HUKUK GÜNLÜĞÜ

Bulut Bilişimde Kişisel Verilerin Korunması, Ab Ve Türk Mevzuatı

Hem ticari hayatın hem de bireysel hayatlarımızın çok büyük bir kısmını kaplayan bulut teknolojileri, beraberinde Büyük Veri (Big Data), Veri Analitiği, Mobilite gibi yeni olgularla beraber kişisel verilerin korunmasına ilişkin tartışmaları da getirdi.

Bulut hizmetleri hem Türkiye’de hem de dünyada en popüler teknolojilerden birisi ancak hem içerik hem de hizmetin verildiği altyapı itibariyle kişisel verilerin ve bilgi güvenliğinin korunması açısından önemli riskler taşıyor.

Oluşturulan sanal sistemler arasındaki bilgi akışı ve veri trafiğinin dışarıdan gelecek saldırılara karşı korunması, verilerin saklanma şekli ile bilgi ve bilişim güvenliği açısından alınacak gerekli önlemlerin bilişim departmanları tarafından öncelikli kriter olarak değerlendirilmesi gerekiyor. Aynı şekilde bireylerin de mobil uygulamaları kullanırken; uygulamaların kullanıcı sözleşmelerini inceleyerek onaylaması, gerekli güvenlik önlemlerini alması ve mobil cihazlarda taşınan verilerin hassasiyetine dikkat etmesi gerekiyor.

Kişisel veriler açısından değerlendirildiği zaman bulut bilişim hizmetleri, içerisinde pek çok farklı başlığı barındırıyor: verilerin saklandığı yer, verilerin işlenme koşulları ve amaçları, alt yüklenici kullanımı, açıklık ve güvenlik.

AB mevzuatında Kişisel Verilerin Korunmasına ilişkin düzenlemeler 1990’lı yıllara dayanıyor. 1995 tarihli ve 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Hakkındaki Direktif, mevzuatın temelini oluşturuyor. 95/46/EC sayılı Direktif, kişisel verilerin toplanması, amaca uygun olarak işlenmesi, güvenliğinin sağlanması, açıklık prensibi, veri transferi için ön koşullar gibi temel başlıklar altında “kişisel verileri işlenen birey”lerin haklarını düzenliyor. 2002 tarihli ve 2002/58/EC sayılı Elektronik Haberleşme Sektöründe Gizliliğin Korunması ve Kişisel Verilerin İşlenmesine ilişkin Direktif ise 95/46/EC sayılı Direktifin devamı olarak; istenmeyen iletişimin denetlenmesi, trafik ve konum verilerinin saklanması, işlenmesi gibi elektronik haberleşmeye yönelik konuları düzenliyor. Ayrıca, EC No 45/2001 sayılı Tüzük ile Kişisel Veri Koruma Otoritesi olan EDPS’nin (European Data Protection Supervisor) kuruluş ve çalışma esasları belirleniyor.

95/46/EC sayılı Direktif, “kişisel veriyi”; fiziksel, fizyolojik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özel bir veya daha fazla faktöre veya bir kimlik numarasına atıf başta olmak üzere doğrudan veya dolaylı olarak tespit edilebilen, tespit edilmiş veya tespit edilebilir gerçek kişiye ilişkin herhangi bir bilgi olarak tanımlamaktadır. Bu tanım, kendi çalışanlarının veya içinde bulundukları sektöre göre müşterilerinin kişisel ve hassas verilerini işleyen, kullanan, saklayan firmaların bulut hizmetlerini kişisel veri mevzuatına göre değerlendirmesini zorunlu kılıyor.

Bulut Hizmetleri açısından bakıldığında; kişisel verilere ilişkin sorumluluğun veri denetleyicisi (data controller) olan müşteri ile veri işleyicisi (data processor) olan bilişim firması arasında paylaşıldığı görülmektedir.

Klasik hizmet ilişkisinden farklı olarak, kişisel verilerin nerede saklanacağına, hangi alt yükleniciler tarafından işleneceğine, hangi güvenlik tedbirlerine tabi olacağına denetleyici değil, işleyici bulut bilişim firması karar vermektedir. Veriler, çoğu zaman dünyanın çeşitli yerlerindeki serverlarda saklanmakta ve yine çoğu kez birden çok serverdan geçmektedir. Bu durum, denetleyiciler ve veri özneleri (data subject) açısından, AB mevzuatında sahip oldukları hakları kullanamama sonucu doğurabileceği gibi; verilerin transfer edildiği ve saklandığı ülkelerde mevzuatın AB mevzuatına eşit koruma sağlamaması halinde bulut bilişim firmaları açısından da AB mevzuatına aykırılık nedeniyle hukuki sorumluluk doğurabilecektir.

AB Hukuku açısından bakıldığında ve bulut bilişim firmasının tüm müşterilerine aynı hizmeti sağlayıp, birden çok müşterinin verisini işlediği göz önünde bulundurulduğunda müşteriler için aşağıdaki sorumlulukların sözleşmede ne şekilde düzenlendiği önem arz edecektir:

  • her müşterinin verisinin birbirinden ayrı olarak işlenebilmesi, dolayısıyla müşterilerin birbirilerinin verisine erişemeyeceği bir sistemin yaratılması,
  • müşterinin açık onay ve talimatı olmadan verilerin işlenememesi,
  • verilerin işleneceği kapsam ve sınırların belirlenmesi,
  • gerekli güvenlik şartlarının sağlanması,
  • verilerin ne şekilde işlendiğinin, nerede saklandığının müşteri tarafından izlenebilmesi
  •  

AB mevzuatının uzun yıllardır en önemli ve temel konularından birisini oluşturan Kişisel Verilerin Korunmasına ilişkin düzenlemelerin, Türk Hukuku’nda aynı önemi gördüğünü söylemek ise ne yazık ki mümkün değil. Anayasa, Türk Ceza Kanunu, Medeni Kanun, Adli Sicil Kanunu gibi çeşitli düzenlemelerde verilerin gizliliğine ilişkin bazı kurallar getirilmişse de; AB mevzuatında olduğu gibi Kişisel Verilerin İşlenmesiyle ilgili teknik ve hukuki koşulların detaylıca belirlendiği özel bir düzenleme bulunmuyor. Bulut bilişim teknolojisinin ve alt yapısının beraberinde getirdiği karmaşık sorunların farkına varılması ise epey uzun sürecek gibi görünüyor.

26.12.2014’te TBMM’ye gönderilen “Kişisel Verilerin Korunması Kanunu Tasarısı” ise almış olduğu pek çok eleştiriyle beraber halen yasalaşmayı bekliyor.

Av. Sinem Birsin

EKİBİMİZİ TANIMAK İSTER MİSİNİZ? HUKUK GÜNLÜĞÜ YAZILARIMIZA GÖZ ATMAK İSTER MİSİNİZ?