İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanım Riskleri

Bir İK uzmanı işe alım görüşmesindeki notlarını toplantı sonrası ChatGPT’ye yapıştırıp özet çıkarıyor. Bir muhasebe sorumlusu mali tabloyu Gemini’ye yükleyip rapor oluşturuyor. Bir satış temsilcisi müşteri şikayet mailini yapay zeka aracına girerek yanıt taslağı hazırlıyor. Bu üç senaryo, günümüz iş ortamında sıradan günlük pratikler. Üçü de kurumun haberi olmadan gerçekleşiyor. Üçü de KVKK kapsamında değerlendirilebilecek riskler taşıyor.

Bu olgu, Kişisel Verileri Koruma Kurumu’nun Şubat 2026’da yayımladığı “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” kılavuzunda “Gölge Yapay Zekâ” (Shadow AI) başlığıyla ele alındı. Kılavuz, konuyu teorik bir risk olmaktan öte, kurumların bugün yüzleşmek zorunda olduğu somut bir olgu olarak tanımlıyor.

📄 Birincil Kaynak Kişisel Verileri Koruma Kurumu, İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı, Şubat 2026. PDF kaynağına ulaşmak için tıklayın →

1. Gölge Yapay Zekâ Nedir?

KVKK’nın Şubat 2026 kılavuzu, Gölge YZ’yi şu şekilde tanımlıyor: Kurum veya kuruluş bünyesinde üretken yapay zekâ araçlarının, söz konusu kurumun bilgisi, onayı veya kurumsal kontrolü dışında çalışanlar tarafından iş süreçlerinde kullanılması. Bu tanım birkaç unsuru bir arada barındırıyor: araç harici bir platformdan geliyor, kurumsal onay mekanizması devreye girmemiş ve kullanım iş süreçlerini doğrudan etkiliyor.

Kavram, “Gölge BT” (Shadow IT) olgusunun bir uzantısı olarak düşünülebilir. Gölge BT’de çalışanlar kurumun bilgisi dışında kişisel bulut depolama, mesajlaşma uygulamaları veya onaylanmamış yazılımlar kullanır. Gölge YZ bu dinamiğin üretken yapay zekâya uyarlanmış halidir; ancak kılavuz önemli bir ayrıma dikkat çekiyor: Gölge YZ yalnızca kontrol dışı bir araç kullanımından ibaret değil. Kullanılan verilerin niteliği, üretilen çıktılar ve bu çıktıların iş süreçlerine yansıması bakımından kendine özgü ve daha derin riskler taşıyor.

ChatGPT, Gemini, Copilot, Claude, Perplexity gibi kamuya açık araçlar, kurumsal onay süreçleri beklenilmeksizin bireysel inisiyatifle devreye giren başlıca platform örnekleri arasında sayılabilir.

2. Neden Bu Kadar Yaygınlaşıyor?

KVKK kılavuzu, Gölge YZ’nin yaygınlaşmasında birbirine bağlı birkaç faktör saptıyor. Bu faktörleri anlamak, kurumların sorunu salt bir “çalışan hatası” olarak değil, sistemik bir yönetim boşluğu olarak ele alması gerektiğini ortaya koyuyor.

Araçların erişilebilirliği: Ücretsiz veya düşük maliyetli olması, teknik bilgi gerektirmemesi ve tarayıcı üzerinden saniyeler içinde kullanılabilmesi, bu araçları herhangi bir kurumsal yazılımın önüne geçiriyor.

Çalışan motivasyonu: Zaman kazanma, rutin işleri azaltma ve çıktı kalitesini artırma beklentisi, kullanımı teşvik eden başlıca bireysel faktörler. Bu araçları kullanan çalışanlar çoğunlukla kötü niyetli değil; iş yükünü hafifletmeye çalışıyor.

Kurumsal politika boşluğu: ÜYZ kullanımına ilişkin net bir kurumsal politika veya yönlendirme çerçevesi olmadığında — ya da bu çerçeve yeterince açık tanımlanmadığında — çalışanlar bireysel tercihlerine göre hareket ediyor. Kılavuz bu boşluğu Gölge YZ’nin en temel tetikleyicilerinden biri olarak tanımlıyor.

Kritik Saptama KVKK kılavuzu, Gölge YZ’yi istisnai veya bilinçli bir ihlal davranışı olarak değil, politika eksikliğinin doğal sonucu olarak tanımlıyor. Bu, sorumluluğun salt çalışanda değil, kurumsal yönetim yapısında aranması gerektiğine işaret ediyor.

