info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Bulutun Karanlık Yüzü: Microsoft 365, Google Workspace ve AWS Kullanan Şirketler Yurt Dışı Aktarım Cezalarından Nasıl Korunur?

09 Haz 2026
0

 

Modern iş dünyasında bulut bilişim çözümleri, kurumsal operasyonların adeta can damarı haline gelmiştir. Bugün Türkiye’deki şirketlerin ezici bir çoğunluğu; e-posta trafiği, dosya paylaşımı ve iç iletişim için Microsoft 365 (Outlook, OneDrive, Teams) veya Google Workspace (Gmail, Drive, Meet) kullanmakta; veri tabanları ve yazılım altyapıları için ise Amazon Web Services (AWS) gibi küresel bulut devlerinden hizmet almaktadır. Bu platformlar ölçeklenebilirlik, siber güvenlik ve operasyonel esneklik açısından muazzam avantajlar sunsa da madalyonun arkasında şirketleri finansal ve hukuki yıkıma sürükleyebilecek karanlık bir yüz barındırmaktadır: Yurt Dışı Veri Aktarımı İhlalleri.

Birçok şirket yöneticisi veya bilgi işlem (IT) müdürü, “Biz bu hizmetlerin parasını Türkiye’deki aracı kurumlara Türk Lirası ile ödüyoruz” ya da “Dünya devi Microsoft/Google veriyi bizden daha iyi koruyor, neden ceza alalım?” mantığıyla hareket etmektedir. Oysa 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) açısından verinin ne kadar iyi korunduğu değil, verinin coğrafi olarak hangi sınırlarda tutulduğu ve erişildiği esastır. Microsoft 365’te gönderdiğiniz bir şirket içi e-posta, Google Drive’a yüklediğiniz bir müşteri listesi veya AWS sunucularında barındırdığınız bir mobil uygulama veri tabanı, özü itibarıyla Türkiye sınırlarını terk ederek Frankfurt, Amsterdam veya Dublin’deki veri merkezlerine (data center) gitmektedir.

Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) ile tam uyum hedefi doğrultusunda gerçekleştirilen ve geçiş süreçleri tamamen tamamlanan yeni KVKK Madde 9 reformu, bulut servislerini kullanan şirketler için yasal uyumluluğu bir tercih olmaktan çıkarıp mutlak bir hayatta kalma mücadelesine dönüştürmüştür. Bu kapsamlı hukuki rehberde; küresel bulut sağlayıcılarının teknik mimarileri ile Türk veri koruma hukuku arasındaki yapısal çelişkileri, Standart Sözleşme (SCC) süreçlerindeki ölümcül tuzakları ve şirketlerin milyonlarca liralık idari para cezalarından korunmak için atması gereken somut adımları ele alacağız.

1. Yeni KVKK Madde 9: Bulut Bilişimi Sarsan Hukuki Reform

KVKK’nın ilk yürürlüğe girdiği dönemde yurt dışına veri aktarımı, ya ilgili kişilerin “açık rızasına” ya da Kişisel Verileri Koruma Kurulu’nun onayına sunulacak hantal “Taahhütname” mekanizmalarına dayanıyordu. İş dünyasının sürekliliği karşısında bu iki yöntem de kadük kalmış, şirketler milyarlarca dolarlık bulut yatırımlarını yasal bir gri alanda yürütmek zorunda kalmıştı.

Yapılan köklü kanun değişikliği ve ardından yayınlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yönetmelik ile Türkiye, uluslararası veri transferlerinde tamamen GDPR modelini (Madde 46) benimsemiştir. Bu yeni dönemde, bulut sağlayıcıları kullanan şirketleri doğrudan etkileyen üç aşamalı bir aktarım rejimi kurulmuştur:

1.1. Yeterlilik Kararı (Güvenli Ülke Statüsü)

Kurul, belirli ülkelerin veya uluslararası kuruluşların yeterli veri koruma düzeyine sahip olduğuna karar verir. Eğer Kurul, örneğin Avrupa Birliği’ni veya ABD’yi kapsayan bir yeterlilik kararı yayınlarsa, bu ülkelere veri aktarımı Türkiye içindeki bir aktarımla eş değer kabul edilir. Ancak günümüz yasal ekosisteminde Kurul tarafından ilan edilmiş küresel bir yeterlilik kararı henüz bulunmamaktadır. Dolayısıyla bulut devlerinin merkezlerinin bulunduğu ABD veya AB ülkeleri, Türk hukuku karşısında hâlâ “yeterli korumanın bulunmadığı üçüncü ülke” statüsündedir.

