Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
KVKK m. 11/1-g, ilgili kişiye münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhine çıkan sonuçlara itiraz hakkı tanır.
Bu hak; kredi skorlama, işe alım algoritmaları, sigorta fiyatlama, reklam hedefleme ve öneri sistemleri dahil her otomatik karar mekanizmasını kapsar.
"Münhasıran" kelimesi kritiktir: karar sürecinde anlamlı bir insan müdahalesi yoksa otomatik karar sayılır; formalite düzeyinde "onay" yeterli değildir.
İtiraz halinde şirketler insan müdahalesiyle yeniden değerlendirme mekanizması kurmak zorundadır.
KVKK Kurumu'nun 2025-2026 yapay zeka rehberleri, açıklanabilirlik (explainability) ilkesini açıkça benimsemektedir.
Ayrımcı sonuçlar üreten algoritmalar KVKK'nın dürüstlük ilkesine aykırıdır.
2026 yılında otomatik karar mekanizmasının aydınlatılmaması 85.437 – 1.709.200 TL cezası, veri güvenliği ihlali kapsamında 256.357 – 17.092.242 TL cezası gerektirir.
KVKK m. 11/1-g: Otomatik Karara İtiraz Hakkı
KVKK'nın 11. maddesinin 1-g bendi, ilgili kişiye şu hakkı tanır:
"İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme."
Bu hüküm, GDPR'ın 22. maddesindeki "automated individual decision-making, including profiling" düzenlemesinin KVKK'daki karşılığıdır. Ancak önemli bir fark vardır: GDPR m. 22, münhasıran otomatik kararları kural olarak yasaklarken; KVKK m. 11/1-g yalnızca itiraz hakkı tanır.
Otomatik karar verme nedir? Kişisel verilerin insan müdahalesi olmaksızın algoritmalar tarafından analiz edilmesi ve bu analize dayalı olarak kişi hakkında hukuki veya önemli sonuç doğuran kararların alınmasıdır.
"Münhasıran" Ne Anlama Gelir?
Bu kelime hükmün en kritik unsurudur. "Münhasıran otomatik" ifadesi, karar sürecinde hiç insan müdahalesi olmadığı veya insan müdahalesinin formalite düzeyinde kaldığı durumları kapsar.
Algoritma karar üretir ve bir çalışan bu kararı herhangi bir değerlendirme yapmadan otomatik olarak onaylarsa, bu "anlamlı" bir insan müdahalesi değildir. Kurul, formalitenin ötesinde gerçek bir değerlendirme ve müdahale yetkisinin bulunmasını aramaktadır.
"Aleyhe Sonuç" Eşiği
Her otomatik işlem m. 11/1-g kapsamına girmez. İlgili kişi aleyhine bir sonucun ortaya çıkması gerekir. Kredi başvurusunun reddi, iş başvurusunun elenmesi, sigorta priminin artırılması ve hesabın askıya alınması aleyhine sonuçlardır. Kişiselleştirilmiş ürün önerisi veya içerik sıralaması ise genellikle "aleyhe sonuç" eşiğini aşmaz — ancak bu öneri sistemi kişiyi fiyat ayrımcılığına maruz bırakıyorsa eşik aşılmış sayılabilir.
Sektörel Uygulama Alanları
Fintech: Kredi Skorlama
Kredi skorlama, otomatik karar vermenin en klasik ve en yüksek etkili örneğidir. Algoritma, başvuru sahibinin gelir bilgileri, kredi geçmişi, ödeme davranışı ve demografik verilerine dayalı olarak kredi puanı hesaplar ve başvuruyu otomatik olarak onaylar veya reddeder.
KVKK açısından gereklilikler şunlardır: başvuru sahibine kredi değerlendirmesinde otomatik sistem kullanıldığı aydınlatma metninde bildirilmelidir; ret kararı halinde itiraz mekanizması sunulmalı ve itiraz halinde yetkili bir çalışan tarafından dosya yeniden değerlendirilmelidir; skorlama algoritmasının hangi kategorilerdeki verileri dikkate aldığı genel hatlarıyla açıklanabilir olmalıdır (algoritmanın tam kodunun paylaşılması gerekmez); cinsiyet, etnik köken, dini inanç gibi korunan kategorilere dayalı ayrımcı sonuçlar üretmediği düzenli olarak denetlenmelidir.
