6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“Kanun”) yürürlüğe girdiği 2016 yılından bu yana kişisel veri kavramına ve kişisel verilerin korunmasına yönelik çalışmalar gelişim göstermektedir. 1
6698 sayılı Kanun’un 3. maddesinde yapılan tanıma göre kişisel verilerin depolanması da kişisel verilerin işlenmesi kapsamında yer almaktadır. Bu nedenle kişisel verilerin depolandığı bulut ya da harici sunucularda veri güvenliğine ilişkin yükümlülüklerin yer aldığı 6698 sayılı Kanun’un 12. maddesinden kaynaklanan tedbirlere uygun hareket edilmek zorundadır.
Veri Merkezleri Türkiye İçin Neden Önemli?
Verilerin depolandığı veri merkezlerinin (“data centre”) Türkiye açısından önemli olmasının iki boyutu bulunmaktadır.
a. Bunlardan ilki 6698 sayılı Kanun’un yürürlüğe girmesinin akabinde oluşan devletin veri lokalizasyonu politikasıdır.
b. İkincisi ise Türkiye’nin küresel veri merkezi ekonomisinde talip olduğu rol ile ilgilidir.
Türkiye’nin Veri Lokalizasyonu Politikası
İlk olarak idarenin veri lokalizasyonuna ilişkin tercihleri ve gerekçeleri kısaca açıklanmalıdır. Giderek önemi ve işlenen miktarı artan kişisel verilerin güvenliğinin sağlanmasının bir boyutunu da bu verilerin tutulduğu alanlar oluşturmaktadır. Bu alanların Türkiye’de bulunması veri güvenliğine ilişkin önlemlerin denetlenebilmesine ve olası ihlal durumlarında veriler üzerinde kontrol sağlanmasına imkân tanıdığı için kişisel verilerin korunması amacına hizmet etmektedir. Nitekim Cumhurbaşkanlığı tarafından yayımlanan 2019/2 sayılı ve ‘Bilgi ve İletişim Güvenliği Tedbirleri’ konulu Genelge’de2 veri güvenliğinin milli güvenlik ve kamu düzeni ile ilişkisine değinilmiştir: “Bilginin dijital ortamlara taşınması, bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi yönetim sistemlerinin yaygın olarak kullanılması, ciddi güvenlik risklerini beraberinde getirmektedir. Karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla aşağıdaki tedbirlerin alınması uygun görülmüştür.” Bu nedenlerle gerek idarelerin kendi işlediği verilere gerek yerli ve yabancı özel hukuk kişilerinin işlediği verilere yönelik veri lokalizasyonu zorunlulukları bulunmaktadır.
İdarelere yönelik öngörülen zorunlulardan bir kısmı 2019/2 sayılı ve ‘Bilgi ve İletişim Güvenliği Tedbirleri’ konulu Genelge’de düzenlenmiştir. Buna göre;
i. Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
ii. Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.
Görüldüğü üzere hem bazı özel ve kritik verilerin yurtiçinde depolanması zorunluluğu hem de kamu kurum ve kuruluşlarının kendi özel depolama sistemlerini ve yerel bulut depolama hizmet sağlayıcılarını önceliklendirmesi genel bir yükümlülük olarak öngörülmüştür. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayınlanan Bilgi ve İletişim Güvenliği Rehberi’nde3 2019/2 sayılı Genelge ile belirlenen önlemler detaylandırılmıştır. Örneğin kamu kurumlarının mesajlaşma uygulaması olarak kendi uygulamalarını kullanmaları, böyle bir uygulama bulunmaması halinde sunucuları yurt içinde bulunan yerli ve milli uygulamaları tercih etmeleri bir tedbir olarak belirlenmiştir.