1.2. Uygun Güvenceler (Standart Sözleşmeler – SCC)

Yeterlilik kararının bulunmadığı mevcut durumda, şirketlerin Microsoft, Google veya AWS kullanabilmesi için kanunun öngördüğü “uygun güvencelerden” birini sağlaması şarttır. Kurumsal dünyada uygulanabilir tek yöntem, veri sorumluları ve veri işleyenler arasında imzalanan ve Kurul tarafından matbu olarak yayınlanan Standart Sözleşmelerdir (Standard Contractual Clauses). Bu sözleşmeler, yurt dışındaki veri merkezine gönderilen verilerin Türk mevzuatına uygun olarak korunacağını taraflara yasal birer borç olarak yükler.

1.3. Arızi Haller (İstisnai Aktarım)

Yeterlilik kararı ve uygun güvencelerin bulunmadığı durumlarda, sadece tek seferlik, süreklilik arz etmeyen ve geçici nitelikteki (arızi) işlemler için ilgili kişinin bilgilendirilerek açık rızasının alınması yoluna gidilebilir.

Önemli Hukuki Uyarı: Bir şirketin günlük operasyonlarında Microsoft 365 üzerinden e-posta göndermesi, Google Workspace üzerinde ortak doküman çalışması yapması veya AWS’de veri tabanı barındırması asla arızi (tek seferlik) bir işlem değildir. Bu faaliyetler yapısal, sürekli ve kesintisiz veri işleme süreçleridir. Dolayısıyla, bulut kullanımı için müşterilerden veya çalışanlardan “açık rıza” toplamak hukuken tamamen geçersizdir; şirketleri ceza almaktan korumaz. Tek yasal çıkış yolu Uygun Güvenceler (Standart Sözleşmeler) mekanizmasıdır.

2. Küresel Bulut Devlerinin Mimarisi ve KVKK Açısından Risk Analizi

Şirketlerin yasal olarak kendilerini koruyabilmeleri için, kullandıkları bulut servislerinin arka plandaki teknik mimarisini ve verinin izlediği coğrafi rotayı bilmeleri zorunludur.

[Türkiye'deki Şirket] --(Veri Girişi: E-posta/Dosya)--> [Küresel Bulut Ağ Geçidi]
                                                                |
                                             ---------------------------------------
                                             |                                     |
                                   [AB Veri Merkezleri]                 [ABD Veri Merkezleri]
                             (Frankfurt/Amsterdam/Dublin)             (Yurt Dışı Aktarım İhlali!)
                             (KVKK'ya göre Yurt Dışı!)

2.1. Microsoft 365 (M365) ve “EU Data Boundary” Çelişkisi

Microsoft, özellikle Avrupalı regülatörlerin baskısıyla “EU Data Boundary” (AB Veri Sınırı) girişimini başlatmıştır. Bu kapsamda Microsoft 365 kullanan Avrupalı ve coğrafi olarak yakın bölgelerdeki müşterilerin verilerinin (Exchange Online, SharePoint, OneDrive, Teams verileri) münhasıran AB içindeki (Frankfurt, Amsterdam vb.) veri merkezlerinde tutulacağı taahhüt edilmektedir.

  • Hukuki Risk: Bir verinin AB sınırları içinde kalması, Avrupa hukuku (GDPR) açısından bir yurt dışı aktarımı teşkil etmeyebilir. Ancak Türk hukuku (KVKK) açısından Avrupa Birliği de bir “yurt dışı”dır. Kurul bir yeterlilik kararı vermediği için, verilerinizin Microsoft’un Almanya’daki veri merkezinde durması ile ABD’deki veri merkezinde durması arasında hukuki bir fark yoktur; her iki senaryo da meşru bir güvence (SCC) yoksa yasa dışı aktarımdır.

