By 
Bulut bilişim, şirketlerin yüksek maliyetlerin altına girmeksizin üst düzey teknoloji altyapısına sahip olmalarını mümkün kılıyor. Elbette işletmenin bulut bilişim sağlayıcısı ile çalışmasının getirileri, altyapı maliyetlerinden kurtulmakla kalmıyor aynı zamanda şirketlerin güvenlik, performans ve sürdürülebilirlik gibi konularda global standartlara ulaşmasını sağlıyor.
Ancak faaliyetlerine bulut üzerinden devam etme kararı alan şirketlerin göz önünde bulundurması gereken çok sayıda değişken mevcut. Tercih edilen veri merkezinin müşterilere uzaklığı süreçlerdeki gecikmede, sağlayıcı şirketlerin sunduğu standartların(Tier 1/2/3/4/5) hizmetin sürekliliğinde ve yedeklerin belli bir konumda ve periyodik olarak saklanması ise kriz yönetiminde belirleyici konumda. Hatta kuruluşların tercihi yerli bir veri merkezinden yana ise teknik personel ile ana dilde, 7/24 etkileşim dahi bir ek avantaj haline geliyor. Ancak hepsinden önce göz önünde bulundurulması gereken konu, kullanıcı verilerinin KVKK uyarınca muhafazası ve kullanımı.
Kişisel Verilerin Korunması Kanunu’nun “Kişisel verilerin işlenme şartları” başlıklı 5. maddesinde; kanunlarda açıkça öngörülmesi, kişinin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olması, kişisel verinin sahibi kişi tarafından alenileştirilmiş olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması veya kanunun “İstisnalar” başlıklı 28. maddesinde yer alan; verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma ve istatistik gibi amaçlarla ya da millî savunmayı sağlamak amacı ile işlenmesi gibi durumlar, kişisel verilerin açık rıza aranmaksızın işlenmesine imkan tanıyor. Ancak tüm bu esaslar, terabaytlarca verinin yaşam döngüsü içinde küçük küçük istisnalardan ibarettir. Kanunun geri kalan tüm diğer maddeleri ise şirketlere veri merkezi iş ortaklarını seçerken titiz olmaları gerektiği mesajını veriyor.
KVKK kapsamında kurumlardan temelde istenilen; toplanılan verinin taşınması, işlenmesi ve üçüncü şahısların kullanımına açılması süreçlerinden önce veri sahibinden açık rıza almak. Bir bulut hizmetleri sağlayıcısı ile çalışma kararı aldığınızdan itibaren bu üç durum sürece dahil oluyor ve şirketiniz kadar birlikte çalıştığınız bulut sağlayıcısı şirketinin de veri işleme hareketinden sorumlu oluyorsunuz. Tüm bunların ışığında da aldığınız bulut hizmetinin kapsamına (SaaS,PaaS,IaaS) göre dikkat etmeniz gereken odaklar farklılık gözetiyor.
as a Service yaklaşımında KVKK
Bulut hizmetleri SaaS, IaaS, PaaS olarak farklılıklar gösteriyor. Tüm bulut yapılarında veriye hizmet sağlayan üçüncü şahıs şirket tarafından erişime, veri sorumlusu şirket tarafından izin verilip verilmediği, verildiği durumlarda erişimin sınırlanması ve denetimi için gerekli çalışmaların yapılıp yapılmadığı, yetkisiz erişimi engellemek için hangi önlemlerin alındığı karar sürecinde göz önünde bulundurulmalıdır. Örneğin ödeme sistemleri, SMS gönderim sistemleri gibi verinin sürekli olarak kullanıldığı süreçlerde hizmet sağlayıcının verilerinize erişmesi gerekmektedir. Bu durumda veri üçüncü taraf bir hizmet sağlayıcı ile verinin servis sağlayıcı tarafından görüntülenebileceği ve bazı durumlarda işlenebileceği bilinerek paylaşılmaktadır. Bu nedenle de verinin paylaşılmasına ilişkin düzenlemelere uyulması gerekmektedir. Özellikle altyapı veya platform olarak hizmet alınması durumlarında hizmet sağlayıcının veriyi görmesi zorunluluğu olmayabilir. Örneğin sunucu hizmeti alınan bir servis sağlayıcısının, müşterisinin müşteri veya çalışan verisini görmesi zorunlu olmadığı gibi verinin, hizmet sağlayıcının çalışanları tarafından görülmesini engelleyecek birçok tedbirin de alınması mümkündür.
Hizmetin kapsamı kadar kaynağı da önemli
Birlikte çalışacağınız bulut sağlayıcısının yabancı bir şirket ya da verinizi yurtdışında barındıracak olması halinde KVKK tüzüğüne ne denli duyarlı olduğu da bulut stratejinizde önemli bir ölçüttür. Örneğin bazı hizmet sağlayıcılar, kullanılan sunucuların hangi coğrafi konumlarda, hangi ülke veya ülkelerde olduğunu müşterilerine bildirmekte, müşteriye özel bulut hizmeti sunmakta hatta müşteriye bu bağlamda seçim hakkı tanımaktadırlar. Ancak diğer bazı servis sağlayıcılar verinin dağıtık bir şekilde farklı sunucularda tutulduğunu ve bu sunucuların farklı coğrafi konumlarda bulunabileceğini belirterek veri sorumlusu konumundaki müşterinin, hangi verisinin hangi ülkede yer alan sunucuda barındırılacağını seçmesine olanak tanımamaktadır.
Kanunun ‘Verilerin yurt dışına aktarımı’ ile ilgili 9. maddesinde, kişisel verilerin yabancı ülkelere aktarımı ile ilgili bazı şartlar aranmaktadır. Bu şartların başında ‘açık rıza’ bulunurken; verilerin aktarıldığı yabancı ülkenin KVK kurulu tarafından güvenli ülke olarak tanınması veya ‘yabancı ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmesi’ ve ‘Kurum’un izninin bulunması’ şartlarıyla veri aktarımını mümkün kılıyor. Aynı maddede Kurum’un ‘yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir’ maddesi de bulunuyor. Ancak unutmamak gerekir ki KVK Kurulu tarafından henüz bir güvenli ülke listesi açıklanmış değil.
Şirketlerin ise kullanılacak bulut teknolojilerine ilişkin karar süreçlerinde ileride güvenli kabul edilmeme ihtimali olabilecek üçüncü ülkelerde verilerin saklaması halinde, bürokratik engellerden zarar görmesi olası bir durumdur. Bu bağlamda yerli bulut sağlayıcıların daha iyi bir alternatif olduğunu söylemek mümkün bir hale geliyor.
Yurt içini işaret eden tek düzenleme KVKK değil
KVK Kanunu dışında kimi sektör mevzuatlarında verilerin Türkiye’de tutulmasına ilişkin zorunluluklar getiren başka sektörel düzenlemeler de bulunmakta. Bankacılık ve elektronik ödeme sektörüne yönelik düzenlemeler bunun en önemli örneği konumunda. Bunun dışında son dönemde kamu kurumlarının başı çektiği “Türkiye’nin verisi Türkiye’de kalmalı” mottolu bir çağrı çerçevesinde yerli bulut hizmetlerinin milli ekonomi ve güvenlik için önemli bir katma değer yarattığı kabul görmüş bir gerçektir.
Comments