Yapay zekâ ve özellikle Büyük Dil Modelleri (LLM – Large Language Models), iş dünyasında devrimsel bir dönüşüm yaratmıştır. Bugün OpenAI tarafından geliştirilen ChatGPT, Anthropic’in Claude’u, Google’ın Gemini’ı ve şirketlerin kendi bünyelerinde eğittiği yerel yapay zekâ modelleri; operasyonel verimliliği artırmak, kod yazım süreçlerini hızlandırmak, metin analizi yapmak ve müşteri ilişkilerini otomatikleize etmek için vazgeçilmez araçlar haline gelmiştir.

Ancak bu teknolojik sıçrama, beraberinde muazzam bir hukuki gri alan ve veri güvenliği açığı getirmiştir. Bir çalışanın, şirket içi bir raporu özetlemesi için ChatGPT ara yüzüne yapıştırdığı metin, bir yazılımcının kişisel veri içeren bir kod bloğundaki hatayı ayıklamak (debug) için yapay zekâya göndermesi veya insan kaynakları departmanının yüzlerce iş başvurusunu yapay zekâ algoritmalarıyla elemesi, şirketleri farkında olmadan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında ağır yaptırımlarla karşı karşıya bırakmaktadır.

Yapay zekâ sistemlerinin çalışma mantığı, sürekli olarak beslenen “girdi” (prompt) verileriyle kendini eğitmek ve optimize etmektir. Bu durum, sisteme girilen kişisel verilerin, ticari sırların ve stratejik bilgilerin yapay zekâ sağlayıcısının veri havuzuna dahil olması ve dolayısıyla kontrol edilemez bir veri sızıntısına (data leakage) dönüşmesi riskini doğurur. Avrupa Birliği’nin Yapay Zekâ Yasası (AI Act) ve Türkiye’deki Kişisel Verileri Koruma Kurulu (Kurul) kararları ışığında, LLM araçlarının kurumsal yapılarda kontrolsüz kullanımı artık bir siber güvenlik açığı olmanın ötesinde, doğrudan bir hukuk ihlalidir.

Bu kapsamlı hukuki inceleme metninde; yapay zekâ entegrasyonu sağlayan şirketlerin karşı karşıya olduğu temel KVKK risklerini, revize edilen yeni yurt dışı veri aktarım rejiminin yapay zekâ araçlarına yansımasını, departman bazlı risk senaryolarını ve ağır idari para cezalarından korunmak için alınması gereken idari ve teknik tedbirleri ele alacağız.

1. Temel Kavramlar: Yapay Zekâ, LLM ve Kişisel Veri İlişkisi

Yapay zekâ araçlarının KVKK karşısındaki durumunu analiz edebilmek için, öncelikle bu sistemlerin mimarisini hukuki bir gözle tanımlamak gerekir.

1.1. Girdi (Prompt) Verisi ve Kişisel Veri Eşleşmesi

Bir kullanıcının LLM ara yüzündeki sohbet kutusuna yazdığı, yüklediği veya API (Uygulama Programlama Ara yüzü) aracılığıyla sisteme gönderdiği her türlü komut, metin, dosya veya koda girdi (prompt) denir. Eğer bu girdi içerisinde; bir müşterinin adı, e-posta adresi, finansal geçmişi, bir çalışanın performans raporu veya bir hastanın sağlık bilgileri yer alıyorsa, bu girdi hukuken bir “kişisel veri işleme” faaliyetidir.

1.2. Yapay Zekâ Sağlayıcısının Hukuki Statüsü: Veri Sorumlusu mu, Veri İşleyen mi?

Şirketlerin en çok yanıldığı noktalardan biri, OpenAI gibi küresel yapay zekâ şirketlerini basit birer “yazılım sağlayıcı” veya “veri işleyen” olarak görmeleridir. Oysa durum kullanılan versiyona göre değişir:

• Bireysel/Ücretsiz Web Ara yüzleri Kullanımı: Şirket çalışanlarının kişisel hesaplarıyla veya ücretsiz kurumsal hesaplarla ChatGPT gibi genel web ara yüzlerini kullanması durumunda, yapay zekâ sağlayıcısı bu girdileri modeli yeniden eğitmek, algoritmayı geliştirmek ve kendi ticari amaçları doğrultusunda işlemek üzere saklar. Bu senaryoda yapay zekâ şirketi bir Veri Sorumlusudur. Verinin kontrolü Türk şirketinden tamamen çıkmaktadır.

