Yapay Zeka Kullanım
Politikası Nasıl
Oluşturulur?

H1

Kurumda gerçekte ne kullanıldığını öğrenin

Ağ trafiği analizi, çalışan anketi veya bölüm yöneticileriyle görüşme yoluyla mevcut YZ araç kullanımını haritalayın. Hangi araçlar, hangi bölümler, hangi iş süreçlerinde? “ChatGPT yasak” derken kurumun yarısının onu zaten kullandığını bilmek, politikayı gerçekçi yapan bilgidir.

H2

Veri sınıflandırmanızı netleştirin

Politikanın kalbi, veri sınıflandırmasıdır. Hangi veriniz kamuya açık, hangi veriniz dahili, hangi veriniz gizli, hangi veriniz kritik/kişisel? Eğer kurumunuzda bu sınıflandırma henüz yoksa YZ politikasından önce onu oluşturmanız gerekir; yoksa “hassas veri girmeyin” gibi uygulanamaz hükümler yazarsınız.

H3

Paydaşları masaya getirin

Etkili bir AI politikası tek bir departmanın ürünü değildir. Hazırlık sürecine bilgi güvenliği, BT, hukuk/uyum, İK ve en az bir iş birimi temsilcisini dahil edin. Her birinin farklı bir perspektifi vardır ve politikanın o perspektiflere dayanması, sahiplenmeyi artırır.

Neden gerekli?

Politikanın neden yazıldığını (kurumu korumak, sorumlu kullanımı desteklemek) ve kimi kapsadığını net belirtmeden başlayan politika, “bu beni bağlıyor mu?” sorusuna yanıt veremez.

Politikada yer almalı

• Politikanın amacı ve neden yazıldığı
• Kapsanan bireyler (tam zamanlı, yarı zamanlı, danışman, stajyer)
• “Yapay zeka”, “üretken YZ”, “LLM”, “onaylı araç” tanımları
• Politikanın BGYS ve KVKK çerçevesiyle ilişkisi

Neden gerekli?

Çalışanların en çok sorduğu soru şudur: “Bu belgeyi bu araca kopyalayabilir miyim?” Bu soruyu yanıtlamadan yazılan politika, günlük karar noktalarında işe yaramaz.

Politikada yer almalı

• Veri sınıfları: Kamuya açık / Dahili / Gizli / Kişisel veri
• Her sınıfın hangi araç kategorisiyle kullanılabileceği (Trafik Işığı Modeli)
• Kişisel veri içeren verilerde mutlak yasak
• Test ve geliştirme ortamlarında gerçek veri kullanım yasağı

Neden gerekli?

Çalışan onaylanmış araçlara yönlendirilmezse alternatifleri kendisi bulur — bu Shadow AI’ın tam tarifidir. Onaylı liste hem rehber hem de Shadow AI’a karşı bir bariyer işlevi görür.

Politikada yer almalı

• Onaylı araçlar listesi: araç adı, kullanım kapsamı, lisans türü, veri sınırı
• Üçlü sınıflandırma: Tüm çalışanlar için / Belirli roller için / Yalnızca BT için
• Yeni araç talep ve onay süreci (kim talep eder, kim değerlendirir, ne kadar sürer)
• Kurumsal (Enterprise) lisans ile kişisel hesap ayrımı ve kişisel hesap yasağı

Neden gerekli?

YZ çıktıları hatalı, önyargılı veya yanıltıcı olabilir. Çalışan “YZ bunu söyledi” diye savunma yapamaz. Kurumun bu sorumluluk zincirini net tanımlaması hem hukuki hem etik açıdan zorunludur.

Politikada yer almalı

• “YZ çıktısından kullanan çalışan sorumludur” ilkesi
• YZ hiçbir zaman tek başına karar verici, imza yetkilisi veya onaylayıcı olamaz
• Dış tarafa sunulan çıktılarda (müşteri raporu, hukuki belge) YZ kullanım beyanı
• Kritik kararlarda zorunlu insan doğrulama adımı

Neden gerekli?

