KVKK Üretken Yapay Zekâ Rehberi (15 Soruda): Kurumlar İçin Kritik Noktaların Özeti
Kişisel Verileri Koruma Kurumu, Kasım 2025’te yayımladığı 113 numaralı yayınla Türkiye’nin ilk resmi Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi’ni kamuoyu ile paylaştı. 15 sorudan oluşan rehber; ChatGPT, Gemini, Copilot ve benzeri ÜYZ sistemlerini kullanan ya da geliştiren kurumların 6698 sayılı Kanun karşısındaki yükümlülüklerini somutlaştırıyor. Bu yazıda rehberin kritik noktalarını z biçimde derliyoruz.
1. Rehber Neden Önemli? Temel Mesajı Ne?
Rehberin en güçlü mesajı, ilk paragrafında saklı: 6698 sayılı Kanun teknolojiden bağımsızdır. Yani kişisel veri nerede, hangi teknolojiyle, hangi modelle işlenirse işlensin, Kanun’un genel çerçevesi her durumda uygulanır. ÜYZ sistemleri de bu kapsamın dışında değildir.
Rehberin amacı; veri sorumlusu niteliğindeki aktrlere ÜYZ sistemlerinin yaşam dngüsü boyunca yol gstermek ve bireylerin mahremiyetine saygılı bir yaklaşımı teşvik etmektir. Yani belge yalnızca teknik bir tanıtım değil, doğrudan uyum yükümlülüklerini hedef alan bir uygulama çerçevesidir.
Kurum, ÜYZ alanına ynelik zel bir kanun beklemediğini, mevcut KVKK çerçevesinin ÜYZ’ye doğrudan uygulanacağını rehber boyunca defalarca ima ediyor. Bu, “AI Act benzeri zel mevzuat çıkana kadar bekleyelim” yaklaşımının savunulabilir olmadığı anlamına gelir.
2. Üretken Yapay Zekâ What Is It? Geleneksel YZ’den Farkı
Rehbere gre üretken yapay zekâ (ÜYZ); büyük lçekli veri kümeleri üzerinde eğitilen, kullanıcı komutuna (prompt) yanıt olarak metin, grsel, video, ses veya yazılım kodu üretebilen yapay zekâ türüdür. Geleneksel YZ’nin sınıflandırma/tahmin grevlerine odaklanmasına karşılık ÜYZ, var olmayan yeni içerik üretir.
| Kriter | Geleneksel YZ | Üretken YZ (ÜYZ) |
|---|---|---|
| Amaç | Önceden tanımlı problemi çzmek | Eğitim verisinde olmayan yeni içerik üretmek |
| Veri | Yapılandırılmış, sınırlı veri kümeleri | Yapılandırılmamış, devasa veri kümeleri |
| Algoritma | Karar ağaçları, kural tabanlı sistemler | Sinir ağları, dnüştürücüler (transformer) |
| Çıktı doğası | Objektif, lçülebilir performans | Öznel, güvenilirlik değerlendirmesi şart |
Bu ayrımın pratik anlamı şudur: ÜYZ çıktısı, eğitim verisinden istatistiksel olarak en olası olanı tahmin etmeye dayanır. Model anlam taşımaz, dil oyununu çok iyi oynar. Bu yüzden çıktıların yanlış, n yargılı, tutarsız veya manipülatif olabileceği rehberde ısrarla vurgulanır.
3. ÜYZ Sistemlerinde Kişisel Veri İşleniyor mu?
Rehberin en kritik tespitlerinden biri burada: Modelin kişisel veri işlemeyi “hedeflememesi” veya verilerin yalnızca rastlantısal/dolaylı işlenmesi, kişisel veri işleme faaliyetinin varlığını ortadan kaldırmaz.
Yani “Biz ChatGPT’ye sadece genel metinler yazıyoruz, kişisel veri vermiyoruz” argümanı yeterli değildir. Çünkü:
- ▸ Girdi aşaması: Kullanıcının prompta yazdığı bilgiler kişisel veri içerebilir (müşteri adı, e-posta, sağlık verisi).
- ▸ Eğitim aşaması: Web kazıma (web scraping) ile toplanan veriler kişisel veri içerir; bu veriler modelin iç parametrelerine işlenir.
- ▸ Çıktı aşaması: Girdi kişisel veri içermese de model çıktısında bir gerçek kişiye ait bilgi üretebilir (rehberdeki “ünlü Türk fizikçi” rneği).
