Türkiye'de AWS'ye geçmeyi değerlendiren hemen her şirkette aynı soru masaya gelir: "Verimizi AWS'ye koyarsak KVKK'ya aykırı olur mu?" Kısa cevap: hayır, AWS kullanmak kendi başına KVKK ihlali değildir — ama kişisel veri işliyorsanız yurt dışına veri aktarımı rejimine uymak zorundasınız ve bu, çoğu şirketin sandığından daha somut adımlar gerektirir. Bu rehber, hukuk metni değil saha rehberidir: hangi mekanizmayı seçeceğinizi, AWS tarafında hangi teknik önlemleri kuracağınızı ve hangi sektörlerde işin renginin değiştiğini anlatıyoruz.

Not: Bu yazı hukuki danışmanlık değildir; aktarım mekanizmanızı ve sözleşmelerinizi mutlaka KVKK alanında çalışan hukuk danışmanınızla birlikte kurgulayın. Biz işin mühendislik ve operasyon tarafını üstleniyoruz.

Önce zemin: AWS'nin Türkiye'de veri merkezi yok

AWS'nin Türkiye'de tam teşekküllü bir bölgesi (region) bulunmuyor. İstanbul'da CloudFront edge lokasyonu var — yani statik içerik ve CDN trafiği Türkiye içinden servis edilebiliyor — ama EC2, RDS, S3 gibi çekirdek servislerde veriniz fiziksel olarak yurt dışında durur. Türk şirketlerinin en çok tercih ettiği bölgeler yakınlık ve gecikme nedeniyle Frankfurt (eu-central-1) ve Zürih; maliyet odaklı iş yüklerinde Stockholm ve İrlanda da masadadır.

Bunun KVKK'daki karşılığı net: kişisel veriyi AWS'de tutmak, Kanun'un 9. maddesi anlamında yurt dışına veri aktarımıdır ve ancak Kanun'daki mekanizmalardan biriyle yapılabilir.

2024 sonrası aktarım rejimi: artık "açık rıza" tek yol değil

Mart 2024'te yapılan kanun değişikliğiyle (7499 sayılı Kanun) yurt dışına aktarım rejimi yeniden yazıldı ve GDPR'a yaklaştırıldı. Pratikte üç kademeli bir yapı var:

  • Yeterlilik kararı: Kurul'un yeterli koruma sağladığına karar verdiği ülke/sektör/uluslararası kuruluşlara aktarım serbesttir. Bu liste dardır; AB ülkeleri dahil çoğu hedef için henüz bu yoldan ilerlenemiyor.
  • Uygun güvenceler: Yeterlilik kararı yoksa devreye giren ana yol budur. En pratik aracı, Kurum'un yayımladığı standart sözleşmedir: veri ihracatçısı (siz) ile ithalatçısı arasında imzalanır ve imzadan itibaren 5 iş günü içinde Kurum'a bildirilmesi zorunludur. Alternatifler: bağlayıcı şirket kuralları (çok uluslu gruplar için) ve Kurul onaylı yazılı taahhütname.
  • Arızi haller: Açık rıza da dahil olmak üzere istisnai, süreklilik arz etmeyen aktarımlar için dar bir istisna katmanı. Sürekli bir SaaS/bulut mimarisini "açık rızaya" dayandırmak artık savunulabilir bir strateji değildir.

Özetle: AWS'de sürekli kişisel veri işleyecekseniz, gerçekçi yolunuz standart sözleşme + Kurum bildirimidir. AWS tarafında bunun karşılığı, AWS'nin veri işleme ekiyle (DPA) ve hizmet koşullarındaki taahhütleriyle birlikte değerlendirilir; AWS ayrıca müşterilerine bölge seçimi taahhüdü verir — verinizi koyduğunuz bölgeden siz taşımadıkça AWS taşımaz.

Sektörünüze göre kırmızı çizgiler

AWS tarafında kurulması gereken teknik katman

KVKK'nın 12. maddesi "uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri" ister. Denetimlerimizde tekrar tekrar eksik gördüğümüz asgari set şu:

