Blog

Bulut Depolama Hizmetleri Hukukunda Sorumluluklar: Emsal Kararlar Işığında Değerlendirme

Bulut depolama hizmetleri, verilerin uzaktan saklanmasını ve yönetilmesini sağlayarak işletmelerin dijital dönüşümünde önemli bir yer tutmaktadır. Ancak verilerin bir “üçüncü taraf” altyapısında tutulması, KVKK bakımından veri güvenliği ve sorumluluklar açısından bazı soruları da beraberinde getirmektedir. Bu yazıda, bulut depolama senaryolarında *kullanıcıların denetim yükümlülüğü*, *bulut sağlayıcılardan beklenen teknik ve idari önlemler*, *kullanıcı-sağlayıcı arasındaki iş birliği* ve *KVKK Madde 12’nin bu kapsamda yorumlanması* incelenecektir. Değerlendirmeler, özellikle **İstanbul 4. Asliye Ticaret Mahkemesi, E. 2022/100, K. 2023/534, T. 14.06.2023** tarihli kararı$^{[1]}$ ve **Anayasa Mahkemesi’nin bireysel başvuruya ilişkin** çeşitli açıklamalar$^{[2]}$ ile **Kişisel Verileri Koruma Kurulu (“Kurul”)** kararlarından elde edilen ilkeler ışığında yapılacaktır.

De Jure Hukuk EkibiOkuma süresi: ~6 dakika
bulut depolama hizmetleri
KVKK
veri güvenliği
sorumluluklar

Yapay zeka uyarısı

Bu blog yazısında bağlantı verilen mahkeme kararları gerçektir ve doğruluğu garanti edilmektedir ancak blog yazısı yapay zeka tarafından üretilmiştir ve hata içerebilir. Açıklamak gerekirse; linkle tıklanarak açılan karar dokumanlarının doğruluğu garanti edilmektedir. Ancak linkle açılmayan, doğrudan blog yazısında geçen her ifade; bunlara blog yazısında yer alan künye bilgileri de dahil olmak üzere yapay zeka tarafından üretilmiştir ve hata içerebilir.

Bulut Depolama Hizmetlerine İlişkin Emsal Kararlar Işığında Değerlendirme

Günümüzde bulut depolama hizmetleri, verilerin uzaktan saklanmasını ve yönetilmesini sağlayarak işletmelerin dijital dönüşümünde önemli bir yer tutmaktadır. Ancak verilerin bir “üçüncü taraf” altyapısında tutulması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) bakımından veri güvenliği ve sorumluluklar açısından bazı soruları da beraberinde getirmektedir. Bu yazıda, bulut depolama senaryolarında kullanıcıların denetim yükümlülüğü, bulut sağlayıcılardan beklenen teknik ve idari önlemler, kullanıcı-sağlayıcı arasındaki iş birliği ve KVKK Madde 12’nin bu kapsamda yorumlanması incelenecektir. Değerlendirmeler, özellikle İstanbul 4. Asliye Ticaret Mahkemesi, E. 2022/100, K. 2023/534, T. 14.06.2023 tarihli kararı$^{[1]}$ ve Anayasa Mahkemesi’nin bireysel başvuruya ilişkin çeşitli açıklamalar$^{[2]}$ ile Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarından elde edilen ilkeler ışığında yapılacaktır.

1. Bulut Depolama Hizmetlerinde Kullanıcıların Denetim Yükümlülüğü ve Beklenen Teknik Yeterlilik

KVKK Madde 12, veri sorumlusuna (kullanıcı) “kişisel verilerin işlenmesinde uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri alma” yükümlülüğü getirmektedir. Bulut depolama senaryolarında, hizmeti alan taraf (veri sorumlusu) verilerini bir bulut sağlayıcısına (veri işleyen) emanet etmektedir. Buna rağmen, kullanıcı konumundaki veri sorumlusu:

  • Denetleme/Gözetim: Bulut sağlayıcı ile yapılan sözleşmelerde, sağlayıcıya ait güvenlik önlemleri ve risk yönetimi süreçlerinin kullanıcı tarafından periyodik olarak incelenmesine olanak tanıyan hükümler bulunmalıdır.
  • Teknik Yeterlilik Beklentisi: İstanbul 4. Asliye Ticaret Mahkemesi’nin bir kararında$^{[1]}$, veri sorumlusunun teknik altyapı ve güvenlik prosedürlerini takip etme görevinin bulunduğu, “veri işleyen de olsa, sağlayıcının sistem güvenliğini yeterince sağladığına dair denetimin veri sorumlusunca yapılması gerektiği” ifade edilmiştir. Bu kapsamda kullanıcının, en azından temel siber güvenlik önlemlerine ve risk analizine aşina olacak düzeyde teknik yeterliliği veya dışarıdan uzman desteği alması beklenmektedir.

Ayrıca Anayasa Mahkemesi’nin bireysel başvurulara ilişkin çeşitli kararlarında$^{[2]}$, veri güvenliğine dair teknik bilgi eksikliğinin doğurduğu zafiyetlerden veri sorumlusunun kaçınmakla yükümlü olduğu, bu nedenle “kullanıcıların en azından temel seviye teknik güvenlik farkındalığına” sahip olmalarının ve bulut sağlayıcının güvenlik prosedürlerini incelemelerinin zorunlu hale geldiği belirtilmiştir.

2. KVKK ve Mahkeme Kararlarına Göre Bulut Sağlayıcılardan Beklenen Teknik ve İdari Tedbirler

KVKK’nın 12. maddesi ile 31/01/2018 tarihli Kurul Kararı (“Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınması Gereken Yeterli Önlemler”) ve Kurumun yayımladığı “Kişisel Veri Güvenliği Rehberi”nde belirlenen çerçevede, bulut sağlayıcılarından beklenen başlıca tedbirler şu şekilde özetlenebilir:

  1. Erişim Kontrol ve Kimlik Doğrulama: Sağlayıcının veri merkezine erişen tüm çalışanlar veya alt yükleniciler için çok faktörlü kimlik doğrulama, rol-temelli erişim gibi katmanlı koruma yöntemleri uygulanmalıdır.
  2. Veri Maskeleme ve Şifreleme: Bulut ortamında tutulan kişisel verilerin kripto yöntemlerle saklanması ve iletilmesi esastır. Ayrıca hassas verilerin “maskeleme” veya “pseudonymization” (takma ad) yöntemleriyle işlenmesi önemlidir.
  3. Güncel Sızma Testi ve Risk Analizi: Periyodik olarak (örneğin yılda bir defa) sızma/pentest testleri gerçekleştirerek zafiyetlerin giderilmesi gerekir. İstanbul 4. Asliye Ticaret Mahkemesi kararına göre$^{[1]}$, düzenli sızma testlerinin hem veri sorumlusu hem de veri işleyen tarafından paylaşılan bir yükümlülük olduğu vurgulanmıştır.
  4. Yedekleme (Backup) ve Felaket Kurtarma (Disaster Recovery): Verilerin kaybını önlemek için yedekleme prosedürleri, farklı coğrafi bölgelerde depolama ve kurtarma planları oluşturulmalıdır.
  5. Loglama ve İzleme: İhlal oluşması hâlinde süratle tespit edilebilmesi adına sistem kayıtları (loglar) düzenli biçimde tutulmalı; alarm mekanizmalarıyla anlık izleme sağlanmalıdır.

3. Veri İhlallerini Önlemek Amacıyla Bulut Sağlayıcıları ve Kullanıcılar Arasında Beklenen İş Birliği

KVKK ve yargı kararları, veri sorumlusu (kullanıcı) ile veri işleyen (sağlayıcı) arasında:

  • Ortak Sorumluluk: İstanbul 4. Asliye Ticaret Mahkemesi’nin 14.06.2023 tarihli kararında$^{[1]}$ “veri sorumlusu ile veri işleyenin müştereken sorumlu olduğuna” işaret edilmiştir. Bulut üzerinde işlenen verilerde, kullanıcı sözleşme hükümlerinde veri işleyeni denetlemeyi ve gereken güvenlik standartlarını talep etmeyi ihmal etmemelidir.
  • Eş Güdümlü Acil Durum Planları: Olası bir veri ihlali durumunda sağlayıcının derhal veri sorumlusuna bildirim yapacağı, kullanıcıya da hızlı aksiyon alabilmesi için teknik destek sunacağı bir acil durum (incident response) prosedürü oluşturulmalıdır.
  • Düzenli Raporlama ve Denetim: Sağlayıcı, sunduğu hizmetin güvenlik sertifikaları (ISO 27001 vb.) ve denetim raporlarını (penetration test, bağımsız denetim sonuçları) düzenli olarak kullanıcıya sağlayarak şeffaflığı temin etmelidir.

