KVKK ve Veri Egemenliği: Yurtdışı E-posta'nın Riskleri
Microsoft ve Google e-postalarınızı yurtdışı veri merkezlerinde saklıyor. KVKK uyumu, CLOUD Act ve sınır ötesi veri aktarımı ne getiriyor? Pratik bir rehber.
İçindekiler
Microsoft 365 ve Google Workspace’te sakladığınız e-postalar fiziksel olarak nerede duruyor? Çoğunlukla ABD, İrlanda veya Hollanda’daki veri merkezlerinde. Peki bu bir sorun mu?
Cevap şirketinizin sektörüne, veri tipine ve yasal yükümlülüklerine göre değişir. Bu rehberde konuyu dört katmanda inceliyoruz: yasal uyum, teknik erişim riski, operasyonel bağımlılık ve geçiş pratiği.
1. Yasal Katman — KVKK Ne Diyor?
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin yurtdışına aktarılması için Madde 9 kapsamında özel koşullar getirir:
- Veri sahibinin açık rızası, veya
- Yeterli korumaya sahip ülkeye aktarım (KVKK’nın “yeterli ülkeler” listesi hâlâ sınırlı), veya
- Taahhütname + Kurul izni
Microsoft ve Google, Türkiye’deki müşteri verilerini fiziksel olarak ABD veya AB veri merkezlerinde sakladığından bu kullanım yurtdışına aktarım sayılır. Şirketlerin bu durumda Data Processing Agreement (DPA) ve Standard Contractual Clauses (SCC) belgelerini imzalaması gerekir. Çoğu KOBİ bunu atlıyor — çünkü farkında değil. KVKK denetiminde bu eksiklik 50.000 TL’den başlayan idari para cezasına yol açar.
Ulakmail yaklaşımı: Tüm veriler Türkiye sınırları içinde tutulur. KVKK Madde 9 kapsamında “yurtdışına aktarım” söz konusu değildir; DPA veya SCC belgesi gerekmez.
2. Teknik Katman — CLOUD Act ve Yabancı Mahkemeler
ABD’nin 2018’de yürürlüğe giren CLOUD Act (Clarifying Lawful Overseas Use of Data Act), ABD merkezli bulut sağlayıcılarından ABD mahkemesi emriyle müşteri verilerini talep edebilmesine olanak tanır.
Kritik nokta: Verinin fiziksel olarak nerede saklandığı önemli değildir. ABD’li bir şirkete — Microsoft, Google veya Amazon’a — veri emanet ederseniz, ABD hukuku o veriye teorik olarak ulaşabilir.
| Sağlayıcı | Şirket merkezleri | CLOUD Act kapsamında mı? |
|---|---|---|
| Microsoft 365 | ABD | Evet |
| Google Workspace | ABD | Evet |
| Amazon WorkMail | ABD | Evet |
| Ulakmail | Türkiye | Hayır |
AB’deki Schrems II kararı, ABD-AB veri aktarımı uyumunu daha da karmaşık hale getirdi. Türkiye’nin GDPR gibi kapsamlı bir uygulama yaptırım mekanizması olmasa da şirketler bu gelişmeleri takip etmek zorunda.
3. Operasyonel Katman — Gerçek Dünya Riskleri
Yasal konular bir yana, pratikte şu senaryolar yaşanabilir:
Servis kesintisi veya hesap blokajı Ukrayna savaşında Microsoft bazı Rus şirketlerini hesaplarından kilitledi. Jeopolitik gerilim Türkiye’yi de etkileyebilir. Bir yabancı şirketin ticari kararı, sizin tüm müşteri yazışmalarınıza erişiminizi anında kesebilir.
İçerik moderasyonu Büyük platform şirketleri algoritmik veya manuel olarak hesapları askıya alabilir. İtiraz süreci İngilizce, destek hattı uluslararası, çözüm günler veya haftalar alır.
Sağlayıcı iflas veya satın alma Küçük bulut servislerinde bu risk daha yüksek olsa da büyük platformlar da hizmet koşullarını tek taraflı değiştirebilir. Verileriniz başka bir şirketin kontrolüne geçer.
Fatura kesintisi Kredi kartı başarısız olursa veya ödeme sorunu yaşanırsa hesap 30–60 gün içinde askıya alınabilir. Tüm müşteri iletişiminiz o anda durur.
“Bunlar pek olası değil” diyebilirsiniz. Doğru. Ama risk matrisinde düşük olasılık × yüksek etki sıfır değildir.
4. KVKK Uyum Maliyeti — Yurtdışı ile Yerli Karşılaştırması
Yurtdışı sağlayıcı kullanan ve KVKK’ya uyum sağlamak isteyen şirketlerin tipik adımları:
| Adım | Açıklama | Tahmini Maliyet |
|---|---|---|
| Veri İşleme Envanteri | Hangi veri nerede işleniyor | 1–2 haftalık iş gücü |
| DPA / SCC belgesi | Avukat incelemesi ve imza | 5.000–15.000 TL |
| Açık rıza akışı tasarımı | Kullanıcı rızası mekanizması | Yazılım geliştirme maliyeti |
| VERBİS kaydı | Kurula bildirim | Ücretsiz, ama hazırlık süresi önemli |
| Sürekli denetim | Yıllık gözden geçirme | Danışmanlık ücreti |
Yerli bir sağlayıcıda yurtdışı aktarım boyutu ortadan kalkar. VERBİS ve envanter hâlâ gerekli, ama kapsam çok daha dar ve yönetimi daha basittir.
