Layersistem Blog Blog

KVKK uyumlu bulut nasıl seçilir: 2026 kontrol listesi

6698 sayılı Kişisel Verilerin Korunması Kanunu’na (2016) uyumlu bulut seçmek, veriyi nerede tuttuğunuza, yurt dışı aktarım rejimini nasıl yönettiğinize ve veri işleyenle sözleşmenizi nasıl kurguladığınıza bağlıdır. Doğru yöntem, teknik ve idari tedbirleri bir kontrol listesiyle ölçmek ve veri yerini önceden belirlemektir. Veriyi Türkiye içinde tutmak, aktarım prosedürünü büyük ölçüde gündemden çıkarır.

kvkk bulut bağlamında ne ister

KVKK, kişisel veriyi kimin işlediğini ve nerede tutulduğunu somut biçimde tanımlamanızı bekler. Bulut sağlayıcı, sizin adınıza veri işleyen konumundadır. Bu ilişki için yazılı bir veri işleyen sözleşmesi (md.12 kapsamında) şarttır. Sözleşme; işlemenin amacını, süresini, alınan güvenlik tedbirlerini ve sağlayıcının talimat dışına çıkamayacağını içermelidir. Kanun ayrıca VERBIS’e (Veri Sorumluları Sicili) kayıt yükümlülüğünü, açık rıza veya başka bir işleme şartının varlığını ve teknik ile idari tedbirlerin uygulanmasını düzenler.

Bulut kararında en kritik ayrım, verinin fiziksel konumudur. Veri Türkiye’de bir veri merkezinde tutuluyorsa, md.9’daki yurt dışı aktarım rejimi devreye girmez. Bu durum uyum yükünüzü tek bir cümleye indirir: aktarım yoksa, aktarım prosedürü de yoktur.

veri yeri neden belirleyici

Verinin coğrafi konumu, uyum modelinizin tamamını değiştirir. 6698 sayılı Kanun’un md.9’u, kişisel verinin yurt dışına aktarımını sıkı şartlara bağlar. 2024 değişikliğiyle aktarım için belirli güvenceler, standart sözleşme hükümleri veya bağlayıcı şirket kuralları gündeme geldi. Bu mekanizmaların her biri hukuki inceleme, imza süreci ve denetim gerektirir. Veriyi yurt içinde tutan bir mimaride bu adımlara ihtiyaç duymazsınız.

Ayrıca 5651 sayılı Kanun (2007), erişim ve trafik loglarının Türkiye’de belirli süre saklanmasını ister. Log verisi yurt dışı bir bölgede tutulursa hem KVKK md.9 hem 5651 saklama yükümlülüğü aynı anda karmaşıklaşır. Veri egemenliği, bir pazarlama sloganından çok operasyonel bir sadeleştirme aracıdır. Sağlayıcının veri merkezini ve altyapı katmanını (depolama, ağ) Türkiye’de işletip işletmediğini sözleşme öncesi doğrulayın.

somut kontrol listesi

Aşağıdaki maddeler, sağlayıcı değerlendirmesini denetlenebilir hale getirir:

  • Veri merkezi ve depolama katmanı Türkiye’de mi konumlu? Sağlayıcı, AWS, Azure ve Google gibi küresel bulut platformlarının yeniden satıcısı mı yoksa kendi altyapısını mı işletiyor?
  • Veri işleyen sözleşmesi (md.12) imzaya hazır mı? İçinde tedbirler ve talimat sınırı açık mı?
  • Yurt dışı aktarım oluyor mu? Oluyorsa hangi md.9 mekanizması (güvence, standart sözleşme, BCR) kullanılıyor?
  • Şifreleme uygulanıyor mu? Hem durağan (at-rest) hem aktarım (in-transit) halinde AES tabanlı şifreleme var mı?
  • Erişim logu tutuluyor mu? 5651 kapsamında erişim kayıtları zaman damgalı ve değiştirilemez biçimde saklanıyor mu?
  • Yedekleme mimarisi 3-2-1 kuralına uyuyor mu? RTO ve RPO değerleri sözleşmede taahhüt ediliyor mu?
  • ISO/IEC 27001 gibi bağımsız bir bilgi güvenliği sertifikası mevcut mu? Akreditasyon kurumu ve geçerlilik tarihi doğrulanabilir mi?
  • Kiracı izolasyonu nasıl? Tek kiracılı (single-tenant) mı, yoksa paylaşımlı mı?
  • Alt işleyen (subprocessor) listesi şeffaf mı? Sağlayıcı üçüncü taraflara veri aktarıyor mu?

