Türkiye'de dijitalleşme hızlanırken veri, işletmeler için artık yalnızca bir kayıt değil; korunması, yönetilmesi ve doğru yerde tutulması gereken stratejik bir varlık hâline geldi. Bu dönüşümün merkezindeki sorulardan biri de giderek netleşiyor: Verileriniz fiziksel olarak nerede duruyor?
Hem küresel eğilimler hem de yerel mevzuat — özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) — işletmeleri bu soruyu yeniden düşünmeye itiyor. Bu yazıda veri lokalizasyonunun ne olduğunu, KVKK'nın 2024 reformundan sonra sınır ötesi veri aktarımına nasıl baktığını, Türkiye'de yükselen "yerli bulut" dalgasını ve işletmelerin yerli altyapıya yönelmesinin gerçek nedenlerini ele alıyoruz.
Veri lokalizasyonu nedir?
Veri lokalizasyonu (veri yerelleştirme), bir kuruluşun topladığı ve işlediği verilerin belirli bir ülkenin sınırları içinde depolanması ve işlenmesi anlamına gelir. Pratikte bu, Türkiye'de faaliyet gösteren bir şirketin müşteri, çalışan ve operasyon verilerini yurt dışındaki sunucular yerine ülke içindeki veri merkezlerinde tutması demektir.
Lokalizasyon, "verilerin yurt dışına hiç çıkamayacağı" anlamına gelmez. Daha çok, verinin nerede saklanacağına dair bilinçli bir tercih ve bu tercihi hukuki, teknik ve operasyonel gerekçelere dayandırma yaklaşımıdır.
Veri lokalizasyonunu yönlendiren iki temel etken
İşletmeleri lokalizasyona yönelten iki ana güç var.
Mevzuat: KVKK ve veri aktarımı kuralları
KVKK, kişisel verilerin işlenmesini ve yurt dışına aktarılmasını belirli kurallara bağlar. Burada önemli bir nokta var: KVKK, verilerin yurt dışında tutulmasını yasaklamaz. Bunun yerine, sınır ötesi aktarım için belirli hukuki mekanizmaların kurulmasını şart koşar. Bu mekanizmaları doğru kurmak ise zaman, kaynak ve sürekli takip gerektirir. Verileri yurt içinde tutmak, çoğu işletme için bu uyum yükünü baştan azaltan en pratik yol hâline gelir.
Güvenlik ve veri egemenliği
İkinci etken, verinin kontrolü meselesidir. Hem kamu kurumları hem de özel sektör, kritik verilerin hangi hukuk düzenine tabi, hangi yetkililerin erişimine açık ve hangi altyapıda barındığını net biçimde bilmek ister. Verinin ülke içinde tutulması, bu kontrolü ve veri egemenliğini güçlendiren bir yaklaşımdır; özellikle finans, sağlık, kamu ve kritik altyapı gibi sektörlerde önem taşır.
KVKK ve sınır ötesi veri aktarımı: 2024 reformundan sonra tablo
Bu konuda yaygın bir yanılgı var: "KVKK verilerin yurt dışına çıkmasını katı biçimde yasaklıyor." Gerçek, 2024'ten bu yana bundan daha incelikli.
7499 sayılı Kanun ile KVKK'nın sınır ötesi aktarımı düzenleyen 9. maddesi köklü biçimde değiştirildi ve yeni hükümler 1 Haziran 2024'te yürürlüğe girdi. Bu reform, sistemi GDPR'ye yaklaştırdı. Eski dönemde aktarımlar büyük ölçüde açık rıza ve Kurul'un yavaş işleyen izin sürecine bağlıydı; bu da yurt dışı sunucu kullanan, bulut tabanlı yazılımlarla çalışan şirketler için ciddi bir tıkanıklık yaratıyordu.
Yeni düzende sınır ötesi aktarım için üç temel yol var:
- Yeterlilik kararı — Kişisel Verileri Koruma Kurulu'nun yeterli koruma sağladığını ilan ettiği ülke, sektör veya uluslararası kuruluşlara aktarım.
- Uygun güvenceler — standart sözleşme (SCC benzeri standart sözleşme hükümleri), bağlayıcı şirket kuralları (BCR) veya Kurul onaylı yazılı taahhüt.
- İstisnai hâller — yalnızca arızi (düzenli olmayan, tek seferlik) durumlar için.
Burada işletmeler açısından kritik değişiklik şudur: açık rıza artık istisna hâline gelmiştir. Düzenli ve tekrar eden uluslararası aktarımlarda açık rıza, 2024 sonrasında geçerli bir dayanak olmaktan çıktı. Üstelik standart sözleşme kullanıldığında, imzadan itibaren beş iş günü içinde Kurum'a bildirim yapma yükümlülüğü doğuyor.