İK Teknolojileri: İşe Alım Algoritmaları
Yapay zeka destekli CV tarama, video mülakat analizi ve aday sıralama sistemleri hızla yaygınlaşmaktadır. Bu sistemler adayların özgeçmişlerini, mülakat performanslarını ve hatta yüz ifadelerini analiz ederek otomatik sıralama veya eleme kararı verir.
KVKK Kurumu'nun "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" dokümanı (5 Mart 2026) bu konuda açık uyarılar içerir.
KVKK gereklilikleri şunlardır: adaya başvuru sürecinde yapay zeka kullanıldığı açıkça bildirilmelidir; otomatik eleme kararına itiraz hakkı tanınmalıdır; itiraz halinde insan müdahalesiyle yeniden değerlendirme yapılmalıdır; algoritmanın cinsiyet, yaş, engel durumu veya etnik köken bazında ayrımcı sonuçlar üretmediği test edilmelidir.
Amazon'un 2018'de terk ettiği işe alım algoritması bu alandaki en bilinen emsal olarak kalır: algoritma erkek adayları sistematik olarak tercih etmekteydi çünkü eğitim verisi tarihsel olarak erkek ağırlıklıydı. Bu vaka, eğitim verisindeki önyargının algoritmik çıktıya doğrudan yansıdığını somut biçimde göstermiştir.
Sigorta: Risk Bazlı Fiyatlama
Sigorta şirketleri, poliçe fiyatını belirlerken algoritmaların hesapladığı risk skorlarını kullanır. Yaş, meslek, sağlık geçmişi, konum, araç kullanım alışkanlıkları (telematik veriler) ve hatta sosyal medya verileri fiyatlamaya etki edebilir.
KVKK açısından riskler şunlardır: sağlık verileri özel nitelikli kişisel veridir ve işlenmesi sıkı kurallara tabidir; konum veya posta kodu bazlı fiyatlama dolaylı ayrımcılık oluşturabilir; telematik verilerin sürekli toplanması orantılılık ilkesini zorlayabilir; müşteriye prim artışının nedeninin açıklanabilir olması gerekir.
E-Ticaret ve Dijital Platformlar: Öneri Sistemleri ve Dinamik Fiyatlama
Ürün öneri algoritmaları, içerik sıralama ve kişiselleştirilmiş fiyatlama sistemleri profilleme faaliyetidir.
Öneri sistemleri genellikle "aleyhe sonuç" eşiğini aşmaz; ancak bu sistemlerin kişisel fiyat ayrımcılığına yol açması (aynı ürünü farklı kullanıcılara farklı fiyattan sunma) aleyhe sonuç oluşturur. Kurul'un e-ticaret sektöründeki denetim odağı bu alana kaymaktadır.
Profilleme Nedir?
Profilleme, KVKK'da ayrıca tanımlanmamış olmakla birlikte GDPR m. 4/4'teki tanımı referans çerçeve olarak kabul görmektedir: kişisel verilerin otomatik işlenmesinden oluşan ve gerçek kişinin belirli kişisel yönlerini değerlendirmek için kullanılan her türlü kişisel veri işleme biçimidir.
Profilleme örnekleri arasında çalışma performansı analizi, ekonomik durum tahmini, sağlık durumu öngörüsü, kişisel tercihler veya ilgi alanları analizi, güvenilirlik değerlendirmesi, davranış tahmini ve konum takibi ile hareket analizi yer alır.
Profilleme tek başına otomatik karar verme değildir. Ancak profilleme sonucuna dayalı olarak kişi aleyhine karar alındığında m. 11/1-g devreye girer. Profilleme + karar kombinasyonu KVKK'nın en riskli alanıdır.
