Off-shore şirketler uzun yıllardır “gizlilik” ile anılır. Ancak bugün gizlilik, artık yalnızca bir ülkenin şirket sicilinin kapalı olmasına dayanmaz. Veri çağında gerçek gizlilik; kişisel veriyi nerede, nasıl işlediğinizi bilmek, sınır ötesi aktarımı doğru kurgulamak ve siber güvenliği uçtan uca yönetmekle mümkün olur. Aksi hâlde off-shore yapı, avantaj yerine yüksek ceza riski, itibar kaybı ve operasyonel kırılganlık yaratır.
Bu yazıda off-shore şirketlerde gizlilik ve güvenliği; UBO (nihai faydalanıcı) şeffaflığı, CRS/OECD raporlama yükümlülükleri, GDPR gibi “ülke dışına taşan” kurallar ve pratik siber güvenlik kontrolleri üzerinden ele alıyoruz. Amaç, “anonimlik” miti yerine uyumlu gizlilik yaklaşımını netleştirmek.
Off-shore’da gizlilik ne demektir, ne değildir?
Off-shore yapılarda gizlilik, genellikle iki katmanda ortaya çıkar: (1) Kurumsal kayıtların kamuya açıklık düzeyi, (2) Operasyon sırasında işlenen verilerin korunması. Birçok kişinin karıştırdığı nokta şudur: Gizlilik, hukuki yükümlülüklerden kaçınmak değildir. Günümüzde pek çok ülkede “tam anonimlik” yaklaşımı, 2010’lardan itibaren artan şeffaflık ve raporlama standartlarıyla fiilen sona erdi.
Off-shore şirketlerin sunduğu “yapısal gizlilik” hâlâ mümkündür; ancak bu gizlilik yasal çerçeve içinde tasarlanır. Örneğin kamuya açık olmayan siciller, profesyonel vekil/registered agent yapıları ve belirli yargı alanlarında güçlü gizlilik hükümleri, sahiplik bilgilerinin herkes tarafından kolayca görünmesini önleyebilir. Buna karşılık, bankacılık süreçleri ve uluslararası raporlama (CRS gibi) nedeniyle yetkili otoriteler nezdinde şeffaflık artmıştır.
Asıl zorluk: Off-shore şirketiniz “hafif düzenlemeli” bir yerde olsa bile GDPR ve benzeri kurallar sizi bulabilir
Bir off-shore ülkesinde şirket kurduğunuzda (ör. BVI, Cayman Islands, Nevis, Belize gibi), yerel çerçeve nispeten “light-touch” görünebilir. Fakat modern veri koruma rejimleri, faaliyetinizin hedeflediği pazara göre ülke dışı (extraterritorial) etki yaratır.
GDPR (AB): Sadece AB’de şirkete sahip olmak değil, AB verisini işlemek belirleyici
GDPR, AB’de yerleşik olmasanız bile; AB’deki kişilere mal/hizmet sunuyor veya AB’deki kişilerin davranışlarını izliyorsanız uygulanabilir. Off-shore bir yapının e-ticaret, SaaS, finansal hizmet, danışmanlık, müşteri destek, analitik/izleme gibi faaliyetleri varsa GDPR kapsamına girmesi oldukça yaygındır.
GDPR uyumu için özellikle şu başlıklar kritik olur:
- Veri minimizasyonu ve amaçla sınırlılık: “İleride lazım olur” yaklaşımı GDPR mantığıyla çelişir.
- Açık rıza / hukuki işleme şartı: Pazarlama, çerezler, hassas veri gibi alanlarda daha sıkı kurallar devreye girer.
- Sınır ötesi veri aktarımı araçları: AB dışına aktarımda çoğu senaryoda Standard Contractual Clauses (SCC) veya kurumsal ölçekte Binding Corporate Rules (BCR) gibi mekanizmalar gerekir.
- Temsilci (representative) gereksinimi: Bazı senaryolarda AB’de temsilci atamak gündeme gelebilir.
GDPR’ın AB dışına veri aktarımı mantığını anlamak için Avrupa Komisyonu’nun resmi özet sayfası yol göstericidir: AB dışına kişisel veri aktarımında hangi kurallar uygulanır?
CPRA/CCPA (Kaliforniya): Analitik ve destek ekipleri bile kapsam yaratabilir
ABD’de federal anlamda tek bir “GDPR benzeri” birleşik yasa olmasa da eyalet bazlı düzenlemeler ciddi yük yaratır. CPRA/CCPA, Kaliforniya sakinlerinin verilerine erişen veya onları işleyen yapılarda; şeffaflık, hassas veri yönetimi, tedarikçi denetimleri ve veri akışı görünürlüğü gibi alanları öne çıkarır.
Off-shore yapılar için tipik tetikleyiciler:
- Müşteri destek operasyonunun veya CRM’in Kaliforniya verisine erişmesi
- Web analitiği, reklam teknolojileri ve izleme araçları
- “Vendor / service provider” zincirinde alt yüklenicilerin belirsizliği
APAC (PIPL/DPDP/PDPL): Veri yerelleştirme ve transfer onay süreçleri
Çin (PIPL), Hindistan (DPDP) ve Endonezya (PDPL) gibi rejimler; veri yerelleştirme, yerel temsilci, belli transferlerin ön onaya tabi olması ve sınır ötesi akışlarda sıkı rıza gereklilikleri gibi başlıkları öne çıkarır. Off-shore şirketiniz bu pazarlarda kullanıcıya hizmet veriyorsa, “veriyi nerede tutuyorsunuz?” sorusu sadece teknik değil, doğrudan hukuki bir meseleye dönüşür.
Gizliliği hâlâ mümkün kılan off-shore özellikler: Doğru kurguda “görünürlük” kontrolü
Günümüzde off-shore yapıların sağladığı avantaj, “tam anonimlik” değil; kamusal görünürlüğün yönetilmesi ve işin doğasına uygun bir kurumsal mimari kurabilmektir. Bu kapsamda öne çıkan mekanizmalar:
- Yargı alanı seçimi: Bazı ülkeler UBO bilgilerinde kamuya açıklığı sınırlar; sicil erişimini daha kontrollü yönetir.
- Nominee director/shareholder: Kamusal kayıtlarda isim görünürlüğünü azaltabilir; ancak bu kayıtlar genellikle güvenilir bir aracı/ajan nezdinde tutulur ve mevzuat gereği yetkili otoritelere açıklanabilir.
- Çok katmanlı yapılandırma: Trust/vakıf + şirket kombinasyonları veya farklı ülkelerde ayrı varlıklar ile varlık sahipliği ve operasyon ayrıştırılabilir.
- Bankacılık gizliliği: Bazı bankalar güçlü gizlilik uygulamalarına sahip olsa da CRS ve benzeri raporlama rejimleri nedeniyle vergi otoriteleri düzeyinde raporlama gündeme gelebilir.
Buradaki kritik çizgi şudur: Şeffaflık rejimleri (UBO, CRS vb.) ile gizlilik hedefinizi çatıştırmadan bir yapı kurmak gerekir. Aksi hâlde şirketinizin gizlilik avantajı, “uyumsuzluk riski”ne dönüşür.
UBO şeffaflığı ve CRS: Opaklık ile uyum arasındaki gerilim
Off-shore şirketler, kamuya açık sicil üzerinden daha az bilgi yayınlayabilir. Ancak uluslararası vergi şeffaflığı standartları ve finansal kurumların KYC/AML yükümlülükleri nedeniyle, bankalar ve hizmet sağlayıcılar nihai faydalanıcı (UBO) bilgilerini talep eder.
Bu durum iki gerilim doğurur:
- Kurumsal gizlilik hedefi (iş ortakları/rakipler nezdinde görünürlüğü azaltmak)
- Regülatif şeffaflık zorunluluğu (vergi otoriteleri ve finansal sistem içinde izlenebilirlik)
Çözüm, “gizlemek” değil; doğru gerekçeyle, doğru kapsamda ve doğru dokümantasyonla hareket etmektir. Kurum içi veri yönetişimi, sözleşmesel korumalar ve güvenlik kontrolleri bu noktada belirleyici olur.
