Türkçe English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_tr/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hafta içi 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Sistem Operatörlerinin Veri Kaybı Riski ve Hukuki Sorumlulukları

Sistem Operatörlerinin Veri Kaybı Riski ve Hukuki Sorumlulukları

IT

Sistem Operatörlerinin Veri Kaybı Riski ve Hukuki Sorumlulukları

Şirketlerin veritabanında sakladığı önemli şirket bilgileri, beklenmedik durumlar sonucunda kaybolabilir ve bu durum, sistem departmanlarında yaşanabilir. Bu tür durumlarda, sistem operasyon işlerini dış tedarikçilere devretmiş olan bir şirketin, bu sorumluluğu dış tedarikçiye yüklemesi hukuken mümkün müdür?

Bu makalede, şirketlerde bilgi kaybı kazaları hakkında ve bu tür durumlarda hukuki sorumluluğun kime ait olduğu hakkında bilgi verilecektir.

IT Sistemlerinde “İşletim” Ne Anlama Gelir?

IT sistemlerinde “işletim”, çok basit bir şekilde ifade edersek, “mevcut sistemi olduğu gibi kullanmaya devam etme işi” olarak tanımlanabilir. IT mühendisleri ve programcılar tarafından yeni oluşturulan (=geliştirilen) sistemler, bir kez oluşturulduktan sonra sona eren bir şey değildir. Örneğin, ekran tarafından gerçekleştirilemeyen bir işlemi gerçekleştirmek isterseniz, bir bilgisayarı veritabanına bağlamanız ve doğrudan bilgisayar dili (SQL vb.) girmeniz gerekebilir (örneğin, ekran tarafından gerçekleştirilemeyen veri çekme veya değiştirme gibi).

Bu tür işletim işlemleri, yeni bir program uygulama gibi işlerle karşılaştırıldığında, prosedürlerin düzenlenmesi gibi işlemlerle kolayca standartlaştırılabilir ve genellikle dış kaynaklara aktarılması daha kolaydır.

Ancak, standartlaştırılması kolay işler olsa bile, bir şirketin veritabanını doğrudan işleyen işler olduğu için, büyük ölçekli olaylarla yan yana olma eğilimindedir. Şirketlerin bilgi sızıntısı veya kaybı gibi riskler, işin sorumluluğunun ağırlığına kayıtsız kalarak dış kaynak kullanımını hafifçe ilerletme eğiliminde, fark edilmeden büyük ölçüde artabilir.

Bilgi Kayıp Riski Beklenenden Daha Yakın

Şirketlerin kullandığı veritabanlarının çeşitli türleri vardır, ancak bunların gerçekliği bir tür yazılımdır. Ve burada yönetilen verilerin çıkarılması, değiştirilmesi, eklenmesi ve silinmesi gibi işlemler genellikle SQL adı verilen bir bilgisayar dili kullanılır.

Hukuki İşlemlerin Önemi

IT sistemleriyle ilgili teknisyenlerin işleri arasında geliştirme, operasyon ve bakım gibi çeşitli türler bulunur, ancak bunların çalışma şeklinin ortak noktası, “veri” ve “bilgisayar dili” gibi soyut nesnelerin işlenmesinin merkezi olmasıdır. Bu nedenle, yaptıkları işin dış görünüşüne bakılırsa, bu, bir düğme işleminin yanlışlığı veya küçük bir giriş hatası olabilir, ancak bu hatanın etki alanı, önceden tahmin edilemeyecek kadar geniş bir alana yayılabilir. Bu temel varsayım, IT uzmanı olsun olmasın, temelde sistemle ilgili iş yapan herkesin farkında olması gereken bir şeydir. Sistemle ilgili işlerin doğası gereği, bir sorun ortaya çıktığında, etkisi genellikle ilgili departmanı aşar ve şirketin sınırlarını aşarak hızla yayılır. Sistemde neden hukuki işlemlerin önemli olduğu, hem sipariş veren tarafından hem de taahhüt eden tarafından, bu bakış açısından tutarlı bir şekilde açıklanabilir.

Şirket Verilerinin Kayıp Riski

Biraz daha basit bir örneği ele alalım. Bir tablonun tüm verilerini SQL ile silen sorgu (komut), sadece “TRUNCATE” yazmaktan ibarettir. Şirketlerin veri kayıp riskini düşünürken, SQL dil bilgisi veya veritabanı yazılımının işletim yöntemini bilmek o kadar önemli olmayabilir. Ancak, bir şirketin tüm verilerini silme konusunda, işlem hakkında konuşmakla sınırlı olsa bile, bu da basit bir şey olabileceğini anlamak önemlidir. Bu tür bir gerçeklik algısı, bir şirketin veri kayıp riskini düşünürken başlangıç noktası olabilir.

Kuşkusuz, operasyon işlemleri standartlaştırılabilir ve prosedüre uygun olarak yürütülürse, genellikle bir sorun olmaz. Ancak aynı zamanda, prosedüre uygun olarak yürütülmez ve düzensiz bir durum ortaya çıkarırsa, hukuki işlemlerin önemi kendiliğinden belirgin olabilir.

Bilgi Kaybı Yasal Olarak Kimin Sorumluluğundadır?

Beklenmedik bir veri kaybı durumunda yasal sorumluluk nedir?

İşletme Operatörünün İşinin Hukuki Doğası

Peki, bu şekilde beklenmedik bir olay sonucunda veri kaybedilmiş ve ayrıca bir kurtarma yöntemi de yoksa, bu hukuki sorumluluk nereye aittir? Aşağıda, hukuki bir bakış açısıyla, bu tür olayları analiz edelim.

Depozito Sözleşmesine Dayalı Saklama Yükümlülüğünün Takip Edilmesi Zordur

Veri işletme işlemlerini yürüten işletmelerin sorumluluğunu sorgularken düşünülebilecek teorik yapılandırmalardan biri, ücretli depozito sözleşmesine dayalı iyi yönetim yükümlülüğünün takip edilmesidir. Basitçe ifade etmek gerekirse, bu, ücretli bir kilitli dolap gibi yerlerde eşyaların depozitosunu alan bir işletmenin, bu eşyayı kaybettiği durumlarda genellikle tazminat sorumluluğunu takip etmesiyle aynıdır. Bu, “veri”nin kaybolma sorumluluğunun takip edilip edilemeyeceği sorunudur. Ancak, “eşya”nın saklama yükümlülüğü hikayesiyle aynı şekilde, “veri saklama yükümlülüğü”nün doğal olarak ortaya çıkacağını düşünmek, mevcut hukuk çerçevesinde gerçekçi değildir.

Bu, belirli bir sözleşme içeriğine bağlıdır

Sonuç olarak, “Veri saklama yükümlülüğünü kim üstlenir” sorusu, Japon Medeni Kanunu’na (Japanese Civil Code) dayanarak tek bir çözüm bulmanın zor olduğunu söylemek gerekir. Dolayısıyla, bu sorunun yanıtı, “Belirli bir sözleşme içeriği nasıl belirlenmiştir” olacaktır.

Ve “Sözleşme içeriği neydi” konusu, sadece sözleşme metni ile sınırlı olmayıp, toplantı tutanakları gibi belgeler de dahil olmak üzere değerlendirilir. Toplantı tutanaklarının önemi hakkında aşağıdaki makalede detaylı bir şekilde açıklama yapılmıştır.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

Sözleşme Dışı Üçüncü Kişilerden Haksız Fiil Sorumluluğunun Takibi Zordur

Sözleşme ilişkisi olmayan üçüncü kişilerden haksız fiil sorumluluğunun takibi, yargı kararlarına göre imkansızdır. Yargı kararlarında, veri kaybı olayında kiralık sunucu hizmetinde, kullanıcının haksız fiil temelinde tazminat talep edip edemeyeceği sorun olmuştur.