  • Bölge sabitleme: İş yükünü tek bölgede tutun; SCP (Service Control Policy) ile diğer bölgeleri kapatın. "Stajyerin us-east-1'de açtığı test RDS'i" bir aktarım olayıdır.
  • Şifreleme: Beklemede (at rest) KMS ile — tercihen müşteri yönetimli anahtarlarla (CMK) — ve aktarımda TLS. S3 bucket'larında varsayılan şifrelemeyi zorunlu kılın.
  • Erişim izleme: CloudTrail'i tüm hesaplarda, kurcalanamaz biçimde (ayrı hesapta, Object Lock'lu S3'te) açın. "Kim, hangi veriye, ne zaman erişti?" sorusuna log ile cevap veremiyorsanız, ihlal bildiriminde de veremezsiniz.
  • Kişisel veri keşfi: Amazon Macie ile S3'te başıboş PII taraması yapın — envanterinizde (VERBİS kaydınızda) olmayan veri, en pahalı veridir.
  • Saklama ve imha: Saklama/imha politikanızın teknik karşılığını kurun: S3 lifecycle kuralları, RDS yedek saklama süreleri, log retention. Politika kağıtta, veri sonsuza kadar S3'te — en sık gördüğümüz uyumsuzluk bu.
  • Erişim asgariliği: IAM'de kişisel veri içeren kaynaklara geniş * yetkileri yerine rol bazlı, gerekçeli erişim; MFA zorunlu.

Bu başlıkların çoğu bizim 98 maddelik AWS güvenlik kontrol listemizde tek tek işaretlenebilir durumda.

Uygulama sırası: 6 adımda KVKK-uyumlu AWS

  • 1. Veri envanteri: Hangi kişisel veri, hangi sistemde, hangi amaçla? VERBİS kaydınızla AWS'deki gerçeklik örtüşmeli.
  • 2. Mekanizma seçimi: Hukuk danışmanınızla standart sözleşmeyi hazırlayın, imzalayın, 5 iş günü içinde Kurum'a bildirin.
  • 3. AWS sözleşme katmanı: AWS DPA'yı ve hizmet koşullarını dosyalayın; veri işleyen ilişkinizi aydınlatma metinlerinize yansıtın.
  • 4. Teknik katman: Yukarıdaki altı başlığı kurun ve kanıtlanabilir hale getirin (Config kuralları, denetim raporları).
  • 5. İhlal müdahale planı: KVKK 72 saatlik bildirim pratiğine hazır bir runbook: kim tespit eder, kim karar verir, kim bildirir. Olay müdahale playbook'umuz iskelet olarak kullanılabilir.
  • 6. Periyodik denetim: Yılda en az bir kez teknik uyumluluk taraması — mimari değişir, uyumluluk çürür.

Sık sorulan sorular

AWS kullanmak KVKK'ya aykırı mı?
Hayır. KVKK bulut kullanımını yasaklamaz; kişisel verinin yurt dışına aktarımını şarta bağlar. Standart sözleşme + Kurum bildirimi + teknik önlemlerle AWS'de kişisel veri işlemek savunulabilir ve yaygın bir pratiktir.

AWS'nin Türkiye'de veri merkezi var mı?
Tam bölge yok; İstanbul'da CloudFront edge lokasyonu var. Çekirdek servislerde veri en yakın bölgelerde (tipik olarak Frankfurt) tutulur — bu da KVKK açısından yurt dışına aktarımdır.

Açık rıza alarak veriyi AWS'ye koyamaz mıyım?
2024 değişikliği sonrası açık rıza, süreklilik arz etmeyen arızi aktarımlar için dar bir istisnadır. Sürekli çalışan bir sistemin hukuki dayanağı olarak kullanılması önerilmez; doğru yol standart sözleşmedir.

Standart sözleşmeyi kim imzalar, nereye bildirilir?
Veri ihracatçısı olarak siz ile yurt dışındaki veri ithalatçısı arasında imzalanır ve imzadan itibaren 5 iş günü içinde Kişisel Verileri Koruma Kurumu'na bildirilir.

Cezalar ne boyutta?
Veri güvenliği yükümlülüklerinin ihlalinde idari para cezaları her yıl yeniden değerleme ile artar ve üst sınırı milyonlarca TL'yi bulur; asıl maliyet ise ihlal sonrası itibar ve müşteri kaybıdır.

Sonuç

KVKK, AWS'nin önünde bir duvar değil; doğru kurulması gereken bir kapıdır. Hukuki mekanizma (standart sözleşme) + teknik katman (bölge, şifreleme, log, imha) + kanıtlanabilirlik üçlüsünü kuran şirketler AWS'nin ölçeğinden ve maliyet avantajından KVKK riskini büyütmeden yararlanıyor. Kapıyı yanlış kuranlar ise genellikle bunu ilk veri ihlalinde, en pahalı şekilde öğreniyor.

AWS ortamınız KVKK'nın teknik gereklerini karşılıyor mu? AWS Güvenlik Denetimimiz 98 maddelik kontrol listesiyle şifreleme, loglama, erişim ve saklama katmanlarınızı raporlar — ISO 27001 ve KVKK teknik tedbir eşlemesiyle. Daha hafif bir başlangıç için ücretsiz AWS Sağlık Taraması ile en kritik 5 bulgunuzu çıkaralım.