Bu üç noktanın herhangi birinde kişisel veri akışı varsa, kurum 6698 sayılı Kanun kapsamında veri işleme yapıyor sayılır. Bu da aydınlatma yükümlülüğü, hukuki sebep belirleme, security tedbiri alma ve gerektiğinde VERBİS kaydı dahil bir dizi sorumluluk doğurur.
4. Veri Sorumlusu / Veri İşleyen Ayrımı Nasıl Yapılır?
Bu, ÜYZ ekosisteminin en bulanık alanlarından biri. Rehber, geleneksel SaaS modellerine kıyasla ÜYZ’nin çok katmanlı yapısının rol tespitini zorlaştırdığını açıkça kabul ediyor.
Temel kriter değişmiyor: Veri işleme faaliyetinin “neden” ve “nasıl” sorularına kim cevap veriyorsa, veri sorumlusu odur. Szleşme metni belirleyici değildir; fiili kontrol esastır.
Senaryo: Bir şirketin İK birimi, zgeçmiş değerlendirmek için ChatGPT benzeri bir LLM kullanıyor.
Sonuç: Hangi verinin yükleneceğine, hangi amaçla analiz edileceğine ve çıktının nasıl kullanılacağına şirket karar verdiği için şirket veri sorumlusudur. OpenAI’nin (veya benzeri sağlayıcının) rolü, kapalı erişimli modelin sunduğu kontrol düzeyine gre değerlendirilir.
Özellikle kapalı erişimli (closed-access) modellerde, kurumun veri işlemenin tüm aşamaları üzerinde anlamlı kontrole sahip olmayabileceği rehberde ayrıca uyarı niteliğinde vurgulanıyor. Bu, tedarikçi szleşmelerinde veri işleme şartlarının dikkatle müzakere edilmesi gerektiğini gsteriyor.
5. Genel İlkeler, Hukuki Sebep ve Yurt Dışı Aktarım
Rehber, 6698 sayılı Kanun’un 4. maddesindeki genel ilkelerin ÜYZ zelinde nasıl yorumlanacağını ele alıyor. Üç ilke zellikle zorlayıcı:
Amaca Bağlılık
Web kazıma ile toplanan veriler “genel model eğitimi için” diye sınırsız kullanılamaz. Her aşama için meşru ve belirli bir amaç tanımlanmalıdır.
Veri Minimizasyonu
“Mümkün olduğu kadar çok veri” mantığı KVKK ile çelişir. Eğitim için gerekli minimum veri seti tanımlanmalı, anonimleştirme ve sentetik veri tercih edilmelidir.
Doğruluk
Halüsinasyon riski, “güncelliği koruma” yükümlülüğüyle doğrudan çelişir. Üretilen kişisel veri içerikli çıktıların doğruluğu kontrol edilmelidir.
Hukuki Sebep: Açık Rıza Bir Çzüm Değil
Rehberin nemli mesajlarından biri: ÜYZ’nin geniş veri ihtiyacı, açık rızayı pratik bir hukuki sebep olmaktan büyük lçüde çıkarır. Milyonlarca veri sahibinden tek tek açık rıza almak mümkün değildir. Bu durumda kurumların; meşru menfaat, kanunda açıkça ngrülme, szleşmenin kurulması/ifası gibi alternatif sebepleri her bir veri işleme aşaması için ayrı ayrı değerlendirmesi gerekir.
Yurt Dışı Aktarım: Pratikteki En Büyük Engel
OpenAI, Anthropic, Google, Microsoft gibi sağlayıcıların altyapısı yurt dışındadır. Kurum bu sağlayıcıları kullandığında yurt dışı aktarımı gerçekleşmiş olur. KVKK’nın güncel yurt dışı aktarım rejimi (Mart 2024 Ynetmeliği) çerçevesinde:
- Yeterlilik kararı bulunan ülke listesi henüz dar kapsamlıdır.
- Bağlayıcı kurumsal kurallar (BKK) veya standart szleşmelerin Kurum’a bildirilmesi zorunludur.
- Arızi durumlarda 9/6 hükümleri uygulansa da kurumsal sürekli kullanım için bu sebep yetersizdir.
Bu yüzden rehberin satır aralarında yurt içi ÜYZ çzümlerine, anonimleştirilmiş veriye ve hibrit mimarilere ynelik açık bir teşvik vardır.
