n8n GDPR'a Uygun mu? Farkı Yaratan Self-Hosting

n8n GDPR'a uygun şekilde çalışabilir, ancak otomatik olarak uyumlu değildir. Cloud ile self-hosting'i birbirinden ayıran nedir ve iş akışları verileri nerede kaybeder.

n8n iş akışlarınızdan müşteri verileri, isimler, e-posta adresleri, fatura tutarları, bazen de iş başvuruları geçer geçmez, şu soru masanıza gelir: n8n GDPR'a uygun mu? Kısa cevap: n8n GDPR'a uygun şekilde işletilebilir, ancak kendiliğinden değil. GDPR, işletimi ve iş akışlarını değerlendirir, aracı değil; bu nedenle kararı yalnızca yazılım değil, sizin kurulumunuz belirler.

Bunu, ilk iş akışı üretime geçmeden önce netleştirmelisiniz, sonra değil. Belirleyici olan üç şey vardır: n8n'in nerede çalıştığı, iş akışlarınızın hangi hizmetlere bağlandığı ve çalıştırma verilerine ne olduğu. Almanya'daki bir sunucuda self-hosting, tam veri egemenliğine giden en doğrudan yoldur, ancak her soruyu çözmez.

"GDPR'a Uygunluk" Neden Bir Yazılımın Özelliği Değildir

GDPR, ürünleri değil işleme faaliyetlerini düzenler; bu nedenle hiçbir üretici, yazılımının genel olarak GDPR'a uygun olduğunu ciddiyetle iddia edemez. Veri işlemeden sorumlu olan, şirket olarak sizsiniz. Müşteri verilerini sorulmadan bir ABD hizmetine gönderen bir n8n iş akışı, temiz şekilde kurgulanmış bir iş akışının tamamen sorunsuz çalıştığı aynı sunucuda GDPR'ı ihlal eder. Yani soru "n8n uyumlu mu?" değil, "iş akışlarım dahil n8n kurulumum uyumlu mu?" olmalıdır. Bu bir kelime oyunu değil, barındırma kararı ile iş akışı tasarımının neden ayrı ele alınması gerektiğinin nedenidir.

n8n Cloud: Alman Şirket, AB Sunucuları, ABD Bulut Sağlayıcısı

n8n'in resmi güvenlik sayfasına göre (Temmuz 2026 itibarıyla) n8n Cloud, müşteri verilerini Avrupa Birliği'ndeki Microsoft Azure altyapısında saklıyor; fiyatlandırma sayfası konum olarak Frankfurt'u belirtiyor. Ürünün arkasında, merkezi Berlin'de bulunan n8n GmbH, yani bir Alman şirketi var. n8n, AB standart sözleşme maddeleri ve alt işlemcilerin kamuya açık bir listesi dahil olmak üzere imzalanmak üzere bir veri işleme sözleşmesi (DPA) sunuyor. Bu, birçok KOBİ için sağlam bir temel.

Bilmeniz gereken nokta şu: Azure, bir ABD şirketi olan Microsoft'a aittir. Frankfurt'ta depolama yapılsa bile zincirde bir ABD sağlayıcısı kalmaya devam eder. Çoğu iş verisi için bu, DPA ve standart sözleşme maddeleriyle savunulabilir; özellikle hassas veriler için, örneğin meslek sırrı taşıyıcıları veya sağlık alanında ise veri koruma sorumlunuzla tartışılması gereken bir noktaya dönüşür. Bu değerlendirmeyi hiçbir yazılım sizin yerinize yapmaz ve bu yazı hukuki danışmanlığın yerini tutmaz.

Self-Hosting: Verileriniz Kendi Sunucunuzda Kalır

Self-hosting'de n8n, kontrolünüz altındaki bir sunucuda çalışır ve iş akışlarınız harici hizmetlere bağlanmadığı sürece kişisel veriler altyapınızı terk etmez. Community Edition lisans ücreti olmadan kullanılabilir ve Docker ile Alman bir hosting sağlayıcısındaki bir sunucuda çalıştırılabilir. Bu durumda yalnızca hosting sağlayıcısıyla bir DPA'ya ihtiyacınız olur, n8n'in kendisiyle değil, çünkü n8n'in örneğinize erişimi yoktur. NordFlux'ta standart olarak kurduğumuz kurulum tam olarak budur: Almanya'daki bir sunucuda n8n, güncellemeler, yedeklemeler ve izleme ile birlikte, böylece işletim üzerinizde kalmaz.

Dürüstçe eklemek gerekirse: self-hosting, güvenlik sorumluluğunu size kaydırır. Yamaları uygulanmamış, açık girişli bir n8n sunucusu, ciddi şekilde işletilen herhangi bir bulut hizmetinden daha büyük bir veri koruma riskidir. Sunucu bakımı için içeride kimsesi olmayanlar, işletimi bir hizmet sağlayıcıya devretmeli veya bilinçli olarak DPA'lı bulut seçeneğini tercih etmelidir.

Kısaca

n8n'in GDPR'a uygun çalışıp çalışmadığına yazılım değil, sizin kurulumunuz karar verir. Almanya'da self-hosting, barındırma sorusunu çözer. İş akışlarınızın verileri nereye gönderdiği sorusunu ise yalnızca temiz iş akışı tasarımı çözer.

İş Akışı Tasarımında Üç Veri Koruma Tuzağı

n8n ile ilgili çoğu veri koruma sorunu barındırmada değil, iş akışlarının kendisinde ortaya çıkar. Uygulamada sürekli karşılaştığımız üç örüntü şunlardır:

  • Yapay zeka node'ları: bir iş akışı müşteri verilerini OpenAI veya Anthropic gibi bir yapay zeka modeline gönderdiği anda, bu sağlayıcı verileri işler. Bu durumda yapay zeka sağlayıcısıyla bir DPA'ya, model eğitiminden hariç tutulmaya ve mümkün olduğunca node öncesinde veri minimizasyonuna ihtiyacınız olur.
  • ABD hizmetlerine yönelik üçüncü taraf node'ları: Google Sheets, Slack veya Airtable'ın iş akışı hedefi olması, üçüncü bir ülkeye veri aktarımı anlamına gelir. İş akışı verileri sonrasında bir ABD tablosuna kopyalıyorsa, self-hosted sunucunun pek bir faydası olmaz.
  • Çalıştırma günlükleri: n8n, varsayılan olarak her iş akışı çalıştırmasının giriş ve çıkış verilerini saklar. Sınırlı bir saklama süresi olmadan, artık kimsenin aklına gelmeyen kişisel veriler orada birikir.

Özellikle yapay zeka bağlantısı yakından incelenmeyi hak eder, çünkü model yalnızca iki alana ihtiyaç duysa bile genellikle eksiksiz veri kümeleri oraya akar. Yapay zeka hizmetlerini genel olarak veri koruma uyumlu şekilde nasıl entegre edeceğinizi, sağlayıcı seçiminden DPA'ya kadar, Şirkette GDPR'a Uygun Yapay Zeka başlıklı yazımızda ayrıntılı olarak anlattık.

n8n'i GDPR'a Uygun Şekilde İşletmek: Temiz Bir Kurulum Nasıl Görünür

Orta ölçekli işletmeler için sağlam bir n8n kurulumu dört yapı taşından oluşur: imzalı bir DPA ile Alman veya Avrupalı bir hosting sağlayıcısındaki bir sunucu, kişisel hesaplar ve iki faktörlü kimlik doğrulama ile erişim kontrolü, çalıştırma verileri için bir silme kuralı (n8n eski çalıştırma verilerini otomatik olarak temizleyebilir) ve harici hizmetlere erişen her iş akışında veri minimizasyonu. Buna, veri koruma sorumlunuzun neyin otomatikleştirildiğini bilmesi için iş akışlarını işleme faaliyetleri kaydına eklemek de dahildir. Bu evrak işi gibi görünse de bir ila iki iş gününde tamamlanır ve sonrasında yalnızca güncel tutulması gerekir.

Bu çaba iki kat karşılığını verir: belgelenmiş bir kurulum, temel sorular çözülmüş olduğu ve yeni iş akışlarının yalnızca mevcut kurallara göre kontrol edilmesi gerektiği için her sonraki genişletmeyi hızlandırır.

Sıkça Sorulan Sorular

n8n Cloud, GDPR'a uygun şekilde kullanılabilir mi?

Evet, birçok kullanım durumu için. n8n, AB standart sözleşme maddeleri içeren bir DPA sunar ve n8n'e göre veriler AB'deki Azure sunucularında bulunur. Değerlendirilmesi gereken nokta, altyapıyı Microsoft gibi bir ABD sağlayıcısının sunmasıdır. Hassas veriler için bunu veri koruma sorumlunuzla netleştirmelisiniz.

Self-hosting'de n8n ile bir DPA'ya ihtiyacım var mı?

Hayır. Self-hosted bir örnekte n8n sizin için hiçbir veri işlemez, yazılım tamamen kendi sunucunuzda çalışır. Bunun yerine, örneğin çalıştığı sunucuya sahip hosting sağlayıcısıyla bir DPA'ya ihtiyacınız olur, tabii kendi şirket içi sunucunuzu işletmiyorsanız.

n8n iş akışlarında OpenAI gibi yapay zeka node'larını kullanabilir miyim?

Temel olarak evet, çerçeve koşulları doğruysa: yapay zeka sağlayıcısıyla bir DPA, verilerin model eğitiminden hariç tutulması ve yalnızca modelin gerçekten ihtiyaç duyduğu alanların aktarılması. Üçüncü ülkeye veri aktarımından kaçınmak isteyenler, Avrupalı sağlayıcılara veya yerel olarak işletilen modellere yönelebilir.

Self-hosting'de n8n ne kadar tutar?

Community Edition lisans ücretsizdir, sunucu ve işletim için, yani güncellemeler, yedeklemeler ve izleme için ödeme yaparsınız. Daha küçük kurulumlar için Alman bir hosting sağlayıcısındaki basit bir bulut sunucusu yeterlidir. Dürüst bir hesap, ancak bakım için harcanan çalışma süresini de içerir, ister şirket içinde ister bir hizmet sağlayıcı üzerinden.

Self-hosting, n8n'i otomatik olarak GDPR'a uygun hale getirir mi?

Hayır. Self-hosting yalnızca yazılımın nerede çalıştığını ve örneğe kimin erişebildiğini netleştirir. İşlemenin uyumlu olup olmadığı, ayrıca iş akışlarınızın hangi hizmetlere bağlandığına, çalıştırma verilerinin ne kadar süre saklandığına ve işleme için bir hukuki dayanak olup olmadığına bağlıdır.

NordFlux hakkında

NordFlux UG (haftungsbeschränkt)

NordFlux, kuruluşlar için dijital çalışanlar kurar: tekrar eden işleri üstlenen otomasyonlar ve KI ajanları. Kontrol sizde kalır.

Hakkımızda daha fazlası
Ücretsiz ön analiz

n8n'in sizde veri koruması açısından temiz çalışmasını mı istiyorsunuz?

Ücretsiz ön analizde süreçlerinizi inceliyor ve n8n'in uygun olup olmadığını, Almanya'da veri egemenliğine sahip bir kurulumun nasıl görüneceğini size dürüstçe söylüyoruz.

  • Almanya'daki bir sunucuda n8n, kontrol sizde kalır
  • Veri sızıntısı yerine veri minimizasyonuyla iş akışı tasarımı
  • Çağrı merkezi değil, sabit bir iletişim kişisi