Off-shore operasyonlarda güvenlik: Yargı alanı tek başına korumaz
Veri ihlallerinin önemli bir kısmı, yalnızca “hack” senaryolarından değil; insan hatası, zayıf erişim kontrolü, kötü tedarikçi yönetimi ve yanlış yapılandırılmış bulut servislerinden kaynaklanır. Off-shore kurulum, bu riskleri azaltmaz; hatta tedarikçi zinciri uzadıkça risk artabilir.
Tedarikçi (vendor) seçimi: Sertifikalar ve denetim kültürü
Off-shore şirketiniz muhasebe, payroll, müşteri destek, yazılım geliştirme veya back-office süreçlerini dışarıdan alıyorsa; veri güvenliği doğrudan tedarikçinizin olgunluğuna bağlıdır. Bu nedenle seçim kriterlerini “maliyet” ekseninden çıkarıp “güvenlik” eksenine oturtmak gerekir.
- ISO 27001 / ISO 27701 veya SOC 2 gibi çerçevelere yakın pratikler
- Yazılı bilgi güvenliği politikaları, olay müdahale prosedürleri
- Alt yüklenici (sub-processor) şeffaflığı
- Denetim hakkı ve raporlama disiplini
Sözleşmesel koruma: NDA yeterli değildir
Gizlilik sözleşmesi (NDA) tek başına veri korumaz. Off-shore yapılarda sözleşmelerin; veri işleme rollerini (controller/processor), ihlal bildirim sürelerini, teknik önlemleri, aktarım mekanizmalarını ve denetim/raporlama hükümlerini netleştirmesi gerekir.
- Veri işleme ekleri (DPA): GDPR uyumlu rol ve yükümlülük tanımı
- İhlal yönetimi: Kim, ne kadar sürede, hangi formatta bildirecek?
- Veri saklama ve imha: Sözleşme bitince veri nasıl silinecek/anonimleşecek?
- Aktarım araçları: SCC/BCR gibi mekanizmaların sözleşmeye bağlanması
Teknik kontroller: Minimum güvenlik paketi
Off-shore şirketlerde “minimum güvenlik paketi”, hem bulut hem cihaz hem kullanıcı erişimi katmanında uygulanmalıdır. Aşağıdaki çerçeve, pratik bir başlangıç sağlar:
- Şifreleme: İletimde SSL/TLS; depolamada güçlü şifreleme ve mümkünse anahtar yönetimi (HSM yaklaşımı)
- Erişim yönetimi: Least privilege, MFA, rol tabanlı erişim, cihaz doğrulama
- İzleme ve tespit: SIEM/SOAR yaklaşımı, EDR, düzenli pen test ve zafiyet taramaları
- Ağ güvenliği: Firewall, IDS/IPS ve mantıksal segmentasyon
- Eğitim: GDPR/CCPA farkındalığı, phishing simülasyonları, veri sınıflandırma
Uyumlu veri mimarisi: “Hibrit onshore-offshore” yaklaşımı ne zaman mantıklı?
Bazı şirketler için en güçlü çözüm, veriyi tek bir ülkede tutmak değil; veri türüne göre ayrıştırmak olur. Örneğin:
- AB kişisel verisi AB/EEA içinde veya uygun aktarım mekanizmalarıyla yönetilen bir altyapıda kalır.
- Off-shore yapı; IP, holding, faturalama ve belirli operasyonel fonksiyonları yürütür; ancak kişisel veri temasını minimize eder.
- Erişim; “managed access” ve ayrıntılı loglama ile kontrol edilir.
Bu mimari, hem regülasyon uyumunu kolaylaştırır hem de olası bir ihlalde etki alanını küçültür. Ancak doğru çalışması için veri envanteri ve veri akış haritası şarttır.
Riskler: Cezalar, itibar kaybı ve operasyonel kesinti
Off-shore yapılarda temel risk seti üç başlıkta toplanır:
- Düzenleyici yaptırımlar: GDPR ihlallerinde idari para cezaları, bazı senaryolarda küresel cironun %4’üne kadar ulaşabilen üst sınırlar ile anılır.
- Veri ihlali maliyeti: Olay müdahale, müşteri bildirimleri, sözleşmesel tazminatlar, hizmet kesintileri.
- Şeffaflık-gizlilik çelişkisi: UBO/CRS/KYC talepleri ile “gizlilik” hedefini yanlış yönetmek; banka hesabı açılışlarının reddi, ilişki kesilmesi veya raporlama riskleri doğurabilir.
Adım adım yol haritası: Off-shore şirkette gizlilik ve güvenliği nasıl kurarsınız?
Aşağıdaki sıra, hem uyumu hem güvenliği birlikte ele alan pratik bir çerçeve sunar:
- 1) Veri envanteri çıkarın: Hangi kişisel veri nerede, kimde, ne kadar süre tutuluyor?
- 2) Veri akışlarını haritalayın: Off-shore, onshore, tedarikçiler, bulut servisleri arasında veri nasıl dolaşıyor?
- 3) Hukuki dayanakları netleştirin: Rıza mı, sözleşme mi, meşru menfaat mi? Ülke bazlı farkları değerlendirin.
- 4) Sınır ötesi aktarımı kurgulayın: SCC/BCR gereksinimi, yerelleştirme zorunluluğu, temsilci ihtiyacı.
- 5) Tedarikçi yönetişimi kurun: DPA’lar, denetim hakları, alt yüklenici kontrolü, SLA’lar.
- 6) Teknik kontrolleri standardize edin: MFA, şifreleme, loglama, olay müdahale planı, yedekleme.
- 7) İhlal senaryolarını test edin: Tabletop egzersizleri, sızma testleri, bildirim akışı.
- 8) Süreklilik sağlayın: Eğitim, periyodik denetim, RegTech ile izleme ve dokümantasyon.
Corpenza perspektifi: Yapı kurarken “gizlilik hedefi” ile “uyum gereği”ni birlikte tasarlamak
Off-shore şirket kuruluşu tek başına bir “gizlilik çözümü” değildir. Gerçek değer; şirketin faaliyet modeli, hedef pazarları ve veri işleme gerçekliğiyle uyumlu bir yapı tasarladığınızda ortaya çıkar. Kuruluş aşamasında yanlış kurgulanan sahiplik/operasyon akışı, sonraki aşamada banka süreçlerini zorlaştırabilir; veri aktarımında SCC/BCR gibi araçların yanlış uygulanması ise hem hukuki hem ticari risk yaratabilir.
Corpenza, uluslararası şirketleşme ve mobilite projelerinde; yargı alanı seçimi, kurumsal yapılandırma, global operasyonların (muhasebe, payroll/EOR, personel modelleri) kurgulanması ve sınır ötesi süreçlerin dokümante edilmesi gibi konularda şirketlerin daha öngörülebilir bir çerçevede ilerlemesine destek olur. Bu yaklaşım, “gizlilik” hedefini korurken şeffaflık ve uyum gerekliliklerini ihmal etmemenizi sağlar.
Sonuç: Off-shore’da sürdürülebilir gizlilik, güvenlik ve uyumla mümkündür
Off-shore şirketler hâlâ önemli bir gizlilik katmanı sağlayabilir; ancak bu katman artık “saklanma” değil, kontrollü görünürlük ve uyumlu veri yönetişimi anlamına gelir. GDPR, CPRA/CCPA ve APAC düzenlemeleri gibi ülke dışına taşan kurallar; nerede kurulduğunuzdan çok, kimin verisini işlediğinize bakar.
Bu nedenle en doğru yaklaşım; yargı alanını, kurumsal katmanları, bankacılık ve raporlamayı, veri mimarisini ve siber güvenliği tek bir resmin parçaları olarak tasarlamaktır. Böylece hem gizliliği korur hem de büyüdükçe artan uyum yükünü yönetilebilir kılarsınız.
Sorumluluk Reddi (Disclaimer)
Bu içerik genel bilgilendirme amacıyla hazırlanmıştır; hukuki, vergisel veya finansal danışmanlık niteliği taşımaz. Mevzuat ve uygulamalar ülkeye, sektöre ve somut olaya göre değişebilir. Her zaman güncel ve resmi kaynakları ayrıca kontrol etmenizi ve off-shore şirket kuruluşu, veri koruma uyumu, sınır ötesi veri aktarımı ve ilgili vergisel yükümlülükler için nitelikli profesyonel destek almanızı öneririz.
