Yapay Zeka Kullanım
Politikası Nasıl
Oluşturulur?

H1

Kurumda gerçekte ne kullanıldığını ğrenin

Ağ trafiği analizi, employee anketi veya blüm yneticileriyle grüşme yoluyla mevcut YZ araç kullanımını haritalayın. Hangi araçlar, hangi blümler, hangi iş süreçlerinde? “ChatGPT yasak” derken kurumun yarısının onu zaten kullandığını bilmek, politikayı gerçekçi yapan bilgidir.

H2

Veri sınıflandırmanızı netleştirin

Politikanın kalbi, veri sınıflandırmasıdır. Hangi veriniz kamuya açık, hangi veriniz dahili, hangi veriniz gizli, hangi veriniz kritik/kişisel? Eğer kurumunuzda bu sınıflandırma henüz yoksa YZ politikasından nce onu oluşturmanız gerekir; yoksa “hassas veri girmeyin” gibi uygulanamaz hükümler yazarsınız.

H3

Paydaşları masaya getirin

Etkili bir AI politikası tek bir departmanın ürünü değildir. Hazırlık sürecine bilgi güvenliği, BT, hukuk/uyum, İK ve en az bir iş birimi temsilcisini dahil edin. Her birinin farklı bir perspektifi vardır ve politikanın o perspektiflere dayanması, sahiplenmeyi artırır.

Neden gerekli?

Politikanın neden yazıldığını (kurumu korumak, sorumlu kullanımı desteklemek) ve kimi kapsadığını net belirtmeden başlayan politika, “bu beni bağlıyor mu?” sorusuna yanıt veremez.

Politikada yer almalı

• Politikanın amacı ve neden yazıldığı
• Kapsanan bireyler (tam zamanlı, yarı zamanlı, danışman, stajyer)
• “Yapay zeka”, “üretken YZ”, “LLM”, “onaylı araç” tanımları
• Politikanın BGYS ve KVKK framesiyle ilişkisi

Neden gerekli?

Çalışanların en çok sorduğu soru şudur: “Bu belgeyi bu araca kopyalayabilir miyim?” Bu soruyu yanıtlamadan yazılan politika, günlük karar noktalarında işe yaramaz.

Politikada yer almalı

• Veri sınıfları: Kamuya açık / Dahili / Gizli / Kişisel veri
• Her sınıfın hangi araç kategorisiyle kullanılabileceği (Trafik Işığı Modeli)
• Kişisel veri içeren verilerde mutlak yasak
• Test ve geliştirme ortamlarında gerçek veri kullanım yasağı

Neden gerekli?

Çalışan onaylanmış araçlara ynlendirilmezse alternatifleri kendisi bulur — bu Shadow AI’ın tam tarifidir. Onaylı liste hem rehber hem de Shadow AI’a karşı bir bariyer işlevi grür.

Politikada yer almalı

• Onaylı araçlar listesi: araç adı, kullanım kapsamı, lisans türü, veri sınırı
• Üçlü sınıflandırma: All employeelar için / Belirli roller için / Yalnızca BT için
• Yeni araç talep ve onay süreci (kim talep eder, kim değerlendirir, ne kadar sürer)
• Company (Enterprise) lisans ile kişisel hesap ayrımı ve kişisel hesap yasağı

Neden gerekli?

YZ çıktıları hatalı, nyargılı veya yanıltıcı olabilir. Çalışan “YZ bunu syledi” diye savunma yapamaz. Kurumun bu sorumluluk zincirini net tanımlaması hem hukuki hem etik açıdan zorunludur.

Politikada yer almalı

• “YZ çıktısından kullanan employee sorumludur” ilkesi
• YZ hiçbir zaman tek başına karar verici, imza yetkilisi veya onaylayıcı olamaz
• Dış tarafa sunulan çıktılarda (müşteri raporu, hukuki belge) YZ kullanım beyanı
• Kritik kararlarda zorunlu insan doğrulama adımı

Neden gerekli?

