Kişisel Verilerin Korunması Kanunu'nda "Bulut İstisnası" Nedir? Bulut Hizmeti Sağlayıcılarının Aldığı İdari Yönlendirmelerin Gerçek Örnekleriyle Açıklama
Japonya’da kişisel bilgi işleyen işletmeler, Kişisel Bilgi Koruma Yasası uyarınca bu bilgilerin işlenmesi konusunda çeşitli düzenlemelere tabidir. Kişisel bilgilerimiz, gizlilikle derinden ilişkili olduğu ve fiziksel özelliklerimizi veya mali bilgilerimizi içeren önemli bilgileri de barındırdığı için, bu bilgilerin sıkı kurallarla düzenlenmesi kaçınılmazdır.
Ancak, bu yasada bazı istisnalar da bulunmaktadır. Bunlardan biri ‘bulut istisnası’ olarak adlandırılan durumdur.
Peki, ‘bulut istisnası’ nedir? Bu makalede, Reiwa 6 (2024) yılında idari yönlendirme alan MKSistem örneğini temel alarak, ‘bulut istisnası’nın genel hatları ve uygulama koşulları hakkında açık ve anlaşılır bir şekilde açıklama yapacağız.
Japonya’da Üçüncü Şahıslara Kişisel Veri Sağlamanın Temel Prensipleri ve İstisnaları
Öncelikle, Japon Kişisel Bilgi Koruma Yasası kapsamında, kişisel verilerin üçüncü şahıslara sağlanması durumunda uygulanan temel prensipler ve istisnaları gözden geçirelim.
Japonya’da Üçüncü Şahıslara Kişisel Veri Sağlarken Uygulanacak Japon Kişisel Bilgi Koruma Yasası İlkeleri
Kişisel bilgi işleyen işletmeler, bulut hizmetlerini kullanırken, “kişisel verilerin işlenmesinin tamamını veya bir kısmını devretmiş” olarak kabul edilir (Kişisel Bilgi Koruma Yasası Madde 27, Fıkra 5, Madde 1) ve bu durumda, Japon Kişisel Bilgi Koruma Yasası’nın 25. maddesine dayanarak, bulut hizmeti sağlayıcılarına karşı gerekli ve uygun denetimi yapmak esastır.
クラウド例外とは
Bu istisna, sözde “クラウド例外” (bulut istisnası) olarak adlandırılır.
Bu durumda “クラウドサービス提供事業者” (bulut hizmeti sağlayıcı işletmeler), esas olarak depolama ve sunucu gibi IT altyapısını sağlayan (IaaS/PaaS) ve başkalarının verilerini internet üzerinden alıp, saklayıp işleyen hizmetleri sunan şirketleri ifade eder. Özellikle aşağıdaki işletmeler bu tanıma uyar:
- Amazon Web Services (AWS): Amerika merkezli Amazon tarafından sağlanır. Birçok Japon şirketi tarafından kullanılır.
- Microsoft Azure: Microsoft tarafından sunulan bulut altyapı hizmeti. Kamu kurumlarında birçok uygulama örneği bulunmaktadır.
- Google Cloud Platform (GCP): Google tarafından sağlanır. Yapay zeka ve büyük veri işleme konusunda güçlüdür.
“クラウド例外” (bulut istisnası), bu tür bulut hizmeti sağlayıcı işletmelerin bulut altyapısı (IaaS veya PaaS) üzerinde sistem geliştirip bunu müşterilere SaaS (Software as a Service) modeliyle sunan işletmelerin kişisel verileri ele alırken karşılaştıkları bir sorundur.
Kişisel Bilgi Koruma Komisyonu’nun “個人情報の保護に関する法律についてのガイドライン” (Kişisel Bilgilerin Korunması Hakkındaki Kanunla İlgili Rehber) ile ilgili Q&A’sında, bulut hizmeti sağlayıcı işletmeler hakkında 7-53’te şu şekilde belirtilmiştir:
(Üçüncü şahıs olarak kabul edilmediği durumda) Q7-53 Kişisel veri işleyen işletmeler, kişisel verileri içeren elektronik verileri ele alan bilgi sistemleri için, bulut hizmeti sözleşmesi gibi dış bir işletmeyi kullanıyorsa, kişisel verileri üçüncü bir tarafa sağlamış olarak “kişinin onayını” (Kanunun 27. maddesi 1. fıkra) almak zorunda mıdır? Yoksa “kişisel verilerin işlenmesinin tamamını veya bir kısmını devretmek” (Kanunun 27. maddesi 5. fıkra 1. numara) olarak, Kanunun 25. maddesine dayanarak bulut hizmeti işletmesini denetlemek zorunda mıdır?
A7-53 Bulut hizmetlerinin birçok farklı türü vardır, ancak bulut hizmetlerinin kullanımının, kişinin onayını gerektiren üçüncü taraf sağlama (Kanunun 27. maddesi 1. fıkra) veya devretme (Kanunun 27. maddesi 5. fıkra 1. numara) olarak kabul edilip edilmediği, saklanan elektronik verilerde kişisel verilerin bulunup bulunmadığına değil, bulut hizmeti sağlayıcı işletmenin kişisel verileri ele alıp almadığına bağlıdır. İlgili bulut hizmeti sağlayıcı işletme, ilgili kişisel verileri ele almıyorsa, ilgili kişisel veri işleyen işletme kişisel verileri sağlamış sayılmaz ve bu nedenle “kişinin onayını” almak zorunda değildir. Ayrıca, yukarıda belirtilen durumda, kişisel veriler sağlanmamış olduğundan, “kişisel verilerin işlenmesinin tamamını veya bir kısmını devretmekle ilgili… sağlanan durum” (Kanunun 27. maddesi 5. fıkra 1. numara) da geçerli değildir ve Kanunun 25. maddesine dayanarak bulut hizmeti işletmesini denetleme yükümlülüğü yoktur. İlgili bulut hizmeti sağlayıcı işletmenin ilgili kişisel verileri ele almadığı durum için kişisel veri işleyen işletmenin güvenlik yönetim önlemleri hakkında düşünce tarzı için Q7-54’e bakınız. İlgili bulut hizmeti sağlayıcı işletmenin ilgili kişisel verileri ele almadığı durum, sözleşme maddeleriyle ilgili dış işletmenin sunucuda saklanan kişisel verileri ele almayacağı belirlenmiş ve uygun erişim kontrolü yapılmışsa düşünülebilir. Kanunun 28. maddesiyle ilişkisi hakkında Q12-3’e bakınız.
「Kişisel Bilgilerin Korunması Hakkındaki Kanunla İlgili Rehber」 ile ilgili Q&A[ja]|Kişisel Bilgi Koruma Komisyonu
Yani, bulut hizmetlerinin kullanıcıları bulut hizmetlerini kullanırken, istisna gereksinimlerini karşılıyorlarsa, bulut hizmeti işletmesini denetleme zorunluluğu yoktur. Bulut istisnasının kabul edilebilmesi için gerekli olan “ilgili kişisel verileri ele almayacak durumda olma” şartını karşılamak için aşağıdaki iki gereksinim gereklidir:
- Sözleşme maddeleriyle ilgili dış işletmenin sunucuda saklanan kişisel verileri ele almayacağı belirlenmiş olmalıdır
- Uygun erişim kontrolü yapılmış olmalıdır
Japonya’da 株式会社エムケイシステム’e Yönelik İdari Yönlendirme
Reiwa 6 (2024) yılının 25 Mart’ında, Japonya Kişisel Bilgi Koruma Komisyonu, 株式会社エムケイシステム’e Kişisel Bilgi Koruma Yasası’nın 147. maddesine dayanarak bir yönlendirme gerçekleştirdi. Yaklaşık 7,5 milyon kişiyi etkileyen bu büyük çaplı bilgi sızıntısı olayının ardından, Kişisel Bilgi Koruma Komisyonu, ‘Kişisel Bilgi Koruma Yasası kapsamında kişisel bilgi işleyen işletmelerin, bulut hizmeti sağlayıcıları olduğu durumlarda dikkat etmeleri gereken hususlar hakkında (uyarı)’ başlıklı bir bildiri yayınladı.
Kişisel Bilgi Koruma Yasası’ndaki bulut istisnası hakkında 株式会社エムケイシステム’e yapılan idari yönlendirmeyi inceleyelim.
Olayın Özeti
MK Sistem A.Ş., Çin’in Tencent Cloud sunucularını kullanarak sosyal sigorta ve insan kaynakları işlemlerini destekleyen bir sistem geliştirmiş ve bu sistem aracılığıyla sosyal sigorta danışmanı ofisleri gibi kullanıcılara hizmet sunmaktaydı.
Reiwa 5 (2023) yılının Haziran ayında, sunuculara yetkisiz erişim gerçekleşti ve yönetilen kişisel verilerin (sosyal sigorta danışmanlarının müşterisi olan şirketlerin veya iş yerlerinin çalışanlarının isimleri, doğum tarihleri, cinsiyetleri, adresleri, temel emeklilik numaraları, istihdam sigortası sigortalı numaraları ve My Number’lar gibi) sızdırılma riski ortaya çıktı.
Bu üç şirketin ilişkisini rehber çerçevesinde değerlendirdiğimizde aşağıdaki gibi bir tablo ortaya çıkmaktadır:
| Rehberdeki Konum | İşletme | İçerik |
| Görevlendirici | Sosyal sigorta danışmanları gibi kullanıcılar (Kişisel Bilgi İşleyen İşletmeler) | Müşterilerin (şirketler veya bireyler) kişisel verilerini işleyen konum |
| Görevlendirilen | MK Sistem A.Ş. | Sosyal sigorta danışmanlığı işlemlerini destekleyen veya yerine getiren bir sistem sunar. Müşterinin talimatlarına göre kişisel verileri işler |
| Alt Görevlendirilen | Tencent Cloud (Çin) | MK Sistem A.Ş.’nin bulut altyapısını görevlendirdiği yer. Yabancı ülkelere veri aktarımı olasılığına karşılık gelir |
Kişisel Bilgi Koruma Komisyonu, MK Sistem A.Ş.’nin teknik güvenlik yönetim önlemlerinde eksiklikler olduğuna karar verdi.
Japonya’da Kişisel Bilgilerin Korunması
Japonya’daki Kişisel Bilgi Koruma Komisyonu tarafından, Kişisel Bilgi Koruma Yasası’nın (147. madde) hükümleri uyarınca yönlendirme ve aynı yasanın (146. madde 1. fıkra) hükümleri gereğince rapor toplama şeklinde idari yönlendirmeler yapılmıştır.
Japonya’da Kişisel Bilgi Koruma Komisyonu’nun Uyarısı
Kişisel Bilgi Koruma Komisyonu tarafından “Bulut Hizmeti Sağlayıcılarının Kişisel Bilgi Koruma Yasası Kapsamında Kişisel Bilgi İşleyen İşletmeler Olarak Kabul Edildiği Durumlar İçin Dikkat Edilmesi Gereken Hususlar (Uyarı)[ja]” başlıklı bir uyarı yayımlanmıştır.
Bu uyarı, özellikle bulut hizmetlerini kullanan taraflara yöneliktir ve bulut hizmetlerinin kullanımının, kişisel verilerin işlenmesi görevinin devredilmesi (Kişisel Bilgi Koruma Yasası Madde 27, Fıkra 5, Madde 1) kapsamına girip girmediğini değerlendirmeleri gerektiğini belirtmektedir. Devir söz konusu ise, bulut hizmeti kullanıcıları olan kişisel bilgi işleyen işletmelerin, hizmet aldıkları taraflara karşı gerekli ve uygun denetimi yapmaları gerekmektedir.
MK Sistemi ile ilgili olarak, aşağıdaki üç noktadan dolayı bulut istisnası kabul edilmemiş ve kişisel bilgi işleyen işletme olarak kabul edilmiştir, bu nedenle kişisel verilerin işlenmesinde uygun denetim yapılması gerektiği belirtilmiştir:
Bulut Hizmeti Sağlayıcılarının Kişisel Bilgi Koruma Yasası Kapsamında Kişisel Bilgi İşleyen İşletmeler Olarak Kabul Edildiği Durumlar İçin Dikkat Edilmesi Gereken Hususlar (Uyarı)|Kişisel Bilgi Koruma Komisyonu[ja]
- Kullanım şartlarında, bulut hizmeti sağlayıcısının bakım, işletim ve benzeri gereklilikler doğrultusunda, veri üzerinde izleme, analiz, araştırma gibi gerekli eylemleri yapabilme yetkisi ve sistem üzerindeki verilerin belirli durumlar dışında izinsiz kullanılmaması veya üçüncü taraflara açıklanmaması gibi hususlar düzenlenmiş ve bulut hizmeti sağlayıcısının, belirli durumlarda bulut hizmeti kullanıcılarının kişisel verilerini kullanabilme hakkına sahip olduğu belirtilmiştir.
- Bulut hizmeti sağlayıcısının bakım için kullanılan kimlik bilgilerini elinde bulundurduğu ve bulut hizmeti kullanıcılarının kişisel verilerine erişebilecek durumda olduğu, işlenmesini önlemek için teknik erişim kontrolü gibi önlemlerin alınmadığı belirtilmiştir.
- Bulut hizmeti kullanıcıları ile yapılan onay belgeleri üzerinden, gerçekte bulut hizmeti kullanıcılarının kişisel verilerinin işlendiği belirtilmiştir.
Japonya’da Bulut Hizmeti Sağlayıcılarının Dikkat Etmesi Gerekenler
Şimdiye kadar açıkladığımız hukuki sorunlar ve idari yönlendirmeler/uyarılar ışığında, bulut hizmeti sağlayıcılarının (önceki örnekte bahsedilen MKSistem’i kastediyoruz) dikkat etmesi gereken hususlar nelerdir?
