Ertuğ & Partners
TRENFR
Blog
05 Kasım 20252025 Q4

Etken (Agentic) Yapay Zeka Sistemlerinde Veri Koruma ve Sorumluluk Rejimi

Agentic AIYapay Zeka Hukuku

---

Geleneksel üretken yapay zeka (LLM) sistemleri ağırlıklı olarak "soru-cevap" mantığıyla çalışırken, 2025 ve 2026 yılları "Agentic AI" yani etken (otonom) yapay zeka sistemlerinin yılı oldu. Agentic AI, otonom karar alabilen, bağımsız araç çağırabilen (API entegrasyonları), çok adımlı görevleri insan müdahalesi olmadan yürütebilen ve hedefe ulaşmak için kendi alt-görevlerini tanımlayabilen sistemlerdir. Bu sistemler, kurumsal kullanımlarda fatura kesmekten çalışan takvimi yönetmeye, otomatik ödeme yapmaktan CRM sistemlerinde veri değiştirmeye kadar devasa yetkilere sahiptir. Bu otonomi düzeyi, Türk hukuku açısından (başta KVKK ve Borçlar Kanunu olmak üzere) benzersiz veri koruma ve sorumluluk boşlukları doğurmaktadır.

Klasik ÜYZ vs. Agentic AI: Hukuki Ayrım Nerede?

Klasik bir yapay zekada (Örneğin ChatGPT) veri akışı sınırlı ve tahmin edilebilirdir: kullanıcı bir "prompt" girer, model eğitim verisine dayanarak yanıt üretir. İhlal genellikle girilen prompt'un mahremiyeti delmesiyle oluşur.

Agentic AI'da ise model kendisine verilen genel bir hedef doğrultusunda (Örn: "Yeni müşteriye hoş geldin emaili at ve CRM kaydını aç") birden fazla otonom adım atar:

  • Şirket e-posta veritabanına erişir,
  • CRM sistemi ile API üzerinden konuşur,
  • Arka planda müşteri verisini okur, analiz eder ve dosya oluşturur.

    • Her adımda farklı veri işleme faaliyetleri gerçekleşir ve bunların büyük kısmı sisteme "önceden hard-kodlanmamış" otonom tercihlerdir. Bu kara kutu (black box) yapısı, şeffaflık ilkesini zorlar.

    KVKK Açısından Doğrudan Riskler ve Sorunlar

    1. "Veri Sorumlusu" Belirleme İkilemi

    KVKK m. 3'e göre veri sorumlusu, kişisel verilerin "işleme amaçlarını ve vasıtalarını" belirleyen kişidir. Agentic AI sistemlerinde "vasıtaları" ve hatta bazen alt-"amaçları" modelin kendisi otonom olarak belirler. Sektördeki bazı görüşler, çok gelişmiş ajanlarda veri işleyen/sorumlusu ayrımının bulanıklaştığını iddia etse de, Kişisel Verileri Koruma Kurumu (KVKK) uygulamalarında pratik yaklaşım esastır: Agentic sistemi kuran, finanse eden ve temel hedefi belirleyen kuruluş tek veri sorumlusudur. Otonom yapay zekanın tüzel kişiliği bulunmadığından, veri işlemeyi meşrulaştıracak yegane merci şirkettir. Ancak şirketin, ajanın "nasıl" veri işlediğini bilmemesi idari cezadan kurtuluş sağlamaz.

    2. "Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma" (Minimizasyon) İlkesi İhlali

    KVKK m. 4/2-ç gereği, veriler sadece amaca uygun ve ölçülü işlenmelidir. Otonom ajanlar, görevi tamamlamak veya kararı daha "iyi" verebilmek için çoğu zaman gerekenden fazla bilgi havuzuna dalma (data scraping/data extraction) eğilimindedir. Sistemin, kendi hedefine giderken yetkisi dışındaki bir klasörü taraması açık bir veri ihlalidir. Kurumsal agent'lar için "Sandboxing" (kum havuzu) zorunluluğu bu ilkenin doğal sonucudur.

    3. Aydınlatma Yükümlülüğü Nasıl Aşılacak?

    Aydınlatma yükümlülüğü (KVKK m. 10), ilgili kişiye verilerinin "hangi amaçlarla" işleneceğinin net olarak söylenmesini emreder. Otonom bir ajanın gelecekte hangi veriyi, hangi formda ve nereden entegre ederek kullanacağı önceden %100 kestirilemiyorsa, aydınlatma metinleri nasıl "açık" ve "anlaşılır" olacaktır? Muğlak "Yapay zeka asistanımızla verileriniz işlenebilir" ifadeleri KVKK tarafından geçersiz sayılmaktadır. Faaliyet tabanlı aydınlatma yapılması zaruridir.

    4. Unutulma Hakkı ve Otomatik Silme

    Agentic sistemler, öğrendikleri veya otonom görevleri sırasında indeksledikleri kişisel verileri "hafızalarında" (vektör veritabanları veya RAG sistemleri) saklayabilirler. Geleneksel sistemlerden farklı olarak, silme talebi (m. 7) geldiğinde ajanın bu veriyi sadece bir tablodan değil, aktif hafıza döngüsünden de silebilmesi teknik bir mimari gerektirir.

    Türk Borçlar Hukuku (TBK) Bağlamında Sorumluluk Rejimi

    Otonom bir yapay zeka ajanının ticari bir zarara, sözleşme ihlaline veya veri sızıntısına yol açması durumunda, "Bunu yapay zeka yaptı, bizim kontrolümüzde değildi" savunmasının Türk Hukukunda hiçbir karşılığı yoktur:

  • Sözleşmesel Sorumluluk (TBK m. 112): AI ajanını "yardımcı kişi" veya dijital otomasyon vasıtası olarak kullanan şirket, ajanın hatalı işlemi, yanlış kişiye para göndermesi, yanlış sözleşme onaylaması nedeniyle doğan tüm zararlardan bizzat sorumludur. Yardımcı kişilerin fiillerinden sorumluluk kuralı (TBK m. 116) AI için doğrudan devreye girer.
  • Haksız Fiil ve Kusursuz Sorumluluk: Üçüncü kişilere (müşteri olmayanlara) verilen zararlarda genellikle kusur sorumluluğu uygulanır. Şirket "gözetim, denetim veya tasarım" kusurundan sorumludur. Sistem çok otonom olsa bile, tehlike sorumluluğu veya organizasyon kusuru çerçevesinde üretici/kullanıcı firma tazminat öder.
  • Kişilik Hakları İhlali: Ajanın otonom olarak ürettiği bir içeriğin iftira, hakaret veya sırrın ifşası niteliğinde olması durumunda, şirket yönetimi doğrudan tüzel kişi sıfatıyla sorumlu tutulacaktır.

    • Kurumsal Uygulama: "Agentic AI" Uyum Checklisti

    Cezai ve hukuki yaptırımlardan korunmak isteyen işletmelerin alması gereken tedbirler:

    1. Role-Based Access (Sandboxing): Agentic AI'nin sistemdeki "tam yetkili" admin (super-user) olmasını engelleyin. CRM okuma izni varsa yazma iznini kısıtlayın, bankacılık API'sine sadece "sorgulama" yetkisi verin. Ajanın otonomisi, teknik duvarlarla sınırlandırılmalıdır.

    2. Kapsamlı Loglama (Denetim İzi): Ajanın her kararı, çağırdığı her API, çektiği her veritabanı satırı zaman damgasıyla (timestamp) loglanmalıdır. Olası bir KVKK denetiminde veya davada, ajanın "ne düşündüğünü" değil, "ne yaptığını" kanıtlamak zorundasınız.

    3. Human-in-the-Loop (İnsan-Devrede) Kuralı: Etki seviyesi yüksek tüm görevlerde (müşteri hesabından para çıkışı, veri tabanı silme talebi işlemi, hukuki sözleşme tarafı olma) ajanın eylemi mutlaka bir insanın (human) "Onayla" butonuna basmasına bağlanmalıdır.

    4. DPIA Raporlaması: Agentic AI kullanımı KVKK açısından doğrudan "yüksek riskli" işleme faaliyetidir. Veri Koruma Etki Değerlendirmesi (DPIA) proaktif olarak yapılmadan ajanın canlıya alınması ağır bir risk teşkil eder.

    5. Güncellenmiş Aydınlatma Metinleri: Müşterilerinize, süreçlerin "otonom bir AI ajanı tarafından yürütüldüğünü" ve "veri işleme mantığını" temel düzeyde açıklayan şeffaflık ekleri sunun.

    ---

    Bu makale genel bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz.

    Tüm Yazılar