• Kurumsal API ve Kurumsal Kurulumlar (Enterprise): Şirketlerin ücretli API entegrasyonları veya “Enterprise” abonelik sözleşmeleri kapsamında yapay zekâ hizmeti alması durumunda, sağlayıcılar genellikle girdilerin modeli eğitmek için kullanılmayacağını ve sadece talep doğrultusunda işleneceğini taahhüt ederler. Bu senaryoda yapay zekâ şirketi hukuken bir Veri İşleyen olarak konumlandırılabilir. Ancak bu taahhütlerin arkasındaki veri akışının ve sunucu konumlarının yasal olarak doğrulanması gerekir.

2. Yapay Zekâ Kullanımında Öne Çıkan Başlıca KVKK Riskleri

Yapay zekâ araçlarının doğası, KVKK’nın 4. maddesinde yer alan ve tüm veri işleme faaliyetlerinde uyulması zorunlu olan temel ilkelerle doğrudan çelişmektedir.

2.1. Veri Minimizasyonu ve Amaçla Sınırlılık İlkesinin İhlali

KVKK, kişisel verilerin sadece belirli, açık ve meşru amaçlar için ve bu amaçla bağlantılı, sınırlı ve ölçülü şekilde işlenmesini emreder. Ancak bir LLM’e veri yüklendiğinde, yapay zekanın o veriyi arka planda nasıl işleyeceği, hangi token’lara (anlamsal parçacıklara) böleceği ve hangi ağırlık matrisleriyle ilişkilendireceği veri sorumlusu (şirket) tarafından bilinemez. Amacın dışına çıkılması ve gereğinden fazla verinin sisteme beslenmesi, ölçülülük ilkesinin açık bir ihlalidir.

2.2. Prompt Girişlerinde Veri Sızıntısı (Data Leakage)

Bir şirket çalışanının, bir müşterinin şikayet dilekçesini yanıtlamak üzere dilekçe metnini aynen yapay zekâya yapıştırması, verinin yetkisiz üçüncü bir tarafa (yapay zekâ şirketine) aktarılması anlamına gelir. Bu durum, veri güvenliğini sağlamaya yönelik teknik ve idari tedbirleri alma yükümlülüğünü (KVKK Madde 12) doğrudan ihlal eder. Küresel ölçekte yaşanan birçok olayda, kullanıcıların geçmişte prompt olarak girdikleri hassas verilerin, başka kullanıcıların yaptığı aramalarda yapay zekâ tarafından “yanıt” olarak üretildiği ve ifşa olduğu kanıtlanmıştır.

2.3. Unutulma Hakkı ve LLM Mimarisinin Çıkmazı

KVKK’nın 7. maddesi uyarınca, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur. Benzer şekilde, vatandaşların şirketlere başvurarak verilerinin silinmesini isteme hakkı (Madde 11) vardır.

Yapay Zekanın Yapısal Çıkmazı: Geleneksel SQL tabanlı veri tabanlarında bir satırı silmek saniyeler alır. Ancak bir kişisel veri, bir LLM modelinin eğitim verisine dahil edilmiş ve model milyarlarca parametre ile bu veriyi “öğrenmişse”, o veriyi modelin hafızasından cımbızla çekip silmek (Machine Unlearning) teknik olarak neredeyse imkansızdır. Bir modelin içinden bir veriyi tamamen çıkarmak, modeli sıfırdan eğitmek anlamına gelebilir ki bu da milyonlarca dolarlık maliyet demektir. Dolayısıyla, eğitim verisine karışan kişisel veri, silinemediği için doğrudan kalıcı bir KVKK ihlaline dönüşür.

2.4. Şeffaflık, Kara Kutu (Black Box) Problemi ve Aydınlatma Yükümlülüğü

Veri sorumluları, verilerini işledikleri kişilere karşı aydınlatma yükümlülüğünü yerine getirmekle mükelleftir. Ancak derin öğrenme (deep learning) mimarisine sahip yapay zekâ modelleri birer “kara kutu”dur. Sisteme giren verinin hangi aşamalardan geçerek, hangi algoritmik mantıkla işlendiğini ve nasıl bir çıktıya dönüştüğünü şirketin kendi IT departmanı dahi tam olarak açıklayamaz. Sürecin şeffaf olmaması, yasal ve denetlenebilir bir aydınlatma metninin hazırlanmasını imkansız kılar.

