İşletmeler için AI
KVKK'nın Üretken Yapay Zeka Rehberi: Şirketiniz İçin 10 Somut Kural
KVKK'nın Kasım 2025'te yayımladığı 64 sayfalık üretken yapay zeka rehberini işletme diline çevirdik: 10 somut kural, gerçek bir ihlal senaryosu ve 2026 ceza rakamlarıyla uyum planı.
Kasım 2025'te sessiz sedasız önemli bir şey oldu: Kişisel Verileri Koruma Kurumu, 64 sayfalık "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi"ni yayımladı. Yani Türkiye'de "yapay zeka konusunda henüz kural yok, rahatız" dönemi resmen kapandı. Rehberi hukukçular inceledi ve — doğal olarak — hukukçu diliyle özetlediler. Ama ChatGPT'yi müşteri maillerine cevap yazdırmak için kullanan işletme sahibinin "veri sorumlusunun hesap verebilirlik yükümlülüğü" cümlesinden çıkaracağı bir aksiyon yok.
Biz bu yazıda tersini yapacağız: rehberin tamamını okuduk ve KVKK yapay zeka kurallarını işletme diline çevirdik — 10 somut kural, her biri "yarın sabah ne yapacağım?" sorusuna cevap verecek şekilde. Şirketinizde yapay zekayı daha geniş planlıyorsanız işletmeler için yapay zeka uçtan uca rehberimiz bu yazının büyük resmini çizer.
KVKK'nın üretken yapay zeka rehberi nedir, kimi bağlar?
Rehber, KVKK'nın 24 Kasım 2025'te yayımladığı, üretken yapay zeka kullanan herkesi — ChatGPT'ye soru soran çalışandan kendi chatbot'unu kurduran şirkete kadar — ilgilendiren 15 soruluk resmî bir yol haritası. Teknik olarak "tavsiye" niteliğinde; ama dayandığı 6698 sayılı Kanun bağlayıcı olduğu için, rehbere aykırı pratikler pekâlâ idari para cezasıyla sonuçlanabilir.
Rehberin bir özelliği dikkat çekici: kaynakçası Avrupa Veri Koruma Kurulu (EDPB), Fransız CNIL ve İngiliz ICO gibi otoritelere dayanıyor. Yani KVKK, Avrupa'yla hizalı bir çizgi çekti — Avrupa'ya iş yapan şirketler için bu iyi haber: bir uyum çalışması iki coğrafyada işe yarıyor.
Ceza tarafında rakamlar da güncel: 2026 itibarıyla veri güvenliği yükümlülüğü ihlallerinde üst sınır 17 milyon TL'yi aşıyor; aydınlatma yükümlülüğü ihlali 1,7 milyon TL'ye kadar çıkabiliyor. Şunu da dürüstçe söyleyelim: bu yazının yayımlandığı tarihte doğrudan "ChatGPT kullanımı" gerekçeli, kamuya yansımış bir Kurul cezası henüz yok. Ama çerçeve hazır — ilk emsal karar geldiğinde "bilmiyorduk" savunması geçmeyecek.
Şirketiniz için 10 somut kural
Aşağıdaki 10 kural, rehberin 15 sorusunun işletmeleri ilgilendiren özü. Her kuralda önce ne yapmanız gerektiğini, sonra rehberin neden böyle dediğini bulacaksınız.
1. Yapay zeka kullanıyorsanız KVKK'dan muaf değilsiniz
Kanun teknolojiden bağımsızdır; üretken yapay zekaya istisna tanınmıyor. Üstelik model kişisel veri işlemek için tasarlanmamış olsa bile: rehberin kendi örneğinde, şirket içi eğitim videolarını (katılımcı adları ve görüntüleriyle) yapay zekaya özetleten şirket kişisel veri işliyor sayılıyor. Sadece "yaz indirimi afişi tasarla" gibi kişisel veri içermeyen kullanımlar kapsam dışı.
