Yapay Zeka ve KVKK
Kurumsal Sorular ve Pratik Cevaplar

KVKK ve Yapay Zeka: Genel Çerçeve

6698 sayılı Kişisel Verilerin Korunması Kanunu 2016'da yürürlüğe girdi ve teknolojiden bağımsız bir biçimde yazılmıştır. Yani yapay zeka, blokzincir ya da nesnelerin interneti gibi belirli bir teknolojiye atıf yapmaz; ilkesel düzeyde tüm veri işleme faaliyetlerine uygulanır. Bu durum bir yandan kanunun esnekliğini artırırken bir yandan da yapay zekaya özgü soruların somut cevaplarını içtihat ve düzenleyici otorite kararlarına bırakır.

Yapay zeka sistemleri kişisel veriyi üç ayrı boyutta işler. Birincisi eğitim verisi: model eğitilirken kullanılan veri setlerinde kişisel veri bulunabilir. İkincisi çıkarım anı girdisi: kullanıcının yazdığı prompt, RAG sisteminden çekilen belge ya da sistem bağlamı kişisel veri içerebilir. Üçüncüsü çıktı: model halüsinasyon ya da sızıntı yoluyla kişisel veri üretebilir. Bu üç boyutun her birinde KVKK ilkeleri ayrı ayrı uygulanır. Aşağıda kurumların sahada en sık sorduğu sekiz soruya, pratik cevaplar eşliğinde yer veriyoruz.

Soru 1: Yapay zeka için her durumda açık rıza şart mı?

Cevap kısa: hayır. Bu, hukuki uygulamada en sık karşılaşılan yanılgılardan biri. KVKK Madde 5'te kişisel veri işleme için altı farklı hukuki sebep sayılır ve açık rıza bunlardan yalnızca biridir. Diğerleri arasında kanunlarda açıkça öngörülmesi, fiili imkânsızlık durumunda kişinin korunması, sözleşmenin kurulması veya ifası ile doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi, ilgili kişinin kendisi tarafından alenileştirilmiş olması ve veri sorumlusunun meşru menfaati gibi temeller yer alır.

Pratik yapay zeka senaryolarında bu sebepler şöyle dağılır. Müşteri destek asistanının müşteri sorularını işlemesi sözleşmenin ifası kapsamındadır; ayrı bir açık rıza gerekmez. Dolandırıcılık tespiti yapan bir sistemin işlem verilerini analiz etmesi meşru menfaate dayanır. BT log analitik aracının çalışan davranışını izlemesi yine meşru menfaattir ama orantılılık testinden geçmek zorundadır. Reklam optimizasyonu için profil çıkarma genellikle açık rıza gerektirir. İşe alım sistemleri açık rızanın yanına Madde 11'den doğan itiraz hakkının bilgilendirmesini de eklemek zorundadır.

Hangi sebebin seçileceği işlemenin amacına ve bağlamına göre değişir. Ancak hangi sebep seçilirse seçilsin, aydınlatma yükümlülüğü (Madde 10) her durumda devrededir.

Soru 2: Otomatik karar veren bir sistemimiz var, ne yapmalıyız?

KVKK Madde 11, veri sahibine "otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkını" verir. Yani kredi başvurusu otomatik olarak reddedilen bir kişi insan tarafından yeniden değerlendirme isteyebilir; sigorta primi yapay zekayla belirlenen bir müşteri itiraz mekanizmasına başvurabilir; işe alım filtrelemesinde elenen bir aday süreci sorgulayabilir.

Bu hakkın anlamlı olabilmesi için kurumun birkaç şeyi hazır tutması gerekir. Önce aydınlatma metninde otomatik karar mekanizmasının kullanıldığı açıkça belirtilmelidir; kullanıcının haberi olmadığı bir mekanizmanın itiraz edilebilirliği fiilen mümkün değildir. Ardından bir insan denetim mekanizması kurulmalıdır; "human-in-the-loop" ya da en azından "human-on-the-loop" mantığında bir gözden geçirme süreci tasarlanır. İtiraz geldiğinde nasıl işletileceği yazılı bir prosedüre bağlanmalıdır. AB AI Act ile çift uyum yapan kurumlar için bu yükümlülük zaten Madde 14 ile büyük ölçüde örtüşür.