Kişisel veri içeren herhangi bir girişin yurt dışı sunuculı bir YZ aracına aktarılması KVKK Madde 9 kapsamında hukuki sorumluluk doğurur. Bu bileşen olmayan bir politika, KVKK uyum framesindeki en büyük boşluğu kapatamaz.

Politikada yer almalı

• Kişisel verilerin (T.C. kimlik, sağlık, finansal vb.) YZ araçlarına girişinin mutlak yasağı
• Yurt dışı sunuculu araçlar için Madde 9 güvencesi gerekliliği
• VİS kapsamındaki veri kategorileri için ek kısıtlamalar
• YZ sağlayıcısının veri işleme szleşmesi (DPA) zorunluluğu

Neden gerekli?

Ticari sırlar, patent başvuruları, stratejik planlar ve kaynak kodu halka açık bir modele girdiğinde ticari sır niteliğini yitirebilir. Çalışan bunu genellikle “zararsız bir taslak yazma isteği” olarak grür.

Politikada yer almalı

• Ticari sırların ve açıklanmamış stratejik bilgilerin YZ araçlarına girilme yasağı
• Kaynak kodu, algoritma ve tasarım belgelerinin hangi araçlara girilebileceği
• YZ tarafından üretilen çıktıların fikri mülkiyet durumu ve telif hakkı belirsizliği
• customer szleşmesi kapsamındaki bilgilerin gizlilik yükümlülüğü dahilinde değerlendirilmesi

Neden gerekli?

Yaptırımı olmayan kural, tavsiye olarak kalır. Çalışanın politikayı ciddiye alması için sonuçlarının gerçek olduğunu bilmesi gerekir. Aynı zamanda employeeı korumak için “ne yapacağını bilmeden yanlış yaptım” senaryosuna karşı çıkış yolu da tanımlanmalıdır.

Politikada yer almalı

• İhlal türleri ve ağırlık dereceleri (ihmal / kasıtlı ihlal / tekrarlayan ihlal)
• İhlal bildirim kanalı: employeeın kendi bildirmesi durumunda indirimli değerlendirme
• Yaptırım kademeleri: uyarı → disiplin → iş szleşmesine yansıma
• İhlal sonrası acil adımlar: BT’ye bildirim, etkilenen verinin belirlenmesi

Neden gerekli?

YZ alanı aylık değil, haftalık değişiyor. Bugün onaylı olan bir araç, altı ay içinde veri politikasını değiştirmiş ve artık güvenli olmayan bir platforma dnüşmüş olabilir. Statik bir politika hızla eskir ve yanlış güvence verir.

Politikada yer almalı

• Planlı gzden geçirme sıklığı: en az yılda bir; YZ alanında ideal olarak 6 ayda bir
• Olağanüstü güncellemeyi tetikleyecek olaylar: büyük araç politika değişikliği, yeni yasa, veri ihlali
• Sürüm numarası, yürürlük tarihi, onaylayan birim
• Eski sürümlerin arşivlenmesi ve erişilebilirliği (denetim izi)

✉

Üst ynetim e-postası

İlk duyuru ve politika linki ile birlikte

▶

Blüm toplantıları

Blüme zgü sorular ve rnekler ile

📄

Hızlı başvuru kartı

Yazdırılabilir veya dijital, her employeea

📺

Kısa e-ğrenme modülü

Okundu kaydı oluşturulabilecek format

📄

İntranet / BGYS portali

Kalıcı erişim noktası; tüm sürümler arşivli

📝

İşe alım süreci

Yeni employeelar için başlangıç eğitimine eklenmeli

Not: Gzden geçirme tarihi politika metninde açıkça yer almalıdır. Denetçi bunu soracaktır.

DLP sisteminiz YZ servislerine yapılan veri transferlerini izlemeye ayarlı mı? Değilse, politika pratikte gzetimsizdir.

