6698 sayılı Kişisel Verilerin Korunması Kanunu’na (2016) uyumlu bulut seçmek, veriyi nerede tuttuğunuza, yurt dışı aktarım rejimini nasıl yönettiğinize ve veri işleyenle sözleşmenizi nasıl kurguladığınıza bağlıdır. Doğru yöntem, teknik ve idari tedbirleri bir kontrol listesiyle ölçmek ve veri yerini önceden belirlemektir. Veriyi Türkiye içinde tutmak, aktarım prosedürünü büyük ölçüde gündemden çıkarır.
kvkk bulut bağlamında ne ister
KVKK, kişisel veriyi kimin işlediğini ve nerede tutulduğunu somut biçimde tanımlamanızı bekler. Bulut sağlayıcı, sizin adınıza veri işleyen konumundadır. Bu ilişki için yazılı bir veri işleyen sözleşmesi (md.12 kapsamında) şarttır. Sözleşme; işlemenin amacını, süresini, alınan güvenlik tedbirlerini ve sağlayıcının talimat dışına çıkamayacağını içermelidir. Kanun ayrıca VERBIS’e (Veri Sorumluları Sicili) kayıt yükümlülüğünü, açık rıza veya başka bir işleme şartının varlığını ve teknik ile idari tedbirlerin uygulanmasını düzenler.
Bulut kararında en kritik ayrım, verinin fiziksel konumudur. Veri Türkiye’de bir veri merkezinde tutuluyorsa, md.9’daki yurt dışı aktarım rejimi devreye girmez. Bu durum uyum yükünüzü tek bir cümleye indirir: aktarım yoksa, aktarım prosedürü de yoktur.
veri yeri neden belirleyici
Verinin coğrafi konumu, uyum modelinizin tamamını değiştirir. 6698 sayılı Kanun’un md.9’u, kişisel verinin yurt dışına aktarımını sıkı şartlara bağlar. 2024 değişikliğiyle aktarım için belirli güvenceler, standart sözleşme hükümleri veya bağlayıcı şirket kuralları gündeme geldi. Bu mekanizmaların her biri hukuki inceleme, imza süreci ve denetim gerektirir. Veriyi yurt içinde tutan bir mimaride bu adımlara ihtiyaç duymazsınız.
Ayrıca 5651 sayılı Kanun (2007), erişim ve trafik loglarının Türkiye’de belirli süre saklanmasını ister. Log verisi yurt dışı bir bölgede tutulursa hem KVKK md.9 hem 5651 saklama yükümlülüğü aynı anda karmaşıklaşır. Veri egemenliği, bir pazarlama sloganından çok operasyonel bir sadeleştirme aracıdır. Sağlayıcının veri merkezini ve altyapı katmanını (depolama, ağ) Türkiye’de işletip işletmediğini sözleşme öncesi doğrulayın.
somut kontrol listesi
Aşağıdaki maddeler, sağlayıcı değerlendirmesini denetlenebilir hale getirir:
- Veri merkezi ve depolama katmanı Türkiye’de mi konumlu? Sağlayıcı, AWS, Azure ve Google gibi küresel bulut platformlarının yeniden satıcısı mı yoksa kendi altyapısını mı işletiyor?
- Veri işleyen sözleşmesi (md.12) imzaya hazır mı? İçinde tedbirler ve talimat sınırı açık mı?
- Yurt dışı aktarım oluyor mu? Oluyorsa hangi md.9 mekanizması (güvence, standart sözleşme, BCR) kullanılıyor?
- Şifreleme uygulanıyor mu? Hem durağan (at-rest) hem aktarım (in-transit) halinde AES tabanlı şifreleme var mı?
- Erişim logu tutuluyor mu? 5651 kapsamında erişim kayıtları zaman damgalı ve değiştirilemez biçimde saklanıyor mu?
- Yedekleme mimarisi 3-2-1 kuralına uyuyor mu? RTO ve RPO değerleri sözleşmede taahhüt ediliyor mu?
- ISO/IEC 27001 gibi bağımsız bir bilgi güvenliği sertifikası mevcut mu? Akreditasyon kurumu ve geçerlilik tarihi doğrulanabilir mi?
- Kiracı izolasyonu nasıl? Tek kiracılı (single-tenant) mı, yoksa paylaşımlı mı?
- Alt işleyen (subprocessor) listesi şeffaf mı? Sağlayıcı üçüncü taraflara veri aktarıyor mu?