6. Şeffaflık, İlgili Kişi Hakları ve Güvenlik
Şeffaflık: Aydınlatma Metni Tek Başına Yetmez
Rehber, ÜYZ’nin “kara kutu” doğasını kabul ediyor ama bunu mazeret olarak değil, ek bir yükümlülük tetikleyicisi olarak konumlandırıyor. Veri sorumlusunun; verinin nereden toplandığını, modelin nasıl çalıştığını ve çıktının olası sonuçlarını anlaşılır bir dille ilgili kişiye anlatması gerekir.
İlgili Kişi Hakları: Teknik Olarak Zor Ama Hukuken Zorunlu
11. madde kapsamındaki haklar (silme, düzeltme, işlemeye itiraz) ÜYZ’de büyük teknik güçlük yaratır. Bir verinin modelin trilyonlarca parametresinden “silinmesi” pratikte imkânsızdır. Rehber bu noktada şu çzüm yollarını ima ediyor:
- Çıktı düzeyinde filtreleme/blokaj mekanizmaları
- Belirli bireylere ait verilerin çıktıda grünmesini engelleyen rehberlik kuralları (guardrails)
- Etkili durumlarda modelin yeniden eğitilmesi veya ince ayar yoluyla unutturma teknikleri
- İlgili kişiye hangi haklarının nasıl kullanılabileceğinin şeffaf biçimde açıklanması
Güvenlik: Klasik Tedbirler + ÜYZ’ye Özgü Riskler
Standart Kanun’un 12. madde security tedbirlerine ek olarak rehber, ÜYZ’ye zgü saldırı vektrlerini de gündeme getiriyor:
- Model inversiyon saldırıları: Modelden eğitim verisini geri çıkarma girişimleri.
- Üyelik çıkarımı (membership inference): Belirli bir bireyin verisinin eğitim setinde olup olmadığının tespiti.
- Prompt injection: Ktü niyetli komutlarla sistemin security kurallarının atlatılması.
- Veri sızıntısı: Çalışanların kurumsal verileri kontrolsüz şekilde ücretsiz ÜYZ araçlarına yapıştırması (“glge AI” riski).
7. Bireyler ve Ebeveynler İçin Pratik Öneriler
Rehberin son iki sorusu, kurumsal odaktan ayrılarak bireylere ve zellikle çocuklara ynelik ebeveyn nlemlerine ayrılmıştır. Bu, rehberin yalnızca uyum belgesi değil, aynı zamanda bir farkındalık dokümanı olarak konumlandığını gsteriyor.
Bireyler İçin
- Prompt’a TCKN, sağlık verisi, banka bilgisi yazmayın.
- Servis sağlayıcının veri saklama politikalarını okuyun.
- “Sohbet geçmişini eğitim için kullan” seçeneklerini kapatın.
- ÜYZ çıktısını mutlak doğru kabul etmeyin.
Ebeveynler İçin
- Yaş sınırı olan uygulamaları çocuğun yaşına gre değerlendirin.
- Çocuğa fotoğraf/sesi yüklememe alışkanlığı kazandırın.
- Aile içi ÜYZ kullanım kuralları belirleyin.
- Çocuğun ÜYZ ile kurduğu duygusal bağı izleyin.
8. Sonuç: Kurumların Çıkarması Gereken Dersler
KVKK’nın bu rehberi, Türkiye’nin yapay zekâ governancei alanındaki en nemli düzenleyici işaretlerinden biridir. Beklenen ISO/IEC 42001 standardı, AB AI Act uyum baskısı ve sektrel kritik altyapı yükümlülükleriyle birlikte değerlendirildiğinde, kurumların nümüzdeki 12 ayda atması gereken üç temel adım netleşmektedir:
ÜYZ Envanteri Çıkarın
Kurum içinde hangi departmanın hangi ÜYZ aracını kullandığını, prompt’lara hangi veri kategorilerinin girdiğini ve çıktıların nerede saklandığını listeleyin. “Glge AI” bu inventoryle ortaya çıkar.
AI Kullanım Politikası Yayımlayın
Hangi ÜYZ aracı, hangi koşulda, hangi veri kategorisi ile kullanılabilir? Yasak kullanım rnekleri, prompt yazım kuralları, doğrulama yükümlülüğü ve sorumluluk zinciri belgelenmelidir.
Veri Akışı ve DPIA Yapın
Her bir ÜYZ kullanım senaryosu için veri akışını haritalandırın, yurt dışı aktarımı belgeleyin ve yüksek risk taşıyan senaryolar (işe alım, kredi değerlendirme, sağlık vb.) için Veri Koruma Etki Değerlendirmesi (DPIA) yapın.
Rehberin tamamına KVKK’nın resmi sitesinden ulaşılabilir: Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (Yayın No: 113).
