GDPR'nin Yeni Cephesi: Hosting Şirketleri Artık Doğrudan Hedef

2025'e girerken, veri işleme sektöründe köklü bir değişim yaşanıyor. Eğer bir hosting şirketi yönetiyorsanız, AB'de müşteri verisi işliyorsanız veya bulut hizmetleri sunuyorsanız, bu yazıyı dikkatlice okumanız gerekiyor. Çünkü uzun yıllar koruyucu olarak gördüğünüz "müşteri sorumluluğu" kalkanı artık işe yaramıyor.

GDPR Zorunluluğunun Yeniden Şekillendiği Dönem

Geçmiş yedi yıl boyunca veri ihlalleri olduğunda, bir kural gibi işledi: Müşterilerle doğrudan ilişkisi olan şirket cezalandırılırdı. Hosting sağlayıcı, bulut procesörü veya altyapı katmanı? Araştırmalara konu olmakla yetinir, ağır yaptırımlar başkasının başına inerdi.

Ama 2025 bu dönemin bitişini işaret ediyor. Ve bunu gösteren iki önemli yasal karar var.

İlk Durum: Sağlık Sisteminin Güvenlik Açığı (3.07 Milyon Sterlin)

Mart 2025'te İngiltere'nin Bilgi Komiseri Ofisi tarihte ilk kez doğrudan veri işleyene para cezası kesti.

Advanced Computer Software Group, İngiltere Sağlık Sistemine (NHS) hizmet veriyordu. 2022'nin Ağustosu'nda, çift faktörlü kimlik doğrulaması olmayan bir müşteri hesabı üzerinden fidye yazılımı atağına uğradılar. Yaklaşık 900 eve bakım hastasının tıbbi kayıtları açığa çıktı; toplamda 82 bin civarında kişinin verisi tehlikeye girdi.

Önemli olan şu: Advanced, hasta bilgisinin sahibi olmadığı için değil, kontratla yükümlü olduğu verileri korumamadığı için cezalandırıldı.

Soruşturma ortaya çıkardı ki şirketin:

• Sağlık verisi işleyen sistemlerde çift faktörlü kimlik doğrulaması yok
• Düzenli güvenlik taraması yapılmıyor
• Yazılım güncellemeleri eksik

İlk belirlenen ceza 6.1 milyondu, sonunda 3.07 milyona indirildi. Mesaj ise kristal berraaktı: GDPR'ye göre veri işleyenlerin "uygun teknik ve yönetsel koruma önlemleri" alması zorunlu. Eğer kontrat çerçevesinde veri işliyorsanız, bu sorumluluk tamamen sizin.

İkinci Durum: Veriler Silinmediği İçin (1 Milyon Euro)

Beş ay sonra, Fransa'nın veri koruma kurumu CNIL, Mobius Solutions adlı bir İngiliz yazılım şirketine karşı aldığı kararını duyurdu. Şirket, müzik streaming hizmeti Deezer'ın reklamcılık verilerini işliyordu.

Kontrat sona erdiğinde Mobius bir adım attı: Verileri silmedi.

Hem de öyle, kendi hizmetini geliştirmek için bu verileri Deezer'ın bilgisi dışında kullandılar.

CNIL üç ihlal tespit etti:

1. Kontrat bitiminden sonra verileri tutmak
2. Müşterinin talimatları dışında veriler işlemek
3. İşleme faaliyetleri kayıt etmemek

Ceza: 1 milyon euro.

Bu davada ilginç olan, kapsamının geniş olmasıydı. 46 milyon Deezer kullanıcısının verileri söz konusuydu. Mobius'un Avrupa'da yasal temeli olmadığı için CNIL'in yetki alanı açık seçik beliydi. Üç yıllık soruşturmanın sonucu, doğrudan veri işleyene karşı işlem başlatılmıştı.

Hosting İşletmecilerine Ne Anlama Geliyor?

