I. GİRİŞ
Bulut veri tabanı; verileri oluşturan bilgisayardan uzak bir yerde konumlanmış sistem aracılığıyla, verilerin “hardware” olarak tabir edilen donanımlar (bilgisayarlar, saklama üniteleri) vasıtası ile depolandığı ve bahsi geçen verilerin cihaz ve lokasyon farkı olmadan internet üzerinden depolandığı yerden kullanıcının yeniden erişimine elverişli hale geldiği sistemdir. Bahsi geçen teknolojik gelişmelerin yurtdışında çok daha hızlı bir şekilde ilerlemesi ve hizmeti veren şirketlerin ağırlıklı olarak yurtdışı temelli olması göz önünde bulundurulduğunda bulut veri tabanı hizmeti alan kişi veya şirketlerin önemli bir bölümünün bu hizmeti yurtdışında yerleşik hardware sistemleri aracılığıyla almakta olduğu görülmektedir. Bununla birlikte, ülkemizde de yaşanan teknolojik gelişmelere paralel olarak bu alanda önemli teknik yeniliklerin sağlandığı ve hukuki altyapının da oluşturulmaya başlandığını söylemek mümkündür. İşbu makalede bulut bilişim teknolojisinin hukuki boyutu ve tabi olduğu yasal mevzuat ele alınmıştır.
II. BULUT BİLİŞİM SİSTEMLERİNE İLİŞKİN KAVRAMLAR
Bulut bilişim sistemlerinin hukuki yönden incelenmesine geçmeden önce bu sistemlerin teknik boyutunu daha iyi kavrayabilmek adına bu sistemlerin türlerini kısaca açıklamak faydalı olacaktır. Bu kapsamda, üç çeşit bulut bilişim sisteminden bahsetmek mümkündür.
- Genel bulut ortamları, üçüncü bir taraf olarak bulut tabanlı bir platform, altyapı, uygulama ya da depolama hizmetleri sunan bulut hizmeti sağlayıcısı tarafından işletilen bulut sistemleridir. Genel bulutta tüm donanım, yazılım ve diğer destekleyici altyapı bulut sağlayıcısına aittir ve bu sağlayıcı tarafından yönetilir.
- Özel bulut ortamları, adından da anlaşılacağı üzere özel olarak tek bir kurum veya kuruluş tarafından kullanılan bulut ortamlarıdır. Bu ortamlar fiziki olarak hizmeti kullanan kurum veya kuruluşun merkezinde bulunabileceği gibi üçüncü bir taraf hizmet sağlayıcısı da bu kapsamda kullanılabilir.
- Hibrit bulut ortamları ise özel ve genel bulut ortamlarının bir araya getirilmesiyle oluşturulan farklı bulut servisleri üzerindeki çeşitli bilgileri, yazılımları, uygulamaları ve diğer verilerin daha kolay yönetilmesini sağlayan bulut ortamlarıdır.
Yukarıda bahsedilen bulut bilgi işlem sistemleri aracılığıyla bulut hizmet sağlayıcısı tarafından kullanıcıya sunulan hizmet kalemlerinden bahsetmek ise daha aydınlatıcı olacaktır. Bu kapsamda üç çeşit hizmetten bahsedilebilir:
- Altyapı Hizmeti (IaaS), kullanıcının ihtiyaç duyduğu; işlemci, depolama, ağ kaynağı gibi temel bilişim kaynaklarının hizmet sağlayıcı tarafından sağlandığı hizmet türüdür. Bu sistemde kullanıcının altyapı üzerinde tam bir hakimiyeti olmamakla birlikte işletim seviyesinde bir yetkisi bulunmaktadır.
- Platform Hizmeti (PaaS), hizmet sağlayıcı tarafından kullanıcıya kendi uygulamasını geliştirip, çalıştırabileceği bir platform ile tamamlayıcı servislerin ve gerekli teknolojik altyapının sunulmasının sağlandığı hizmet türüdür. Kullanıcı tarafından geliştirilen uygulamalar ve hizmetler bağımsız şekilde yönetilebilirken, diğer her şey bulut hizmet sağlayıcısı tarafından yönetilir.
