TR-TR 
EN-US 
Avrupa Veri Koruma Kurulu (“EDPB”) ve Fransız Veri Koruma Kurumu (“CNIL”), Avrupa’daki Bulut Altyapısı Hizmet Sağlayıcıları (“CISPE”) tarafından sunulan bulut altyapısı hizmet sağlayıcıları için ilk Veri Koruma Davranış Kuralları’nı (“CISPE Kodu”) GDPR’nin 40 ve 41. Maddeleri uyarınca onaylamıştır. CISPE Davranış Kuralları kapsamın tanımı, veri koruma gereklilikleri, şeffaflık gereklilikleri, bağlılık ve yönetişim bölümlerinden oluşmaktadır. Bulut altyapısı hükmü bağlamında ilgili her GDPR gereksinimi için, CISPE Davranış Kuralları açıklayıcı notlarla karşılık gelen bir gereksinimi açıklamaktadır.
CISPE Davranış Kuralları’na göre, bir Hizmet Olarak Altyapı (“IaaS”) sağlayıcısı yalnızca sanallaştırılmış donanım veya bilgi işlem altyapısı sağlamaktadır. CISPE Davranış Kuralları, IaaS sağlayıcılarını kapsamaktadır. CISPE Davranış Kurallarında IaaS sağlayıcıları, Bulut Altyapı Hizmetleri Sağlayıcıları (“CISP’ler”) olarak anılmaktadır. CISPE Davranış Kurallarının amacı, CISP’lerin GDPR ile uyumluluğu sağlamalarına yardımcı olmak ve bulut altyapı hizmetlerinin müşterinin gerçekleştirmek istediği kişisel verilerin işlenmesi için uygun olup olmadığını değerlendirmede müşterilere rehberlik etmek olarak açıklanmıştır. CISP’lerin müşterilerinin, bu altyapıyı nasıl kullanacaklarını seçme esnekliğine sahip oldukları da belirtilmiştir. Bu kapsamda, CISP’i kullanan bir müşterinin, altyapı üzerinde hangi uygulamaları devreye almak istediğini, altyapı üzerinde hangi verileri işlemek istediğini, bu verileri hangi ülkelerde ve hangi amaçlarla işleyeceğini ve bu verileri nasıl korumak istediğini seçme özgürlüğüne sahip olduğu açıklanmıştır. CISP’lerin, CISPE Davranış Kurallarını kabul ederken, müşterilerin kişisel verilerini geleneksel bir şekilde kullanmayı ve bu verileri AB/AEA bölgesi içinde işlemeyi ve saklamayı taahhüt edecekleri de CISPE Davranış Kurallarında belirtilmiştir.
Ayrıca herhangi bir CISP’in, ilgili hizmetin CISPE Davranış Kuralları’nın gereksinimleri ile uyumlu olması, bu hizmetle ilgili olarak, CISP’in, GDPR kapsamında bir veri işleyen olarak yükümlülüklerine uyduğu, hizmetin, müşteriye, verilerini tamamen AEA içinde depolamak ve işlemek için hizmeti kullanmayı seçme olanağı sağladığı taktirde herhangi bir bulut altyapısı hizmeti için CISPE Davranış Kuralları gereksinimlerine bağlı olduğunu beyan edebileceği belirtilmiştir.
Bununla birlikte, CISPE Davranış Kuralları’na bağlı olduğunu beyan eden kuruluşların, devam eden uyumluluğunu doğrulaması gerektiği de açıklanmıştır. CISPE Davranış Kuralları’nda, GDPR’ın 41. Maddesi uyarınca birkaç harici izleme organı atanmıştır. CISPE Davranış Kuralları’nın etkinliğinin, CISPE Davranış Kuralları’nın uygun şekilde uygulanmasını izlemekten sorumlu ve yetkili denetim makamı tarafından akredite edilecek bir organın müdahalesi ile sağlanacağı da belirtilmiştir. Bu kapsamda, bu izleme organlarının, uygulamanın uygulanmasını denetleyeceği, bağlı üyelerin CISPE Davranış Kuralları’nın hükümlerine uymasını sağlayacağı ve CISPE Davranış Kuralları ihlalleri varsa yaptırım uygulamak gibi önlemler alacağı belirtilmiştir. CISPE Davranış Kuralları’nda, tüm bu organların, izleme görevlerini ancak CNIL’e akreditasyon başvurusunda bulunduktan sonra gerçekleştirebilecekleri vurgulanmakla beraber akreditasyon yönergelerinin gereklilikleri karşılanırsa, akreditasyonun CNIL tarafından verileceği açıklanmıştır.