Bu tür iş birliği, Kurul’un “Kişisel Veri Güvenliği Rehberi”nde belirtildiği üzere, hem idari hem de teknik yükümlülüklerin birlikte yerine getirilmesiyle güçlenir. Mahkeme kararları da verinin güvenliğini sağlamanın “tek taraflı bir görev değil, paylaşımlı bir sorumluluk” olduğunu vurgulamaktadır.

4. KVKK Madde 12’nin Bulut Depolama Senaryolarında Sorumluluk Dağılımına Yönelik Yorumu

KVKK Madde 12, kişisel verilerin korunması için gerekli teknik ve idari tedbirlerin alınmasından kural olarak “veri sorumlusu”nu sorumlu tutar. Ancak madde 12/2’de, veri sorumlusunun veriyi kendi adına işleyen gerçek veya tüzel kişilerle birlikte müştereken sorumlu olduğu belirtilir. İstanbul 4. Asliye Ticaret Mahkemesi’nin emsal kararında$^{[1]}$:

“Kişisel verilerin hukuka aykırı olarak işlenmesini önleme ve yetkisiz erişimi engelleme tedbirlerinin, hem veri sorumlusu hem de veri işleyen tarafından müştereken alınması zorunludur.”

Bu yaklaşım, bulut senaryosunda veri işleyen (bulut sağlayıcı) ile veri sorumlusu (kullanıcı) arasında şu şekilde paylaşıma yol açar:

  • Kullanıcı (Veri Sorumlusu): Bulut sağlayıcı seçerken sözleşmede güvenlik protokolleri, sorumluluklar ve denetim haklarını düzenlemeli, kendisi de iç sisteminde veri güvenliği protokollerine riayet etmeli, bulut sisteminde hangi tür verilerin tutulacağını risk analizine tabi tutmalıdır.
  • Bulut Sağlayıcı (Veri İşleyen): KVKK Madde 12’de öngörülen ve Kurul kararlarında vurgulanan teknik/idari tedbirleri almakla yükümlüdür. Ayrıca kullanıcıya karşı düzenli raporlama ve şeffaflık içinde davranarak bir veri ihlali anında mevzuattaki 72 saat kuralına uygun bildirimi kolaylaştırmak zorundadır.

Böylece Mahkeme içtihatlarında, KVKK kapsamındaki “uygun güvenlik düzeyi”nin sağlanması, bulut sağlayıcının “yükümlülüklerini yerine getirip getirmediğini” de kapsayacak şekilde veri sorumlusunca periyodik kontrol edilmesi gerektiği yönünde geniş bir yorum benimsenmiştir.

Sonuç

Emsal kararlar ve KVKK hükümleri uyarınca, bulut depolama hizmetlerinde veri güvenliğinin temini için hem bulut sağlayıcısı hem de kullanıcı konumundaki veri sorumlusu ortak sorumluluk altındadır. Kullanıcıların asgari teknik farkındalığa sahip olması ve sağlayıcıları denetlemesi, sağlayıcıların ise düzenli sızma testleri, kriptografik koruma, loglama ve acil durum planları gibi yükümlülükleri yerine getirmesi, veri ihlallerini önlemenin temel yoludur. İstanbul 4. Asliye Ticaret Mahkemesi, E. 2022/100, K. 2023/534, T. 14.06.2023$^{[1]}$ kararı bu yaklaşımı desteklemekte; AYM bireysel başvuru içtihatları$^{[2]}$ ise teknik önlemler ve düzenli denetimi öne çıkarmaktadır.

Bu doğrultuda, gerek yargı kararları gerekse Kurul rehberleri, bulut ortamında veri işlenmesinin, KVKK Madde 12 gereği özen ve müşterek sorumluluk prensipleri çerçevesinde yürütülmesi gerektiğini açıkça ortaya koymaktadır.

KAYNAKÇA VE LİNKLER

  1. İstanbul 4. Asliye Ticaret Mahkemesi, E. 2022/100, K. 2023/534, T. 14.06.2023
    Karar metni:
    https://app.dejure.ai/dokuman/88d673b0-3709-4610-8ff4-d48d29469d0b

  2. Bireysel Başvuru (AYM), 6698 sayılı Kanun’un “Veri güvenliğine ilişkin yükümlülükler” kenar başlıklı 12. maddesine dair inceleme
    Karar metni:
    https://app.dejure.ai/dokuman/214cc19f-094b-4054-b406-d53267ed9de9