Haksız fiilin tipik örneklerinden biri, örneğin trafik kazalarıdır. Örneğin, bir araba kazasında sürücünün ihmali sonucu bir kişi yaralandığında, (cezai yükümlülüklerin yanı sıra) medeni hukuk açısından da sorumluluk taşır. Bir yabancıyla “bir kişiyi arabayla çarpmamak” konusunda bir sözleşme yapmazsınız, ancak bireyler arasında da tazminat sorumluluğu oluşabilir. Bu tür haksız fiil sorumluluğu çerçevesinde, doğrudan bir sözleşme ilişkisi olmayan bir kişiye karşı bile, veri kaybından dolayı sorumluluğun takip edilip edilemeyeceği tartışılmıştır.

Ancak, mahkeme, dijital bilginin özelliklerini belirttikten sonra, bu tür bir yükümlülüğün varlığını doğal olarak çıkarmanın zor olduğunu belirtmiştir.

Sunucular kusursuz değildir ve hatalar oluşabilir, bu da saklanan programların vb. kaybolmasına neden olabilir. Ancak, programlar vb. dijital bilgilerdir ve kolayca çoğaltılabilir. Kullanıcılar, programların vb. kaybolduğunda, bunları kaydedip sakladıysa, programları vb. yeniden çalıştırabilirler. Bu, geniş çapta bilinir (tartışmanın tüm özü) ve bu nedenle, davacılar, programların ve verilerin kaybolmasını önlemek için kolayca önlem alabilirdi. Davacılar ve davalının her iki tarafın da çıkar durumları göz önüne alındığında, sunucuyu kurup yöneten davalının, davacıların yukarıdaki kayıtları korumak için kayıp önleme yükümlülüğüne kadar sorumluluk taşımasına gerek yoktur. (Orta kısım atlanmıştır), Davacılar, kiralık sunucu sözleşmesinin üçüncü kişilerin programları veya verileri hakkında bir depozito sözleşmesi niteliği taşıdığını belirtmişler ve bu temelde, davalının, kiralık sunucu sağlayıcısı olarak, tüm kayıtları saklayan kişilere karşı dikkatli yönetim yükümlülüğü taşıdığını ve özellikle sunucunun kayıtlarını kaybetmemesi gerektiğini belirtmişlerdir. Bu varsayıma dayanarak, davalının, sunucuda saklanan davacıların kayıtlarını kaybetmesinin, yukarıdaki kayıp önleme yükümlülüğüne aykırı olduğunu iddia etmişlerdir.


Ancak, davalı sadece kullanıcı A ile ortak sunucu barındırma hizmeti kullanım sözleşmesi imzalamıştır ve davacılarla bir sözleşme ilişkisi yoktur ve sunucuda saklanan programlar veya verilerin saklanması hakkında bir depozito sözleşmesi niteliği de yoktur. Bu nedenle, davalının, sözleşme ilişkisi olmayan davacılara karşı, sunucuda saklanan kayıtlar hakkında haksız fiil hukuku çerçevesinde dikkatli yönetim yükümlülüğü taşıdığını belirten bir temel bulmak zordur. Bu durumda, davalının bir kiralık sunucu sağlayıcısı olması tek başına, sözleşme ilişkisi olmayan üçüncü kişilere karşı, sunucuda saklanan kayıtlar hakkında dikkatli yönetim yükümlülüğü taşıdığını veya kayıp önleme yükümlülüğü taşıdığını söylemek mümkün değildir.

Tokyo District Court, May 20, 2009 (2009)

Bu karar, sözleşme ilişkisi doğrudan olmayan üçüncü kişilere (davacılara) ilişkin olarak, “veriyi silme yükümlülüğü” gibi bir şeyin varsayılmasının uygun olmadığını belirtmiştir. Bu karar, daha sonra benzer olayların meydana gelmesi durumunda öncü bir dava olabilecek ve belirli bir dikkat çekebilecek bir karardır.

