Çoğu şirket GDPR uyumlu olduğunu düşünür çünkü “server Avrupa’da”. Ama gerçek şu:
EU server kullanmak = GDPR compliant olmak DEĞİLDİR.
Gerçek GDPR uyumluluğu, server lokasyonundan çok daha fazlasını içerir: sözleşmeler, veri akışı, subprocessor zinciri, güvenlik önlemleri ve veri ihlali süreçleri.
1. GDPR’da Hosting Sağlayıcı Rolü: Controller vs Processor
| Rol | Kim |
|---|---|
| Data Controller | Veriyi toplayan şirket |
| Data Processor | Hosting sağlayıcı |
| Subprocessor | Backup, CDN, e-mail servisleri |
GDPR Article 28’e göre controller, sadece yeterli güvenlik sağlayan processor’larla çalışabilir ve bu ilişki yazılı bir Data Processing Agreement (DPA) ile tanımlanmak zorundadır.
Kritik çıkarım: Hosting sağlayıcı seçmek = hukuki sorumluluk zinciri oluşturmak.
2. GDPR Uyumlu Hosting İçin Zorunlu Gereksinimler
| Gereksinim | Neden |
|---|---|
| DPA sözleşmesi | Article 28 zorunlu |
| Subprocessor listesi | Veri zinciri kontrolü |
| EU data residency | Veri transfer riskini azaltır |
| Encryption at rest | Veri ihlali riskini azaltır |
| Breach notification | 72 saat kuralı |
| Audit hakkı | Compliance kanıtı |
DPA olmadan GDPR uyumlu hosting yasal olarak mümkün değildir.
3. EU vs US Hosting – Performans Etkisi
| Lokasyon | EU kullanıcı latency |
|---|---|
| Almanya server | 18–40 ms |
| Londra server | 22–38 ms |
| New York server | 90–112 ms |
Transatlantik bağlantı yaklaşık 70–100 ms ekstra gecikme ekler.
Bir web uygulaması 30 request yapıyorsa:
| Lokasyon | Ek gecikme |
|---|---|
| EU server | ~0 ms |
| US server | 30 × 80 ms = 2400 ms |
Yani sadece server lokasyonu yüzünden sayfa 2.4 saniye daha geç yüklenebilir.
4. Sağlayıcı Karşılaştırması: Gerçek Fark Nerede?
| Kriter | Sağlayıcı A | Sağlayıcı B |
|---|---|---|
| DPA | Var | Yok |
| Subprocessor şeffaflığı | Var | Belirsiz |
| Veri lokasyonu | EU only | Global |
| Encryption | AES-256 | Belirsiz |
| Backup lokasyonu | EU | US |
| Audit hakkı | Var | Yok |
Gerçek fark hardware değil, compliance zinciri.
5. Real-World Senaryo
Stack:
- App server → Almanya
- Backup → ABD
- E-mail → ABD
- Analytics → ABD
Server EU’da ama veri ABD’ye gidiyor → GDPR risk.
Gerçek soru: Hosting şirketi veriyi nereye gönderiyor?
6. GDPR Hosting Vendor Checklist
- DPA imzalıyor musunuz?
- Subprocessor listesi var mı?
- Backup hangi ülkede?
- Loglar nerede tutuluyor?
- Support erişimi hangi ülkeden?
- Veri silme prosedürü var mı?
- Breach durumunda kaç saatte bildiriyorsunuz?
- Encryption at rest var mı?
- ISO 27001 var mı?
- SCC kullanıyor musunuz?
7. Risk Matrix
| Durum | Risk |
|---|---|
| EU server + DPA | Düşük |
| EU server + No DPA | Orta |
| US server + SCC | Orta |
| US server + No SCC | Yüksek |
| EU server + US backup | Orta |
| EU server + US subprocessor | Orta/Yüksek |
GDPR ihlal cezası: €20M veya global cironun %4’ü.
8. Sonuç: GDPR Uyumlu Hosting Nedir?
GDPR compliant hosting =
- EU veri lokasyonu
- DPA sözleşmesi
- Subprocessor kontrolü
- Encryption
- Breach notification süreci
- Audit hakkı
- Veri silme prosedürü
Sadece Avrupa server değildir.
Son Karar Framework
| Soru | Eğer cevap HAYIR ise |
|---|---|
| DPA var mı? | Alma |
| Backup EU’da mı? | Risk |
| Subprocessor listesi var mı? | Alma |
| Encryption var mı? | Alma |
| Veri transfer sözleşmesi var mı? | Alma |
CTA
Avrupa müşterileriniz varsa hosting sağlayıcınızı sadece performansa göre değil hukuki ve teknik compliance seviyesine göre seçmeniz gerekir.
Hosting sağlayıcı seçimi için teknik checklist kullanmadan karar vermeyin.
Internal Links:
- GDPR nedir ve neden önemli
- VPS vs Dedicated karşılaştırma
- Web hosting seçim rehberi
- Server güvenliği best practices