Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
KVKK Kurumu, üretken yapay zeka konusunda iki kritik doküman yayımlamıştır: "15 Soruda Üretken Yapay Zeka ve Kişisel Verilerin Korunması Rehberi" (24 Kasım 2025) ve "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" dokümanı (5 Mart 2026).
ChatGPT, Claude ve Gemini gibi araçlara kişisel veri içeren prompt göndermek yurt dışı veri aktarımı sayılır; standart sözleşme ve DPA zorunludur.
Prompt'larda müşteri adı, T.C. kimlik no, sağlık bilgisi veya çalışan verisi kullanılması doğrudan KVKK ihlali riski doğurur.
Ücretsiz planlar ile kurumsal planlar arasında veri kullanım politikaları farklıdır; ücretsiz planlarda girilen veriler model eğitiminde kullanılabilir.
Her şirketin bir Kurumsal AI Kullanım Politikası hazırlaması artık hukuki zorunluluktur.
AI çıktılarındaki halüsinasyonlar (uydurulmuş bilgi), kişisel veriler açısından doğruluk ilkesini ihlal edebilir.
Anonimleştirme filtreleri ve DLP (Data Loss Prevention) araçları, prompt güvenliğinin teknik çözümüdür.
KVKK Kurumu'nun Yapay Zeka Dokümanları: İki Kritik Rehber
Rehber 1: "15 Soruda Üretken Yapay Zeka ve Kişisel Verilerin Korunması" (24 Kasım 2025)
Bu rehber, KVKK Kurumu'nun üretken yapay zeka konusundaki temel referans belgesidir. Rehberde ele alınan 15 soru, üretken yapay zekanın yaşam döngüsü boyunca kişisel veri işleme faaliyetlerini kapsamlı biçimde değerlendirir.
Rehberin temel tespitleri:
Üretken yapay zeka sistemleri veri odaklı çalışır ve yaşam döngüsünün her aşamasında kişisel veri işlenebilir: eğitim verisi toplama, model eğitimi, kullanıcı prompt'ları ve üretilen çıktılar. Veri sorumlusu ve veri işleyen rolleri, sistemin yaşam döngüsündeki her aktör için ayrı ayrı belirlenmelidir. Aydınlatma yükümlülüğü, yapay zeka sistemi kullanılarak gerçekleştirilen her kişisel veri işleme faaliyeti için ayrıca yerine getirilmelidir. Tasarımdan itibaren mahremiyet (privacy by design) ve varsayılan olarak mahremiyet (privacy by default) yaklaşımları sistemlerin yaşam döngüsü boyunca uygulanmalıdır.
Rehber ayrıca çocukların üretken yapay zeka araçlarını kullanmasına ilişkin ebeveyn önlemlerini de ele alır.
Rehber 2: "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" (5 Mart 2026)
Bu doküman, şirketlerin çalışanlarının üretken yapay zeka araçlarını iş süreçlerinde kullanmasına odaklanır ve pratikte en çok ihtiyaç duyulan rehberdir.
Dokümanın temel uyarıları:
Çalışanların yapay zeka araçlarına kişisel veri girmesi ciddi KVKK riskleri doğurur. Girilen veriler üçüncü taraf platformların sunucularında işlenir ve potansiyel olarak model eğitiminde kullanılabilir. Bu durum hem yurt dışı veri aktarımı hem de amaç dışı veri işleme anlamına gelir. Şirketlerin kurumsal yapay zeka kullanım politikası oluşturması, çalışanları bu konuda eğitmesi ve teknik kontrol mekanizmaları kurması gerekir.
Üretken Yapay Zeka Araçlarının Veri Kullanım Politikaları
Her platformun veri kullanım politikası farklıdır. Ücretsiz planlar ile kurumsal planlar arasındaki fark KVKK uyumu açısından kritiktir.