Kişisel veri içeren herhangi bir girişin yurt dışı sunuculı bir YZ aracına aktarılması KVKK Madde 9 kapsamında hukuki sorumluluk doğurur. Bu bileşen olmayan bir politika, KVKK uyum çerçevesindeki en büyük boşluğu kapatamaz.

Politikada yer almalı

• Kişisel verilerin (T.C. kimlik, sağlık, finansal vb.) YZ araçlarına girişinin mutlak yasağı
• Yurt dışı sunuculu araçlar için Madde 9 güvencesi gerekliliği
• VİS kapsamındaki veri kategorileri için ek kısıtlamalar
• YZ sağlayıcısının veri işleme sözleşmesi (DPA) zorunluluğu

Neden gerekli?

Ticari sırlar, patent başvuruları, stratejik planlar ve kaynak kodu halka açık bir modele girdiğinde ticari sır niteliğini yitirebilir. Çalışan bunu genellikle “zararsız bir taslak yazma isteği” olarak görür.

Politikada yer almalı

• Ticari sırların ve açıklanmamış stratejik bilgilerin YZ araçlarına girilme yasağı
• Kaynak kodu, algoritma ve tasarım belgelerinin hangi araçlara girilebileceği
• YZ tarafından üretilen çıktıların fikri mülkiyet durumu ve telif hakkı belirsizliği
• Müşteri sözleşmesi kapsamındaki bilgilerin gizlilik yükümlülüğü dahilinde değerlendirilmesi

Neden gerekli?

Yaptırımı olmayan kural, tavsiye olarak kalır. Çalışanın politikayı ciddiye alması için sonuçlarının gerçek olduğunu bilmesi gerekir. Aynı zamanda çalışanı korumak için “ne yapacağını bilmeden yanlış yaptım” senaryosuna karşı çıkış yolu da tanımlanmalıdır.

Politikada yer almalı

• İhlal türleri ve ağırlık dereceleri (ihmal / kasıtlı ihlal / tekrarlayan ihlal)
• İhlal bildirim kanalı: çalışanın kendi bildirmesi durumunda indirimli değerlendirme
• Yaptırım kademeleri: uyarı → disiplin → iş sözleşmesine yansıma
• İhlal sonrası acil adımlar: BT’ye bildirim, etkilenen verinin belirlenmesi

Neden gerekli?

YZ alanı aylık değil, haftalık değişiyor. Bugün onaylı olan bir araç, altı ay içinde veri politikasını değiştirmiş ve artık güvenli olmayan bir platforma dönüşmüş olabilir. Statik bir politika hızla eskir ve yanlış güvence verir.

Politikada yer almalı

• Planlı gözden geçirme sıklığı: en az yılda bir; YZ alanında ideal olarak 6 ayda bir
• Olağanüstü güncellemeyi tetikleyecek olaylar: büyük araç politika değişikliği, yeni yasa, veri ihlali
• Sürüm numarası, yürürlük tarihi, onaylayan birim
• Eski sürümlerin arşivlenmesi ve erişilebilirliği (denetim izi)

✉

Üst yönetim e-postası

İlk duyuru ve politika linki ile birlikte

▶

Bölüm toplantıları

Bölüme özgü sorular ve örnekler ile

📄

Hızlı başvuru kartı

Yazdırılabilir veya dijital, her çalışana

📺

Kısa e-öğrenme modülü

Okundu kaydı oluşturulabilecek format

📄

İntranet / BGYS portali

Kalıcı erişim noktası; tüm sürümler arşivli

📝

İşe alım süreci

Yeni çalışanlar için başlangıç eğitimine eklenmeli

Not: Gözden geçirme tarihi politika metninde açıkça yer almalıdır. Denetçi bunu soracaktır.

DLP sisteminiz YZ servislerine yapılan veri transferlerini izlemeye ayarlı mı? Değilse, politika pratikte gözetimsizdir.

