Şirketinizde Yapay Zekâ Kullanılıyorsa, Bu Yazı Sizi Doğrudan İlgilendiriyor
ChatGPT ile e-posta yazıyorsunuz. Bir toplantı özetini yapay zekâ ile hazırlıyorsunuz. Müşteri hizmetleri için bir sohbet botu devreye aldınız. Ya da henüz almadınız ama ekibinizde birinin aldığından eminsiniz.
Peki bu kullanımın 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında ne anlama geldiğini biliyor musunuz?
Kişisel Verileri Koruma Kurumu (KVKK), 2021'den bu yana yapay zekâ konusunda beş ayrı belge yayımladı. Bu belgeler Türkiye'deki her şirkete çok net bir mesaj veriyor: Yapay zekâ kullanan her şirket veri sorumlusudur ve bu sorumluluktan kaçış yoktur.
Bu yazıda beş belgeyi, bu belgelerden çıkan on iki somut yükümlülüğü ve şirketiniz için doğru başlangıç noktasını ele alıyoruz.
KVKK'nın Beş Yıllık Yapay Zekâ Haritası
KVKK bu alanda düzenli ve tutarlı bir ilerleme kaydetti. Her yeni belge bir öncekinin üzerine inşa edildi; kapsam her yıl genişledi, beklentiler her yıl somutlaştı.
Eylül 2021: Genel ilkeler ve paydaş sorumlulukları¹
İlk belge yapay zekâ alanında geliştirici, üretici, servis sağlayıcı ve karar alıcılar için temel ilkeleri belirledi. Privacy by design (tasarımdan itibaren mahremiyet), veri minimizasyonu, hesap verebilirlik ve insan müdahalesi hakkı bu belgede ilk kez YZ bağlamında tanımlandı.
Kasım 2024: Sohbet robotlarına özel çerçeve²
ChatGPT örneği üzerinden sohbet robotlarının veri işleme boyutunu ele alan bilgi notu yayımlandı. Hesap bilgileri, konuşma içerikleri, IP adresi ve cihaz verileri dahil olmak üzere hangi kişisel verilerin işlendiği ilk kez bu belgede netleştirildi. Uygulama geliştirenler için risk değerlendirmesi zorunluluğu ve privacy by design yaklaşımı vurgulandı.
Kasım 2025: Üretken YZ'ye 64 sayfalık kapsamlı rehber³
En teknik ve en kapsamlı belge. Veri sorumlusu ve veri işleyen rollerinin tespitinden işleme şartlarının belirlenmesine, yurt dışı aktarım mekanizmalarından aydınlatma yükümlülüğüne kadar 15 soru üzerinden tam bir çerçeve çizildi. Hesap verebilirliğin yalnızca yükümlülükleri yerine getirmek değil, bunu ispatlayabilmek anlamına geldiği bu belgede açıkça belirtildi.
Şubat 2026: Etken YZ (Agentic AI) değerlendirmesi⁴
Otonom karar alabilen ve eylem başlatabilen yapay zekâ sistemleri için ayrı bir değerlendirme çerçevesi yayımlandı. Otonomi düzeyi arttıkça KVKK uyumunun nasıl karmaşıklaştığı, deployer ve developer sorumlulukları arasındaki ayrım ve çıkarıma dayalı profilleme riski bu belgede ele alındı.
Mart 2026: İşyerinde yapay zekâ ve Gölge YZ⁵
En pratik belge. Çalışanların şirket haberi olmadan kullandığı yapay zekâ araçları olan "Gölge YZ" olgusu tanımlandı. Şirketlerden kurumsal YZ politikası oluşturması, çalışanları eğitmesi ve erişim kontrolü kurması bekleniyor. Belge bağlayıcı nitelik taşımıyor; ancak KVKK'nın değerlendirme kriterleri ve beklentileri açısından önemli bir referans niteliği taşıdığı belirtiliyor.
Beş Belgeden Çıkan On İki Yükümlülük
Bu beş belgeyi bir arada okuduğunuzda yapay zekâ kullanan Türk şirketleri için somut bir yükümlülük haritası ortaya çıkıyor.
Envanter ve Tespit Yükümlülükleri
1. YZ araç envanteri oluşturun.
Şirketinizde hangi yapay zekâ araçlarının kullanıldığını bilin. Yalnızca kurumsal olarak satın aldıklarınız değil; çalışanlarınızın bireysel olarak kullandıkları araçlar da dahil. Gölge YZ bu envanterin en zor görünen parçası.
2. Kişisel veri akışını haritalayın.
Her araç üzerinden hangi kişisel verilerin işlendiğini tespit edin. Çalışan adı, müşteri bilgisi, toplantı notu, yazışma içeriği; bunların hepsi kişisel veridir ve bu araçlara girdiğiniz anda işlenmeye başlar.
3. Veri sorumlusu ve veri işleyen rolünü belirleyin.
ChatGPT veya Claude gibi bir araç kullanıyorsanız, o araç sağlayıcısı ve sizin şirketiniz aynı anda veri sorumlusu sıfatı kazanabilir. "Geliştiren şirket sorumlu" savunması geçerli değildir.
4. Etken YZ kullanıyorsanız deployer/developer ayrımını netleştirin.
Otonom eylem başlatabilen bir sistem kullanıyor veya geliştiriyorsanız, bu sistemin geliştiricisi ve yerleştiricisi (deployer) arasındaki sorumluluk sınırları sözleşmeyle belirlenmeli, iç politikanızda roller tanımlanmalıdır.
İşleme Zinciri Yükümlülükleri
5. Her araç için hukuki dayanak (işleme şartı) belgeleyin.
Her veri işleme faaliyetinin KVKK'nın 5. veya 6. maddesindeki işleme şartlarından birine dayanması gerekir. "Açık rıza" tek başına yeterli bir dayanak değildir; diğer şartlar tüketilmeden açık rızaya başvurulmamalıdır.
6. Yurt dışı aktarım mekanizmasını kurun.
Bu, farkında olmadan ihlal edilme riski en yüksek yükümlülük. ChatGPT, Claude, Gemini gibi araçlar üzerinden kişisel veri paylaşmak, o verinin yurt dışına aktarımı anlamına gelir. KVKK'nın 9. maddesi kapsamında standart sözleşme veya yeterli koruma mekanizması olmadan bu aktarım sorun doğurabilir.³
7. Amaçla sınırlılık ve veri minimizasyonunu süreç boyunca izleyin.
Sisteme yalnızca görevin gerektirdiği kadar veri girin. Özellikle etken YZ sistemlerinde, başlangıçta meşru olan veri işleme kapsamın genişlemesiyle birlikte bu ilkeyi aşma riski taşır.
Yönetişim Yükümlülükleri
8. Aydınlatma metinlerinizi güncelleyin.
Müşteri veya çalışanlarınızla ilgili yapay zekâ destekli süreçlerde, aydınlatma metinlerinizin bu kullanımı kapsaması gerekir. Mevcut çoğu metinde "yapay zekâ kullanımı" ifadesi yer almıyor.
9. Kurumsal YZ kullanım politikası oluşturun.
Hangi araçlar hangi amaçlarla kullanılabilir, hangi veriler paylaşılamaz, sorun çıktığında ne yapılır? Bu soruların yanıtlarını içeren yazılı bir politika, hem Gölge YZ riskini azaltır hem de KVKK denetiminde savunma zemini oluşturur.
10. Çalışanları eğitin.
KVKK'nın tüm yapay zekâ belgelerinde çalışan farkındalığı ve eğitim ayrı bir vurguyla ele alındı. Bu yükümlülük bireysel kullanıma ilişkin riskleri azaltmanın en etkili yolu olarak görülüyor.
11. İnsan gözetimi mekanizması tanımlayın.
Özellikle etken YZ kullanan şirketler için: hangi kararlar otomatik alınabilir, hangilerinde insan onayı zorunludur, yüksek riskli süreçlerde ilave inceleme mekanizması nasıl işler? Bu mekanizmanın açıkça tanımlanmış ve belgelenmiş olması gerekir.
12. Hesap verebilirlik dosyanızı oluşturun.
KVKK'nın 2025 tarihli rehberi hesap verebilirliği yalnızca yükümlülükleri yerine getirmek olarak değil, bunu ispatlayabilmek olarak tanımlıyor. Denetim geldiğinde "bunu yaptık" diyebileceğiniz dokümantasyon olmak zorunda.
Türk Şirketlerinin Büyük Çoğunluğu Nerede Duruyor?
Bu on iki yükümlülüğün tamamını karşılayan Türk şirketi sayısı son derece az. En yaygın üç boşluk şunlar:
Yurt dışı aktarım mekanizması yok. Şirketin ChatGPT kullandığı biliniyor, ama bu kullanımın yurt dışı kişisel veri aktarımı anlamına geldiği henüz fark edilmemiş.
Aydınlatma metni güncellenmemiş. Yıllardır kullanılan aydınlatma metni, yapay zekâ kullanımını kapsayacak şekilde güncellenmemiş.
YZ politikası yok. Çalışanlar araçları bireysel tercihlerine göre kullanıyor; şirketin ne kullanılabileceğine, ne kullanılamayacağına ve nasıl kullanılacağına dair yazılı bir çerçevesi bulunmuyor.
Nereden Başlamalısınız?
Her şeyi aynı anda yapmak gerekmez. Ama bir yerden başlamak gerekiyor.
Önerilen ilk adım şu soruyu yanıtlamak: Şirketinizde şu an hangi yapay zekâ araçları kullanılıyor ve bu araçlarla hangi veriler paylaşılıyor?
Bu soruyu yanıtladığınızda hangi yükümlülüklerin devreye girdiğini görebilirsiniz. Hexis'in KVKK Uyum Checklist aracı bu soruyu yanıtlamanıza yardımcı olmak için beş KVKK belgesi temelinde güncelleniyor.
Kaynaklar
1. Kişisel Verileri Koruma Kurumu. Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler. KVKK Yayınları No. 76, Eylül 2021. kvkk.gov.tr
2. Kişisel Verileri Koruma Kurumu. Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu. KVKK Yayınları No. 82, Kasım 2024. kvkk.gov.tr
3. Kişisel Verileri Koruma Kurumu. Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda). KVKK Yayınları No. 113, Kasım 2025. kvkk.gov.tr
4. Kişisel Verileri Koruma Kurumu. Etken Yapay Zekâ (Agentic AI). Şubat 2026. kvkk.gov.tr
5. Kişisel Verileri Koruma Kurumu. İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı. Mart 2026. kvkk.gov.tr