Bu yükümlülükleri yerine getirmemek soyut bir risk değil. Kurul kararlarına uymama ve aydınlatma/güvenlik yükümlülüklerinin ihlali, yüz binlerce liradan başlayıp milyonlarca liraya ulaşabilen idari para cezalarıyla sonuçlanabiliyor (cezaların alt ve üst sınırları her yıl yeniden değerleme oranına göre güncelleniyor).
Özetle: Veriyi yurt dışına taşımak artık yasal olarak mümkün — ama operasyonel olarak maliyetli ve sürekli takip gerektiren bir uyum süreci. Verileri Türkiye'de tutmak, çoğu kurum için bu süreci ve ceza riskini en baştan sadeleştiren bir seçenektir. Lokalizasyonun en güçlü gerekçesi "yasak" değil, uyum yükünün ve riskin azaltılmasıdır.
Türkiye'de "yerli bulut" dalgası
Mevzuat tarafındaki bu olgunlaşma, altyapı tarafında da somut yatırımlarla buluşuyor.
Turkcell – Google Cloud iş birliği
Türkiye'nin yerli bulut gündeminin en dikkat çeken gelişmesi, Turkcell ile Google Cloud arasında duyurulan iş birliği oldu. Anlaşma kapsamında Türkiye, Google Cloud'un dünya genelindeki bölgelerinden biri (43. bölge) hâline gelecek ve Ankara'da hiper ölçekli (hyperscale) bir bölge kurulacak.
Burada önemli bir ayrıntıya dikkat etmek gerekiyor: Bu, açılmış bir veri merkezi değil, duyurulmuş bir proje. Açıklanan plana göre Ankara'daki inşaatın 2026'nın ilk çeyreğinde başlaması, tam kapasiteye ise 2028'de ulaşılması öngörülüyor. Yatırımın büyüklüğü de dikkat çekici: tarafların toplam yaklaşık 3 milyar dolar (Google'dan 10 yılda 2 milyar dolar, Turkcell'den 1 milyar dolar) yatırım yapması ve projenin ülke ekonomisine yıllık yaklaşık 5 milyar dolar katkı sunması bekleniyor.
Mimari açıdan da lokalizasyon felsefesini örnekliyor: Ankara'daki yapı, birbirini yedekleyen üç senkronize ama bağımsız veri merkezinden oluşan tek bir bölge olarak tasarlanıyor; veriler üç sahada şifreleniyor ve şifreleme anahtarlarının kontrolü tamamen müşteride kalıyor. Yetkililerin öne çıkardığı mesaj net: "Türkiye'nin verisi Türkiye'de kalacak."
"Egemen bulut" (sovereign cloud) nedir?
Bu projenin tanımında geçen "egemen bulut" (sovereign cloud) kavramı, son dönemin anahtar terimlerinden biri. Egemen bulut, küresel bir sağlayıcının teknolojisini ve hizmet kalitesini kullanırken, verinin fiziksel konumunu, erişim kontrolünü ve hukuki uyumunu yerel düzenlemelere tabi kılan modeli ifade eder.
Başka bir deyişle egemen bulut, "küresel teknoloji + yerel hâkimiyet" denklemini kurmaya çalışır: İşletme, dünya standardındaki bulut servislerinden yararlanır; ancak veri ülke sınırları içinde kalır ve yerel mevzuata uygun şekilde yönetilir.
Türkiye veri merkezi pazarı
Bu yatırımlar tek başına gelmiyor; büyüyen bir pazarın parçası. Türkiye'nin coğrafi konumu, genç ve dijitalleşen kullanıcı tabanı ve artan veri saklama ihtiyacı, ülkeyi veri merkezi yatırımları için cazip bir bölge hâline getiriyor. Hem küresel sağlayıcıların hem de yerel operatörlerin kapasite artırma yatırımları, önümüzdeki yıllarda yerli altyapı seçeneklerinin çeşitlenmesi anlamına geliyor. (Pazarın büyüklüğüne dair güncel rakamlar için bağımsız sektör raporlarına başvurmanız önerilir.)
İşletmeler neden yerli altyapıya yöneliyor?
Asıl soru şu: Bir işletme verilerini neden Türkiye'deki bir altyapıda tutmayı tercih etsin? Dört temel gerekçe öne çıkıyor.
1. Yasal uyum ve risk yönetimi
Verileri yurt içinde tutmak, sınır ötesi aktarımın getirdiği standart sözleşme, bildirim ve denetim yükünü büyük ölçüde ortadan kaldırır. Bu, hem uyum sürecini sadeleştirir hem de KVKK kaynaklı idari para cezası riskini düşürür. Birçok kurum için lokalizasyonun ilk ve en somut gerekçesi budur.
