BULUT BİLİŞİM HİZMET SAĞLAYICILARININ VERİYİ KORUYAMAMALARI DURUMUYLA İLGİLİ TÜRK, AVRUPA BİRLİĞİ VE AMERİKAN HUKUKUNDAKİ DÜZENLEMELER

Year 2015, Volume: 17 Issue: 3, 367 - 388, 26.02.2016

Kutan Koruyan Fatma İtır Bingöl

https://doi.org/10.16953/deusbed.67150

Abstract

Bilgisayar ağları üzerinden, zaman ve mekândan bağımsız olarak bilgisayar kaynaklarına olan erişime olanak sağlayan bulut bilişim teknolojisi, günümüzde bilişim teknolojisi sektöründe önemli bir pazar haline gelmiştir. İşletmelerin bilişim teknolojisi faaliyetlerini üçüncü şirketlere hizmet alma yolu ile devretmesi, maliyetleri düşürse de özellikle bu işletmelerin verilerinin bulut bilişim hizmet sağlayıcısı tarafından saklanması ve bu verilerin korunamaması durumunda birçok hukuki sorun ortaya çıkmaktadır. Bazı devletler bu olumsuzlukları önlemek için kanun ve yönetmelikler çıkartsa da Türkiye'nin de aralarında bulunduğu çoğu ülkede özellikle kişisel verilerin korunmasına yönelik kanun ve yönetmeliklerin yeterli seviyede olmadığı görülmektedir. 2008 yılında, Türkiye’nin Avrupa Birliği (AB) uyum süreci çerçevesi içinde Kişisel Verilerin Korunması Kanun Tasarısı hazırlanmış, ancak henüz yasalaşmamıştır. Bu yasanın çıkmasının Türkiye’yi bilişim güvenliği açısından daha güvenli ülke kategorisine sokacağı gerçeği göz önüne alındığında, tasarının bir an önce yasalaşmasında büyük menfaat vardır. Bu çalışmada; AB ve Amerika Birleşik Devletleri’ndeki veri kaybıyla ilgili düzenlemeler incelenmiş ve Türk hukukunda Kişisel Verilerin Korunması Kanun Tasarısı yürürlüğe girinceye kadar uygulanacak olan mevzuattaki hükümler açıklanmıştır. Ayrıca, Kişisel Verilerin Korunması Kanun Tasarısı’nın getirdiği hükümlerin AB mevzuatındaki düzenlemelerle uyumu incelenmiştir.

Anahtar Kelimeler: Bulut Bilişim, Veri Kaybı, Kişisel Verilerin Korunması Kanun Tasarısı, Bilişim Hukuku.

THE REGULATIONS IN TURKISH, THE EUROPEAN UNION AND AMERICAN LAWS REGARDING DATA PROTECTION FAILURE BY CLOUD COMPUTING SERVICE PROVIDERS

Abstract

Cloud computing technology, which enables access to computing resources from computer networks independent of time and place, it has currently become an important market in the information technology sector. Although outsourcing information technology operations to third parties reduces the costs, various questions of law ensue especially regarding the storage of data by cloud computing service providers and their failure to protect these data. Some countries have enacted laws and regulations to avoid these problems, but in most countries including Turkey, the laws and regulations are insufficient particularly with regard to the protection of personal data. In 2008, the draft of the Personal Data Protection Law was prepared within the framework of Turkey’s European Union (EU) harmonization process, but it has still not become a law. As the enactment of this law will place Turkey among the more trusted countries with respect to information security, the passing of this draft is of great significance. In this study, the regulations on data loss in EU and the United States of America were studied and the provisions of the legislation in effect until the draft of the Personal Data Protection Law is enacted was explained. Furthermore, the compliance of the draft of the Personal Data Protection Law’s provisions to the regulations in EU legislations was investigated.

Keywords: Cloud Computing, Data Loss, the Draft of Personal Data Protection Law, Information Technology Law.