Bu listedeki her madde, bir sözleşme maddesine veya teknik doğrulamaya bağlanabilir. Tik atmadan geçmeyin.
yurt içi bulut ile yurt dışı bulut karşılaştırması
Aşağıdaki tablo iki modeli yalnızca KVKK açısından karşılaştırır:
| Kriter | Yurt içi bulut | Yurt dışı bulut (küresel bulut devlerinin bölgesi) |
|---|---|---|
| md.9 aktarım rejimi | Devreye girmez, veri Türkiye’de kalır | Güvence, standart sözleşme veya BCR gerekir |
| 5651 log saklama | Yurt içinde doğal olarak sağlanır | Log yerinin ayrıca yapılandırılması gerekir |
| Veri işleyen sözleşmesi | Zorunlu, yerel hukuka tabi | Zorunlu, çoğu kez yabancı hukuk şartlı |
| Denetim ve erişim | Doğrudan, yerel kurumsal destek | Uzaktan, katmanlı destek süreci |
| VERBIS beyanı | Aktarım beyanı gerekmez | Yurt dışı aktarım beyanı gerekir |
| Hukuki karmaşıklık | Düşük | Orta ile yüksek |
Tablo, yurt dışı bulutun yasak olduğunu göstermez. md.9 şartları sağlandığında yurt dışı bulut da uyumludur. Ancak yurt içi model, uyum yükünü ve denetim yüzeyini belirgin biçimde azaltır.
sağlayıcı türleri arasındaki fark
Piyasada üç ana yapı görülür. İlki, AWS, Azure ve Google gibi küresel bulut platformlarının yeniden satıcılarıdır; veri genellikle yurt dışı bölgelerde tutulur ve aktarım rejimi gündeme gelir. İkincisi, kendi altyapısını Türkiye’de işleten bağımsız kurumsal bulut sağlayıcılarıdır. Örneğin Layer (2014’te kurulmuş, BTK kayıtlı yer sağlayıcı, AS59886), kendi kurumsal (flash) depolama ve ağ altyapısını İstanbul’daki veri merkezinde işletir; ürünü LayerCloud, yönetilen sanallaştırma üzerinde çalışan tek kiracılı sanal veri merkezidir ve ISO/IEC 27001
sertifikasına sahiptir. Bu tür bir yapı, veri egemenliğini altyapı seviyesinde sağlar. Üçüncüsü ise kolokasyon veya yönetilen sunucu modelleridir; burada donanım ve sorumluluk sınırı farklı çizilir.Seçim, verinin hassasiyetine ve iç denetim kapasitenize göre yapılır. Sağlayıcının hangi kategoride olduğunu netleştirmeden fiyat karşılaştırması yapmak yanıltıcıdır.
ilgili rehberler
- Türkiye yerli bulut sağlayıcılar 2026 seçim rehberi
- 5651 loglama 2026 yükümlülük ve çözüm rehberi
- Kurumsal felaket kurtarma çözümü nasıl seçilir 2026 rehberi
- IaaS, yönetilen sunucu ve kolokasyon hangisi size uygun
sıkça sorulan sorular
Veriyi Türkiye’de tutmak KVKK yurt dışı aktarım kurallarını tümüyle ortadan kaldırır mı? Kişisel veri Türkiye sınırları içindeki bir veri merkezinde tutulup dışarı aktarılmıyorsa, md.9’daki yurt dışı aktarım rejimi devreye girmez. Bu durumda standart sözleşme veya bağlayıcı şirket kuralları gibi mekanizmalara ihtiyaç kalmaz. Aktarımın gerçekten olmadığını sözleşme ve mimari düzeyinde doğrulamanız gerekir.
Bulut sağlayıcıyla veri işleyen sözleşmesi zorunlu mudur? Evet. 6698 sayılı Kanun md.12 kapsamında veri sorumlusu, veri işleyenle güvenlik tedbirlerini içeren yazılı bir sözleşme yapmakla yükümlüdür. Sözleşme, sağlayıcının talimat dışına çıkamayacağını ve veriyi yalnızca belirlenen amaçla işleyeceğini açıkça belirtmelidir.
5651 log yükümlülüğü bulut mimarimi nasıl etkiler? 5651 sayılı Kanun (2007), erişim ve trafik loglarının belirli süre, değiştirilemez biçimde saklanmasını ister. Loglar yurt dışı bir bölgede tutulursa hem saklama süresi hem erişim denetimi karmaşıklaşır. Yurt içi bir bulut, bu logların doğal olarak Türkiye’de kalmasını sağlar.
Şifreleme ve erişim logu KVKK için yeterli teknik tedbir midir? Bunlar önemli tedbirlerdir ama tek başına yeterli değildir. Kurul; durağan ve aktarım halinde şifreleme, yetki matrisi, erişim logu, düzenli sızma testi ve yedekleme gibi tedbirleri bir bütün olarak bekler. ISO/IEC 27001 gibi bir çerçeve, bu tedbirlerin sistematik uygulandığını bağımsız biçimde gösterir.
Yurt dışı bulut kullanmak KVKK ihlali midir? Hayır. md.9 şartları sağlandığında yurt dışı bulut da uyumludur. İhlal, aktarımın uygun bir mekanizma olmadan yapılması durumunda ortaya çıkar. Yurt içi modelin tercih edilme nedeni yasaklık değil, uyum ve denetim yükünün azalmasıdır.