I. Bulut Bilişim

Bulut bilişim, genel bir ifade ile internet aracılığı ile veriye erişimi, verinin muhafaza edilmesini ve işlenmesini mümkün kılan servistir. Bulut dağıtım ya da diğer adı ile kurulum modelleri iş gereksinimlerine göre belirlenmektedir. Bulut, kendi içerisinde, genel bulut (pulic cloud), özel bulut (private cloud), hibrit bulut (hybrid cloud) olmak üzere türlere ayrılmaktadır:

• Genel Bulut: Depolama ve diğer kaynakların bir hizmet sağlayıcı tarafından genel kullanıcılara sunulduğu bulut türüdür. Kullanıcının bilgi teknolojisi (“BT”) araçlarını güncellemesi ve kontrol etmesi gerekmeden kullanılabilmektedir. Bu türde, birden fazla kullanıcı BT alt yapısını birlikte paylaşır.
• Özel Bulut: Tek bir işletme için kurulur ve işletilir. İşletmeler kendi bulut altyapılarını oluşturur ve bulut üzerindeki kontrolü kendisi sağlar. Bu sebeple, güvenlik açısından en çok tercih edilen bulut bilişim türüdür. 
• Hibrit Bulut: Genel ve özel bulut türlerinin bir arada kullanılabilmesi ile oluşur. Verinin hassasiyetine göre ayrım yapılabilir. Bu sebeple, mevzuat uyumluluğunun ve veri güvenliğinin sağlanmasının yanı sıra özel buluta göre daha az maliyetlidir ve genel buluta göre de veri güvenliği daha çok sağlanır. 

Bulut bilişim servis hizmeti yapısı da kullanıcının ihtiyaçları ve kullanım amaçları doğrultusunda şekillenmektedir. Bu doğrultuda bulut ile; alt yapı hizmetleri (Infrastructure as a Service, “IaaS”), platform hizmetleri (Platform as a Service, “PaaS”) ve yazılım hizmetleri (Software as a Service, “SaaS”) sunulmaktadır.

• IaaS: İşlemci, depolama, ağ kaynağı ve diğer temel BT kaynaklarının sunulmasına imkân tanır. Bunların yanı sıra, kullanıcının işletim sistemi ve uygulamaları kurabilmesine olanak sağlar. Kullanıcı kontrolünün en üst seviyede olduğu hizmet yapısıdır.
• PaaS: Genel olarak yazılım mühendisleri tarafından kullanılmaktadır. Bulut altyapısı üzerinde kullanıcıların yazılımlarını/uygulamalarını geliştirebildiği hizmet yapısıdır. Kullanıcı kontrolü IaaS’a göre daha azken; SaaS’ye göre daha fazladır.
• SaaS: Sunucu üzerinde bulundurulan yazılım uygulamasında birden fazla hizmet alanının kullanılmasına olanak sağlar. Bulut sistemi üzerinde çalışan uygulamaları kullanıcıların hizmetine sunar. Kullanıcı, buluta çeşitli cihazlardan erişebilmekte ve işlemci, depolama, ağ kaynağı gibi BT bileşenlerini yönetememektedir. Kullanıcı kontrolünün en az olduğu hizmet yapısıdır.  

Bulut, veri saklama alanları için ayrılan maliyeti azaltma ve internet aracılığı ile her yerden erişim sağlama imkânları sayesinde kullanıcılar için oldukça avantajlıdır. İşletmelerin kendi veri merkezlerini oluşturmak için yaptığı masraflar oldukça yüksek meblağlara ulaşabilmekte ve özellikle girişimciler gibi büyük sermayeye sahip olmayan işletmeler bakımından bu masrafların karşılanması oldukça zorlaşabilmektedir. Dolayısıyla bulut, masrafların azaltılması ve pratik uygulamaları sayesinde işletmeler tarafından tercih edilmektedir.