5. Hangi Sektörler İçin Kritik?
| Sektör | Risk Seviyesi | Neden |
|---|---|---|
| Sağlık | Çok Yüksek | Hasta verileri KVKK md. 6 özel nitelikli |
| Hukuk / Muhasebe | Yüksek | Müvekkil sırrı ve mesleki gizlilik |
| Finans | Yüksek | BDDK ve SPK düzenlemeleri |
| Kamu / KİT | Yüksek | Yerli barındırma zorunluluğu var |
| Savunma sanayii | Çok Yüksek | Çoğu sözleşme yerli barındırma şart koşar |
| Genel KOBİ | Orta | KVKK yükümlülüğü var, risk yönetilebilir |
6. Yerli Sağlayıcıya Geçiş — Adım Adım
Geçiş, yıllarca biriken e-postanın kaybolması anlamına gelmez:
Adım 1 — IMAP ile taşıma Mevcut e-postalarınız otomatik araçlarla yeni sunucuya aktarılır. Klasör yapısı ve tarihler korunur.
Adım 2 — DNS güncellemeleri MX, SPF, DKIM ve DMARC kayıtları bir seferlik düzenlenir. MX kaydı yapılandırması ve SPF/DKIM/DMARC kurulumu için rehberlerimize bakın.
Adım 3 — Paralel çalışma dönemi Eski ve yeni sistem DNS TTL’i dolana kadar birlikte çalışır. Bu sürede hiçbir e-posta kaybolmaz.
Adım 4 — Eski hesabı kapat Yeni sistem sorunsuz çalışmaya başlayınca eski sağlayıcıdaki veriler silinir — yurtdışındaki veri riski tamamen ortadan kalkar.
Ulakmail bu geçişi ücretsiz yönetir. Ortalama süre: 2–4 saat. Kesinti: sıfır.
Sık Sorulan Sorular
Microsoft 365 veya Google Workspace KVKK uyumlu mu? Her ikisi de DPA ve SCC mekanizmalarıyla uyum sağlamaya çalışır; ancak veriler fiziksel olarak yurtdışında tutulduğundan KVKK Madde 9 kapsamında yurtdışına aktarım sayılır. DPA imzalanmadan bu düzenleme eksik kalır ve denetimde ceza riski oluşur.
Ulakmail’de e-postalarım nerede saklanıyor? Tüm veriler Türkiye sınırları içindeki veri merkezlerinde tutulur. KVKK Madde 9 kapsamında yurtdışına aktarım söz konusu değildir; ek bir yasal işlem gerekmez.
CLOUD Act beni nasıl etkiler? Microsoft veya Google gibi ABD merkezli sağlayıcılar, ABD mahkemesi emriyle verilerinizi paylaşmak zorunda kalabilir — verinin fiziksel konumundan bağımsız olarak. Ulakmail Türk hukukuna tabi bir şirkettir; yalnızca Türk yargı yetkisi geçerlidir.
Küçük bir KOBİ için bu riskler gerçekten önemli mi? Sağlık, hukuk veya finans gibi hassas sektörler için kritik önem taşır. Genel KOBİ’ler için risk daha düşük olmakla birlikte KVKK yükümlülüğü tüm işletmeler için geçerlidir. Yerli barındırma hem uyum yükünü azaltır hem de kontrol sağlar.
KVKK denetiminde hangi belgeler isteniyor? VERBİS kaydı, Veri İşleme Envanteri, yurtdışı aktarım için DPA/SCC veya açık rıza belgeleri, ve veri ihlali bildirim prosedürü. Yerli sağlayıcıda DPA/SCC belgesi ihtiyacı düşer.
Geçiş sonrası eski e-postalar KVKK kapsamında nasıl yönetilir? IMAP ile taşınan e-postalar Türkiye sunucularına aktarılır. Microsoft ve Google hesaplarınızı kapattığınızda oradaki veri silinir — yurtdışı aktarım riski tamamen ortadan kalkar.
Yurtdışı veri depolama “tehlikeli” değil, ama sizin kontrolünüzün dışında bir bağımlılıktır. KVKK uyumu, CLOUD Act, jeopolitik risk ve operasyonel bağımlılık — hepsi düşük olasılıklı ama yüksek etkili olaylardır. Yerli altyapı bu riskleri ortadan kaldırmaz; ama kontrolü size geri verir.
E-posta güvenliği → • Kurumsal e-posta planları → • KVKK uyumu için iletişim →
İlgili Makaleler
E-posta Güvenliği
· 0 dk okuma
- E-posta Güvenliği
BIMI ve MTA-STS Nedir? Geleceğin E-posta Güvenlik Standartları
· 3 dk okuma
- Siber Güvenlik
Oltalama (Phishing) Saldırılarına Karşı Kurumsal E-posta Güvenliği Nasıl Sağlanır?
· 2 dk okuma
Bu makaleyi ilginç buldunuz mu?
Ulakmail'i 10 gün ücretsiz deneyin. Kredi kartı gerekmez — yerli altyapıda, uçtan uca şifreli.
Hesap Oluştur Planları karşılaştır