Platform Karşılaştırması
Platform | Ücretsiz Plan | Kurumsal Plan | Model Eğitiminde Kullanım |
|---|---|---|---|
ChatGPT (OpenAI) | Prompt'lar model eğitiminde kullanılabilir (opt-out mümkün) | ChatGPT Enterprise/Team: kullanılmaz | Ücretsiz: evet (varsayılan), Kurumsal: hayır |
Claude (Anthropic) | Prompt'lar model eğitiminde kullanılmaz (varsayılan) | Claude for Business: kullanılmaz | Her iki planda da varsayılan olarak hayır |
Gemini (Google) | Prompt'lar model iyileştirmede kullanılabilir | Google Workspace AI: kullanılmaz (DPA kapsamında) | Ücretsiz: evet, Kurumsal: hayır |
Copilot (Microsoft) | Bing Chat verileri kullanılabilir | Microsoft 365 Copilot: kullanılmaz (DPA kapsamında) | Ücretsiz: evet, Kurumsal: hayır |
Kritik çıkarım: Ücretsiz planlarda girilen veriler model eğitiminde kullanılabilir; bu durum KVKK'nın "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesini ve "belirli amaçlar için işlenme" ilkesini ihlal eder. Şirketlerin iş amaçlı yapay zeka kullanımında kurumsal planları tercih etmesi zorunludur.
Yurt Dışı Veri Aktarımı Durumu
Platform | Merkez | Sunucu Lokasyonu | KVKK Durumu |
|---|---|---|---|
OpenAI (ChatGPT) | ABD | ABD | Standart sözleşme + DPA zorunlu |
Anthropic (Claude) | ABD | ABD | Standart sözleşme + DPA zorunlu |
Google (Gemini) | ABD | ABD/AB seçilebilir | Standart sözleşme + DPA zorunlu |
Microsoft (Copilot) | ABD | AB seçilebilir | Standart sözleşme + DPA zorunlu |
Her dört platform da ABD merkezlidir. Kurumsal planlar kullanılsa bile prompt'lar yurt dışı sunuculara iletilir; bu KVKK kapsamında yurt dışı veri aktarımıdır.
Prompt'larda Kişisel Veri: En Büyük Risk Alanı
İş yerinde yapay zeka kullanımının en yaygın ve en tehlikeli ihlal kalıbı, çalışanların prompt'lara kişisel veri girmesidir.
Yüksek Riskli Prompt Örnekleri
Senaryo 1 — İK: "Ahmet Yılmaz'ın (T.C. 12345678901) performans değerlendirmesini özetle ve terfi önerisini hazırla."
Bu prompt, çalışanın adını, T.C. kimlik numarasını ve performans verisini üçüncü taraf yapay zeka platformuna aktarır. Üç ayrı KVKK ihlali oluşur: yetkisiz veri aktarımı, yurt dışı transfer güvencesizliği ve amaç dışı işleme.
Senaryo 2 — Hukuk: "Ekte müvekkilimizin boşanma davası dilekçesi var, bunu incele ve karşı tarafın argümanlarına cevap hazırla."
Dilekçe müvekkilin adı, adresi, aile bilgileri ve mali durumunu içerir. Avukat-müvekkil gizliliği de ihlal edilir.
Senaryo 3 — Sağlık: "Hastamız Fatma Demir, 45 yaşında, tip 2 diyabet tedavisi görüyor. Tedavi planını güncelle."
Sağlık verisi özel nitelikli kişisel veridir; en sıkı koruma rejimine tabidir.
Senaryo 4 — Satış: "Bu müşteri listesindeki 500 kişiye kişiselleştirilmiş e-posta taslağı hazırla. [Excel dosyası yapıştırılır]"
500 kişinin ad, e-posta ve satın alma geçmişi toplu biçimde yurt dışına aktarılır.
Düşük Riskli Kullanım Örnekleri
Tüm yapay zeka kullanımı riskli değildir. Kişisel veri içermeyen prompt'lar KVKK açısından sorun oluşturmaz: genel bilgi soruları, kod yazma/hata ayıklama (kişisel veri içermeyen), pazarlama metni taslağı (gerçek müşteri verisi olmadan), araştırma ve analiz (anonim verilerle), sunum ve rapor taslağı (kişisel veri içermeyen).
