Etken Yapay Zeka (Agentic AI) ve KVKK: Otonom Sistemlerin Hukuki Boyutu (2026)

Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026

TL;DR — Bu Yazının Özeti

• Etken yapay zeka (Agentic AI), sürekli insan yönlendirmesine ihtiyaç duymadan çok adımlı görevleri otonom biçimde yürütebilen yapay zeka sistemleridir.

• KVKK Kurumu, 12 Mart 2026 tarihinde "Etken Yapay Zekâ (Agentic AI)" başlıklı resmi rehberini yayımladı; Türkiye bu konuda rehber yayımlayan dünyadaki ilk dört otooriteden biri oldu (KVKK, ICO, EDPS, AEPD).

• Rehber, etken yapay zekada kişisel veri koruması için sorumluluk dağılımının netleştirilmesi, tasarımdan itibaren mahremiyet ve insan gözetimi mekanizmalarının zorunluluğunu vurgular.

• AI agent'ların KVKK'daki rolü belirsizdir: geliştirici, yerleştirici (deployer) ve kullanıcı arasında veri sorumlusu / veri işleyen sıfatı fiili duruma göre belirlenir.

• Browser agent'ları (Claude Computer Use, OpenAI Operator gibi) yurt dışı veri aktarımı, otonom veri toplama ve profilleme riskleri taşır.

• Otonom sistemlerin aldığı kararlara karşı KVKK m. 11/1-g kapsamında otomatik karar itiraz hakkı geçerlidir.

Etken Yapay Zeka Nedir?

Etken yapay zeka, geleneksel yapay zeka uygulamalarından temel bir farkla ayrılır: belirli hedeflere ulaşmak amacıyla çevresel koşulları değerlendirebilen, değişen durumlara uyum sağlayabilen ve farklı düzeylerde otonom biçimde eylem başlatabilen bütünleşik sistemlerdir.

Geleneksel yapay zeka bir soruya cevap verir veya bir veri setini analiz eder; etken yapay zeka ise bir hedef alır, bu hedefe ulaşmak için çok adımlı bir plan oluşturur, planın her adımını otonom olarak yürütür, sonuçları değerlendirir ve gerektiğinde stratejisini kendi başına değiştirir.

Etken yapay zeka (Agentic AI) nedir? Belirli hedefler doğrultusunda çok adımlı süreçleri sürekli insan yönlendirmesine ihtiyaç duymadan yürütebilen, değişen koşullara uyum sağlayarak eylemleri koordine edebilen yapay zeka sistemleridir. KVKK Kurumu'nun 12 Mart 2026 tarihli rehberinde bu tanım yer almaktadır.

Somut Örnekler

Etken yapay zekayı somutlaştırmak gerekirse: bir browser agent'ı (örneğin Claude Computer Use veya OpenAI Operator) kullanıcının "bana en ucuz İstanbul-Londra uçak biletini bul ve rezervasyon yap" talimatıyla onlarca web sitesini otonom olarak ziyaret eder, fiyatları karşılaştırır, form doldurur ve işlemi tamamlar. Bu süreçte agent, kullanıcının adı, e-postası, pasaport bilgisi ve kredi kartı verisine otonom erişim sağlayabilir.

Bir müşteri hizmetleri AI agent'ı, gelen şikayeti analiz eder, CRM'deki müşteri geçmişini inceler, sipariş durumunu kontrol eder, iade sürecini başlatır ve müşteriye bilgilendirme e-postası gönderir — tümü insan müdahalesi olmadan.

Bir İK yapay zeka agent'ı, iş başvurularını tarar, özgeçmişleri analiz eder, uygunluk puanı hesaplar ve ilk mülakata çağrılacak adayları belirler — yine otonom biçimde.

KVKK Kurumu'nun Etken Yapay Zeka Rehberi (12 Mart 2026)

Kişisel Verileri Koruma Kurumu, 12 Mart 2026 tarihinde resmi internet sitesinde yayımladığı kamuoyu duyurusuyla birlikte "Etken Yapay Zekâ (Agentic AI)" başlıklı rehberini kamuoyuyla paylaştı.

Bu rehber, Türkiye'nin etken yapay zeka konusunda resmi bir değerlendirme dokümanı yayımlayan dünyadaki ilk dört veri koruma otoritesinden biri olmasını sağladı. Diğer üçü İngiltere ICO (8 Ocak 2026), AB EDPS (Kasım 2025) ve İspanya AEPD'dir (18 Şubat 2026).

Rehberin Temel Başlıkları

Rehber dört ana eksen etrafında şekillenmektedir.

1. Yapısal özellikler ve kişisel veri işleme: Etken yapay zeka sistemlerinin artan otonomi düzeyi ve veri işleme kapasitesi, kişisel verilerin korunması bakımından yeni değerlendirme alanlarını gündeme getirmektedir.

2. Çıkarım ve profilleme riskleri: Etken sistemler, tek başına kişisel veri niteliği taşımayan bilgileri başka verilerle ilişkilendirerek kişisel veri haline getirebilir. Bu durum, özellikle özel nitelikli verilerin dolaylı yoldan işlenmesi riskini doğurur.

3. Şeffaflık ve açıklanabilirlik: Hangi verinin hangi amaçla işlendiğinin belirlenmesi güçleşmektedir. Bu durum, veri sorumlularının aydınlatma yükümlülüğü açısından doğrudan risk oluşturur.

4. Sorumluluk ve hesap verebilirlik: Veri işleme faaliyetlerinin genellikle geliştiriciler, yerleştiriciler ve kullanıcılar arasında paylaşılması nedeniyle, ihlal veya hukuka aykırı sonuçlarda sorumluluğun kime ait olduğunun tespiti zorlaşmaktadır.

Rehberin Şirketlere Önerileri

Rehber, etken yapay zeka kullanan veya kullanmayı planlayan kuruluşlara dört temel adım önermektedir:

Etken yapay zeka kullanımını kapsayan bir veri yönetişimi ve risk değerlendirme çerçevesi oluşturulması, veri işleme süreçlerindeki aktörler arasında sorumluluk dağılımının netleştirilmesi, insan gözetimi mekanizmalarının tasarım aşamasından itibaren sisteme entegre edilmesi ve çalışanların bu sistemlerin kişisel veri işleme boyutu konusunda bilgilendirilmesi.

AI Agent Veri Sorumlusu mu, Veri İşleyen mi?

Bu, etken yapay zekanın KVKK karşısındaki en karmaşık ve en kritik sorusudur. Çünkü geleneksel veri sorumlusu-veri işleyen ayrımı, otonom karar veren bir sistemde bulanıklaşır.

Üçlü Aktör Yapısı

Etken yapay zeka ekosisteminde üç temel aktör bulunur.

Geliştirici: Yapay zeka modelini eğiten, algoritmayı tasarlayan ve sistemi geliştiren şirket (örneğin Anthropic, OpenAI, Google). Model eğitimi sırasında büyük veri setleri kullanır; bu süreçte kişisel veri işlenmiş olabilir.

Yerleştirici (Deployer): Geliştirilen modeli kendi iş süreçlerine entegre eden şirket. Müşteri hizmetleri chatbotu kuran bir e-ticaret sitesi, İK sürecinde AI agent kullanan bir şirket bu kategoridedir.

Son kullanıcı: Sistemi doğrudan kullanan kişi. Bir browser agent'ı üzerinden otel rezervasyonu yapan bireysel kullanıcı veya AI asistan aracılığıyla araştırma yapan bir çalışan.

Kim Veri Sorumlusu?

KVKK'nın "amacını ve vasıtalarını belirleyen" kriteri, etken yapay zeka bağlamında her aktör için ayrı değerlendirilmelidir.

Bu tablo, etken yapay zekanın mevcut KVKK çerçevesindeki en temel açığını gösterir: AI agent'ın kendisi hukuki bir kişi değildir. Otonom karar alsa bile sorumluluk, arkasındaki geliştirici veya yerleştiriciye yüklenir. Agent'ın öngörülemeyen bir eylem gerçekleştirmesi durumunda bu sorumluluk dağılımı ciddi hukuki tartışmalar doğurur.

Browser Agent'larının Hukuki Riskleri

Claude Computer Use, OpenAI Operator ve benzeri browser agent'ları, etken yapay zekanın en somut ve en tartışmalı kullanım alanlarından biridir. Bu sistemler kullanıcı adına web sitelerini ziyaret eder, form doldurur, alışveriş yapar ve hesaplara giriş çıkış gerçekleştirir.

Risk 1: Otonom Veri Toplama

Browser agent, kullanıcının talimatını yerine getirirken web sitelerinden kişisel veri toplayabilir: fiyat karşılaştırma yaparken rakip şirketlerin çalışan bilgilerini okuyabilir, sosyal medya profillerini tarayabilir veya kamusal veritabanlarından bilgi derleyebilir. Bu toplama faaliyeti, agent'ı çalıştıran kişi veya şirket açısından KVKK kapsamında veri işleme sayılır.

Risk 2: Yurt Dışı Veri Aktarımı

Browser agent'larının büyük çoğunluğu yurt dışı sunucularda çalışır (Anthropic ABD, OpenAI ABD). Agent'a verilen kişisel veri — ad, e-posta, adres, pasaport numarası — bu sunuculara iletilir. Bu durum KVKK m. 9 kapsamında yurt dışı veri aktarımı sayılır ve 7499 sayılı Kanun sonrası güvence mekanizmalarından birinin (yeterlilik kararı, standart sözleşme) sağlanması zorunludur.

Risk 3: Öngörülemeyen Eylemler

Etken yapay zekanın tanımı gereği agent, hedefine ulaşmak için önceden belirlenmemiş adımlar atabilir. Bir rezervasyon agent'ı, otel sitesinde hesap açmak için kullanıcının e-postasını kullanarak üyelik oluşturabilir; bu durumda kullanıcı farkında olmadan yeni bir hizmetin koşullarını kabul etmiş olabilir. Böyle bir senaryoda aydınlatma yükümlülüğünün kim tarafından yerine getirileceği, rızanın geçerli olup olmadığı ve sorumluluk dağılımı ciddi hukuki sorunlar doğurur.

Risk 4: Profilleme ve Otomatik Karar

Browser agent'ları, kullanıcı adına topladığı verileri analiz ederek otomatik kararlar alabilir. "Bu otel senin tercihlerine en uygun" veya "bu adayın CV'si en güçlü" gibi çıktılar, KVKK m. 11/1-g kapsamında otomatik karar verme niteliği taşır. İlgili kişinin bu karara itiraz hakkı vardır ve bu hakkın nasıl kullanılacağının aydınlatma sürecinde belirtilmesi gerekir.

Otonom Karar Verme ve KVKK m. 11/1-g

KVKK'nın 11. maddesinin 1-g bendi, ilgili kişiye şu hakkı tanır: işlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.

Etken yapay zeka sistemlerinde bu hak özellikle kritiktir çünkü agent, insan müdahalesi olmadan sonuç üretir ve bu sonuç kişi aleyhine olabilir: kredi başvurusunun otomatik reddi, iş başvurusunun algoritmayla elenmesi, sigorta priminin yapay zeka tarafından belirlenmesi gibi.

Şirketler İçin Yükümlülükler

Etken yapay zeka kullanan şirketlerin bu hak kapsamında yapması gerekenler şunlardır:

İlgili kişiyi, veri işleme sürecinde otonom yapay zeka sisteminin kullanıldığı konusunda aydınlatmak. Otonom kararın mantığı hakkında açıklanabilir bilgi sunmak (algoritmanın tam kodunu paylaşmak gerekmez; ancak kararın hangi kriterlere dayandığı genel hatlarıyla açıklanmalıdır). İtiraz halinde insan müdahalesiyle yeniden değerlendirme mekanizması kurmak. Otonom kararın ayrımcı sonuçlar üretip üretmediğini düzenli olarak denetlemek.

Tasarımdan İtibaren Mahremiyet (Privacy by Design)

KVKK Kurumu'nun rehberi, etken yapay zeka sistemlerinde "tasarımdan itibaren mahremiyet" (privacy by design) ve "varsayılan olarak mahremiyet" (privacy by default) yaklaşımlarının sistemlerin yaşam döngüsü boyunca uygulanmasını açıkça önermektedir.

Bu ilke, kişisel veri korumasının sistem geliştirildikten sonra eklenen bir yama değil; sistemin mimarisine başından itibaren gömülmüş bir tasarım prensibi olması gerektiğini ifade eder.

Pratik uygulamalar: agent'ın erişebileceği veri kategorilerinin baştan sınırlandırılması (veri minimizasyonu), otonom eylemlerin loglanması ve denetlenebilir olması, kritik kararlarda insan onayı mekanizmasının zorunlu kılınması (human-in-the-loop), agent'ın topladığı verilerin otomatik saklama süresi belirlenmesi ve süre sonunda imhası.

Uluslararası Karşılaştırma

KVKK rehberi, bu alanda yayımlanan dört uluslararası dokümanla paralel bir çerçeve çiziyor.

Dört otoritenin ortak vurgusu: sorumluluk dağılımının netleştirilmesi, insan gözetiminin korunması, şeffaflık ve açıklanabilirlik.

Sık Sorulan Sorular

Etken yapay zeka ile üretken yapay zeka arasındaki fark nedir?

Üretken yapay zeka (Generative AI) kullanıcı girdisine dayalı olarak metin, görsel veya kod üretir; ancak otonom eylem başlatmaz. Etken yapay zeka ise bir hedef alır ve bu hedefe ulaşmak için çok adımlı süreçleri otonom biçimde planlar, yürütür ve gerektiğinde stratejisini değiştirir. Üretken yapay zeka bir araçtır; etken yapay zeka bir aktördür.

AI agent benim adıma kişisel veri toplarsa sorumlu kim olur?

Mevcut KVKK çerçevesinde AI agent'ın hukuki kişiliği yoktur. Sorumluluk, agent'ı çalıştıran kişi veya kuruma (yerleştirici/deployer) aittir. Agent'ın öngörülemeyen bir eylem gerçekleştirmesi durumunda da sorumluluk yerleştiriciden kalkmaz.

Browser agent kullanıyorum. KVKK riskim nedir?

Üç temel risk taşırsınız: agent'ın topladığı verilerin yurt dışı sunuculara aktarılması (KVKK m. 9), agent'ın otonom biçimde üçüncü taraf sitelerden veri toplaması ve agent'ın sizin adınıza form doldurarak farkında olmadığınız sözleşmeler kabul etmesi. Bu riskleri yönetmek için agent'ın erişim yetkilerini sınırlandırmanız, yurt dışı aktarım güvencesini sağlamanız ve kritik işlemlerde insan onayı mekanizması kurmanız gerekir.

KVKK'da yapay zeka agent'lara özel bir düzenleme var mı?

Şu an için ayrı bir kanuni düzenleme yoktur. KVKK Kurumu'nun 12 Mart 2026 tarihli rehberi resmi bir değerlendirme çerçevesi sunar; ancak bağlayıcı mevzuat niteliği taşımaz. Mevcut KVKK hükümleri (veri sorumluluğu, aydınlatma, açık rıza, otomatik karar) etken yapay zekaya uygulanabilir; ancak bu hükümlerin otonom sistemlere özgü yorumlanması henüz gelişme aşamasındadır.

Yapay zeka agent'ı müşteri verilerine erişiyorsa DPA yapmalı mıyım?

Evet. Agent'ı sağlayan şirket (geliştirici veya platform sağlayıcı) müşteri verilerinize erişiyorsa bu ilişki veri sorumlusu-veri işleyen ilişkisi kapsamındadır ve yazılı veri işleme sözleşmesi (DPA) zorunludur.

Etken yapay zeka kullanırken veri koruma etki değerlendirmesi (DPIA) yapmalı mıyım?

KVKK'da GDPR'daki gibi zorunlu DPIA düzenlemesi yoktur; ancak Kurum rehberi, etken yapay zeka sistemlerinin işleyişinden kaynaklanabilecek risklerin veri koruma etki değerlendirmesi gibi araçlarla bütüncül biçimde değerlendirilmesini açıkça önermektedir. Yüksek riskli otonom sistemler kullanan şirketler için bu öneri pratikte zorunluluk niteliğindedir.

Okuyucular Bunları da Soruyor

Şirketim müşteri hizmetlerinde AI agent kullanıyor. KVKK açısından ilk adım ne olmalı?

İlk adım, agent'ın hangi verilere eriştiğini, bu verileri nereye aktardığını ve hangi otonom kararları aldığını haritalamaktır. Ardından aydınlatma metnini güncellemeniz (müşteriye yapay zeka kullanıldığını bildirme), agent sağlayıcıyla DPA yapmanız ve yurt dışı aktarım güvencesini sağlamanız gerekir.

AI agent'ın aldığı karara müşterim itiraz edebilir mi?

Evet. KVKK m. 11/1-g kapsamında müşteriniz, münhasıran otomatik sistemlerle alınan ve aleyhine sonuç doğuran kararlara itiraz hakkına sahiptir. İtiraz halinde kararın insan müdahalesiyle yeniden değerlendirilmesi zorunludur.

Etken yapay zeka sistemlerinde "insan gözetimi" ne anlama geliyor?

İnsan gözetimi (human oversight), agent'ın belirli eşiklerdeki kararlarının insan onayına tabi tutulmasıdır. Tüm kararları insan onayına bağlamak agent'ın verimliliğini ortadan kaldırır; ancak yüksek riskli kararların (kişisel veri silme, sözleşme kabul etme, ödeme yapma) insan onayı olmadan gerçekleştirilmemesi gerekir.

Türkiye'de AI Act benzeri bir düzenleme bekleniyor mu?

Adalet Bakanlığı bünyesinde kurulan Yapay Zeka Bilim Komisyonu çalışmalarına devam etmektedir. AB'nin AI Act düzenlemesinin Türkiye uyum sürecine etkisi beklenmekle birlikte şu an için spesifik bir takvim açıklanmamıştır. KVKK Kurumu'nun 2026'da yayımladığı üretken yapay zeka ve etken yapay zeka rehberleri, düzenleyici yaklaşımın somutlaşmaya başladığının göstergesidir.

Sonuç

Etken yapay zeka, kişisel veri koruması hukukunun en yeni ve en karmaşık sınav alanıdır. Geleneksel yapay zekadan farklı olarak otonom eylem başlatabilme kapasitesi, mevcut KVKK çerçevesinin sorumluluğu kime yükleyeceği konusunda ciddi belirsizlikler doğurmaktadır.

KVKK Kurumu'nun 12 Mart 2026 tarihli rehberi, bu belirsizliklere tam bir çözüm getirmese de düzenleyicinin bu alanı yakından takip ettiğinin ve beklentilerinin ne yönde olduğunun açık bir göstergesidir. Sorumluluk dağılımının netleştirilmesi, tasarımdan itibaren mahremiyet, insan gözetimi ve şeffaflık — bu dört ilke, etken yapay zeka kullanan her şirketin uyum stratejisinin temelini oluşturmalıdır.

Güneş Partners olarak yapay zeka ve veri koruma hukukunun kesişim noktasında — etken yapay zeka risk değerlendirmesi, AI agent DPA sözleşmeleri, otonom karar mekanizmalarının hukuki çerçevesi ve Kurul süreçlerinde temsil alanlarında — şirketlere hukuki destek sağlıyoruz. Yapay zeka projelerinizin KVKK uyumunu değerlendirmek için bizimle iletişime geçebilirsiniz.

Bu İçerik Hakkında

Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, KVKK Kurumu'nun 12 Mart 2026 tarihli "Etken Yapay Zekâ (Agentic AI)" Rehberi, 5 Mart 2026 tarihli "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" dokümanı, 6698 sayılı KVKK m. 3, 5, 9 ve 11, ICO Agentic AI Raporu (Ocak 2026), EDPS Raporu (Kasım 2025) ve AEPD Rehberi (Şubat 2026) temelinde hazırlanmıştır. Yapay zeka ve KVKK uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.