References

• Armbrust, M., Fox, A., Griffith, R., Joseph, A. D., Katz, R. H., Konwinski, A. Lee, G., Patterson, D. A., Rabkin, A., Stoica, I. ve Zaharia, M. (2009). Above the clouds: A Berkeley view of cloud computing. http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.html, (01.12.2014).
• Arrasjid, J. Y., Lin, B., Veeramraju, R., Kaplan, S., Epping, D. ve Haines, M. (2011). Cloud computing with VMware vCloud Director. USA: USENIX Association.
• Baker, N. (2014). New EU rules affect data privacy safe harbor. Compliance Week, 11 (127): 56-57.
• Baun, C., Kunze, M., Nimis, J. ve Tai, S. (2011). Cloud computing: Web-based dynamic IT services. Berlin: Springer-Verlag.
• Bilgiç, S. (2013). Türkiye, bulut bilişimin büyümesini etkileyen yasal düzenlemelerde 24 ülke arasında 18. sıraya yerleşti. http://cloudscorecard.bsa.org/2013/assets/PDFs/press_releases/Turkey_pr.pdf, (15.01.2015).
• Bilişim ve İnternet Araştırma Komisyonu (2013). TBMM Bilişim ve İnternet Araştırma Komisyonu (BİAK) raporunda yer alan öneriler. https://www.tbmm.gov.tr/arastirma_komisyonlari/bilisim_internet/docs/rapor_ozeti.pdf (17.03.2015).
• BSA (2013). 2013 BSA global cloud computing scorecard: A clear path to progress. http://cloudscorecard.bsa.org/2013/assets/PDFs/BSA_GlobalCloud Scorecard2013.pdf, (22.03.2014).
• Court of Justice of the European Union (2015). “The Court of Justice declares that the Commission’s US safe harbour decision is invalid”. Basın Bülteni No: 117/15. http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp 150117en.pdf, (15.01.2015).
• Dutta, S. ve Mia, I. (Ed.) (2010). The global information technology report 2009-2010: ICT for sustainability. Cenevre, İsviçre: INSEAD ve World Economic Forum. www.weforum.org/reports/global-information-technology-report-2009-2010, (15.01.2015).
• ENISA (2009). Cloud computing: Benefits, risks and recommendations for information security. https://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport, (15.01.2015).
• European Commission (2012a). How will the data protection reform affect social networks? http://ec.europa.eu/justice/data-protection/document/review2012/ factsheets/3_en.pdf, (13.9.2014).
• European Commission (2012b). How will the EU’s data protection strenghten the internal market? http://ec.europa.eu/justice/data-protection/ document/review2012/factsheets/4_en.pdf, (13.09.2014).
• European Commission (2012c). How will the EU’s data protection reform make international cooperation easier? http://ec.europa.eu/justice/data-protection/document/review2012/factsheets/5_en.pdf, (13.09.2014).
• European Commission (2012d). How does the data protection reform strengthen citizens’ rights? http://ec.europa.eu/justice/data-protection/ document/review2012/factsheets/2_en.pdf, (13.09.2014).
• European Commission (2014). Progress on EU data protection reform now irreversible following European Parliament vote. http://europa.eu/rapid/press-release_MEMO-14-186_en.htm, (14.09.2014).
• European Parliament (2012). Cloud computing. Study of Policy Department A: Economic and Scientific Policy. www.europarl.europa.eu/document/activities/cont/201205/20120531ATT46111/20120531ATT46111EN.pdf, (15.01.2015).
• Export.gov (2015). “The U.S.-EU & U.S.-Swiss safe harbor frameworks”, http://www.export.gov/safeharbor/, (15.11.2015).
• Forrester Research (2011). Sizing the cloud - A BT futures report: Understanding and quantifying the future of cloud computing. http://www.forrester.com, (30.03.2015).
• FTC (2009). FTC staff revises online behavioral advertising principles. www.ftc.gov/news-events/press-releases/2009/02/ftc-staff-revises-online-behavioral-advertising-principles, (25.01.2015).
• Grant, J. (2005). International data protection regulation: Data transfer-safe harbor. Computer Law & Security Review, 21 (3): 257-261.
• Henkoğlu, T. ve Külcü, Ö. (2013). Bilgi erişim platformu olarak bulut bilişim: Riskler ve hukuksal koşullar üzerine bir inceleme. Bilgi Dünyası, 14 (1): 62-86.
• Hill, R., Hirsch, L., Lake, P. ve Moshiri, S. (2013). Guide to cloud computing: Principles and practice. London: Springer-Verlag.
