Data Sovereignty

30 Mar 2026

AI Verileriniz Neden Türkiye'de Kalmalı? Kurumsal Ekipler için Uyumluluk ve Altyapı Rehberi

Written by:

BaykAI Ekibi

a building that has a bunch of lights on it

Türkiye'deki her işletme şimdi aynı soruyu soruyor: Yabancı altyapıda AI çalıştırabilir miyiz ve uyumlu kalabilir miyiz?

Kısa cevap: giderek, hayır.

Uzun cevap, KVKK, BDDK düzenlemeleri, parlamentoda görüşülen bir yapay zeka yasası taslağı ve hükümetlerin veriyi egemen bir varlık olarak ele alma biçiminde küresel bir değişimi içeriyor. Bu makale, olan biteni, neden önemli olduğunu ve LLM’leri altyapınızda çalıştırdığınızda pratikte ne anlama geldiğini açıklıyor.

"Veri Egemenliği" AI için Gerçekten Ne Anlama Geliyor

Veri egemenliği, sadece verinizin nerede saklandığı ile ilgili değildir. Üç ayrı katmanı kapsar:

  1. Saklama yeri — Ham veriler fiziksel olarak nerede bulunuyor?

  2. İşlem yargı yetkisi — Veriler hangi yasalar altında işleniyor?

  3. Erişim kontrolü — O veriye yasal olarak erişim sağlayabilecek olan kim?

Çoğu işletme yalnızca birinci katmana odaklanıyor. Ancak AI iş yüklerini yürüttüğünüzde — LLM çıkarımı, ince ayar, RAG hatları — veriniz sadece saklanmaz. İşlenir, dönüştürülür ve çıktılar üretmek için kullanılır. Bu adımların her biri yargı alanı açılımı yaratır.

Yabancı bir LLM API'sine gönderdiğiniz komut dosyaları, verinizin o ülkenin yasal çerçevesi altında işlenmesi anlamına gelir. Bir modeli bir ABD veya AB bulut sağlayıcısı üzerinde ince ayar yaptığınızda, müşteri kayıtlarını, mali işlemleri veya özel belgeleri içerebilecek olan eğitim veriniz bir sınırı geçer.

Türk yasaları altında, bu gerçek bir risk yaratır.

Türkiye'deki Düzenleyici Gerçeklik: KVKK, BDDK ve AI Yasası Taslağı

KVKK (Kanun No. 6698) — Şimdi Daha Sıkı Uygulanıyor

Türkiye'nin Kişisel Verilerin Korunması Kanunu 2016'dan beri yürürlükte, ancak 2024 ve 2025, kapsam ve uygulama duruşunda önemli değişiklikler getirdi.

2025'teki değişiklikler şunları getirdi:

  • Daha geniş veri tanımları: Biyometrik, genetik ve konum verileri artık açıkça hassas olarak sınıflandırılıyor

  • Daha sıkı sınır ötesi transfer kuralları: Kuruluşlar artık yeterlilik kararlarını belgelendirmek veya Standart Sözleşmeli Maddeleri (SSM) uygulamak ve KVKK Otoritesine 5 iş günü içinde bildirimde bulunmak zorundadır

  • Yeni veri sahibi hakları: Veri taşınabilirliği ve otomatik kararlara itiraz hakkını içerir

  • Zorunlu Veri Koruma Görevlileri (DPO): Belirli veri işleme eşiklerini aşan kuruluşlar için zorunludur

  • 72 saatlik ihlal bildirimi: Hem KVKK Otoritesine hem de etkilenen bireylere bildirim zorunludur

Özellikle, yaptırımlar yoğunlaştırıldı. Ağustos 2024'te, VERBİS kayıt yükümlülüklerine uyumsuzluk nedeniyle 16.350 kuruluş denetimden geçirildi ve toplam ₺503.935.000 (yaklaşık €14 milyon) ceza verildi. Hem yurtiçi hem de yurtdışındaki veri kontrolü yapılan hedefler arasında kamu kuruluşları da yer aldı.