II. Bulut Bilişimde Kişisel Verilerin Korunması

Verilerin muhafaza edildiği ve işlendiği alan olması sebebi ile bulut bilişim, kişisel verilerin korunmasında oldukça önemli bir pozisyona sahiptir. Teknik anlamda veri güvenliğinin sağlanmasının yanı sıra kişisel verileri koruma mevzuatına uygun bir şekilde idari önlemlerin alınmasına da dikkat edilmelidir. Bu doğrultuda, temel olarak veri sorumlusu ve veri işleyenin belirlenmesi, kişisel veri işlenmesi ve muhafaza edilmesi, özel nitelikli kişisel verilerin işlenmesi, veri güvenliğinin sağlanması, kişisel verilerin imha edilmesi ve yurtdışına veri aktarımı süreçleri mevzuata uyumlu bir şekilde yürütülmelidir. 

a) Veri Sorumlusunun/Veri İşleyenin Belirlenmesi

Kişisel Verileri Koruma Kurum’u tarafından Veri Sorumlusu ve Veri İşleyen Rehberi’nin ve Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi’nde bulut hizmeti sağlayıcıları şu şekilde ele alınmıştır:

“Bir kamu kuruluşunun, topladığı kişisel verilerin saklanması için bir bulut hizmeti sağlayıcısıyla sözleşme yapması durumunda, bulut hizmeti sağlayıcısı veri işleyen statüsündedir. Zira taraflar arasındaki sözleşme gereği bulut hizmeti sağlayıcısının verileri kendi amaçları için kullanması mümkün değildir. Ayrıca bulut hizmeti sağlayıcısı, kendisi veri de toplamamaktadır. Tek faaliyeti kamu kuruluşundan gelen kişisel verileri yine kamu kuruluşunun talimatlarına uygun olarak saklamaktır.”

Yine, Kurul 13/04/2021 tarihli ve 2021/359 sayılı Karar’ında da bulut hizmeti sağlayıcısı olan şirketin, bulut hizmetinden yararlanan şirketin verdiği yetki kapsamında onun adına veri işleme faaliyetini gerçekleştiren veri işleyen sıfatını haiz olduğu ifade etmiştir.

Ancak önemle belirtmek gerekir ki, hiçbir değerlendirme yapılmaksızın bulut hizmet sağlayıcısı doğrudan veri sorumlusu olarak tayin edilmemelidir. Zira bulut hizmeti sunan bir şirket, hem veri sorumlusu hem de veri işleyen olabilmektedir. Bu şirketler, kendi çalışanlarının verileri bakımından “veri sorumlusu” olarak kabul edilirken müşterilerinin verileri bakımından “veri işleyen” olarak değerlendirilebilecektir.

Ek olarak, Kurul’un Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)’nde (“Teknik ve İdari Tedbirler Rehberi”) de belirtildiği üzere veri sorumlusu ve veri işleyen arasında veri aktarım sözleşmesi imzalanmalıdır. Yazılı bir şekilde veri aktarım sözleşmesi yapılarak tarafların veri sorumlusu/veri işleyen sıfatlarının, sorumluluklarının ve sorumluluk sınırlarının belirlenmesi adına oldukça önemlidir.

b) Kişisel Verilerin İşlenmesi ve Veri Güvenliğinin Sağlanması

Veri sorumlusu, veri merkezlerini kendi bünyesinde oluşturmak zorunda değildir. Zira veri sorumlusu, bulut bilişimin sağladığı avantajlardan yararlanmak isteyebilir ve kişisel verilerin bulutta işlenmesine karar verebilir. Ancak veri sorumlusu, Kişisel Verileri Koruma Kanunu’nda (“KVKK”) Kişisel Verilerin İşlenme Şartları başlıklı 5. maddesinin 2. fıkrasında veya Özel Nitelikli Kişisel Verilerin İşlenme Şartları başlıklı 6.maddesinin 3. fıkrasında belirtilen şartlardan birini sağlaması koşuluyla bulut üzerinden kişisel verileri işleyebilecektir.

Teknik ve İdari Tedbirler Rehberi’nde bulut üzerinde verilerin muhafaza edilmesinin, “…hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde getirebileceği…” belirtilmiştir. Bu sebeple, bulut hizmeti sağlayıcısı tarafından gerekli güvenlik önlemlerinin yeterli ve uygun bir şekilde alınıp alınmadığı veri sorumlusu tarafından kontrol edilmelidir. Yine aynı rehberde, bulutta işlenen verilere uzaktan erişilebilmesi için iki kademeli kimlik doğrulama kontrol sisteminin kurulması önerilmiştir. Ek olarak, kişisel verilerin depolanması ve kullanımı esnasında, kriptogtafik yöntemler ile şifrelenmesi, buluta şifrelenerek atılması ve mümkün olması durumunda, her bir bulut kullanımı için ayrı ayrı şifreleme anahtarlarının kullanılması gerektiği de belirtilmiştir. 