2.2. Google Workspace ve Dinamik Veri Yönlendirmesi

Google Workspace (Gmail, Drive vb.) altyapısı, doğası gereği veriyi dünya genelindeki veri merkezleri arasında parçalayarak, şifreleyerek ve dinamik olarak yük dengelemesi (load balancing) yaparak dağıtır. Standart Google Workspace paketlerinde verinin tam olarak hangi ülkede saklandığını kontrol etmek imkansızdır.

  • Hukuki Risk: Google’ın “Data Regions” (Veri Bölgeleri) özelliğini destekleyen üst segment (Enterprise) paketlerini kullanmıyorsanız, verileriniz anlık olarak ABD, Asya veya Avrupa sunucuları arasında gidip gelebilir. Bu dinamik yapı, KVKK’nın “belirlilik ve açıklık” ilkesine aykırı olduğu gibi, hangi ülke ile sözleşme yapılması gerektiği konusunda da ciddi bir belirsizlik yaratır.

2.3. Amazon Web Services (AWS) ve “Paylaşılan Sorumluluk Modeli”

AWS, altyapı hizmeti (IaaS) sunarken “Shared Responsibility Model” (Paylaşılan Sorumluluk Modeli) ile hareket eder. AWS, bulutun kendisinin (fiziki sunucular, ağ altyapısı, binalar) güvenliğinden sorumluyken; bulutun içindeki verinin (işletim sistemi, veri tabanı yapılandırması, şifreleme anahtarları, KVKK uyumluluğu) güvenliğinden doğrudan veri sorumlusu olan Türk şirketi sorumludur.

  • Hukuki Risk: AWS paneli üzerinden bir sunucu (EC2) veya veri tabanı (RDS) açarken lokasyon olarak “Frankfurt (eu-central-1)” seçmeniz, yasal yükümlülüğünüzü ortadan kaldırmaz. AWS ile şirketiniz arasında KVKK uyumlu bir ek protokol yapılmamışsa, o sunucuya yüklediğiniz her ham müşteri verisi (veri tabanı yedekleri dahil) hukuka aykırı bir yurt dışı transferidir.

3. Standart Sözleşme (SCC) Çıkmazı ve “5 İş Günü” Tuzağı

Yeni yönetmelik uyarınca, bulut sağlayıcıları ile imzalanan Standart Sözleşmelerin (SCC), imza tarihinden itibaren 5 iş günü içinde Kişisel Verileri Koruma Kurumu’na fiziksel olarak veya elektronik sistem üzerinden bildirilmesi yasal bir zorunluluktur. Şirketlerin en çok ceza yediği ve operasyonel olarak kilitlendiği yer tam olarak bu “5 iş günü” kuralıdır.

3.1. Çevrimiçi Sözleşmeler (Click-Wrap) Kabul Edilir mi?

Microsoft, Google ve AWS, kurumsal müşterilerine yasal uyumluluk için “Data Processing Addendum” (DPA – Veri İşleme Eki) metinleri sunar. Şirketler bu metinleri genellikle admin panellerinde bir kutucuğu işaretleyerek (click-wrap) veya online olarak onaylarlar.

  • Hukuki Çıkmaz: Kişisel Verileri Koruma Kurulu, kendi matbu Standart Sözleşme metinlerinin değiştirilmeden, tarafların yasal temsilcileri tarafından ıslak imza veya Türkiye’deki 5070 sayılı kanuna uygun güvenli elektronik imza (E-imza) ile imzalanmasını şart koşmaktadır. Küresel bulut devlerinin CEO’larının veya yasal temsilcilerinin Türk şirketleriyle tek tek ıslak imza veya Türk e-imzası ile sözleşme imzalaması pratikte imkansıza yakındır. Dolayısıyla, admin panelinden onayladığınız bir DPA metnini 5 iş günü içinde Kurula göndermeniz, Kurul tarafından “usulüne uygun bir SCC başvurusu” olarak kabul edilmemekte ve doğrudan usulsüzlük cezası kesilmektedir.

3.2. Çözüm Ortakları ve Distribütörler Üzerinden Dolaylı Sözleşme

Bu çıkmazı aşmak için bulut devlerinin Türkiye’deki resmi partnerleri, distribütörleri veya yerel iştirakleri (örneğin Microsoft Türkiye veya yetkili LSP ortakları) ile üçlü ya da zincirleme sözleşme modelleri geliştirilmektedir. Ancak bu sözleşmelerin de Kurulun ilan ettiği güncel matbu SCC formatına birebir uyarlanması teknik ve hukuki bir uzmanlık gerektirir.

