Makale
Bulut sistemlerinde işlenen kişisel verilerin güvenliği, kullanıcılar ve servis sağlayıcılar için kritiktir. Bu makalede, bulut platformlarındaki verilerin 6698 sayılı KVKK kapsamındaki hukuki statüsü, veri sorumlusu ile işleyen rolleri ve alınması gereken teknik tedbirler bilişim hukuku perspektifiyle incelenmektedir.
Bulut Bilişimde KVKK Kapsamında Veri Güvenliği
Günümüz teknoloji çağında bulut bilişim teknolojileri, kurumların ve bireylerin verilerini depolamak, işlemek ve aktarmak için en çok tercih ettiği altyapıların başında gelmektedir. Sanal depolama alanları sayesinde maliyet ve zaman tasarrufu sağlayan bu sistemler, aynı zamanda çok büyük hacimli verilerin kıtalararası sunucularda barındırılmasına imkan tanımaktadır. Ne var ki, bulut sistemlerine aktarılan verilerin gizliliği ve dış müdahalelere karşı korunması, hukuki anlamda ciddi sorumlulukları beraberinde getirmektedir. Bilhassa ülkemizde yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, bulut bilişim aktörlerinin kişisel veri işleme faaliyetlerini sıkı kurallara bağlamaktadır. Bulut platformlarında yer alan kişisel verilerin izinsiz erişimlere, siber saldırılara ve veri sızıntılarına karşı korunması, yalnızca teknik bir gereklilik değil, aynı zamanda emredici bir hukuki yükümlülüktür. Bu hukuki yükümlülüklerin doğru analizi için, bulut bilişim ekosistemindeki aktörlerin rollerinin KVKK perspektifiyle net bir şekilde saptanması şarttır.
Bulut Bilişimde Veri Sorumlusu ve Veri İşleyen Rolleri
Bulut bilişim mimarisinde hukuki statülerin tespiti, sorumluluk rejiminin doğru uygulanması adına büyük önem taşımaktadır. KVKK uyarınca kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi veri sorumlusu, bu yetkiye dayanarak verileri işleyen taraf ise veri işleyen olarak tanımlanmaktadır. Bir ticari işletmenin veya e-ticaret platformunun kendi müşterilerine ait kişisel verileri bulut sistemine aktarması durumunda, söz konusu işletme veri sorumlusu sıfatını haizdir. Bu verileri işletmenin talimatları doğrultusunda depolayan ve barındıran bulut servis sağlayıcısı ise kural olarak veri işleyen konumunda kabul edilmektedir. Ancak bu durum her somut olayda değişkenlik gösterebilir. Özellikle doğrudan son kullanıcıya hizmet veren ve kullanıcı verileri üzerinde kontrol ve müdahale yetkisine sahip olan servis sağlayıcıların bizzat veri sorumlusu olarak değerlendirilmesi de mümkündür. İlgili aktörlerin rolleri, sunulan altyapı, platform veya yazılım modelinin niteliğine göre hukuki bir analize tabi tutulmalıdır.
KVKK Madde 12 Kapsamında Veri Güvenliği Yükümlülükleri
Bulut sistemlerinde depolanan kişisel verilerin hukuka aykırı erişimlerden korunması ve muhafazası, kanun koyucu tarafından emredici hükümlerle düzenlenmiştir. KVKK hükümlerine göre, veri sorumlusu uygun güvenlik düzeyini temin etmeye yönelik her türlü idari ve teknik tedbiri almak zorundadır. Bulut servis sağlayıcısının veri işleyen sıfatıyla hareket ettiği durumlarda dahi, kişisel verilerin güvenliğinin sağlanmamasından doğan zararlardan veri sorumlusu ve veri işleyen müştereken sorumlu tutulmaktadır. Sistemlerde yaşanabilecek herhangi bir yetkisiz erişim, kimlik hırsızlığı veya veri sızıntısı durumunda idari para cezaları gündeme gelmektedir. Ayrıca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumun en kısa sürede Kişisel Verileri Koruma Kurulu'na ve ilgili veri sahibine bildirilmesi yasal bir zorunluluktur. Kurul, yaşanan bu veri ihlalini gerekli gördüğü takdirde resmi internet sitesi üzerinden kamuoyuna ilan edebilmektedir.
Bulut Sistemlerinde Alınması Gereken Teknik Tedbirler
Kişisel Verileri Koruma Kurulu tarafından yayımlanan rehberler, bulut ortamlarında tutulan verilerin mahremiyetini sağlamak adına alınması gereken teknik önlemlere detaylı şekilde yer vermiştir. Rehberlerde de altı çizildiği üzere, hukuka aykırı erişimleri engellemek ve siber güvenlik açıklarını kapatmak, proaktif bir risk yönetimi gerektirmektedir. Özellikle verilerin yurt içi veya yurt dışı kıtalararası sunucularda dolaşıma girmesi, aktarım sırasında sızıntı risklerini artırdığından bulut bilişim hizmetlerinde standart kimlik denetimlerinin ötesine geçilmelidir. Bulut servis sağlayıcılarının uluslararası güvenlik standartlarına uygun hareket etmesi, yaşanabilecek ihlallerde sorumlulukların tespiti bakımından da büyük bir ispat kolaylığı sağlayacaktır. Bu noktada, veri güvenliğini temin etmek amacıyla uygulanabilecek temel teknik tedbirler şu şekilde sıralanabilir:
- Kriptografik yöntemlerle verilerin şifrelenmesi ve farklı bulut çözümleri için ayrı şifreleme anahtarlarının kullanılması.
- Ağ segmentasyonu yapılarak bulut mimarisinin farklı güvenlik adacıklarına bölünmesi ve dış kaynaklı tehditlerin sınırlandırılması.
- Kimlik avı ve yetkisiz erişimleri önlemek adına iki aşamalı kimlik doğrulama ve ayrıcalıklı erişim yönetimi sistemlerinin entegre edilmesi.
- Kişisel verilerin buluta aktarılmadan önce veya sistem içerisinde anonim hale getirilmesi işlemlerine tabi tutulması.