Açıklanabilir Yapay Zeka (Explainable AI) ve KVKK
KVKK Kurumu'nun 15 Soruda Rehberi ve Etken Yapay Zeka Rehberi (12 Mart 2026), şeffaflık ve açıklanabilirlik ilkelerini açıkça benimsemektedir.
Açıklanabilir yapay zeka, bir algoritmanın nasıl karar verdiğinin insan tarafından anlaşılabilir biçimde açıklanabilmesi anlamına gelir. Tam teknik şeffaflık (algoritmanın kaynak kodunun paylaşılması) zorunlu değildir; ancak kararın hangi kriterlere dayandığının genel hatlarıyla açıklanabilmesi beklenmektedir.
KVKK Açısından Açıklanabilirlik Yükümlülüğü
KVKK'da GDPR m. 22/3'teki gibi açık bir "anlamlı bilgi verme" (meaningful information about the logic involved) hükmü yoktur. Ancak KVKK'nın 10. maddesindeki aydınlatma yükümlülüğü ve 4. maddesindeki şeffaflık ilkesi birlikte değerlendirildiğinde fiili bir açıklanabilirlik yükümlülüğü ortaya çıkar.
İlgili kişi, verilerinin otomatik olarak analiz edildiğini ve bu analizin aleyhine sonuç doğurduğunu bilme hakkına sahiptir. İtiraz ettiğinde kararın gerekçesinin en azından genel hatlarıyla açıklanması gerekir. "Algoritma böyle karar verdi" tek başına yeterli bir gerekçe değildir.
Pratik Uygulama: Açıklanabilirlik Katmanları
Açıklanabilirliğin üç katmanlı biçimde sunulması önerilir.
Katman 1 — Aydınlatma: İlgili kişiye otomatik karar mekanizması kullanıldığı bildirilir (aydınlatma metninde).
Katman 2 — Genel açıklama: Algoritmanın hangi kategorilerdeki verileri dikkate aldığı genel hatlarıyla açıklanır (örneğin: "Kredi skorunuz; ödeme geçmişiniz, gelir düzeyiniz ve mevcut borç oranınız dikkate alınarak hesaplanmıştır").
Katman 3 — Bireysel açıklama (itiraz halinde): İtiraz eden ilgili kişiye kendi başvurusu özelinde hangi faktörlerin belirleyici olduğu açıklanır (örneğin: "Başvurunuz, son 12 aydaki kredi kartı ödeme gecikmeleriniz nedeniyle reddedilmiştir").
Ayrımcı Algoritmalar ve Dürüstlük İlkesi
KVKK'nın 4. maddesindeki "hukuka ve dürüstlük kurallarına uygun olma" ilkesi, algoritmik ayrımcılığa karşı genel bir kalkan oluşturur.
Ayrımcı sonuçlar üç biçimde ortaya çıkabilir.
Doğrudan ayrımcılık: Algoritma doğrudan cinsiyet, yaş, etnik köken veya engel durumu gibi korunan kategorileri girdi olarak kullanır. Bu durum açıkça hukuka aykırıdır.
Dolaylı ayrımcılık (proxy discrimination): Algoritma korunan kategorileri doğrudan kullanmaz; ancak bunlarla güçlü korelasyon gösteren proxy değişkenleri kullanır. Posta kodu (etnik köken proxy'si), mezun olunan okul (sosyo-ekonomik durum proxy'si) veya hobiler (cinsiyet proxy'si) bu kapsamdadır. Dolaylı ayrımcılık, doğrudan ayrımcılıktan daha sinsidir ve tespit edilmesi daha zordur.
Tarihsel önyargı: Eğitim verisi tarihsel önyargılar içeriyorsa algoritma bu önyargıları öğrenir ve çıktılarına yansıtır. Amazon'un işe alım algoritması bunun klasik örneğidir.
Algoritmik Denetim Zorunluluğu
Şirketlerin otomatik karar mekanizmalarını düzenli olarak ayrımcılık açısından denetlemesi gerekir. Bu denetim, farklı demografik gruplar arasında karar çıktılarının karşılaştırılmasını, proxy değişkenlerin tespitini ve eğitim verisindeki önyargıların analizini kapsar.
