Meta Açıklaması: Bulut bilişim ve KVKK uyumu: AWS, Google Cloud ve Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
Bulut sağlayıcıya veri yüklemek, sunucunun yurt dışında olması halinde KVKK kapsamında yurt dışı veri aktarımı sayılır.
AWS, Google Cloud ve Azure'un her üçü de GDPR DPA sunmaktadır; ancak KVKK'ya özgü standart sözleşme ve bildirim yükümlülükleri ayrıca yerine getirilmelidir.
Region seçimi (Frankfurt, İrlanda, ABD) KVKK riskini doğrudan etkiler; AB bölgesi seçimi ABD'ye kıyasla daha düşük risk taşır ancak sorunu tamamen çözmez.
Şifreleme at rest (depolama sırasında) ve in transit (aktarım sırasında) her üç sağlayıcıda varsayılan olarak aktiftir; customer-managed keys (CMK/CMEK) ise ek bir güvence katmanı sağlar.
Log retention politikaları KVKK'nın saklama süresi ve ölçülülük ilkeleriyle uyumlu biçimde yapılandırılmalıdır.
KVKK Kurumu'nun "yurt dışı menşeli haberleşme uygulamaları" duyurusu, bulut sağlayıcı seçiminde de dikkate alınması gereken genel bir uyarı niteliğindedir.
2026 yılında yurt dışı aktarım bildirim ihlali cezası 90.308 – 1.806.177 TL, veri güvenliği ihlali cezası 256.357 – 17.092.242 TL arasındadır.
Bulut Sağlayıcı Kullanmak KVKK Açısından Ne Anlama Gelir?
Her bulut sağlayıcı kullanımı iki temel KVKK değerlendirmesi gerektirir.
Birincisi, veri işleyen ilişkisi: Bulut sağlayıcı, şirketinizin verilerini sizin belirlediğiniz amaçla depolar ve işler. Bu ilişkide siz veri sorumlusu, bulut sağlayıcı veri işleyendir. KVKK m. 12 uyarınca bu ilişki yazılı sözleşmeyle (DPA) düzenlenmelidir.
İkincisi, yurt dışı veri aktarımı: Bulut sağlayıcının sunucuları Türkiye dışındaysa — ki AWS, Google Cloud ve Azure'un Türkiye'de yerel veri merkezi bulunmamaktadır — her veri yükleme işlemi KVKK m. 9 kapsamında yurt dışı veri aktarımı sayılır.
Bulut bilişim KVKK kapsamında nedir? Şirketin kişisel verilerini üçüncü taraf bulut altyapı sağlayıcısının sunucularında depolaması ve işlemesidir. Bu ilişki hem veri sorumlusu-veri işleyen ilişkisi hem de (sunucu yurt dışındaysa) yurt dışı veri aktarımı kapsamında değerlendirilir.
Region Seçimi: Nerede Saklarsam Ne Değişir?
Bulut sağlayıcılarda "region" seçimi, verinizin fiziksel olarak hangi coğrafyada depolanacağını belirler. KVKK açısından bu seçim, yurt dışı aktarım riskinin boyutunu doğrudan etkiler.
Üç Seçenek ve Hukuki Değerlendirmesi
Seçenek 1 — Türkiye'de barındırma:
Mayıs 2026 itibarıyla AWS, Google Cloud ve Azure'un Türkiye'de yerel veri merkezi (region) bulunmamaktadır. Türkiye'de barındırma için yerel bulut sağlayıcılar (Türk Telekom Bulut, TurkNet, Radore gibi) kullanılabilir. Bu durumda yurt dışı aktarım sorunu ortadan kalkar; ancak sağlayıcı kapasitesi, hizmet yelpazesi ve maliyet açısından büyük sağlayıcılarla eşdeğer olmayabilir.
Seçenek 2 — AB bölgesinde barındırma (Frankfurt, İrlanda, Hollanda):
Kurul henüz AB ülkeleri için yeterlilik kararı yayımlamamış olmakla birlikte, AB'nin GDPR ile sağladığı yüksek koruma düzeyi nedeniyle AB bölgesi güçlü yeterlilik adayı olarak değerlendirilmektedir. AB region seçimi riski önemli ölçüde azaltır.