- Yazılım Hizmeti (SaaS), hizmet sağlayıcı tarafından sunucu üzerinde bulundurulan yazılım uygulamasının birden fazla kurum veya kuruluşa kullanıma sunulmasının sağlandığı hizmet türüdür.
III. BULUT BİLİŞİM SİSTEMLERİNİN HUKUKİ BOYUTU
Yukarıda detaylı olarak açıklan bulut bilişim sisteminin tarafları, verilen hizmetler ve hizmetlerin verilmesinde kullanılan metotlar, işbu makalenin konusunu oluşturan bulut bilişim sistemlerinin hukuki yönünün anlaşılması için zaruridir. İfade etmek gerekir ki; bulut bilişim sistemlerinin hukuki boyutu çok taraflı ele alınmalıdır. Bir yanda kullanıcı ile hizmet sağlayıcı arasında hizmet alımına ilişkin sözleşmesel ilişkiye dayalı hukuki bir durum varken diğer yanda bulut sisteminde saklanan veriler bakımından 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hükümleri hukuki olarak önem arz etmektedir.
Diğer taraftan; bankacılık ve sermaye piyasaları gibi özellik arz eden sektör ve alanlarda getirilen özel düzenlemeler de bulut bilişim sistemlerine ilişkin uygulamalarda göz önünde bulundurulmalıdır.
Hizmet Sağlayıcı ve Kullanıcı Arasındaki İlişkinin Hukuki Niteliği
Bulut bilişim sistemlerine ilişkin olarak kullanıcı ve hizmet sağlayıcı arasında tesis edilen ilişki ve buna ilişkin akdedilen sözleşmeler incelendiğinde; bu tür sözleşmelerin nitelikleri sebebiyle hizmet sözleşmesi olarak sınıflandırması çok genel bir niteleme olacaktır. Zira temel anlamda hizmet sağlayıcı tarafından kullanıcıya sunulan bir hizmet olduğu açık olmakla birlikte hizmetin niteliği ve teknik özellikleri nazara alındığında aynı zamanda kullanıcıya ait verilerin saklanması ve muhafaza edilmesi de söz konusu olmaktadır.
Bulut bilişim sistemlerine ilişkin sözleşmeler bu yönüyle 6098 sayılı Türk Borçlar Kanunu (“TBK”) m. 561’de düzenlenmiş olan “genel saklama sözleşmesi” ile de benzerlikler içermektedir. Ancak bu tip sözleşmeleri salt saklama (vedia) sözleşmesi olarak nitelendirmek de sözleşmenin muhteviyatını tam anlamıyla karşılamamaktadır. Genel saklama sözleşmeleri bir taşınırın fiziken saklanması, saklayan tarafından kullanılmaması ve gerektiğinde TBK’daki şartlarda geri verilmesi gibi veri saklama işleminin niteliği ile tam olarak örtüşmeyen ve çoğunlukla bir taşınırın fiziken saklanması durumunu karşılayan hükümler içermektedir.
Yukarıda belirtilen sebeplerle kullanıcı ve hizmet sağlayıcı arasında akdedilen bulut sistemi hizmetlerine ilişkin sözleşmenin atipik bir sözleşme olduğu söylenebilir. Bu doğrultuda da bu sözleşmelerin tanzim edilmesinde veri saklama işleminin ve bulut bilişim sistemlerinin kendine has özellikleri, riskleri, avantaj ve dezavantajları göz önünde bulundurulmalı kullanıcıya sağlanacak hizmetin, tarafların hak ve yükümlülüklerinin detayları, gizlilik ve kişisel verilerin korunması hükümleri bu çerçevede değerlendirilmelidir.
