KVKK Üretken Yapay Zekâ Rehberi (15 Soruda): Kurumlar İçin Kritik Noktaların Özeti
Kişisel Verileri Koruma Kurumu, Kasım 2025’te yayımladığı 113 numaralı yayınla Türkiye’nin ilk resmi Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi’ni kamuoyu ile paylaştı. 15 sorudan oluşan rehber; ChatGPT, Gemini, Copilot ve benzeri ÜYZ sistemlerini kullanan ya da geliştiren kurumların 6698 sayılı Kanun karşısındaki yükümlülüklerini somutlaştırıyor. Bu yazıda rehberin kritik noktalarını öz biçimde derliyoruz.
1. Rehber Neden Önemli? Temel Mesajı Ne?
Rehberin en güçlü mesajı, ilk paragrafında saklı: 6698 sayılı Kanun teknolojiden bağımsızdır. Yani kişisel veri nerede, hangi teknolojiyle, hangi modelle işlenirse işlensin, Kanun’un genel çerçevesi her durumda uygulanır. ÜYZ sistemleri de bu kapsamın dışında değildir.
Rehberin amacı; veri sorumlusu niteliğindeki aktörlere ÜYZ sistemlerinin yaşam döngüsü boyunca yol göstermek ve bireylerin mahremiyetine saygılı bir yaklaşımı teşvik etmektir. Yani belge yalnızca teknik bir tanıtım değil, doğrudan uyum yükümlülüklerini hedef alan bir uygulama çerçevesidir.
Kurum, ÜYZ alanına yönelik özel bir kanun beklemediğini, mevcut KVKK çerçevesinin ÜYZ’ye doğrudan uygulanacağını rehber boyunca defalarca ima ediyor. Bu, “AI Act benzeri özel mevzuat çıkana kadar bekleyelim” yaklaşımının savunulabilir olmadığı anlamına gelir.
2. Üretken Yapay Zekâ Nedir? Geleneksel YZ’den Farkı
Rehbere göre üretken yapay zekâ (ÜYZ); büyük ölçekli veri kümeleri üzerinde eğitilen, kullanıcı komutuna (prompt) yanıt olarak metin, görsel, video, ses veya yazılım kodu üretebilen yapay zekâ türüdür. Geleneksel YZ’nin sınıflandırma/tahmin görevlerine odaklanmasına karşılık ÜYZ, var olmayan yeni içerik üretir.
| Kriter | Geleneksel YZ | Üretken YZ (ÜYZ) |
|---|---|---|
| Amaç | Önceden tanımlı problemi çözmek | Eğitim verisinde olmayan yeni içerik üretmek |
| Veri | Yapılandırılmış, sınırlı veri kümeleri | Yapılandırılmamış, devasa veri kümeleri |
| Algoritma | Karar ağaçları, kural tabanlı sistemler | Sinir ağları, dönüştürücüler (transformer) |
| Çıktı doğası | Objektif, ölçülebilir performans | Öznel, güvenilirlik değerlendirmesi şart |
Bu ayrımın pratik anlamı şudur: ÜYZ çıktısı, eğitim verisinden istatistiksel olarak en olası olanı tahmin etmeye dayanır. Model anlam taşımaz, dil oyununu çok iyi oynar. Bu yüzden çıktıların yanlış, ön yargılı, tutarsız veya manipülatif olabileceği rehberde ısrarla vurgulanır.
3. ÜYZ Sistemlerinde Kişisel Veri İşleniyor mu?
Rehberin en kritik tespitlerinden biri burada: Modelin kişisel veri işlemeyi “hedeflememesi” veya verilerin yalnızca rastlantısal/dolaylı işlenmesi, kişisel veri işleme faaliyetinin varlığını ortadan kaldırmaz.
Yani “Biz ChatGPT’ye sadece genel metinler yazıyoruz, kişisel veri vermiyoruz” argümanı yeterli değildir. Çünkü:
- ▸ Girdi aşaması: Kullanıcının prompta yazdığı bilgiler kişisel veri içerebilir (müşteri adı, e-posta, sağlık verisi).
- ▸ Eğitim aşaması: Web kazıma (web scraping) ile toplanan veriler kişisel veri içerir; bu veriler modelin iç parametrelerine işlenir.
- ▸ Çıktı aşaması: Girdi kişisel veri içermese de model çıktısında bir gerçek kişiye ait bilgi üretebilir (rehberdeki “ünlü Türk fizikçi” örneği).