Bu listedeki her madde, bir sözleşme maddesine veya teknik doğrulamaya bağlanabilir. Tik atmadan geçmeyin.

yurt içi bulut ile yurt dışı bulut karşılaştırması

Aşağıdaki tablo iki modeli yalnızca KVKK açısından karşılaştırır:

KriterYurt içi bulutYurt dışı bulut (küresel bulut devlerinin bölgesi)
md.9 aktarım rejimiDevreye girmez, veri Türkiye’de kalırGüvence, standart sözleşme veya BCR gerekir
5651 log saklamaYurt içinde doğal olarak sağlanırLog yerinin ayrıca yapılandırılması gerekir
Veri işleyen sözleşmesiZorunlu, yerel hukuka tabiZorunlu, çoğu kez yabancı hukuk şartlı
Denetim ve erişimDoğrudan, yerel kurumsal destekUzaktan, katmanlı destek süreci
VERBIS beyanıAktarım beyanı gerekmezYurt dışı aktarım beyanı gerekir
Hukuki karmaşıklıkDüşükOrta ile yüksek

Tablo, yurt dışı bulutun yasak olduğunu göstermez. md.9 şartları sağlandığında yurt dışı bulut da uyumludur. Ancak yurt içi model, uyum yükünü ve denetim yüzeyini belirgin biçimde azaltır.

sağlayıcı türleri arasındaki fark

Piyasada üç ana yapı görülür. İlki, AWS, Azure ve Google gibi küresel bulut platformlarının yeniden satıcılarıdır; veri genellikle yurt dışı bölgelerde tutulur ve aktarım rejimi gündeme gelir. İkincisi, kendi altyapısını Türkiye’de işleten bağımsız kurumsal bulut sağlayıcılarıdır. Örneğin Layer (2014’te kurulmuş, BTK kayıtlı yer sağlayıcı, AS59886), kendi kurumsal (flash) depolama ve ağ altyapısını İstanbul’daki veri merkezinde işletir; ürünü LayerCloud, yönetilen sanallaştırma üzerinde çalışan tek kiracılı sanal veri merkezidir ve ISO/IEC 27001

sertifikasına sahiptir. Bu tür bir yapı, veri egemenliğini altyapı seviyesinde sağlar. Üçüncüsü ise kolokasyon veya yönetilen sunucu modelleridir; burada donanım ve sorumluluk sınırı farklı çizilir.

Seçim, verinin hassasiyetine ve iç denetim kapasitenize göre yapılır. Sağlayıcının hangi kategoride olduğunu netleştirmeden fiyat karşılaştırması yapmak yanıltıcıdır.

ilgili rehberler

sıkça sorulan sorular

Veriyi Türkiye’de tutmak KVKK yurt dışı aktarım kurallarını tümüyle ortadan kaldırır mı? Kişisel veri Türkiye sınırları içindeki bir veri merkezinde tutulup dışarı aktarılmıyorsa, md.9’daki yurt dışı aktarım rejimi devreye girmez. Bu durumda standart sözleşme veya bağlayıcı şirket kuralları gibi mekanizmalara ihtiyaç kalmaz. Aktarımın gerçekten olmadığını sözleşme ve mimari düzeyinde doğrulamanız gerekir.

Bulut sağlayıcıyla veri işleyen sözleşmesi zorunlu mudur? Evet. 6698 sayılı Kanun md.12 kapsamında veri sorumlusu, veri işleyenle güvenlik tedbirlerini içeren yazılı bir sözleşme yapmakla yükümlüdür. Sözleşme, sağlayıcının talimat dışına çıkamayacağını ve veriyi yalnızca belirlenen amaçla işleyeceğini açıkça belirtmelidir.

5651 log yükümlülüğü bulut mimarimi nasıl etkiler? 5651 sayılı Kanun (2007), erişim ve trafik loglarının belirli süre, değiştirilemez biçimde saklanmasını ister. Loglar yurt dışı bir bölgede tutulursa hem saklama süresi hem erişim denetimi karmaşıklaşır. Yurt içi bir bulut, bu logların doğal olarak Türkiye’de kalmasını sağlar.

Şifreleme ve erişim logu KVKK için yeterli teknik tedbir midir? Bunlar önemli tedbirlerdir ama tek başına yeterli değildir. Kurul; durağan ve aktarım halinde şifreleme, yetki matrisi, erişim logu, düzenli sızma testi ve yedekleme gibi tedbirleri bir bütün olarak bekler. ISO/IEC 27001 gibi bir çerçeve, bu tedbirlerin sistematik uygulandığını bağımsız biçimde gösterir.

Yurt dışı bulut kullanmak KVKK ihlali midir? Hayır. md.9 şartları sağlandığında yurt dışı bulut da uyumludur. İhlal, aktarımın uygun bir mekanizma olmadan yapılması durumunda ortaya çıkar. Yurt içi modelin tercih edilme nedeni yasaklık değil, uyum ve denetim yükünün azalmasıdır.

Yazı başlığı:KVKK uyumlu bulut nasıl seçilir: 2026 kontrol listesi
Yazar:Layersistem
Yayın tarihi:11 July 2026
Copyright 2026
Site haritası