Kaynak: Prighter, "Türkiye'nin 2025’teki veri koruma manzarası"

BDDK — Bankacılık ve Finans Sektörü Özellikleri

Finansal kuruluşlar için, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tutarlı bir tutum sürdürmüştür: kontrol banka ile kalır. Bu, denetim izleri, veri izlenebilirliği ve AI sistemleri tarafından alınan kararların geri alınabilme yeteneği anlamına gelir.

Türkiye bankacılık sektörünün bir analizinde belirtildiği gibi, eğilim "bulut mu yerel mi" üzerine bir tartışma değil — tasarım gereği egemenlik yaklaşımıdır; burada LLM bankanın güvenlik duvarının arkasında çalışır ve tam bir denetim izi sağlanır.

Kaynak: CBOT.ai, "Bankacılıkta GenAI: Model Değil, Egemenlik"

Yasa Taslağı — Neler Geliyor

Haziran 2024'te, Türk Parlamento’suna bir yapay zeka yasası taslağı sunuldu. Bu, şunları tanıtıyor:

  • Yüksek riskli yapay zeka sistemleri için resmi kayıt gereksinimleri

  • AB AI Yasası ile uyumlu risk temelli yükümlülükler

  • Uyumsuz AI dağıtımları için yaptırımlar

Yasa henüz geçmedi, ancak yön net: Türkiye, AI'yi yerel denetim gerektiren yüksek riskli bir faaliyet olarak ele alan bir düzenleyici çerçeve inşa ediyor.

Kaynak: Nemko Digital, "Türkiye'de AI Düzenlemesi: KVKK, Risk Aşamaları, AB Uyum"

Küresel Bağlam: Veri Egemenliği Küresel Bir Değişimdir

Türkiye yalnız hareket etmiyor. Küresel bir düzenleyici yeniden yapılandırma süreci sürüyor:

  • AB Veri Yasası (Eylül 2025'te yürürlüğe girecek), egemenliği kişisel verilerin ötesine, sanayi ve kişisel olmayan verilere genişleterek, yasadışı üçüncü ülke erişimini yasaklıyor

  • ABD CLOUD Yasası, Amerikan yetkililerinin, fiziksel konum ne olursa olsun, ABD sağlayıcılarında tutulan verilerin açıklanmasını zorunlu kılmasına olanak tanır — bu, AB ve Türkiye'deki egemenlik çabalarıyla doğrudan çelişmektedir

  • Gartner öngörüyor ki, dünyanın %75'i modern gizlilik düzenlemeleri altında faaliyette bulunacak

  • Örgütlerin %71'i, 2025'teki en büyük düzenleyici zorluklarının sınır ötesi veri transferi uyumu olduğunu belirtmektedir

Kaynak: SecurePrivacy, "Veri Gizliliği Eğilimleri 2026"

Bu, AI iş yükleriniz için ABD veya AB bulut sağlayıcısını seçmenin, yalnızca bir KVKK sorunu yaratmadığı anlamına gelir. Bu, yapısal bir açılım yaratır: o sağlayıcının ana ülke yasaları, verinize erişimi zorunlu kılabilir, sizin bilginiz olmadan veya rızanız olmadan.

LLM'leri Çalıştırdığınızda Bu Ne Anlama Geliyor

Bunu somutlaştıralım. Yabancı altyapıda çalıştırıldığında, sınır ötesi veri açılımı oluşturabilecek belirli AI iş yükü şunlardır:

İş Yükü

İlgili Veri

Risk

LLM Çıkarımı (API çağrıları)

Komut dosyaları, bağlam, belgeler

Yabancı yargı alanında işleniyor

İnce Ayar

Eğitim veri setleri (genellikle özel veya müşteri verileri)