Bu üç noktanın herhangi birinde kişisel veri akışı varsa, kurum 6698 sayılı Kanun kapsamında veri işleme yapıyor sayılır. Bu da aydınlatma yükümlülüğü, hukuki sebep belirleme, güvenlik tedbiri alma ve gerektiğinde VERBİS kaydı dahil bir dizi sorumluluk doğurur.
4. Veri Sorumlusu / Veri İşleyen Ayrımı Nasıl Yapılır?
Bu, ÜYZ ekosisteminin en bulanık alanlarından biri. Rehber, geleneksel SaaS modellerine kıyasla ÜYZ’nin çok katmanlı yapısının rol tespitini zorlaştırdığını açıkça kabul ediyor.
Temel kriter değişmiyor: Veri işleme faaliyetinin “neden” ve “nasıl” sorularına kim cevap veriyorsa, veri sorumlusu odur. Sözleşme metni belirleyici değildir; fiili kontrol esastır.
Senaryo: Bir şirketin İK birimi, özgeçmiş değerlendirmek için ChatGPT benzeri bir LLM kullanıyor.
Sonuç: Hangi verinin yükleneceğine, hangi amaçla analiz edileceğine ve çıktının nasıl kullanılacağına şirket karar verdiği için şirket veri sorumlusudur. OpenAI’nin (veya benzeri sağlayıcının) rolü, kapalı erişimli modelin sunduğu kontrol düzeyine göre değerlendirilir.
Özellikle kapalı erişimli (closed-access) modellerde, kurumun veri işlemenin tüm aşamaları üzerinde anlamlı kontrole sahip olmayabileceği rehberde ayrıca uyarı niteliğinde vurgulanıyor. Bu, tedarikçi sözleşmelerinde veri işleme şartlarının dikkatle müzakere edilmesi gerektiğini gösteriyor.
5. Genel İlkeler, Hukuki Sebep ve Yurt Dışı Aktarım
Rehber, 6698 sayılı Kanun’un 4. maddesindeki genel ilkelerin ÜYZ özelinde nasıl yorumlanacağını ele alıyor. Üç ilke özellikle zorlayıcı:
Amaca Bağlılık
Web kazıma ile toplanan veriler “genel model eğitimi için” diye sınırsız kullanılamaz. Her aşama için meşru ve belirli bir amaç tanımlanmalıdır.
Veri Minimizasyonu
“Mümkün olduğu kadar çok veri” mantığı KVKK ile çelişir. Eğitim için gerekli minimum veri seti tanımlanmalı, anonimleştirme ve sentetik veri tercih edilmelidir.
Doğruluk
Halüsinasyon riski, “güncelliği koruma” yükümlülüğüyle doğrudan çelişir. Üretilen kişisel veri içerikli çıktıların doğruluğu kontrol edilmelidir.
Hukuki Sebep: Açık Rıza Bir Çözüm Değil
Rehberin önemli mesajlarından biri: ÜYZ’nin geniş veri ihtiyacı, açık rızayı pratik bir hukuki sebep olmaktan büyük ölçüde çıkarır. Milyonlarca veri sahibinden tek tek açık rıza almak mümkün değildir. Bu durumda kurumların; meşru menfaat, kanunda açıkça öngörülme, sözleşmenin kurulması/ifası gibi alternatif sebepleri her bir veri işleme aşaması için ayrı ayrı değerlendirmesi gerekir.
Yurt Dışı Aktarım: Pratikteki En Büyük Engel
OpenAI, Anthropic, Google, Microsoft gibi sağlayıcıların altyapısı yurt dışındadır. Kurum bu sağlayıcıları kullandığında yurt dışı aktarımı gerçekleşmiş olur. KVKK’nın güncel yurt dışı aktarım rejimi (Mart 2024 Yönetmeliği) çerçevesinde:
- Yeterlilik kararı bulunan ülke listesi henüz dar kapsamlıdır.
- Bağlayıcı kurumsal kurallar (BKK) veya standart sözleşmelerin Kurum’a bildirilmesi zorunludur.
- Arızi durumlarda 9/6 hükümleri uygulansa da kurumsal sürekli kullanım için bu sebep yetersizdir.
Bu yüzden rehberin satır aralarında yurt içi ÜYZ çözümlerine, anonimleştirilmiş veriye ve hibrit mimarilere yönelik açık bir teşvik vardır.
