Makale Başlıkları
Kısaca
Sitenizdeki iletişim formları ve kurumsal e-postalarınız kişisel veri taşır; bu verilerin fiziksel olarak hangi ülkede saklandığı KVKK uyumunuzu doğrudan belirler. 1 Haziran 2024’te yürürlüğe giren yeni düzenlemeyle yurt dışına veri aktarımı artık açık rızaya değil, yeterlilik kararı veya standart sözleşme gibi şartlara bağlı; bu da yerli barındırmayı en pratik yol haline getirir.
- Verileriniz yurt dışındaysa “yurt dışına aktarım” sayılır ve Kurum’a bildirim, standart sözleşme gibi ek yükümlülükler doğabilir.
- 2024 sonrası standart sözleşmenin imzadan itibaren 5 iş günü içinde Kurum’a bildirilmesi zorunludur; aksi halde idari para cezası gündeme gelir.
- Veri merkezi Türkiye’de olan hosting ve e-posta, bu aktarım zincirini baştan ortadan kaldırarak uyumu ve denetlenebilirliği basitleştirir.
KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında, web siteniz ve e-postalarınız aracılığıyla işlediğiniz müşteri ve çalışan verilerinin nerede ve nasıl saklandığı büyük önem taşır. “Verilerim benim sunucumda” demek yetmez; o sunucunun fiziksel olarak hangi ülkede durduğu, hangi yasaya tabi olduğu ve bir denetim anında kime hesap vereceğiniz bu konuma bağlıdır. Bu yazıda hosting ve e-posta hizmetlerinin KVKK ile ilişkisini, 2024 sonrası değişen kuralları ve veri yerelliğinin neden bir lüks değil zorunluluk haline geldiğini somut adımlarla açıklıyoruz.
Verilerinizin Türkiye’de tutulduğu bir hosting ve e-posta hizmeti; veri yerelliği, denetlenebilirlik ve uyum açısından kritik bir avantaj sağlar. Çünkü veri yurt içinde kaldığında, aşağıda ayrıntılandırdığımız “yurt dışına aktarım” sürecinin tamamını baştan atlamış olursunuz.
KVKK Açısından Hosting Neden Bu Kadar Önemli?
Web siteniz iletişim formu, üyelik, sepet veya sipariş yoluyla ad, soyad, e-posta, telefon, adres gibi kişisel veri topluyorsa, bu veriler hosting sunucusunun diskinde fiziksel olarak saklanır. KVKK’nın temel mantığı şudur: Veri sorumlusu olarak siz, bu verilerin güvenli biçimde ve uygun bir konumda işlenmesinden sorumlusunuz. Sunucu yurt dışındaysa, teknik olarak hiçbir şey yapmamış olsanız bile veri her gün sınır ötesine “aktarılmış” sayılır.
Bu noktada çoğu işletmenin gözden kaçırdığı gerçek şu: Bir yurt dışı hosting paketi satın almak, tek başına bir yurt dışına veri aktarımı işlemidir. Verilerin yurt dışındaki sunucularda tutulması, birçok ek yükümlülük doğurur. Yerli sunucular ise bu süreci kökten basitleştirir, denetlenebilirliği artırır ve olası bir Kurul incelemesinde işinizi ciddi ölçüde kolaylaştırır.
2024 ile Değişen Tablo: Yurt Dışına Veri Aktarımında Yeni Dönem
Burası yazının en kritik bölümü, çünkü internette dolaşan pek çok bilgi artık güncel değil. 7499 sayılı Kanun ile KVKK’nın yurt dışına aktarımı düzenleyen 9. maddesi değişti ve bu değişiklik 1 Haziran 2024 tarihinde yürürlüğe girdi. Akabinde Kurum, 10 Temmuz 2024‘te “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik”i yayımladı.