CISPE Davranış Kuralları’nda, CISP’lerin CISPE Davranış Kuralları’na bağlı bir hizmeti beyan etmesi için iki olası yol ortaya konulmuştur. Bunlardan biri CISP’lerin CISPE Davranış Kuralları’na bağlı ve uyumlu olduğunu doğrulayan ve onaylayan bağımsız bir üçüncü tarafça denetim olan kontrollü bağlılık olarak belirtilirken, diğer yol ise CISP tarafından CISPE Davranış Kuralları gerekliliklerle uyumlu olduğunun ve Kurallarda sağlanan modeli kullanarak bir taahhüt beyanı imzaladığının değerlendirilmesi olan uygunluğun öz değerlendirmesi olarak açıklanmıştır. Ayrıca, CISPE Davranış Kuralları’na katılan ve gerekli ücreti ödeyen herhangi bir şirketin, resmi CISPE güven işaretlerinden birine başvurmaya hak kazanacağı belirtilmiştir. Bu güven işaretlerinden ilki doğrulamayı bekleyen, CISPE Davranış Kuralları gereksinimlerine karşı bir öz değerlendirme gerçekleştiren CISP’ler tarafından kullanılabilecek aday işareti iken, diğeri uyumluluğu doğrulanan hizmetlere ve sağlayıcılara verilen uyumlu işareti olarak açıklanmıştır.
Bulut altyapısı hizmeti bağlamında, CISP’in müşteri için bir veri işleyen olarak hareket edeceği ve CISPE Davranış Kuralları’nın yalnızca CISP’nin bir veri işleyen olarak hareket ettiği ölçüde geçerli olduğu açıklanmıştır. CISPE Davranış Kuralları gereksinimlerinin, veri işleyen olarak CISP’lerin uyması gereken ilkeleri belirlediği ve ayrıca hem veri denetleyicilerinin hem de veri işleyenlerin GDPR kapsamında yasal yükümlülükleri de olduğu belirtilmiştir. Veri denetleyicilerinin yükümlülüklerinin, veri işleyenlerin yükümlülüklerinden daha geniş olduğu belirtilmekle; veri işleyenlerin, veri sorumlusunun yükümlülüklerinin yerine getirilmesinde destekleyici bir rol oynayabileceği dile getirilmiştir. CISPE Davranış Kuralları, CISP’lerin yükümlülüklerini ortaya koymaya ve veri işleyen olarak, müşterilerinin tedarik zincirinde veri kontrolörleri veya kendileri veri işleyen olanlara nasıl destek olabilecekleri konusunda yol göstermektedir. Bulut altyapı hizmetini kullanan bir müşteri adına işlenen kişisel verilerle ilgili olarak, CISP’in hizmetleri müşteriye sağlamak ve sürdürmek için gerekli olmadıkça bu verilere erişmemesi veya bunları kullanmaması gerektiği veya bu tür verileri, CISP’nin kendi amaçları için işlememesi gerektiği belirtilmiştir.
Tüm bunlara dayanarak CISPE Davranış Kuralları’nda, CISP’lerin, hizmetlerinin CISPE Davranış Kuralları’na uygun olduğunu beyan ederek, müşterilere hizmet tarafından gerçekleştirilen işlemlerin tamamen GDPR uyumlu olduğunu garanti ettiği belirtilmiştir.
Esra Temur