3. KVKK Açısından Hukuki Boyut

Bir çalışanın kurumsal onay olmaksızın harici bir yapay zekâ aracına kişisel veri yüklemesi, 6698 sayılı Kanun çerçevesinde birden fazla yükümlülüğü aynı anda ihlal etme riski taşıyor.

6698 Sayılı Kanun — Madde 4 (Genel İlkeler) Kişisel veriler ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde belirli, açık ve meşru amaçlar gözetilmesi; bu amaçlarla bağlantılı, sınırlı ve ölçülü olunması ile doğru ve gerektiğinde güncel tutulması esastır.

Bir çalışanın müşteri verisini, meslektaşına ait bilgileri veya iç yazışma içeriğini bir harici ÜYZ aracına girmesi aşağıdaki açılardan değerlendirilebilir:

Hukuki Soru KVKK Karşılığı İlgili Madde
Veri bu amaçla işlenebilir mi? Hukuka uygunluk sebebi (açık rıza, kanuni yükümlülük vb.) var mı? Md. 5-6
İlgili kişi bilgilendirildi mi? Aydınlatma yükümlülüğü yerine getirildi mi? Md. 10
Yurt dışına veri aktarımı var mı? Araç sunucuları yurt dışındaysa aktarım hükümleri devreye giriyor Md. 9
Veri güvenliği sağlandı mı? İdari tedbir yükümlülüğü (personel eğitimi, politika) yerine geldi mi? Md. 12
Üçüncü tarafla sözleşme var mı? Veri işleyen olarak ÜYZ sağlayıcısıyla yazılı sözleşme yapıldı mı? Md. 12/2

Bu sorulardan herhangi birine olumsuz yanıt verilmesi, veri sorumlusu konumundaki kurumun Kanun’un 18. maddesi kapsamında idari para cezasıyla karşılaşma riskini doğuruyor. 2026 yılı güncel ceza tavanı veri güvenliği yükümlülükleri için yaklaşık 1.255.000 TL.

Yurt Dışı Aktarım Boyutu ChatGPT (OpenAI), Gemini (Google), Copilot (Microsoft) gibi araçların sunucuları Türkiye dışında konuşlanmış durumda. Bu araçlara kişisel veri girilmesi, Kanun’un 9. maddesi kapsamında yurt dışına veri aktarımı olarak değerlendirilebilir. Bu aktarımın yasal dayanağı (standart sözleşme, yeterli koruma vb.) olmaksızın gerçekleşmesi bağımsız bir ihlal riski taşıyor.

4. KVKK Kılavuzunun Tanımladığı Risk Kategorileri

KVKK’nın Şubat 2026 kılavuzu, Gölge YZ kullanımının kurumlar için yarattığı riskleri altı başlık altında ele alıyor:

🔍
Kişisel Veri Güvenliği Riskleri

Çalışan, müşteri veya iş ortağına ait kişisel verilerin, veri sorumlusunun kontrolü ve denetimi dışındaki platformlara aktarılması. Bu veriler model eğitiminde kullanılabilmekte ya da yetkisiz erişime açık hâle gelebilmektedir.

🌍
Sınır Ötesi Veri Aktarımı Riskleri

Yurt dışı sunucularda barındırılan ÜYZ araçlarına veri girilmesi, Kanun’un 9. maddesi kapsamında izin veya güvence gerektiren uluslararası aktarım niteliği taşıyabilmektedir.

📋
Denetlenebilirlik ve Hesap Verebilirlik

Kurumsal izleme mekanizmaları dışında gerçekleşen kullanımlar için hangi verinin hangi amaçla işlendiğinin sonradan tespit edilmesi güçleşmekte; bu durum olay müdahalesini ve uyum belgelendirmesini zorlaştırmaktadır.

⚖️
Karar Kalitesi ve Doğruluk

Kurumsal doğrulama süreçlerinden geçmeden kullanılan ÜYZ çıktıları hatalı, yanıltıcı veya önyargılı olabilmekte; bu çıktılara dayalı kararlar iş süreçlerinde ve hukuki uyumda hatalara yol açabilmektedir.

🔐
Fikri Mülkiyet ve Ticari Sır

Kaynak kod, ürün tasarımı, iş stratejisi veya ticari sır niteliğindeki bilgilerin harici araçlarla paylaşılması; bu bilgilerin model geliştirme süreçlerinde kullanılmasına veya yetkisiz kişilerin erişimine zemin hazırlayabilmektedir.

🏛️
Kurumsal İtibar ve Güven

Doğruluğu teyit edilmemiş ÜYZ çıktılarının dış iletişimde kullanılması, müşteri ve paydaşlar nezdinde güven kaybına yol açabilmektedir. Bir veri ihlaline yol açan Gölge YZ kullanımı kamuoyuna duyurulma yükümlülüğü doğurmaktadır.

