Bulut Bilişim ve GDPR

  1. Giriş

Günümüzde küreselleşme ve internetin yaygın kullanımı ile beraber Türk şirketleri internet ya da mobil uygulamalar üzerinden Avrupa Birliğine üye ülke vatandaşlarına mal ve hizmet sunumu yapmaktadır. Hatta bazı zamanlarda yurtdışına verilen hizmet yerele verilen hizmeti geçmektedir. Ülkelerde bu nedenle vatandaşlarına ait kişisel verileri koruma yoluna gitmişlerdir. Bulut bilişim, bilgi servislerinin internet bağlantıları üzerinden erişilebildiği durum olarak tanımlanabilir. Bu bilgi servisleri özel bulur ya da üçüncü sınıf sağlayıcılar aracılığıyla tedarik edilebilir. Servisler, yazılım, hosting, alt yapı ve platformlar olarak sıralanabilir. Aslında günümüzde bulut hep karşımıza çıkmakta web ortamında maillerden tutun da kurumsal veri depolama çözümüne kadar geniş yelpazesi vardır. Bulut bilişim ile ilgili Avrupa Birliğine yönelik düzenleyici bir yasama faaliyeti henüz bulunmamaktadır. Ancak yasama çalışmaları CISP ve EDPB görüşmeleri yapılmaktadır. Ayrıca veri sorumluları için bazı yükümlülükler sağlayan teknolojik olarak tarafsız olan Genel Veri Koruma Tüzüğü (GDPR) mevcuttur (Arı, 2019). GDPR, AB hukukunda tüm AB ülkelerindeki bireyler için veri koruma ve gizlilik ile ilgili bir yönetmeliktir. GDPR, AB vatandaşlarına bilgilerini kontrol etme imkânı sunmaktadır. Yönetmelikleri ihlal ettiği belirlenen şirketlere 20 milyon Euro’ya kadar ya da şirketin yıllık gelirinin %4’üne kadar hangi meblağ büyükse para cezası kesilebilmektedir. GDPR doğrudan bağlayıcı niteliktedir.

  1. BULUT BİLİŞİM

2.1. Bulut Bilişim Kavramı

Bulut bilişim (Cloud computing), kullanıcılarının her yerden erişim yapabildiği internet tabanlı bir bilişim ortamıdır. Mesela kullanıcılar, cihazlarına herhangi bir program yüklemeden Ms Office belgelerini hem düzenlemek hem de depolamak amacıyla Office 365 hizmetini yalnızca web tarayıcıları ile sağlayabilirler.

2.2. Bulut Bilişimin Avantajları

Çokça faydası olan sistemin, başlıca faydaları verilerinizin gizli kalmasını sağlıyor, verilerinizi ölçeklenebilirlik hizmeti veriyor, anında güncelleme yapma özelliği var, lisans maliyetinden tasarrufu sağlıyor. Bulut bilişimde en büyük endişe güvenlik ve hizmet alanındadır.  Sonuçta kişisel bilgileri başka bir şirkete verilmesi insanları tedirgin etmektedir.

2.3. Bulut Bilişim Hizmet Modelleri

Geleneksel bir kuruluşun işletim sistemi, verileri ve programları bilgisayarlarında yahut kendi sunucularında bulunurken, bulut sistemi geliştirerek, program ve verileri dünyanın herhangi bir noktasında kendi kullanıcılarına yöneltilebiliyor. Genel olarak bulut bilişim hizmet modelleri şöyle sıralanabilir: altyapı hizmeti, platform hizmeti ve yazılım hizmeti. Bu hizmetler genel özelliklere sahiptir.  Hizmetlerin genelinde standartlarını tedarikçinin belirlediği güvenlik önlemleri lokasyon ve işletme için uygulanabilir. Müşterilerin verileri kapasiteye oranlı olarak hizmet sağlayıcının altyapısı içinde dağınık vaziyettedir. Alt yapı ve kaynaklar, müşteriler arasında paylaşılır ve birden çok ülkede yayılmış olabilir.

  • Servis Olarak Altyapı (IaaS-Infrastructure as a Service): Altyapı olarak, hizmet sağlayıcılarının sadece uzaktan erişim ve kullanım imkânı sağlandığı fiziksel bilişsel kaynaktır. en basit hizmet modelidir ve bulut sağlayıcıları, sunucuları, fiziksel veya sanal makineler olarak sunarlar.  Servis edinen hem işletim platformundan hem de uygulamaların sağlanmasından sorumludur.
  • Servis Olarak Platform (PaaS-Platform as a Service): Platform olarak, tedarikçi, işletim sistemlerine uzaktan erişim sağlar ve temel donanımı da tedarik eder. Ancak, burada uygulamaların sağlanmasından ve kurulumdan bizzat hizmet alıcı sorumludur.
  • Servis olarak yazılım (SaaS-Software as a Service): Yazılım olarak, hizmet sağlayıcı, altyapı, platform ve de uygulama sağlar.

