Türkiye'de Veri Merkezi Kurmak
KVKK Bariyer Değil Fırsat
1. Düzenleyici Çerçeve (Mevzuat Haritası)
Türkiye'de bir veri merkezi (VM) kurmak ve işletmek, tek bir "Veri Merkezi Kanunu" üzerinden değil; BTK (Bilgi Teknolojileri ve İletişim Kurumu), KVKK (Kişisel Verileri Koruma Kurumu) ve Sanayi ve Teknoloji Bakanlığı gibi çoklu otoritelerden gelen düzenlemelerle yönetilmektedir.
A) Altyapı ve Lisanslama (BTK)
- Elektronik Haberleşme Kanunu No. 5809: Bir VM yalnızca "barındırma" (co-location) hizmeti sunuyorsa BTK'dan tam operatör lisansı gerekmeyebilir. Ancak internet erişimi veya yönetilen ağ hizmetleri sunulması halinde İnternet Servis Sağlayıcısı (İSS) yetkisi zorunlu hale gelir.
- 5651 Sayılı Kanun (Barındırma Hizmeti Sağlayıcısı): VM'ler yasal olarak "Barındırma Hizmeti Sağlayıcısı" şeklinde sınıflandırılır. BTK'ya Barındırma Hizmeti Sağlayıcısı Bildirimi yapmaları (ücretsiz ancak zorunlu) ve trafik kayıtlarını en az 2 yıl saklamaları gerekmektedir.
- Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği: 2024 yılı başında Danıştay'ın verdiği kararlar, BTK'nın bu alandaki yetki sınırlarını netleştirmiştir.
B) Veri Güvenliği ve Yerelleştirme (KVKK)
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu: VM'ler için en büyük ticari fırsat "Veri Yerelleştirme" konusudur. KVKK'nın 9. maddesi uyarınca, Türk vatandaşlarına ait kişisel verilerin yurt dışına aktarılması çok sıkı koşullara bağlıdır.
- Kurul Kararları (2022/249, 2020/559): KVKK Kurulu, offshore bulut sistemlerinde (AWS, Azure vb.) depolanan verileri "yurt dışına veri aktarımı" olarak değerlendirmekte; yeterli taahhüt veya rıza bulunmayan şirketlere ağır cezalar uygulamaktadır. Bu durum, şirketleri yurt içi VM'lere yönlendirmektedir.
C) Fiziksel ve Siber Güvenlik Standartları
- 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi (Bilgi ve İletişim Güvenliği Tedbirleri): Kamu kurumları ve kritik altyapı hizmeti sunan şirketler, verilerini Türkiye içindeki güvenli VM'lerde depolamakla yükümlüdür.
- Bilgi ve İletişim Güvenliği Rehberi: Başta kamu sektörüne hizmet verenler olmak üzere VM'lerin, bu rehberde belirtilen fiziksel güvenlik, HVAC ve ağ izolasyonu kriterlerine uyması beklenmektedir.
---
2. Güncel Gelişmeler ve Değişiklikler (2024–2025)
- KVKK Madde 9 Revizyonu (2024): 8. Yargı Reformu Paketi, KVKK'nın sınır ötesi veri aktarım rejimini AB-GDPR ile uyumlu hale getirdi. "Standart Sözleşme Maddeleri" ve "Yeterlilik Kararları" dönemi başladı. Bununla birlikte, yerel VM'lere duyulan ihtiyaç stratejik bir öncelik olmayı sürdürmektedir.
- Yatırım Teşvikleri: Veri merkezi yatırımları, Sanayi ve Teknoloji Bakanlığı tarafından "Öncelikli Yatırım" kapsamına alındı. Bu durum şu anlama geliyor: Yatırım İstanbul'da olsa bile 5. Bölge teşviklerinden yararlanılabilir — vergi indirimi, SGK prim desteği ve faiz sübvansiyonu.
---
3. Yargı Eğilimleri ve Kritik Kararlar (Risk Analizi)
Danıştay İDDK Kararı 2024/183
Mahkeme, BTK'nın yetkilendirme yönetmeliği aracılığıyla operatörlere yüklenen bazı ek yükümlülüklerin kanunilik ilkesine aykırı olduğuna hükmetti.
- Risk: VM'lerin olası idari müdahalelere karşı BTK'ya dava açma hakkı güçlendirildi.
- Fırsat: VM operatörleri için öngörülebilirlik arttı. BTK'nın tüm veri trafiğine kontrolsüz müdahalesi artık yargısal denetime tabi kılındı.
---
4. Boşluklar ve Düzenleyici Arbitraj Fırsatları
- Bulut Bilişim Mevzuatının Yokluğu: Türkiye'de bulut bilişimi özel olarak düzenleyen bir kanun bulunmamaktadır. Hizmet sağlayıcılar, İSS ve Barındırma Hizmeti Sağlayıcısı tanımları arasında sıkışmaktadır. Bu boşluk, sözleşme özgürlüğü ve esnek iş modelleri için alan açmaktadır — bir düzenleyici arbitraj fırsatı.
- Enerji Verimliliği ve Teşvikler: VM'ler enerji yoğun tesislerdir. Yeşil Enerji Sertifikası (YEK-G) alan VM'ler için tam anlamıyla yerleşmiş bir teşvik mekanizması henüz bulunmamaktadır. Bu alan, ESG odaklı fonlar için "fırsat penceresi" niteliği taşımaktadır.
- Hukuki Adalar (Dijital Serbest Bölgeler): Teknoloji Geliştirme Bölgeleri (Teknoparklar) içinde kurulan VM'ler kurumlar vergisi muafiyetinden yararlanmaktadır.
---
5. Fırsat Değerlendirmesi (Ön Analiz)
| Kriter | Puan | Not |
|---|---|---|
| Pazar Büyüklüğü | 9/10 | Yerel veri depolama zorunlulukları talebi patlattı. |
| Düzenleyici Risk | 6/10 | BTK/KVKK denetimi yoğun, ancak kurallar netleşiyor. |
| Teşvik Avantajı | 8/10 | Öncelikli yatırım statüsü mali yükü %30–40 azaltıyor. |
| Aciliyet | 8/10 | 2024–2025, siber güvenlik ve yapay zekanın yılı. |
Özet: Türkiye'de veri merkezi kurmak şu anda bir "Güvenli Geçiş" penceresindedir. Düzenleyici baskı (KVKK) bir engel değil — yerel operatörler için pazardaki en güçlü Benzersiz Satış Noktasıdır.
