Bu Makalenin
- İlk bölümünü burayı tıklayarak
- İkinci bölümünü burayı tıklayarak
- Üçüncü bölümünü burayı tıklayarak
okuyabilirsiniz.
2-Sorumluluk ve Uygulanacak Hukuk
Yukarıda verilen örnekte A bankası, B sigorta şirketi ve C elektronik haberleşme işletmecisinin verilerinin birbirine karışması veya bu datalara diğer hizmet alan tarafından erişilmesi hallerinde neler olacaktır ? İşin içinde mutlaka insan unsuru olacağından hatalı bir şekilde bu bilgilerin, diğer bulut müşterileri tarafından görülebilmesi veya üçüncü bir kişi tarafından buluta sızılması hallerinin gerçekleşmesi de pek tabi mümkündür. Admin hatası veya deneyimsiz bulut operatörleri bu şekildeki iş kazalarına neden olabilir.
Bu durumda nasıl bir hukuki yol izleneceği temel olarak belirlidir. Bulut şirketi gerekli her türlü önlemi aldığını, sertifikasyonlarının bulunduğunu ve bu sertifikalara uygun prosedürlerin devrede olup uygulandığını, her türlü objektif özen yükümlülüğünü yerine getirdiğini ve insan kusuru olmadığını ispatlamadıkça hukuki sorumluluktan kurtulamayacaktır.
Aynı bulutta birbirlerinin bilgilerine sızan şirketlerin de, somut olayın özelliğine göre birbirlerine karşı sorumlulukları doğabilecektir. Ancak bu şirketler tarafından bilgiye sızmada kasıt, kötüniyet gibi saikler bulunmadığı ve bu tip durumlarda şirketlerin birbirleriyle resmi iletişim haline geçmesi halinde, müşterilerin birbirlerine karşı hukuki sorumlulukları doğmayabilir. Zira burada asıl sorumlu bulut şirketi olacaktır.
Bilgi sızıntısı (DLP), malware yazılımlar, siber saldırılar veya bilişim suçları dahilinde işlenecek hukuka aykırı eylemlerde ise uygulanacak yasa, cezai yönden TCK madde 243, 244 olacaktır. Hukuki açıdan ise Borçlar kanunu ile Medeni Kanunun tazminat hükümleri devreye girecektir. Buraya kadar herşey tamam gibi gözüksede, bulut şirketinin Çin’de olduğu ve A Bankasının da Türkiye’de olduğunu varsayarsak devreye hangi ülkenin hukuk kuralları girecektir. Bu noktada öncelikle taraflar arasındaki sözleşmeyi incelemek gerekir. Eğer sözleşmede yetki anlaşması yapılmışsa, yetkilendirilen ülkenin hukuku uygulanacaktır. Uygulamada yapılan sözleşmelerde yetki anlaşmasına mutlaka yer verilmekte ve yetki karmaşalarına engel olunmaktadır. Sözleşmede yetkiye yönelik bir anlaşma mevcut değilse ne olacaktır ? Asıl mesele de işte bu noktada başlamaktadır. Her ne kadar uygulamada yetkili hukuk ve yargı belirlenmesine rağmen bu meseleyi tartışmak gerekecektir.
Yukarıdaki örnekten gidecek olursak bir bilgi güvenliği ihlali halinde, bu ihlal Çin menşeili bulut şirketinin sunucularının fiziken Çin’de olması halinde, zarar görenin hangi ülkenin kurallarına göre işlem yapmalıdır ? Bu durum gerçekten bir hukukçunun başına gelebilecek en çetin durumlardandır. Öncelikle akla Milletlerarası Mal Satımına İlişkin Sözleşmeler Hakkında Birleşmiş Milletler Antlaşması gelecek olsa bile, burada mal satımı değil bir hizmet anlaşması olduğundan bu uluslararası sözleşme de devre dışı kalacaktır. Ayrıca bu sözleşme daha çok tazminat, cayma gibi şartları düzenlediğinden ceza hukuku anlamında bir etkisi de olmayacaktır.
Türkiye’de Çin’li bulut şirketinin tüzel kişiliği haiz bir temsilcisi olması halinde, bu temsilciye “mağdura göre şahsilik” ilkesi gereği yasal işlemler başlatılabilecektir. Ancak bulut hizmeti veren şirketin temsilcisi Türkiye’de yok ise, yine Türk Ceza Kanunu (TCK) kapsamında bir çözüm aramamız gerekecektir. TCK’nın uluslararasında uygulanması için bazı bağlantı noktaları mevcuttur ki, bu noktalar aslında uluslararsı ceza hukuku prensiplerinin TCK’na yansımasıdır. Türk ceza hukukunda kabul edilen bu ilkeler;
- Mülkilik ilkesi (ülkesellik)
- Faile göre şahsilik
- Mağdura göre şahsilik
- Koruma
- Suçun evrenselliği
- İkame yargı
İlkeleridir. Yukarıdaki ilkelerden bizim başvuracağımız ilke A sigorta şirketinin bir Türk tüzel kişisi olması ve Türkiye’de mağdur olması nedeniyle “mağdura göre şahsilik” ilkesi uygulama alanı bulabilecektir diyebiliriz. Buradaki temel mantık mağdurun, yurt dışında kendisine karşı işlenen bir suçta korunmasıdır. Devlet bu şekilde kendi vatandaşlarını koruma güdüsü ile bu ilkeyi yasalaştırmış olup, ilke ifadesini TCK’nın 12 maddesinde bulur. Ancak bu kuralın uygulanabilmesi için de sanığın, belirttiğim gibi, Türkiye’de bulunması gerekmektedir.
Örnekte, Türkiye’de yer alan bir temsilcilik yok ise, bu durumda “Koruma” ilkesi ile ilgili yasa maddesinin uygulanıp uygulanmayacağına bakılması gerekir. Bu ilkede suçu kimin işlediğine bakılmaz. Devlet kendi vatandaşının yararını düşünür ve bu yararı ceza hukuku sınırları içerisinde korur. Şartları ise TCK’nın 13.maddesinde düzenlenmiştir. Ancak bu maddenin uygulanması için katalog suçlar belirlenmiştir. Maalesef TCK’nın bilişim suçları bu katalog dışında kaldığından koruma ilkesi de uygulama alanı bulamayacaktır. Bu durumda “Koruma İlkesi”nde devletin vatandaşı olan bireyden çok, kendini koruduğu sonucuna ulaşmak mümkündür. Zira buradaki katalog daha çok devlete karşı işlenmiş suçları kapsar.
Makalenin 5.bölümünü burayı tıklayarak okuyabilirsiniz.
Kaynak : 