---
Kişisel Verileri Koruma Kurumu'nun (KVKK) yayımladığı "Üretken Yapay Zekâ Araçlarının İş Yerlerinde Kullanımı" başlıklı doküman ve kapsamlı AI Rehberi, kurumların ve profesyonellerin günlük iş akışlarında kullandığı AI sistemlerine yönelik hukuki beklentileri netleştirmiştir. Rehberdeki en temel mesaj şudur: Hata yapma korkusuyla teknolojiyi yasaklamak çözüm değildir; çünkü yasaklar "Gölge Bilişim" (Shadow IT) dediğimiz kontrolsüz, gizli ve çok daha güvensiz kullanım yollarını doğurur. Şirketlerin yapması gereken, idari ve teknik tedbirlerle bu denklemi yasal çerçeveye oturtmaktır.
Ertuğ & Partners olarak, bu riskleri yönetilebilir hale getirmek ve idari cezalardan kaçınmak için aşağıdaki adım adım Uyum Kontrol Listesini (Checklist) uygulamanızı öneriyoruz.
A. Kurumsal Envanter ve Haritalama
Hangi uygulamanın, ne tür veriyi işlediğini bilmeden uyum sağlamanız imkansızdır. KVKK'nın beklediği ilk adım şeffaf bir envanterdir.
[ ] Şirkette lisanslı veya çalışanlarca bireysel kullanılan tüm ÜYZ araçlarının listesini tam olarak çıkarın (ChatGPT, Claude, Microsoft Copilot, Notion AI, Midjourney, sektörel entegre uygulamalar dahil).[ ] Her uygulamanın veri akış haritasını detaylı olarak çizin: Veriler (promptlar veya yüklenen dosyalar) bulutta mı işleniyor, cihazda lokal olarak mı çalışıyor, LLM sağlayıcısına mı gönderiliyor, sağlayıcı bu verileri "kendi modelini eğitmek" için kullanıyor mu?[ ] "Gölge Kullanım" tespiti için BT departmanı ile ağ analizi yapın: Mevcut şirket politikası dışında internette hangi yapay zeka sitelerine trafik yoğunlaşıyor belirleyin.[ ] KVKK Madde 3 kapsamında her araç için "Veri Sorumlusu" (Data Controller) veya "Veri İşleyen" (Data Processor) rolünüzü netleştirin. Bu ayrım, ihlal anında sorumluluğun kime ait olacağını tayin eder.B. Hukuki Dayanak ve Sınırlamalar
Yapay zekaya kişisel veri beslemek, KVKK m.5 ve 6 kapsamında hukuki bir sebebe dayanmak zorundadır.
[ ] Her ÜYZ kullanım senaryosu için "kanunlarda öngörülme", "sözleşme ifası" veya "meşru menfaat" gibi açık bir hukuki işleme şartı belirleyin.[ ] Eğer "Açık Rıza"ya dayanıyorsanız, bu rızanın yapay zeka kullanımı özelinde, özgür iradeyle verilmiş olduğunu teyit edin. "Tüm verilerimi dilediğiniz gibi işleyebilirsiniz" şeklindeki battaniye rızalar yargıda geçersiz kabul edilir.[ ] "Meşru menfaat" dayanağı uygulanacaksa (Örnek: İç yazışmaların AI tarafından özetlenmesi), işlemenin kişinin temel haklarına zarar vermediğine dair zorunlu "Menfaat Dengeleme Testi"ni yapın ve belgeleyin.C. Özel Nitelikli Kişisel Veriler (KVKK m. 6) İçin Sıkı Koruma
[ ] Sağlık bilgileri, biyometrik veriler, sendika veya dernek üyelikleri, ırk, etnik köken ve ceza mahkumiyeti gibi m.6'daki özel nitelikli verilerin AI (özellikle bulut tabanlı) sistemlerine girilmesini kurumsal olarak kesin bir şekilde yasaklayın.[ ] Sağlık veya sigorta sektörü gibi mecburi istisna durumlarında m.6'daki ekstra şartları sağladığınızı (Kurul'un aradığı teknik önlemler dahil) belgeleyin. Özel nitelikli veriler için sadece rıza yeterli olmamakta, loglama ve kriptolama zorunluluğu gibi katı BT kriterleri getirilmektedir.D. Yurt Dışına Veri Aktarımı Kapsamında Uyum
Copilot, ChatGPT gibi araçlar çoğunlukla sunucularını ABD veya Avrupa'da barındırır. Kişisel veriyi bu araca girdiğiniz anda KVKK m. 9 kapsamında "Verilerin Yurtdışına Aktarımı" gerçekleşmiş sayılır.
[ ] Uygulama sağlayıcısının veri merkezinin (sunucularının) bulunduğu ülkeleri resmi olarak belirleyin.[ ] Kurumun yurt dışına aktarım şartları (Standart Sözleşme, Taahhütname, Yeterlilik Kararı) kapsamında, mevzuattaki aktarım yollarından birini seçin. Çoğu küresel şirket şu an Standart Sözleşme Maddeleri (SCC) imzalamayı kabul etmektedir.[ ] Enterprise (Kurumsal) sözleşmeleri detaylı inceleyerek, sağlayıcının "Sizin verinizle kendi yapay zekamızı eğitmeyeceğiz (zero-data retention / opt-out)" maddesini içerdiğinden emin olun.E. Teknik İdari Veri Güvenliği ve DPIA (KVKK m. 12)
[ ] Sisteme rol bazlı (Role-based) erişim kontrolü uygulayın. Her personel sadece erişmesi gereken klasörde AI kullanabilmelidir.[ ] Bilgi Sistemlerinde "Data Loss Prevention (DLP)" yani Veri Sızıntısı Önleme kuralları oluşturarak, T.C. kimlik numaraları, tahlil sonuçları veya "Gizli" ibareli belgelerin yapay zeka kutucuklarına kopyalanmasını teknik olarak engelleyin.[ ] Kurum, "Veri Koruma Etki Değerlendirmesi" (Data Protection Impact Assessment - DPIA) yapılmasını kuvvetle önermektedir. Özellike İK işe alım algoritmaları, otomatik kredi onayları gibi yüksek riskli işlemler öncesi DPIA zorunlu görülmelidir.[ ] Prompt geçmişlerinin yetkisiz kişilerce görülmemesi için şifrelenmesini sağlayın.F. Kurumsal İşleyiş ve Şeffaflık
Aydınlatma yükümlülüğü (m.10) salt hukuki bir kağıt parçası değil, kullanıcıya karşı dürüstlük ilkesidir.
[ ] Çalışanlara (Personel Aydınlatma Metni) ve müşterilere (Müşteri/Ziyaretçi Aydınlatma Metinleri) yönelik dokümanlarda, verilerinin "yapay zeka analizine" tabi tutulduğunu ve yurt dışı lokasyonlu araçların kullanıldığını açıkça yazın.[ ] İşe girişte veya yılda bir kez "Yapay Zeka Kullanım Politikası" şirket içi yönetmeliğini yayınlayın. Hangi araçların, hangi amaçla serbest olduğu bu metinde somutlaşmalıdır. İhlaller halinde İş Kanunu kapsamında uygulanacak disiplin/fesih süreci belirlenmelidir.[ ] VERBİS kaydınızı güncelleyerek, "Kişisel Veri Aktarılan Alıcı Grupları"na yapay zeka hizmeti sunan teknoloji şirketlerini dâhil edin.---
Bu kontrol listesi genel hukuki bilgilendirme amacıyla hazırlanmış olup mevcut duruma özgü hukuki tavsiye niteliği taşımamaktadır.