2.4. Bulut Bilişim Hakkında Endişeler

Bulut bilişim hakkında endişeler güvenlik ve gizlilik noktasında toplanmaktadır. Kişiler önemli bilgilerini başka bir şirkete teslim ederken tedirgin olmaktadır. Özellikle şirket yöneticileri şirketin bilgilerini bu tarz bir sisteme verip vermeme konusunda korkmaktadır. Bu bölümde bulut bilişim hakkındaki endişeler biraz daha ayrıntılı incelenecektir.

2.4.1. Gizlilik

Bulut hizmeti gizlilik hakkının ihlali nedeniyle eleştirilmektedir. Mesela gizli bir NSA programı, AT&T ve Verizon ile birlikte Amerikan vatandaşları arasında geçen 10 milyona yakın telefon görüşmesini kaydetmiştir, bu olay neticesinde bilginin gizliliğini savunanlar kuşkuya düşmüşlerdir. Birden çok müşteriye aynı sunucu üzerinden hizmet verildiğinde şirketler arasındaki gizliliklerin ihlali söz konusu olabilir.  Bir de müşteri, bulut sağlayıcısını değiştirmek istediği zaman sağlayıcının elinde koz olarak kullanabileceği önemli gizli bilgiler olabilir. Bu durumda müşteriyi bulut sağlayıcısına bağımlı hale getirir. Bulut hizmet sağlayıcısı, müşteri ta da kullanıcısının verisi aynı sistem içinde kalmayabilir hatta aynı sağlayıcının bulutunda dahi olamayabilir. O zaman yargılama yetkisi anlamında yasal endişelere sebep verir.

2.4.2. Güvenlik

Bulut bilişim yaygın kullanımı güvenlik endişelerini de arttırmıştır. Geleneksel koruma mekanizmaları tekrar gözden geçirilmiştir. Elbette özel nitelikteki bulut ekipmanlarının fiziksel denetiminin yapılması ekipmanların tesisin dışında ve başka kişilerin kontrolünde olmasından daha güvenlidir. Veri bağlantılarının güvenliği amacıyla fiziksel kontrol ve veri bağlayıcılarının görsel inceleme yapılması gerekir. Bulut bilişimin özel ve halk sektöründe benimsenmesini engelleyen durum ise güvenlik tabanlı hizmetlerinin harici yönetiminin endişesidir. Bulut bilişimde güvenlik kaygıları şu şekilde kategorize edilebilir, veri ayırma, yönetim kontrol güvenliği, hassas veri erişimi, gizlilik hakkı, virüs kullanımı, geri kazanma, hesap kontrolü ve çoklu kullanıcı sorunlarıdır. Bulur bilişime güvenlik anlamında getirilen çözümleri ise kriptografi ve özellikle de kamu anahtar altyapısı, API’lerin standartlaştırılması, çok sayıda bulut sağlayıcı kullanımı, sanal makine desteği ve yasal desteğin geliştirilmesi gibidir.

  1. Genel Veri Koruma Yönetmeliği (Gdpr)

Avrupa genelinde veri gizliliği mevzuatlarını uyumlaştırmak adına 25 Mayıs 2018 de Avrupa Veri Koruma Yönetmeliği kabul edilmiştir. Bu yönetmelik Avrupa Birliği üyesi olan tüm devletlerde uygulanmaktadır. GDPR (General Data Protection Regulation)’nin bölgesel kapsamı, yönetmeliğin 3. Maddesinde söyle belirtilmiştir, “Yapılan işlemin birlik ülkelerinde gerçekleşip gerçekleşmediğine bakılmaksızın Birlikte bir denetleyici veya işlemci kurulması faaliyetleri bağlamında kişisel verilerin işlenmesi için geçerlidir.” Ayrıca bu yönetmelikte bazı konularda birlik içerisinde yer alan veri sahiplerinin kişisel verilerinin birlik dışında olan veri sorumlusu tarafından işlenmesi için kullanılır. Bu konular şöyledir: davranışları birlik içerisinde olduğu sürece davranışların izlenmesi ve veri sahibine bir ücret verilemesine bakılmaksızın birlik içerisinde veri sahiplerine mal ve hizmet sunulmasıdır (Insoft, 2017). Müşteriler ve çalışanlar AB’nde bulunan ilgili kişilere pazarlama yapılıyorsa ya da bu kişilerin bilgilerini işliyorsanız GDPR şartlarına uyum sağlamak gerekiyor.

Avrupa Birliği Adalet Divanının yakın tarihli Weltimmo Davasında bu maddeler hakkında açıklayıcı bilgiler yer aldı. Weltimmo firması, Macaristan’da bir web adresi üzerinden gayrimenkul komisyonculuğu ile ilgili hizmet vermekteydi ve Slovakya menşeli bir şirketti.  Avrupa Birliği Adalet Divanı Weltimmo şirketinin Macaristan’da GDPR kapsamında bir kuruluş (establishment) olduğuna karar verdi. Bu karar doğrultusunda kuruluş sayılması için Macaristan’da banka hesabının olması, posta kutusunun olması ve Macar dilinde tasarlanmış bir internet adresinin bulunması ile Macaristan’da hem mahkemede temsil olunması hem de borç tahsilâtları için bir mümessilinin bulunması dikkate alınmıştır. Bu dava ile birlikte Avrupa Birliği üyesi ülkelerindeki minimum internet faaliyetlerinin bile Avrupa veri koruma kanunları anlamında bir kuruluş sayılacağı teyit edilmiştir.

Avrupa Birliği Adalet Divanının bir başka kararında ise, Avrupa Birliği dışında ve AB vatandaşlarını hedeflemediğini iddia eden şirket için divan AB müşterilerini hedeflediği kararını şu nedenlere dayanarak vermiştir. İlki, patent kanıtıdır buna göre, AB üye devlet vatandaşlarının erişimini kolaylaştırmak için bir arama motoruna para ödemesidir. İkincisi, yaptıkları faaliyetin uluslararası niteliğidir. Bu uluslararası nitelik kapsamında, uluslararası kodlu telefon numaralarının sağlanması, tacir kişinin vatandaşı olduğu ülke dışında başka bir üst ad kullanması ve alması mesela “.de” ya da “.eu” gibi, AB üye devlet dillerinde rehber ya da kullanım kılavuzu sağlanması ve son olarak da üye devletlerin vatandaşlarından oluşan müşteri çevresi gibi özelliklerdir. Son içtihatlara göre, AB dışındaki bir veri sorumlusu AB merkezli bir kuruluş arasında var olan bağlantının veri sorumlusunun işlerinin yönetmeliğe bağlı olacağı anlamına gelir. Avrupa Birliği’ne üye devletin vatandaşlarının davranışlarının izlenmesi veya bu kişilere ürün ve hizmet sunulması durumunda kuruluş bir AB kuruluşu olsun ya da olmasın tüzük kapsamında kalacaktır. Demek ki bulut servis sağlayıcıları, bu şartlardan herhangi birisinin tüm veri işleme işlerinin ya da belli bir kısmının Avrupa veri koruma kanunları kapsamına girip girmediği hususunda dikkate almalıdır. Kuruluş direk olarak tüzüğe tabi olmasa bile müşterileri tüzüğe tabiyse bulut servis sağlayıcıları kişisel verilerin kullanımı için sözleşme imzalatması gerekir.

  1. Sonuç

AB vatandaşı bir kimse kişisel verilerini bir organizasyona belli hukuki zemine oturtması gereken işleme süreçleri için emanet etmiş bulunuyor. Organizasyonda ilgili kişilerin ya da kendisinin çıkarı için tarafların hayatlarını kolaylaştıran bulut servis sağlayıcılarına emaneti emanet etmiş olmaktadır.  Genel Veri Koruma Yönetmeliği olan (GDPR) Avrupa genelinde bağlayıcılığı olan AB vatandaşlarının kişisel verilerini korumaya yönelik normların yer aldığı bir mevzuattır. Bu yönetmeliğe göre, hiçbir kişisel veri yönetmeliğe aykırı şekilde işlenemez ve ilgili kişiden yani kişisel veri sahibinden izin alınmalıdır. Kişisel veri sahibi kişi istediği zaman verdiği onayı iptal etme hakkına sahip olmalıdır. GDPR maddelerine uyum göstermeyen işletmeler için yönetmelikte ağır ve ciddi yaptırımlar öngörülmüştür. GDPR’nin belirttiği kişisel veriler, isim, adres, konum, ırk bilgileri, tıbbi veriler, biometrik veriler ve siyasi görüş gibidir. Kullanıcı profili niteliğindeki forum siteleri, ürün satışı yapan e-ticaret siteleri, yorum yapmaya yönelik wordpress gibi siteler GDPR’nin kapsamına girmezler. AB’ye üye bir devletin vatandaşlarının verilerini işleyen tüm işletmeler konumları ne olursa olsun GDPR’den sorumludur. Şirket için ihlal bildirimleri zorunlu durumdadır. Kullanıcıların da hangi verilerin alındığına ya da bu verilerin nerede ne süreyle tutulduğuna ilişkin bilgileri bilme hakları vardır. Bu araştırma konusu gerçek kişilerin verilerinin yeterli koruma sağlayan bir ülkeye mi yoksa yeterli koruma sağlamayan bir ülkeye mi gönderileceğini önceden öğrenebilmeleri ve dolayısıyla duruma itiraz edebilmeleri açısından önemlidir.