İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanım Riskleri

Bir İK uzmanı işe alım grüşmesindeki notlarını toplantı sonrası ChatGPT’ye yapıştırıp zet çıkarıyor. Bir muhasebe sorumlusu mali tabloyu Gemini’ye yükleyip rapor oluşturuyor. Bir satış temsilcisi müşteri şikayet mailini yapay zeka aracına girerek yanıt taslağı hazırlıyor. Bu üç senaryo, günümüz iş ortamında sıradan günlük pratikler. Üçü de kurumun haberi olmadan gerçekleşiyor. Üçü de KVKK kapsamında değerlendirilebilecek riskler taşıyor.

Bu olgu, Kişisel Verileri Koruma Kurumu’nun Şubat 2026’da yayımladığı “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” kılavuzunda “Glge Yapay Zekâ” (Shadow AI) başlığıyla ele alındı. Kılavuz, konuyu teorik bir risk olmaktan te, kurumların bugün yüzleşmek zorunda olduğu somut bir olgu olarak tanımlıyor.

📄 Birincil Kaynak Kişisel Verileri Koruma Kurumu, İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı, Şubat 2026. PDF kaynağına ulaşmak için tıklayın →

1. Glge Yapay Zekâ What Is It?

KVKK’nın Şubat 2026 kılavuzu, Glge YZ’yi şu şekilde tanımlıyor: Kurum veya kuruluş bünyesinde üretken yapay zekâ araçlarının, sz konusu kurumun bilgisi, onayı veya kurumsal kontrolü dışında employeelar tarafından iş süreçlerinde kullanılması. Bu tanım birkaç unsuru bir arada barındırıyor: araç harici bir platformdan geliyor, kurumsal onay mekanizması devreye girmemiş ve kullanım iş süreçlerini doğrudan etkiliyor.

Kavram, “Glge BT” (Shadow IT) olgusunun bir uzantısı olarak düşünülebilir. Glge BT’de employeelar kurumun bilgisi dışında kişisel bulut depolama, mesajlaşma uygulamaları veya onaylanmamış yazılımlar kullanır. Glge YZ bu dinamiğin üretken yapay zekâya uyarlanmış halidir; ancak kılavuz nemli bir ayrıma dikkat çekiyor: Glge YZ yalnızca kontrol dışı bir araç kullanımından ibaret değil. Kullanılan verilerin niteliği, üretilen çıktılar ve bu çıktıların iş süreçlerine yansıması bakımından kendine zgü ve daha derin riskler taşıyor.

ChatGPT, Gemini, Copilot, Claude, Perplexity gibi kamuya açık araçlar, kurumsal onay süreçleri beklenilmeksizin bireysel inisiyatifle devreye giren başlıca platform rnekleri arasında sayılabilir.

2. Neden Bu Kadar Yaygınlaşıyor?

KVKK kılavuzu, Glge YZ’nin yaygınlaşmasında birbirine bağlı birkaç faktr saptıyor. Bu faktrleri anlamak, kurumların sorunu salt bir “employee hatası” olarak değil, sistemik bir ynetim boşluğu olarak ele alması gerektiğini ortaya koyuyor.

Araçların erişilebilirliği: Ücretsiz veya düşük maliyetli olması, teknik bilgi gerektirmemesi ve tarayıcı üzerinden saniyeler içinde kullanılabilmesi, bu araçları herhangi bir kurumsal yazılımın nüne geçiriyor.

Çalışan motivasyonu: Zaman kazanma, rutin işleri azaltma ve çıktı kalitesini artırma beklentisi, kullanımı teşvik eden başlıca bireysel faktrler. Bu araçları kullanan employeelar çoğunlukla ktü niyetli değil; iş yükünü hafifletmeye çalışıyor.

Company politika boşluğu: ÜYZ kullanımına ilişkin net bir kurumsal politika veya ynlendirme çerçevesi olmadığında — ya da bu çerçeve yeterince açık tanımlanmadığında — employeelar bireysel tercihlerine gre hareket ediyor. Kılavuz bu boşluğu Glge YZ’nin en temel tetikleyicilerinden biri olarak tanımlıyor.

Kritik Saptama KVKK kılavuzu, Glge YZ’yi istisnai veya bilinçli bir ihlal davranışı olarak değil, politika eksikliğinin doğal sonucu olarak tanımlıyor. Bu, sorumluluğun salt employeeda değil, kurumsal ynetim yapısında aranması gerektiğine işaret ediyor.

3. KVKK Açısından Hukuki Boyut

Bir employeeın kurumsal onay olmaksızın harici bir yapay zekâ aracına kişisel veri yüklemesi, 6698 sayılı Kanun çerçevesinde birden fazla yükümlülüğü aynı anda ihlal etme riski taşıyor.