Bulut Bilişim Sistemlerinin KVKK Yönünden Değerlendirilmesi
Bulut bilişim sistemlerinin hukuki yönü bakımından KVKK hükümlerinin büyük bir önem arz ettiği açıktır. Bulut sistemlerinin veri depolama işlevi, kişisel verilerin saklanması, korunması ve aktarımı bakımından veri sorumlusunun KVKK kapsamında yükümlü olması sonucunu doğurmaktadır. Bulut depolama hizmeti sağlayıcısı ile birlikte hizmet alan kullanıcı da Kişisel Verileri Koruma Kurumu (“Kurum”)’nun kararları ve emsal niteliğindeki görüşleri uyarınca bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığını değerlendirmekle yükümlüdür.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması Kurum tarafından önerilmektedir. Ayrıca verilerin korunması yolu olarak bulut sistemlerinde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifreleme yapılması, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması önerilmektedir.[1]
Bulut Bilişim Sistemlerine İlişkin Özel Düzenlemeler
Yukarıda belirtilen temel hukuki boyutların yanı sıra, özel mevzuat düzenlemeleri ile de bulut bilişim sistemlerinin hukuki niteliğine ilişkin esaslar belirlenmektedir.
Bankacılık mevzuatı bakımından Bankacılık Denetleme ve Düzenleme Kurulu (“BDDK”) tarafından Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“Yönetmelik”) çıkarılmış olup Yönetmelik’in yürürlük tarihi olarak 1 Temmuz 2020 belirlenmiştir. Söz konusu Yönetmelik ile bankaların bulut hizmet modelinin avantajlarından yararlanırken, risklerinden kaçınmalarını sağlamak üzere özel ve genel bulut hizmeti kullanımına ilişkin düzenlemeler yapılmıştır.
Bulut bilişim sistemlerinin bir diğer hukuki yönü ise Sermaye Piyasası Kurulu (“SPK”) tarafından çıkarılan Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği ile getirilen ve SPK tarafından denetime tabi olan şirketlerin bulut bilişim sistemleri bakımından sahip olmaları gereken özelliklere ilişkin düzenlemelerdir. Bu şirketler tarafından bulut veri tabanına yüklenecek veriler şirketlerin birincil veya ikincil sistemleri olarak adlandırılan verileri olduğu takdirde seçilen bulut veri tabanının veri saklama merkezinin (hardware, yani veriyi saklayan fiziksel donanımlarının) yurt içerisinde olması gerekmektedir. Örneklendirmek gerekir ise; elektronik posta hizmeti için bulut hizmeti kullanılması istenmekte ise bu bulut hizmetinin veri merkezinin yurtiçinde olması gerekmektedir.
IV. SONUÇ
Ticari hayatta ve iş dünyasında sıkça karşılaşılan pek çok soruna pratik çözümler getiren bulut bilişim sistemleri hızla gelişmeye devam etmektedir. Sağladığı avantajların yanında bulut depolama hizmetinin herhangi bir hizmet ilişkisine oranla özellik arz etmesi, kişisel verilerin korunması anlamında ihlallere sebep olunması gibi önemli riskleri ve zorlukları da beraberinde getirmektedir.
Genel nitelikteki hukuki düzenlemelerin yanı sıra bankacılık veya sermaye piyasaları gibi özel alanlardaki yasal düzenlemeler de bu sistemlerin kullanıcılar tarafından kullanılmasında birtakım sınırlamalar veya uyulması gereken usuller getirmektedir.
Belirtilen mevzuat düzenlemelerinin henüz yeni ve başlangıç aşamasında olduğu göz önüne alındığında daha ayrıntılı düzenlemelerin gerektiği ve bu süreçte uygulamada hataların ve hukuki yanlışların önüne geçilebilmesi amacıyla azami düzeyde özen gösterilmesi gerektiği açık bir şekilde görülmektedir.
Saygılarımızla,
Kılınç Hukuk & Danışmanlık
[1] Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), Kişisel Verileri Koruma Kurumu, s.22,2018