Anasayfa/ Makale/ Bulutta Kişisel Veri Yönetimi ve Hukuki Sorumluluklar

Bulutta Kişisel Veri Yönetimi ve Hukuki Sorumluluklar

Bulut bilişim teknolojilerinde kişisel verilerin işlenmesi, veri sorumlusu ve veri işleyen kavramları bağlamında karmaşık hukuki yükümlülükler doğurur. Bu makale, bulut sistemlerindeki kişisel veri türlerini, şifreleme ve anonimleştirme uygulamalarını KVKK ve GDPR ekseninde inceleyerek hukuki statüleri ve sorumlulukları detaylandırmaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Günümüzde hızla gelişen teknoloji ve dijital dönüşüm süreçleri, işletmelerin verilerini geleneksel yöntemler yerine bulut bilişim sistemleri üzerinde yönetmelerini zorunlu kılmıştır. Ancak bu esnek ve ölçeklenebilir altyapı, hukuki açıdan kişisel verilerin korunması bakımından çeşitli yükümlülükleri ve uyum gerekliliklerini beraberinde getirmektedir. Avrupa Birliği'nin kabul ettiği GDPR ve iç hukukumuzdaki KVKK düzenlemeleri, bireylere ait kimliği belirli veya belirlenebilir her türlü bilgiyi sıkı bir koruma şemsiyesi altına almaktadır. İşletmelerin faaliyetlerini yasal zeminde güvenle sürdürebilmeleri için bulut ortamına aktarılan bilgilerin kişisel veri, özel nitelikli kişisel veri, anonim veri veya takma adlı veri gibi spesifik kategorilerden hangisine girdiğini doğru tespit etmeleri şarttır. Verilerin niteliğine göre şekillenen bu süreç, veri sorumlularının ve veri işleyen konumundaki bulut hizmet sağlayıcıların hak ve yükümlülüklerinin sınırlarını kesin hatlarla çizmektedir.

Bulut Sistemlerinde Kişisel Veri Kategorileri ve Hukuki Statüleri

Bulut bilişim mimarisinde saklanan bilgilerin hukuki statüsü, verinin üçüncü kişiler tarafından şifrelenme, anonimleştirme veya parçalara ayrılma durumlarına göre değişiklik gösterir. Hukuki tanımıyla kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilen her türlü bilgiyi ifade ederken; özel nitelikli kişisel veri kategorisi ırk, etnik köken, sağlık, biyometrik ve genetik verileri kapsar ve işlenmesi kural olarak yasaklanmış daha dar ve korunaklı bir alanı oluşturur. Bulut sistemine yüklenen verilerin anonim hale getirilmesi, verinin başka hiçbir bilgiyle eşleştirilerek dahi kimliği belirli bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesi işlemidir. Başarılı bir anonimleştirme işlemi sonrasında ilgili veriler, kanunun uygulama kapsamının dışına çıkmakta ve serbestçe işlenebilmektedir. Ancak veri sorumluları tarafından sıklıkla anonimleştirme ile karıştırılan takma ad verme süreci, ek bilgiler kullanılarak verinin yeniden bir gerçek kişiyle eşleştirilebilmesine imkan tanıdığından, takma adlı veriler hala kişisel veri niteliğini korur ve kanuni düzenlemelere tabi olmaya devam eder.

Bulut servislerinde verilerin korunması amacıyla en çok tercih edilen yöntemlerden biri de verilerin şifrelenmesidir. Verilerin bulut sistemine aktarılmadan önce kullanıcı tarafından şifrelenmiş kişisel veri formuna getirilmesi ve deşifre edecek ikincil anahtarın yalnızca kullanıcıda bulunması durumunda, bu bilgiler bulut servis sağlayıcısı açısından kişisel veri niteliği taşımaz. Zira hizmet sağlayıcının söz konusu içeriklere erişme ve anlamlandırma imkanı hukuken veya fiilen kalmamaktadır. Öte yandan, şifreleme işlemi bulut hizmet sağlayıcısı tarafından gerçekleştiriliyorsa veya ikincil anahtar sağlayıcıyla paylaşılıyorsa, bu veriler sağlayıcı bakımından kişisel veri vasfını sürdürecektir. Benzer şekilde, bulut altyapısının bir özelliği olan parçalara ayrılmış kişisel veri uygulaması, verilerin farklı sunucularda dağınık tutulmasını sağlasa dahi, bulut hizmet sağlayıcısının bu parçaları bir araya getirerek anlamlı bir bütün oluşturma yetkisi bulunuyorsa, parçalanmış verilerin de kanun kapsamında kişisel veri olarak değerlendirilmesi zorunludur.

Veri Sorumlusu ve Veri İşleyen Sıfatlarının Tespit Edilmesi

Verilerin bulutta işlenmesi söz konusu olduğunda, ortaya çıkan uyuşmazlıkların çözümünde aktörlerin veri sorumlusu veya veri işleyen statülerinin doğru tespit edilmesi kritik önem taşımaktadır. Kanuni tanımı itibarıyla veri sorumlusu, kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kurumsal bir şirket, müşterilerinin veya çalışanlarının verilerini bulut ortamına aktardığında ve bu işlemler üzerinde karar verme yetkisine sahip olduğunda tartışmasız şekilde veri sorumlusu sıfatını üstlenmektedir. Şirketler, işleme faaliyetinin teknik süreçlerini veya saklama yükümlülüklerini dışarıdan destek alarak farklı sağlayıcılara devretmiş olsalar dahi, veriler üzerindeki asıl kontrol mekanizması kendilerinde kalacağı için yasal yükümlülüklerden kurtulamazlar. Dolayısıyla veri işleme faaliyeti tüzel kişilik çatısı altında yürütülüyorsa, hukuki sorumluluk doğrudan doğruya tüzel kişinin kendisine aittir.