c) Özel Nitelikli Kişisel Verilerin İşlemesi

Özel nitelikli kişisel verilerin işlenmesinde ek teknik ve idari güvenlik önlemlerin alınmasını gerektirmektedir. Özel nitelikli kişisel verilerin bulutta tutulması durumuna ilişkin doğrudan bir düzenleme mevcut değildir. Ancak "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kurul’un 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı (“Karar”) ile özel nitelikli kişisel verilerin elektronik ortamda işlenmesi, muhafaza edilmesi ve erişilmesi halinde alınması gereken önlemler belirlenmiştir. Karar’a göre; 

- Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

- Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

- Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, 

- Gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması 

gerekmektedir. Bu kapsamda, bulut bilişimde özel nitelikli verilerin işlenmesine yönelik faaliyetlerde, yukarıdaki gerekliliklerin de sağlanması büyük önem arz etmektedir.

Öte yandan, Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’de özel nitelikli kişisel verilerden olan biyometrik verilerin işlenmesinde teknik bir önlem olarak Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmesi gerekliliği düzenlenmiştir.

d) Kişisel Verilerin İmha Edilmesi

KVKK’nın 7. maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesi uyarınca, hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından imha edilmesi gerekmektedir. Kurul tarafından yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi ve ya Anonim Hale Getirilmesi Rehberi’nde ise bulutta tutulan kişisel verilerin nasıl imha edilmesi gerektiğine ilişkin ek açıklamalara yer verilmiştir. Bu doğrultuda, ilgili rehberde “Hizmet Olarak Uygulama Türü Bulut Çözümleri (Ofice 365, Salesforce, Dropbox gibi) Bulut sisteminde veriler silme komutu verilerek silinmelidir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilmedir.” şeklinde belirtilmiştir.

Ek olarak, bulut bilişim hizmetinin sona ermesi halinde, bulutta kriptografik yöntemler ile tutulan kişisel verilerin kullanılır hale getirilmesi için gerekli olan şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekmektedir.

Tüm bunlarla birlikte, cihazın arızalanması ya da bakıma gönderilmesi durumunda kişisel verilerin yok edilmesi işlemleri aşağıda belirtilen şekilde gerçekleştirilmelidir: 

(i) İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin yukarıda belirtilen şekilde uygun yöntemlerin bir ya da birkaçı kullanılması suretiyle yok edilmesi,

(ii) Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,

(iii) Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması gerekmektedir.

e) Yurtdışına Veri Aktarımı

Sunucuları yurtdışında bulunan bulut hizmet sağlayıcılarının hizmetlerinden faydalanılması halinde yurtdışına veri aktarımı söz konusu olacaktır. Yurtdışına veri aktarımının hukuka uygun bir şekilde gerçekleştirilebilmesi için KVKK’nın 9.maddesinde yer verilen hükümlerin uygulanması gerekmektedir. Yurtdışına veri aktarımının yapılabilmesi için mevcut uygulanabilir üç yol vardır:

- İlgili kişinin açık rızasının alınması,

- KVKK’nın 5.maddesinin 2. fıkrasında veya 6.maddesinin 3. fıkrasında belirtilen şartlardan birinin varlığı,

- Veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul iznine başvurmaları,

- Bağlayıcı şirket kurallarının uygulanması.

Yukarıdaki yöntemlerden birinin varlığı halinde yurt dışı veri aktarımı kişisel verileri koruma mevzuatına uygun olarak gerçekleştirilecektir.

Sonuç olarak, gelişen teknoloji ve şirket ihtiyaçları dolayısıyla kullanımı artan bulut bilişimde, mevzuata uygun bir şekilde kişisel verilerin işlenmesi oldukça büyük bir öneme sahiptir. Veri sorumlusu/veri işleyenin doğru bir şekilde tespit edilmesine, yeterli güvenlik önlemlerinin alınmasına ve yurtdışı veri aktarımının mevzuata uygun bir şekilde gerçekleştirilmesine dikkat edilmelidir. Özellikle özel nitelikli kişisel verilerin işlenmesinde yukarıda detaylı olarak açıklanan teknik ve idari önlemlerin alındığından emin olunmalıdır. Bu sebeple, kullanılacak bulut bilişim yapısı ve türü de KVKK ve ikincil mevzuatlar göz önüne alınarak tercih edilmelidir. Aksi halde, yüksek meblağlara ulaşan idari para cezaları ile karşılaşma riski mevcuttur.