Blog'a Dön
30/04/2026
Av. Yusuf Kılıçkan
TEKNOLOJİ HUKUKU

AWS'nin İstanbul'da Local Zone Açması Üzerinden Veri Yerelleştirme

Paylaş
AWS'nin İstanbul'da Local Zone Açması Üzerinden Veri Yerelleştirme

TL;DR: AWS'nin İstanbul'da Local Zone açması, düşük gecikmeli uygulamalar ve veri yerelleştirme gereksinimleri için stratejik bir adımdır; ancak bu altyapının hukuki statüsü, KVKK, 5809 sayılı Elektronik Haberleşme Kanunu ve uluslararası deniz hukuku (UNCLOS) çerçevesinde çok katmanlı bir uyum gerektirir. UAE'de yaşanan füze/drone saldırısı sonrası AWS Availability Zone'un devre dışı kalması, fiziksel altyapı güvenliğinin dijital egemenlik tartışmalarındaki kritik rolünü yeniden gündeme getirmiştir. İstanbul'daki denizaltı kablo sistemleri (KAFOS, MedNautilus) ile Local Zone entegrasyonu, hem bağlantı güvenliği hem de veri akışının yasal rejimi açısından özel koruma mekanizmaları talep eder. Uygulamada sıkça karşılaşılan bir durum olarak, bankacılık ve finans sektörü gibi regüle alanlarda veri yerelleştirme zorunlulukları, Local Zone kullanımını teknik bir tercih olmaktan çıkarıp hukuki bir zorunluluk haline getirmektedir.

Yazar: Avukat Yusuf KILIÇKAN

Tarih: 30 Nisan 2026

AWS Local Zone İstanbul: Teknik Altyapı ve Hukuki Statü

AWS Local Zone, bulut hizmetlerini son kullanıcıya coğrafi olarak yaklaştırarak milisaniye düzeyinde gecikme süresi sağlayan, ancak ana Region'a (bu durumda eu-central-1) bağlı olarak çalışan bir altyapı modelidir. İstanbul Local Zone'u (eu-central-1-ist-1a), Frankfurt Region'una bağlı olarak çalışmakta ve Türkiye'deki kurumsal kullanıcılar için düşük gecikmeli işlem, oyun, medya işleme ve gerçek zamanlı analitik senaryolarını hedeflemektedir. Hukuki açıdan bu yapı, "veri işleme yeri"nin Türkiye sınırları içinde olması nedeniyle KVKK kapsamında önemli sonuçlar doğurur; zira kişisel verilerin fiziksel olarak Türkiye'de işlenmesi, uluslararası aktarım kurallarının uygulanma şeklini değiştirebilmektedir.

Veri Merkezlerinin Türkiye'deki Hukuki Rejimi

Türkiye'de veri merkezleri ve bulut altyapıları için tek bir kapsamlı kanun bulunmamakta; bunun yerine KVKK, 5809 sayılı Elektronik Haberleşme Kanunu, BDDK düzenlemeleri ve Sosyal Medya Yönetmeliği gibi parçalı bir mevzuat yapısı uygulanmaktadır. KVKK md. 20(3), kişisel verilerin işlenmesinde açık rıza veya kanuni dayanak şartını getirirken, bulut ortamında işlenen veriler için özel bir rejim öngörmemektedir. Ancak bankacılık, ödeme kuruluşları ve sosyal medya sağlayıcıları gibi sektörlerde veri yerelleştirme zorunlulukları bulunmaktadır; örneğin, bankaların birincil ve ikincil bilgi sistemlerini Türkiye'de tutması zorunludur.

Local Zone ve Dedicated Local Zone Ayrımının Hukuki Önemi

AWS, "Dedicated Local Zones" modeli ile müşterilerine özel, izole edilmiş altyapı sunarak dijital egemenlik ve veri izolasyonu gereksinimlerini karşılamayı hedeflemektedir. Bu model, özellikle kamu kurumları ve regüle sektörler için KVKK md. 9 kapsamında uluslararası veri aktarımı risklerini minimize etme potansiyeli taşır. Son dönem yargı kararları göstermektedir ki, verinin fiziksel konumu ile hukuki sorumluluk alanı arasındaki bağlantı, uyuşmazlık çözümünde belirleyici olabilmektedir.