En önemli değişiklik şu: Eskiden birçok firma yurt dışı aktarımını sadece kullanıcıdan alınan açık rızaya dayandırıyordu. Yeni düzenlemeyle açık rıza, sürekli ve sistematik aktarımlar için uygun bir zemin olmaktan çıktı. Artık yurt dışına aktarım, aşağıdaki üçlü kademeli sistemden birine dayanmak zorunda:
- Yeterlilik kararı: Kurul’un, aktarım yapılacak ülke, sektör veya uluslararası kuruluş için “yeterli koruma var” kararı vermiş olması. (Henüz çok sınırlı sayıdadır.)
- Uygun güvenceler: Standart sözleşme, bağlayıcı şirket kuralları, taraflar arasında Kurul iznine tabi yazılı taahhütname gibi araçlar.
- İstisnai haller: Yalnızca arızi (süregen olmayan) aktarımlar için geçerli sınırlı durumlar.
Kurul, dört farklı standart sözleşme modeli yayımladı: Veri Sorumlusundan Veri Sorumlusuna, Veri Sorumlusundan Veri İşleyene, Veri İşleyenden Veri İşleyene ve Veri İşleyenden Veri Sorumlusuna. Bir yurt dışı hosting sağlayıcısıyla çalışıyorsanız, tipik olarak “Veri Sorumlusundan Veri İşleyene” modeli devreye girer ve bu sözleşmenin imzalanmasından itibaren 5 iş günü içinde Kurum’a bildirilmesi zorunludur. Kurum bunun için çevrimiçi bir “Standart Sözleşme Bildirim Modülü” da açtığı için süre takibi artık daha sıkıdır.
Veri Yerelliği (Türkiye’de Veri) Tam Olarak Ne Kazandırır?
Verilerinizin Türkiye’deki bir veri merkezinde tutulmasının sağladığı avantajlar yalnızca “yerli olsun” duygusuyla sınırlı değildir; çok somut, ölçülebilir faydalar taşır:
- Yasal uyum kolaylığı: Veri yurt içinde kaldığında “yurt dışına aktarım” rejimine hiç girmezsiniz; standart sözleşme, bildirim ve takip zincirini baştan elersiniz.
- Düşük gecikme (latency): Sunucu kullanıcılarınıza fiziksel olarak yakın olduğu için site ve e-posta erişimi daha hızlıdır. Bu hem deneyim hem de SEO açısından kazançtır.
- Denetlenebilirlik ve şeffaflık: Bir Kurul incelemesinde verinin nerede ve hangi tedbirlerle tutulduğunu net biçimde gösterebilirsiniz.
- Yerli ve Türkçe destek: Bir veri ihlali veya acil müdahale anında, aynı saat diliminde ve aynı dilde, hızlı iletişim kurabileceğiniz bir ekip bulursunuz.
- Hukuki süreçlerde avantaj: Olası bir dava veya talepte, verinin yurt içinde olması delil temini ve müdahale sürecini önemli ölçüde hızlandırır.
Yurt İçi ve Yurt Dışı Barındırma: KVKK Karşılaştırma Tablosu
| Kriter | Türkiye’de Veri Merkezi (Yerli) | Yurt Dışı Veri Merkezi |
|---|---|---|
| Yurt dışına aktarım sayılır mı? | Hayır | Evet |
| Standart sözleşme / yeterlilik kararı gerekir mi? | Gerekmez | Çoğu durumda gerekir |
| Kurum’a 5 iş günü bildirim yükü | Yok | Var (standart sözleşmede) |
| Erişim hızı / gecikme | Düşük gecikme, hızlı | Mesafeye bağlı yüksek gecikme |
| Destek dili ve saat dilimi | Türkçe, aynı saat dilimi | Genelde yabancı dil / farklı saat |
| Denetimde şeffaflık | Yüksek | Sınırlı, bağımlı |
| Hukuki süreç hızı | Hızlı | Yavaş, süreç daha karmaşık |
E-Postalarınız: Gözden Kaçan En Büyük Veri Yığını
Çoğu işletme web sitesini düşünür ama asıl kişisel veri hacmi kurumsal e-posta kutularında birikir. Müşteri yazışmaları, faturalar, özgeçmişler, sözleşme ekleri, sağlık ya da finansal bilgi içeren e-postalar; bunların hepsi kişisel ve çoğu zaman özel nitelikli veridir. Kurumsal e-posta hizmetinizin verileri Türkiye’de tutması, bu nedenle hosting kadar, hatta çoğu zaman daha kritik bir KVKK başlığıdır.