Anonimleştirme Filtreleri: Prompt Güvenliğinin Teknik Çözümü
Prompt'lardaki kişisel verilerin yapay zeka platformuna ulaşmadan önce otomatik olarak tespit edilip maskelenmesi veya anonimleştirilmesi için teknik çözümler mevcuttur.
Nasıl Çalışır?
Adım 1 — Tespit: Prompt yapay zeka platformuna gönderilmeden önce bir ara katman (middleware) tarafından taranır. Bu katman, NLP (doğal dil işleme) teknikleriyle metindeki kişisel veri unsurlarını tespit eder: isimler, T.C. kimlik numaraları, telefon numaraları, e-posta adresleri, adresler, sağlık bilgileri.
Adım 2 — Maskeleme: Tespit edilen kişisel veriler placeholder'larla değiştirilir: "Ahmet Yılmaz" → "[KİŞİ_1]", "12345678901" → "[TC_KİMLİK]", "fatma@sirket.com" → "[E_POSTA_1]".
Adım 3 — Gönderim: Maskelenmiş prompt yapay zeka platformuna gönderilir. Platform kişisel veri görmez.
Adım 4 — Geri dönüştürme: Yapay zekanın yanıtındaki placeholder'lar orijinal verilerle yerleştirilerek son kullanıcıya sunulur.
Mevcut Araçlar
Kurumsal düzeyde prompt güvenliği sağlayan araçlar arasında Microsoft Purview (DLP + AI güvenliği), Nightfall AI, Private AI, Presidio (Microsoft açık kaynak NER aracı) ve özel geliştirme çözümleri yer almaktadır. Bu araçlar API gateway seviyesinde çalışarak tüm yapay zeka trafiğini filtreleyebilir.
DLP (Data Loss Prevention) Entegrasyonu
Mevcut DLP altyapısı, yapay zeka araçlarına yönelik veri akışını da kapsamalıdır. DLP kurallarına "yapay zeka platformlarına kişisel veri içeren içerik gönderimini engelle" politikası eklenmeli; T.C. kimlik numarası, kredi kartı numarası, sağlık terimleri ve çalışan kimlik bilgileri gibi pattern'lar tanımlanmalıdır.
Halüsinasyon Riski ve KVKK Doğruluk İlkesi
Üretken yapay zeka sistemlerinin "halüsinasyon" (uydurma bilgi üretme) eğilimi KVKK açısından ayrı bir risk alanıdır.
KVKK'nın 4. maddesindeki "doğru ve gerektiğinde güncel olma" ilkesi, işlenen kişisel verilerin doğru olmasını zorunlu kılar. Yapay zekanın ürettiği bir çıktı, gerçek bir kişi hakkında yanlış bilgi içeriyorsa bu durum hem doğruluk ilkesini hem de ilgili kişinin haklarını ihlal edebilir.
KVKK Kurumu'nun 15 Soruda Rehberi, halüsinasyon riskini açıkça ele almıştır: "modelin doğrudan kişisel veri işlemesi hedeflenmemekle beraber, kişisel veriler rastlantısal veya dolaylı bir şekilde işlenebilecektir" tespiti yapılmış ve "tüm aşamalarda düzenli kontrollerin gerçekleştirilmesi ve sistemin incelenmesi" gerektiği vurgulanmıştır.
Pratik sonuçları şunlardır: yapay zekanın kişiler hakkında ürettiği çıktılar doğrulanmadan kullanılmamalıdır; özellikle İK (aday değerlendirme), hukuk (dava analizi) ve sağlık (tedavi önerisi) gibi kritik alanlarda yapay zeka çıktıları mutlaka insan tarafından kontrol edilmelidir; yapay zekanın ürettiği bilgi gerçek bir kişiye atfedilecekse o bilginin doğruluğu bağımsız kaynaklardan teyit edilmelidir.