6. Şeffaflık, İlgili Kişi Hakları ve Güvenlik
Şeffaflık: Aydınlatma Metni Tek Başına Yetmez
Rehber, ÜYZ’nin “kara kutu” doğasını kabul ediyor ama bunu mazeret olarak değil, ek bir yükümlülük tetikleyicisi olarak konumlandırıyor. Veri sorumlusunun; verinin nereden toplandığını, modelin nasıl çalıştığını ve çıktının olası sonuçlarını anlaşılır bir dille ilgili kişiye anlatması gerekir.
İlgili Kişi Hakları: Teknik Olarak Zor Ama Hukuken Zorunlu
11. madde kapsamındaki haklar (silme, düzeltme, işlemeye itiraz) ÜYZ’de büyük teknik güçlük yaratır. Bir verinin modelin trilyonlarca parametresinden “silinmesi” pratikte imkânsızdır. Rehber bu noktada şu çözüm yollarını ima ediyor:
- Çıktı düzeyinde filtreleme/blokaj mekanizmaları
- Belirli bireylere ait verilerin çıktıda görünmesini engelleyen rehberlik kuralları (guardrails)
- Etkili durumlarda modelin yeniden eğitilmesi veya ince ayar yoluyla unutturma teknikleri
- İlgili kişiye hangi haklarının nasıl kullanılabileceğinin şeffaf biçimde açıklanması
Güvenlik: Klasik Tedbirler + ÜYZ’ye Özgü Riskler
Standart Kanun’un 12. madde güvenlik tedbirlerine ek olarak rehber, ÜYZ’ye özgü saldırı vektörlerini de gündeme getiriyor:
- Model inversiyon saldırıları: Modelden eğitim verisini geri çıkarma girişimleri.
- Üyelik çıkarımı (membership inference): Belirli bir bireyin verisinin eğitim setinde olup olmadığının tespiti.
- Prompt injection: Kötü niyetli komutlarla sistemin güvenlik kurallarının atlatılması.
- Veri sızıntısı: Çalışanların kurumsal verileri kontrolsüz şekilde ücretsiz ÜYZ araçlarına yapıştırması (“gölge AI” riski).
7. Bireyler ve Ebeveynler İçin Pratik Öneriler
Rehberin son iki sorusu, kurumsal odaktan ayrılarak bireylere ve özellikle çocuklara yönelik ebeveyn önlemlerine ayrılmıştır. Bu, rehberin yalnızca uyum belgesi değil, aynı zamanda bir farkındalık dokümanı olarak konumlandığını gösteriyor.
Bireyler İçin
- Prompt’a TCKN, sağlık verisi, banka bilgisi yazmayın.
- Servis sağlayıcının veri saklama politikalarını okuyun.
- “Sohbet geçmişini eğitim için kullan” seçeneklerini kapatın.
- ÜYZ çıktısını mutlak doğru kabul etmeyin.
Ebeveynler İçin
- Yaş sınırı olan uygulamaları çocuğun yaşına göre değerlendirin.
- Çocuğa fotoğraf/sesi yüklememe alışkanlığı kazandırın.
- Aile içi ÜYZ kullanım kuralları belirleyin.
- Çocuğun ÜYZ ile kurduğu duygusal bağı izleyin.
8. Sonuç: Kurumların Çıkarması Gereken Dersler
KVKK’nın bu rehberi, Türkiye’nin yapay zekâ yönetişimi alanındaki en önemli düzenleyici işaretlerinden biridir. Beklenen ISO/IEC 42001 standardı, AB AI Act uyum baskısı ve sektörel kritik altyapı yükümlülükleriyle birlikte değerlendirildiğinde, kurumların önümüzdeki 12 ayda atması gereken üç temel adım netleşmektedir:
ÜYZ Envanteri Çıkarın
Kurum içinde hangi departmanın hangi ÜYZ aracını kullandığını, prompt’lara hangi veri kategorilerinin girdiğini ve çıktıların nerede saklandığını listeleyin. “Gölge AI” bu envanterle ortaya çıkar.
AI Kullanım Politikası Yayımlayın
Hangi ÜYZ aracı, hangi koşulda, hangi veri kategorisi ile kullanılabilir? Yasak kullanım örnekleri, prompt yazım kuralları, doğrulama yükümlülüğü ve sorumluluk zinciri belgelenmelidir.
Veri Akışı ve DPIA Yapın
Her bir ÜYZ kullanım senaryosu için veri akışını haritalandırın, yurt dışı aktarımı belgeleyin ve yüksek risk taşıyan senaryolar (işe alım, kredi değerlendirme, sağlık vb.) için Veri Koruma Etki Değerlendirmesi (DPIA) yapın.
Rehberin tamamına KVKK’nın resmi sitesinden ulaşılabilir: Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (Yayın No: 113).