4. Karşılaştırmalı Risk Analiz Tablosu

Şirketlerin en çok kullandığı bulut servislerinin teknik özellikleri ile KVKK uyumluluk durumları şu şekildedir:

Bulut Servisi / Fonksiyonu Verinin Varsayılan Lokasyonu Model Eğitiminde Kullanım Riski Türkiye İçi Alternatifi / Lokalizasyon Çözümü Gereken Temel Hukuki Güvence
Microsoft 365 (Outlook, OneDrive) Avrupa Birliği (Veri Sınırı) Düşük (Kurumsal paketlerde kapatılabilir) Yerel sunculu e-posta ve bulut çözümleri Matbu SCC imzalanması + Kurul bildirimi
Google Workspace (Gmail, Drive) Küresel / Dağıtık (Enterprise hariç) Orta (Ayarlara bağlı) Yerel iş birliği platformları Data Regions ayarı + Kurul onaylı SCC
AWS (Amazon) (EC2, RDS, S3) Seçilen Bölge (Genelde AB) Yok (Kullanıcı kontrolünde) Yerli veri merkezleri (Turkcell, Türk Telekom, Teknotel vb.) BYOK (Kendi Şifreleme Anahtarını Getir) + SCC

5. Bulut Teknolojilerinde KVKK Uyum Metodolojisi

Bir şirketin Microsoft 365, Google Workspace veya AWS kullanırken yasal cezalarla karşılaşmaması için hayata geçirmesi gereken acil eylem planı ve kronolojik işlem sırası şu şekildedir:

Kurumsal Bulut Uyum Döngüsü

1.Bulut Veri Envanteri ve Keşif (Data Mapping):1. Aşama.

Şirketin hangi departmanının hangi bulut servisini kullandığı tespit edilir. Örneğin, İK departmanı CV’leri OneDrive’da mı tutuyor? Pazarlama ekibi müşteri datalarını Google Drive’da mı paylaşıyor? Yazılım ekibi veri tabanı yedeklerini AWS S3’e mi atıyor? Tüm bu veri akışlarının coğrafi haritası (Data Mapping) çıkarılır.

2.Bulut Panellerinde Teknik Lokalizasyon Ayarları:2. Aşama.

Kullanılan platformların yönetim (Admin) panellerine girilerek veri saklama lokasyonları optimize edilir. Google Workspace’te “Data Regions” ayarı yapılarak veriler AB (Europe) bölgesiyle sınırlandırılır. Microsoft 365’te “Multi-Geo” özellikleri incelenir. AWS üzerinde tüm servislerin Türkiye coğrafyasına en yakın ve regülasyona uyarlanabilir AB bölgelerinde (Örn: Frankfurt) ayağa kaldırılması zorunlu kılınır.

3.Teknik Koruma Tedbirleri: BYOK ve HYOK Şifreleme:3. Aşama.

Özellikle AWS ve Azure gibi altyapı servislerinde barındırılan kişisel veriler, bulut sunucusuna yüklenmeden önce şifrelenmelidir. BYOK (Bring Your Own Key – Kendi Anahtarını Getir) veya HYOK (Hold Your Own Key – Anahtarını Kendinde Tut) modelleri uygulanmalıdır. Şifreleme anahtarı (master key) Türkiye sınırları içindeki bir donanımsal güvenlik modülünde (HSM) veya yerel sunucuda tutulmalıdır. Bu sayede, veri yurt dışına çıksa dahi bulut sağlayıcısı anahtara sahip olmadığı için veriyi anlamlandıramaz ve hukuken “şifreli veri/anonim benzeri veri” koruması sağlanır.

4.Standart Sözleşme (SCC) Sürecinin Yürütülmesi:4. Aşama.

Şirket hukuk müşavirliği veya dışarıdan uzman bir e-ticaret/bilişim hukuku avukatı aracılığıyla, bulut sağlayıcısının kurumsal DPA metinleri ile KVKK Kurulunun matbu Standart Sözleşme metinleri arasındaki köprü kurulur. İmzaya yetkili temsilciler belirlenerek SCC metni Türk mevzuatına uygun olarak (E-imza veya ıslak imza ile) tekemmül ettirilir.