Ancak dikkat edilmesi gereken bir nokta vardır: sunucu AB'de olsa bile, ABD merkezli bulut sağlayıcının teknik personeli ABD'den verilere erişim yetkisine sahip olabilir. Bu "uzaktan erişim" de yurt dışı aktarım sayılabilir. CLOUD Act kapsamında ABD hükümetinin ABD merkezli şirketlerden yurt dışı sunuculardaki verileri talep edebilmesi bu riski artıran ek bir faktördür.
Seçenek 3 — ABD'de barındırma (us-east-1, us-west-2):
En yüksek KVKK riski bu senaryoda oluşur. Hem veri fiziksel olarak ABD'de depolanır hem de CLOUD Act riski doğrudan geçerlidir. Standart sözleşme zorunluluğu en katı biçimde uygulanmalıdır.
Region Karşılaştırma Tablosu
Kriter | Türkiye (Yerel Sağlayıcı) | AB Bölgesi (Frankfurt vb.) | ABD (us-east vb.) |
|---|---|---|---|
Yurt dışı aktarım | Hayır | Evet — ancak düşük risk | Evet — yüksek risk |
Standart sözleşme | Gerekmez | Gerekli | Gerekli |
CLOUD Act riski | Yok | Dolaylı (ABD şirketi erişimi) | Doğrudan |
Yeterlilik kararı beklentisi | — | Yüksek | Düşük |
Maliyet | Değişken | Orta | Düşük-orta |
Hizmet yelpazesi | Sınırlı | Geniş | En geniş |
Gecikme (latency) | En düşük | Düşük-orta | Yüksek |
Üç Büyük Sağlayıcının DPA Karşılaştırması
AWS — Data Processing Addendum
AWS, müşterilerine GDPR uyumlu bir Data Processing Addendum (DPA) sunar. DPA, AWS Service Terms'ün bir parçasıdır ve hesap açıldığında otomatik olarak geçerli hale gelir.
Güçlü yönler: Kapsamlı teknik ve idari tedbirler listesi, SOC 2 Type II ve ISO 27001 sertifikaları, alt işlemci listesinin web sitesinde yayımlanması, customer-managed encryption keys (AWS KMS/CloudHSM) desteği ve veri lokasyonu seçimi imkânı.
KVKK açısından dikkat noktaları: DPA, GDPR odaklıdır ve KVKK'ya özgü referanslar içermez. 5 iş günü Kurul bildirim yükümlülüğü AWS DPA'sının kapsamı dışındadır; bu bildirimi şirketiniz kendi yapmalıdır. AWS'nin ihlal bildirim süresi "without undue delay" olarak ifade edilir; KVKK'nın gerektirdiği somut süre (24 saat önerilir) DPA'ya ek protokolle eklenebilir. AWS alt işlemci değişikliğini web sitesinde yayımlar; e-posta bildirimi aktif olarak izlenmelidir.
Google Cloud — Cloud Data Processing Addendum
Google Cloud, GDPR uyumlu bir Cloud Data Processing Addendum (CDPA) sunar. Cloud Console üzerinden kabul edilir.
Güçlü yönler: GDPR Madde 28 uyumlu kapsamlı yapı, SOC 2 ve ISO 27001/27017/27018 sertifikaları, customer-managed encryption keys (Cloud KMS/Cloud HSM) desteği, VPC Service Controls ile veri erişim sınırlandırması ve AB bölgesi veri yerleşimi seçimi.
KVKK açısından dikkat noktaları: CDPA, GDPR çerçevesinde hazırlanmıştır; KVKK'ya özgü atıflar içermez. Google'ın hizmet iyileştirme amacıyla topladığı telemetri verileri (service data) konusunda şeffaflık sınırlıdır; bu verilerin kişisel veri niteliği tartışmalı olabilir. Alt işlemci değişikliği bildirimi e-posta ile yapılır; 30 gün itiraz süresi tanınır.
Azure — Data Protection Addendum
Microsoft Azure, tüm kurumsal bulut hizmetlerini kapsayan bir Data Protection Addendum (DPA) sunar.