3. Yapay Zekâ Araçları ve Yeni Yurt Dışı Veri Aktarım Rejimi (KVKK Madde 9)

Türkiye’de şirketlerin yapay zekâ kullanımındaki en kritik, en tehlikeli ve en çok gözden kaçan hukuki riski yurt dışına veri aktarımı yasağıdır. Bugün kullanılan ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google), Midjourney veya Microsoft Copilot gibi popüler yapay zekâ araçlarının tamamının ana merkezleri yurt dışındadır (ağırlıklı olarak ABD ve Avrupa) ve bulut sunucuları Türkiye sınırları dışındadır.

Bir yapay zekâ aracının sohbet ekranına kişisel veri içeren tek bir cümle yazıp “Gönder” butonuna bastığınız an, o veri internet üzerinden sınırlarımızı aşarak yurt dışındaki sunuculara aktarılmış olur.

3.1. “Açık Rıza” Sürdürülebilir Bir Yöntem Değildir

KVKK’nın Madde 9’da yapılan reformlar doğrultusunda, yurt dışına veri aktarımında Avrupa Birliği (GDPR) standartlarına geçilmiştir. Geçmişte şirketler, “Müşteriden/çalışandan yurt dışı aktarımı için açık rıza aldım, o yüzden ChatGPT kullanabilirim” mantığıyla hareket edebiliyordu. Ancak yeni dönemde açık rıza, sadece süreklilik arz etmeyen, tek seferlik ve geçici (arızi) durumlar için bir istisnadır. Şirket içi operasyonların, müşteri destek sistemlerinin veya İK süreçlerinin düzenli olarak bir yapay zekâ aracıyla yürütülmesi sürekli bir veri işleme faaliyetidir ve arızi kabul edilemez. Dolayısıyla açık rıza ile bu süreçleri yasallaştırmak artık mümkün değildir.

3.2. Çözüm: Standart Sözleşmeler (SCC) ve Yapay Zekâ Sağlayıcıları

Yeni mevzuat uyarınca, yeterlilik kararı bulunmayan bir ülkeye (ABD gibi) sürekli veri aktarımı yapılabilmesi için taraflar arasında Kurul tarafından ilan edilen matbu Standart Sözleşmelerin (Standard Contractual Clauses – SCC) imzalanması şarttır.

• Sorun: OpenAI veya Google gibi teknoloji devleri, bireysel kullanıcılar veya standart KOBİ ölçekli kurumsal müşteriler için Türkiye’deki KVKK mevzuatına özel Standart Sözleşme imzalamaya yanaşmamaktadır. Bunlar kendi küresel “Veri İşleme Eklerini” (DPA) ve GDPR uyumlu SCC’lerini dayatırlar. Ancak bu metinler doğrudan Kişisel Verileri Koruma Kurumu’na onaylatılmadığı veya bildirilmediği sürece Türk hukuku karşısında geçersizdir.

• İstisna (Kurumsal Çözümler): Sadece çok büyük ölçekli kurumsal alımlarda (Enterprise) veya Microsoft Azure üzerinden OpenAI servisleri kullanıldığında, belirli gizlilik ve bölgesel veri saklama (data residency) taahhütleri alınabilmekte, ancak bu durumda dahi imzalanan Standart Sözleşmelerin 5 iş günü içinde Kurula fiziki/elektronik ortamda sunulması zorunluluğu bulunmaktadır. Bu bildirimi yapmayan şirketler, veri sızıntısı olmasa dahi doğrudan yasa dışı yurt dışı aktarımı nedeniyle ağır idari para cezalarıyla cezalandırılır.

4. Şirketler İçin Yapay Zekâ Kullanım Modelleri Risk Matrisi

Şirketlerin yapay zekâ araçlarını kullanırken tercih edebileceği yöntemler ve bunların KVKK uyumluluk düzeyleri aşağıdaki tabloda karşılaştırmalı olarak gösterilmiştir:

Yapay Zekâ Kullanım Modeli	Verinin Saklandığı Yer	Model Eğitimi Risk Durumu	Yurt Dışı Aktarım Riski	KVKK Uyumluluk Derecesi
Ücretsiz / Genel Web UI (Örn: Ücretsiz ChatGPT)	Sağlayıcının Global Sunucuları	Çok Yüksek (Girdiler modeli eğitmek için kullanılır)	%100 (Veri doğrudan yurt dışına çıkar)	❌ Hukuka Kesinlikle Aykırı (Kişisel veri girilemez)
Kurumsal API Entegrasyonu (Örn: OpenAI API)	Sağlayıcının Sunucuları (Bulut)	Düşük (Sözleşmeyle eğitim kapatılabilir)	Yüksek (Veri sunucu lokasyonuna göre yurt dışına çıkar)	⚠️ Riskli / Sıkı Sözleşme ve SCC Bildirimi Gerekir
Yerel / On-Premise LLM (Örn: Şirket sunucusuna kurulan Llama 3)	Şirketin Kendi Güvenli Sunucuları	Yok (Veri tamamen şirket kontrolündedir)	Sıfır (Veri Türkiye sınırları içinde kalır)	Tam Uyumlu (En güvenli kurumsal yöntem)

5. Departman Bazlı Yapay Zekâ Kullanım Senaryoları ve Hukuki Analizler

Yapay zekanın şirket içinde en sık kullanıldığı üç departmandaki yasal risk sınırlarını somut örneklerle inceleyelim.

Senaryo A: İnsan Kaynakları (İK) ve Cv Eleme Süreçleri

Bir şirketin İK departmanı, açık bir pozisyona başvuran 500 adet adayın CV’sini bir LLM aracına yükleyerek, “Bu adayları deneyimlerine göre sırala, en iyi 10 adayı seç ve seçme gerekçeni raporla” komutunu vermiştir.

• Hukuki Analiz: CV’ler adayın adı, soyadı, doğum tarihi, eğitim geçmişi, iletişim bilgileri ve hatta fotoğrafı gibi yoğun kişisel veriler içerir. Bu verilerin genel bir yapay zekâ aracına yüklenmesi yetkisiz veri aktarımıdır.

• Otomatize Karar Verme Riski: KVKK’nın 11. maddesinin g fıkrası uyarınca, “İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkı vardır. Bir adayın CV’sinin hiçbir insan müdahalesi (human-in-the-loop) olmadan, tamamen yapay zekâ algoritması tarafından elenmesi ve adayın reddedilmesi durumunda, aday bu karara yasal olarak itiraz edebilir ve şirket bu durumun algoritmik ayrımcılık içermediğini yasal olarak kanıtlamak zorunda kalır.

Senaryo B: Yazılım Geliştirme (IT) ve Kod Analizleri

Şirketin kıdemli yazılımcısı, şirketin müşteri veri tabanına bağlanan bir API kodundaki hatayı çözememiş ve kod bloğunu kopyalayarak yapay zekâ asistanına (Örn: GitHub Copilot veya ChatGPT) yapıştırmıştır. Ancak kod bloğunun içinde, test amaçlı unutulmuş gerçek müşteri isimleri, telefon numaraları ve veri tabanı erişim şifreleri (credentials) yer almaktadır.

• Hukuki Analiz: Bu durum teknik anlamda bir “Veri İhlali” (Data Breach) vakasıdır. Kişisel veriler ve şirketin kritik sistem şifreleri dış dünyaya sızmıştır. Şirket bu durumu fark ettiği andan itibaren 72 saat içinde Kurula veri ihlal bildirimi yapmak ve etkilenen müşterileri bilgilendirmek zorundadır. Aksi takdirde, hem sızıntı hem de geç bildirim nedeniyle çifte ceza uygulanır.

Senaryo C: Müşteri Hizmetleri ve Chatbot Entegrasyonları

Şirket, web sitesine gelen müşteri şikayetlerini ve taleplerini anlık olarak yanıtlaması için arkasında bir LLM modelinin çalıştığı akıllı bir Chatbot entegre etmiştir. Müşteriler sohbet penceresine üyelik bilgilerini, kargo adreslerini ve kredi kartlarının ilk 6 hanesini yazarak destek talep etmektedir.

