Mobile logo
Top

Bulut Seçiminde Dikkat Edilmesi Gerekenler

Veri Güvenliği Veri Koruma Yazı

Bulut Seçiminde Dikkat Edilmesi Gerekenler

Bulut (cloud) teknolojileri, gerek maliyet avantajı gerekse de her ortamdan erişilebilirlik sağlamasından ötürü gün geçtikçe daha popüler hale geliyor. Bu bağlamda kurumlar da, ister istemez kişisel verileri içeren sayısız dökümanı/ veritabanını bulut teknolojileriyle entegre etme eğilimine giriyor. Peki kişisel verileri buluta yüklemek ne ölçüde güvenli ve nelere dikkat etmek gerekiyor? Bulut teknolojisinin kullanımı için veri sahiplerinden açık rıza alınması zorunlu mu?

Bilindiği üzere bulut, sunucuları genellikle birden fazla ülkede bulunan bir sunucu ağı. Dolayısıyla buluta bir veri aktarırken esasında bir bilgisayara veri aktarımı gerçekleşmiş oluyor. Bu sebeple bulut sağlayıcı firmaya emanet edilen veriler de, iç ve dış ihlallere açık şekilde tutuluyor. Hele ki; veri ihlali bulut sağlayıcı  firmadan kaynaklansa bile hizmet alan şirketin sorumluluğu tümüyle ortadan kalkmadığından, Bulut sağlayıcı firma seçerken belirli hususlara dikkat edilmesi gerektiği daha açık anlaşılacaktır.

Öncelikle belirtelim ki, kişisel verileri buluta yüklemek için genel kural olarak açık rıza alınmak zorunda olunsa da, her durumda veri sahibinin açık rızası gerekmiyor. “Açık Rızanın İstisnaları” başlıklı yazımızda belirttiğimiz veri işleme şartlarından en az birinin varlığı halinde, açık rıza olmadan da verilerin bulut firmasına aktarılabilmesi mümkün.

Örneğin, bir şirketin hukuka uygun olarak elde ettiği belirli müşteri bilgilerini dijital depolama alanının yetersiz kalması nedeniyle bulutta saklaması için müşterilerin rızasının varlığı aranmayabiliyor. Bu kapsamda şirketlerin her veri aktarım faaliyeti özelinde hukuki bir değerlendirme yapması ve açık rıza alınması gereken noktaları tespit etmesi gerekiyor.  

Bulut Sağlayıcı Firma Seçiminde Hangi Kriterleri Önemli?

A) Olası Siber Saldırılara Karşı Güvenlikli Olması

Her ne kadar siber saldırılara karşı gerekli güvenlik önlemlerini almış olması bir bulut firmasının olmazsa olmaz özelliklerinden olsa da; işin içine kişisel verilerin korunması da girince bu parametrenin önemi daha da artıyor. Kişisel verileri buluta yükleyen firma saldırılara karşı sorumluluğu üzerinden atmıyor olup hala veri sorumlusu olma niteliğini koruduğu için tedbirlerin alınması hususunda veri işleyen sıfatını taşıyan Bulut Sağlayıcı Firma ile birlikte müştereken sorumlu olmakta. Dolayısıyla kişisel verileri buluta yükleyen firma, Bulut Sağlayıcı Firma’yı seçerken gerekli incelemeyi hatta mümkünse denetimleri yaptığını ispatlayabilmesi ve Bulut Sağlayıcı Firma’nın saldırılara karşı gerekli önlemlere sahip olduğundan emin olması gerekmektedir.

B) Bulut Sağlayıcı Çalışanlarının Verilere Erişiminin Olmaması

Suistimal riski olduğundan ve güvenlik zafiyeti doğurduğundan ötürü Bulut Sağlayıcı Firma’nın çalışanlarının da kişisel verilere hizmetin doğasının gerektirdiği haller dışında ulaşamıyor olmasında fayda var. Mesela verilerin bulutta bir kriptografik şifreleme yöntemi ile tutuluyor olması ve bu şifreye çalışanlarca dahi erişilemiyor olması kişisel verilerin korunması adına önemli bir fayda sağlayacaktır.