Ulaştırma ve Altyapı Bakanlığı tarafından yayımlanan Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda ise “yurt içinde üretilen verilerin yurt içinde kalması” siber tehditler karşısında kamu ve özel sektörün korunmasında anahtar rolü oynayacak bir faktör olarak belirlenmiştir.4
Kişisel verilere ilişkin veri lokalizasyonu zorunlulukları yalnızca kamuya yönelik değildir. Yerli ve yabancı özel hukuk kişilerine ilişkin de bu konuda yükümlülükler belirlenmiştir. Bu düzenlemelerin en bilinen örneklerinden biri sosyal ağ saylayıcılarına yönelik getirilen zorunluluktur. 5651 sayılı Kanun’un Ek-4. maddesinin 6. fıkrası ile 2020 yılında yapılan düzenlemeye göre “Türkiye’den günlük erişimi bir milyondan fazla olan yurt içi veya yurt dışı kaynaklı sosyal ağ sağlayıcı, Türkiye’deki kullanıcıların verilerini Türkiye’de barındırma yönünde gerekli tedbirleri alır.” Bu örnek dışında çeşitli Kanun, yönetmelik ve yönetmelik altı düzenleyici işlemlerle de belirli sektörlerde kişisel verilerin yurt içinde tutulmasına yönelik düzenlemeler yapılmıştır.5
Veri lokalizasyonuna ilişkin politikaların küresel ticaret ve Türkiye’ye yönelik yabancı yatırımlara engel olması noktasında belirli endişeler bulunmaktadır.6 Bu bağlamda veri lokalizasyonu politikalarının küresel veri aktarımına engel olmaması adına yapılan bir öneri Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve Birleşmiş Milletler Kalkınma Programı’nın (“UNDP”) birlikte hazırladığı Türkiye için Veri Yönetişimi Çerçevesi Öneri Raporu’nde yer bulmuştur.⁷ Söz konusu öneriye göre; veri lokalizasyonu önlemlerinin ticarete engel olmaması için kişisel veri ile kişisel olmayan veri ya da kritik veriler ile kritik olmayan veriler arasında ayrım yapılabilir. Bu şekilde bir ayrım yapılması halinde hem kişisel ve kritik veriler için veri lokalizasyonu sağlanabilecek hem de kişisel ve kritik olmayan verilerin serbest dolaşımı sağlanarak ticarete sekte vurulmamış olabilecektir.
Sanayi ve Teknoloji Bakanlığı’nın hazırladığı ‘Sanayi ve Teknoloji Stratejisi’ başlıklı raporda “Türkiye’de kalması stratejik olarak ve güvenlik açısından gerekli veri” ve “Türkiye’de kalması mevzuat ile tanımlanan veri” 8 gibi ibarelerin kullanılması tüm verilerin Türkiye’de kalması tercihi yerine veriler arasında bir ayrım yapılacağını göstermektedir. Bu durum, Türkiye’nin veri lokalizasyonu konusundaki tercihinin UNDP tarafından hazırlanan raporda belirlenen veri lokalizasyonu-küresel ticaret dengesi ile uyumlu olduğunu göstermektedir.
Veri Merkezlerinin Ekonomik Boyutu
Türkiye’nin veri merkezlerine yönelik yaklaşımının ikinci yönü olan dışa bağımlılığın azaltılması ve küresel veri merkezi ekonomisinden hedeflenen payın alınabilmesi 2019-2023 yıllarını kapsayan On Birinci Kalkınma Planı’nda bir politika olarak belirlenmiştir. 9
Kalkınma Planı’nda bir politika olarak belirlenmesinin sonucu olarak 2020-2025 yılları arasında Cumhurbaşkanlığı Yıllık Programı’nda veri merkezlerine yönelik hedeflere yer verilmiştir. 10
Örneğin 2025 yılı Yıllık Programı’nda Türkiye’nin veri depolama, işleme ve iletimi faaliyetleri kapsamında dışa bağımlılığının azaltılması ve bölgesel veri merkezi üssü olması için gerekli tedbirlerin alınacağı, veri merkezlerine yönelik güvenlik ve hizmet sunum standartları geliştirileceği belirtilmiştir. 11
Yalnızca Türkiye değil birçok Avrupa ülkesi de küresel veri merkezi ekonomisinden daha fazla pay alabilmek için rekabet halindedir. Örneğin Avrupa Birliği’nin kişisel verilerin Avrupa’da kalmasına yönelik politikası birçok küresel şirketin Avrupa’da veri merkezi yatırımı yapmasına neden olmuştur.12 Birçok ülke ise Avrupa’da giderek artacağı öngörülen veri merkezi pazarı için kendisini cazip kılacak özelliklerini ön plana çıkarmaya çalışmaktadır. 13
Veri merkezi ekonomisi yalnızca Avrupa’yı ilgilendirmemektedir. Yapay zeka kullanımının artması ile birlikte tüm dünyada veri merkezlerine yapılan yatırım miktarının artacağı öngörülmektedir. 14
Türkiye’de Veri Merkezleri İçin Öngörülen Teşvikler
Türkiye, küresel veri merkezi ekonomisinden pay alabilmek ve veri merkezi yatırımlarını kolaylaştırabilmek için yeni teşvik sisteminde veri merkezlerine de önemli bir yer ayırmıştır.
29 Mayıs 2025 tarih ve 9903 sayılı Yatırımlarda Devlet Yardımları Hakkında Karar’da (“Karar”) teşvik sistemi iki ana başlık etrafında şekillendirilmiştir. Bu başlıklardan birisi sektörel teşviklerdir. Sektörel teşvikler ise öncelikli yatırımlar teşvik sistemi ve hedef yatırımlar teşvik sisteminden oluşmaktadır.
Sektörel teşviklerin altında konumlanan öncelikli yatırımlar, Karar’ın 9. maddesinde belirlenmiştir. Söz konusu maddenin 1. fıkrasının (n) bendine göre “Tebliğ ile belirlenecek teknik şart ve standartları karşılayan ve asgari 3 megavat kurulu güç şartını sağlayan veri merkezi yatırımları” öncelikli yatırımlar arasında sayılmıştır. Aynı fıkranın (o) bendinde ise “Tebliğ ile belirlenecek teknik şart ve standartlara göre hizmet veren veri merkezlerinde bulut hizmeti sağlayıcıları tarafından yapılacak asgari 200 milyon TL tutarındaki yatırımlar” öncelikli yatırım olarak belirlenmiştir.
Sektörel teşviklerin ikinci başlığı olan hedef yatırımlar teşvik sistemi kapsamında desteklenecek yatırımlar arasında da veri merkezleri bulunmaktadır. Karar’ın Ek-3’ünde “tebliğ ile belirlenecek teknik şart ve standartları karşılayan ve asgari 500 kW kurulu güç şartını sağlayan veri merkezi yatırımları” hedef yatırımlar arasında sayılmıştır.
Proje bazlı teşvik sisteminin özel bir başlığı ise yüksek öncelikli teknoloji ürünlerini kapsayan HIT-30 programıdır. Bu program kapsamında sekiz ana yatırım alanı belirlenmiştir: yarı iletkenler, mobilite, yeşil enerji, ileri imalat, sağlıklı yaşam, dijital teknolojiler, haberleşme ve uzay, değer zincirini tamamlayıcı yatırımlar. HIT-30 Programı kapsamında veri merkezi yatırımları için toplam 1,5 Milyar USD destek bütçesi belirlenmiştir. Asgari 30 MW’lık bilgi teknolojileri kapasitesine sahip veri merkezi yatırımları, %50’ye varan vergi teşviğinde, yatırımın %10’u ölçeğinde enerji desteğinden ve istihdam desteklerinden faydalanabilecektir.15
Karar’da belirlenen teşvik sisteminin ikinci ana başlığı ise Türkiye Yüzyılı Kalkınma Hamlesi teşvikleridir. Bu başlık altında; Teknoloji Hamlesi, Yerel Kalkınma Hamlesi ve Stratejik Hamle Programı olmak üzere üç ayrı teşvik türü belirlenmiştir.
Yerel Kalkınma Hamlesi’nde Türkiye’de yer alan tüm iller hakkında illerin özelliklerine göre farklı yatırım türleri destek kapsamına alınmıştır.16 Bu kapsamda Nevşehir ilinde Yerel Kalkınma Hamlesi kapsamında desteklenecek yatırımlar arasında veri merkezleri de yer almıştır. Nevşehir özelinde veri merkezlerinin desteklenmesinin gerekçesi şu şekilde açıklanmıştır: “Nevşehir, volkanik jeolojisi, düşük afet riski ve 1.321 doğal deposuyla enerji verimliliğine sahip düşük kurulum ve işletme maliyetli altyapı sunmaktadır. İstanbul’a göre %45 daha düşük kurulum, %24 daha düşük soğutma gideriyle öne çıkan il, veri barındırma için stratejik bir konumdadır.”
Birçok teşvik türünde desteklenen veri merkezi hakkında yatırım yapan kimseler, yararlanılan teşvik türüne göre değişmekle birlikte KDV istisnası (makine, ekipman satın alımları, inşaat harcamaları gibi), gümrük vergisi muafiyetleri, vergi indirimi, işçi ve işveren sigorta primi hisse desteği, arazi desteği, faiz ve kâr payı desteği ve istihdam desteği gibi destek kalemlerinden yararlanabilecektir.
Görüldüğü üzere, Türkiye veri merkezlerini gerek kritik verileri ve belirli kişisel verileri yurt içinde tutabilmek gerek küresel veri merkezi piyasası için bir cazibe merkezi oluşturabilmek amacıyla bir irade ortaya koymaktadır. Bu iradeyi, teşvik sisteminde veri merkezlerine verdiği konum ve önem ile göstermektedir.
Türkiye’de veri merkezlerinin yapımı için teşvikler önemli olmakla birlikte veri merkezi yatırımları için hukuki belirlilik ve hukuki güvenlik ilkelerine uygun bir hukuki altyapının da oluşturulması gerekir.
Mevzuatta halihazırda veri merkezinin tanımını yapan bir düzenleme bulunmadığı gibi imar mevzuatında da veri merkezine özgü koşullar düzenlenmemiştir. Oysa veri merkezleri için kritik önemde olan enerji ve telekomünikasyon altyapılarının korunacağı düzenlemeler imar mevzuatında yapılmalıdır. Veri merkezi yakınlarında enerji ve telekomünikasyon altyapılarına zarar verebilecek çalışmaların önlenmesi veri merkezlerinin devamlılığı ve veri güvenliği için son derece önemlidir.
Veri merkezleri için oluşturulacak altyapı bakımından önem taşıyan ikinci önemli başlık ise veri merkezinde tutulan verilere erişimin güvenli bir hukuki rejime kavuşturulmasıdır. 7545 sayılı Siber Güvenlik Kanunu’nun 8. maddesinin 5. fıkrasına göre “Yetkilendirilmiş veri merkezi işletmecilerinin veri merkezlerinde sadece hâkim kararıyla arama, kopya çıkarma ve el koyma işlemi yapılabilir.” Konut, işyeri ve kamuya açık olmayan kapalı alanlarda gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının yazılı emriyle arama yapılabilirken yetkilendirilmiş veri merkezi işletmecilerinin veri merkezleri için mutlaka hakim kararı aranması veri merkezlerine özgü bir güvence oluşturmuştur.
Bu gibi düzenlemeler ile veri merkezinde yer alan kişisel verilerin güvence altına alınması ve kişisel verilerin korunması hakkı ile kamu düzeninin korunması arasında bir denge kurulması veri merkezi yatırımları için hukuki bir güvence sağlayacaktır.
1 Kişisel Verileri Koruma Kurulu kararları ve kişisel verileri koruma hukuku alanında yapılmış çalışmalar için bkz. Mehmet Bedii Kaya/Furkan Güven Taştan, Kişisel Verileri Koruma Hukuku, Açık Erişim, 2025, Link: https://mbkaya.com/hukuk/veri-koruma-hukuku.pdf, E.T. 31.10.2025.
2 R.G. T. 06.07.2019, S. 30823.
3 Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, Bilgi ve İletişim Güvenliği Rehberi, 2020.
4 Ulaştırma ve Altyapı Bakanlığı, Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023), s. 23.
5 Veri lokalizasyonuna ilişkin düzenlemeler için bkz. Kaya/ Taştan, Kişisel Verileri Koruma Hukuku, s. 1721.
6 Veri lokalizasyonu politikalarının ekonomik etkisine dair bir çalışma için bkz. Uluslararası Yatırımcılar Derneği, Türkiye’de Kişisel Veri Yerelleştirme Uygulamalarının Ekonomik Etki Analizi, 2022, https://yased-api.yased.org.tr/Uploads/Reports/YASED-Kisisel-Veri-Yerellestirme-Uygulamalarinin-Ekonomik-Etkisi.pdf, E.T. 01.11.2025.
7 United Nations Development Programme, Data Governance Framework Recommendation Report for Türkiye, 2024, s. 61.
8 Sanayi ve Teknoloji Bakanlığı, Sanayi ve Teknoloji Stratejisi, 2019, s. 78.
9 Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı, On Birinci Kalkınma Planı (2018-2023), s. 109.
10 Veri merkezlerine ilişkin hedefler 2024 Yıllık Program (s. 237), 2023 Yıllık Program (s. 201), 2022 Yıllık Program (s. 204), 2021 Yıllık Program (s. 221), 2020 Yıllık Program’da da (s. 217) yer almıştır.
11Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı, 2025 Yılı Cumhurbaşkanlığı Yıllık Programı, s. 221.
12 Ayşe Nur Akıncı, Büyük Veri Uygulamalarında Kişisel Veri Mahremiyeti, Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı, Uzmanlık Tezi, 2019, s. 77.]
13 Bu konuda Almanya özelinde yapılmış bir inceleme için bkz. https://www.wfw.com/articles/data-centres-an-international-legal-and-regulatory-perspective-spotlight-on-germany/, E.T. 31.10.2025; İspanya’yı ön plana çıkaran bir rapor için bkz. https://www.investinspain.org/content/icex-invest/en/noticias-main/2021/spain-attractive-countries-data-centres.html, E.T. 01.11.2025, https://www.cushmanwakefield.com/en/spain/news/2025/03/madrid-among-the-top-10-cities-for-data-center-infrastructure-in-emea, E.T. 01.11.2025; İspanya, İtalya ve Yunanistan’ın alan ve maliyet yönünden Avrupa pazarı için öne çıktığına dair rapor özeti için bkz. https://aijourn.com/europe-data-center-market-landscape-2025-2030-flap-d-markets-frankfurt-london-amsterdam-dublin-lead-the-sector-as-spain-italy-and-greece-gain-traction-due-to-space-and-cost-considerations/#:~:text=In%20the%20Nordic%20region%2C%20countries,geothermal%20energy%2C%20and%20government%20incentives., E.T. 01.11.2025; Kuzey Avrupa ülkelerinin veri merkezleri için ideal özelliklere sahip olduğuna dair inceleme için bkz. https://www.datacenters.com/news/are-we-overlooking-the-nordics-europe-s-silent-data-center-powerhouse, E.T. 01.11.2025.] Veri merkezi ekonomisi yalnızca Avrupa’yı ilgilendirmemektedir. Yapay zeka kullanımının artması ile birlikte tüm dünyada veri merkezlerine yapılan yatırım miktarının artacağı öngörülmektedir.[ Bkz. https://www.mckinsey.com/industries/technology-media-and-telecommunications/our-insights/the-cost-of-compute-a-7-trillion-dollar-race-to-scale-data-centers, E.T. 01.11.2025.
14 Bkz. https://www.mckinsey.com/industries/technology-media-and-telecommunications/our-insights/the-cost-of-compute-a-7-trillion-dollar-race-to-scale-data-centers, E.T. 01.11.2025.
15 Detay için bkz. https://hit30.sanayi.gov.tr/Home/Index
16 Detay için bkz. https://yerelkalkinmahamlesi.sanayi.gov.tr/turkiye-haritasi.
—
Daha fazla bilgi ve sorularınız için:
Av. Ömer Faruk Hansu – [email protected]
Dr. Kasım Ocak – [email protected]
dilpion.quest | +90 216 464 12 12
© Hansu Avukatlık Ortaklığı
Hansu Avukatlık Ortaklığı, yerli ve uluslararası müvekkillerine özellikle gayrimenkul, şirketler, vergi, enerji ve fikri mülkiyet hukuku alanında hizmet veren bir avukatlık ortaklığıdır. Bu makale Türkiye’de hukuk alanındaki gelişmeleri paylaşmak amacıyla hazırlanmıştır. Hukuki bir görüş veya yönlendirme olarak düşünülmemelidir. Özel sorular ve sorunlar bakımından hukuki danışman görüşü alınmalıdır.