• Hukuki Analiz: Müşterinin ne yazacağının önceden kestirilemediği bu tarz senaryolarda, Chatbot’un arkasındaki yapay zekâ modeli eğer verileri şifrelemeden (maskelemeden) doğrudan yurt dışındaki ana sunucuya gönderiyorsa, şirket her saniye yapısal bir KVKK ihlali gerçekleştiriyor demektir. Bu sistemlerin önüne mutlaka kişisel verileri tespit edip sansürleyen (PII Masking) bir ara filtre yazılımı koyulmalıdır.

6. Yapay Zekâ Entegrasyonunda Alınması Gereken Teknik ve İdari Tedbirler

Şirketlerin yapay zekanın verimliliğinden mahrum kalmadan, yasal sınırlar içinde kalabilmesi için acilen şu uyum adımlarını uygulaması gerekir:

Kurumsal Yapay Zekâ KVKK Uyum Prosedürü

 

7. 2026 Yılı İtibarıyla Güncel KVKK Cezaları ve Yapay Zekâ Risklerinin Maliyeti

KVKK ihlallerinde uygulanan maktu idari para cezaları her yıl yeniden değerleme oranında ciddi şekilde artmaktadır. Yapay zekâ sistemlerindeki kontrolsüz veri işleme faaliyetleri genellikle tek bir veri ihlaliyle sınırlı kalmayıp, binlerce kullanıcının verisini etkilediği için cezalar doğrudan üst sınırlardan uygulanma riski taşır.

• Veri Güvenliği Yükümlülüklerine Aykırılık (Madde 12): Yapay zekâ aracına veri sızdırılması durumunda, teknik ve idari tedbirlerin alınmaması nedeniyle 250.000 TL’den 8.500.000 TL’ye kadar idari para cezası.

• Yurt Dışı Aktarım Kurallarının İhlali (Madde 9): Kurulun izni veya Standart Sözleşme güvencesi olmaksızın küresel LLM sunucularına veri gönderilmesi durumunda yasadışı aktarım cezası.

• Standart Sözleşme Bildirim Yükümlülüğünün Kaçırılması: İmzalanan SCC metninin 5 iş günü içinde Kurula bildirilmemesi halinde 1.800.000 TL’ye varan maktu usulsüzlük cezası.

8. Sıkça Sorulan Sorular (SSS)

1. ChatGPT’nin ayarlardan “Sohbet Geçmişi ve Eğitim” (Chat History & Training) özelliğini kapatırsak KVKK riskini tamamen çözmüş olur muyuz?

Hayır, risk sadece kısmen azalır. Bu ayarı kapattığınızda OpenAI, yazdığınız promptları yapay zekâ modelini eğitmek için kullanmayacağını taahhüt eder; bu veri güvenliği (idari tedbir) açısından olumlu bir adımdır. Ancak, verileriniz hâlâ internet üzerinden sınırları aşarak OpenAI’ın ABD’deki bulut sunucularına gitmeye devam etmektedir. Dolayısıyla, “Yurt Dışına Veri Aktarımı” (KVKK Madde 9) ihlali riski aynen devam eder. Bu ayarı kapatmak, verinin yurt dışına çıkışını engellemez, sadece orada kalıcı olarak modele öğretilmesini engeller.

2. Şirket maillerini ve dökümanlarını analiz etmek için Microsoft Copilot kullanıyoruz. Kurumsal Microsoft lisansımız olduğu için KVKK açısından güvende miyiz?

Eğer şirketiniz standart bireysel Office lisansları değil de “Microsoft 365 Enterprise” ticari lisansları kullanıyorsa ve Microsoft ile aranızda kurumsal düzeyde veri işleme şartları (DPA) imzalanmışsa daha güvenli bir alandasınız demektir. Microsoft, kurumsal verilerin dışarı sızmayacağını ve ticari verilerin modele eğitilmeyeceğini yasal olarak taahhüt eder. Ancak Microsoft’un veri merkezlerinin (data center) konumu kritiktir. Verileriniz AB içindeki veya ABD’deki sunuculara gidiyorsa, kurumsal sözleşmenizin ekindeki Standart Sözleşmeleri (SCC) tespit edip Kişisel Verileri Koruma Kurumu’na yasal süresi içinde bildirmiş olmanız gerekir. Aksi takdirde teknik sızıntı olmasa da usuli aktarım ihlali oluşur.