Yurtdışında transfer edildi ve saklandı

RAG Hatları

İndeksli belgeler, gömme

Yurtdışında işleniyor ve saklanıyor

Gömme Modelleri

Belge içeriği

İşleme için transfer edildi

AI Ajanı İş Akışları

İç veri ile çok adımlı akıl yürütme

Her adımda tamamen veri açılımı

Bu iş yüklerinin her biri — yurtdışı altyapıda çalıştırıldığında — potansiyel olarak şunları oluşturabilir:

  • KVKK SSM belgelendirmesi gerektiren bir sınır ötesi veri transferi

  • Yabancı hükümetlerin zorunlu erişim açılımı (ABD CLOUD Yasası)

  • Düzenlemeye tabi endüstriler için denetim izi açığı

Pratik Kontrol Listesi: AI Dağıtımınız Uyumlu mu?

Herhangi bir LLM bazlı sistemi dağıtmadan önce, ekibinizin şu soruları yanıtlayabilmesi gerekir:

  • [ ] Çıkarım fiziksel olarak nerede çalışıyor? Hangi ülkenin yasaları uygulanıyor?

  • [ ] Eğitim verisi Türkiye’den çıkıyor mu? Hangi yasal temele dayanıyor?

  • [ ] Sınır ötesi transferler için SSM'leriniz var mı?

  • [ ] AI veri işlemenizi denetleyen bir DPO var mı?

  • [ ] Düzenlemeye tabi süreçler için tam bir denetim izi üretebilir misiniz?

  • [ ] Gömme depolarınız ve vektör veritabanlarınız Türkiye’de fiziksel olarak mı bulunuyor?

  • [ ] İnce ayar yapılmış modeliniz yurtiçinde mi saklanıyor?

Bu sorulardan herhangi biri belirsizse, dağıtımınız muhtemelen uyum eksikliklerine sahiptir.

Egemen AI Altyapısının Pratikte Ne Göründüğü

Veri egemenliği ile AI çalıştırmak, yığınınızın her katmanının Türkiye’de kalması anlamına gelir:

Çıkarım — API çağrılarınız Türkiye sınırlarını asla geçmez. Hiçbir veri yabancı yargı altında işlenmez.

İnce ayar — Eğitim veriniz, Türkiye’de fiziksel olarak bulunan GPU kümelerine yüklenir ve işlenir. Elde edilen model ağırlıkları Türkiye’de kalır.

Gömme ve vektör depoları — Özel içeriğinizin türev temsilleri olan belge gömmeleriniz yurtiçinde hesaplanır ve saklanır.

Dağıtım — Üretim modeliniz, Türkiye altyapısında veya kendi veri merkezinizde yerinde çalışır.

Bu, BaykAI'nin işletme modeliyle örtüşmektedir: NVIDIA B200, H100 ve A100 GPU kümeleri, Türkiye’de fiziksel olarak %100 bulunur ve en sıkı veri ikamet gereksinimleri için organizasyonlar için yerinde dağıtım seçenekleri sunarak tam API uyumluluğu sağlar.

Sıkça Sorulan Sorular

Yabancı bir LLM API'sini kullanıp KVKK ile uyumlu olabilir miyim?
Bu, gönderdiğiniz verilere bağlıdır. Anonim, kişisel olmayan sorgular göndermek daha düşük riskli olabilir, ancak çoğu gerçek işletme kullanım durumu müşteri verileri, iç belgeler veya finansal kayıtlar içerir. Bu durumlarda, sınır ötesi transferler yasal temele ve SSM belgelendirmesine ihtiyaç duyar. 2025'teki uygulama trendi, bunun aktif olarak incelendiğini göstermektedir.

Yerli kurulum tek uyumlu seçenek mi?
Zorunlu değil. Altyapısı fiziksel olarak Türkiye'de bulunan ve Türk yasalarına tabi olan yerli bir bulut sağlayıcısı, çoğu kullanım durumu için yerinde dağıtıma eşdeğer koruma sağlayabilir. Anahtar, yargı alanı netliğidir: verilerin Türk yasaları altında işlenmesi gerekir, yabancı yasalar altında değil.

