Ara
Close this search box.
Ara
Close this search box.

,

Aralık 21, 2023

Bulut Bilişim Sistemleri Aracılığıyla Alınan Hizmetlerde Veri Lokalizasyonu

GENEL OLARAK

İşbu makale; bulut bilişim sistemleri aracılığıyla veri depolama hizmetleri alanların, veri depolama yerlerinin yurt içinde bulundurulması zorunluluğu bulunup bulunmadığına ilişkin hukuki değerlendirmeler içermektedir.

Bulut bilişim sistemleri sahip oldukları büyük avantajlar sebebiyle pek çok sektör tarafından tercih edilmektedir. Ancak karşılaşılan siber saldırılar sebebiyle günümüzde veriler dağıtık şekilde bulut sistemleri aracılığıyla saklanmaktadır. İşbu makale çerçevesinde sair mevzuat hükümleri değerlendirilerek Türk Hukuku uyarınca şirketlerin hizmet alacakları bulut bilişim servislerinin yurt içinde bulunması zorunluluğunu gerektiren mevzuat hükümleri ele alınmıştır.

İlgili mevzuat hükümlerinde sıkça bahsedilecek olması sebebiyle öncelikle birincil ve ikincil sistemler tanımlarına aşağıda kısaca yer verilmektedir. Şirketlerin tabi oldukları ilgili mevzuattan kaynaklanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilerin elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamı “birincil sistemler” olarak ifade edilmektedir. Birincil sistemler aracılığıyla yürütülen faaliyetlerde bir kesinti olması halinde, kesinti süresince sürdürülebilirliği sağlayan ve birincil sistem yedekleri olan sistemler ise “ikincil sistemler” olarak tanımlanmaktadır.

BANKACILIK MEVZUATINA İLİŞKİN SINIRLAMALAR

Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından hazırlanıp 15.03.2020 tarihli ve 31069 sayılı Resmî Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“Yönetmelik”) kapsamında BDDK’ya tabi olan şirketler tarafından bulut bilişim sistemlerinin kullanılmasına ilişkin düzenlemeler yapılmıştır.

Yönetmelik’in “Birincil ve İkincil Sistemler” başlıklı 25. (yirmibeşinci) maddesinin 1. (birinci) fıkrasında bankaların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunlu hale getirilmiştir. İlgili maddenin 5. (beşinci) fıkrasında ise,

“Birincil veya ikincil sistemler kapsamında olan bir faaliyet için dış hizmet ya da bulut bilişim hizmeti alınması halinde, dış hizmet sağlayıcının sunduğu hizmete ilişkin faaliyetleri yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de birincil ve ikincil sistemler kapsamında ele alınır ve yurt içinde bulundurulur.”

hükmüne yer verilerek bankalar açısından getirilen hükmün sınırları çizilmiştir. Bankalar dış hizmet aracı olarak bulut bilişim sistemlerinden Yönetmelik hükümleri uyarınca bu sistemleri yurt içinde bulundurmak kaydıyla yararlanabileceklerdir.

İlgili Yönetmelik yukarıda belirtildiği üzere 15.03.2020 tarihinde Resmî Gazete’de yayımlanmış olmakla birlikte Yönetmelik’in 46. (kırkaltıncı) maddesi uyarınca 01.07.2020’de yürürlük kazanacaktır.

ELEKTRONİK PARA KURULUŞLARI VE ÖDEME KURULUŞLARINA İLİŞKİN SINIRLAMALAR

Elektronik para ve ödeme kuruluşlarının, 6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun (“6493 Sayılı Kanun”) kapsamında yürüttükleri faaliyetleri sırasında verilerini işlemek, saklamak ve iletmek amacıyla dış hizmet olarak bulut bilişim sistemlerinden faydalanabilecekleri Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ (“Elektronik Para ve Ödeme Kuruluşları Tebliğ”) ile düzenlenmiştir.

Elektronik Para ve Ödeme Kuruluşları Tebliği’nin “Bilgi Sistemlerine İlişkin Sınırlamalar başlıklı 16. (onaltıncı) maddesinde ödeme kuruluşları ve elektronik para kuruluşlarının birincil ve ikincil sistemlerin tıpkı bankalar gibi yurt içinde bulundurulması zorunluluğu getirilmiştir. Dolayısıyla elektronik para ve ödeme kuruluşlarının da dış hizmet olarak bulut bilişim sistemleri vasıtasıyla veri depolaması halinde veri merkezlerinin yurt içinde bulundurulması gerekmektedir.