5. Gerçek İş Hayatından Senaryolar

Soyut risklerin hangi günlük pratiklerde somutlaştığını görmek, kurumsal farkındalık açısından belirleyicidir.

Senaryo Örnekleri

Kurumsal onay olmaksızın gerçekleşen yaygın kullanım biçimleri

  • İK uzmanının işe alım görüşmesi notlarını (aday kimlik bilgileri dahil) ChatGPT’ye yapıştırarak özet oluşturması
  • Müşteri hizmetleri temsilcisinin şikayet maillerini (müşteri adı, adresi, sipariş detayları) bir yapay zeka aracına girerek yanıt taslağı hazırlaması
  • Muhasebe çalışanının çalışan maaş tablosunu veya müşteri faturalarını Gemini’ye yükleyip analiz yaptırması
  • Satış ekibinin müşteri toplantı notlarını (şirket adları, teklifler, stratejik bilgiler) yapay zekaya girerek sunum oluşturması
  • Avukat veya hukuk uzmanının sözleşme içeriklerini (kişisel ve ticari veriler) bir ÜYZ aracına girerek incelettirmesi
  • Yazılım geliştiricinin üretim ortamına ait veritabanı yapısını veya gerçek kullanıcı verilerini içeren kodu bir yapay zeka kod asistanına göndermesi

Bu senaryoların ortak paydası şu: Çalışanlar, verimlilik amacıyla tamamen meşru bir motivasyonla hareket ediyor. Sorun niyette değil, kullanılan aracın kurumsal denetim dışında kalması ve aktarılan verinin kişisel veri niteliği taşımasında.

6. Veri Sorumlusunun Yükümlülüğü Ne?

Bir çalışanın Gölge YZ kullanımı sonucunda kişisel veri ihlali meydana geldiğinde sorumluluk öncelikle veri sorumlusu konumundaki kuruma aittir. Kanun’un 12. maddesi, veri sorumlularına çalışanları da kapsayacak biçimde gerekli teknik ve idari tedbirleri alma ve bu tedbirlerin uygulanmasını denetleme yükümlülüğü getirmektedir.

6698 Sayılı Kanun — Madde 12/2 Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, bu kişilerle birlikte gerekli güvenlik tedbirlerinin alınması hususunda veri işleyenle birlikte müştereken sorumludur.

Bu hüküm, kurumun bilgisi dışında gerçekleşen bir Gölge YZ kullanımını “çalışanın bireysel hatası” şeklinde tanımlayarak sorumluluktan kaçınmasına yasal zeminin olmadığını ortaya koyuyor. Kurum, çalışanlarının hangi araçları kullandığını izlemek, bu konuda politika oluşturmak ve eğitim vermekle yükümlü.

Ek olarak, ÜYZ sağlayıcısı ile herhangi bir veri işleyen sözleşmesi yapılmamışsa bu durum Kanun’un 12/2. maddesi kapsamında ayrı bir ihlal gerekçesi oluşturabilir. ChatGPT veya Gemini gibi kamuya açık araçların kurumsal kullanımında, ilgili şirketin kurumsal sürümüne geçilmediği ve veri işleyen sözleşmesi imzalanmadığı sürece bu eksiklik devam etmektedir.

7. Kurumsal Düzeyde Alınabilecek Tedbirler

KVKK kılavuzu, kurumların Gölge YZ riskini yönetmek için alabilecekleri tedbirleri üç eksene yayıyor: politika, teknik kontrol ve farkındalık. Aşağıda bu eksenler pratik adımlarla ele alınmaktadır.

Politika ve Yönetişim

1
Yapay zekâ kullanım politikası oluşturun Hangi ÜYZ araçlarının hangi koşullarla kullanılabileceğini belirleyin. Araçları kategorilere ayırın: serbestçe kullanılabilir, yönetici onayıyla kullanılabilir, yasak. Bu politika yalnızca bir PDF belgesi değil; işe alım süreçlerine, tedarikçi sözleşmelerine ve çalışan gizlilik taahhütnamelerine entegre edilmeli.
2
Veri sınıflandırması yapın Hangi veri türlerinin ÜYZ araçlarıyla paylaşılamayacağını netleştirin. Müşteri kimlik bilgisi, sağlık verisi, maaş bilgisi, ticari sır niteliğindeki belgeler ve kaynak kod bu kategorinin başında yer alır.
3
Kullanılacak araçlar için veri işleyen sözleşmesi yapın Kurumsal kullanıma onay verilen araçlar için ilgili sağlayıcıyla Kanun’un 12/2. maddesi kapsamında veri işleyen sözleşmesi (veya kurumsal DPA) imzalanmalı. Bu adım atılmadan kurumsal kullanım onayı vermek risk azaltmaz, aksine belgelenmiş bir sorumluluk yaratır.