ABD CLOUD Yasası ne olacak?
Eğer AI sağlayıcınız ABD'de kurulmuşsa, ABD yetkilileri, CLOUD Yasası kapsamında verilerinizin açıklanmasını talep edebilir; bu, verilerin fiziksel olarak nerede saklandığına bakılmaksızın geçerlidir. Bu, hassas veriler için ABD merkezli AI sağlayıcılarını kullanan herhangi bir Türk işletmesi için yapısal bir risktir.

Bu sadece altyapı değil, aynı zamanda SaaS AI araçlarını da mı kapsar?
Evet. Verilerinizi AI kullanarak işleyen herhangi bir SaaS aracı — belgeleri özetleme, müşteri destek AI, iç arama araçları dahil — AI işlemesinin Türkiye dışında gerçekleşmesi durumunda aynı yargı alanı açılımını oluşturur.

Sonuç

Soru artık Türk işletmelerinin AI veri egemenliği konusunda endişelenip endişelenmemesi değil. Düzenleyiciler bu soruyu cevapladı. Soru, hem yetenekli hem de uyumlu bir AI altyapısının nasıl inşa edileceğidir.

Bu, şunu gerektirir:

  1. Her AI iş yükünün nerede çalıştığını ve hangi yasaların uygulandığını anlamak

  2. Sınır ötesi transferleri doğru yasal temele (veya kaldırarak) belgelendirmek

  3. Yargı alanı netliği sağlayan, yalnızca coğrafi yakınlık değil, altyapı seçmek

Türkiye şimdi, ülke sınırları dışına veri çıkmadan son teknoloji LLM’leri, ince ayar iş yüklerini ve kurumsal AI hatlarını çalıştırabilen yerel GPU altyapısına sahiptir.

Yabancı AI altyapısının uyum riski artık teorik değil. Uygulama verileri bunu açıkça ortaya koymaktadır.

Kaynaklar

  1. Prighter — Türkiye'nin 2025’teki veri koruma manzarası

  2. Nemko Digital — Türkiye'de AI Düzenlemesi: KVKK, Risk Aşamaları, AB Uyum

  3. CookieYes — Türkiye Kişisel Verilerin Korunması Kanunu (KVKK) Rehberi

  4. Alfalaw — KVKK 2025 Güncellemeleri: Şirketler için Bir Uyumluluk Kılavuzu

  5. Alfalaw — KVKK 2026 Taslak Değişikliğinde Yol Almak

  6. SecurePrivacy — Veri Gizliliği Eğilimleri 2026

  7. CBOT.ai — Bankacılıkta GenAI: Model Değil, Egemenlik

  8. Anadolu Ajansı — Türkiye, egemen yapay zeka altyapısı oluşturacak

BaykAI, Türkiye'de %100 bulunan kurumsal düzeyde LLM çıkarımı, ince ayar ve GPU altyapısı sağlar.

Share this post:

SSS

Sorularınız mı var? Cevaplarımız hazır.

Geliştirmeye başlamadan önce bilmeniz gereken her şey.

BaykAI LLM Servis Platformu nedir?

BaykAI; tamamı Türkiye lokasyonlu NVIDIA donanımları üzerinde çalışan, kurumsal düzeyde dil modeli çıkarımı (LLM inference), ince ayar (fine-tuning) ve GPU altyapısı sağlayan bir platformdur. Modellere API üzerinden erişim, kurum verileriyle özelleştirme veya yerinde (on-premise) kurulum imkanları sunulmaktadır.

Hangi modeller mevcut?

Llama, Mistral ve Qwen başta olmak üzere, sektörün önde gelen açık kaynaklı modelleri desteklenmektedir. Ayrıca platform, kurumların kendi modellerini getirmesine (Bring Your Own Model) de olanak tanır.