Sonuç olarak, sorumluluk takibi genellikle “zor” olmaktadır

Pratikte sıkça kullanılan bir sözleşme örneği üzerinden konuşacak olursak, veri saklama ve yedekleme gibi işlemlerin işletme operatörünün sorumluluğunda olduğu türden sözleşmelerin kullanıldığı durumlar çok fazla değildir. Aksine, bu tür işlemlerin kullanıcıların (yani müşteri tarafındaki şirketlerin) sorumluluğunda olduğunu belirten sözleşmeler çok daha yaygındır.

Dolayısıyla, özel bir anlaşma yapılmış olmadığı sürece, sistem işletme operatörünün veri kaybını önlemek için önlem almakla yükümlü olduğunu düşünmek hukuki açıdan son derece zordur.

Bilgi Kayıp Riskine Karşı Alınması Gereken Önlemler

Veri kaybını önlemek için mutlaka yedek alın.

Sonuç olarak, bir şirketin bilgi kayıp riski, öncelikle şirketin kendisinin sakladığı bilgilerle ilgilidir. Dolayısıyla, bu kayıp riskini nasıl değerlendireceği ve hangi saklama sistemi oluşturacağı, şirketin kendisinin karar vermesi gereken bir konudur.

Ayrıca, işletmenin sorumluluğu kabul edilse bile, kusurlu tazminatın tam olarak kabul edilmemesi gibi durumlar da olabilir. Geçmişteki dava örneklerinde, davacının verilerini sunucuda saklayan davalının verileri yok ettiği durumlarda, davacının yedek almadığı “kusur” olarak kabul edilmiş ve kusurlu tazminat kabul edilmiştir.

Davacı, dosyanın içeriği hakkında kolayca yedekleme gibi önlemler alabilirdi ve bu sayede (ortada) zararın oluşmasını önleyebilir, veya zararın oluşmasını son derece hafif tutabilirdi. Ancak, bu dosyanın veri içeriğini davacı tarafından hiçbir şekilde saklanmadığı kabul edilir.

Bu durumda, davalının tazminat sorumluluğunun miktarını belirlerken, bu noktayı göz önünde bulundurarak kusurlu tazminat hükümlerini uygulamak, tazminat hukukunun dengeli fikrine uygun olacaktır. (ortada)

Buna karşılık, davacı, dosyanın sağlayıcı işletmesi olan davalı tarafından sunucudan silineceğini davacının öngörmesi imkansızdır ve bu nedenle yedek alma yükümlülüğünü hukuki bir yükümlülük olarak kabul edilemez ve bu ihmali hukuki anlamda bir kusur olarak kabul edilemez, kusurlu tazminatın uygulanması reddedilmelidir diye savunur.

Ancak, kusurlu tazminatı uygularken, davacının dosyanın kaybolması sonucunun öngörülebilir olduğu kabul edilirse yeterlidir, bu sonuca yol açan sebep olarak, davalının dikkat yükümlülüğünün ihlali nedeniyle dosyanın kaybolduğu öngörülebilirliği gerekli değildir.

Bu durumda, (ortada), web sitesine hackerların girebileceği riskinin farkında olduğu açıktır ve ayrıca, davacı, internet iletişiminde bilgi değişikliği, yıkım riskinin olduğunu ve bu riskin öngörülebilir olduğunu kabul eder. Bu nedenle, davacının, internet iletişiminin özgün nedenlerinden dolayı dosyanın kaybolma riskini öngördüğü kabul edilir, dosyanın kaybolması sonucunun öngörülebilirliği tamamen onaylanır ve kusurlu tazminatın uygulanmasını onaylamak için hiçbir engel kabul edilemez.

Tokyo District Court, September 28, 2001 (Heisei 13)

Bu durumda, “Yedek almadan, hackerların girişi gibi nedenlerle dosyanın kaybolma riskini öngörebilirdi ve bu durumda kusurlu tazminat uygulanabilir” denilerek, tazminat miktarı yarıya indirilmiştir.

