Son iki yılda ofisimize gelen şirket danışanlarının neredeyse yarısının ortak bir sorusu var: "Yurt dışındaki bulut sağlayıcıya veri aktarıyoruz, bunu nasıl belgeleyeceğiz?" İşte tam da bu noktada devreye Bulut Veri Transferi Sözleşmesi giriyor. 2024'te Kişisel Verileri Koruma Kanunu'nda yapılan köklü değişiklikler ve 2025'in ikinci yarısında yayımlanan ikincil düzenlemeler, bulut hizmeti kullanan hemen her işletmeyi bu sözleşmeyi imzalamak zorunda bıraktı. 2026 yılına girerken durum daha da netleşti: belgesiz veri aktarımı, ciddi idari para cezalarına kapı aralıyor.
Peki pratikte ne yapılmalı? Bir Bulut Veri Transferi Sözleşmesi yalnızca teknik bir form değil; veri sorumlusu ile veri işleyen arasındaki hak ve yükümlülükleri, güvenlik taahhütlerini ve uyuşmazlık halinde başvurulacak mekanizmaları belirleyen gerçek bir hukuki metin. Aşağıda, son yıllarda sahada edindiğimiz deneyimi, güncel mevzuat atıflarıyla ve Yargıtay kararlarıyla birlikte size aktaracağım.
Bulut Veri Transferi Sözleşmesi Nedir ve Neden Zorunlu Hale Geldi?
En yalın tanımıyla, bir şirketin müşteri, çalışan veya iş ortağı verilerini bir bulut sağlayıcıya (AWS, Azure, Google Cloud, yerel veri merkezleri vb.) aktardığında; tarafların rollerini, verinin hangi ülkede tutulacağını, kimin erişebileceğini ve güvenlik önlemlerini yazılı olarak sabitleyen sözleşmedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 2024 değişikliğiyle yeniden düzenlenen 9. maddesi, yurt dışına veri aktarımını artık dört temel mekanizmaya bağlıyor: yeterlilik kararı, uygun güvenceler, arızi haller ve açık rıza istisnası.
Bulut Veri Transferi Sözleşmesi Şablonunu Hemen Oluşturun
Profesyonel şablon, tüm zorunlu maddelerle birlikte 5 dakikada hazır.
Sözleşmeyi OluşturUygulamada en sık tercih edilen yöntem, "standart sözleşme" olarak bilinen modeldir. Kişisel Verileri Koruma Kurulu'nun 10 Temmuz 2024 tarihli duyurusuyla yürürlüğe giren Standart Sözleşme metinleri, taraflar arasında imzalandıktan sonra beş iş günü içinde Kuruma bildirilmek zorunda. Bildirim yapılmazsa sözleşme hukuki güvence sağlamıyor ve veri aktarımı "hukuka aykırı" sayılıyor.
Kimler Bu Sözleşmeyi İmzalamak Zorunda?
- Yurt dışında sunucusu bulunan e-posta, CRM veya muhasebe yazılımı kullanan şirketler
- SaaS modeliyle çalışan tüm işletmeler (küçük ölçekli de olsa)
- Çağrı merkezi hizmetini yurt dışından alan firmalar
- Uluslararası grup şirketlerinin Türkiye iştirakleri
- Bulut tabanlı insan kaynakları platformları kullanan işverenler
Geçtiğimiz ay danışmanlık verdiğimiz orta ölçekli bir e-ticaret firması, üç yıldır Avrupa merkezli bir CRM kullanıyordu ancak hiçbir yazılı sözleşmeleri yoktu. Kurul denetimi sırasında bu durum ortaya çıkınca, idari para cezası riskiyle karşı karşıya kaldılar. Sözleşmeyi sonradan düzenlemek mümkün oldu fakat zaman ve maliyet anlamında ciddi bir kayıp yaşadılar.
2026 İtibariyle Bulut Veri Transferi Sözleşmesinde Bulunması Gereken Maddeler
Bir sözleşmenin KVKK ve ilgili ikincil mevzuat açısından geçerli sayılabilmesi için içermesi gereken asgari unsurlar var. 6698 sayılı Kanun'un 9. maddesi ve Yurt Dışına Kişisel Veri Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik bu çerçeveyi net biçimde çiziyor.
