Bloga dön

İşletmeler için AI

Çalışanlarınız ChatGPT Kullanıyor (Haberiniz Olsun): Şirket AI Politikası Rehberi

Araştırmalara göre çalışanların %57'si AI kullanımını işvereninden gizliyor. Yasaklamak çözüm değil: Samsung'un 3 yıllık dersi ve 9 başlıklı şirket AI politikası iskeleti bu rehberde.

13 Temmuz 20268 dakika3 görüntülenme

Küçük bir tahmin oyunu oynayalım: Şirketinizde kaç kişi işini yaparken ChatGPT, Gemini ya da Claude kullanıyor? "Bizde öyle şeyler yok" diyorsanız, kötü haberimiz var. KPMG ve Melbourne Üniversitesi'nin 47 ülkede 48 binden fazla çalışanla yaptığı 2025 araştırmasına göre çalışanların %57'si yapay zeka kullanımını işvereninden gizliyor ve AI çıktısını kendi emeği gibi sunuyor. Yani soru "kullanıyorlar mı?" değil; "neyi, hangi hesapla ve hangi veriyle kullanıyorlar?"

Bu yazıda iş yerinde ChatGPT kullanımı gerçeğini rakamlarla ortaya koyacağız, Samsung'un üç yılda yasaktan tam kucaklamaya uzanan hikâyesinden dersler çıkaracağız ve asıl önemlisi: şirketiniz için bugün yazabileceğiniz, 9 başlıklı somut bir AI politikası iskeleti vereceğiz. Konuya daha geniş bir çerçeveden bakmak isterseniz işletmeler için yapay zeka uçtan uca rehberimize de göz atabilirsiniz.

Gölge yapay zeka nedir, şirketinizde neden kesin var?

Gölge yapay zeka (shadow AI), çalışanların BT biriminin ya da yönetimin onayı ve bilgisi olmadan yapay zeka araçları kullanmasıdır. Araştırmalar bunun istisna değil kural olduğunu gösteriyor: Microsoft'un Work Trend Index verisine göre bilgi işçilerinin %78'i kendi AI aracını işe kendisi getiriyor. Yasaklasanız da var, görmezden gelseniz de var.

Rakamlar tabloyu netleştiriyor. Gartner'ın 500 şirketi kapsayan araştırmasına göre onaylanmamış AI aracı kullanan çalışan oranı 2023'te %41 iken %68'e çıktı. Cisco'nun 30 ülkede 8 bin karar vericiyle yaptığı 2025 hazırlık endeksine göre kuruluşların %81'i çalışanlarının AI kullanımına dair görünürlüğe sahip değil.

İşin Türkiye'ye özgü çarpıcı tarafı şu: TÜİK'in 2025'te ilk kez yayımladığı yapay zeka istatistiklerine göre girişimlerin sadece %7,5'i resmî olarak yapay zeka kullanıyor. Bireysel kullanım verileriyle yan yana koyunca ortaya bir makas çıkıyor — şirketler "kullanmıyoruz" derken çalışanlar çoktan kullanmaya başlamış durumda. Sahada biz de aynısını görüyoruz: AI projesi konuştuğumuz şirketlerin çoğunda, daha proje başlamadan en az bir departmanın ücretsiz ChatGPT'yle kendi mini otomasyonunu kurduğu ortaya çıkıyor.

Samsung'dan üç yıllık ders: yasakla, pişman ol, kucakla

Samsung örneği, yasakçı yaklaşımın neden sürdürülemez olduğunun en net kanıtı. 2023'te veri sızıntısı yüzünden ChatGPT'yi tamamen yasaklayan şirket, Haziran 2026'da tam tersine döndü ve yaklaşık 125 bin çalışanına kurumsal ChatGPT erişimi dağıttı. Üç yıllık yolculuğun özeti: sorun aracın kendisi değil, kontrolsüz kullanımıydı.

Hikâyenin başı ders kitaplarına girecek cinsten. Nisan 2023'te, yaklaşık 20 gün içinde üç ayrı olayda Samsung mühendisleri yarı iletken ekipmanlarına ait kaynak kodu, test dizilerini ve gizli bir toplantı tutanağını ChatGPT'ye yapıştırdı. Şirket Mayıs 2023'te tüm harici üretken AI araçlarını şirket cihazlarında yasakladı. Aynı dönemde Apple, JPMorgan, Goldman Sachs gibi devler de benzer kısıtlamalar getirdi.