UAE Olayı ve Fiziksel Altyapı Güvenliğinin Hukuki Boyutu

Mart 2026'da Birleşik Arap Emirlikleri'nde yaşanan olay, AWS'nin ME-CENTRAL-1 Region'una bağlı bir Availability Zone'un ("objects" olarak tanımlanan nesnelerin çarpması sonucu) yangın ve elektrik kesintisi nedeniyle devre dışı kalmasına yol açmıştır. Bazı kaynaklar bu nesnelerin bölgesel çatışma bağlamında drone veya füze parçaları olabileceğini belirtmiştir; ancak AWS resmi açıklamasında kaynağı teyit etmemiştir. Bu olay, bulut altyapılarının fiziksel güvenlik risklerine karşı kırılganlığını ve "coğrafi çeşitlendirme"nin yalnızca performans değil, aynı zamanda süreklilik ve hukuki risk yönetimi açısından da kritik olduğunu göstermiştir.

Local Zone'larda Fiziksel Güvenlik ve Sorumluluk Rejimi

Local Zone'lar, ana Region'a kıyasla daha küçük ölçekli ve genellikle şehir merkezlerine yakın konumlandırılmış altyapılardır. Bu durum, düşük gecikme avantajı sağlarken, fiziksel erişim ve çevresel risklere maruziyeti de artırabilir. Dikkat çeken bir eğilim olarak, regüle sektörlerde faaliyet gösteren şirketler, Local Zone kullanımında "felaket kurtarma" ve "iş sürekliliği" planlarını KVKK md. 12 kapsamındaki veri güvenliği yükümlülükleriyle uyumlu şekilde kurgulamaktadır. Hukuk pratiğinde öne çıkan bir uygulama olarak, hizmet seviyesi anlaşmalarında (SLA) fiziksel güvenlik olaylarına ilişkin sorumluluk sınırlamaları ve tazminat mekanizmaları detaylandırılmalıdır.

Bölgesel Çatışma Ortamında Kritik Altyapıların Korunması

UAE olayı, kritik dijital altyapıların uluslararası insancıl hukuk ve deniz hukuku çerçevesinde korunması tartışmalarını da beraberinde getirmiştir. Türkiye açısından, İstanbul'un jeopolitik konumu ve Karadeniz-Boğazlar rejimi, denizaltı kabloları ve kara veri merkezleri için özel güvenlik protokolleri gerektirmektedir. Son dönem yargı kararları göstermektedir ki, altyapı güvenliği ihlallerinden kaynaklanan veri kayıpları, KVKK md. 17 kapsamında idari para cezası ve tazminat sorumluluğu doğurabilmektedir.

Denizaltı Kablo Altyapısı ve Hukuki Koruma Çerçevesi

İstanbul, küresel veri akışının kilit noktalarından biri olarak, KAFOS (Black Sea Fibre Optic System) ve MedNautilus gibi denizaltı kablo sistemlerine ev sahipliği yapmaktadır. Bu kablolar, Avrupa, Asya ve Orta Doğu arasındaki veri trafiğinin önemli bir kısmını taşımakta ve Local Zone gibi edge altyapılarının performansını doğrudan etkilemektedir.

UNCLOS ve Ulusal Mevzuat Çerçevesinde Kablo Koruma Rejimi

Uluslararası deniz hukukunun temel metni olan Birleşmiş Milletler Deniz Hukuku Sözleşmesi (UNCLOS), denizaltı kablolarının döşenmesi, bakımı ve korunmasına ilişkin hükümler içermektedir. UNCLOS md. 113-115, kabloların kasıtlı veya ihmal sonucu zarar görmesine karşı devletlerin ceza ve tazminat mekanizmaları kurma yükümlülüğünü düzenler. Türkiye'de ise 5809 sayılı Elektronik Haberleşme Kanunu, denizaltı kablolarının ulusal karasularındaki statüsünü ve koruma rejimini belirler. Uygulamada sıkça karşılaşılan bir durum olarak, kablo hasarlarından kaynaklanan hizmet kesintileri, hem sözleşmesel hem de haksız fiil sorumluluğu açısından değerlendirilmektedir.