5.5 İş Günü İçinde Kurul Bildirimi ve Takip:5. Aşama.

İmzalanan yasal Standart Sözleşme (SCC) metni, ekleri ve imza sirküleri ile birlikte imza tarihinden itibaren gecikmeksizin 5 iş günü içinde Kişisel Verileri Koruma Kurumu’na bildirilir. Kuruldan gelecek olası revizyon talepleri takip edilerek süreç yasal koruma kalkanına kavuşturulur.

 

6. 2026 Yılı Güncel İdari Para Cezaları ve Mali Risk Analizi

KVKK ihlallerinde uygulanan maktu idari para cezaları, her yıl yeniden değerleme oranları doğrultusunda güncellenerek korkunç seviyelere ulaşmıştır. Bulut bilişim ihlalleri, şirketin neredeyse tüm e-posta geçmişini ve müşteri veri tabanını kapsadığı için Kurul tarafından “Sistemik ve Yaygın İhlal” olarak değerlendirilmekte ve cezalar alt sınırdan değil, doğrudan üst sınırlara yakın seviyelerden kesilmektedir.

  • Yurt Dışına Hukuka Aykırı Veri Aktarımı Cezası (Madde 12/1 – Veri Güvenliği): Bulut sağlayıcıları ile yasal Standart Sözleşme yapmadan veya Kurul bildirimini tamamlamadan veri transferine devam eden şirketlere, veri güvenliği yükümlülüklerini ihlalden 250.000 TL’den 8.500.000 TL’ye kadar idari para cezası uygulanır.

  • Standart Sözleşmeyi (SCC) Kurula Bildirmeme Cezası (Madde 18 – Ek Fıkra): Bulut sağlayıcısı ile sözleşme imzalamış olsa dahi, bu sözleşmeyi 5 iş günü içinde Kurula göndermeyen veya usulüne uygun bildirim yapmayan veri sorumlularına 85.000 TL’den 1.800.000 TL’ye kadar maktu idari para cezası kesilir. Bu ceza için veri sızıntısı olması şart değildir; sadece usul ihlali cezanın kesilmesi için yeterlidir.

7. Sıkça Sorulan Sorular (SSS)

1. Şirket e-postalarımız Microsoft Outlook üzerinden çalışıyor ama verilerimizin nerede durduğunu bilmiyoruz. Ceza yer miyiz?

Evet, mevcut durumda ceza yeme riskiniz çok yüksektir. Microsoft Outlook kurumsal hesaplarında verileriniz varsayılan olarak yurt dışındaki (Almanya, İrlanda vb.) veri merkezlerinde saklanır. Eğer şirketiniz Microsoft ile KVKK onaylı bir Standart Sözleşme (SCC) süreci yürütmediyse ve bunu Kurula bildirmediyse, gönderdiğiniz ve aldığınız her e-posta (içinde çalışan veya müşteri verisi barındırdığı için) yasadışı yurt dışı aktarımı sayılır. Acilen hukuki ve teknik uyum sürecini başlatmalısınız.

2. Google Drive kullanırken müşterilerden “Verilerimin yurt dışındaki sunucularda saklanmasını kabul ediyorum” diye açık rıza alırsak sorun çözülür mü?

Hayır, çözülmez. Yeni KVKK Madde 9 ve ilgili yönetmelik uyarınca, açık rıza sadece arızi (tek seferlik, geçici) durumlar için bir istisnadır. Şirketinizin veri depolama, dosya paylaşımı gibi yapısal ve sürekli operasyonları için Google Drive kullanması “arızi” kabul edilemez. Kurul, süreklilik arz eden bulut kullanımlarında açık rızanın arkasına sığınılmasını hukuka dolanma olarak görmekte ve bu rızaları geçersiz saymaktadır. Tek geçerli yol Standart Sözleşme (SCC) mekanizmasıdır.

3. AWS sunucularımızda duran veri tabanımız tamamen şifreli (encrypted). Bu durumda da yurt dışı aktarım kurallarına tabi miyiz?

Verinin şifrelenmiş olması harika bir teknik tedbirdir (idari ve teknik tedbirler yükümlülüğünüzü karşılar) ancak verinin yurt dışına çıktığı gerçeğini tek başına ortadan kaldırmaz. Eğer şifreleme anahtarı (decryption key) da AWS sunucularında duruyorsa veya AWS sistemleri bu anahtara erişebiliyorsa, veri hukuken hâlâ kişisel veridir ve aktarım kurallarına tabidir. Ancak BYOK/HYOK yöntemleriyle anahtarı Türkiye’de tutuyorsanız ve AWS veriyi hiçbir şekilde açamıyorsa, eliniz hukuki savunmada çok güçlenir; yine de Kurul envanterinde bu durumun doğru tanımlanması ve uygun güvencelerin (SCC) varlığı aranır.

4. Küresel bulut sağlayıcılarının admin panelinden onayladığımız “Data Processing Addendum (DPA)” metnini Kurula göndersek 5 günlük sürede kabul edilir mi?

Büyük olasılıkla reddedilir. Kurul, kendi web sitesinde yayınladığı matbu Standart Sözleşme (SCC) metinlerinin kelimesi kelimesine korunmasını, tarafların yasal temsilcilerinin (imza sirkülerine uygun olarak) ıslak imzalarını veya Türk güvenli elektronik imzalarını (E-imza) aramaktadır. Küresel firmaların panelden sunduğu online DPA metinleri yabancı hukuka (genelde İrlanda veya Lüksemburg) ve GDPR’a göre kurgulanmıştır. Bu metinleri aynen göndermek Kurul tarafından usulden reddedilir ve bildirim yapılmamış sayılmasına neden olur.

5. Şirketimiz bünyesinde “Sanal Ofis” veya “Bulut Santral” servisleri kullanıyoruz. Bunlar da yurt dışı aktarımı sayılır mı?

Eğer kullandığınız bulut santral veya sanal ofis yazılımının (Örn: Zoom Phone, küresel CRM yazılımları, yabancı menşeili çağrı merkezi altyapıları) sunucuları yurt dışındaysa ve ses kayıtları, müşteri telefonları, çağrı detayları (CDR) bu sunucularda tutuluyorsa, evet, bu da bir yurt dışı veri aktarımıdır. Bu tarz lokal gibi görünen ama arkasında küresel altyapı barındıran tüm SaaS (Yazılım Servisi) araçlarının veri merkezleri sorgulanmalıdır.

6. Kurulun matbu Standart Sözleşmesini (SCC) imzalayıp Kurula bildirmek için 5 iş günlük süreyi kaçırdık. Ne yapmalıyız?

Süreyi kaçırdıysanız, sırf cezadan korkup bildirimi hiç yapmamak en kötü senaryodur. Çünkü gelecekte yapılacak bir denetimde veya olası bir veri sızıntısında sözleşmenin bildirilmediği ortaya çıkarsa Kurul en üst sınırdan ceza keser. Süre kaçırılmış olsa dahi, gecikme gerekçelerini makul hukuki argümanlarla açıklayan bir ön yazı ile birlikte Standart Sözleşmeyi Kurula en kısa sürede teslim etmek, şirketin “iyi niyetli” ve “uyum odaklı” olduğunu gösterir; Kurul bu durumda cezayı alt sınırdan uygulayabilir veya sadece ihtar verebilir.

7. Şirketimizin tüm bulut altyapısını Türkiye lokasyonlu yerli bir veri merkezine taşırsak bu cezaların tamamından kurtulur muyuz?

Evet, teknik ve hukuki olarak yurt dışı aktarım (Madde 9) cezalarının tamamından kurtulursunuz. Verileriniz, e-postalarınız ve veri tabanınız Türkiye sınırları içinde (Örn: İstanbul, Ankara veri merkezlerinde) barındırıldığında, süreç bir iç veri işleme faaliyetine dönüşür. Bu durumda yurt dışı Standart Sözleşmesi hazırlamanıza veya Kurula 5 gün içinde bildirim yapmanıza gerek kalmaz. Sadece genel KVKK kurallarına (aydınlatma, VERBİS, veri güvenliği) uymanız yeterli olur. Yerelleşme (Data Localization), en kesin ve risksiz hukuki çözümdür.

8. AWS veya Microsoft Enterprise sözleşmelerinde “Verilerimi sadece Türkiye’de sakla” seçeneği var mı?

Küresel bulut devlerinin (AWS, Microsoft, Google) şu an için Türkiye sınırları içinde resmi bir “Hyper-scale” ana veri merkezi (Region) bulunmamaktadır. Dolayısıyla “Verimi münhasıran Türkiye’de tut” seçeneğini bu panellerden seçemezsiniz. En iyi ihtimalle “Avrupa Birliği (AB) sınırlarında sakla” seçeneğini seçebilirsiniz ki bu da yukarıda açıkladığımız üzere Türk hukuku karşısında hâlâ yurt dışı aktarımı sayılmaktadır. Sadece bazı servisler için Türkiye’de “Edge Location” (uç nokta/önbellek sunucuları) bulunsa da bu sunucular kalıcı veri depolama (hosting/database) işlevi görmez.

9. Standart Sözleşme (SCC) bildirimini şirketimizin Mali Müşaviri veya IT Müdürü yapabilir mi?

Standart Sözleşme bildirimi, şirketin yasal taahhüt altına girdiği ve idari yaptırımlarla doğrudan ilişkili olan son derece kritik bir usul hukuku işlemidir. IT müdürleri sürecin teknik bacağını (veri yönlendirmelerini), mali müşavirler ise mali boyutunu yönetebilir; ancak Kurulun matbu metinlerindeki hukuki sorumluluk maddelerinin analizi, imza yetkilerinin kontrolü ve Kurul ile yapılacak resmi yazışmaların yönetimi münhasıran şirketler hukuku ve bilişim hukuku uzmanı bir avukat tarafından yürütülmelidir. Hatalı bir kelime kullanımı başvurunun reddine yol açabilir.

10. Kurul, Standart Sözleşme bildirimlerini incelerken en çok neye dikkat ediyor?

Kurulun veri transfer birimi inceleme yaparken üç temel unsura bakar:

  1. Sözleşme metninde Kurulun matbu şablonundan sapma, kelime çıkarma veya ekleme yapılmış mı? (Kesinlikle yapılmamalıdır).

  2. Sözleşmeyi imzalayan tarafların (özellikle yurt dışındaki firmanın temsilcisinin) yasal olarak imza yetkisi var mı ve bu yetki apostilli/noter onaylı belgelerle kanıtlanmış mı?

  3. Şirketin VERBİS kayıtlarındaki ve veri envanterindeki “Yurt Dışına Veri Aktarımı” beyanları ile sunulan SCC metni içerik olarak (veri kategorileri, aktarım amaçları) birbiriyle tam olarak uyuşuyor mu?

8. Sonuç ve Kurumsal Yönetim Stratejisi

Bulut bilişim çözümleri iş dünyasına hız ve konfor sunarken, arkasında saklanan yasal regülasyonlar ihmal edildiğinde şirketlerin ticari hayatını sonlandırabilecek finansal riskler barındırmaktadır. Microsoft 365, Google Workspace veya AWS gibi küresel sistemleri kullanmak tek başına suç veya yasak değildir; ancak bu sistemleri Türk veri koruma hukukunun emredici kurallarına (Madde 9 ve Yurt Dışı Aktarım Yönetmeliği) kör bir şekilde kullanmak ağır idari para cezalarını davet etmektir.

2026 yılı regülasyon evreninde tam koruma sağlamak isteyen şirketler, bulut kullanım stratejilerini acilen gözden geçirmelidir. Şirketlerin önünde iki güvenli yol vardır: Ya tüm kritik verilerini, e-posta trafiğini ve veri tabanlarını Türkiye sınırları içinde barındıran yerli ve milli bulut sağlayıcılarına/veri merkezlerine taşıyarak kökten yerelleşme (data localization) sağlayacaklar ya da küresel devlerle olan ilişkilerini acilen Kurul onaylı Standart Sözleşmeler (SCC) ve BYOK şifreleme mimarileri ile hukuki ve teknik koruma kalkanına kavuşturacaklardır. Bu süreçte atılacak eksik veya hatalı bir adımın faturası, sadece mali bir kayıp değil, aynı zamanda şirketin ticari itibarının da sarsılması olacaktır.

 

About Post Author

Leave a Reply

Call Now Button