Kişisel verilerin korunması kanunu bilindiği üzere 2016 yılından itibaren uygulamamız gereken bir kanundur. Ancak yorumlanması ve uygulanması tarafında sektörel bazda bazı farklılıklar göstermektedir.
Bugün, sunucu kiralama ve barındırma, hosting ve alan adı hizmetleri sunan veri merkezlerinin veri sorumlusu ve veri işleyen tanımlamalarına göre nasıl yorumlaması gerektiğini ve tam olarak hangi konumda yer aldıklarını özetlemeye çalışacağım.
Kişisel verilerin korunması kanunda veri sorumlusunun tanımı; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, Veri İşleyenler ise ; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişileri ifade etmektedir.
Yorumlamamız gerekir ise veri sorumluları firmaların kendisidir. Veri işleyenler ise tanımda da belirtildiği gibi veri sorumlusu adına veri işleyenlere denir.
Örnek verecek olursak abc firması bir veri sorumlusudur. Abc firmasının mali müşavirlik ve muhasebe süreçlerini yöneten xyz adlı bir mali müşavirlik firması olduğunu varsayalım. Bu konuma göre xyz firması abc firması adına mali verileri işleyeceğinden veri işleyen olarak kabul edebiliriz.
Şimdi de veri merkezi ve hosting firmalarının yaptıkları işi biraz tanımlamaya çalışalım.
Yedek güç kaynakları, yedek veri iletişim bağlantıları, merkez içerisinde bulunan sistemlerin soğutulması için kullanılan iklimlendirme sistemleri, yangın söndürme sistemleri ve dış ortamdan gelebilecek tehlikelere karşı verinin güvenlik derecesine göre güvenlik sistemlerini bulunduran tesislerdir.
Veri merkezleri, elektrik, ups, iklimlendirme ve personellerde dahil olmak üzere tamamı yedekli,güvenlik düzeyi en üst seviyedeki tesislerdir. Kesintisiz erişim garantisi sundukları gibi sunucularınız ve sistemleriniz için istenildiğinde ileri seviye teknik destek hizmeti de sunarlar. Ayrıca veri merkezleri BTK (Bilgi Teknolojileri ve İletişim Kurumu) tarafından yetkilendirilmiş yer sağlayıcılardır. Bütün müşterilerini BTK prosedürlerine göre aylık olarak BTK’ya bildirirler.
Yazılım projeleri, muhasebe programları, internet siteleri gibi birçok sistem bu tesislerde çalışır. Özellikle yazılım projelerinde kaynak ihtiyacına göre veri merkezleri müşterilerine birçok seçenek sunar.
Bu firmalar da internet siteleri, alan adları, çeşitli lisans kiralama ve e-posta hizmetleri gibi ürünler sunan firmalardır. Teknik olarak bu hizmetlere de yüksek erişilebilirlik gerektiğinden hosting firmaları veri merkezlerinden yer kiralayarak hizmetlerini müşterilerine sunarlar.
Eğer bir internet sitesi yapmak ve yayınlamak yada bir sunucu kiralamak istiyorsanız bu sektördeki firmalar ile mutlaka yolunuz kesişecektir.
Kişisel verilerin korunması kanununa tekrar dönecek olursak veri merkezleri ile hosting firmaları bu tanımlamalara göre veri işleyen olarak kabul edilirler. Ancak bu tanım bu firmaların yaptıkları iş kapsamı gereği yeterli olmayacaktır. Bunun nedenini bir örnekle açıklamaya çalışacağım;
Bir yazılım projeniz var ve bu projeniz bir sunucuda çalışması gerek. İnternette araştırma yapıp bir firma tespit ettiniz. Bu firmaya kayıt oldunuz ve bir sunucu kiralama hizmeti aldınız. Size istediğiniz işletim sistemi ve servislerle sunucu kurulumu yapıldı ve sunucu root/admin giriş bilgileri ile teslim edildi. Siz de yazılım projenizi almış olduğunuz sunucunun içerisine yüklediniz ve çalışmaya başladı.
Bu örneğe göre kanundaki tanımlamaları incelediğimizde sunucu hizmeti aldığınız yer, veri işleyen kabul edilmektedir ve kanun veri işleyenlere de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü getirmiştir.
Kanuna baktığımız da veri işleyen sunucu hizmeti aldığınız veri merkezidir ancak veri merkezleri sadece sunucu sağlarlar ve güvenlik önlemi olarak da sunucuya ulaşılması için vermiş oldukları dış ip adresini genel olarak erişimin kesilmesine yönelik yapılan DDOS ataklardan korurlar. Bunun dışında sunucunun iç güvenlik önlemlerine, kullanılan yazılımın güvenliğine ve sunucunun yönetimine karışmazlar. Ayrıca yer sağlayıcı oldukları için yer sağladığı içeriklerden de sorumlu değildirler. Sunucu güvenliği ve yönetimine karışmadıkları için de almış olduğunuz sunucu hizmetinin giriş bilgilerini ilettikten sonra değiştirmenizi isterler ve sözleşmelerinde de bunu açıkça belirtiler. Sonuç olarak kiralamış olduğunuz sunucunun içerisindeki verileri görmek istemezler.
Şimdi tekrar kanunun veri işleyenler tanımını veri merkezleri için yorumlamamız gerekir ise, veri merkezleri kısmi veri işleyenlerdir. Kanun içerisinde yer alan veri işleyen yükümlülükleri içerisinde yer alan teknik tedbirleri uygulamak veri merkezlerinin görevi ve sorumluluğunda değildir. Tabi sunucu yönetimi ve güvenliği de içerisine dahil olan anahtar teslim bir sunucu kiralama hizmeti aldığınız da bu geçerli değildir.
Sonuç olarak almış olduğunuz hizmete göre kanunun yorumlanması ve yükümlülükleri değişebiliyor. Hangi firmadan ne hizmeti aldığınıza ve veri sorumlusu ile veri işleyen tanımlamalarınızı dikkatli değerlendirmeniz daha faydalı olacaktır.