İstanbul Local Zone ve Kablo Entegrasyonunun Hukuki Sonuçları

Local Zone altyapısının denizaltı kablolarına doğrudan veya dolaylı bağımlılığı, veri akışının kesintisizliği ve güvenliği açısından kritik önem taşır. KVKK md. 12 kapsamında veri sorumluları, teknik ve idari tedbirler almakla yükümlüdür; bu kapsamda, altyapı bağımlılıklarının haritalanması ve yedekleme stratejilerinin kurgulanması zorunludur. Dikkat çeken bir eğilim olarak, uluslararası operasyonu olan şirketler, kablo güzergahlarındaki jeopolitik riskleri "veri akışı etki analizi" raporlarına dahil etmektedir.

Uyum Yol Haritası: KVKK, Sektörel Düzenlemeler ve Risk Yönetimi

AWS Local Zone İstanbul'un kullanımı, teknik avantajlarının yanı sıra çok katmanlı bir hukuki uyum sürecini beraberinde getirir. Uygulamada sıkça karşılaşılan bir durum olarak, şirketler Local Zone'u "veri Türkiye'de kalıyor" gerekçesiyle KVKK uyumu için yeterli görmektedir; oysa veri işleme amaçları, aktarım mekanizmaları ve güvenlik tedbirleri bütüncül şekilde değerlendirilmelidir.

KVKK Kapsamında Local Zone Kullanımının Değerlendirilmesi

Local Zone'da işlenen kişisel veriler, fiziksel olarak Türkiye sınırları içinde bulunduğu için KVKK md. 9 kapsamındaki "yurtdışına aktarım" rejimine tabi olmayabilir. Ancak verinin işlenme amacı, erişim yetkileri ve yedekleme lokasyonları dikkate alındığında, uluslararası aktarım unsurları ortaya çıkabilmektedir. Son dönem yargı kararları göstermektedir ki, KVKK Kurulu, veri akış şemalarını ve teknik altyapı haritalarını denetimlerde talep etmektedir.

Sektörel Veri Yerelleştirme Zorunlulukları

Bankacılık, ödeme sistemleri, telekomünikasyon ve sosyal medya sağlayıcıları gibi regüle sektörlerde, veri yerelleştirme zorunlulukları Local Zone kullanımını doğrudan etkiler. Örneğin, BDDK düzenlemeleri uyarınca bankaların kritik sistemlerini Türkiye'de tutması gerekir; Local Zone bu gerekliliği karşılayabilir ancak Dedicated Local Zone modeli ile izolasyon seviyesinin artırılması önerilir. Hukuk uygulamasında öne çıkan bir hareket olarak, sektör regülasyonları ile KVKK gerekliliklerinin eşzamanlı uyumu için "veri haritalama" ve "etki analizi" süreçleri standart hale gelmiştir.

Fiziksel ve Siber Güvenlik Tedbirlerinin Entegrasyonu

KVKK md. 12, veri sorumlularına teknik ve idari tedbirler alma yükümlülüğü getirir. Local Zone altyapısında bu tedbirler, hem siber güvenlik (şifreleme, erişim kontrolü, loglama) hem de fiziksel güvenlik (erişim denetimi, afet kurtarma, kablo koruması) boyutlarını içermelidir. Dikkat çeken bir eğilim olarak, AWS'nin "Shared Responsibility Model"i çerçevesinde, altyapı güvenliği AWS'ye, veri ve erişim güvenliği müşteriye aittir; bu ayrımın sözleşmelerde netleştirilmesi uyuşmazlık riskini azaltır.

Avukat Yusuf KILIÇKAN

30 Nisan 2026

Sıkça Sorulan Sorular (SSS)

1-AWS Local Zone İstanbul'da işlenen veriler KVKK kapsamında "yurtdışına aktarım" sayılır mı?

Fiziksel olarak Türkiye sınırları içinde işlenen veriler, KVKK md. 9 anlamında doğrudan yurtdışı aktarım sayılmayabilir; ancak erişim yetkileri, yedekleme lokasyonları ve işleme amaçları dikkate alınarak bütüncül değerlendirme yapılmalıdır.

2-UAE'de yaşanan AWS kesintisi, İstanbul Local Zone için benzer riskler oluşturur mu? Fiziksel altyapı güvenliği riskleri her coğrafya için geçerlidir; bu nedenle iş sürekliliği planlarında coğrafi çeşitlendirme, felaket kurtarma senaryoları ve SLA hükümleri detaylandırılmalıdır.

3-Denizaltı kablolarının hukuki koruma rejimi nedir?

UNCLOS md. 113-115 ve 5809 sayılı Elektronik Haberleşme Kanunu, denizaltı kablolarının kasıtlı veya ihmal sonucu zarar görmesine karşı ceza ve tazminat mekanizmaları öngörür.