Özet

Veri kaybı riskiyle sınırlı olmamakla birlikte, bir sistemin dış kaynaklara devredildiği durumlarda, kullanıcılar genellikle sadece ekran işlemlerini önemser ve bu durum, kuruluşun yönetişiminin arkasında saklanan veritabanı alanına ulaşamamasına neden olabilir.

Ancak, geçmiş yargı kararları, bu konuların hiçbir zaman “başkasının sorunu” olmadığını göstermektedir. Başka bir deyişle, yedekleme gibi, bilgi kaybı riskini göz önünde bulunduran bir yönetim sistemi oluşturmanın ilerletilmesi, sonuçta kullanıcı tarafının (şirket içi) sorunu olduğunun farkında olunması gerektiğini söyleyebiliriz.

Geçmiş yargı kararları, bu tür risklere karşı hazırlıksız olmanın, telafisi mümkün olmayan durumları tetikleyebileceğini gösteren bir uyarı olarak, önleme ihtiyacını vurgulamaktadır.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Yazılım Geliştirmede Tedarikçiden Kullanıcıya Özürün Hukuki Anlamı Nedir?

Yazılım Geliştirmede Tedarikçiden Kullanıcıya Özürün Hukuki Anlamı Nedir?

IT

Stablecoin Nedir? Değişiklik Yapılan Japon 'Para Transferi Yasası'nda Elektronik Ödeme Yöntemleri ile İlişkisini Açıklıyoruz

Stablecoin Nedir? Değişiklik Yapılan Japon 'Para Transferi Yasası'nda Elektronik Ödeme Yöntemler.

IT

Kripto Varlıklar (Sanal Para) için Vergi Tasarrufu Stratejileri Nedir? Vergilendirme Zamanlaması ve Dikkat Edilmesi Gerekenler Hakkında Açıklama

Kripto Varlıklar (Sanal Para) için Vergi Tasarrufu Stratejileri Nedir? Vergilendirme Zamanlaması.

IT

Bir Avukatın Web Servisleri ve Benzeri Kullanım Şartlarının Nasıl Hazırlandığını Açıklaması (Birinci Bölüm)

Bir Avukatın Web Servisleri ve Benzeri Kullanım Şartlarının Nasıl Hazırlandığını Açıklaması (Bir.

IT

Metaverse'de 'Arazi' Satın Almanın Hukuki Sorunlarını Açıklıyoruz

Metaverse'de 'Arazi' Satın Almanın Hukuki Sorunlarını Açıklıyoruz

IT

System Geliştirmenin Sonlandırılmasının Ardından Tedarikçinin Üstlendiği Destek Sorumlulukları Nelerdir?

System Geliştirmenin Sonlandırılmasının Ardından Tedarikçinin Üstlendiği Destek Sorumlulukları N.

IT

Sistemdeki Arızaların Kabul Sonrası Ortaya Çıktığı Durumlarda Ne Yapılmalı?

Sistemdeki Arızaların Kabul Sonrası Ortaya Çıktığı Durumlarda Ne Yapılmalı?

IT

İnternet Mağazası Yönetimi ve Hukuk: Japon 'Belirli Elektronik Posta Yasası' ve 'Kişisel Bilgi Koruma Yasası'

İnternet Mağazası Yönetimi ve Hukuk: Japon 'Belirli Elektronik Posta Yasası' ve 'Kişisel Bilgi K.

IT

Kripto Varlıkların Madencilik Mekanizmasını Anlaşılır Bir Şekilde Açıklıyoruz: Japon Yatırım Yasası'nın (Düzeltilmiş) Etkileri ve Nelere Dikkat Edilmeli?

Kripto Varlıkların Madencilik Mekanizmasını Anlaşılır Bir Şekilde Açıklıyoruz: Japon Yatırım Yas.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Başa dön