3. Yapay zekâ kullanan bir yazılımcının yazdığı kodda kişisel veri yoksa, sadece şirketin ticari sırları veya kaynak kodları varsa KVKK cezası kesilir mi?

Kaynak kodlarında veya algoritmada bir gerçek kişiyi tanımlayan hiçbir veri (isim, e-posta, ID, IP adresi, log verisi vb.) yoksa, bu durum KVKK’nın kapsamına girmez ve Kişisel Verileri Koruma Kurulu şirket ekosistemine bu nedenden ötürü ceza kesemez. Ancak bu durum, şirketin ticari sırlarının, fikri mülkiyet haklarının ve tescilli kaynak kodlarının dışarı sızması anlamına gelir ki bu da Türk Ticaret Kanunu (TTK) kapsamında “Haksız Rekabet” ve Borçlar Kanunu kapsamında “Sadakat ve Gizlilik Yükümlülüğünün İhlali” nedeniyle iş hukukunu ve ticari davaları tetikler.

4. Tamamen anonim hale getirilmiş verileri ChatGPT’ye yükleyerek analiz yaptırabilir miyiz?

Evet, kesinlikle yaptırabilirsiniz ve bu en yasal yöntemlerden biridir. Bir veri seti içerisindeki isimleri “Müşteri A”, “Müşteri B” şeklinde değiştirir, telefon ve adres gibi tanımlayıcıları tamamen siler ve veriyi hiçbir şekilde geriye döndürülerek gerçek bir kişiyle eşleştirilemeyecek hale getirirseniz (gerçek anlamda anonimleştirme), o veri seti artık “Kişisel Veri” vasfını kaybeder. KVKK kapsamından çıkan bu verileri dilediğiniz küresel yapay zekâ aracına yükleyebilir ve analiz ettirebilirsiniz.

5. Çalışanların kendi inisiyatifleriyle şirket bilgisayarından ChatGPT kullanıp veri sızdırması durumunda ceza şirkete mi kesilir, çalışana mı?

Kanun karşısında muhatap her zaman tüzel kişiliğin kendisi, yani Veri Sorumlusu olan şirkettir. Kurul, ihlali tespit ettiğinde cezayı doğrudan şirkete keser. Şirket, “Benim haberim yoktu, çalışan kendi kafasına göre yüklemiş” diyerek cezadan kurtulamaz; çünkü şirket, çalışanını denetlemek ve sistem üzerinden bu tarz güvensiz sitelere veri girişini engelleyecek teknik tedbirleri (DLP – Data Loss Prevention sistemleri) almakla yükümlüdür. Ancak şirket, ödediği idari para cezasını, kurumsal politikaları ve iş sözleşmesini açıkça ihlal eden işçiye iş hukuku çerçevesinde rücu edebilir (zararı işçiden talep edebilir) ve iş sözleşmesini haklı nedenle feshedebilir.

6. Müşterilerimizden “Verilerinizin yapay zekâ araçlarıyla işlenmesini kabul ediyor musunuz?” diye açık rıza alırsak yurt dışı yasağını aşabilir miyiz?

Yeni yasal düzenlemeler çerçevesinde, düzenli ve sürekli operasyonlar için açık rıza almak yurt dışı yasağını aşmanın hukuki yolu olmaktan çıkarılmıştır. Eğer şirketiniz her gün yüzlerce müşteri talebini yapay zekâ ile yanıtlıyorsa, bu arızi (istisnai/tek seferlik) bir işlem değildir. Kurul, süreklilik arz eden veri akışlarında açık rızanın arkasına sığınılmasını hukuka dolanma olarak kabul etmekte ve geçersiz saymaktadır. Sürekli aktarımlar için tek yasal yol Standart Sözleşmeler (SCC) mekanizması veya veriyi yurt dışına çıkarmayan yerel mimarilerdir.

