Ticari ve Hukuki Danışmanlık

Veri Merkezi ve Bulut Hizmet Sözleşmeleri: Veri Lokalizasyonu ve Yurt Dışına Aktarım

Veri merkezi sunucu odası

Şirketler altyapılarını giderek buluta taşırken, veri lokalizasyonu ve kişisel verilerin yurt dışına aktarımı kritik hukuki başlıklar hâline geldi. Bulut ve veri merkezi sözleşmeleri, baştan doğru kurgulanmazsa hem mevzuata aykırılık hem de operasyonel kilitlenme riski doğurur. Bu rehberde konunun temel hukuki çerçevesini ele alıyoruz.

Yasal Dayanak

Kişisel verilerin yurt dışına aktarımı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesinde düzenlenir. 7499 sayılı Kanun ile 9. maddede yapılan ve 1 Haziran 2024'te yürürlüğe giren değişiklik, GDPR'a yakın üç kademeli bir sistem getirmiştir; ayrıntılar Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik'te (10 Temmuz 2024) belirlenmiştir. Belirli sektörlerde ek veri lokalizasyon kuralları vardır: BDDK'nın bankaların bilgi sistemlerine ilişkin düzenlemeleri ile TCMB'nin ödeme ve elektronik para kuruluşlarına ilişkin düzenlemeleri, sistem ve verilerin Türkiye'de tutulmasını zorunlu kılabilir.

Konu Nedir?

Bulut ve veri merkezi hizmeti almak, hukuken bir dış hizmet (outsourcing) ilişkisidir ve çoğu zaman kişisel verilerin bir veri işleyene aktarılması anlamına gelir.

Yurt dışına aktarımda yeni sistem üç kademelidir: önce yeterlilik kararı; yoksa uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları); o da yoksa sınırlı arızi haller. Standart sözleşme imzalanırsa beş iş günü içinde Kuruma bildirim yapılması gerekir.

Kimleri Etkiler?

  • Bulut/veri merkezi hizmeti alan tüm şirketler
  • Bankalar ve ödeme/elektronik para kuruluşları (lokalizasyon yükümlüsü)
  • Veri yoğun işletmeler ve SaaS sağlayıcıları

Pratik Adımlar

  • Sözleşmede veri sahipliği, gizlilik, hizmet seviyesi (SLA) ve alt yüklenici kullanımının netleştirilmesi
  • Verilerin fiziksel olarak nerede tutulacağının ve lokalizasyon gereklerinin belirlenmesi
  • KVKK'nın 12. maddesi kapsamında veri işleyen ilişkisinin sözleşmeye bağlanması
  • Yurt dışı aktarımda uygun güvence (standart sözleşme) imzalanması ve süresinde Kuruma bildirim
  • Sözleşme sona erdiğinde verilerin iadesi ve güvenli imhasının güvence altına alınması

Hukuki Riskler

Sektörel lokalizasyon kurallarının ihlali, BDDK veya TCMB yaptırımlarına yol açabilir. Yeterlilik kararı ya da uygun güvence olmadan yapılan yurt dışı aktarımlar KVKK kapsamında idari para cezası doğurur. Sözleşmede veri taşınabilirliği ve iade hükmü bulunmaması, hizmet sağlayıcıya bağımlılık (vendor lock-in) yaratır.

Sonuç ve Tavsiye

Bulut kararı, bir maliyet kararı kadar bir uyum kararıdır. Sözleşmenizi ve veri akış haritanızı hukuki süzgeçten geçirmeniz, lokalizasyon ve yurt dışı aktarım kurallarına uyumu baştan kurgulamanız önerilir. Bilişim ve veri koruma hukuku alanında uzman desteği bu riskleri azaltır.

Görsel: — Wikimedia, CC BY 3.0

Merak Ettiklerin ve Detaylı Bilgi İçin
Bizimle İletişime Geç!