Bu hadiseler istisna değil, birer emsal. Şu mesajı vermektedir:

Güvenlik uygulamalarından siz doğrudan sorumlususunuz. Müşterilerin imza attığı sözleşme sizi GDPR yaptırımından korumaz. Kontrat sadece ticari sorumluluk aktarır, hukuki riski değil. Teknik kontrol mekanizmalarını kurup çalıştırmazsanız, ceza sizin başına iner.

Veri silmek zorunlu bir eylemdir. Müşteri ilişkisi bittiğinde, anlaşmazlık sona erdiğinde, veri silinmesi mecburi. "Acaba daha sonra lazım olur" düşüncesiyle tutmak ya da kendi işinize yaraması için kullanmak ceza demektir.

Güvenlik standartları esnek değildir. Çift faktörlü kimlik doğrulama, güvenlik açığı yönetimi, sistem güncellemeleri, erişim kontrolleri—bunlar artık "olsa iyi olur" şeyler değil, hukuki gereklilik. Bir denetim sırasında bu açıklar bulunursa, ceza kaçınılmaz.

Belgeler sizi kurtarır ya da mahkum eder. Mobius'un işleme kayıtlarını tutmaması ayrı bir ihlaldi. Veri işleme dökümanlarınız, güvenlik denetimleri, olay yönetimi logları, silme prosedürleri—bunların hepsi muhtemel bir soruşturmada delil olur. Uyumunuzu belgelemezseniz, regülatörler uyumsuzu var sayacak.

Hemen Yapmanız Gerekenler

Eğer bir hosting platformu, yönetilen hizmet veya AB verisi işleyen SaaS altyapısı işletiyorsanız:

1. Güvenlik mimarinizi gözden geçirin. Çift faktörlü kimlik doğrulama, şifreleme, ağ segmentasyonu, zafiyet taraması—kişisel veri işleyen tüm sistemlerinizde var mı? Yoksa riski artırıyorsunuz.

2. Veri silme proseslerinizi kontrol edin. Kontrat bittiğinde veriler otomatik olarak siliniyor mu? Yoksa yedeklemelerde sonsuza kadar kalıyor mu? Silme sürelerini tanımlayın ve uygulayın.

3. Müşteri anlaşmalarınızı güçlendirin. Sizin güvenlik görevleriniz, silme prosedürleriniz, denetim hakları açıkça yazılmalı. Muğlak cümlelere yer yok.

4. Kapsamlı kayıt tutma sistemi kurun. Hangi verileri işlediğinizi, kimin eriştiğini, nasıl koruyduğunuzu ispat edebilmeniz gerek. Bu belgeler sizin savunmanız.

5. Siber sigortayı değerlendirin. GDPR cezaları artık gerçek rakamlarla konuşuyor. Sigortanız tüm riski kapsayamayabilir, ama sorumlu bir risk yönetimi stratejisinin parçası olur.

6. Hukuk müşaviri tutun. Bu emsal kararlar yeni. Hem teknik hem yasal tarafı anlayan danışmanlar lazım.

Gerçek Konu Şu

GDPR'nin 2018'de yürürlüğe girmesiyle veri işleyenlere karşı kullanılabilecek yasal çerçeve vardı. Fakat regülatörler bunu uzun süre kullanmadı; bunun yerine veri denetleyenleri hedef aldılar. Daha kolay yoldu bu.

2025'te regülatörler farkına vardı: Verileri elinde tutan ve güvenliğini sağlamakla yükümlü şirketleri doğrudan cezalandırabilirler. Ve bunu yapıyorlar.

Advanced ve Mobius'un cezalandırılması emsal oluşturdu. Bunlar son olmayacak. AB'de veri işleyen her hosting firması, her SaaS şirketi, her bulut sağlayıcısı şimdi gözlem altında.

Soru artık "beni cezalandırırlar mı" değil. Çünkü cezalandırmaya başladılar bile. Soru şu: "Benim şirketi hedef aldıkları zaman hazır mıyım?"

Şu an başlayın. Emsal kararlar verildi, artık geçiş dönemi yok.