Genel Bakış
Her ikisi de yürürlükte — öncelikleri farklı
KVKK kişisel verinin korunmasına odaklanıyor; EU AI Act AI sisteminin yönetişimine. Aynı AI sistemine iki ayrı hukuki perspektiften bakıyorlar.
KVKK — 6698 Sayılı Kanun
Kişisel verinin korunması
- Kişisel veri işleme şartları (Md. 5)
- Özel nitelikli veri koruması (Md. 6)
- Aydınlatma yükümlülüğü (Md. 10)
- VERBİS kaydı (Md. 16)
- Yurt dışı aktarım kısıtı (Md. 9)
EU AI Act — 2024/1689
AI sisteminin yönetişimi
- Risk sınıflandırması (Md. 6)
- İnsan gözetimi (Md. 14)
- Kalite yönetim sistemi (Md. 17)
- Piyasa sonrası izleme (Md. 72)
- Şeffaflık zinciri (Md. 13 + 86)
Bölüm 1
Örtüşen yükümlülükler
Her iki çerçeve aynı pratik sonucu istiyor — ama gerekçe ve uygulama kapsamı farklı. Biri diğerini otomatik karşılamıyor.
| Alan | KVKK | EU AI Act |
|---|---|---|
| Hukuki dayanak | Md. 5Açık rıza olmaksızın kişisel veri işlenemez; istisnalar kanunda sayılı. | Md. 10Veri yönetimi mevcut hukuka (GDPR dahil) uygun olmalı. |
| Veri minimizasyonu | Md. 4(2)(ç)Veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı. | Md. 10(2)Eğitim ve test verisi amaca bağlı, temsili ve yeterli olmalı. |
| Özel kategori veri | Md. 6İşleme yasak; istisnalar dar ve kanuni. Sağlık/cinsel hayat verisi çok dar koşullarda. | Md. 10(5)Bias tespiti amacıyla koşullu işleme izni: başka yol yoksa, erişim kontrollü, işlem sonrası silinecek. |
| Güvenlik önlemleri | Md. 12Veri sorumlusu teknik ve idari tedbirleri almak zorunda. | Md. 15Yüksek riskli sistemler doğruluk, sağlamlık ve siber güvenlik gerekliliklerini karşılamalı. |
Her iki çerçeve aynı anda karşılanmalı. Kişisel veri içeren her AI sistemi için başlangıç noktası KVKK uyumudur — EU AI Act bu zeminin üzerine inşa edilir.
Bölüm 2
Sadece birinde olan yükümlülükler
Bu yükümlülükler diğer çerçevede karşılık bulamıyor — ayrıca ele alınmaları gerekiyor.
Sadece KVKK'da
Md. 10
Aydınlatma yükümlülüğü
Veri toplarken kimin topladığı, ne amaçla ve kime aktarıldığı bilgisi verilmeli. EU AI Act bunu GDPR'a havale ediyor; Türkiye için KVKK Md. 10 bağımsız bir yükümlülük.
Md. 9
Yurt dışı aktarım kısıtı
Kişisel veriyi yurt dışına aktarmak için Kurul yeterlilik kararı veya uygun güvenceler şart. Bulut tabanlı yabancı modellere veri göndermek bu maddeyi tetikliyor.
Md. 16
VERBİS kaydı
Veri sorumluları sicile kayıt olmak zorunda. EU AI Act'te benzer kayıt var (Md. 49 — AB veritabanı) ama Türkiye için VERBİS ayrı ve bağımsız bir yükümlülük.
Md. 11(g)
Otomatik karara itiraz
Münhasıran otomatik sistemlerin analizi sonucu aleyhine çıkan karara itiraz hakkı. Bugün yürürlükte; EU AI Act Md. 86'nın AI'ya özgü versiyonundan daha geniş kapsama sahip olabilir.
Sadece EU AI Act'te
Md. 14
İnsan gözetimi
Yüksek riskli sistemlerde insan müdahalesi imkânı tasarımsal olarak sağlanmalı. KVKK'da proaktif gözetim yükümlülüğü yok.
Md. 17
Kalite yönetim sistemi
Provider'ın belgelenmiş bir QMS kurması gerekiyor. KVKK'da kurumsal yönetim sistemi yükümlülüğü yok.
Md. 72
Piyasa sonrası izleme
Provider sistem piyasadayken aktif izleme planı uygulamalı. KVKK bu boyutu kapsamıyor.
Md. 86
Açıklama hakkı
Yüksek riskli AI kararından etkilenen kişi, sistemin rolünün açıklanmasını talep edebilir. KVKK Md. 11(g)'de itiraz hakkı var ama "açıklama" bu düzeyde değil.
Bölüm 3 — En Kritik
Gerilim noktaları
Teorik çelişki yok — pratik uyum karmaşık. Bu üç alan öncelikli yönetim gerektiriyor.
KVKK Md. 6
Özel nitelikli veri işleme yasak; mevcut istisnalar AI bias tespitini doğrudan kapsamıyor. Hukuki dayanak belirsizliği mevcut.
EU AI Act Md. 10(5)
Irk, etnik köken gibi özel kategori verinin bias tespiti amacıyla işlenmesine katı koşullarla izin veriyor.
KVKK Md. 4(2)(d) + Md. 7
Veriler işlendikleri amaç için gerekli süre kadar saklanabilir. Amaç ortadan kalktığında silinmeli.
EU AI Act Md. 26(6)
Deployer, otomatik log'ları en az 6 ay saklamak zorunda. Uygulanabilir ulusal hukuk aksini öngörmedikçe.
KVKK Md. 10
Şeffaflık yükümlülüğü doğrudan bireye yönelik — veri sorumlusu aydınlatma metnini bireye iletmek zorunda.
EU AI Act Md. 13 + 86
Provider → Deployer → Birey zinciri. Provider bilgi vermezse deployer KVKK yükümlülüğünü nasıl yerine getirecek?
Bu gerilimler uyumsuzluk değil — yönetilmesi gereken kesişimler. Gerilim noktalarında uyum stratejisi üretmek ORIENT'in Identify ve Evaluate aşamalarının çıktısıdır. Bu sayfa yalnızca bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz.
Görsel Özet
5 slayta karşılaştırma
LinkedIn'de paylaşılan carousel — tüm analizi kompakt formatta.
← → tuşları veya butonlarla geçiş yapın
AI sisteminiz hangi maddeleri tetikliyor?
Risk Sınıflandırıcı ile sisteminizin EU AI Act ve KVKK kapsamındaki yükümlülüklerini belirleyin. ORIENT metodolojisiyle yapılandırılmış, Türk KOBİ'lere özel.