SERMAYE PİYASASI MEVZUATINA İLİŞKİN SINIRLAMALAR

Bulut bilişim sistemleri aracılığıyla yurt dışında veri depolanmasına ilişkin hukuki sınırlamaların bulunduğu bir diğer alan ise Sermaye Piyasası Kurulu (“SPK”)’nun denetimine tabi olan şirketler bakımından düzenlenmiştir. SPK tarafından 05.01.2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanmış olan Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) (“Tebliğ”) ile SPK’ya tabi şirketlerin 6362 Sayılı Sermaye Piyasası Kanunu (“SerPK”) ile ilgili mevzuattan kaynaklanan görevlerini yerine getirmeleri için gerekli verilerin saklanmasına ilişkin düzenlemeler yapılmıştır.

Tebliğ’in “Bilgi Sistemleri Sürekliliği” başlıklı 26. (yirmialtıncı) maddesi uyarınca, SPK’ya tabi kurum, kuruluş ve ortaklıkların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunludur.

Bu çerçevede SPK’ya tabi şirketler de birincil ve ikincil sistemlerini yurt içinde bulundurmakla yükümlüdürler. Tebliğ kapsamında uygulanacak olan sınırlama bulut bilişim sistemleri aracılığıyla verilerin depolanması halinde de uygulanacaktır. Sonuç olarak yukarıdaki faaliyetler kapsamında bulut bilişim sistemleri aracılığıyla veri depolanması ancak yurtiçinde gerçekleştirilebilecektir.

FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNE İLİŞKİN SINIRLAMALAR

Finansal kiralama, faktoring ve finansman şirketlerinin, 6361 Sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Hakkında Kanun (“6361 Sayılı Kanun”) kapsamında faaliyetlerini gerçekleştirirken kullandıkları bilgi sistemlerine ilişkin düzenlemeler içeren Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ (“Finansman Şirketleri Tebliği”) 06.04.2019 tarihinde 30717 sayılı Resmi Gazete’de yayımlanmıştır.

Finansman Şirketleri Tebliği’nin “Diğer Hükümler” başlıklı 15. (onbeşinci) maddesi ile finansal kiralama, faktöring ve finansman şirketlerine için bulut bilişim sistemlerinin kullanımına ilişkin sınırlamalar getirilmiştir. Bu kapsamdaki finansal kiralama, faktöring ve finansman şirketlerine birincil ve ikincil sistemlerini yurt içinde bulundurma zorunluluğu getirilmiştir. Dolayısıyla yukarıda ifade edilen şirketler, dış hizmet almak vasıtasıyla birincil ve ikincil sistemlerini bulut bilişim veri tabanı kullanarak sağlayacak ise bulut bilişim veri tabanlarının yurt içinde bulundurulması zorunluluğu bulunmaktadır.

SONUÇ VE DEĞERLENDİRME

Sonuç olarak Türkiye’de yürürlükte bulunan mevzuat hükümleri uyarınca; şirketlerin faaliyetlerini sürdürürken bulut bilişim hizmeti almaları durumunda bu hizmeti yurt içinde tutmaları, birincil ve ikinci sistemlerini yurt içinde bulundurmaları ve veri depolama faaliyetlerini yurt dışında gerçekleştirememeleri yönünde genel nitelikte bir sınırlama bulunmamaktadır. Ancak, işbu makalede de ifade edildiği üzere;

  1. BDDK’ya tabi şirketler ve bankalar,
  2. Ödeme kuruluşları ve elektronik para kuruluşları,
  3. SPK’ya tabi şirketler,
  4. Finansal Kiralama, Faktoring ve Finansman Şirketleri

tabi oldukları özel mevzuat hükümleri gereğince bulut bilişim sistemlerini veri depolamak amacıyla kullanmaları halinde bu verileri depolayacak veri merkezlerini ülke sınırları içerisinde bulundurmakla yükümlüdürler.

Bu çerçevede bulut bilişim sistemleri aracılığıyla veri depolanması hizmetini alacak kimselerin yukarıda değinilen mevzuat düzenlemelerine tabi sektörlerde faaliyet göstermemesi halinde bulut bilişim sistemleri aracılığıyla veri depolanması sırasında verilerin yurt içinde depolanmasına ilişkin bir sınırlamaya tabi olmayacakları söylenebilir.

Saygılarımızla,

Kılınç Hukuk & Danışmanlık

Yazarlar

Eren Can Ersoy

Eren Can Ersoy

Kıdemli Avukat