Kurumsal AI Kullanım Politikası Şablonu
Her şirketin çalışanlarının yapay zeka araçlarını nasıl kullanacağını düzenleyen yazılı bir politika hazırlaması artık KVKK'nın "idari tedbirler" yükümlülüğü kapsamında zorunluluktur.
Politikada Yer Alması Gereken Bölümler
1. Amaç ve Kapsam
Bu politika, şirket çalışanlarının iş süreçlerinde üretken yapay zeka araçlarını (ChatGPT, Claude, Gemini, Copilot ve benzerleri) kullanırken uyması gereken kuralları belirler. Tüm çalışanları, stajyerleri ve danışmanları kapsar.
2. Onaylı Araçlar Listesi
Şirket tarafından kullanımı onaylanan yapay zeka araçları ve plan türleri listelenir. Onaylanmayan araçların kullanımı yasaktır. Yalnızca kurumsal planlar (Enterprise/Business) onaylanmalıdır; ücretsiz planlar iş amaçlı kullanılamaz.
3. Kişisel Veri Yasağı
Yapay zeka araçlarına hiçbir koşulda kişisel veri girilmez. Yasaklanan veri türleri açıkça listelenir: ad-soyad, T.C. kimlik numarası, telefon, e-posta, adres, sağlık bilgisi, finansal bilgi, müşteri listesi, çalışan bilgisi, avukat-müvekkil yazışması. Kişisel veri içeren belgeler yapay zeka araçlarına yüklenmez, kopyalanmaz veya yapıştırılmaz.
4. Anonimleştirme Kuralları
Kişisel veri içeren bir konuda yapay zeka desteği alınması gerekiyorsa veriler önce anonimleştirilir: isimler kaldırılır veya takma adla değiştirilir, kimlik numaraları silinir, adresler genelleştirilir. Mümkünse teknik anonimleştirme filtresi kullanılır.
5. Gizli Bilgi ve Ticari Sır Yasağı
Müşteri sözleşmeleri, fiyatlandırma stratejileri, ürün geliştirme planları, mali tablolar ve diğer ticari sırlar yapay zeka araçlarına girilmez.
6. Çıktı Doğrulama Zorunluluğu
Yapay zekanın ürettiği çıktılar doğrulanmadan nihai karar veya belge olarak kullanılamaz. Özellikle hukuki, mali ve tıbbi içerikler mutlaka uzman tarafından kontrol edilmelidir.
7. Yetkilendirme ve Erişim
Hangi departmanların ve hangi pozisyonların yapay zeka araçlarını kullanma yetkisine sahip olduğu belirlenir. Yetkisiz kullanım disiplin sürecine tabidir.
8. Log ve Denetim
Yapay zeka araçlarının kullanımı loglanır. Hangi çalışan, hangi araçta, ne zaman, hangi amaçla prompt gönderdiği kaydedilir. Loglar periyodik olarak denetlenir.
9. Eğitim Zorunluluğu
Tüm yetkili çalışanlara yapay zeka KVKK eğitimi verilir. Eğitim yılda en az bir kez güncellenir. Eğitim almayan çalışan yapay zeka araçlarını kullanamaz.
10. İhlal Bildirim Süreci
Çalışan, kişisel veriyi yanlışlıkla yapay zeka aracına girdiyse derhal bilgi güvenliği ekibine bildirmeli ve iç ihlal prosedürü başlatılmalıdır.
API Kullanımı vs. Web Arayüzü: KVKK Farkları
Yapay zeka araçlarının web arayüzü üzerinden kullanımı ile API entegrasyonu arasında KVKK açısından önemli farklar vardır.
Kriter | Web Arayüzü (Bireysel/Kurumsal) | API Entegrasyonu |
|---|---|---|
Veri kontrolü | Platform kontrolünde | Şirket kontrolünde (daha yüksek) |
Model eğitiminde kullanım | Plana bağlı (ücretsiz: evet) | Genellikle hayır (API ToS) |
DPA imkânı | Kurumsal planlarda mevcut | Enterprise API'de mevcut |
Anonimleştirme filtresi | Manuel (kullanıcıya bağlı) | Otomatik (middleware ile) |
Log ve denetim | Platform logları (sınırlı erişim) | Tam kontrol (kendi loglarınız) |
Maliyet | Düşük-orta | Orta-yüksek |
KVKK açısından önerilen: İş kritik süreçlerde API entegrasyonu tercih edilmelidir. API kullanımında anonimleştirme filtresi middleware olarak eklenebilir, loglar tam kontrol altında tutulabilir ve veri akışı uçtan uca yönetilebilir.
Yapay Zeka ve Otomatik Karar Verme (KVKK m. 11/1-g)
Yapay zeka çıktılarına dayalı olarak kişi hakkında karar alınması KVKK'nın 11. maddesinin 1-g bendi kapsamına girer: "işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme" hakkı.
Bu hak şu senaryolarda devreye girer: yapay zekanın iş başvurusunu otomatik olarak elemesi, yapay zekanın müşteri kredi başvurusunu reddetmesi, yapay zekanın çalışan performans puanı hesaplaması, yapay zekanın sigorta primi belirlemesi.
Şirketlerin yükümlülükleri: yapay zekanın karar sürecinde kullanıldığı aydınlatma metninde belirtilmelidir; ilgili kişiye otomatik karara itiraz hakkı tanınmalıdır; itiraz halinde insan müdahalesiyle yeniden değerlendirme mekanizması kurulmalıdır.
Sık Sorulan Sorular
ChatGPT'ye müşteri bilgisi girmek KVKK ihlali mi?
Evet. Müşterinin adı, e-postası, telefonu veya diğer kişisel verileri ChatGPT'ye girildiğinde bu veriler OpenAI'ın ABD sunucularına aktarılır. Bu hem yetkisiz veri aktarımı hem de yurt dışı transfer güvencesizliği oluşturur. Ücretsiz planda veriler model eğitiminde de kullanılabilir.
Kurumsal plan alsam sorun çözülür mü?
Kısmen. Kurumsal planlar model eğitiminde veri kullanımını kapatır ve DPA sunar. Ancak yurt dışı aktarım sorunu devam eder; standart sözleşme ve Kurul bildirimi ayrıca yapılmalıdır. Ayrıca prompt'larda kişisel veri kullanımı kurumsal planda da risklidir.
Claude'un veri politikası diğerlerinden farklı mı?
Anthropic (Claude), ücretsiz planında bile kullanıcı prompt'larını model eğitiminde varsayılan olarak kullanmamaktadır. Bu durum diğer platformlardan önemli bir fark oluşturur. Ancak Claude da ABD merkezlidir ve yurt dışı veri aktarımı kuralları aynı biçimde geçerlidir.
Yapay zeka aracına dosya yüklemek de aktarım sayılır mı?
Evet. PDF, Excel, Word veya görsel dosya yüklemek de veri aktarımıdır. Dosya içeriği yapay zekanın sunucularında işlenir. Dosya kişisel veri içeriyorsa KVKK kapsamında yurt dışı aktarım ve amaç dışı işleme riski doğar.
Çalışanım farkında olmadan kişisel veri girerse ne olur?
KVKK kapsamında sorumluluk veri sorumlusu (şirket) olarak size aittir. Kasıtlı veya kasıtsız olması fark etmez. Bu nedenle çalışan eğitimi, teknik kontrol mekanizmaları (DLP, anonimleştirme filtresi) ve kurumsal AI politikası birlikte uygulanmalıdır.
Yapay zeka aracının ürettiği metin telif hakkı kapsamında mı?
Bu KVKK değil fikri mülkiyet hukuku alanıdır; ancak yapay zekanın ürettiği metinde gerçek bir kişi hakkında yanlış bilgi (halüsinasyon) varsa bu durum KVKK'nın doğruluk ilkesini ihlal edebilir ve ilgili kişinin haklarını zedeleyebilir.
Okuyucular Bunları da Soruyor
Şirketimde yapay zeka kullanımını tamamen yasaklamalı mıyım?