6698 Sayılı Kanun — Madde 4 (Genel İlkeler) Kişisel veriler ancak bu Kanun’da ve diğer kanunlarda ngrülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde belirli, açık ve meşru amaçlar gzetilmesi; bu amaçlarla bağlantılı, sınırlı ve lçülü olunması ile doğru ve gerektiğinde güncel tutulması esastır.

Bir employeeın müşteri verisini, meslektaşına ait bilgileri veya iç yazışma içeriğini bir harici ÜYZ aracına girmesi aşağıdaki açılardan değerlendirilebilir:

Hukuki SoruKVKK Karşılığıİlgili Madde
Veri bu amaçla işlenebilir mi?Hukuka uygunluk sebebi (açık rıza, kanuni yükümlülük vb.) var mı?Md. 5-6
İlgili kişi bilgilendirildi mi?Aydınlatma yükümlülüğü yerine getirildi mi?Md. 10
Yurt dışına veri aktarımı var mı?Araç sunucuları yurt dışındaysa aktarım hükümleri devreye giriyorMd. 9
Veri güvenliği sağlandı mı?İdari tedbir yükümlülüğü (personel eğitimi, politika) yerine geldi mi?Md. 12
Üçüncü tarafla szleşme var mı?Veri işleyen olarak ÜYZ sağlayıcısıyla yazılı szleşme yapıldı mı?Md. 12/2

Bu sorulardan herhangi birine olumsuz yanıt verilmesi, veri sorumlusu konumundaki kurumun Kanun’un 18. maddesi kapsamında idari para cezasıyla karşılaşma riskini doğuruyor. 2026 yılı güncel ceza tavanı veri güvenliği yükümlülükleri için yaklaşık 1.255.000 TL.

Yurt Dışı Aktarım Boyutu ChatGPT (OpenAI), Gemini (Google), Copilot (Microsoft) gibi araçların sunucuları Türkiye dışında konuşlanmış durumda. Bu araçlara kişisel veri girilmesi, Kanun’un 9. maddesi kapsamında yurt dışına veri aktarımı olarak değerlendirilebilir. Bu aktarımın yasal dayanağı (standart szleşme, yeterli koruma vb.) olmaksızın gerçekleşmesi bağımsız bir ihlal riski taşıyor.

4. KVKK Kılavuzunun Tanımladığı Risk Kategorileri

KVKK’nın Şubat 2026 kılavuzu, Glge YZ kullanımının kurumlar için yarattığı riskleri altı başlık altında ele alıyor:

🔍
Kişisel Veri Güvenliği Riskleri

Çalışan, müşteri veya iş ortağına ait kişisel verilerin, veri sorumlusunun kontrolü ve denetimi dışındaki platformlara aktarılması. Bu veriler model eğitiminde kullanılabilmekte ya da yetkisiz erişime açık hâle gelebilmektedir.

🌍
Sınır Ötesi Veri Aktarımı Riskleri

Yurt dışı sunucularda barındırılan ÜYZ araçlarına veri girilmesi, Kanun’un 9. maddesi kapsamında izin veya güvence gerektiren uluslararası aktarım niteliği taşıyabilmektedir.

📋
Denetlenebilirlik ve Hesap Verebilirlik

Company izleme mekanizmaları dışında gerçekleşen kullanımlar için hangi verinin hangi amaçla işlendiğinin sonradan tespit edilmesi güçleşmekte; bu durum olay müdahalesini ve uyum belgelendirmesini zorlaştırmaktadır.

⚖️
Karar Kalitesi ve Doğruluk

Company doğrulama süreçlerinden geçmeden kullanılan ÜYZ çıktıları hatalı, yanıltıcı veya nyargılı olabilmekte; bu çıktılara dayalı kararlar iş süreçlerinde ve hukuki uyumda hatalara yol açabilmektedir.

🔐
Fikri Mülkiyet ve Ticari Sır

Kaynak kod, ürün tasarımı, iş stratejisi veya ticari sır niteliğindeki bilgilerin harici araçlarla paylaşılması; bu bilgilerin model geliştirme süreçlerinde kullanılmasına veya yetkisiz kişilerin erişimine zemin hazırlayabilmektedir.

🏛️
Company İtibar ve Güven

Doğruluğu teyit edilmemiş ÜYZ çıktılarının dış iletişimde kullanılması, müşteri ve paydaşlar nezdinde güven kaybına yol açabilmektedir. Bir veri ihlaline yol açan Glge YZ kullanımı kamuoyuna duyurulma yükümlülüğü doğurmaktadır.