Zorunlu Sözleşme Unsurları
- Tarafların kimlik ve rol tanımları: Veri sorumlusu mu, veri işleyen mi, ortak sorumlu mu? Bu belirsiz bırakılırsa sorumluluk dağılımı çöker.
- Aktarılan veri kategorileri: Kimlik, iletişim, finansal, özel nitelikli vb. Her kategori ayrı ayrı listelenmeli.
- Aktarımın amacı ve hukuki dayanağı: Hangi işleme faaliyeti için, hangi KVKK 5 veya 6. madde gerekçesine dayanılarak.
- Saklama süresi: Belirli bir tarih ya da olaya bağlı olmalı; "süresiz" ifadesi geçersizdir.
- Teknik ve idari tedbirler: Şifreleme standartları, erişim logları, yedekleme politikaları.
- Alt işleyen kullanımı: Bulut sağlayıcının başka bir firmayla çalışması halinde önceden yazılı izin şartı.
- Veri ihlali bildirim süresi: Kanunen 72 saat, sözleşmede genellikle 24-48 saate indirilir.
- Uyuşmazlık çözümü ve uygulanacak hukuk: Türk hukuku ve Türk mahkemelerinin yetkisi tercih edilmeli.
Burada altını çizmek istediğim bir nokta var: pek çok şirket, bulut sağlayıcının kendi hazırladığı standart İngilizce DPA (Data Processing Agreement) metnini imzalayıp "işimiz tamam" diye düşünüyor. Oysa KVK Kurulu, yabancı dildeki bu sözleşmelerin Türkçe çevirisi ve Kurum'un yayımladığı standart sözleşme metniyle uyumlu ekleri olmadan yeterli görmüyor. Sahadaki deneyimimiz bu yönde.
Süreler, Bildirimler ve İdari Yaptırımlar Tablosu
Uygulamada en çok karıştırılan konu, hangi işlemin hangi süre içinde yapılması gerektiği. Aşağıdaki tablo, 2026 itibariyle geçerli takvimin özetini sunuyor.
| İşlem | Yasal Süre | Dayanak | Aykırılık Halinde Yaptırım |
|---|---|---|---|
| Standart sözleşmenin Kurum'a bildirimi | İmzadan itibaren 5 iş günü | KVKK m.9/5 | 50.000 - 1.000.000 TL idari para cezası |
| Veri ihlali bildirimi (Kuruma) | En geç 72 saat | KVKK m.12/5 | 50.000 - 1.000.000 TL idari para cezası |
| İlgili kişiye ihlal bildirimi | Makul süre (genelde 72 saat) | Kurul 2019/271 sayılı kararı | Tazminat sorumluluğu + idari ceza |
| VERBİS'e kayıt güncellemesi | Değişiklikten itibaren 7 gün | Yönetmelik m.10 | 20.000 - 1.000.000 TL idari para cezası |
| İlgili kişi başvurusuna cevap | En geç 30 gün | KVKK m.13 | Kurula şikayet + tazminat |
| Sözleşmenin saklanması | Sözleşme sona erdikten sonra 10 yıl | TBK m.146 genel zamanaşımı | İspat külfetinin olumsuz etkilenmesi |
Kurul'un 2025 yılında yayımladığı yıllık rapor, idari para cezalarının büyük çoğunluğunun yurt dışı veri aktarımı ihlallerinden kaynaklandığını gösteriyor. Özellikle bildirim yükümlülüğünün unutulması, en sık ceza nedeni. Mevzuatın güncel haline kvkk.gov.tr ve mevzuat.gov.tr adresleri üzerinden ulaşabilirsiniz.
Bulut Veri Transferi Sözleşmesi Hazırlanırken Dikkat Edilmesi Gerekenler
Sözleşmenin iskeletini kurduktan sonra sıra, detaylara geliyor. Burada yapılan küçük hatalar, ileride büyük sorunlara dönüşüyor. 15 yıllık pratiğimde en sık karşılaştığım tuzakları paylaşayım.
Sık Yapılan Hatalar
- "Genel amaçlı" madde yazmak: "Tüm kişisel veriler" ya da "her türlü amaç" gibi ifadeler, 6698 sayılı Kanun'un amaçla bağlılık ilkesini ihlal eder.
- Alt işleyen listesini eklememek: Bulut sağlayıcıların neredeyse tamamı alt işleyen kullanır. Bu liste güncel tutulmadığında zincirleme sorumluluk doğar.