Bulut İstisnası Gerekliliklerini Yeniden Gözden Geçirin
Öncelikle, şirketinizin sunduğu hizmetin bulut istisnası gerekliliklerini karşılayıp karşılamadığını yeniden gözden geçirin.
Kişisel Bilgi Koruma Komisyonu’nun son uyarıları sonrasında, bulut hizmetlerini kullanan işletmeler, hizmet sağlayıcılarının bulut istisnası gerekliliklerini karşılayıp karşılamadığını detaylı bir şekilde incelemeyi düşünebilirler.
Bu nedenle, bulut hizmeti sağlayıcıları da, bulut istisnası gerekliliklerini karşıladıklarından emin olmak için bu gereklilikleri yeniden gözden geçirmelidirler.
Bulut İstisnası Gerekliliklerini Karşılamıyorsanız, Taşeronun Denetimine Hazır Olun
Bulut istisnası gerekliliklerini karşılamıyorsanız, bulut hizmetlerini kullanan müşterilerden (bu durumda MKSistem tarafından sunulan hizmetleri kullanan sosyal güvenlik danışmanlık ofisleri veya şirketler) gelen denetimlere yanıt vermek zorunda kalabilirsiniz.
Bulut hizmeti kullanıcılarından gelen denetimler, Kişisel Bilgi Koruma Yasası’na ilişkin genel kurallar bölümü 3-4-4 Taşeronun Denetimi (Yasa Madde 25 ile ilgili) bölümünde belirtilen aşağıdaki işlemleri içerebilir:
- Uygun Taşeron Seçimi: Taşeronun güvenlik yönetim önlemlerinin, yasa madde 23 ve bu rehberde taşeronun talep ettiği önlemlerle eşdeğer olduğunu doğrulamak gerekir.
- Taşeronluk Sözleşmesinin İmzalanması: Taşeron tarafından işlenen kişisel verilerin durumunu taşeronun makul bir şekilde anlayabilmesini sağlayacak sözleşmeler yapılması tavsiye edilir.
- Taşeronda Kişisel Veri İşleme Durumunun Anlaşılması: Düzenli denetimlerle uygun şekilde değerlendirilmesi.
Taşeronun güvenlik yönetim önlemleri yetersizse, sözleşmenin sonlandırılma ihtimali olabilir, ayrıca gerekli güvenlik yönetim önlemlerini almak, düzenli denetimlere yanıt vermek gibi zorunluluklarla karşı karşıya kalabilirsiniz.
Özet: Bulut Hizmetleri Üzerindeki Kişisel Bilgilerin Korunması İçin Avukata Danışın
Bu makalede, bulut hizmeti sağlayıcılarının bulut istisnasını karşılamadıklarında karşılaşabilecekleri riskler, Mart 2025 (Reiwa 7) tarihinde Kişisel Bilgi Koruma Komisyonu tarafından yayınlanan yönetmelik rehberliğine dayanarak açıklanmaktadır.
Bu bilgi sızıntısı olayının ardından, Kişisel Bilgi Koruma Komisyonu tarafından bulut hizmeti kullanıcılarına yönelik bir uyarı yapılmıştır. Bu uyarı, sadece bulut hizmeti kullanıcıları için değil, aynı zamanda bulut hizmeti sağlayıcı şirketler için de kendi hizmetlerini gözden geçirmeleri ve olası yükümlülükler konusunda dikkatli olmaları gerektiğini vurgulamaktadır.
Bu yönetmelik rehberliğini göz önünde bulundurarak, şirketinizin hangi risklerle karşı karşıya olduğunu ve hangi önlemlerin alınması gerektiği konusunda endişeleriniz varsa, bir avukata danışmanızı öneririz.
Monolit Hukuk Bürosu Tarafından Sunulan Çözümler
Monolit Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. Günümüzde birçok IT şirketi, AWS gibi bulut hizmetlerini kullanarak işlerini genişletmeye başladığı için, kişisel bilgilerin sızdırılması, işletmelerin yönetiminde vazgeçilmez bir risk yönetimi unsuru haline gelmiştir. Eğer kişisel bilgiler sızdırılırsa, bu durum şirket faaliyetlerine ölümcül etkilerde bulunabilir. Firmamız, bilgi sızıntısını önleme ve buna karşı stratejiler konusunda uzman bilgiye sahiptir. Aşağıdaki makalede detayları bulabilirsiniz.
Monolit Hukuk Bürosu’nun Uzmanlık Alanları: Japonya’daki Kişisel Bilgi Koruma Yasası ile İlgili Hukuki İşlemler[ja]
Category: IT
Tag: ITTerms of Use