İtiraz Mekanizması Nasıl Kurulmalı?
KVKK m. 11/1-g kapsamında itiraz hakkının etkin biçimde kullanılabilmesi için şirketlerin şu mekanizmayı kurması gerekir.
1. Bilgilendirme: İlgili kişiye otomatik karar alındığı ve itiraz hakkı bulunduğu açıkça bildirilir (karar anında veya aydınlatma metninde).
2. İtiraz kanalı: Kolay erişilebilir bir itiraz kanalı sunulur: e-posta adresi, web formu veya müşteri hizmetleri.
3. İnsan müdahalesi: İtiraz halinde kararın yetkili bir çalışan tarafından yeniden değerlendirilmesi zorunludur. Bu çalışanın algoritmik kararı gözden geçirme, değiştirme ve gerekçelendirme yetkisi olmalıdır.
4. Gerekçeli yanıt: İtiraz sonucu, kararın değiştirilip değiştirilmediği ve gerekçesi ilgili kişiye 30 gün içinde yazılı olarak bildirilir.
5. Kayıt: İtiraz süreci, kararlar ve gerekçeler kayıt altına alınır. Bu kayıtlar Kurul incelemesinde talep edilebilir.
Sektörel Karşılaştırma: Otomatik Karar Risk Haritası
Sektör | Otomatik Karar Örneği | Etki Düzeyi | KVKK Riski |
|---|---|---|---|
Fintech/Bankacılık | Kredi skorlama, başvuru red/onay | Çok yüksek | Çok yüksek |
İK/İşe alım | CV eleme, mülakat puanlama | Yüksek | Çok yüksek |
Sigorta | Risk skoru, prim hesaplama | Yüksek | Yüksek |
E-ticaret | Dinamik fiyatlama | Orta-yüksek | Orta |
E-ticaret | Ürün önerisi | Düşük | Düşük |
Sağlık | Tedavi önerisi (karar destek) | Çok yüksek | Çok yüksek |
Telekomünikasyon | Churn prediction, müşteri segmentasyonu | Orta | Orta |
Reklam | Hedefleme ve profilleme | Orta | Orta-yüksek |
Sık Sorulan Sorular
KVKK'da otomatik karar verme yasak mı?
Hayır. KVKK m. 11/1-g otomatik karar vermeyi yasaklamaz; yalnızca aleyhine sonuç çıkan kişiye itiraz hakkı tanır. GDPR m. 22 ise münhasıran otomatik kararları kural olarak yasaklar. Bu fark KVKK'nın GDPR'dan daha esnek bir yaklaşım benimsediğini gösterir.
"Münhasıran otomatik" ne demek?
Karar sürecinde anlamlı bir insan müdahalesi olmadığı veya insan müdahalesinin formalite düzeyinde kaldığı durumları kapsar. Algoritma karar verir ve çalışan bu kararı değerlendirmeden otomatik onaylarsa bu "münhasıran otomatik" sayılır.
İtiraz hakkını nasıl tanımalıyım?
Aydınlatma metninde otomatik karar mekanizması kullanıldığını ve itiraz hakkının bulunduğunu belirtin. Kolay erişilebilir bir itiraz kanalı sunun. İtiraz halinde yetkili bir çalışan tarafından yeniden değerlendirme yapın ve 30 gün içinde gerekçeli yanıt verin.
Algoritmanın kaynak kodunu paylaşmak zorunda mıyım?
Hayır. KVKK tam teknik şeffaflık gerektirmez. Ancak kararın hangi kategorilerdeki verilere dayandığının genel hatlarıyla açıklanabilir olması beklenir. İtiraz halinde bireysel düzeyde hangi faktörlerin belirleyici olduğunun açıklanması gerekir.
Öneri sistemi (recommender) de otomatik karar mı sayılır?