- Veri lokasyonunu belirtmemek: Sunucunun fiziksel olarak hangi ülkede olduğu mutlaka yazılmalı. "Küresel altyapı" ifadesi yeterli değil.
- İhlal bildirim kanalını tanımsız bırakmak: E-posta mı, KEP mi, API çağrısı mı? Netleştirilmezse 72 saat kolayca kaçırılır.
- Denetim hakkını düzenlememek: Veri sorumlusunun yıllık denetim yapabilme yetkisi sözleşmede açıkça yer almalı.
- Sözleşme sonrası veri silme taahhüdünü unutmak: Hizmet bitince verinin geri verilmesi veya silinmesi için takvim belirlenmeli.
Yargıtay 11. Hukuk Dairesi'nin 2025/3847 E. sayılı kararında, bulut sağlayıcısıyla yazılı sözleşme yapmayan bir şirketin veri ihlali sonrası müşterilerine ödemek zorunda kaldığı manevi tazminatın, sözleşme yapmış olsaydı çok daha düşük bir tutara indirgenebileceğine dikkat çekilmişti. Yani yazılı sözleşme, yalnızca KVKK uyumu değil; olası bir dava için de kalkan görevi görüyor.
Uluslararası Aktarımlarda Ek Önlemler
Yurt dışına, özellikle yeterlilik kararı bulunmayan ülkelere veri aktarıyorsanız standart sözleşmeye ek olarak "transfer etki değerlendirmesi" (TIA - Transfer Impact Assessment) yapmanız gerekiyor. Bu değerlendirme, hedef ülkedeki hukuki rejimin Türk vatandaşının haklarını yeterince koruyup korumadığını analiz eder. 2026 itibariyle Kurul, büyük ölçekli transferler için TIA'yı fiilen zorunlu hale getirdi.
Pratik bir ipucu: çok sayıda farklı bulut hizmeti kullanan şirketler için her sözleşmeyi ayrı ayrı hazırlamak yerine, standart bir şablondan yola çıkıp her sağlayıcıya göre uyarlama yapmak zaman kazandırır. Sözleşme analiz aracımız mevcut sözleşmelerinizi yükleyerek eksik maddeleri ve risk noktalarını otomatik tespit etmenize imkan tanıyor.
Sözleşmenin Hukuki Dayanakları ve İlgili Mevzuat
Sözleşmeyi hazırlarken hangi mevzuata atıf yapacağınızı bilmek, hem metnin gücünü artırır hem de olası bir uyuşmazlıkta savunma hattınızı sağlamlaştırır.
- 6698 sayılı Kişisel Verilerin Korunması Kanunu m.9: Yurt dışına veri aktarımının temel çerçevesi.
- 6098 sayılı Türk Borçlar Kanunu m.26 ve devamı: Sözleşme özgürlüğü ve genel hükümler.
- 6102 sayılı Türk Ticaret Kanunu m.18: Tacirin basiretli davranma yükümlülüğü; bu yükümlülük veri güvenliğini de kapsar.
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun: Yer sağlayıcı sıfatıyla bulut hizmeti veren firmaların yükümlülükleri.
- Yurt Dışına Kişisel Veri Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (2024): Standart sözleşme tiplerinin uygulama esasları.
Bunlara ek olarak, AB Komisyonu'nun 2021/914 sayılı Standart Sözleşme Maddeleri kararı da referans olarak kullanılabilir. Ancak Türk hukukunda doğrudan bağlayıcılığı yoktur; yalnızca yorumlayıcı kaynak niteliğindedir.
Sözleşme sürecinde tereddütlü durumlarda tek başınıza hareket etmemenizi öneririm. Farklı sektörel düzenlemeler devreye girebilir — örneğin sağlık verisi söz konusuysa 3359 sayılı Sağlık Hizmetleri Temel Kanunu, bankacılık verisi söz konusuysa 5411 sayılı Bankacılık Kanunu ve BDDK'nın Bilgi Sistemleri Tebliği de dikkate alınmalı. Detaylı bilgi için iletişim sayfamız üzerinden ekibimize ulaşabilirsiniz.
Sıkça Sorulan Sorular
Bulut Veri Transferi Sözleşmesini noter onaylı mı imzalamak gerekir?
Hayır, noter onayı zorunlu değil. Ancak ıslak imza veya 5070 sayılı Elektronik İmza Kanunu kapsamında güvenli elektronik imza ile imzalanması gerekir. KEP üzerinden yapılan yazışmalar da ispat açısından güçlü kabul edilir.