Örnek format: YZ-POL-001 v1.0 | Yürürlük: 01.06.2025 | Onay: BGYS Komitesi

H1

Veri sınıflandırması olmadan politika yazmak

“Hassas veri kullanmayın” hükmü, kurumda neyin hassas sayıldığı tanımlı değilse anlamsızdır. Veri sınıflandırması olmadan yazılan AI politikası, çalışanın günlük kararını yönlendirme kapasitesinden yoksundur.

H2

Yalnızca yasakları listelemek, izin verilenler listesi sunmamak

“Bu araçları kullanmayın” dediniz ama çalışan işini yapması gerekiyor. Alternatif olarak ne kullanabileceğini bilmiyorsa kendi çözümünü bulur — Shadow AI’ın ana kaynağı budur. Her yasak, karşısında bir izin verilenler listesi barındırmalıdır.

H3

Üst yönetimi kapsam dışı bırakmak

McKinsey 2025 verisine göre üst düzey yöneticilerin %93’ü onaylanmamış YZ araçları kullanıyor. Yönetimi kapsam dışında tutan politika, en riskli kullanıcı grubunu dışarıda bırakır. Politika herkes için geçerlidir — bu yönetim katına da açıkça iletilmelidir.

H4

KVKK’yı görmezden gelmek

Pek çok AI politikası veri güvenliğinden bahseder ama KVKK yükümlülüklerini ve özellikle Madde 9 yurt dışı veri aktarımı yasağını ayrıca ele almaz. Bu büyük bir eksiktir. YZ aracının sunucusunun Türkiye dışında olması, her kişisel veri girişini potansiyel KVKK ihlaline dönüştürebilir.

H5

Politikayı yayınlayıp bırakmak

İntranet portala yüklenen ve bir yıl sonra güncellenmemiş politika, sektörün değişim hızında çok çabuk geçersiz hale gelir. “Politikamız var” demek, politikanın uygulandığı veya güncel olduğu anlamına gelmez. Güncelleme mekanizması olmayan politika zamanla kurumu korumaz hale gelir.

H6

Tedarikçi ve danışmanları kapsam dışı bırakmak

Bir danışman firma verilerinizle çalışırken kendi YZ araçlarını kullanıyorsa bu da sizin riskinizdir. Tedarikçi sözleşmelerine YZ kullanım kısıtlamaları eklemeden yapılan AI politikası, dış kaynak kullandığı noktalarda tamamen delik kalır.

H7

YZ ajanlarını ve otomasyonları atlamak

Pek çok AI politikası sohbet araçlarını (ChatGPT vb.) kapsar ama sistemlere entegre edilmiş YZ ajanlarını, RPA + YZ kombinasyonlarını ve API üzerinden bağlı modelleri gözden kaçırır. Üretken YZ’nin gelişimiyle bu araçlar giderek daha yaygın hale gelmekte; politika boşluğu da buna paralel büyümektedir.

Belge No: [YZ-POL-001]

Sürüm: [1.0]

Yürürlük: [gg.aa.yyyy]

Kurum

[KURUM ADI]

Yapay Zeka Kullanım Politikası

Bu politika, [KURUM ADI] bünyesinde yapay zeka (YZ) araçlarının güvenli, sorumlu ve yasal düzenlemelere uygun biçimde kullanılmasını sağlamak amacıyla hazırlanmıştır. Politikanın hedefleri şunlardır: kurumsal veri ve kişisel verilerin korunması, KVKK başta olmak üzere ilgili mevzuata uyumun güvence altına alınması, Shadow AI olarak adlandırılan denetimsiz ve yetkisiz YZ kullanımının önüne geçilmesi ve çalışanlara güvenli bir kullanım çerçevesi sunularak inovasyonun desteklenmesi.

Bu politika; kurumun tüm tam ve yarı zamanlı çalışanlarını, danışmanları, stajyerleri ve [kurumsal veri veya sistemlere erişen diğer tarafları] kapsar.

Politika, kurumsal cihazlarda ve kişisel cihazlarda kurumsal veriyle gerçekleştirilen tüm YZ araç kullanımlarını kapsar. Aşağıdaki araç kategorilerini kapsamaktadır: üretken YZ sohbet araçları (ChatGPT, Claude, Gemini ve benzerleri), kod geliştirme asistanları (GitHub Copilot, Cursor ve benzerleri), YZ destekli çeviri ve metin araçları ile kurumsal yazılımlara entegre YZ özellikleri (Microsoft 365 Copilot, Notion AI ve benzerleri).

Aşağıdaki trafik ışığı modeli, hangi verinin hangi araç kategorisiyle kullanılabileceğini gösterir. Tüm çalışanlar bu tabloyu günlük YZ kullanım kararlarında esas alır.

5.1 Onaylı Araç Listesi (Ek-1)

Kurumun onayladığı YZ araçları, her aracın kullanım kapsamı ve veri sınıfı kısıtlamalarıyla birlikte Ek-1’de listelenmektedir. Ek-1, bilgi güvenliği birimi tarafından en az [6 ayda bir] güncellenir.

5.2 Kişisel Hesap Kullanım Yasağı

Çalışanlar, kurumsal veriyi kişisel e-posta veya kişisel bilgileriyle oluşturdukları YZ araç hesaplarında kullanamaz. Kurumun temin ettiği Enterprise lisanslı araçlar, kurumsal hesap üzerinden kullanılır.

5.3 Yeni Araç Talep Süreci

Onaylı listede yer almayan bir YZ aracının kullanılmak istenmesi durumunda çalışan, [talep kanalı: servis masası / e-posta adresi] üzerinden bilgi güvenliği birimine başvurur. Değerlendirme süresi en fazla [X iş günü]‘dür. Onay alınmadan araç kullanılamaz.

6698 sayılı KVKK kapsamında kişisel veri içeren her türlü bilginin YZ araçlarına girilmesi kesinlikle yasaktır. Bu yasak, araç türü veya lisans modelinden bağımsız olarak geçerlidir.

Kişisel veri kapsamında değerlendirilen veri türleri şunlardır ancak bunlarla sınırlı değildir: ad-soyad, T.C. kimlik numarası, iletişim bilgileri, sağlık ve biyometrik veriler, finansal bilgiler, işe alım ve özlük dosyası verileri.

YZ araçlarına kişisel veri girildiğinin fark edilmesi veya şüphe duyulması halinde, çalışan durumu derhal [bilgi güvenliği birimine / DPO’ya] bildirmekle yükümlüdür.

8.1 İhlal Bildirimi

Bu politikaya aykırı bir kullanım gerçekleştiğinde veya şüphe duyulduğunda çalışan, [bildirim kanalı: e-posta/servis masası/telefon] aracılığıyla bilgi güvenliği birimine en kısa sürede bildirimde bulunur. Kendi kendine bildirimi teşvik etmek amacıyla, kasıtlı olmayan ihlallerde gönüllü bildirim, değerlendirmede olumlu unsur olarak dikkate alınır.

8.2 Yaptırımlar

Bu politika [6 ayda bir] düzenli olarak gözden geçirilir. Aşağıdaki olayların gerçekleşmesi durumunda planlı takvim beklenmeksizin güncelleme yapılır: onaylı araçlardan birinin veri politikasının önemli ölçüde değişmesi, kurumda YZ kaynaklı bir güvenlik olayı yaşanması, ilgili mevzuatta değişiklik veya ISO 27001 denetiminde bu politikaya ilişkin bulgu elde edilmesi.

Her sürüm; belge numarası, sürüm numarası, yürürlük tarihi ve onaylayan birim ile birlikte arşivlenir. Eski sürümlere [BGYS portalı / arşiv konumu] üzerinden erişilebilir.

Mevcut durum analizi ve Shadow AI tespiti

Veri sınıflandırması ve Trafik Işığı Modeli

Kurumsal AI Policy belgesi hazırlanması

KVKK ve ISO 27001 ile uyum sağlanması

Çalışan eğitimi ve farkındalık programı

ISO 42001 yönetişim yol haritası