Güçlü yönler: GDPR, CCPA ve diğer düzenlemelerle geniş kapsamlı uyum, SOC 2, ISO 27001 ve CSA STAR sertifikaları, customer-managed encryption keys (Azure Key Vault/Managed HSM), EU Data Boundary taahhüdü (AB müşterilerinin verileri AB'de kalır) ve Microsoft Compliance Manager aracıyla uyum takibi.
KVKK açısından dikkat noktaları: DPA kapsamlı olmakla birlikte KVKK'ya özgü hükümler içermez. Microsoft'un EU Data Boundary taahhüdü AB müşterileri içindir; Türkiye'nin bu kapsamda olup olmadığı netleştirilmelidir. İhlal bildirim süresi "without undue delay and in any event within 72 hours" olarak belirtilir; bu süre GDPR'a uygundur ancak veri sorumlusunun kendi 72 saatini yönetebilmesi için daha kısa bir sürenin DPA'ya eklenmesi önerilir.
DPA Karşılaştırma Tablosu
Kriter | AWS | Google Cloud | Azure |
|---|---|---|---|
DPA tipi | Service Terms içi | Cloud Console'da kabul | Ayrı DPA dokümanı |
GDPR uyumu | Tam | Tam | Tam |
KVKK özel hükmü | Yok | Yok | Yok |
İhlal bildirim süresi | "Without undue delay" | "Promptly and without undue delay" | "Without undue delay, within 72h" |
Alt işlemci bildirimi | Web sitesi + e-posta | E-posta, 30 gün itiraz | Web sitesi + e-posta |
CMK/CMEK desteği | AWS KMS, CloudHSM | Cloud KMS, Cloud HSM | Key Vault, Managed HSM |
AB data residency | Region seçimiyle | Region seçimiyle | EU Data Boundary |
SOC 2 Type II | Evet | Evet | Evet |
ISO 27001 | Evet | Evet | Evet |
Denetim hakkı | SOC 2 raporu ile karşılanır | SOC 2 raporu ile karşılanır | SOC 2 raporu ile karşılanır |
Şifreleme Zorunlulukları: At Rest ve In Transit
KVKK'nın 12. maddesi veri sorumlusuna "gerekli teknik tedbirleri alma" yükümlülüğü getirir. Kurul kararlarında şifreleme, bu tedbirlerin en temel bileşeni olarak değerlendirilmektedir.
Encryption at Rest (Depolama Şifrelemesi)
Verinin diskte veya depolama ortamında şifrelenmiş biçimde tutulmasıdır. Üç sağlayıcı da bunu varsayılan olarak sunar.
Sağlayıcı | Varsayılan Şifreleme | Anahtar Yönetimi Seçenekleri |
|---|---|---|
AWS | AES-256 (S3, EBS, RDS) | AWS Managed Keys, KMS (CMK), CloudHSM |
Google Cloud | AES-256 (tüm hizmetler) | Google Managed Keys, Cloud KMS (CMEK), Cloud HSM |
Azure | AES-256 (tüm hizmetler) | Platform Managed Keys, Key Vault (CMK), Managed HSM |
KVKK açısından önerilen: Customer-managed keys (CMK/CMEK) kullanılması. Bu yapıda şifreleme anahtarı sizin kontrolünüzdedir; bulut sağlayıcı dahil hiç kimse anahtarınız olmadan veriye erişemez. Bu, özellikle özel nitelikli veri işleyen şirketler için güçlü bir güvence katmanıdır.
Encryption in Transit (Aktarım Şifrelemesi)
Verinin ağ üzerinde taşınırken şifrelenmesidir. Üç sağlayıcı da TLS 1.2+ ile varsayılan aktarım şifrelemesi sunar.
İç ağ şifrelemesi: Bulut sağlayıcının kendi veri merkezleri arasındaki veri aktarımının da şifreli olması gerekir. AWS ve Google Cloud bu konuda şeffaf biçimde iç ağ şifrelemesi uyguladığını belirtmektedir.
Kurul Kararlarında Şifreleme
Kurul, veri ihlali kararlarında şifrelemenin varlığını veya yokluğunu doğrudan değerlendirir. Şifrelenmiş verinin sızması halinde Kurul, verinin fiilen okunup okunamadığını inceler; şifreleme anahtarı ele geçirilmemişse ihlal etkisi düşük değerlendirilir ve ceza miktarı azalabilir.