Örnek format: YZ-POL-001 v1.0 | Yürürlük: 01.06.2025 | Onay: BGYS Komitesi

H1

Veri sınıflandırması olmadan politika yazmak

“Hassas veri kullanmayın” hükmü, kurumda neyin hassas sayıldığı tanımlı değilse anlamsızdır. Veri sınıflandırması olmadan yazılan AI politikası, employeeın günlük kararını ynlendirme kapasitesinden yoksundur.

H2

Yalnızca yasakları listelemek, izin verilenler listesi sunmamak

“Bu araçları kullanmayın” dediniz ama employee işini yapması gerekiyor. Alternatif olarak ne kullanabileceğini bilmiyorsa kendi çzümünü bulur — Shadow AI’ın ana kaynağı budur. Her yasak, karşısında bir izin verilenler listesi barındırmalıdır.

H3

Üst ynetimi kapsam dışı bırakmak

McKinsey 2025 verisine gre üst düzey yneticilerin %93’ü onaylanmamış YZ araçları kullanıyor. Ynetimi kapsam dışında tutan politika, en riskli kullanıcı grubunu dışarıda bırakır. Politika herkes için geçerlidir — bu ynetim katına da açıkça iletilmelidir.

H4

KVKK’yı grmezden gelmek

Pek çok AI politikası veri güvenliğinden bahseder ama KVKK yükümlülüklerini ve zellikle Madde 9 yurt dışı veri aktarımı yasağını ayrıca ele almaz. Bu büyük bir eksiktir. YZ aracının sunucusunun Türkiye dışında olması, her kişisel veri girişini potansiyel KVKK ihlaline dnüştürebilir.

H5

Politikayı yayınlayıp bırakmak

İntranet portala yüklenen ve bir yıl sonra güncellenmemiş politika, sektrün değişim hızında çok çabuk geçersiz hale gelir. “Politikamız var” demek, politikanın uygulandığı veya güncel olduğu anlamına gelmez. Güncelleme mekanizması olmayan politika zamanla kurumu korumaz hale gelir.

H6

Tedarikçi ve danışmanları kapsam dışı bırakmak

Bir danışman firma verilerinizle çalışırken kendi YZ araçlarını kullanıyorsa bu da sizin riskinizdir. Tedarikçi szleşmelerine YZ kullanım kısıtlamaları eklemeden yapılan AI politikası, dış kaynak kullandığı noktalarda tamamen delik kalır.

H7

YZ ajanlarını ve otomasyonları atlamak

Pek çok AI politikası sohbet araçlarını (ChatGPT vb.) kapsar ama sistemlere entegre edilmiş YZ ajanlarını, RPA + YZ kombinasyonlarını ve API üzerinden bağlı modelleri gzden kaçırır. Üretken YZ’nin gelişimiyle bu araçlar giderek daha yaygın hale gelmekte; politika boşluğu da buna paralel büyümektedir.

Belge No: [YZ-POL-001]

Sürüm: [1.0]

Yürürlük: [gg.aa.yyyy]

Kurum

[ORGANIZATION ADI]

Yapay Zeka Kullanım Politikası

Bu politika, [ORGANIZATION ADI] bünyesinde yapay zeka (YZ) araçlarının güvenli, sorumlu ve yasal düzenlemelere uygun biçimde kullanılmasını sağlamak amacıyla hazırlanmıştır. Politikanın hedefleri şunlardır: kurumsal veri ve kişisel verilerin korunması, KVKK başta olmak üzere ilgili mevzuata uyumun güvence altına alınması, Shadow AI olarak adlandırılan denetimsiz ve yetkisiz YZ kullanımının nüne geçilmesi ve employeelara güvenli bir kullanım framesi sunularak inovasyonun desteklenmesi.

Bu politika; kurumun tüm tam ve yarı zamanlı employeelarını, danışmanları, stajyerleri ve [kurumsal veri veya sistemlere erişen diğer tarafları] kapsar.