4-Bankalar AWS Local Zone kullanabilir mi?

Evet; ancak BDDK düzenlemeleri uyarınca kritik sistemlerin Türkiye'de tutulması zorunluluğu nedeniyle, Dedicated Local Zone modeli ve veri izolasyon tedbirleri önerilir.

5-Local Zone kullanımında KVKK uyumu için hangi adımlar atılmalıdır?

Veri envanteri çıkarılması, işleme amaçlarının belgelenmesi, teknik-idari tedbirlerin uygulanması ve uluslararası aktarım unsurlarının analiz edilmesi temel adımlardır.

6-AWS'nin "Shared Responsibility Model"i hukuki sorumluluğu nasıl etkiler?

Altyapı güvenliği AWS'ye, veri ve erişim güvenliği müşteriye aittir; bu ayrımın sözleşmelerde netleştirilmesi, uyuşmazlık halinde sorumluluk analizini kolaylaştırır.

7-İstanbul'daki denizaltı kabloları (KAFOS, MedNautilus) Local Zone performansını nasıl etkiler?

Bu kablolar, Avrupa-Asya veri trafiğinin önemli kısmını taşıdığı için Local Zone'un düşük gecikme avantajını doğrudan destekler; kablo hasarları ise hizmet kesintisi riski oluşturur.

8-Sosyal medya sağlayıcıları için veri yerelleştirme zorunluluğu Local Zone kullanımını etkiler mi?

Evet; 1 milyondan fazla günlük erişimi olan sosyal medya sağlayıcıları, Türk kullanıcı verilerini Türkiye'de tutmakla yükümlüdür; Local Zone bu gerekliliği karşılayabilir.

9-UAE olayı sonrası fiziksel güvenlik tedbirleri KVKK kapsamında zorunlu mudur?

KVKK md. 12, veri sorumlularına risklere uygun teknik ve idari tedbirler alma yükümlülüğü getirir; fiziksel güvenlik olayları da bu kapsamda değerlendirilmelidir.

10-Local Zone kullanımında uluslararası veri aktarımı mekanizmaları ne zaman devreye girer?

Verinin işlenme amacı, erişim yetkileri veya yedekleme lokasyonları yurtdışını içeriyorsa, KVKK md. 9 kapsamında uygun koruma tedbirleri (SCC, BCR, vb.) uygulanmalıdır.

Yazar Hakkında

Avukat Yusuf KILIÇKAN, Dijital Egemenlik Stratejisti ve Bulut Hukuku Danışmanıdır. Teknoloji hukuku, KVKK uyum mimarisi ve sınır ötesi veri akışlarının regülasyon kesişimleri üzerine uzmanlaşmış; AWS Local Zone, Dedicated Infrastructure ve denizaltı kablo güvenliği gibi kritik altyapıların hukuki çerçevesini kurgulamaktadır.

İletişim: [av.yusufkilickan@gmail.com]

Web: [yusufkilickan.av.tr]

Yasal Uyarı

Bu yazı yalnızca bilgilendirme amaçlı hazırlanmıştır ve herhangi bir avukat-müvekkil ilişkisi kurulduğunu göstermez. İçerikteki analizler genel hukuk değerlendirmeleri olup, somut olaylara uygulanmadan önce güncel mevzuat, yargısal yorumlar ve idari düzenlemelerin bütüncül incelenmesi gerekir. Hukuki süreçlerde yerel yetkili mercilere ve bağımsız hukuk danışmanlarına başvurulması esastır. Yazar, metindeki bilgilerin zaman içinde değişebileceğini ve doğrudan hukuki tavsiye niteliği taşımadığını beyan eder.

Yusuf Kılıçkan Logo

Adaletin tesisi ve hukukun üstünlüğü ilkesiyle, müvekkillerimizin haklarını ulusal ve uluslararası arenada en profesyonel şekilde savunuyoruz.

Hızlı Bağlantılar

Bu internet sitesi, Avukat Yusuf Kılıçkan tarafından Avukatlık Kanunu ve Türkiye Barolar Birliği Reklam Yasağı Yönetmeliği'ne uygun olarak hazırlanmıştır. Sitede yer alan bilgiler hukuki danışmanlık niteliği taşımaz.

© 2026 Yusuf Kılıçkan. Tüm Hakları Saklıdır.