Bulut bilişim süreçlerinde hukuki rollerin doğru tayini için aşağıdaki ayrım dikkate alınmalıdır:

  • Veri Sorumlusu: Bulut hizmetini ticari veya kurumsal amaçlarla satın alarak, verilerin işlenme nedenlerini tayin eden işletmelerdir.
  • Veri İşleyen: Veri sorumlusunun talimatları sınırlarında, bulut sunucularında barındırma ve yedekleme gibi teknik faaliyetleri yürüten servis sağlayıcılarıdır.
  • Alt Veri İşleyen: Bulut servis sağlayıcısının kendi hizmetini sunabilmek için altyapı kiraladığı ve kısıtlı erişimi olan ikincil sağlayıcılardır.

Bulut Hizmet Sağlayıcıların Hukuki Sorumlulukları

Bir tüzel kişinin kendi adına veri işlemesi için yetkilendirdiği bulut bilişim şirketleri, uygulamada genellikle veri işleyen sıfatına haizdir. Veri işleyen, yalnızca veri sorumlusunun kendisine verdiği yetki, emir ve talimatlar doğrultusunda hareket eden, veri üzerinde kendi başına amaç belirleme hakkı bulunmayan konumdadır. Ancak, gerçek kişilerin kendi şahsi kullanımları için bulut hizmetlerine veri yüklemesi senaryosunda, bulut hizmet sağlayıcısının bu verileri kendi ticari gayeleri doğrultusunda kullanabilmesi nedeniyle doğrudan veri sorumlusu statüsüne geçmesi de mümkündür. Ayrıca, platform veya altyapı hizmeti sunan alt sağlayıcılar da sisteme dahil olduğunda, uyuşmazlığın çözümünde hukuki yapı karmaşıklaşabilmektedir. Bulut sistemlerinde bu karmaşık mimari sebebiyle aktörlerin hukuki rollerinin açıkça ayrıştırılması, özellikle veri ihlali bildirimleri ve kanuni uyum gibi yükümlülüklerde yaşanacak hak kayıplarının önüne geçilmesi bakımından hayati bir gerekliliktir.

Müşteri verilerimi buluta kaydediyorum, çalınırsa suçlu ben miyim? expand_more
Bulut bilişim sistemlerini kullanarak kurumsal veya ticari amaçlarla müşterilerinizin verilerini sakladığınızda, hukuken "veri sorumlusu" sıfatını kazanırsınız. Verilerin işlenme amaçlarını ve yöntemlerini belirleyen asıl taraf siz olduğunuz için, teknik altyapıyı dışarıdan bir servis sağlayıcıya devretseniz bile hukuki sorumluluk doğrudan doğruya şirketinize aittir. Bu nedenle, bulut ortamında yaşanabilecek olası bir veri ihlalinde yasal yükümlülüklerden kurtulamazsınız. Hizmet aldığınız bulut şirketi ise kural olarak yalnızca sizin talimatlarınız sınırlarında hareket eden "veri işleyen" konumundadır.
Dosyalarımı şifreleyip buluta yüklesem şirket bundan sorumlu olur mu? expand_more
Eğer verilerinizi bulut sistemine aktarmadan önce şahsen şifrelerseniz ve bu şifreyi çözecek olan ikincil anahtarı sadece kendi elinizde tutarsanız, bu bilgiler bulut şirketi açısından kişisel veri sayılmaz. Zira hizmet sağlayıcının söz konusu içeriklere erişme ve onları anlamlandırma imkânı fiilen ve hukuken ortadan kalkmış olur. Ancak şifreleme işlemi doğrudan bulut şirketi tarafından yapılıyorsa veya şifre anahtarını onlarla paylaşıyorsanız, bu veriler sağlayıcı bakımından kişisel veri vasfını sürdürecektir. Bu senaryoda şirket yasal yükümlülüklere tabi olmaya devam eder.
Şahsi verilerimi bulut şirketi kendi çıkarına kullanabilir mi? expand_more
Bireylerin kendi şahsi kullanımları için bulut sistemlerine yüklediği veriler söz konusu olduğunda, şirketler normal şartlarda sadece altyapı hizmeti sunan "veri işleyen" statüsündedir. Fakat bulut hizmet sağlayıcısı, kendi ticari gayeleri doğrultusunda bu verileri kullanmaya başlarsa doğrudan "veri sorumlusu" konumuna geçer. Bu statüye geçtikleri anda Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki tüm sıkı yükümlülüklerin muhatabı olurlar. Hak kayıplarının önüne geçilmesi için bu hukuki rol değişiminin doğru tespit edilmesi kritik bir öneme sahiptir.
Müşteri adları yerine takma ad kullansam KVKK'dan kurtulur muyum? expand_more
Müşterilerinize takma ad vermeniz, verilerin hukuken "anonim hale getirilmesi" işlemiyle sıklıkla karıştırılan bir durumdur ve sizi yasal sorumluluktan kurtarmaz. Kanuna göre başarılı bir anonimleştirme işlemi, verinin hiçbir bilgiyle eşleştirilerek dahi kimliği belirli bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesidir; ancak bu şekilde veriler kanunun kapsamı dışına çıkar. Takma ad verme sürecinde ise ek bilgiler kullanılarak verinin yeniden bir kişiyle eşleştirilebilmesi imkânı bulunmaktadır. Bu sebeple bulut sisteminde tuttuğunuz takma adlı veriler halen kişisel veri niteliğini korur ve kanuni düzenlemelere tabi olmaya devam eder.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir