dar ve korunaklı bir alanı oluşturur. Bulut sistemine yüklenen verilerin anonim hale getirilmesi, verinin başka hiçbir bilgiyle eşleştirilerek dahi kimliği belirli bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesi işlemidir. Başarılı bir anonimleştirme işlemi sonrasında ilgili veriler, kanunun uygulama kapsamının dışına çıkmakta ve serbestçe işlenebilmektedir. Ancak veri sorumluları tarafından sıklıkla anonimleştirme ile karıştırılan takma ad verme süreci, ek bilgiler kullanılarak verinin yeniden bir gerçek kişiyle eşleştirilebilmesine imkan tanıdığından, takma adlı veriler hala kişisel veri niteliğini korur ve kanuni düzenlemelere tabi olmaya devam eder.

Bulut servislerinde verilerin korunması amacıyla en çok tercih edilen yöntemlerden biri de verilerin şifrelenmesidir. Verilerin bulut sistemine aktarılmadan önce kullanıcı tarafından şifrelenmiş kişisel veri formuna getirilmesi ve deşifre edecek ikincil anahtarın yalnızca kullanıcıda bulunması durumunda, bu bilgiler bulut servis sağlayıcısı açısından kişisel veri niteliği taşımaz. Zira hizmet sağlayıcının söz konusu içeriklere erişme ve anlamlandırma imkanı hukuken veya fiilen kalmamaktadır. Öte yandan, şifreleme işlemi bulut hizmet sağlayıcısı tarafından gerçekleştiriliyorsa veya ikincil anahtar sağlayıcıyla paylaşılıyorsa, bu veriler sağlayıcı bakımından kişisel veri vasfını sürdürecektir. Benzer şekilde, bulut altyapısının bir özelliği olan parçalara ayrılmış kişisel veri uygulaması, verilerin farklı sunucularda dağınık tutulmasını sağlasa dahi, bulut hizmet sağlayıcısının bu parçaları bir araya getirerek anlamlı bir bütün oluşturma yetkisi bulunuyorsa, parçalanmış verilerin de kanun kapsamında kişisel veri olarak değerlendirilmesi zorunludur.

Veri Sorumlusu ve Veri İşleyen Sıfatlarının Tespit Edilmesi

Verilerin bulutta işlenmesi söz konusu olduğunda, ortaya çıkan uyuşmazlıkların çözümünde aktörlerin veri sorumlusu veya veri işleyen statülerinin doğru tespit edilmesi kritik önem taşımaktadır. Kanuni tanımı itibarıyla veri sorumlusu, kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kurumsal bir şirket, müşterilerinin veya çalışanlarının verilerini bulut ortamına aktardığında ve bu işlemler üzerinde karar verme yetkisine sahip olduğunda tartışmasız şekilde veri sorumlusu sıfatını üstlenmektedir. Şirketler, işleme faaliyetinin teknik süreçlerini veya saklama yükümlülüklerini dışarıdan destek alarak farklı sağlayıcılara devretmiş olsalar dahi, veriler üzerindeki asıl kontrol mekanizması kendilerinde kalacağı için yasal yükümlülüklerden kurtulamazlar. Dolayısıyla veri işleme faaliyeti tüzel kişilik çatısı altında yürütülüyorsa, hukuki sorumluluk doğrudan doğruya tüzel kişinin kendisine aittir.

Bulut bilişim süreçlerinde hukuki rollerin doğru tayini için aşağıdaki ayrım dikkate alınmalıdır:

• Veri Sorumlusu: Bulut hizmetini ticari veya kurumsal amaçlarla satın alarak, verilerin işlenme nedenlerini tayin eden işletmelerdir.
• Veri İşleyen: Veri sorumlusunun talimatları sınırlarında, bulut sunucularında barındırma ve yedekleme gibi teknik faaliyetleri yürüten servis sağlayıcılarıdır.
• Alt Veri İşleyen: Bulut servis sağlayıcısının kendi hizmetini sunabilmek için altyapı kiraladığı ve kısıtlı erişimi olan ikincil sağlayıcılardır.

Bulut Hizmet Sağlayıcıların Hukuki Sorumlulukları

Bir tüzel kişinin kendi adına veri işlemesi için yetkilendirdiği bulut bilişim şirketleri, uygulamada genellikle veri işleyen sıfatına haizdir. Veri işleyen, yalnızca veri sorumlusunun kendisine verdiği yetki, emir ve talimatlar doğrultusunda hareket eden, veri üzerinde kendi başına amaç belirleme hakkı bulunmayan konumdadır. Ancak, gerçek kişilerin kendi şahsi kullanımları için bulut hizmetlerine veri yüklemesi senaryosunda, bulut hizmet sağlayıcısının bu verileri kendi ticari gayeleri doğrultusunda kullanabilmesi nedeniyle doğrudan veri sorumlusu statüsüne geçmesi de mümkündür. Ayrıca, platform veya altyapı hizmeti sunan alt sağlayıcılar da sisteme dahil olduğunda, uyuşmazlığın çözümünde hukuki yapı karmaşıklaşabilmektedir. Bulut sistemlerinde bu karmaşık mimari sebebiyle aktörlerin hukuki rollerinin açıkça ayrıştırılması, özellikle veri ihlali bildirimleri ve kanuni uyum gibi yükümlülüklerde yaşanacak hak kayıplarının önüne geçilmesi bakımından hayati bir gerekliliktir.