2. Performans ve düşük gecikme (latency)
Sunucunun kullanıcıya fiziksel yakınlığı, gecikmeyi (latency) doğrudan azaltır. Türkiye'deki kullanıcılara hizmet veren bir web sitesi veya uygulama, verisini yurt içinde barındırdığında sayfalar daha hızlı yüklenir.
Bunun SEO açısından da somut bir karşılığı var: Sunucu yakınlığı, ilk bayt süresini (TTFB) iyileştirir; bu da Google'ın sıralama sinyalleri arasında yer alan Core Web Vitals metriklerini — özellikle LCP (Largest Contentful Paint) ve INP (Interaction to Next Paint) — olumlu etkiler. Yani yerli altyapı yalnızca bir uyum konusu değil, aynı zamanda kullanıcı deneyimi ve arama görünürlüğü konusudur.
3. Maliyet
Yerli bulut altyapısı, uzun vadede maliyet avantajı sağlayabilir. İşletmenin kendi donanımına büyük bir başlangıç yatırımı yapması gerekmez; kaynaklar ihtiyaç kadar kiralanır ve ölçeklenir. Bununla birlikte maliyet karşılaştırmasının yalnızca aylık fiyat üzerinden değil; veri çıkış (egress) ücretleri, uyum maliyetleri ve toplam sahip olma maliyeti (TCO) üzerinden yapılması daha doğru olur.
4. Stratejik kontrol
Son olarak işletme, verisini kendi yönetimi altında tutar; yabancı bir data-center'ın hukuki düzenine veya operasyonel kararlarına bağımlı kalmaz. Bu kontrol, kriz anlarında (denetim, veri talebi, hizmet kesintisi) hareket alanı sağlar.
Yerli altyapıya geçmeden önce: kısa kontrol listesi
Karar vermeden önce şu soruların yanıtını netleştirmek faydalı olur:
- Verileriniz şu anda fiziksel olarak nerede duruyor (yurt içi mi, yurt dışı mı)?
- Hangi süreçleriniz sınır ötesi veri aktarımı içeriyor (yurt dışı SaaS, yurt dışı ana şirkete İK verisi, analitik paylaşımı vb.)?
- Bu aktarımlar için geçerli bir hukuki dayanağınız (yeterlilik kararı, standart sözleşme, BCR) var mı?
- İşlediğiniz veriler hassas/özel nitelikli veri içeriyor mu?
- Sektörünüzde ek bir düzenleme (örneğin BDDK) uyumu gerekiyor mu?
- Hizmet sürekliliği için yedekleme ve olağanüstü durum kurtarma (DR) planınız hangi coğrafyada konumlanıyor?
Bu sorular, lokalizasyonun sizin için bir zorunluluk mu yoksa bir optimizasyon fırsatı mı olduğunu netleştirir.
Veri lokalizasyonu her zaman şart mı?
Dengeli bakmak gerekir: lokalizasyon her senaryoda en iyi seçenek değildir. Yalnızca tek bir bölgeye bağımlı olmak, coğrafi yedekliliği zorlaştırabilir; küresel kullanıcıya hizmet veren bir uygulama için tek ülke odağı performansı sınırlayabilir; ve "yerli" etiketi tek başına güvenlik garantisi anlamına gelmez. Doğru yaklaşım çoğu zaman ikili bir kurgudur: birincil veriler yurt içinde tutulurken, yedekleme ve felaket kurtarma için ayrı bir lokasyon planlanır. Önemli olan, kararın hukuki yükümlülükler, performans hedefleri ve süreklilik gereksinimleri birlikte değerlendirilerek verilmesidir.
Cloud4U ile KVKK uyumlu, Türkiye merkezli bulut
Veri lokalizasyonu bir hedefse, bunu hayata geçirmek için doğru altyapı ortağına ihtiyaç vardır. Cloud4U; verilerinizi yurt içinde, KVKK uyumlu bir şekilde barındırmanız için bulut sunucu (IaaS), bulut depolama ve bulut yedekleme çözümleri sunar. Hizmet sürekliliği için olağanüstü durum kurtarma (DRaaS) seçenekleriyle birincil ve yedek verileriniz için esnek coğrafi kurgular oluşturabilirsiniz.
KVKK uyum yaklaşımımız ve altyapımız hakkında daha fazla bilgi için KVKK uyumluluğu sayfamızı inceleyebilir, ihtiyacınıza uygun yapıyı birlikte değerlendirmek için bizimle iletişime geçebilirsiniz.