Yasaklamak pratik bir çözüm değildir; çalışanlar kişisel cihazlarından veya gölge BT yoluyla kullanmaya devam eder. Doğru yaklaşım, onaylı araçları belirlemek, kurumsal plan kullanmak, kişisel veri yasağını net biçimde koymak ve teknik kontrol mekanizmaları kurmaktır.
Yapay zeka ile hazırlanan hukuki belgeler geçerli mi?
Yapay zekanın ürettiği taslaklar avukat tarafından incelenip düzeltildikten sonra kullanılabilir. Ancak yapay zekaya müvekkil bilgileri girilmemeli; avukat-müvekkil gizliliği korunmalıdır. Yapay zeka çıktısı doğrulanmadan nihai belge olarak sunulmamalıdır.
Yapay zeka aracı ile müşteri destek chatbot'u kuruyoruz. KVKK gereksinimleri neler?
Chatbot müşteri kişisel verisine erişiyorsa aydınlatma zorunludur: müşteriye yapay zeka ile etkileşime girdiği bildirilmelidir. Chatbot sağlayıcısıyla DPA yapılmalıdır. Yurt dışı sağlayıcı kullanılıyorsa standart sözleşme gereklidir. Otomatik karara itiraz hakkı tanınmalıdır. Chatbot logları kişisel veri içerir ve KVKK saklama-imha kurallarına tabidir.
KVKK Kurumu yapay zeka kullanımını yasaklıyor mu?
Hayır. Kurum'un rehberleri yasaklayıcı değil, yönlendiricidir. Kurum, yapay zekanın hukuka uygun biçimde kullanılmasını teşvik eder; ancak kişisel verilerin korunması güvencelerinin sağlanmasını şart koşar.
On-premise (yerinde) yapay zeka modeli çalıştırsam KVKK sorunu çözülür mü?
Büyük ölçüde evet. Llama, Mistral veya fine-tuned açık kaynak modeller şirketin kendi sunucusunda çalıştırıldığında yurt dışı veri aktarımı sorunu ortadan kalkar. Ancak modelin eğitim verisinde kişisel veri varsa, çıktılarda halüsinasyon riski ve otomatik karar verme kuralları yine geçerlidir.
Sonuç
Üretken yapay zeka araçları iş yerinde verimliliği dramatik biçimde artırır; ancak KVKK uyumu sağlanmadan kullanılması şirketleri ciddi hukuki risklere maruz bırakır. KVKK Kurumu'nun 2025-2026 döneminde yayımladığı iki rehber, beklentilerin ne yönde olduğunu açıkça ortaya koyar: yapay zeka kullanımını yasaklamak değil, kişisel verilerin korunması güvencesi altında yönetmek.
Kurumsal AI politikası, onaylı araçların kurumsal planlarla kullanımı, prompt'larda kişisel veri yasağı, anonimleştirme filtreleri ve düzenli çalışan eğitimi — bu beş bileşen birlikte uygulandığında yapay zekanın gücünden KVKK uyumlu biçimde faydalanmak mümkündür.
Güneş Partners olarak yapay zeka ve KVKK uyum süreçlerinde — kurumsal AI politikası hazırlığı, platform DPA değerlendirmesi, yurt dışı aktarım güvencesi, çalışan eğitimi ve Kurul süreçlerinde temsil — şirketlere kapsamlı hukuki destek sağlıyoruz. Yapay zeka kullanımınızın KVKK uyumunu değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, KVKK Kurumu'nun "15 Soruda Üretken Yapay Zeka ve Kişisel Verilerin Korunması Rehberi" (24 Kasım 2025), "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" dokümanı (5 Mart 2026), "Etken Yapay Zekâ (Agentic AI)" Rehberi (12 Mart 2026), 6698 sayılı KVKK m. 4, 5, 9 ve 11, OpenAI/Anthropic/Google/Microsoft veri kullanım politikaları ve Enterprise DPA dokümanları temelinde hazırlanmıştır. Yapay zeka ve KVKK uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.