---
Kişisel Verileri Koruma Kurumu (KVKK), 24 Kasım 2025'te "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)" başlığıyla kapsamlı bir rehber yayımladı. Gelişen teknolojiyle birlikte şirketlerin günlük iş akışlarına entegre olan ChatGPT, Claude, Midjourney gibi Üretken Yapay Zeka (ÜYZ) araçlarının kullanım standartları bu rehberle netleşti. Ardından yayımlanan "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" dokümanı ile birlikte bu iki belge, Türkiye'deki işletmeler için fiili bir yasal uyum çerçevesi çiziyor. Kurumsal işletmeler, artık ÜYZ araçlarını gelişigüzel değil, KVKK mevzuatının sıkı kuralları altında kullanmak zorunda.
Rehberin Temel Mesajları ve Şirketler İçin Hukuki Analiz
1. Yaşam Döngüsünün Tamamı KVKK Kapsamında:
Rehberin en kritik noktası, yapay zekanın sadece son kullanıcıya çıktı verdiği (inference) anı değil, eğitim verisi toplama (web scraping vs.), modelin ince ayarı (fine-tuning) ve kullanıcının prompt (girdi) yazdığı tüm aşamaları KVKK'ya tabi tutmasıdır. Bir modelin tasarımında doğrudan "bireyleri hedefleme veya profilleme" amacı olmasa bile, yapay zekanın herhangi bir şekilde gerçek bir kişiye ilişkin veri üretmesi durumunda KVKK hükümleri derhal uygulanır.
2. Veri Sorumlusu ve Veri İşleyen Ayrımları Netleşiyor:
Kurum, veri sorumlusu ile veri işleyen ayrımının teorik bir yaklaşımla değil, somut olaya göre yapılması gerektiğini vurgulamaktadır. ÜYZ sağlayıcısı (Örneğin OpenAI), temel modeli kendi belirlediği amaç ve araçlarla eğittiği için "Veri Sorumlusu" konumundadır. Ancak bu araçları şirket içi iş süreçlerinde, müşteri hizmetleri süreçlerinde entegre eden (örneğin API kullanarak kendi verisi üzerinden bir chatbot tasarlayan) bir işletme de, o somut işlemde bağımsız "Veri Sorumlusu" statüsü kazanır.
3. Anonim Veri İstisnası ve "De-identifikasyon" Tehlikesi:
KVKK madde 3/1-b gereği, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olmayan (anonim) veriler kanun kapsamı dışındadır. Ancak Kurum, anonimleştirme sınırını son derece dar yorumlamaktadır. Sadece isim veya T.C. kimlik numarası gibi doğrudan tanımlayıcı verilerin silinmiş olması veriyi "anonim" kılmaz. Modelin yan yana getirdiği çeşitli verilerle (bağlamsal analiz) kişiyi belirlenebilir hale getirmesi ihtimali varsa, veri anonimleşmiş sayılmaz. Sisteme girilen tüm veriler ancak yüzde yüz geri döndürülemez bir anonimleştirme tekniğiyle maskelenmişse KVKK istisnası uygulanır.
4. Özel Nitelikli Kişisel Veriler İçin İzin Yok:
KVKK m. 6'da sayılan özel nitelikli verilerin (sağlık verileri, sendika üyeliği, etnik köken vs.) yapay zeka araçlarına işlenmesi çok ciddi riskler barındırır. Yeni mevzuat ışığında bu verilerin bulut tabanlı bir yapay zeka sisteminin eğitim veya prompt süzgecinden geçirilmesi "Açık Rıza" ve "Kurul Kararı" olmaksızın neredeyse imkansız hale gelmiştir.
5. Yurt Dışına Veri Aktarımında Yeni Kurallar:
İş dünyasında en çok kullanılan ÜYZ araçlarının sunucuları çoğunlukla yurt dışında (ABD, İrlanda) yer almaktadır. Bu hizmetlerin bir sekmede kullanılması dahi "Yurt Dışına Kişisel Veri Aktarımı" (KVKK md. 9) anlamına gelir. Şirketler ya Standart Sözleşme Maddeleri imzalayıp KVKK'ya bildirmek ya da Yeterlilik Kararı (ki şu an geniş çaplı mevcut değil) veya Açık Rıza almak zorundadır. Aksi halde şirketin yurt dışı AI sağlayıcılarına kişisel veri göndermesi yasa dışıdır.
"Gölge Kullanım" (Shadow IT) Tehlikesi ve İş Yerinde Kullanım Dokümanı
KVKK'nın yayımladığı ikinci destekleyici belge işverenleri hedefler. Temel nokta yasakçı bir zihniyetten vazgeçilmesidir:
2026 İçin İşletmelerin Atması Gereken 6 Adım
1. Veri Akış Haritası Çıkarın: Kurumsal mail sisteminizdeki Copilot veya Notion AI gibi şirket içi asistanlar ile çalışanların manuel girdiği ChatGPT/Claude verilerinin haritasını çizin.
2. "Prompting" Kurallarını Belirleyin: Personelin isim, unvan, finansal değer, ve sözleşme metinlerini tamamen anonimleştirerek prompt girmesini şart koşan bir politika ilan edin.
3. KVKK Onaylı Satın Alımlar Yapın: B2B lisanslı "API" kullanımları veya "Enterprise (Kurumsal)" AI paketleri genelde model eğitimi için verilerinizi kullanmayacağını taahhüt eder. Ücretsiz AI versiyonlarının kullanılmasını kısıtlayın.
4. Veri Koruma Etki Değerlendirmesi (DPIA) Hazırlayın: Eğer bir AI destekli yazılıma karar verecekseniz, bunun olası KVKK ihlal risklerini gösteren bir etki değerlemesi hazırlayın (Kurum bunu güçlü şekilde tavsiye ediyor).
5. Aydınlatma Metinlerini ve VERBİS'i Güncelleyin: Eğer müşteri hizmetlerinizde bir AI chatbot veya benzeri servis hizmet veriyorsa, aydınlatma metninizde "Talebinizin işlenmesinde şu üretken yapay zeka sağlayıcısından destek alınmaktadır ve veriler yurt dışına aktarılmaktadır" ifadesi yer almalıdır. VERBİS kayıtlarındaki alıcı grupları da güncellenmelidir.
6. Eğitim Düzenleyin: Personele periyodik olarak, bilgi güvenliği ve yapay zeka veri güvenliği konularında eğitim verilmesi hukuki bir zorunluluktur.
İdari Para Cezaları Büyüyor
KVKK ihlallerine yönelik m. 18 kapsamındaki idari para cezaları 2026 yeniden değerleme oranlarıyla çok daha yıkıcı bir boyuta ulaştı. Yeni teknolojilerin veri mahremiyetinde yarattığı boşluk, milyon liralık idari yaptırımlar ve marka itibarının zedelenmesiyle sonuçlanabilir.
---
Bu makale genel bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz.