Türkiye'de Bulut Hizmetleri ve KVKK Yükümlülükleri

Türkiye'de faaliyet gösteren işletmelerin büyük çoğunluğu günlük operasyonlarında bulut tabanlı hizmetlere başvuruyor: uzak sunucularda veri depolama, SaaS uygulamaları, altyapı hizmetleri. Ancak kişisel verilerin bir bulut sağlayıcısına yönlendirilmesi, Kişisel Verilerin Korunması Kanunu'nun (KVKK) otomatik olarak devreye girmesi anlamına geliyor ve bu durum hem işletme hem de bulut sağlayıcısı açısından somut hukuki yükümlülükler doğuruyor. Danıştay'ın son yıllarda verdiği kararlar, bu yükümlülükleri yerine getirmeyen kurumlara uygulanan idari yaptırımları tutarlı biçimde onamaktadır.

KVKK Bulut Sağlayıcısını Nasıl Tanımlıyor?

KVKK madde 3, veri işleme zincirindeki her aktörü ayrı bir kategoriyle tanımlar. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen taraftır — yani bulut hizmetini kullanan işletme. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Bulut sağlayıcıları bu tanımın tam karşılığıdır. Müşteri kayıtlarını uzak bir sunucuda saklıyor, bordro yazılımı kullanıyor ya da CRM sisteminizi bulutta çalıştırıyor olsanız da bulut sağlayıcısı sizin adınıza kişisel veri işlemektedir. Bu sınıflandırma, KVKK madde 12 kapsamında doğrudan hukuki sonuçlar doğurur.

Ortak Sorumluluk: Sorumluluğu Devredemezsiniz

İşletmeleri en çok şaşırtan kural budur. KVKK madde 12(2) açıkça düzenlemektedir: Veri sorumlusunun kişisel verileri kendi adına başka bir kişiye işletmesi hâlinde, her iki taraf gerekli teknik ve idari güvenlik tedbirlerinin alınmasından müştereken sorumludur.

Uygulamada bu şu anlama gelir: Bulut sağlayıcınız bir güvenlik ihlali yaşarsa ya da yeterli önlemleri almazsa, başarısızlık tamamen sağlayıcıdan kaynaklanıyor olsa bile kuruluşunuz sorumlu tutulabilir. Hizmet sözleşmesine "güvenlikten sağlayıcı sorumludur" yazmak sizi korumaz. Kanun, sözleşme hükümlerinden bağımsız olarak ortak bir sorumluluk öngörmektedir.

Danıştay 10. Dairesi, 2023 ve 2025 yıllarında verdiği birden fazla kararla bu ilkeyi pekiştirmiştir: Veri sorumlusunun üçüncü taraf veri işleyenler kullanması, KVKK kapsamındaki sorumluluğunu ortadan kaldırmamaktadır.

Veri İşleyen Sözleşmesi Neleri Kapsamalı?

Kişisel verileri bulut sağlayıcısına göndermeden önce yazılı bir veri işleme sözleşmesi imzalanmalıdır. KVKK standart bir form öngörmemekle birlikte, madde 12(2)'deki ortak sorumluluk ilkesi ve KVKK Kurulu'nun rehberlik kararları doğrultusunda sözleşmenin en azından şu unsurları içermesi gerekir:

• İşlemenin kapsamı ve amacı
• Sağlayıcının uygulamak zorunda olduğu teknik ve idari güvenlik tedbirleri
• Veri sorumlusunun denetim yapma veya yaptırma hakkı (madde 12(3) gereği)
• Sağlayıcının verileri belirlenen amaç dışında kullanmaması yasağı (madde 12(4))
• Veri ihlali durumunda sağlayıcının veri sorumlusuna derhal bildirim yükümlülüğü; bu bildirim olmadan madde 12(5) kapsamındaki bildirimi zamanında yapamazsınız

Madde 12(4) sağlayıcıyı da bağımsız olarak bağlar: Veri işleyenler, kişisel verileri yalnızca veri sorumlusunun talimatları doğrultusunda işleyebilir; bu yükümlülük hizmet ilişkisinin sona ermesinden sonra da devam eder.

Yurt Dışı Sunucularda Depolama: Yurt Dışına Aktarım Kuralları

Büyük bulut platformlarının önemli bir bölümü verilerinizi Türkiye dışındaki veri merkezlerinde saklıyor. Bu durumda, KVKK madde 9 kapsamında yurt dışına kişisel veri aktarımı söz konusu olur ve ek koşullar devreye girer.

2024 yılında KVKK'da yapılan değişikliklerle aktarım çerçevesi yeniden düzenlendi. Aktarım; hedef ülkenin yeterli koruma sağladığının KVKK Kurulu'nca tespit edilmesi ya da standart sözleşme hükümleri veya belirli durumlarda ilgili kişinin açık rızasının varlığı hâllerinde mümkündür. Yurt dışı bulut altyapısı kullanan işletmelerin veri akışı başlamadan önce hangi hukuki dayanağın geçerli olduğunu teyit etmesi gerekir.

Bu kuralların ayrıntısı için yurt dışına kişisel veri aktarımı hakkındaki makalemizi inceleyebilirsiniz.

VERBİS Kaydı ve Bulut Üzerindeki Veriler

Bulut hizmetleri aracılığıyla dahi olsa kişisel veri işleyen ve KVKK Kurulu'nun belirlediği eşiklerin altında kalmayan kuruluşların Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt yaptırması zorunludur. VERBİS kaydında işleme faaliyetleri, veri kategorileri ve aktarımlar — bulut depolama dahil — doğru şekilde beyan edilmelidir. Eksik veya hatalı kayıtlar bizzat yaptırıma konu olabilmektedir.

VERBİS kayıt yükümlülükleri hakkındaki rehberimize göz atabilirsiniz.

Bulut Sağlayıcısı Kaynaklı İhlallerde Bildirim Yükümlülüğü

Güvenlik ihlali bulut sağlayıcısının altyapısında gerçekleşse de KVKK madde 12(5) kapsamındaki bildirim yükümlülüğü veri sorumlusu olan sizin üzerinizdedir. İhlalden haberdar olur olmaz ilgili kişileri ve KVKK Kurulu'nu bilgilendirmeniz gerekir. Kurul gerektiğinde bu durumu kendi internet sitesinde ilan edebilmektedir.

Bu nedenle sözleşmenizin sağlayıcıya derhal bildirim yükümlülüğü getirmesi kritik önem taşır; bu köprü olmadan bildirim süresini kaçırma riskiyle karşı karşıya kalırsınız. KVKK kapsamındaki veri ihlali bildirimi hakkındaki makalemiz sürecin tamamını ele almaktadır.

Sıkça Sorulan Sorular

S: Türkiye'de kişisel veri işlemek için istediğimiz bulut sağlayıcısını kullanabilir miyiz?

Uygun veri işleyen koşullarını kabul eden, yeterli güvenlik tedbirlerini uygulayan ve sunucuları Türkiye dışındaysa KVKK madde 9 gerekliliklerini karşılayan her sağlayıcı tercih edilebilir. Sağlayıcının büyüklüğü veya markası tek başına hukuki bir dayanak oluşturmaz.

S: Bulut sağlayıcısının da VERBİS'e kayıt olması gerekiyor mu?

VERBİS kaydı veri sorumluları için zorunludur. Yalnızca talimat doğrultusunda işlem yapan veri işleyenler için kayıt yükümlülüğü öngörülmemiştir. Ancak sağlayıcı verilerinizi kendi amaçları için de kullanıyorsa (örneğin model eğitimi) veri sorumlusu sıfatını kazanabilir ve kendi kayıt yükümlülüğü doğabilir.

S: Bulut sağlayıcısında güvenlik olayı yaşanırsa ne olur?

Veri sorumlusu olarak ortak hukuki sorumluluğunuz devam eder; haberdar olur olmaz KVKK Kurulu'na ve ilgili kişilere bildirimde bulunmak zorundasınız. Sağlayıcıyla yapılan tazminat düzenlemeleri masrafları karşılamanıza yardımcı olabilir, ancak KVKK kapsamındaki idari sorumluluğunuzu ortadan kaldırmaz.

S: Bulut sağlayıcısıyla sözlü veya e-posta yoluyla anlaşma yeterli midir?

Hayır. Madde 12(2) kapsamındaki ortak sorumluluk çerçevesi ve madde 12(3) kapsamındaki denetim hakları, tarafların yükümlülüklerini açıkça belirten yazılı bir sözleşme olmadan uygulanamaz hâle gelir.

S: Küçük bir şirketiz — bu kurallar bizim için de geçerli mi?

KVKK'nın temel yükümlülükleri büyüklükten bağımsız olarak tüm veri sorumlularına uygulanır. Müşteri, çalışan veya tedarikçi verisi tutan bir işletme işletiyorsanız kurallar büyük ihtimalle sizin için de geçerlidir.

Mona Hukuk Nasıl Yardımcı Olabilir?

Ekibimiz, Antalya'daki yerli ve yabancı uyruklu işletmelere KVKK uyumu, veri işleyen sözleşmeleri ve bulut yönetişim çerçevesi konularında danışmanlık hizmeti vermektedir. Mevcut bulut sözleşmelerinizi inceliyor, eksiklikleri tespit ediyor ve düzenleyici bir soruşturma gelmeden doğru hukuki yapıyı kurmanıza yardımcı oluyoruz.

Antalya'da bir danışmanlık için contact@monahukuk.com adresinden bize yazabilir veya +90 (242) 606 14 32 numarasından arayabilirsiniz.