scryp
Tüm yazılar
7 dk okuma

Transkriptleriniz Neden AB’de Kalmalı

Toplantı, röportaj veya dikte ses kayıtları neredeyse her zaman kişisel veriler içerir – sesler, isimler, görüşler, bazen sağlık verileri veya ticari sırlar. Buna rağmen çoğu transkripsiyon hizmeti bu verileri Amerika Birleşik Devletleri’ndeki sunucularda işler.

Avrupalı şirketler, hukuk büroları, doktor muayenehaneleri ve kamu kurumları için bu yalnızca teorik bir risk değil – somut bir veri koruma hukuku sorunudur. Bu makale, veri işlemenin yapıldığı yerin neden belirleyici olduğunu ve nelere dikkat etmeniz gerektiğini açıklar.

ABD sunucularıyla ilgili sorun

ABD sunucularındaki Avrupa verileri, ABD CLOUD Act kapsamındadır. Amerikalı makamlar, Avrupa mahkemesi kararı olmaksızın dahi verilerin teslimini talep edebilir. Bu, GDPR (DSGVO) ile doğrudan çelişir ve Avrupa Birliği Adalet Divanı’nın Schrems II kararıyla teyit edilmiştir.

ABD CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018), ABD makamlarının Amerikan şirketlerinden veri teslimini talep etmesine izin verir – sunucuların hangi ülkede bulunduğundan bağımsız olarak. ABD merkezli bir transkripsiyon hizmeti, Avrupa’da veri merkezleri işletse bile bu yasaya tabidir.

Avrupa Birliği Adalet Divanı’nın Schrems II kararı (Dava C-311/18, Temmuz 2020), ABD’nin GDPR anlamında yeterli bir veri koruma düzeyi sunmadığını teyit etti. Privacy Shield geçersiz ilan edildi. 2023 tarihli AB-ABD Data Privacy Framework (DPF) sorunu çözmeyi amaçlıyor, ancak şimdiden hukuki itirazlarla karşı karşıya.

Şirketler için bu şu anlama gelir: Kişisel veriler içeren ses kayıtlarını bir ABD hizmetine devreden taraf, veri aktarımının hukuki dayanağının yeniden ortadan kalkması riskini taşır.

“AB’de veri” ifadesinin somut anlamı

“AB veri merkezleri” vaadiyle pazarlama yapan her hizmet gerçek veri egemenliği sunmaz. Üç nokta belirleyicidir:

  • Şirketin merkezi: AB sunucularına sahip bir ABD şirketi yine de CLOUD Act kapsamındadır. Yalnızca AB’de merkezli bir şirket tamamen Avrupa hukukuna tabidir.
  • Altyapının işletmecisi: Sunucuları fiziksel olarak kim işletiyor? Hetzner gibi Avrupalı bir barındırıcı yalnızca Avrupa hukukuna tabidir. AWS, Google Cloud veya Azure – AB bölgeleriyle bile – ABD şirketleridir.
  • Sertifikalar: ISO 27001, bilgi güvenliği yönetim sistemleri için uluslararası standarttır. Veri merkezi işletmecisinin gizlilik, bütünlük ve erişilebilirlik için sistematik koruma önlemleri uyguladığını teyit eder.

Veri merkezi olarak neden Hetzner

scryp tüm verileri yalnızca Almanya’daki Hetzner’de işler ve saklar. Bu bilinçli bir mimari karardır:

  • ISO/IEC 27001 sertifikalı – Bilgi güvenliği yönetim sistemi, bağımsız denetçiler tarafından düzenli olarak denetlenir.
  • %100 Alman şirketi – ABD ana şirketi yok, CLOUD Act erişimi yok. Hetzner yalnızca Alman ve Avrupa hukukuna tabidir.
  • Coğrafi yedekli veri merkezleri Almanya’da – Verileriniz AB’den hiç çıkmaz.
  • Kendi donanımı – Hetzner kendi sunucularını ve ağ altyapısını işletir. ABD’li hiperölçekleyicilere bağımlılık yoktur.

Avusturyalı bir şirket, Avrupalı değerler

scryp Avusturyalı bir şirkettir. Tüm ekibimiz, yönetimimiz ve hukuki yapımız AB’dedir. Bu şu anlama gelir:

  • Yalnızca Avrupa hukukuna tabiyiz – GDPR, DSG (Avusturya), CLOUD Act yok.
  • Hiçbir ABD ana şirketi veri teslimine zorlanamaz.
  • Gizlilik politikamız Avusturya ve Avrupa hukukunu izler – Kaliforniya veya Delaware’in veri koruma yasalarını değil.

Ek güvence olarak şifreleme

Sunucu konumu tek başına yeterli değildir. AB sunucularında dahi veriler tehlikeye girebilir – saldırılar, içeriden erişim veya teknik hatalar yoluyla. Bu nedenle scryp, AB konumunu istemci tarafı şifreleme ile birleştirir:

  • Ses, sunucuya ulaşmadan önce tarayıcıda şifrelenir.
  • Transkriptler şifreli olarak saklanır– sunucu açık metni hiç görmez.
  • Bir veri sızıntısında bile veriler, kullanıcının kişisel anahtarı olmadan değersizdir.

“AES-256 at rest” ile reklam yapan ancak açık metni sunucuda işleyen ve orada potansiyel olarak görüntüleyebilen hizmetlerle arasındaki belirleyici fark budur.

Kontrol listesi: Transkripsiyon hizmetlerinde veri egemenliği

  • Şirketin merkezi nerede? (AB'ye karşı ABD)
  • Sunucuları kim işletiyor? (AB barındırıcısı mı, ABD’li hiperölçekleyici mi)
  • Veri merkezi ISO 27001 sertifikalı mı?
  • Sağlayıcı ABD CLOUD Act kapsamında mı?
  • Veriler istemci tarafında mı yoksa yalnızca sunucu tarafında mı şifreleniyor?
  • Özgün kayıtlar işlemeden sonra siliniyor mu?
  • GDPR Md. 28 uyarınca bir veri işleme sözleşmesi (DPA) var mı?

Sonuç

Veri işlemenin yapıldığı yer bir pazarlama ayrıntısı değildir – verilerinizin hangi hukuk sistemine tabi olduğuna karar verir. Avrupalı şirketler için; sağlayıcının AB merkezi, ISO-27001 sertifikalı bir AB veri merkezi ve istemci tarafı şifrelemenin bir arada bulunması, ses verilerini veri korumasına uygun biçimde işlemek için en güvenli yoldur. Bu korumayı sunmayan, riski size aktarır.

Transkriptleriniz Neden AB’de Kalmalı