Ürün önerisi veya içerik sıralaması genellikle "aleyhe sonuç" eşiğini aşmaz. Ancak öneri sistemi kişisel fiyat ayrımcılığına yol açıyorsa veya kişinin görebildiği içeriği manipülatif biçimde kısıtlıyorsa aleyhe sonuç oluşabilir.
Yapay zeka kullanmıyorum, basit kural bazlı otomasyon da kapsamda mı?
Evet. "Münhasıran otomatik sistemler" ifadesi yalnızca yapay zekayı değil, her türlü otomatik karar mekanizmasını kapsar. Basit if-then kuralları, skor tabloları veya karar ağaçları da bu kapsamdadır.
Okuyucular Bunları da Soruyor
Kredi başvurum algoritma tarafından reddedildi, ne yapabilirim?
KVKK m. 11/1-g kapsamında karara itiraz hakkınız vardır. Kredi kuruluşuna yazılı itiraz başvurusu yapın. 30 gün içinde yanıt almalısınız. İtiraz halinde başvurunuzun yetkili bir çalışan tarafından yeniden değerlendirilmesi ve ret gerekçesinin açıklanması gerekir. Tatmin edici yanıt alamazsanız Kurul'a şikayet hakkınız doğar.
Şirketimde algoritmik denetim nasıl yapılmalı?
Periyodik olarak (yılda en az bir kez) algoritmik çıktıların farklı demografik gruplar arasında karşılaştırılması, proxy değişkenlerin tespiti ve eğitim verisindeki önyargıların analiz edilmesi önerilir. Bağımsız üçüncü taraf denetimi güvenilirliği artırır.
İnsan müdahalesi formalite ise yeterli mi?
Hayır. Kurul, "rubber stamp" (otomatik mühür) niteliğinde insan müdahalesini anlamlı müdahale olarak kabul etmez. Müdahale eden kişinin algoritmik kararı gerçekten değerlendirme, değiştirme ve gerekçelendirme yetkisine sahip olması gerekir.
GDPR ile KVKK otomatik karar verme kuralları arasındaki fark nedir?
GDPR m. 22, münhasıran otomatik kararları kural olarak yasaklar ve sınırlı istisnalar tanır. KVKK m. 11/1-g ise otomatik kararları yasaklamaz; yalnızca aleyhine sonuç çıkan kişiye itiraz hakkı verir. Bu fark KVKK'nın daha esnek, GDPR'ın daha koruyucu bir yaklaşım benimsediğini gösterir.
Sonuç
Algoritmik karar verme, dijital ekonominin temelini oluşturur; ancak KVKK açısından en hassas ve en yüksek riskli alanlardan biridir. KVKK m. 11/1-g, bu alanda kişi haklarını koruyan temel hükümdür: otomatik karara itiraz hakkı, insan müdahalesi zorunluluğu ve açıklanabilirlik ilkesi birlikte bu korumanın üç ayağını oluşturur.
Şirketlerin otomatik karar mekanizmalarını KVKK uyumlu biçimde yönetmesi — aydınlatma, itiraz mekanizması, insan müdahalesi ve algoritmik denetim — hem ceza riskini hem de kullanıcı güvenini doğrudan etkiler.
Güneş Partners olarak algoritmik karar verme ve KVKK uyumunda — otomatik karar mekanizmalarının hukuki değerlendirmesi, aydınlatma ve itiraz süreçlerinin kurgulanması, algoritmik denetim danışmanlığı ve Kurul süreçlerinde temsil — şirketlere kapsamlı hukuki destek sağlıyoruz. Otomatik karar mekanizmalarınızın KVKK uyumunu değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK m. 4, 10 ve 11/1-g, GDPR m. 22, KVKK Kurumu'nun "15 Soruda Üretken Yapay Zeka Rehberi" (24 Kasım 2025), "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" dokümanı (5 Mart 2026), "Etken Yapay Zekâ (Agentic AI)" Rehberi (12 Mart 2026) ve uluslararası algoritmik denetim standartları temelinde hazırlanmıştır. Algoritmik karar verme ve KVKK uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.