5. Gerçek İş Hayatından Senaryolar

Soyut risklerin hangi günlük pratiklerde somutlaştığını grmek, kurumsal farkındalık açısından belirleyicidir.

Senaryo Örnekleri

Company onay olmaksızın gerçekleşen yaygın kullanım biçimleri

  • İK uzmanının işe alım grüşmesi notlarını (aday kimlik bilgileri dahil) ChatGPT’ye yapıştırarak zet oluşturması
  • Müşteri hizmetleri temsilcisinin şikayet maillerini (müşteri adı, adresi, sipariş detayları) bir yapay zeka aracına girerek yanıt taslağı hazırlaması
  • Muhasebe employeeının employee maaş tablosunu veya müşteri faturalarını Gemini’ye yükleyip analiz yaptırması
  • Satış ekibinin müşteri toplantı notlarını (şirket adları, teklifler, stratejik bilgiler) yapay zekaya girerek sunum oluşturması
  • Avukat veya hukuk uzmanının szleşme içeriklerini (kişisel ve ticari veriler) bir ÜYZ aracına girerek incelettirmesi
  • Yazılım geliştiricinin üretim ortamına ait veritabanı yapısını veya gerçek kullanıcı verilerini içeren kodu bir yapay zeka kod asistanına gndermesi

Bu senaryoların ortak paydası şu: Çalışanlar, verimlilik amacıyla tamamen meşru bir motivasyonla hareket ediyor. Sorun niyette değil, kullanılan aracın kurumsal denetim dışında kalması ve aktarılan verinin kişisel veri niteliği taşımasında.

6. Veri Sorumlusunun Yükümlülüğü Ne?

Bir employeeın Glge YZ kullanımı sonucunda kişisel veri ihlali meydana geldiğinde sorumluluk ncelikle veri sorumlusu konumundaki kuruma aittir. Kanun’un 12. maddesi, veri sorumlularına employeeları da kapsayacak biçimde gerekli teknik ve idari tedbirleri alma ve bu tedbirlerin uygulanmasını denetleme yükümlülüğü getirmektedir.

6698 Sayılı Kanun — Madde 12/2 Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu kişilerle birlikte gerekli security tedbirlerinin alınması hususunda veri işleyenle birlikte müştereken sorumludur.

Bu hüküm, kurumun bilgisi dışında gerçekleşen bir Glge YZ kullanımını “employeeın bireysel hatası” şeklinde tanımlayarak sorumluluktan kaçınmasına yasal zeminin olmadığını ortaya koyuyor. Kurum, employeelarının hangi araçları kullandığını izlemek, bu konuda politika oluşturmak ve eğitim vermekle yükümlü.

Ek olarak, ÜYZ sağlayıcısı ile herhangi bir veri işleyen szleşmesi yapılmamışsa bu durum Kanun’un 12/2. maddesi kapsamında ayrı bir ihlal gerekçesi oluşturabilir. ChatGPT veya Gemini gibi kamuya açık araçların kurumsal kullanımında, ilgili şirketin kurumsal sürümüne geçilmediği ve veri işleyen szleşmesi imzalanmadığı sürece bu eksiklik devam etmektedir.

7. Company Düzeyde Alınabilecek Tedbirler

KVKK kılavuzu, kurumların Glge YZ riskini ynetmek için alabilecekleri tedbirleri üç eksene yayıyor: politika, teknik kontrol ve farkındalık. Aşağıda bu eksenler pratik adımlarla ele alınmaktadır.

Politika ve Ynetişim

1
Yapay zekâ kullanım politikası oluşturun Hangi ÜYZ araçlarının hangi koşullarla kullanılabileceğini belirleyin. Araçları kategorilere ayırın: serbestçe kullanılabilir, ynetici onayıyla kullanılabilir, yasak. Bu politika yalnızca bir PDF belgesi değil; işe alım süreçlerine, tedarikçi szleşmelerine ve employee gizlilik taahhütnamelerine entegre edilmeli.
2
Veri sınıflandırması yapın Hangi veri türlerinin ÜYZ araçlarıyla paylaşılamayacağını netleştirin. Müşteri kimlik bilgisi, sağlık verisi, maaş bilgisi, ticari sır niteliğindeki belgeler ve kaynak kod bu kategorinin başında yer alır.
3
Kullanılacak araçlar için veri işleyen szleşmesi yapın Company kullanıma onay verilen araçlar için ilgili sağlayıcıyla Kanun’un 12/2. maddesi kapsamında veri işleyen szleşmesi (veya kurumsal DPA) imzalanmalı. Bu adım atılmadan kurumsal kullanım onayı vermek risk azaltmaz, aksine belgelenmiş bir sorumluluk yaratır.