Soru 3: ChatGPT veya Claude kullanmak yurt dışı veri aktarımı sayılır mı?

Büyük olasılıkla evet. OpenAI'nin ChatGPT'si, Anthropic'in Claude'u ve Google'ın Gemini'si gibi modeller ABD ya da AB sunucularında çalışır. Bir Türk kullanıcı bu modellere prompt gönderdiğinde ve bu prompt kişisel veri içeriyorsa, KVKK çerçevesinde yurt dışı veri aktarımı gerçekleşmiş olur.

KVKK Madde 9 bu aktarım için iki yol tanımlar. Birincisi, aktarımın yapılacağı ülke Kurul tarafından yeterli korumalı ilan edilmemişse, veri sorumlularının yeterli koruma taahhüdünü yazılı olarak vermesi ve Kurul izninin alınmasıdır (BCR ya da SCC tipi yazılı taahhüt). İkinci yol ise ilgili kişinin açık rızasının alınmasıdır.

Pratikte birçok Türk kurum açık rıza yolunu seçer, ama bu sürdürülebilir bir model değildir; her yeni çalışan ya da müşteri için ayrı ayrı rıza almak gerekir ve süreç hızla yönetilemez hale gelir. Daha sağlam yaklaşım üç bileşenden oluşur: kurumsal lisanslarda gelen sözleşmesel güvenceleri kullanmak, prompt'a kişisel veri düşmemesi için AI gateway katmanında maskeleme yapmak (böylece aktarılan veri zaten kişisel veri sayılmaz), ve anonimleştirme ya da takma adlaştırma teknikleriyle veriyi başlangıçta tanınamaz hale getirmektir.

Soru 4: Madde 6 (özel nitelikli) verisi yapay zekaya verilebilir mi?

Çok kısıtlı koşullarda. Sağlık, cinsel hayat, ırk, etnik köken, siyasi düşünce, dini inanç, biyometrik ve genetik veriler Madde 6 kapsamındaki özel nitelikli verilerdir; bu veriler için kanun ek koruma şartı getirir. İşleme yalnızca ilgili kişinin açık rızası ya da kanunlarda açıkça öngörülmüş olması durumunda mümkündür (sağlık ve cinsel hayata ilişkin verilerde ek koşullar vardır).

Pratik senaryolarda nasıl uygulandığına bakalım. Bir sağlık asistanı uygulaması açık rıza, güvenli işleme ve verinin sağlık hizmeti dışında kullanılmaması taahhüdü olmadan çalışamaz. Genel kurumsal yapay zeka kullanımında çalışan ya da müşteri sözleşmesinde özel nitelikli veri prompt'a düşmemelidir; AI gateway tabanlı bir maskeleme katmanı bu içeriğin modele iletilmesini engeller. İnsan kaynakları amaçlı yapay zeka kullanımında ise sağlık, dini görüş ve etnik köken sorgularından kategorik olarak kaçınılmalıdır.

Yapay zeka bağlamında Madde 6 verileri en yüksek risk segmentidir. Teknik tedbirlerin (kişisel veri maskelemesi, runtime guardrails) süreçsel tedbirlerle (yazılı amaç sınırı, sıkı erişim kontrolü) birlikte uygulanması zorunludur.

Soru 5: Modeli kendi müşteri verimizle fine-tune etsek sorun var mı?

Evet, ciddi şekilde dikkatli olmak gerekir. İnce ayar (fine-tuning), bir dil modelinin kurumun verisiyle yeniden eğitilmesi sürecidir; bu işlemde müşteri verisi modelin parametrelerine "yedirilir" ve KVKK açısından üç ayrı sorun doğurur.

Birinci sorun amaç sınırlamasıdır (Madde 4). Müşteri verisi başlangıçta "müşteri hizmeti vermek" amacıyla toplanmışsa, "model eğitmek" yeni bir amaçtır ve bunun için ek hukuki sebep ya da rıza gerekir. İkinci sorun geri alınabilirliktir. Veri sahibi silme hakkını kullandığında, modelin parametrelerinden o veriyi çıkarmak teknik olarak son derece zordur; sıfırdan yeniden eğitmek ya da pahalı "machine unlearning" tekniklerine başvurmak gerekir. Üçüncü sorun sızıntı riskidir. İnce ayar yapılmış modeller, eğitim verisindeki spesifik kayıtları çıktı olarak üretebilirler; akademik literatürdeki "membership inference attack" çalışmaları bu riski açıkça gösterir.

Daha sağlam alternatif RAG yani Retrieval-Augmented Generation yaklaşımıdır. Veriyi modele yedirmek yerine sorgu anında vektör veritabanından çekip bağlam olarak vermek hem amaç sınırlamasını korur hem de silme hakkını teknik olarak mümkün kılar. Veri sahibi silinme talep ettiğinde sadece veritabanından silinmesi yeterlidir; modelin kendisine dokunmak gerekmez.

Soru 6: VERBİS'e yapay zeka sistemimizi nasıl bildirmeliyiz?

VERBİS yani Veri Sorumluları Sicil Bilgi Sistemi, yapay zeka sistemini ayrı bir kalem olarak bildirmeyi zorunlu kılmaz. Ancak yapay zekayla işlenen veri kategorileri, bu işlemenin amaçları, dayanılan hukuki sebep ve alınan teknik-idari tedbirler VERBİS kayıt formuna yansıtılmalıdır.

Pratik bir kayıt örneği şu şekilde olur. İşleme faaliyeti açıklaması bölümüne "yapay zeka tabanlı müşteri destek asistanı ile gelen taleplerin işlenmesi" yazılır. Veri kategorisi olarak kimlik, iletişim ve müşteri işlem verileri belirtilir. Amaç "müşteri talebinin yerine getirilmesi" olarak tanımlanır. Hukuki sebep "sözleşmenin ifası (Madde 5/2-c)" olarak işaretlenir. Yurt dışı aktarım söz konusuysa hangi ülkede ve hangi güvence ile yapıldığı eklenir. Saklama süresi ve alınan teknik tedbirler de (AI gateway, kişisel veri maskelemesi, denetim kaydı) belirtilir.

VERBİS güncellemeleri yıllık olarak ya da işleme faaliyeti her değiştiğinde yapılmalıdır. Yeni bir yapay zeka sistemi devreye alındığında ya da mevcut bir sistemin amacı değiştiğinde kayıt güncellenmezse uyumsuzluk doğar.

Soru 7: Veri sahibi "benim hakkımdaki yapay zeka çıktısını silin" derse?

KVKK Madde 11 kapsamındaki veri sahibi hakları, yapay zeka sistemlerinde özel bir dikkat ister. Birincisi bilgi talebi: "Hakkımda hangi veriler işleniyor?" sorusuna cevap verebilmek için yapay zeka loglarında kullanıcıya ait kayıtları listeleyebilir olmak gerekir. İkincisi düzeltme: "Bu bilgi yanlış" itirazı geldiğinde modelin yanlış bilgiyi tekrar etmemesi için RAG sistemindeki ya da bilgi tabanındaki içerik düzeltilmelidir.

Silme hakkı en zorlu kısımdır. Veri kaynaklarından (veri tabanı, vektör veritabanı, denetim kaydı) silmek mümkündür; ama modelin parametrelerinden silmek teknik olarak son derece zordur. Bu yüzden ince ayar yapma kararı verilmeden önce uzun vadeli silme yükümlülüğünün düşünülmesi gerekir. İşlemenin kısıtlanması hakkı, belirli bir kişiye ait verinin yapay zeka işlemesinden hariç tutulmasını sağlar. Otomatik karara itiraz ise bu kararın insan tarafından yeniden değerlendirilmesini mümkün kılar.

Bu hakların etkin biçimde yerine getirilebilmesi için kurumun "yapay zeka veri haritası" tutması şarttır. Hangi sistemde hangi veri kategorisi nereden geliyor, nereye gidiyor sorularına net cevap verebilen bir kurum, veri sahibi taleplerini sorunsuz karşılar.

Soru 8: Yapay zeka tedarikçisi seçerken KVKK açısından neye bakmalıyız?

Tedarikçi değerlendirmesinde gözden geçirilmesi gereken sorular birkaç başlık altında toplanır. Veri kullanımı tarafında tedarikçinin sizin verinizi model eğitimi için kullanmadığına dair yazılı garantisi olmalıdır. Veri yerleşimi seçenekleri kontrol edilmeli; AB, Türkiye ya da global seçeneklerden hangisinin sunulduğu netleşmelidir. Güvenlik belgeleri tarafında SOC 2 Type II ve ISO 27001 standartlarındaki belgeler aranır. Sözleşme tarafında KVKK veya GDPR uyum sözleşmesinin (DPA ya da KVKK ek protokolü) imzalanabilir olması zorunludur.

Operasyonel sorular da kritiktir: denetim kaydı ve erişim raporlama özelliklerinin mevcut olup olmadığı, veri ihlali bildirim süresinin sözleşmede tanımlanıp tanımlanmadığı, silme talebine cevap mekanizmasının ne kadar hızlı işlediği, alt yüklenici listesinin şeffaflıkla paylaşılıp paylaşılmadığı sorgulanmalıdır. Teknik entegrasyon açısından AI gateway veya veri kaybı önleme entegrasyonlarının mümkün olup olmadığı kontrol edilmelidir. Son olarak faturalandırmanın kişisel veriyi tek tek değil agregat bazda yapıp yapmadığı bile bazı senaryolarda önem kazanır.

Sık Yapılan Hatalar

Yapay zeka uyumu çalışmalarında en yaygın yanılgıların başında her şey için açık rıza alma denemesi gelir; aşırı geniş kapsamlı bir rıza geçersiz sayılabilir, doğru olan her işleme için uygun hukuki sebebi belirlemektir. Bir başka klasik hata aydınlatma metninde yapay zekadan hiç bahsetmemektir; otomatik karar mekanizması var ama metinde geçmiyorsa Madde 11 ihlali doğar.

İnce ayarı hafife almak ileride büyük başağrılarına yol açar; modele yedirilen veri silme hakkını fiilen işlevsiz hale getirebilir. "Çalışan kendi hesabıyla ChatGPT kullanıyor, bu bizim sorunumuz değil" varsayımı da yanıltıcıdır; çalışan kurum verisi üzerinden çalışıyorsa veri sorumlusu yine kurumdur. VERBİS kaydını yapay zeka değişikliklerine göre güncellememek uyumsuzluk üretir; yeni bir sistem devreye girdiğinde kayıt da güncellenmelidir.

Bir başka yaygın körlük tedarikçinin "biz KVKK uyumluyuz" iddiasına olduğu gibi inanmaktır; sözleşmeli teminat ve bağımsız denetim raporu olmadan bu iddia güvence sağlamaz. Son olarak "anonim veri" iddiasının sorgulanmaması tehlikelidir; yapay zeka bağlamında pseudo-anonim veriler sıklıkla yeniden tanımlanabilir hale gelir, etkili anonimleştirme ciddi bir dikkat gerektirir.

Sonuç

KVKK ile yapay zekanın kesiştiği noktada en sık tökezlenen yer, "her şeye açık rıza yeter" varsayımıdır. Oysa doğru hukuki sebep belirlendiğinde, otomatik karar mekanizmaları insan denetimiyle desteklendiğinde, yurt dışı aktarımlar uygun güvencelerle yapıldığında ve VERBİS kayıtları güncel tutulduğunda Türk kurumları yapay zekayı KVKK uyumlu olarak kullanabilir.

AltaySec olarak KVKK ile EU AI Act çift uyum boşluk analizleri, kurumsal yapay zeka politikası tasarımı, AI gateway entegrasyonu ve teknik tedbir mimarisi üzerine çalışıyoruz. Bir sonraki yazıda KVKK'nın ötesindeki gelişmekte olan Türkiye yapay zeka mevzuatını ele alan Türkiye'de Yapay Zeka Düzenlemeleri 2026'yi öneriyoruz.