Kurumsal e-posta hizmetlerinde verilerinizin hangi ülkede depolandığını biliyor musunuz? KVKK, kişisel verilerin yurt dışına aktarılmasını ciddi kurallara bağlamıştır. Bu yazıda e-posta verilerinin yurt dışında tutulmasının yasal boyutlarını ve nelere dikkat etmeniz gerektiğini ele alıyoruz.
TL;DR — Hızlı Yanıt
KVKK'ya göre kişisel veri içeren e-postalarınızın yurt dışında tutulması için kullanıcıdan açık rıza alınması veya yeterli koruma güvencesi sağlanması zorunludur. Bu yükümlülüğü yerine getirmenin en güvenli yolu, verilerinizi Türkiye'deki veri merkezlerinde depolayan bir e-posta servisi kullanmaktır. Connect365, Turkcell veri merkezinde barındırılan, KVKK tam uyumlu kurumsal e-posta çözümü sunar.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016 yılında yürürlüğe girerek Türkiye'deki tüm veri işleme faaliyetlerini kapsamlı kurallara bağladı. Kurumsal e-posta sistemleri de bu kapsama girmektedir; zira iş yazışmaları çoğunlukla müşteri adları, iletişim bilgileri, sözleşme detayları ve çalışan bilgileri gibi kişisel veri kategorilerini barındırır.
Peki bu veriler yurt dışında bir sunucuda depolanabilir mi? Kısa yanıt: koşullara bağlı. Uzun yanıt ise hem hukuki hem de operasyonel açıdan oldukça kritik sonuçlar doğurabilecek nüanslar içermektedir.
KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarılmasını belirli koşullara bağlamıştır. Bu koşulların başında ilgili kişinin açık rızası gelmektedir. Ancak uygulamada her e-posta alıcısından veya göndereninden açık rıza almak operasyonel açıdan son derece güçtür.
Açık rıza dışındaki yasal aktarım zeminleri şunlardır:
Türkiye'de faaliyet gösteren pek çok yabancı e-posta sağlayıcısı bu koşulları tam olarak karşılamamaktadır. Üstelik Kurul'un yeterli koruma sağladığını tescil ettiği ülke listesi oldukça kısıtlıdır.
Birçok küresel e-posta sağlayıcısı, sunucularını ABD, İrlanda, Hollanda veya Singapur gibi ülkelerde konumlandırmaktadır. Bu durum KVKK açısından ciddi riskler doğurur:
Verilerinizi Türkiye'deki bir veri merkezinde barındıran e-posta çözümü seçtiğinizde hem yasal uyumu kolaylaştırırsınız hem de operasyonel güvence elde edersiniz.
| Servis | Sunucu Konumu | KVKK Uyumu | Fiyat (kullanıcı/ay) |
|---|---|---|---|
| Connect365 | Türkiye (Turkcell) | Tam uyumlu | ₺99 (yıllıkta ₺83) |
| Google Workspace | ABD / AB | Rıza/taahhütname gerekir | ~₺290 |
| Microsoft 365 | ABD / AB | Rıza/taahhütname gerekir | ~₺270 |
| Yandex 360 | Rusya | Belirsiz | ~₺200+ |
| Zoho Mail | ABD / AB / Hindistan | Rıza/taahhütname gerekir | ~₺90 (5GB kota) |
Kurumsal e-posta sağlayıcısı değerlendirirken aşağıdaki soruları sormalısınız:
Connect365, sunucularını Turkcell'in Türkiye'deki veri merkezinde barındıran bağımsız bir kurumsal e-posta servisidir. Bu yapı sayesinde verileriniz hiçbir zaman Türkiye sınırları dışına çıkmaz ve KVKK'nın yurt dışı aktarım hükümleriyle muhatap olmazsınız.
Servis özellikleri arasında şunlar yer almaktadır:
Rakiplere kıyasla hem KVKK uyumu hem de fiyat avantajı sunan Connect365, özellikle müşteri verisi işleyen KOBİ'ler, muhasebe ve hukuk büroları, sağlık kuruluşları ve e-ticaret işletmeleri için güvenli bir tercih olmaktadır.