Technical Controller

4
Ağ düzeyinde grünürlük sağlayın Company ağ üzerinden hangi ÜYZ platformlarına erişildiğini izleyin. Onaylanmamış araçlara erişimi kısıtlayan veya loglayan teknik kontroller devreye alın.
5
DLP (Veri Kaybı Önleme) kuralları tanımlayın Hassas içeriklerin (TC kimlik numarası, IBAN, e-posta formatındaki kişisel veri vb.) harici platformlara yüklenmesini engelleyen veya uyaran otomatik kontroller yapılandırın.

Farkındalık ve Eğitim

6
Glge YZ’yi KVKK eğitimlerine dahil edin Genel KVKK farkındalık eğitimleri artık bu konuyu içermek zorunda. Çalışanların “bir yapay zekâya bilgi girmenin veri aktarımı sayıldığını” bilmesi, teknik tüm kontrollerden nce gelen davranışsal bir güvencedir. Eğitim içeriğinin yılda en az bir kez KVKK kılavuz ve karar güncellemelerine gre yenilenmesi gerekir. Bilgi güvenliği farkındalık eğitimimiz bu konuyu kapsıyor.
7
Raporlama kanalı oluşturun Çalışanların farkında olmadan yaptıkları olası hataları cezadan korkmadan raporlayabilecekleri bir mekanizma, proaktif müdahaleyi kolaylaştırır. Veri ihlali bildirimi için Kanun’un ngrdüğü 72 saatlik süreyi yakalamak ancak hızlı iç bildirimle mümkün.
ISO 42001 Bağlantısı Yapay zekâ governanceini sistematik bir çerçeveye oturtmak isteyen kurumlar için ISO/IEC 42001 yapay zekâ ynetim sistemi standardı, Glge YZ başta olmak üzere kurumsal ÜYZ risklerini ynetmek için yapılandırılmış bir çerçeve sunuyor.

8. Sık Sorulan Sorular

Çalışan ChatGPT’ye müşteri adı girdiyse bu KVKK ihlali mi?

Müşteri adı kişisel veri niteliği taşıdığından, bu verinin harici bir ÜYZ aracına girilmesi KVKK kapsamında kişisel veri işleme faaliyeti olarak değerlendirilebilir. İlgili kişinin bilgisi olmaksızın ve yasal bir dayanak bulunmaksızın gerçekleşmişse Kanun’un 5. maddesi kapsamında hukuka uygunluk sebebi sorgulanabilir. Araç sunucularının yurt dışında olması durumunda ayrıca 9. madde kapsamında aktarım yükümlülükleri de gündeme gelebilir.

Company ChatGPT Enterprise kullanıyoruz, Glge YZ riski devam eder mi?

Company sürümler veri işleme şartları açısından ücretsiz sürümlerden farklıdır; gnderilen verilerin model eğitiminde kullanılmaması gibi güvenceler içerebilir. Ancak bu tek başına yeterli değildir: Veri işleyen szleşmesinin imzalanmış olması, kurumsal politikanın kullanım sınırlarını belirlemesi ve employeeların hangi veri türlerini bu araçlara girip giremeyeceğini bilmesi gerekir. Company lisans, risk ynetiminin yalnızca bir parçasıdır.

Yapay zekâ kullanımını tamamen yasaklamak çzüm olur mu?

No. KVKK kılavuzu da dahil olmak üzere bu alandaki rehberlik belgeleri, yasakçı yaklaşımın Glge YZ sorununu çzmediğini; tam tersine grünürlüğü azaltarak riski artırabileceğini ortaya koyuyor. Çalışanlar kurumsal ağ dışında (kişisel cihaz, ev interneti) aynı araçları kullanmaya devam eder. Sürdürülebilir çzüm, yasak değil; governance çerçevesi, net politika ve farkındalık eğitimidir.

Glge YZ kullanımı sonucu veri ihlali yaşandıysa ne yapmalıyız?

Kanun’un 12/5. maddesi uyarınca veri ihlalinin ğrenilmesinden itibaren 72 saat içinde KVKK’ya bildirim yapılması zorunludur. İhlal ilgili kişileri yüksek riskle etkiliyorsa bu kişilerin de bilgilendirilmesi gerekir. İlk adım, ihlale konu verilerin kapsamını ve sızan bilgilerin niteliğini tespit etmek; ikinci adım, ÜYZ sağlayıcısıyla iletişime geçerek verinin ne lçüde işlendiğini anlamaya çalışmaktır.

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram