Daha önce yayınlamış olduğum Bulut Bilişimi ve Güncel Hukuki Problemler başlıklı makalemde (bkz. Bulut Bilişimi ve Güncel Hukuki Problemler – 1) söz konusu teknolojinin sektöre getireceği ekonomik hareketlilik yanında ciddi hukuki problemlerin de ortaya çıkacağını belirtmiş ve ışık hızında gelişen teknolojiye aynı hızda eşlik edemeyen kanun koyucuların gerekli tedbirleri bir an önce alması gerektiğini vurgulamıştım.
Buna karşın bazı kesimlerden ortaya çıkabilecek hukuki problemlerin o kadar da büyük sorunlara yol açmayacağı, durumun fazla abartılmaması gerektiği şeklinde yorumlar gelmişti.
Bunun üzerine ben de bu yeni teknoloji nedeniyle ne gibi ciddi sorunlarla karşı karşıya kalacağımız konusunu daha net belirleyebilmek açısından konunun detaylarına inmenin faydalı olacağını düşündüm. Ancak Bulut Bilişimi’nin ne olup ne olmadığı konusunda daha önceki makalemde gerekli bilgiler verildiğinden, aynı hususları tekrarlamaktan kaçınarak konuyu hukuki açıdan derinlemesine tartışarak şu andaki yasal düzenlemeler ışığında neyin eksik ve/veya neyin tamamlanması gerektiğini tartışmak istiyorum.
1.Kişisel Verilerin Korunması
Şu anda Bulut Bilişimi ile ilgili olarak hukuk dünyasında en çok tartışılan konu birinci derece risk oluşturan kişisel verilerin ve bu bağlamda bilgilerin güvenliğinin korunmasının daha da riskli hale gelip gelmeyeceği konusudur. Zira Bulut Kullanıcısının (“Controller”) bilgiyi sisteme yüklediği andan itibaren kontrolün hizmeti sağlayan İşlemciye veya Bilgiyi İşleyen Kuruma (“Processor”)[1] geçmesi nedeniyle söz konusu risk ortaya çıkacaktır.
Avrupa Parlamentosu’nun 1995 yılında kabul ettiği 95/46/EC sayılı Verilerin Korunması Hakkındaki Direktifi (“Data Protection Directive”) hâlihazırdaki en kapsamlı koruma olarak karşımıza çıkmakta ve Bulut şirketlerinin sorumluluklarını arttırmaktadır. Özellikle bu mevzuatın getirdiği yüksek hukuki standartlar, bu sektöre yatırım yapan şirketlerin yatırım maliyetlerini arttırmakta ve uykularını kaçırmaktadır.
Zira söz konusu direktifin 25. maddesi uyarınca kişisel verilerin AB sınırları dışına taşınması ancak verilerin taşınacağı sunucuların bulunduğu ülkenin mevzuatının 95/46/EC sayılı direktifin tabiriyle “Yeterli Düzeyde” koruma sağladığı takdirde mümkün olacaktır. Örneğin, bir Bulut şirketinin maliyetleri düşürmek amacıyla sunucularını konumlandıracağı ülkenin mevzuatı 95/46/EC sayılı direktife göre yeterli koruma sağlamadığı takdirde bu şirket AB şirketi olsa dahi AB ülkelerindeki müşterilerine, müşteriler serbest iradeleriyle kabul etmedikleri sürece, hizmet sunamayacaktır.
Bulut Şirketlerinin önemli oyuncularını barındıran ABD’yi ele aldığımızda durum farklılaşmaktadır. ABD ile Avrupa Birliği yetkilileri ABD ve AB ülkelerini bağlayacak şekilde 95/46/EC sayılı direktif 25. Maddede belirtilen “Yeterli Koruma Düzeyi” tanımına uygun olarak düzenlenmiş bir metnin altına imza atmışlardır. Aslında asıl amacı Avrupa Birliği ülkeleri ile mevcut olan ticaret ilişkilerini düzenleyen Safe Harbor[2] isimli bu düzenleme ile ABD, AB standartlarını yakalamış ve böylece bilişim sektöründe yaşanabilecek sorunları çözmeye çalışmışlardır. Ancak halen ABD‘de Safe Harbor ilkelerine uyum sağlayabilen çok az sayıda firma vardır. Dünya devi Google ise bu ilkelere uyum sağlamış ve Safe Harbor ilkelerini kabul etmiştir. Fakat şunu da belirtmek gerekir ki Safe Harbor düzenlemesine karşın 11 Eylül olayları sonrasında yürürlüğe giren Vatansever Yasası’nın (“Patriot Act”) verdiği kişisel verilere gerektiğinde ulaşılabilme yetkisi ise AB’nin ABD ‘ ye ihtiyatlı yaklaşmasına neden olmaktadır. Nitekim Vatansever Yasası’nın 201. Maddesiyle değiştirilen Dış İstihbarat Denetim Yasası’nın 501. Maddesi;
“Federal Büro müdürünün veya Özel Ajan yardımcısı derecesinden düşük olmamak kaydıyla bir Federal Büro Özel Ajanı, gizli istihbarat eylemleri ve terör tehditleri dolayısıyla yürütülen soruşturmalarda ilgili soruşturmaya yardımcı olabilecek kayıtların ibrazı için mahkemeye başvurabilir”
şeklinde düzenlenerek bazı durumlarda kişisel verilere tek taraflı olarak el koyulabilmesinin yolu açılmıştır. İşte bu nedenlerle Bulut Bilişimi’nin en önemli oyuncularını barındıran ABD, AB sınırları içerisinde hizmet vermek konusunda sıkıntılar yaşamaktadır.
Bütün bu sorunlara rağmen gelişmiş ülkelerin çoğunda Bulut Bilişimi’nin belki de ihtiva edeceği en büyük sorun olan kişisel verilerin korunması hakkında detaylı yasa metinlerinin hazırlanmış olması ise şimdilik kullanıcıların sahip olabileceği en büyük güvence olarak gözükmektedir. Buna göre; Almanya 2002 yılında, Fransa 2004 yılında[3], İngiltere 2000 yılında, İspanya 2000 yılında, İsveç 1998, Japonya 2003 yılında verilerin korunmasına ilişkin kanunlar yürürlüğe girmiştir.
Öte yandan AİHS’nin özel hayatın ve aile hayatının korunması başlıklı 8. Maddesi’nin 1. Fıkrası “Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.” Şeklindedir. Buna ilişkin AİHM’nin vermiş olduğu bir kararda (Klass Kararı), bireyin özel yaşamına ilişkin verilerin kamusal organlar tarafından toplanmasına ve devredilmesine dayanak oluşturacak önemli ilkeleri içermektedir. Söz konusu kararda AİHM, bireyin özel yaşamı kapsamındaki bilgilere ilişkin kamusal müdahalelerin, bireyi koruyucu uygun ve etkili garantiler içeren kanuni düzenlemeler bulunmadığı sürece, sözleşmenin 8/1. maddesinde belirtilen hakların bir ihlali olarak değerlendirmiştir.
Ülkemize baktığımızda ise Anayasa’nın 20. Maddesine 12 Eylül 2010 Referandumu ile getirilen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklindeki düzenleme ile 06.02.2004 tarihinde Resmi Gazete‘de yayımlanan Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik şu anda sahip olduğumuz en ileri mevzuat hükümleridir. Söz konusu Yönetmeliğin 4. Maddesi, “Bu yönetmelik, şebekelerde telekomünikasyon hizmetlerinin sağlanmasına ilişkin kişisel bilgilerin işlenmesi ve gizliliğinin korunması konusunda uygulanır” şeklinde belirtmek suretiyle kişisel bilgeleri güvence altına almaktadır. Her ne kadar yetersiz gibi gözükse de yönetmelik kişisel bilgilerin korunması hakkındaki tek yönetmeliktir. Kişisel verilerin korunması hakkındaki kanun tasarısı 2008 yılından beri taslak aşamasındadır ve halen yasalaşamamıştır. Anayasal bir hak olan bu hususta Anayasa değişikliği yapılmalı ve daha sonra gerekli düzenlemeler yapılmalıdır.
Bu makalenin devamını buraya tıklayarak okuyabilirsiniz.
[1] AB raporlarında kullanılan ifade (bkz. ENSA Cloud Computing Security Risk Assessment)
[2] “Güvenli Liman” şeklinde tercüme edilebilir
[3] Orijinal metin 1978 yılında yayınlanmıştır
Kaynak : 