Peki sonra ne oldu? Haziran 2026'da Samsung, OpenAI ile anlaşarak ChatGPT Enterprise ve Codex'i Kore'deki tüm çalışanlarına ve küresel cihaz bölümüne yaydı; OpenAI bunu "en büyük kurumsal lansmanlarımızdan biri" diye duyurdu. Üstelik Samsung tek sağlayıcıya da bağlanmadı; Gemini ve Claude'u da içeren çok tedarikçili bir kurumsal yapı kuruyor.

Yasaklayan şirket bile üç yıl sonra "kurumsal hesap + yazılı kurallar + kontrol" modeline geçti. Fark şu: 2023'te çalışanlar gizlice ve ücretsiz hesapla kullanıyordu; 2026'da açıkça ve sözleşmesel veri garantisiyle kullanıyorlar.

Çalışanlar yapay zekaya gerçekte ne giriyor?

Harmonic Security'nin 1 milyondan fazla promptu ve 20 binden fazla yüklenen dosyayı incelediği analize göre, çalışanların AI araçlarına yüklediği dosyaların yaklaşık beşte birinde hassas kurumsal veri var. Sızan içeriğin başında kaynak kod (%30), hukuki belgeler (%22), birleşme-satın alma verileri ve finansal projeksiyonlar geliyor. KPMG araştırmasında da çalışanların %48'i hassas şirket verisini herkese açık AI araçlarına girdiğini kabul ediyor.

Asıl kritik bulgu şu: hassas girdilerin ezici çoğunluğu ücretsiz bireysel hesaplardan yapılıyor. Bu neden önemli? Çünkü ücretsiz ChatGPT'de, ilgili ayarı kapatmadıysanız sohbetleriniz model eğitiminde kullanılabiliyor. Kurumsal planlarda ise bu sözleşmeyle engelleniyor — birazdan detaylandıracağız.

Riskin teorik olmadığını gösteren taze bir vaka da var: 2025 yazında ChatGPT'nin "sohbeti paylaş ve keşfedilebilir yap" özelliğini kullanan yaklaşık 4.500 sohbet Google aramasında indekslendi; içlerinde isimler, e-postalar ve CV'ler vardı. OpenAI özelliği kaldırıp linkleri temizletti. Not düşelim: paylaşılmamış özel sohbetler sızmadı — ama olay, "paylaş" butonuna basan tek bir çalışanın neleri görünür kılabileceğini gösterdi.

İş yerinde ChatGPT kullanımı Türkiye'de hangi kurallara tabi?

Türkiye'de iş yerinde ChatGPT kullanımı iki düzenleme alanına dokunuyor: kişisel verilerin korunması (KVKK) ve iş hukuku. KVKK, Kasım 2025'te "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi"ni, 2026 başında ise doğrudan iş yerlerindeki kullanımı ele alan bir duyuruyu yayımladı. Yani "düzenleme yok, rahatız" dönemi kapandı.

Bu duyurunun dikkat çeken tarafı, KVKK'nın "gölge yapay zekâ" terimini resmen kullanması: kurum, BT biriminin veya üst yönetimin onayı olmadan benimsenen araçlara özellikle işaret ediyor ve yasak yerine farkındalık ile bilinçli kullanım öneriyor. KVKK rehberinin işletmenize ne dediğini ayrı bir yazıda 10 somut kurala çevirdik; yayımlandığında bu kümeden ulaşabilirsiniz.

KVKK boyutunun en çok atlanan kısmı şu: ChatGPT gibi sunucuları yurt dışında olan bir araca müşteri ya da çalışan verisi girmek, hukuken kişisel verilerin yurt dışına aktarımı sayılıyor ve KVKK'nın 9. maddesindeki şartlara tabi. "Sadece bir soru sordum" diye düşünülen şey, mevzuat gözünde veri aktarımı olabiliyor.

İş hukuku tarafında da tablo net: şirket verisini izinsiz bir AI aracına girmek sadakat yükümlülüğünün ihlali sayılabiliyor; ticari sır veya kişisel veri paylaşımı İş Kanunu kapsamında haklı fesih gerekçesine kadar gidebiliyor. Ama madalyonun öbür yüzü işverenleri ilgilendiriyor: yaptırım uygulayabilmek için ortada önceden yazılı ve tebliğ edilmiş bir politika olması pratikte şart. Kural koymadıysanız, ihlalini de iddia edemezsiniz.

Yasaklamak neden işe yaramaz?

Yasak, kullanımın yerini değil sadece görünürlüğünü değiştirir. Çalışan şirket bilgisayarında engellenen aracı kendi telefonundan açar; BT'nin göremediği yerde, ücretsiz hesapla, en riskli biçimde kullanmaya devam eder. KPMG'nin %57 gizleme oranı tam olarak bunun fotoğrafı: yasak, riski azaltmıyor, denetlenemez hale getiriyor.

Üstelik yasağın bir de fırsat maliyeti var. Aynı araştırmalar, çalışanların AI'ı verimlilik için kullandığını ve çoğu zaman gerçekten zaman kazandığını gösteriyor. Yasakçı şirket hem riski yeraltına itiyor hem de verimlilik kazanımından vazgeçiyor. İngiltere'de Çalışma ve Emeklilik Bakanlığı'nın ChatGPT yasağını kaldırıp yerine "kabul edilebilir kullanım politikası" getirmesi, kamu tarafında bile rüzgârın yönünü gösteriyor.

Bizim sahada gördüğümüz denklem basit: yasak + ihtiyaç = gölge kullanım; izin + kural = yönetilebilir kullanım.

Şirket AI politikası nasıl yazılır? 9 başlıklı iskelet

İyi bir şirket AI politikası tek sayfada özetlenebilecek kadar sade, ama 9 başlığı da kapsayacak kadar eksiksiz olmalı: amaç ve kapsam, tanımlar, izinli araçlar, yasak veri türleri, yasak kullanım biçimleri, doğrulama yükümlülüğü, veri ve fikri mülkiyet hükümleri, ihlal süreci ve eğitim takvimi. Bu yapı, NIST'in AI Risk Yönetim Çerçevesi ve ISO/IEC 42001 standardının "kabul edilebilir kullanım" kontrolleriyle de uyumlu.

Her başlığın içini şöyle doldurun:

  • 1. Amaç ve kapsam: Politika kimleri bağlıyor? Kadrolu çalışan, taşeron, stajyer, ajans — hepsini sayın. Hangi sistemleri kapsıyor (sohbet botları, kod asistanları, görsel üretim araçları)?
  • 2. Tanımlar: "Üretken yapay zeka", "hassas veri", "onaylı araç" ne demek? Tartışma çıkmaması için tanımlayın.
  • 3. İzinli araçlar listesi: Araç adı + hesap türüyle birlikte yazın: "ChatGPT Business hesabı — izinli; ücretsiz bireysel ChatGPT — izinli değil." Liste yaşayan bir belge olsun, çeyrekte bir güncellensin.
  • 4. Yasak veri türleri: TC kimlik numarası ve her türlü müşteri kişisel verisi, finansal tablolar, kaynak kod, sözleşmeler, sağlık verisi, ticari sırlar. "Bu listedekiler hiçbir AI aracına girilmez" cümlesi net dursun.
  • 5. Yasak kullanım biçimleri: Yoruma yer bırakmayan "asla" listesi: işe alım/işten çıkarma kararını AI'a bırakmak, AI çıktısını kontrolsüz müşteriye göndermek, müşteri adına AI ile sözleşme taslağı üretip incelemeden imzaya sunmak.
  • 6. Doğrulama yükümlülüğü: Hangi çıktılar insan kontrolünden geçmeden dışarı çıkamaz? (Müşteriye giden her şey, hukuki metinler, finansal hesaplar.) KPMG araştırmasında çalışanların üçte ikisinin AI yanıtlarını hiç doğrulamadığını hatırlayın.
  • 7. Veri ve fikri mülkiyet: Tedarikçiyle sözleşmede "verilerimiz model eğitiminde kullanılmaz" garantisi arayın; AI destekli üretilen işlerin fikri mülkiyet durumunu netleştirin.
  • 8. İhlal ve yaptırım: Kademeli süreç: bildirim → düzeltme → tekrarında disiplin. Amaç korkutmak değil; çalışanın "yanlışlıkla girdim" durumunu ceza korkusu olmadan bildirebilmesi.
  • 9. Eğitim ve gözden geçirme: Yılda en az bir eğitim, politikanın 6 ayda bir gözden geçirilmesi. KPMG verisi burada da konuşuyor: çalışanların yarısından azı resmî AI eğitimi almış.

Kurumsal hesap mı, bireysel hesap mı? Fiyatlar ne diyor?

Kurumsal AI hesapları sanıldığı kadar pahalı değil ve temel farkları fiyat değil veri garantisi: ChatGPT Business kullanıcı başına aylık yaklaşık 25-30 dolar, Google Workspace'in Gemini içeren planları yaklaşık 14 dolardan başlıyor, Claude'un kurumsal planları da benzer bantta. Üçünde de ortak nokta, girdilerinizin model eğitiminde kullanılmayacağının sözleşmeyle garanti edilmesi.

Kabaca bir hesap yapalım: 10 kişilik bir ekip için ChatGPT Business yılda yaklaşık 3.000 dolar, güncel kurla 120-130 bin TL civarı eder. Tek bir müşteri verisi sızıntısının KVKK cezası, itibar kaybı ve müşteri kaybı olarak maliyetiyle karşılaştırınca, kurumsal hesap bir lüks değil sigorta. Hangi araç ve hesap yapısının size uyduğuna bütçe penceresinden bakmak isterseniz bütçenize göre AI projesi senaryoları yazımız somut bir başlangıç noktası sunar.

Sık sorulan sorular

Çalışan iş yerinde ChatGPT kullanabilir mi?

Evet — işverenin yazılı politikası çerçevesinde. Politika yoksa kullanım gri alandadır: çalışan açısından fesih riski, işveren açısından denetlenemeyen veri sızıntısı riski doğar. Çözüm yasak değil, sınırları net bir izin belgesidir.

ChatGPT'ye şirket verisi girmek güvenli mi?

Ücretsiz bireysel hesapta güvenli sayılmaz: veriler ayara bağlı olarak eğitimde kullanılabilir ve 2025'teki indeksleme vakası paylaşım özelliklerinin risklerini gösterdi. Kurumsal hesaplarda ise sözleşmesel "eğitimde kullanılmaz" garantisi vardır; yine de yasak veri listesindekiler (kişisel veri, ticari sır) hiçbir hesaba girilmemelidir.

Politikayı kim yazmalı?

İdeal ekip üç kişiliktir: süreçleri bilen bir yönetici, KVKK boyutu için hukuk desteği ve araçları bilen bir teknik göz. Dev bir proje değil; ilk sürüm, bu yazıdaki iskeletle bir haftada çıkarılabilir. Mükemmel olmasını beklemeyin — var olan ama güncellenen bir politika, kusursuz ama hiç yazılmayandan iyidir.

Peki siz ne yapmalısınız?

Bu haftadan başlayabileceğiniz beş adım:

  • Önce fotoğraf çekin: Anonim bir anketle ekibinize hangi AI araçlarını ne için kullandıklarını sorun. Ceza değil merak tonuyla — amaç gölgedekini görünür kılmak.
  • Kırmızı çizgileri hemen ilan edin: Politika tamamlanana kadar tek maddelik bir ara kural yayınlayın: "Müşteri verisi, kişisel veri ve kaynak kod hiçbir AI aracına girilmez."
  • 9 başlıklı iskeletle politikanızı yazın ve her çalışana imza karşılığı tebliğ edin — iş hukuku tarafında elinizi güçlendiren adım bu.
  • En çok kullanılan araç için kurumsal hesaba geçin: Kişi başı aylık 25-30 dolarlık maliyet, ücretsiz hesapların veri riskine karşı en ucuz sigorta.
  • Yılda bir eğitim, altı ayda bir güncelleme takvimini şimdiden ajandaya koyun; araçlar hızla değişiyor, politika da yaşamalı.

Özetle: çalışanlarınız yapay zekayı zaten kullanıyor — soru, bunun sizin kurallarınızla mı yoksa şansa mı yönetileceği. Samsung'un üç yılda vardığı sonuca siz üç haftada varabilirsiniz. Politikanızı kurarken araç seçimi, kurumsal hesap yapısı ya da KVKK uyumlu bir iç asistan kurulumu konuşmak isterseniz kapımız açık.

Bu Yazıyı Paylaş

Yorumlar

Yorum Yaz

Yorum yapmak için giriş yapmalısınız.

Giriş Yap

Henüz yorum yapılmamış. İlk yorumu sen yap!

Okuduğunuz fikri gerçek bir ürüne dönüştürelim.

Projeyi konuşalım