Tersine, şifreleme uygulanmamış verilerin sızması Kurul'un "yeterli teknik tedbir alınmamış" tespitine doğrudan zemin hazırlar ve cezayı belirgin biçimde artırır.
Log Retention: KVKK Saklama Süreleriyle Uyum
Bulut sağlayıcılarda çeşitli log türleri otomatik olarak üretilir: erişim logları, API çağrı logları, hata logları, güvenlik logları. Bu loglar kişisel veri içerebilir (IP adresi, kullanıcı kimliği, oturum bilgisi).
Her Sağlayıcının Varsayılan Log Retention'ı
Log Türü | AWS | Google Cloud | Azure |
|---|---|---|---|
API/Management Logs | CloudTrail: 90 gün (ücretsiz) | Cloud Audit Logs: 400 gün | Activity Log: 90 gün |
Erişim Logları | S3 Access Logs: süresiz (manuel silme) | Cloud Logging: 30 gün (varsayılan) | Storage Analytics: 7 gün (varsayılan) |
Güvenlik Logları | GuardDuty: 90 gün | SCC Findings: değişken | Sentinel: 30-730 gün (yapılandırılabilir) |
KVKK Uyum Gereksinimleri
KVKK'nın ölçülülük ilkesi, logların "gerekli olduğu süre kadar" saklanmasını öngörür. Süresiz log saklama bu ilkeye aykırıdır.
Log retention politikası şu adımlarla oluşturulmalıdır: her log türü için saklama amacı belirlenmelidir (güvenlik denetimi, hata takibi, uyumluluk), amaca uygun maksimum saklama süresi tespit edilmelidir (güvenlik logları 1 yıl, erişim logları 90 gün gibi), süre dolan logların otomatik silinmesi yapılandırılmalıdır (lifecycle policies) ve log'lardaki kişisel veriler mümkünse anonimleştirilmelidir (IP maskeleme, kullanıcı ID hash'leme).
"Yurt Dışı Menşeli Haberleşme Uygulamaları" Duyurusu
KVKK Kurumu, çeşitli dönemlerde yurt dışı menşeli haberleşme uygulamaları (WhatsApp, Telegram, Signal gibi) hakkında kamuoyu duyuruları yayımlamıştır. Bu duyurular doğrudan bulut sağlayıcıları hedef almasa da genel bir ilkeyi ortaya koyar: yurt dışı merkezli teknoloji şirketlerinin Türkiye'deki kullanıcıların verilerini işleme biçimi Kurum'un sürekli gündemindedir.
Bu duyuruların bulut sağlayıcı seçimine yansıması şudur: Kurum, yurt dışı merkezli hizmet sağlayıcılarla çalışılırken veri güvenliği güvencelerinin somut biçimde belgelenmesini beklemektedir. Soyut güvenceler ("verileriniz güvende") yeterli değildir; teknik tedbirler (şifreleme, erişim kontrolü, log yönetimi) ve hukuki güvenceler (DPA, standart sözleşme) birlikte sunulmalıdır.
Pratik Karar Rehberi: Hangi Bulutu Seçmeliyim?
Düşük Risk Profili — Yerel veya AB Barındırma Önerilen
Şu durumlarda Türk bulut sağlayıcı veya AB region tercih edilmelidir: özel nitelikli kişisel veri (sağlık, biyometrik) işleniyorsa, kamu kurumu veya düzenlenmiş sektörde (finans, sağlık, enerji) faaliyet gösteriliyorsa, Kurul incelemesi riski yüksekse (büyük müşteri tabanı, geçmiş ihlal) ve veri lokasyonu müşteri sözleşmelerinde şart koşulmuşsa.
Orta Risk Profili — AB Region + Güçlendirilmiş Güvenceler
Genel amaçlı SaaS, e-ticaret ve kurumsal yazılım şirketleri için AB bölgesinde (Frankfurt, İrlanda) region seçimi ile birlikte standart sözleşme, CMK/CMEK şifreleme, DPA ek protokolü ve düzenli güvenlik denetimi uygulanmalıdır.
