Bu yazımızda; varlığı da yokluğu da sorun olmaya başlayan Bulut hizmetlerini, AB dışında bulut ve diğer hizmet veren şirketleri ve GDPR ile ilişkisini inceleyeceğiz.
Aslında fark etmediğimiz ve belki de kendilerinin de fark etmediği kadar Türk şirketi internet, mobil uygulama vb üzerinden Avrupa Birliği üye vatandaşlarına mal ve hizmet sunumu yapmaktadır hatta bazen yurt dışına verilen hizmet yerel profile verilen hizmetten daha değerli hale bile gelebilmektedir. Mayıs ayında aşil tendonu ameliyatım sonrası istirahatte iken şehir dışından gelen telefon, benim de açıkçası pek duymadığım ve bilmediğim bir organizasyondan idi. Son derece iyi niyetli ve saygılı yöneticilerinden birisi bir GDPR ve danışmanlığı ile ilgili bilgi edinmek istiyordu. Şirketin ekosistemini öğrenmek için sorduğum bazı sorular sonucunda hiç de bilmediğim duymadığım şirket ve hizmet alanları olduğunu, çoktan Viyana kapılarını geçtiğimizi anladım girişimci kafalarımız ile… Şirket bir online dating şirketi idi, yurt dışına ve yurt içine hizmet veriyordu. Ve aynı Mayıs ayı GDPR’ın hayata geçme termini nedeni ile yöneticiler tarafından da doğal olarak uyum çalışmaları yapmak istiyorlardı. Bu yönleri ile takdire şayanlardı ama yerel veri koruma kanununa uyum ile ilgili çalışmalarının ne aşamada olduğunu ve öncelikle bu kanunumuza uyum sağlanması gerektiğini söylediğim zaman, domestic profillerini feda edebileceklerini ve yerel hizmet yelpazelerini sonlandırma düşünceleri ile şaşırtmışlardı beni… Konuşmanın ileri safhaları, Veri Sorumlusu ve İşleyen yükümlülüklerinin sadece hizmet alanları ile sınırlı olmadığı, çalışanların, adayların, tedarikçi çalışanları vb. profillerin de kanunumuza uyum mükellefiyeti doğurduğunu anlatarak ilerledi ve değerlendireceklerini söyleyerek görüşme sonlandı. Kim bilir bu gibi kaç tane şirketimiz var, acaba diğer şirketlerimizde de bu kadar farkındalık var mıdır bilmiyorum ama Avrupa Birliği gayet farkında ve birlik vatandaşlarına ait kişisel verileri koruma adına GDPR’da aşağıda belirtilen maddeler ve Weltimmo tipi davalar bu işi ne kadar ciddiye aldıklarının göstergesidir.
Bulut bilişime döner ve tanımından başlayacak olur isek;
“Bulut Bilişim”i bilgi teknolojileri servislerinin internet üzerinden alındığı durumlar olarak özetleyebiliriz. Bu servisler, organizasyonun kendi “özel bulut”u ya da üçüncü taraf tedarikçiler aracılığı ile temin edilebilir. Servisler arasında, yazılım, altyapı (ör: grup sunucu yapıları), hosting ve platformlar (ör: işletim sistemleri) sayılabilir. Günümüzde nerelerde kullanmıyoruz ki bulutu? web ortamındaki mail’lerden kurumsal veri depolama çözümlerine kadar birçok uygulama olarak karşımıza çıkıyor. Bunlar aşağıdakiler ile sınırlı olmamak üzere farklı tiplerde servis modelleri olarak hayatımıza girdi:
· Servis olarak altyapı (IaaS – Infrastructure as a Service ): Bu yapı, hizmet sağlayıcının yalnız uzaktan erişim ve kullanım olanağı sağladığı fiziksel bilişim kaynaklarıdır. İşletim platformu ve tüm uygulamaların hem sağlanması hem de kurulumu servis edinen sorumluluğundadır.
· Servis olarak platform (PaaS – Platform as a Service): Bu hizmet yapısında tedarikçi, işletim sistemlerine uzaktan erişim ve kullanım olanağının yanı sıra temel donanımı da sağlar, ancak, uygulamaların sağlanması ve kurulumundan hizmet alıcı sorumludur.
· Servis olarak yazılım (SaaS – Software as a Service): Bu yapıda ise, hizmet sağlayıcının tümüyle altyapı, platform ve uygulamayı sağladığı durumlardır.
Bu servisler genellikle aşağıda sayılan genel özelliklere sahiptir:
· Güvenlik önlemleri, lokasyon ve işleme için uygulanabilir servis standartlarını tedarikçi belirler.
· Müşteri verileri, kapasiteye bağlı olarak servis sağlayıcının altyapısı içinde dağıtıktır.
· Servis altyapısı ve kaynakları, tedarikçinin müşterileri arasında paylaşılır ve birden fazla ülkede konumlandırılmış olabilir.
Geleneksel yaklaşımda bir kuruluşun işletim sistemi, programları ve verileri ya bilgisayarlarında ya da kuruluşun kendi sunucularında bulunur. Bulut sistemleri bu modeli önemli ölçüde değiştirmiştir. Söz konusu sistem, program ve/veya veriler, dünyanın herhangi bir noktasında, kendi kullanıcılarına özel olarak kuruluşun kendisi tarafından ya da bir servis sağlayıcı tarafından yönetilebiliyor.
Bulut bilişim konusunda an itibarı ile AB’e yönelik düzenleyici herhangi bir yasama aracı bulunmasa da (devam eden süreçler mevcut, ör. CISP ve EDPB görüşmeleri) teknolojik açıdan tarafsız olan Genel Veri Koruma Tüzüğü (GDPR), veri sorumluları için yükümlülükler tesis ediyor.
İlişkili Regülasyon Hükümleri ve Yaklaşımlar
Şimdi GDPR’a göz atalım ve bulut ile ilişkisine değinelim:
Madde 3.1: Bu Tüzük, işleme faaliyeti Birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, Birlik içerisindeki bir veri sorumlusu veya işleyicinin işletmesinin faaliyetleri bağlamında kişisel verilerin işlenmesi için uygulanır.
Madde 3.2: Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir veri sorumlusu veya işleyici tarafından işlenmesi için uygulanır:
Madde 3.2.a) Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya
Madde 3.2.b) Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.
Bu hükümlerin Madde 3.1’i için, GDPR’nin yerini aldığı Veri Koruma Direktifi 95/46/EC içeriğinde de kapsamda idi. Ancak, Avrupa Birliği Adalet Divanının yakın tarihli davalarında bu koşulu çok geniş olarak yorumladı. Divan; Weltimmo Davasında, söz konusu ‘kurulmuş’luğu (establishment) nelerin oluşturduğu konusunda önemli bir yön belirledi ve bu durumun kuruluş düzenlemelerinin istikrarlılık derecesine ve faaliyetlerinin etkin biçimde uygulanıp uygulanmadığına dayalı olarak yorumlanacağını ifade etti. Weltimmo şirketi, Macaristan‘da bir web sitesi üzerinden emlak komisyonculuğu hizmeti veren bir Slovak şirketiydi. Avrupa Birliği Adalet Divanı, aşağıdaki koşullara sahipliği ışığında Weltimmo’nun Direktif bağlamında Macaristan’da bir ‘kuruluş’ olduğunu tayin etti:
· Macaristan’da bir banka hesabının bulunması.
· Macaristan’da bir posta kutusunun bulunması;
· Macaristan’a yönelik ve Macar dilinde oluşturulmuş bir web sitesinin bulunması;
· Mahkeme işlemlerinde temsil ve borç tahsilatı amaçları için Macaristan’da bir temsilcisinin bulunması;
Dolayısı ile bu dava, bir Avrupa Birliği üye ülkesindeki minimal faaliyetlerin bile Avrupa veri koruma yasaları bağlamında bir kuruluş, tesis olarak değerlendirilmesi için yeterli olabileceğini teyit etmiştir.
Yine başka bir Avrupa Birliği Adalet Divanı davasında AB dışındaki şirketin muallak ve AB vatandaşlarını hedeflemediğini öne sürdüğü faaliyetleri ile ilgili olarak verdiği kararda (ki bence şirketi yakaladığı muazzam nokta atışları var); AB müşterilerini hedefleme niyetinin aşağıdaki indikatörler ile belirli olduğunu karara bağlamıştır.
- ‘patent’ kanıtı: bir AB üye devlet içindeki kişilerin erişimini kolaylaştırmak amacıyla bir arama motoruna para ödenmesi
- (muhtemelen birbirleriyle kombinasyon halinde) aşağıdakileri içeren diğer faktörler: İlgili faaliyetin “uluslararası niteliği” (örneğin, turistik faaliyetler); uluslararası kodlu telefon numaralarının tahsisi; tüccarın kurulu olduğu ülke dışında başka bir üst alan adının (domain) kullanılması ve alınması (örneğin, .de veya .eu alan bir ABD kuruluşu); AB üye devlet dillerinde kullanım kılavuzu ve rehberler; “çeşitli Üye Devletlerde yerleşik müşterilerden oluşan uluslararası müşteri” tanımlarının geçtiği sözleşmeler
Ayrıca son içtihat kanunları, kişisel veri işleyen AB dışından bir veri sorumlusu ile AB merkezli bir kuruluş arasındaki bir ekonomik bağlantının, veri sorumlusunun faaliyetlerinin Tüzük’e tabi olacağı anlamına geldiğini de gösteriyor.
Madde 3 koşullarının Direktif’e dahil edilmemiş olan ikinci kolu, Avrupa veri koruma yasalarının uygulanabilirliğinde önemli bir gelişmeyi temsil ediyor. Bu sayede veri işleyen ya da veri sorumlusu, işlediği kişisel verilerin, AB’de bulunan bireylerin davranışlarının izlenmesi ya da bu kişilere hizmet veya ürün sunulmasına ilişkin olması halinde, bir AB kuruluşu olsun ya da olmasın, Tüzük kapsamında değerlendiriliyor.
Bu bağlamda bulut servis sağlayıcıları; bu koşullardan herhangi birinin, tüm veri işleme faaliyetlerini ya da bir kısmını Avrupa veri koruma yasaları kapsamına getirip getirmediği konusunu dikkate almak durumundalar. Bu işleme faaliyetleri, doğrudan Tüzük’e tabi olmasa bile müşterilerinin Tüzük’e tabi olması halinde, müşterilerin bulut servis sağlayıcısına, kişisel verilerin kullanımı için aynı şartları içeren sıkı veri işleme sözleşmeleri imzalatmaları zorunluluğu geliyor.
Nihayetinde düşünelim; biz veya bir AB vatandaşı kişileri verilerimizi bir organizasyona belirli hukuki zeminlere oturması gereken işleme süreçleri için emanet ediyoruz. Organizasyon da; gerek kendi gerek İlgili Kişi’lerin menfaati için teknolojiyi kullanarak, tarafların hayatını kolaylaştıran “bulut hizmetleri”ni sunan bulut servis sağlayıcılarına emaneti emanet ediyor. Bu bağlamda kullanılan teknolojinin karmaşıklığını, işleyişini (fail over, load balance, disaster restorations, security concerned infrastructures,vb) ve devimine ait kontrollerini, TAM MANASI ile ne bizim ne de emanet ettiğimiz ve hesap sorulacak (veri sorumlusu) olan ilk şirketin bilmesine olanak görünmüyor. Eee zaten oturmuş bir standart da henüz yok, bu durumda elleri kuvvetlendirecek, kontrol bağlamında elimizde sahip olabildiğimiz son ipin ucu ve yükümlülük paratoneri olabilecek yegane geriye kalan bağlayıcı şey, Veri Sorumlusunun bulut hizmet sağlayıcısı ile yaptığı sözleşmelerdir kanaatindeyim.
Bir sonraki yazımızda GDPR yaklaşımı ile Bulut Bilişim hizmeti alımında en önemli nüanslardan olan;
- Bulut bilişim firmaları ile yapılan sözleşmelerde nelere dikkat edildiği ve
- Bulut bilişim kullanımı ile uluslararası veri transferlerinde regülasyonlar ile uyum sağlamak için hangi hukuka uygun yolların kullanıldığına
değinmeye çalışacağım.
Sağlıcak ve Esenlikle…
DRUCKER KÖŞESİ
“İnsanlarla ilgili kararlarınızı önceliğiniz haline getirin.
İnsanlarla İlgili Doğru Yargıda Bulunma:
Bu kararlar için daha çok zaman ayırın, böylece vaktinizi pişman olmakla harcamazsınız.”