Altyapı nerede bulunuyor?

Tüm GPU kaynakları (clusters) fiziksel olarak Türkiye sınırlarındadır. Veri güvenliği kapsamında, verileriniz hiçbir aşamada ülke dışına çıkmaz.

Hangi GPU donanımlarını kullanıyorsunuz?

Toplamda 100’den fazla NVIDIA B200, H100 ve A100 GPU işletilmektedir. BaykAI tarafından sunulan B200 altyapısı, Türkiye’deki ilk ve tek örnek olma özelliğini taşımaktadır.

İnce ayar (fine-tuning) süreci nasıl işler?

Eğitim verilerinin platforma yüklenmesinin ardından uzman ekibimiz; SFT (Denetimli İnce Ayar), pekiştirmeli öğrenme ve kuantizasyon odaklı eğitimler dahil olmak üzere tüm süreci yönetmektedir. Süreç sonunda, kurumun kullanım senaryosuna göre optimize edilmiş, size özel bir model yapısı oluşturulur.

Kendi altyapımda kurulum yapabilir miyim?

Evet. BaykAI tam yerinde (on-premise) kurulum modelini desteklemektedir. Modellerin, mevcut API arayüzü ile kurumun kendi donanımları üzerinde çalışması için altyapı ekiplerinizle koordineli bir çalışma yürütülmektedir.

Hangi uyumluluk standartlarını karşılıyorsunuz?

BaykAI, regülasyona tabi sektörlerin (Finans, Sağlık, Kamu vb.) ihtiyaçlarına uygun olarak tasarlanmıştır. Tüm veri işleme süreçleri Türkiye sınırları içinde gerçekleşmekte; özel veri saklama ve erişim kontrol politikaları (access control) eksiksiz şekilde desteklenmektedir.

SSS

Sorularınız mı var? Cevaplarımız hazır.

Geliştirmeye başlamadan önce bilmeniz gereken her şey.

BaykAI LLM Servis Platformu nedir?

BaykAI; tamamı Türkiye lokasyonlu NVIDIA donanımları üzerinde çalışan, kurumsal düzeyde dil modeli çıkarımı (LLM inference), ince ayar (fine-tuning) ve GPU altyapısı sağlayan bir platformdur. Modellere API üzerinden erişim, kurum verileriyle özelleştirme veya yerinde (on-premise) kurulum imkanları sunulmaktadır.

Hangi modeller mevcut?

Llama, Mistral ve Qwen başta olmak üzere, sektörün önde gelen açık kaynaklı modelleri desteklenmektedir. Ayrıca platform, kurumların kendi modellerini getirmesine (Bring Your Own Model) de olanak tanır.

Altyapı nerede bulunuyor?

Tüm GPU kaynakları (clusters) fiziksel olarak Türkiye sınırlarındadır. Veri güvenliği kapsamında, verileriniz hiçbir aşamada ülke dışına çıkmaz.

Hangi GPU donanımlarını kullanıyorsunuz?

Toplamda 100’den fazla NVIDIA B200, H100 ve A100 GPU işletilmektedir. BaykAI tarafından sunulan B200 altyapısı, Türkiye’deki ilk ve tek örnek olma özelliğini taşımaktadır.

İnce ayar (fine-tuning) süreci nasıl işler?

Eğitim verilerinin platforma yüklenmesinin ardından uzman ekibimiz; SFT (Denetimli İnce Ayar), pekiştirmeli öğrenme ve kuantizasyon odaklı eğitimler dahil olmak üzere tüm süreci yönetmektedir. Süreç sonunda, kurumun kullanım senaryosuna göre optimize edilmiş, size özel bir model yapısı oluşturulur.

Kendi altyapımda kurulum yapabilir miyim?

Evet. BaykAI tam yerinde (on-premise) kurulum modelini desteklemektedir. Modellerin, mevcut API arayüzü ile kurumun kendi donanımları üzerinde çalışması için altyapı ekiplerinizle koordineli bir çalışma yürütülmektedir.