2. Sorumlu sizsiniz — modeli yapan şirket değil
"Modeli OpenAI geliştirdi, sorun olursa onlar muhatap" savunması geçersiz. Rehberin en net örneği İK'dan: hazır bir modeli CV analizi için kullanan şirket, hangi verinin yükleneceğine ve çıktının nasıl kullanılacağına kendisi karar verdiği için veri sorumlusu sayılıyor. Ölçüt sözleşme metni değil, fiilî kontrol: "neden" ve "nasıl" sorularına kim cevap veriyorsa hesabı da o veriyor.
3. Muğlak amaç yazmayın: "verilerimizi geliştirmek için" geçersizdir
Rehber açıkça söylüyor: "yapay zeka sistemlerimizde kullanmak" veya "veri tabanımızı geliştirmek" gibi belirsiz amaçlar, amaçla sınırlılık ilkesine aykırı. Her kullanım amacını ayrı ve net yazın: "müşteri destek taleplerini yanıtlamak" ayrı bir iştir, aynı yazışmalarla modeli eğitmek apayrı bir iştir — ikincisi için ayrı değerlendirme gerekir.
4. Rıza tek kalemde alınmaz: kullanım ayrı, geliştirme ayrı
Rehberden birebir cümle: "Üretken yapay zekanın kullanımı için alınan açık rıza, üretken yapay zekanın geliştirilmesini kapsamaz." Chatbot'unuzun müşteri sorusunu yanıtlamak için o mesajı işlemesi sözleşmenin ifası kapsamında olabilir; ama aynı konuşmaları model eğitiminde ya da kişiselleştirilmiş reklamda kullanmak ayrı hukuki sebep ister. Tek bir "kabul ediyorum" kutusuyla ikisini birden almaya çalışmak, rehbere göre hakkın kötüye kullanımıdır.
5. İnternetteki açık veri "serbest av" değildir
Rehberden bir birebir cümle daha: "Herkes tarafından serbestçe erişilebilen veri, herkes tarafından serbestçe işlenmeye açık veri anlamına gelmemektedir." Sosyal medyadan, web sitelerinden veri kazıyıp (scraping) model eğitmek ya da müşteri listesi zenginleştirmek, "zaten herkese açıktı" gerekçesine dayandırılamaz. Bu, Türkiye'de veri toplayan ajanslardan hazır veri seti satın alırken de sormanız gereken sorudur.
6. ChatGPT'ye veri girmek, yurt dışına veri aktarmaktır
ChatGPT, Claude, Gemini, Copilot — hepsinin sunucuları yurt dışında. Bu araçlara kişisel veri girmek, Kanun'un 9. maddesi kapsamında yurt dışına veri aktarımı sayılıyor ve pratikte en yaygın yol olan standart sözleşmenin imzalanıp Kurul'a bildirilmesini gerektiriyor. Yalnızca bildirim yükümlülüğünün ihlali bile 2026'da 1,8 milyon TL'ye varan ceza riski taşıyor. Kestirme çözüm: kişisel veriyi bu araçlara hiç girmemek — isim, telefon ve kimlik bilgisini maskeleyip öyle sormak.
7. Chatbot'unuz "ben bir yapay zekayım" demeli
Şeffaflık kuralı iki katmanlı: müşteriyle konuşan botun bir yapay zeka olduğu açıkça bildirilecek ve konuşmanın başında aydınlatma yapılacak. Ayrıca sistemi kullanmak için yapılan veri işleme ile sistemi geliştirmek için yapılan işleme için ayrı ayrı aydınlatma gerekiyor. Web sitenizdeki botun ilk mesajına bir cümle ve bir aydınlatma linki eklemek, bu kuralın büyük kısmını karşılar.
8. Yapay zekaya tek başına karar verdirmeyin
Kanun'un 11. maddesi, kişilere "münhasıran otomatik sistemle aleyhlerine sonuç doğuran karara itiraz" hakkı veriyor; rehber işe alım, kredi ve sigorta örneklerini özellikle sayıyor. CV eleyen, kredi puanlayan, personel değerlendiren her sistemde son sözü bir insan söylemeli ve bu insan gerçekten inceleme yapmalı — ekrandaki "onayla" butonuna refleksle basmak insan gözetimi sayılmaz. Rehber bunun adını da koyuyor: otomasyon ön yargısı (automation bias).
9. Sağlık ve biyometrik veriyi yapay zekadan uzak tutun
Özel nitelikli veriler (sağlık, biyometri, din, sendika üyeliği...) için sözleşme ve meşru menfaat gibi esnek hukuki sebepler yok — bu, üretken yapay zekada özel nitelikli veri kullanımını fiilen çok dar bir alana sıkıştırıyor. Klinik, sigorta acentesi ya da İK departmanıysanız kural basit: hasta/çalışan sağlık bilgisi hiçbir genel amaçlı yapay zeka aracına girmez. Bireysel kullanımda da rehberin tavsiyesi aynı: sağlık, finansal ve hukuki bilgilerinizi paylaşmaktan kaçının.
10. Yasaklamayın, yönetin: yazılı bir yapay zeka politikası kurun
KVKK'nın 2026 başında yayımladığı "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" duyurusu, "gölge yapay zeka" (çalışanların gizli kullanımı) kavramını resmen tanıyor ve dikkat çekici bir pozisyon alıyor: tamamen yasaklamaya dayalı yaklaşımların "uygulamada gerçekçi sonuçlar doğurmayacağı" değerlendiriliyor. Kurumun önerisi yönlendirme ve farkındalık: hangi araçlar, hangi amaçlar, hangi veri türleri serbest — yazılı politikayla belirleyin, çalışanları eğitin. Bu politikanın nasıl yazılacağını ayrı bir rehber yazısında adım adım anlatıyoruz.
Gerçek hayattan bir senaryo: müşteri şikâyeti maili
Kuralların en sık ihlal edildiği an, masum görünen şu andır: müşteri temsilcisi, kızgın bir müşterinin mailini olduğu gibi ChatGPT'ye yapıştırır ve "bunu profesyonelce yanıtla" der. O mailde müşterinin adı, telefonu, sipariş numarası, bazen TC kimlik numarası vardır. Tek hamlede üç kural ihlal edilmiştir: kişisel veri yurt dışına aktarılmıştır (kural 6), bu amaç için hukuki sebep yoktur (kural 3-4) ve müşteri bundan habersizdir (kural 7).
Aynı işin uyumlu hâli iki küçük değişiklik ister: maili yapıştırmadan önce ad, telefon ve sipariş numarasını çıkarmak ("müşteri X ürününün geç geldiğinden şikâyetçi" yeterlidir) ya da kişisel veriyi otomatik maskeleyen kurumsal bir katman kullanmak. Sahada kurduğumuz sistemlerde bu maskelemeyi yazılıma yaptırıyoruz — çalışan disiplinine emanet edilen kural, yoğun bir salı gününü genellikle atlatamıyor. Yapay zekaya yeni başlayan bir işletmeyseniz bu tür adımların sırasını KOBİ'ler için ilk 30 gün planımızda bulabilirsiniz.
Türkiye'de yapay zeka mevzuatı nereye gidiyor?
Temmuz 2026 itibarıyla Türkiye'nin yürürlükte ayrı bir yapay zeka kanunu yok; KVKK'nın rehberleri fiilen tek çerçeveyi oluşturuyor. Ama tablo hızla değişiyor: TBMM'de üç ayrı yapay zeka kanun teklifi bekliyor ve Meclis'in Yapay Zekâ Araştırma Komisyonu, Mart 2026'da yayımladığı raporda AB'nin Yapay Zeka Yasası'yla (AI Act) uyumlu bir "Türk Yapay Zekâ Kanunu" hazırlanmasını önerdi.
Bunun işletmeniz için iki pratik sonucu var. Birincisi: bugün KVKK rehberine göre kurduğunuz düzen, boşa gidecek bir yatırım değil — rehber zaten Avrupa Veri Koruma Kurulu ve CNIL çizgisiyle hizalı olduğu için, gelecek kanuna da büyük ölçüde hazır olacaksınız. İkincisi: AB'ye ürün ya da hizmet satıyorsanız beklemek gibi bir lüksünüz zaten yok; AI Act'in sınır ötesi kapsamı, Avrupa'daki kullanıcılara dokunan Türk şirketlerini bugünden bağlıyor.
Bir de sık karışan bir nokta: bu rehber KVKK'nın yapay zekaya ilk dokunuşu değil. Kurum 2021'de genel yapay zeka tavsiyelerini, Haziran 2025'te sohbet robotları (ChatGPT örneği) hakkında bir bilgi notunu yayımlamıştı. Kasım 2025 rehberi bu birikimin en kapsamlı hâli — yani Kurum'un yönü yıllardır tutarlı: yasaklamak değil, çerçeve çizmek.
Sık sorulan sorular
İş yerinde ChatGPT kullanmak KVKK'ya aykırı mı?
Tek başına değil. Aykırılık, araçtan değil içine girilen veriden ve yönetim eksikliğinden doğar. Kişisel veri ve ticari sır içermeyen kullanım (fikir geliştirme, dil düzeltme, kamuya açık içerik özetleme) KVKK'nın kendi duyurusunda da makul kullanım örneği olarak geçiyor.
KVKK yapay zeka cezası ne kadar?
Yapay zekaya özel ayrı bir ceza kalemi yok; genel KVKK cezaları uygulanır. 2026 rakamlarıyla: aydınlatma ihlalinde 1,7 milyon TL'ye, veri güvenliği ihlalinde 17 milyon TL'yi aşan tutarlara kadar idari para cezası mümkün. Ayrıca Türk Ceza Kanunu'nun veri suçları (hapis cezası riski) ve tazminat davaları da masada.
Müşteri verisiyle kendi chatbot'umuzu eğitebilir miyiz?
Doğrudan ve otomatik olarak değil. Müşteri yazışmalarını botu çalıştırmak için işlemek ile aynı veriyi modeli geliştirmek için kullanmak ayrı işlemlerdir; ikincisi için ayrı hukuki sebep ve ayrı aydınlatma gerekir. Pratik çözüm çoğu zaman verinin anonimleştirilmesidir — ama rehber, anonimliğin "teknik yöntemler ve nesnel ölçütlerle" kanıtlanmasını istiyor; isimleri silmek tek başına anonimleştirme değildir.
Peki siz ne yapmalısınız?
Rehberin 64 sayfasını beş adıma indirelim:
- Envanter çıkarın: Şirkette bugün hangi yapay zeka araçları, hangi verilerle kullanılıyor? Gölge kullanım dahil — anonim bir ekip anketi en hızlı yoldur.
- Kırmızı çizgiyi ilan edin: "Müşteri kişisel verisi, çalışan verisi ve ticari sır hiçbir yapay zeka aracına ham hâliyle girilmez" — tek cümlelik bu kural, riskin büyük kısmını bugünden keser.
- Chatbot'unuza aydınlatma ekleyin: "Yapay zeka asistanıyla konuşuyorsunuz" bildirimi + aydınlatma metni linki. Yarım günlük iş, 1,7 milyon TL'ye kadar ceza riskine karşı sigorta.
- Yurt dışı aktarımı çözün: Kullandığınız yapay zeka sağlayıcısıyla veri işleme sözleşmenizi ve standart sözleşme bildirimini hukuk desteğiyle tamamlayın; ya da kişisel veriyi maskeleyen bir ara katman kurdurun.
- Yazılı politika + yılda bir eğitim: KVKK'nın kendisi "yasaklamayın, yönetin" diyor. Politika belgesi + kısa bir çalışan eğitimi, hem cezaya karşı hem çalışan hatasına karşı en güçlü kalkanınız.
Kapanışı rehberin ruhuna uygun yapalım: KVKK yapay zekaya karşı değil — kontrolsüz yapay zekaya karşı. Bu 10 kuralı oturtan işletme, rakipleri "acaba yasak mı?" diye beklerken yapay zekayı gönül rahatlığıyla büyütür. KVKK uyumlu bir yapay zeka kurulumu — maskeleme katmanı, aydınlatma akışı, politika belgesi — konuşmak isterseniz kapımız açık.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu sen yap!