Burada sık yapılan bir hata, alan adı e-postasını ücretsiz bir yurt dışı e-posta servisine yönlendirmektir. Teknik olarak kolaydır, ancak bu durumda tüm kurumsal yazışmalarınız fiilen yurt dışında işlenir ve yine yurt dışı aktarım rejimine girer. Alastyr’ın kendi geliştirdiği %100 KVKK uyumlu mail altyapısı, verileri Türkiye’de tutarken yüksek inbox oranları ve bulutmail.com webmail erişimiyle bu sorunu kökten çözer. Buna ek olarak güçlü antispam, SPF / DKIM / DMARC kayıtları ve şifreli bağlantılar (SSL/TLS) ile e-posta güvenliğini de teknik olarak sağlamış olursunuz.
KVKK Uyumu İçin Atılacak Adımlar (Pratik Kontrol Listesi)
Yerli altyapı güçlü bir temeldir ama tek başına yeterli değildir. Aşağıdaki adımlar, altyapı ile birlikte uyumun bütününü oluşturur:
- Yerli barındırma: Hosting ve e-postayı Türkiye veri merkezinde tutarak aktarım zincirini baştan eleyin.
- Aydınlatma metni: Hangi veriyi, ne amaçla, ne kadar süre işlediğinizi açıkça beyan edin.
- Çerez politikası ve onay yönetimi: Çerezler için açık, yönetilebilir bir onay mekanizması kurun.
- SSL/TLS: Tüm trafiği SSL sertifikası ile şifreleyin; bu, teknik tedbir yükümlülüğünün temel parçasıdır.
- Düzenli yedekleme: Günlük yedek ve test edilmiş geri dönüş planı bulundurun.
- Erişim güvenliği: Yetki/rol bazlı erişim, güçlü parola ve mümkünse iki adımlı doğrulama uygulayın.
- VERBIS yükümlülüğü: Kapsam dahilindeyseniz Veri Sorumluları Sicili’ne (VERBIS) kaydınızı tamamlayın.
- İhlal müdahale planı: Bir veri ihlalini ilgili kişiye ve Kurum’a bildirim süreçlerinizi önceden hazırlayın.
Yerli Altyapının KVKK Sürecine Katkısı
Bu adımların bir kısmı tamamen sizin politika ve metinlerinizle ilgilidir; ancak altyapı tarafındaki yükü doğru sağlayıcı devralır. Alastyr, İzmir’deki kendine ait veri merkezinde (kiralık değil), N+1 yedekli ve Tier III standartlarında bir mimariyle hizmet verir. TÜRKAK onaylı ISO 9001 ve ISO 27001 sertifikaları, bilgi güvenliği yönetiminin belgeli olduğunu gösterir. Imunify360, CageFS ve çift WAF gibi güvenlik katmanları ile Voxility tabanlı L3-L4 anti-DDoS koruması, “teknik ve idari tedbirler” başlığındaki yükünüzü somut biçimde hafifletir.
| KVKK Gereksinimi | Yerli Altyapının Karşılığı |
|---|---|
| Veri yerelliği | İzmir’de kendine ait Türkiye veri merkezi |
| Teknik güvenlik tedbirleri | Imunify360, CageFS, çift WAF, anti-DDoS |
| Belgeli bilgi güvenliği | TÜRKAK onaylı ISO 27001 / ISO 9001 |
| Trafik şifreleme | Ücretsiz SSL/TLS |
| Veri bütünlüğü / sürekliliği | Günlük yedekleme, %99.9 uptime |
| E-posta veri yerelliği | Yerli, KVKK uyumlu mail altyapısı |
Domain tarafını da gözden kaçırmayın: BTK akredite .TR kayıt kuruluşu olarak alan adı kayıtlarınız da yurt içinde yönetilir ve WHOIS üzerinde kişisel bilgilerinizin gizlenmesi (ücretsiz WHOIS gizleme) ile aleni veri yayılımı da azaltılır. Şirketinizin büyüme planına göre bulut sunucu veya VPS tarafına geçtiğinizde de aynı yerli veri merkezi avantajı korunur.