 C) Sunucuların Kişisel Veri Politikaları Açısından “Güvenli” Ülkelerde Olması

Bilindiği üzere Bulut Sağlayıcı Firmalar, sunucularını birden fazla ülkede tutuyor olup kullanıcılar, yüklediği kişisel verilerin (ve kopyalarının) hangi ülkedeki sunucularda tutulduğunu bilemeyebilmektedir. Sunucular Kişisel Verileri Koruma Kurulu’nun “yeterli korumanın bulunduğunu” ilan ettiği ülkelerde olabileceği gibi “yeterli korumanın bulunmadığı” ülkelerden de olabilir. Bu noktada; kişisel verileri, sunucuları güvenli olmayan ülkelerde bulunan bir Buluta yükleyen gerçek veya tüzel kişinin önünde iki seçenek var:

  • (Veri işleme şartlarından en az biri var olmak kaydıyla) Türkiye’deki Veri Sorumlusu’nun ve aktarım yapılacak yabancı ülkedeki Bulut Sağlayıcı Firma’nın yeterli korumayı yazılı olarak taahhüt etmesi ve Kurul tarafından bu aktarıma izin verilmesi,
  • Bu mümkün değilse, yurt dışına aktarım için veri sahibinin açık rızasının alınması.

Ayrıca bulut hizmeti alan firmalar; buluttaki verilerin, bulut sağlayıcısının kanunen yükümlü olduğu resmi makamlar tarafından talep edilmesi, incelenmesi hatta kamuya açıklanması olasılığını da göz ardı etmemelidir. Eğer bu tarz bir inceleme bulut hizmeti alan firmaların bağlı olduğu hukuka uygun değilse, bulut hizmeti alan firmanın hukuki ve cezai sorumluluğu gündeme gelebilecektir.

D) Bulut Sağlayıcı Firma’nın Kişisel Veriler Açısından Hassas Olması

Kişisel verileri buluta yükleyen firmaların en fazla dikkat etmesi gereken hususlardan birisi de Bulut Sağlayıcı Firma’nın etkili bir kişisel verileri koruma politikasına sahip olup olmadığıdır. Eğer Bulut Sağlayıcı Firma kişisel verileri meşru olmayan yollarla işliyorsa, silmesi gerektiği halde silmiyorsa, kişisel verileri yeterince güvenli olmayan sunucularda veya ülkelerde barındırıyorsa, personeline gerekli eğitimi vermiyorsa (bu gibi örnekler daha da artırılabilir) Bulut Sağlayıcı Firma’nın kişisel veriler açısından hassas davranmadığı rahatlıkla söylenebilir. Bu noktada (mümkünse Avrupa Konseyi’nin konuya ilişkin Model Sözleşme setlerine uygun olarak) Bulut Sağlayıcı Firma ile yazılı bir sözleşme yapılması yerinde olacaktır.

 E) Bulut Sağlayıcı Firma’nın Güçlü Bir Mali Altyapıya Sahip Olması

Verilerin emanet edildiği Bulut Sağlayıcı Firma’nın güçlü bir mali altyapıya sahip olması zaten önemli bir husus iken, kişisel verilerin korunması da hesaba katıldığında bu maddenin önemi daha da artmaktadır. Bu noktada Bulut Sağlayıcı Firma’nın mali gücü ile ilgili kişisel verileri buluta yükleyen veri sorumlusunun, kendinden beklenen özeni yerine göstermiş ve gerekli araştırmaları yapmış olması gerekmektedir.

Zira olası bir finansal zorlukta bulut Sağlayıcı Firmanın iflasın eşiğine gelmesi yahut sunucularının haczedilmesi gibi durumlar, kişisel verilerin güvenliğine gölge düşürecektir. 

Toparlamak Gerekirse;

Kişisel verileri buluta yükleyen gerçek yahut tüzel kişi tüm sorumluluktan kurtulmamış olup bir veri sorumlusu olarak kendinden beklenen azami sorumluluğu göstermiş olması gerekmektedir. Görüldüğü üzere yalnızca kişisel verisi işlenen kişilerde alınan açık rıza yeterli olmayıp yukarıda sayılan hususlarda azami özen gösterilmek durumundadır. Hatta olası uyuşmazlıklarda gerekli özen ve dikkati yerine getirdiğini ispatlayabilecek bilgi ve belgelere de sahip olması elzemdir. Aksi takdirde veri sorumlusu olarak birtakım cezai ve hukuki yaptırımlarla karşı karşıya gelme ihtimali gündeme gelecektir.

11 Ocak 2018
0
0
bulut veri aktarımı
Related Posts
Duvarlar Yükselirken Bulutlar Çekiliyor mu?
 2 Ocak 2020
Kişisel Verilerin Aktarılması
 15 Nisan 2018
Oğuz Yavuz
Oğuz Yavuz
Yorum Bulunmuyor

Yorum Yapın