Hangi uyumluluk standartlarını karşılıyorsunuz?

BaykAI, regülasyona tabi sektörlerin (Finans, Sağlık, Kamu vb.) ihtiyaçlarına uygun olarak tasarlanmıştır. Tüm veri işleme süreçleri Türkiye sınırları içinde gerçekleşmekte; özel veri saklama ve erişim kontrol politikaları (access control) eksiksiz şekilde desteklenmektedir.

SSS

Sorularınız mı var? Cevaplarımız hazır.

Geliştirmeye başlamadan önce bilmeniz gereken her şey.

BaykAI LLM Servis Platformu nedir?

BaykAI; tamamı Türkiye lokasyonlu NVIDIA donanımları üzerinde çalışan, kurumsal düzeyde dil modeli çıkarımı (LLM inference), ince ayar (fine-tuning) ve GPU altyapısı sağlayan bir platformdur. Modellere API üzerinden erişim, kurum verileriyle özelleştirme veya yerinde (on-premise) kurulum imkanları sunulmaktadır.

Hangi modeller mevcut?

Llama, Mistral ve Qwen başta olmak üzere, sektörün önde gelen açık kaynaklı modelleri desteklenmektedir. Ayrıca platform, kurumların kendi modellerini getirmesine (Bring Your Own Model) de olanak tanır.

Altyapı nerede bulunuyor?

Tüm GPU kaynakları (clusters) fiziksel olarak Türkiye sınırlarındadır. Veri güvenliği kapsamında, verileriniz hiçbir aşamada ülke dışına çıkmaz.

Hangi GPU donanımlarını kullanıyorsunuz?

Toplamda 100’den fazla NVIDIA B200, H100 ve A100 GPU işletilmektedir. BaykAI tarafından sunulan B200 altyapısı, Türkiye’deki ilk ve tek örnek olma özelliğini taşımaktadır.

İnce ayar (fine-tuning) süreci nasıl işler?

Eğitim verilerinin platforma yüklenmesinin ardından uzman ekibimiz; SFT (Denetimli İnce Ayar), pekiştirmeli öğrenme ve kuantizasyon odaklı eğitimler dahil olmak üzere tüm süreci yönetmektedir. Süreç sonunda, kurumun kullanım senaryosuna göre optimize edilmiş, size özel bir model yapısı oluşturulur.

Kendi altyapımda kurulum yapabilir miyim?

Evet. BaykAI tam yerinde (on-premise) kurulum modelini desteklemektedir. Modellerin, mevcut API arayüzü ile kurumun kendi donanımları üzerinde çalışması için altyapı ekiplerinizle koordineli bir çalışma yürütülmektedir.

Hangi uyumluluk standartlarını karşılıyorsunuz?

BaykAI, regülasyona tabi sektörlerin (Finans, Sağlık, Kamu vb.) ihtiyaçlarına uygun olarak tasarlanmıştır. Tüm veri işleme süreçleri Türkiye sınırları içinde gerçekleşmekte; özel veri saklama ve erişim kontrol politikaları (access control) eksiksiz şekilde desteklenmektedir.

Başlayın

Türkiye'nin Egemen Yapay Zeka altyapısıyla geliştirmeye başlayın.

Saniyeler içinde API anahtarınızı alın. Dakikalar içinde ilk modelinizi çalıştırın.

API Anahtarı Al

Ekibimizle Konuşun

Ekibimizle Konuşun

Başlayın

Türkiye'nin Egemen Yapay Zeka altyapısıyla geliştirmeye başlayın.

Saniyeler içinde API anahtarınızı alın. Dakikalar içinde ilk modelinizi çalıştırın.

API Anahtarı Al

Ekibimizle Konuşun

Ekibimizle Konuşun

Create a free website with Framer, the website builder loved by startups, designers and agencies.