Yüksek Risk Profili — ABD Region (Kaçınılmazsa)
Bazı hizmetler yalnızca ABD region'da sunulur veya maliyet/performans zorunluluğu nedeniyle ABD tercih edilir. Bu durumda tüm güvence mekanizmaları en katı biçimde uygulanmalıdır: standart sözleşme + 5 iş günü Kurul bildirimi, CMK şifreleme (anahtarlar şirket kontrolünde), log retention'ın KVKK uyumlu yapılandırılması, DPA'ya KVKK özel ek protokolü eklenmesi ve düzenli penetrasyon testi ve denetim.
Bulut KVKK Uyum Kontrol Listesi
Region ve Aktarım
☐ Bulut sağlayıcıda region seçimi yapıldı mı (AB önerilir)?
☐ Yurt dışı aktarım için standart sözleşme imzalandı mı?
☐ 5 iş günü Kurul bildirimi yapıldı mı?
☐ Bulut sağlayıcının DPA'sı incelendi mi?
☐ DPA'ya KVKK özel ek protokol eklendi mi?
Şifreleme
☐ Encryption at rest aktif mi?
☐ Encryption in transit (TLS 1.2+) aktif mi?
☐ Customer-managed keys (CMK/CMEK) kullanılıyor mu?
☐ Yedekleme verileri de şifreli mi?
Erişim Kontrolü
☐ IAM politikaları en az yetki ilkesine göre yapılandırıldı mı?
☐ MFA tüm yönetici hesaplarında aktif mi?
☐ Erişim logları tutulup düzenli denetleniyor mu?
☐ Root/admin hesap kullanımı sınırlandırıldı mı?
Log Yönetimi
☐ Her log türü için saklama süresi belirlenmiş mi?
☐ Süre dolan loglar otomatik siliniyor mu (lifecycle policy)?
☐ Log'lardaki kişisel veriler anonimleştiriliyor mu?
Alt İşlemci
☐ Bulut sağlayıcının alt işlemci listesi izleniyor mu?
☐ Alt işlemci değişikliği bildirimleri takip ediliyor mu?
Güvenlik Denetimi
☐ Bulut sağlayıcının SOC 2 / ISO 27001 raporları incelendi mi?
☐ Düzenli penetrasyon testi yapılıyor mu?
☐ Güvenlik yapılandırma denetimi (security posture review) periyodik mi?
Sık Sorulan Sorular
AWS kullanmak KVKK'ya aykırı mı?
Tek başına aykırı değildir; ancak koşullu bir uyumdur. AWS'nin DPA'sını incelemeniz, AB region seçimi yapmanız, standart sözleşme imzalayıp 5 iş günü Kurul'a bildirim yapmanız, şifreleme ve erişim kontrolü tedbirlerini uygulamanız gerekir. Bu adımlar atılmadan AWS kullanımı hukuki risk taşır.
AB region seçsem yurt dışı aktarım sorunu çözülür mü?
Riski önemli ölçüde azaltır; ancak tamamen çözmez. ABD merkezli şirketin teknik personelinin AB sunucularındaki verilere uzaktan erişim yetkisi devam edebilir. CLOUD Act kapsamında ABD hükümetinin bu verileri talep edebilmesi ek bir risk faktörüdür. Standart sözleşme yine de zorunludur.
Hangi bulut sağlayıcının DPA'sı KVKK'ya en uygun?
Her üçü de GDPR uyumlu kapsamlı DPA sunar; hiçbiri KVKK'ya özgü hükümler içermez. Bu nedenle her üçü için KVKK ek protokolü hazırlanması önerilir. Microsoft Azure'un EU Data Boundary taahhüdü ve detaylı ihlal bildirim süresi açısından marjinal bir avantajı olabilir; ancak fark büyük değildir.
Customer-managed keys (CMK) kullanmak zorunlu mu?
KVKK'da açıkça zorunlu kılınmamıştır; ancak Kurul kararlarında şifrelemenin varlığı güçlü bir hafifletici faktör olarak değerlendirilmektedir. CMK, şifreleme anahtarının sizin kontrolünüzde olmasını sağlar ve en güçlü güvence katmanıdır. Özellikle özel nitelikli veri işleyen şirketler için şiddetle önerilir.
Türkiye'de AWS/Google Cloud/Azure region var mı?
Mayıs 2026 itibarıyla üç büyük sağlayıcının Türkiye'de yerel veri merkezi (region) bulunmamaktadır. Türkiye'de barındırma için yerel bulut sağlayıcılar değerlendirilebilir. Büyük sağlayıcıların Türkiye region açma planları kamuoyuyla paylaşılmamıştır.
Log'ları ne kadar süre saklamalıyım?
KVKK'da sabit bir log saklama süresi belirlenmemiştir. KVKK'nın ölçülülük ilkesi gereği loglar yalnızca gerekli olduğu süre saklanmalıdır. Güvenlik logları için 1 yıl, erişim logları için 90 gün ve hata logları için 30 gün yaygın uygulamalardır. Süre dolan loglar otomatik silinmelidir.
Okuyucular Bunları da Soruyor
Multi-cloud strateji KVKK uyumunu zorlaştırır mı?
Evet. Birden fazla bulut sağlayıcı kullanımında her biri için ayrı DPA incelemesi, ayrı standart sözleşme ve ayrı Kurul bildirimi gerekir. Veri akışının sağlayıcılar arasında nasıl yönetildiği, hangi verinin nerede tutulduğu eksiksiz belgelenmelidir.
Serverless (Lambda, Cloud Functions) mimari KVKK'yı etkiler mi?
Evet. Serverless fonksiyonlar da bulut sağlayıcının altyapısında çalışır ve aynı yurt dışı aktarım kurallarına tabidir. Fonksiyonların işlediği kişisel veriler, hangi region'da çalıştığı ve log retention'ı aynı titizlikle değerlendirilmelidir.
Bulut sağlayıcım veri ihlali yaşarsa benim sorumluluğum ne?
KVKK kapsamında Kurul'a 72 saat bildirimi yapma yükümlülüğü veri sorumlusu olarak size aittir. Bulut sağlayıcının ihlali sizin sorumluluğunuzu ortadan kaldırmaz. DPA'da bulut sağlayıcının ihlali size ne kadar sürede bildireceği somut biçimde belirlenmiş olmalıdır.
Hybrid cloud (yerinde sunucu + bulut) kullanıyorum, nasıl değerlendirmeliyim?
Yerinde sunucudaki veriler yurt dışı aktarım kapsamına girmez. Buluttaki veriler ise yukarıdaki tüm kurallara tabidir. İki ortam arasındaki veri akışının haritalanması ve her akış için hukuki dayanağın belirlenmesi gerekir.
Sonuç
Bulut bilişim, modern iş dünyasının vazgeçilmez altyapısıdır; ancak KVKK uyumu açısından dikkatli yönetim gerektiren bir alandır. AWS, Google Cloud ve Azure'un her üçü de güçlü güvenlik altyapısı ve GDPR uyumlu DPA sunmaktadır; ancak KVKK'ya özgü yükümlülükler — standart sözleşme, 5 iş günü Kurul bildirimi ve Türkiye'ye özgü ek protokoller — ayrıca yerine getirilmelidir.
Region seçimi bu sürecin en stratejik kararıdır. AB bölgesi seçimi, Kurul'un yeterlilik kararı yayımlaması halinde süreci büyük ölçüde kolaylaştıracaktır. CMK şifreleme, düzenli güvenlik denetimi ve KVKK uyumlu log retention ise teknik güvencenin temel taşlarıdır.
Güneş Partners olarak bulut bilişim KVKK uyumunda — sağlayıcı DPA değerlendirmesi, standart sözleşme hazırlığı, region stratejisi danışmanlığı, teknik güvence denetimi ve Kurul süreçlerinde temsil — şirketlere kapsamlı hukuki destek sağlıyoruz. Bulut altyapınızın KVKK uyumunu değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK m. 9 ve 12, 7499 sayılı Kanun değişiklikleri, AWS Data Processing Addendum, Google Cloud Data Processing Addendum, Microsoft Azure Data Protection Addendum, SOC 2 ve ISO 27001 standartları, KVKK Kurumu kamuoyu duyuruları ve uluslararası bulut güvenlik best practice'leri temelinde hazırlanmıştır. Bulut bilişim ve KVKK uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.