• Hon, W. K., Hörnle, J. ve Millarda, C. (2012). Data protection jurisdiction and cloud computing - When are cloud users and providers subject to EU data protection law? The cloud of unknowing. International Review of Law, Computers & Technology, 26 (2-3): 129-164.
• Jaeger, J. (2014). FTC enforces EU-U.S. safe harbor framework. Compliance Week, 11 (124): 26-27.
• Jin, H., Ibrahim, S., Bell, T., Qi, L., Cao, H., Wu, S. ve Shi, X. (2010). Tools and technologies for building clouds. N. Antonopoulos ve L.
• Gillam (Der.) Cloud Computing: Principles, Systems and Applications: İçinde 3-20. London: Springer-Verlag.
• King, N. J. ve Raja, V. T. (2013). What do they really know about me in the cloud? A comparative law perspective on protecting privacy and security of sensitive consumer data. American Business Law Journal, 50 (2): 413-482.
• Laudon, K. C. ve Laudon, J. P. (2011). Management information systems: Managing the digital firm. 12. Basım. New Jersey: Pearson Education.
• Mantelero, A. (2013). The EU proposal for a General Data Protection Regulation and the roots of the ‘right to be forgotten’. Computer Law & Security Review, 29 (3): 229-235.
• MarketsandMarkets (2011). Cloud computing market: Global forecast (2010 - 2015). Rapor Kodu: TC 1228. http://www.marketsandmarkets.com, (30.03.2015).
• Mell, P. ve Grance, T. (2011). The NIST definition of cloud computing-Recommendations of the National Institute of Standards and Technology. Gaithersburg, MD, ABD: NIST-National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf, (25.03.2015).
• Nycum, H. S. (2001). The safe harbor principles for US compliance with the EU data protection directive. Journal of Internet Law, 4 (7): 7-10.
• Onwubiko, C. (2010). Security issues to cloud computing. N. Antonopoulos ve L. Gillam (Der.) Cloud computing: Principles, systems and applications: İçinde 271-288. London: Springer-Verlag.
• Oppenheim, C. (2012). Cloud law and contract negotiation. El Profesional de la Informacion, 21 (5): 453-457.
• Özdaş, M. R. (2014) Bulut bilișimin kamuda kullanımı: Dünya örnekleri ve Türkiye için öneriler. Yayınlanmamış Uzmanlık Tezi. T.C. Kalkınma Bakanlığı, Bilgi Toplumu Dairesi, Ankara.
• Rotondo, E. (2013). The legal effect of EU regulations. Computer Law & Security Review, 29 (4): 437-445.
• Rountree, R. ve Castrillo, I. (2014). The basics of cloud computing: Understanding the fundamentals of cloud computing in theory and practice. USA: Syngress.
• Signatories to the Statement (2013). Data protection in Europe - Academics are taking a position. Computer Law & Security Review, 29 (2): 180-184.
• Smoot, S. R. ve Tan, N. K. (2012). Private cloud computing: Consolidation, virtualization, and service-oriented. ABD: Elsevier.
• Subashini, S. ve Kavitha, V. (2011) A survey on security issues in service delivery models of cloud computing. Journal of Network and Computer Applications, 34 (1): 1-11.
• Svantesson, D. ve Clarke, R. (2010). Privacy and consumer risks in cloud computing. Computer Law and Security Review, 26 (4): 391-397.
• Tekin, N. (2014). Kişisel verilerin korunması ile ilgili Türkiye’deki kanun tasarısının Avrupa Birliği veri koruma direktifi ışığında değerlendirilmesi. Uyuşmazlık Mahkemesi Dergisi, (4): 222-262.
• Tekinalp, G., Tekinalp, Ü., Atamer, Y. M., Oder, B. E., Oder, B. ve
• Okutan, G. (2000). Avrupa Birliği hukuku (2. Baskı), İstanbul: Beta Basım Yayın.
• Trappler, T. (2010). If it's in the cloud, get it on paper: Cloud computing contract issues. http://www.educause.edu/ero/article/if-its-cloud-get-it-paper-cloud-computing-contract-issues (15.01.2015).
• TSE (2013). Bulut bilişim güvenlik ve kullanım standardı (Taslak), https://www.tse.org.tr/upload/tr/dosya/duyuruyonetimi/1082/12122014170015-2.pdf, (28.05.2015).
• Türkiye Bilişim Derneği (2013). 2013 Değerlendirme raporu. http://www.tbd.org.tr/usr_img/temp/2013_TBD_Degerlendirme_Raporu.pdf, (17.04.2015).
• Williams, M. I. (2010). A quick start guide to cloud computing. Birleşik Krallık: Kogan Page Limited.
• Xiong, J., Li, F., Ma, J., Liu, X., Yao, Z. ve Chen, S. C. (2015). A full lifecycle privacy protection scheme for sensitive data in cloud computing. Peer-to-Peer Networking and Applications, 8 (6): 1025-1037.