Politika, kurumsal cihazlarda ve kişisel cihazlarda kurumsal veriyle gerçekleştirilen tüm YZ araç kullanımlarını kapsar. Aşağıdaki araç kategorilerini kapsamaktadır: üretken YZ sohbet araçları (ChatGPT, Claude, Gemini ve benzerleri), kod geliştirme asistanları (GitHub Copilot, Cursor ve benzerleri), YZ destekli çeviri ve metin araçları ile kurumsal yazılımlara entegre YZ zellikleri (Microsoft 365 Copilot, Notion AI ve benzerleri).

Aşağıdaki trafik ışığı modeli, hangi verinin hangi araç kategorisiyle kullanılabileceğini gsterir. All employeelar bu tabloyu günlük YZ kullanım kararlarında esas alır.

5.1 Onaylı Araç Listesi (Ek-1)

Kurumun onayladığı YZ araçları, her aracın kullanım kapsamı ve veri sınıfı kısıtlamalarıyla birlikte Ek-1’de listelenmektedir. Ek-1, bilgi güvenliği birimi tarafından en az [6 ayda bir] güncellenir.

5.2 Kişisel Hesap Kullanım Yasağı

Çalışanlar, kurumsal veriyi kişisel e-posta veya kişisel bilgileriyle oluşturdukları YZ araç hesaplarında kullanamaz. Kurumun temin ettiği Enterprise lisanslı araçlar, kurumsal hesap üzerinden kullanılır.

5.3 Yeni Araç Talep Durationci

Onaylı listede yer almayan bir YZ aracının kullanılmak istenmesi durumunda employee, [talep kanalı: servis masası / e-posta adresi] üzerinden bilgi güvenliği birimine başvurur. Valuelendirme süresi en fazla [X iş günü]‘dür. Onay alınmadan araç kullanılamaz.

6698 sayılı KVKK kapsamında kişisel veri içeren her türlü bilginin YZ araçlarına girilmesi kesinlikle yasaktır. Bu yasak, araç türü veya lisans modelinden bağımsız olarak geçerlidir.

Kişisel veri kapsamında değerlendirilen veri türleri şunlardır ancak bunlarla sınırlı değildir: ad-soyad, T.C. kimlik numarası, contact bilgileri, sağlık ve biyometrik veriler, finansal bilgiler, işe alım ve zlük dosyası verileri.

YZ araçlarına kişisel veri girildiğinin fark edilmesi veya şüphe duyulması halinde, employee durumu derhal [bilgi güvenliği birimine / DPO’ya] bildirmekle yükümlüdür.

8.1 İhlal Bildirimi

Bu politikaya aykırı bir kullanım gerçekleştiğinde veya şüphe duyulduğunda employee, [bildirim kanalı: e-posta/servis masası/telefon] aracılığıyla bilgi güvenliği birimine en kısa sürede bildirimde bulunur. Kendi kendine bildirimi teşvik etmek amacıyla, kasıtlı olmayan ihlallerde gnüllü bildirim, değerlendirmede olumlu unsur olarak dikkate alınır.

8.2 Yaptırımlar

Bu politika [6 ayda bir] düzenli olarak gzden geçirilir. Aşağıdaki olayların gerçekleşmesi durumunda planlı takvim beklenmeksizin güncelleme yapılır: onaylı araçlardan birinin veri politikasının nemli lçüde değişmesi, kurumda YZ kaynaklı bir security olayı yaşanması, ilgili mevzuatta değişiklik veya ISO 27001 denetiminde bu politikaya ilişkin bulgu elde edilmesi.

Her sürüm; belge numarası, sürüm numarası, yürürlük tarihi ve onaylayan birim ile birlikte arşivlenir. Eski sürümlere [BGYS portalı / arşiv konumu] üzerinden erişilebilir.

Mevcut durum analizi ve Shadow AI tespiti

Veri sınıflandırması ve Trafik Işığı Modeli

Company AI Policy belgesi hazırlanması

KVKK ve ISO 27001 ile uyum sağlanması

Çalışan eğitimi ve farkındalık programı

ISO 42001 governance yol map