7. Açık kaynak kodlu (Open-Source) bir yapay zekâ modelini şirket sunucusuna kurmak (On-Premise) ne kadar güvenlidir?

Hukuki açıdan en güvenli ve KVKK uyumlu yöntem budur. Örneğin Meta’nın Llama 3 modelini, Mistral’i veya benzer açık kaynak kodlu modelleri indirip, şirketinize ait fiziki sunuculara veya Türkiye lokasyonlu yerli bulut sağlayıcılara kurduğunuzda, yapay zekaya yazdığınız hiçbir prompt şirket dışına çıkmaz. Veri internette dolaşmaz ve yurt dışına aktarılmamış olur. Şirket veri kayıt sistemi tamamen sizin kontrolünüzde kalacağı için KVKK Madde 9 (Yurt Dışı Aktarım) ve Madde 12 (Veri Güvenliği) risklerini sıfırlamış olursunuz.

8. Bir e-ticaret sitesiyiz, ürün açıklamalarını ChatGPT’ye yazdırıyoruz. Burada KVKK riski var mıdır?

Ürün açıklamaları (Örn: “Kırmızı pamuklu erkek tişört özellikleri…”) herhangi bir gerçek kişiye ait kişisel veri içermez. Sadece ticari ürün bilgilerinden ibarettir. Bu tarz tamamen anonim, genel kamusal bilgilerin yapay zekâ araçlarına yazdırılmasında, optimize edilmesinde veya çevrilmesinde hiçbir KVKK riski bulunmamaktadır. Gönül rahatlığıyla kullanabilirsiniz.

9. Yapay zekanın ürettiği çıktılarda (output) kişisel veri ihlali oluşursa sorumluluk kimdedir?

Eğer yapay zekâ aracı, kendisine verdiğiniz komutlar neticesinde internetteki halka açık verileri tarayarak veya kendi hafızasındaki verileri birleştirerek hukuka aykırı, asılsız veya bir kişiyi ifşa eden bir çıktı üretirse ve siz şirket olarak bu çıktıyı web sitenizde, raporunuzda yayınlarsanız sorumluluk tamamen sizdedir. Yapay zekanın “halüsinasyon” (uydurma) görmesi veya yanlış veri üretmesi, sizin veri sorumlusu olarak verinin doğruluğunu denetleme (KVKK Madde 4) yükümlülüğünüzü ortadan kaldırmaz.

10. Şirket içinde yapay zekâ kullanımını denetlemek için ayrı bir departman veya rol kurulmalı mıdır?

Büyük ölçekli firmalarda ve yoğun veri işleyen yapılarda (Fintek, E-Ticaret, Sağlık, Lojistik) şirket bünyesinde bir Yapay Zekâ Yönetişim Komitesi (AI Governance Committee) kurulması veya mevcut Veri Koruma Görevlisinin (DPO) / KVKK Komitesinin yetkilerinin bu yönde genişletilmesi şiddetle tavsiye edilir. Bu komite, şirkete alınacak her yeni yapay zekâ aracını işleme başlamadan önce yasal ve teknik siber güvenlik süzgecinden (AIA – Artificial Intelligence Assessment) geçirmelidir.

Sonuç: Yapay Zekâ Stratejisinde Hukuki Regülasyon Entegrasyonu

Yapay zekâ teknolojileri şirketlere muazzam bir rekabet avantajı sunarken, yasal regülasyonlara uyulmadığı takdirde birer “saatli bomba”ya dönüşebilmektedir. KVKK, inovasyonun veya yapay zekâ kullanımının önünde bir engel değil; aksine bu sürecin kontrollü, güvenli ve prestijli bir şekilde yürütülmesini sağlayan bir rehberdir.

Şirketlerin yapay zekâ entegrasyon süreçlerinde sadece teknik performans kriterlerine odaklanmayı bırakıp, mimarinin hukuki bacağını (veri akış yönünü, sunucu lokasyonlarını, sözleşme eklerini) sürecin en başından itibaren kurgulamaları gerekir. Unutulmamalıdır ki; siber dünyada sızan bir verinin telafisi, yapay zekânın şirkete kazandıracağı bir yıllık verimlilik karından çok daha büyük mali ve hukuki yıkımlara yol açabilir. Bu karmaşık süreci hatasız atlatmanın en pratik yolu, teknik IT kadrosu ile yapay zekâ ve veri koruma hukukunda uzmanlaşmış bir hukukçu ekibini aynı masaya oturtarak kurumsal bir “Yapay Zekâ Yönetişim Altyapısı” inşa etmektir.