Teknik Kontroller

4
Ağ düzeyinde görünürlük sağlayın Kurumsal ağ üzerinden hangi ÜYZ platformlarına erişildiğini izleyin. Onaylanmamış araçlara erişimi kısıtlayan veya loglayan teknik kontroller devreye alın.
5
DLP (Veri Kaybı Önleme) kuralları tanımlayın Hassas içeriklerin (TC kimlik numarası, IBAN, e-posta formatındaki kişisel veri vb.) harici platformlara yüklenmesini engelleyen veya uyaran otomatik kontroller yapılandırın.

Farkındalık ve Eğitim

6
Gölge YZ’yi KVKK eğitimlerine dahil edin Genel KVKK farkındalık eğitimleri artık bu konuyu içermek zorunda. Çalışanların “bir yapay zekâya bilgi girmenin veri aktarımı sayıldığını” bilmesi, teknik tüm kontrollerden önce gelen davranışsal bir güvencedir. Eğitim içeriğinin yılda en az bir kez KVKK kılavuz ve karar güncellemelerine göre yenilenmesi gerekir. Bilgi güvenliği farkındalık eğitimimiz bu konuyu kapsıyor.
7
Raporlama kanalı oluşturun Çalışanların farkında olmadan yaptıkları olası hataları cezadan korkmadan raporlayabilecekleri bir mekanizma, proaktif müdahaleyi kolaylaştırır. Veri ihlali bildirimi için Kanun’un öngördüğü 72 saatlik süreyi yakalamak ancak hızlı iç bildirimle mümkün.
ISO 42001 Bağlantısı Yapay zekâ yönetişimini sistematik bir çerçeveye oturtmak isteyen kurumlar için ISO/IEC 42001 yapay zekâ yönetim sistemi standardı, Gölge YZ başta olmak üzere kurumsal ÜYZ risklerini yönetmek için yapılandırılmış bir çerçeve sunuyor.

8. Sık Sorulan Sorular

Çalışan ChatGPT’ye müşteri adı girdiyse bu KVKK ihlali mi?

Müşteri adı kişisel veri niteliği taşıdığından, bu verinin harici bir ÜYZ aracına girilmesi KVKK kapsamında kişisel veri işleme faaliyeti olarak değerlendirilebilir. İlgili kişinin bilgisi olmaksızın ve yasal bir dayanak bulunmaksızın gerçekleşmişse Kanun’un 5. maddesi kapsamında hukuka uygunluk sebebi sorgulanabilir. Araç sunucularının yurt dışında olması durumunda ayrıca 9. madde kapsamında aktarım yükümlülükleri de gündeme gelebilir.

Kurumsal ChatGPT Enterprise kullanıyoruz, Gölge YZ riski devam eder mi?

Kurumsal sürümler veri işleme şartları açısından ücretsiz sürümlerden farklıdır; gönderilen verilerin model eğitiminde kullanılmaması gibi güvenceler içerebilir. Ancak bu tek başına yeterli değildir: Veri işleyen sözleşmesinin imzalanmış olması, kurumsal politikanın kullanım sınırlarını belirlemesi ve çalışanların hangi veri türlerini bu araçlara girip giremeyeceğini bilmesi gerekir. Kurumsal lisans, risk yönetiminin yalnızca bir parçasıdır.

Yapay zekâ kullanımını tamamen yasaklamak çözüm olur mu?

Hayır. KVKK kılavuzu da dahil olmak üzere bu alandaki rehberlik belgeleri, yasakçı yaklaşımın Gölge YZ sorununu çözmediğini; tam tersine görünürlüğü azaltarak riski artırabileceğini ortaya koyuyor. Çalışanlar kurumsal ağ dışında (kişisel cihaz, ev interneti) aynı araçları kullanmaya devam eder. Sürdürülebilir çözüm, yasak değil; yönetişim çerçevesi, net politika ve farkındalık eğitimidir.

Gölge YZ kullanımı sonucu veri ihlali yaşandıysa ne yapmalıyız?

Kanun’un 12/5. maddesi uyarınca veri ihlalinin öğrenilmesinden itibaren 72 saat içinde KVKK’ya bildirim yapılması zorunludur. İhlal ilgili kişileri yüksek riskle etkiliyorsa bu kişilerin de bilgilendirilmesi gerekir. İlk adım, ihlale konu verilerin kapsamını ve sızan bilgilerin niteliğini tespit etmek; ikinci adım, ÜYZ sağlayıcısıyla iletişime geçerek verinin ne ölçüde işlendiğini anlamaya çalışmaktır.

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram