Sorularınızı yanıtlayın, uyum profilinizi görün ve öncelikli adımlarınızı alın.
Şirketinizin sektörü:
1
YZ Araç Envanteri ve Kişisel Veri Kapsamı
S1. Şirketinizde herhangi bir yapay zekâ aracı kullanılıyor mu? (ChatGPT, Microsoft Copilot, Google Gemini, Notion AI, sektöre özel YZ araçları vb.)
Yasal Dayanak
KVKK Madde 2 — kanun tamamen veya kısmen otomatik yollarla işlenen veriler için geçerlidir. YZ araçları bu kapsama girer.
S2. Bu araçları şirketinizde kimler kullanıyor?
Yasal Dayanak
KVKK Madde 12/4 — kişisel verileri öğrenen herkes işleme amacı dışında kullanamaz. Kullanıcı tabanı bilinmeden bu yükümlülük yönetilemez.
S3. Bu araçların tamamı şirket tarafından kurumsal hesapla mı satın alındı?
Yasal Dayanak
KVKK Madde 12/2 — veri sorumlusu, kişisel verilerin kendi adına başka bir tüzel kişi tarafından işlenmesi hâlinde müştereken sorumludur.
S3a. Çalışanlarınızın şirketin onaylamadığı YZ araçlarını iş süreçlerinde kullandığına dair bilginiz ya da şüpheniz var mı?
Yasal Dayanak
KVKK Belge 5 (Mart 2026) — gölge YZ kullanımı kurumsal politikanın yokluğunda kaçınılmaz. KVKK Madde 12/1 uyarınca "bilmiyordum" idari tedbir yükümlülüğünü ortadan kaldırmaz.
S4. Şirketinizdeki YZ araçlarına girilen kişisel veri türleri nelerdir?
Yasal Dayanak
KVKK Madde 3/d — kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir.
S5. Özel nitelikli veri uyarısı
S6. Şirketinizdeki tüm YZ araçlarının yazılı bir listesi var mı?
Yasal Dayanak
KVKK Madde 12/3 — veri sorumlusu gerekli denetimleri yapmak veya yaptırmak zorundadır. Envanter olmadan denetim yapılamaz.
2
Kişisel Veri İşleme Şartları ve Aktarım Mekanizmaları
S7. Şirketiniz, YZ araçlarına girilen kişisel veriler için bir hukuki işleme şartına dayanıyor mu? (Açık rıza, sözleşme ifası, hukuki yükümlülük, meşru menfaat vb.)
Hukuki işleme şartı nedir?
KVKK, kişisel verilerin yalnızca belirli hukuki gerekçelere dayanılarak işlenebileceğini söylüyor. En yaygın şartlar:
— Açık rıza: Kişi verilerinin işlenmesine onay verdi.
— Sözleşme ifası: Veri, sözleşmeyi yerine getirmek için gerekli.
— Meşru menfaat: Şirketin meşru çıkarı var ve kişinin hakları buna zarar görmüyor.
Hangisine dayandığınızı bilmiyorsanız bu en kritik açıktır. (KVKK Madde 5)
Yasal Dayanak
KVKK Madde 5/1 — kişisel veriler açık rıza olmaksızın işlenemez. Madde 5/2 — altı istisna şartından biri zorunlu.
S8. Çalışanlarınız müşteri veya üçüncü kişilere ait verileri YZ araçlarına girmeden önce bu kişiler bilgilendiriliyor mu?
Yasal Dayanak
KVKK Madde 10 — aydınlatma yükümlülüğü. Veri elde edilirken kişiye kim işliyor, ne amaçla, kime aktarılıyor bilgisi verilmeli. YZ aracına veri girmek "aktarım" sayıldığından mevcut aydınlatma metinleri çoğunlukla bunu kapsamıyor.
S9. Kullandığınız YZ araçlarının sunucuları hangi ülkede bulunuyor?
En yaygın araçların sunucu konumları:
ChatGPT (ücretsiz/Plus): ABD
ChatGPT Enterprise: ABD
Microsoft Copilot: AB veya ABD (lisansa göre)
Google Gemini: ABD
Notion AI: ABD
Araçlarınızın Türkiye'de barındırıldığını belirttiniz. Ancak yedek sunucular yurt dışında olabilir. Aşağıdaki soruyu yine de değerlendirin.
Yasal Dayanak
KVKK Madde 9 — yurt dışı aktarım mekanizması zorunluluğu.
S10. Yurt dışı sunucularda işlenen veriler için KVKK'nın öngördüğü aktarım mekanizmasını uyguladınız mı?
S9'da Türkiye'de dediniz. Ancak yurt dışı yedek sunucu olasılığı nedeniyle bu soruyu yine de değerlendirin.
Yasal Dayanak
KVKK Madde 9/4-c — standart sözleşme yeterli güvence mekanizması. Madde 9/5 — imzadan itibaren 5 iş günü içinde KVKK'ya bildirim zorunlu. Bildirilmemesi: KVKK Madde 18/1-d kapsamında 90.308-1.806.177 TL idari para cezası (2026). Mekanizma hiç kurulmamışsa: Madde 9 ihlali, Kurul incelemesi yoluyla ek yaptırım.
S11. Kullandığınız YZ aracı, girdiğiniz verileri kendi sistemini geliştirmek için kullanıyor olabilir. Bunu kontrol ettiniz mi?
Bazı YZ araçları, özellikle ücretsiz versiyonlar, kullanıcıların girdiği verileri modeli iyileştirmek için kullanabiliyor. Kurumsal lisanslarda bu genellikle kapalıdır; sözleşmenizde doğruladınız mı?
Yasal Dayanak
KVKK Madde 4/2-ç — işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi.
3
Veri Sorumluluğu, Politika ve Kayıt Yükümlülükleri
S12. Şirketinizin aydınlatma metni, kişisel verilerin YZ araçlarıyla işlendiğini kapsıyor mu?
Yasal Dayanak
KVKK Madde 10 — veri sorumlusu, kişisel verilerin kimlere aktarılabileceğini bildirmek zorunda. YZ aracı bir aktarım noktası; mevcut aydınlatma metinlerinin büyük çoğunluğu 2024 öncesi yazılmış ve YZ'yi kapsamıyor.
S13. Her YZ aracı için şirketiniz veri sorumlusu mu, veri işleyen mi olduğunu belirledi mi?
Veri sorumlusu ve veri işleyen ne demek? Veri sorumlusu: Hangi verinin toplandığına, neden ve nereye gönderileceğine karar veren taraf. YZ kullanan şirket genellikle bu konumdadır. Veri işleyen: Bu kararlar doğrultusunda veriyi teknik olarak işleyen taraf. ChatGPT, Copilot, Gemini gibi araçlar genellikle bu konumdadır.
Veri sorumlusu olarak şirketiniz, veri işleyenin güvenli çalıştığından emin olmakla yükümlüdür. Bu sorumluluk "biz kullanmadık, araç işledi" diyerek devredilemez. (KVKK Madde 12/2)
Yasal Dayanak
KVKK Madde 3/ğ — veri işleyen tanımı. Madde 3/ı — veri sorumlusu tanımı.
S14. Çalışanlarınıza YZ araçlarını kullanırken hangi verileri girip giremeyeceklerini anlatan yazılı bir politika veya kural seti var mı?
Yasal Dayanak
KVKK Madde 12/1 — idari tedbir yükümlülüğü. Madde 12/4 — çalışanlar kişisel verileri işleme amacı dışında kullanamaz. KVKK Belge 5 (Mart 2026) — kurumsal YZ politikası bu yükümlülüğün somut karşılığı.
S15. Çalışanlarınız KVKK kapsamında kişisel veri güvenliği konusunda eğitim aldı mı?
Yasal Dayanak
KVKK Madde 12/1 — idari tedbir. KVKK Belge 5 — çalışan eğitimi zorunluluğu. Not: "Planlanıyor" yanıtı orta-düşük risk olarak değerlendirilir; yükümlülük aktif.
S16. Şirketiniz VERBİS'e kayıtlı mı?
VERBİS nedir?
Kişisel Verileri Koruma Kurumu'nun tuttuğu Veri Sorumluları Sicili. Kişisel veri işleyen şirketlerin kayıt yaptırması zorunlu.
Muaf misiniz? İki kriteri birlikte sağlayanlar kayıt yaptırmak zorunda değil:
— Çalışan sayısı 50'nin altında VE
— Yıllık mali bilanço 25 milyon TL'nin altında.
İkisini birden sağlıyorsanız VERBİS'ten muafsınız; ama diğer KVKK yükümlülükleriniz devam ediyor.
Daha fazla bilgi: verbis.kvkk.gov.tr
Yasal Dayanak
KVKK Madde 16 — veri sorumluları sicili. Veri işlemeye başlamadan önce kayıt zorunlu.
S17. Şirketinizde YZ araçlarının kullanımından sorumlu belirlenmiş bir kişi ya da birim var mı?
Yasal Dayanak
KVKK Madde 12/3 — denetim yükümlülüğü. Sorumlu kişi olmadan denetim ve ispat mekanizması işlemiyor.
4
Hesap Verebilirlik ve Belgelendirme Yükümlülükleri
S18. YZ araçlarına ilişkin kişisel veri işleme faaliyetleriniz yazılı olarak kayıt altında mı? (Hangi araç, hangi veri, hangi amaç, hangi hukuki dayanak)
Yasal Dayanak
KVKK Madde 12/3 — denetim yükümlülüğü. KVKK Belge 3 — hesap verebilirlik ispat yükümlülüğü. Denetim geldiğinde "yapıyoruz" demek yetmiyor; kayıt göstermek gerekiyor.
S19. Yurt dışı YZ araçlarıyla imzaladığınız standart sözleşmeleri ve KVKK'ya yapılan bildirimleri saklıyor musunuz?
Yaptığınızı değil, sakladığınızı soruyoruz.
Yasal Dayanak
KVKK Madde 9/5 — standart sözleşme 5 iş günü içinde bildirilmeli. Denetimde hem sözleşme hem bildirim belgesi istenebilir.
Eğitim vermek yeterli değil; denetimde kanıtlamanız gerekiyor.S20. Çalışanlarınızın aldığı KVKK ve YZ eğitimlerine ilişkin kayıt tutuluyor mu?
Yasal Dayanak
KVKK Madde 12/3 — denetim yükümlülüğü. KVKK Belge 5 — çalışan eğitimi zorunluluğu kayıt gerektiriyor.
S21. Kişisel veri ihlali durumunda uygulanacak yazılı bir prosedürünüz var mı? (KVKK'ya ve ilgili kişilere bildirim süreci)
Yasal Dayanak
KVKK Madde 12/5 — ihlal durumunda en kısa sürede ilgilisine ve Kurula bildirim zorunlu. Prosedür olmadan bildirim süresi kaçırılıyor; bu ayrı bir ihlal.
S22. YZ araçlarınızın kullanımını ve veri işleme faaliyetlerinizi düzenli aralıklarla gözden geçiriyor musunuz?
Yasal Dayanak
KVKK Madde 12/3 — denetim yükümlülüğü sürekli, tek seferlik değil. KVKK Belge 4 — kullanım sonrası izleme mekanizması.
Değerlendirmenizde tespit edilen bir veya daha fazla açık, genel uyum düzeyinden bağımsız olarak doğrudan yasal risk oluşturuyor.
Blok 1 — YZ Araç Envanteri
Blok 2 — İşleme ve Aktarım
Blok 3 — Sorumluluk ve Politika
Blok 4 — Hesap Verebilirlik
Kişiselleştirilmiş yol haritanızı almak için bilgilerinizi girin
Şirket adı *
E-posta *
Ad-Soyad *
Bilgileriniz yalnızca raporunuzu kişiselleştirmek için kullanılır. Üçüncü taraflarla paylaşılmaz.
Yol haritanız hazırlanıyor...
KVKK × Yapay Zekâ Uyum Raporu
Kritik Tetikleyiciler
Acil (0-30 Gün)
Önemli (30-90 Gün)
Standart (90+ Gün)
Değerlendirmenize göre kritik bir açık tespit edilmedi. Uyum durumunuzu korumak için periyodik gözden geçirme önerilir.
Sonraki adım
Bu raporu referans alarak uyum sürecinize başlayabilirsiniz. Değerlendirmeyi tekrarlamak veya güncel durumunuzu takip etmek için bu sayfayı kaydedin.
Bu değerlendirme KVKK uyum sürecinizi yapılandırmanıza yardımcı olmak amacıyla tasarlanmıştır. Hukuki tavsiye niteliği taşımaz. Şirketinize özgü değerlendirme için bir avukata veya KVKK uzmanına danışmanızı öneririz.