Sıkça Sorulan Sorular
Verilerim yurt dışında olursa ne gibi yükümlülükler doğuyor?
Yurt dışındaki bir sunucuda veri tutmak “yurt dışına aktarım” sayılır. 2024 sonrası bu aktarımın yeterlilik kararı, standart sözleşme gibi uygun bir güvenceye dayanması ve standart sözleşmenin imzadan itibaren 5 iş günü içinde Kurum’a bildirilmesi gerekir. Yerli sunucular bu sürecin tamamını ortadan kaldırır.
2024’te KVKK yurt dışı aktarım kuralları ne değişti?
7499 sayılı Kanun ile 9. madde değişti ve 1 Haziran 2024’te yürürlüğe girdi. Artık yurt dışı aktarım genel olarak açık rızaya değil; yeterlilik kararı, uygun güvenceler veya sınırlı istisnai hallere dayanmak zorunda. 10 Temmuz 2024’te yayımlanan yönetmelik usul ve esasları netleştirdi.
Açık rıza ile yurt dışına veri aktarabilir miyim?
Açık rıza artık yalnızca arızi, yani süregen olmayan aktarımlar için sınırlı bir gerekçe olabilir. Web sitesi formları ve e-posta gibi sürekli ve sistematik aktarımlarda açık rıza tek başına uygun bir zemin sayılmaz; standart sözleşme gibi uygun güvenceler gerekir.
Kurumsal e-posta verileri KVKK kapsamında mı?
Evet. E-posta yazışmaları ad, iletişim bilgisi, fatura, sözleşme hatta özel nitelikli veri içerebilir. Bu nedenle e-posta altyapısının verileri Türkiye’de tutması, web sitesi barındırması kadar önemlidir.
KVKK uyumu için sadece yerli hosting yeterli mi?
Hayır. Yerli altyapı çok önemli bir adımdır ancak tek başına yeterli değildir. Aydınlatma metni, çerez politikası, SSL ile şifreleme, düzenli yedekleme, erişim güvenliği ve kapsam dahilindeyseniz VERBIS kaydı gibi adımlar da gereklidir.
Standart sözleşmeyi Kurum’a ne zaman bildirmem gerekir?
Standart sözleşmenin imzalanmasından itibaren 5 iş günü içinde Kişisel Verileri Koruma Kurumu’na bildirilmesi zorunludur. Kurum bu amaçla çevrimiçi bir Standart Sözleşme Bildirim Modülü sunar; süreye uyulmaması idari para cezası riski doğurur.
SSL sertifikası KVKK açısından gerekli mi?
Veri güvenliği yükümlülüğü açısından trafiğin SSL/TLS ile şifrelenmesi güçlü biçimde önerilir. SSL, kişisel verilerin tarayıcı ile sunucu arasında üçüncü kişilerce okunmasını engelleyen temel teknik tedbirlerden biridir.
Veri merkezinin Türkiye’de olması gecikme ve hız açısından fark eder mi?
Evet. Sunucu kullanıcılarınıza fiziksel olarak yakın olduğunda site ve e-posta erişimindeki gecikme (latency) düşer. Bu hem kullanıcı deneyimini hem de arama motoru performansını olumlu etkiler.
VERBIS kaydı yaptırmazsam ne olur?
Kapsam dahilinde olup VERBIS’e kayıt ve bildirim yükümlülüğüne aykırı hareket eden veri sorumlularına önemli tutarlarda idari para cezası uygulanabilir. Yükümlü olup olmadığınızı belirleyip kaydı süresinde tamamlamak gerekir.
Verileriniz Türkiye’de, KVKK Uyumu Sade
İzmir’deki kendine ait veri merkezi, %100 KVKK uyumlu yerli e-posta ve ISO 27001 belgeli güvenli altyapı ile yurt dışı aktarım karmaşasını baştan ortadan kaldırın.