Halihazırda yurt dışı sunucu kullanan bir e-posta hizmetiyle çalışıyorsanız, aşağıdaki adımları izlemenizi öneririz:
E-posta verilerinizin nerede tutulduğunu bilmemek, KVKK kapsamında "bilmiyordum" gerekçesiyle sorumluluktan kurtulmanızı sağlamaz. Veri sorumlusu sıfatıyla şirketiniz, işlenen her türlü kişisel verinin yasal zeminini kanıtlamakla yükümlüdür.
Evet, ancak belirli koşulların sağlanması şarttır. İlgili kişinin açık rızası alınmalı ya da verinin aktarıldığı ülke KVKK Kurulu tarafından yeterli koruma sağlayan ülkeler arasında tanınmalıdır. Bu koşulları karşılamak pratikte oldukça güçtür; bu nedenle en güvenli yol Türkiye'deki veri merkezlerini kullanan bir e-posta servisi seçmektir.
Bu sağlayıcıların sunucuları çoğunlukla ABD ve Avrupa'dadır. KVKK'nın yurt dışı aktarım hükümleri kapsamında değerlendirilebilirler. Veri işleme sözleşmesi imzalamak, Standart Sözleşme Maddeleri kullanmak veya ilgili kişilerden açık rıza almak gibi ek adımlar atılmadan kullanım risk içerebilir.
2025 yılı itibarıyla KVKK kapsamında uygulanabilecek idari para cezaları ihlal türüne göre değişmekte olup üst sınır 7.000.000 TL'ye ulaşmaktadır. Tekrarlayan veya ağır ihlallerde Kurul, veri işleme faaliyetinin durdurulmasına da karar verebilir.
Turkcell'in Türkiye'de işlettiği veri merkezleri, ISO 27001 sertifikalı, yüksek fiziksel güvenlik standartlarına sahip tesislerdir. Connect365 bu altyapıyı kullandığından verileriniz Türk toprakları üzerinde, Türk hukuku güvencesiyle saklanır.
Connect365'e geçişte kurulum ve mail migrasyonu ücretsizdir; tüm süreci Connect365 ekibi yürütür. Geçiş süresi mevcut e-posta sayısına ve sağlayıcıya göre değişmekle birlikte çoğu durumda iş günü kesintisi yaşanmadan tamamlanır.
Connect365, IMAP, SMTP ve POP3 protokollerini tam olarak destekler. Bu sayede Outlook, Thunderbird, Apple Mail ve mobil uygulamalar dahil tüm popüler e-posta istemcileriyle sorunsuz çalışır.
Connect365 üç farklı webmail arayüzü sunar: Classic, Thread ve Dense. Tüm paketlerde arayüz tamamen reklamsızdır; iş yazışmalarınız herhangi bir reklam içeriğiyle kesintiye uğramaz.
Connect365, aylık ödemede kullanıcı başına ₺99, yıllık ödemede ise ₺83 olarak fiyatlandırılmıştır. Kurulum ve mail migrasyonu ücretsiz sunulmaktadır. Daha fazla bilgi için 0312 434 35 34 numaralı hattı arayabilirsiniz.
KVKK, işletme büyüklüğünden bağımsız olarak kişisel veri işleyen tüm veri sorumlularını kapsar. Müşteri e-postası alan, çalışan bilgisi işleyen veya fatura/sözleşme yazışması yapan her işletme KVKK kapsamındadır.
Sunucu konumu kritik olmakla birlikte tek başına yeterli değildir. Ayrıca veri işleme envanteri oluşturulması, aydınlatma yükümlülüğünün yerine getirilmesi, teknik ve idari tedbirlerin alınması ile gerektiğinde VERBİS kaydının yapılması da gerekmektedir. Türkiye'de sunucu kullanan bir e-posta servisi seçmek bu yükümlülüklerin en kritik ayağını kolaylaştırır.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.