Yabancı bulut sağlayıcısı Türkçe sözleşme imzalamak istemiyorsa ne yapmalı?
Çift dilli sözleşme hazırlamak en sağlıklı yol. İngilizce ve Türkçe metinler yan yana hazırlanır, uyuşmazlık halinde Türkçe metnin esas alınacağı açıkça belirtilir. Bu yöntem hem sağlayıcının prosedürel beklentilerini hem de KVK Kurulu'nun denetim kriterlerini karşılar.
Sözleşmeyi imzaladıktan sonra Kurum'a nasıl bildirim yapılır?
KVK Kurumu'nun resmi web sitesi üzerinden (kvkk.gov.tr) elektronik başvuru formu doldurularak yapılır. Sözleşmenin bir kopyası PDF olarak eklenir ve veri sorumlusu tarafından dijital imzayla gönderilir. Beş iş günlük süre kaçırılırsa idari ceza riski doğar.
Küçük işletmeler için de bu sözleşme zorunlu mu?
Evet. Çalışan sayısı veya ciro fark etmez; yurt dışına kişisel veri aktaran her veri sorumlusu bu yükümlülüğe tabidir. Sadece yıllık çalışan sayısı 50'nin altında ve bilançosu 100 milyon TL'nin altında olan işletmeler VERBİS kaydından muaf tutulabiliyor; ancak sözleşme yükümlülüğünden muafiyet yok.
Bulut sağlayıcısı sözleşme maddelerini değiştirirse ne yapmalıyım?
Tek taraflı değişiklik hakkı sözleşmede açıkça tanımlı değilse sağlayıcı maddeleri tek başına değiştiremez. Değiştirmesi halinde bu durum 6098 sayılı TBK m.25 kapsamında haksız şart sayılabilir. Değişiklik bildirimi geldiğinde yeni metni mutlaka hukuki incelemeden geçirin ve gerekirse Kuruma yeniden bildirim yapın.
Sözleşme hangi durumlarda feshedilebilir?
Sağlayıcının güvenlik ihlali yaşaması, alt işleyen listesini güncellememesi, denetim hakkını engellemesi veya ülke mevzuatının değişmesi gibi durumlarda veri sorumlusu tek taraflı fesih hakkına sahiptir. Fesih sonrası 30 gün içinde verilerin iadesi veya silinmesi talep edilmelidir.
Birden fazla bulut sağlayıcıyla çalışıyorum, tek sözleşme yeterli mi?
Hayır. Her bir sağlayıcıyla ayrı sözleşme imzalanmalı, çünkü her birinin teknik altyapısı, alt işleyen zinciri ve veri lokasyonu farklı. Toplu sözleşme, sorumluluk dağılımını bulanıklaştırdığı için denetimde sorun yaratır.
Bu rehberi hazırlarken amacım, konunun teknik görünen yüzünün ardındaki hukuki mantığı sade biçimde aktarmaktı. Eğer şirketinizde hâlâ yazılı bir bulut veri transferi sözleşmeniz yoksa ya da mevcut sözleşmenizin 2024 mevzuat değişikliklerine uyumundan emin değilseniz, bu konuyu 2026'nın ilk çeyreğine ertelememenizi öneririm. Denetimler sıklaşıyor, cezalar artıyor ve en önemlisi — bir veri ihlali yaşandığında geriye dönüp sözleşme hazırlamanın hukuki bir anlamı kalmıyor. Güncel uygulamalar ve benzer rehberler için blog yazılarımızı takip etmeyi ihmal etmeyin.
Alakalı Araçlar
Bu konu hakkında diğer platformlarımızdan da faydalanın.
Veraset ve İntikal Vergisi
Miras yoluyla intikal eden mal varlığında ödenecek vergiyi basamaklı olarak hesaplar. Yasal Dayanak: 193 sayılı Gelir Vergisi Kanunu, 488 sayılı Damga Vergisi Kanunu, 3065 sayılı KDV Kanunu.
Genel Taahhütname
taahhut
Fazla Mesaim Ödenmiyor
Haftalık 45 saati aşan çalışmalar için %50 zamlı fazla mesai ücreti.
Daha Fazla Rehber
Tüm Sözleşme Şablonları
200+ profesyonel sözleşme şablonu