İçeriğe geç

Anahtar Çıkarımlar

  1. İK'da çalışan verisiyle yapay zeka; işe alım, performans, elde tutma ve çalışan izleme olmak üzere dört ana alanda kullanılır ve her biri farklı KVKK riski taşır.
  2. Çalışan verisi (özlük verisi), iş ilişkisindeki güç dengesizliği nedeniyle özel bir hassasiyet taşır; bir kısmı özel nitelikli kişisel veri sayılır ve ağır korunur.
  3. İş ilişkisinde açık rıza çoğu zaman geçersizdir; çünkü çalışan işverene bağımlıdır ve rızanın 'özgür irade' koşulu sağlanamaz. Dayanak genellikle meşru menfaat veya kanuni yükümlülük olmalıdır.
  4. Tümüyle otomatik karar ve profilleme, önemli sonuç doğuran İK kararlarında (işe alma, işten çıkarma) sınırlıdır; insan denetimi ve itiraz hakkı gerekir.
  5. İşe alım algoritmalarında ayrımcılık ve önyargı riski yüksektir; geçmiş veriye dayanan model, geçmişteki ayrımcılığı öğrenip sürdürebilir.
  6. EU AI Act, işe alım ve çalışan yönetiminde kullanılan yapay zekayı açıkça yüksek riskli sayar; şeffaflık, insan gözetimi, veri kalitesi ve DPIA zorunlu hale gelir.
  7. Uyum, tek seferlik değil süreklidir: aydınlatma, DPIA, veri minimizasyonu, insan denetimi ve düzenli denetim bir çerçeve olarak kurulmalıdır.

İK Uygulamalarında Çalışan Verisiyle Yapay Zeka: KVKK Sınırları

İK'da çalışan verisiyle yapay zeka ve KVKK sınırları: açık rıza sorunu, otomatik karar, işe alım algoritmaları, profilleme, çalışan izleme ve EU AI Act.

SYK
Şükrü Yusuf KAYA
AI Expert · Kurumsal AI Danışmanı

Çalışan verisiyle yapay zeka, İK uygulamalarında işe alımdan performans yönetimine, elde tutma tahmininden çalışan izlemeye kadar geniş bir yelpazede kullanılan; çalışanlara ait özlük ve davranış verisinin makine öğrenmesi modelleriyle işlenmesidir. KVKK açısından bu kullanımın sınırı üç noktada belirginleşir: iş ilişkisinde açık rızanın tek başına geçerli bir dayanak sayılmaması, tümüyle otomatik karar ve profillemeye karşı çalışanın korunması, ve şeffaflık ile ölçülülük yükümlülükleridir.

Bu rehber, çalışan verisiyle yapay zeka konusunu bir yönetim danışmanı ve uyum mühendisi titizliğiyle ele alıyor: İK'da yapay zekanın kullanım alanları, özlük verisinin özel niteliği, iş ilişkisinde rızanın neden sorunlu olduğu, otomatik karar ve profilleme sınırları, işe alım algoritmalarındaki ayrımcılık riski, şeffaflık ve aydınlatma, çalışan izlemenin sınırları, veri koruma etki değerlendirmesi (DPIA), EU AI Act'te İK'nın neden yüksek riskli sayıldığı, uyum kontrol listesi, sektörel örnekler ve yaygın ihlaller. Önemli bir uyarı: bu içerik bir hukuki tavsiye değil, bilgilendirme amaçlıdır; somut kararlar için hukuk ve uyum danışmanınıza başvurun.

Tanım
Çalışan Verisiyle Yapay Zeka (İK)
İnsan kaynakları süreçlerinde — işe alım, performans yönetimi, elde tutma ve çalışan izleme — çalışanlara ait özlük ve davranış verisinin makine öğrenmesi ve yapay zeka modelleriyle işlenmesidir. KVKK açısından bu kullanım; uygun hukuki dayanak, aydınlatma, veri minimizasyonu, ölçülülük, otomatik karar ve profillemeye karşı koruma ile şeffaflık ilkelerine tabidir. İş ilişkisindeki bağımlılık nedeniyle açık rıza çoğu zaman geçerli bir dayanak sayılmaz.
Ayrıca: İK yapay zekası, özlük verisi, HR analytics, insan kaynaklarında yapay zeka

Çalışan Verisiyle Yapay Zeka Neden Bu Kadar Hassas Bir Konu?

İnsan kaynakları, yapay zekanın en büyük vaadi ve en büyük riskini aynı anda barındıran alandır. Vaat açıktır: binlerce başvuruyu saniyeler içinde tarayan, ayrılma riskini önceden tahmin eden, performansı nesnelleştiren sistemler. Risk ise bu vaadin gölgesinde durur: çünkü İK'da işlenen veri sıradan bir müşteri verisi değil, insanların geçim kaynağını, kariyerini ve onurunu doğrudan etkileyen özlük verisidir. Çalışan verisiyle yapay zeka, bu iki ucun — verimlilik ile temel haklar — kesiştiği yerde durur ve bu yüzden hem teknik hem hukuki bir denge gerektirir.

Konunun hassasiyetinin birinci nedeni güç dengesizliğidir. Bir müşteri, bir hizmeti beğenmezse başka bir sağlayıcıya gidebilir; ama bir çalışan, işvereninin veri uygulamalarını beğenmese bile kolayca "hayır" diyemez, çünkü geçimi o iş ilişkisine bağlıdır. Bu bağımlılık, çalışan verisiyle yapay zeka uygulamalarında rızanın anlamını zayıflatır ve işverene, müşteri ilişkisinden çok daha yüksek bir sorumluluk yükler. KVKK ve GDPR gibi çerçeveler bu dengesizliği tanır ve çalışanı özel olarak korur.

İkinci neden, kararların geri döndürülemez ağırlığıdır. Bir öneri motorunun yanlış ürün önermesi telafi edilebilir; ama bir işe alım algoritmasının bir adayı haksız yere elemesi, o kişinin bir fırsatı tümüyle kaybetmesi demektir. Performans skoru düşük çıktığı için terfi alamayan, ayrılma riski "yüksek" etiketlendiği için gözden düşen bir çalışan, çoğu zaman bu kararın nasıl verildiğini bile bilmez. İşte bu görünmezlik, çalışan verisiyle yapay zeka konusunu etik ve hukukun tam merkezine taşır.

Üçüncü neden ölçektir. Bir insan yöneticinin önyargısı bir kişiyi etkiler; bir algoritmanın önyargısı ise binlerce kararı aynı anda, tutarlı ve görünmez biçimde etkiler. Yapay zeka "nesnel" göründüğü için, ürettiği ayrımcılık daha da tehlikelidir: kimse bir makinenin tarafsız olmayabileceğini sorgulamaz. Bu yüzden yapay zekanın ne olduğunu ve sınırlarını doğru anlamak kritiktir; temel için yapay zeka nedir ve modellerin nasıl öğrendiğini görmek için makine öğrenmesi nedir rehberleri iyi bir başlangıçtır.

İK'da Yapay Zeka Hangi Alanlarda Kullanılıyor?

Çalışan verisiyle yapay zeka, İK yaşam döngüsünün neredeyse her aşamasına girmiş durumda. Bu kullanım alanlarını dört ana başlıkta toplamak, hem faydayı hem de her alanın kendine özgü KVKK riskini net görmeyi sağlar. Aşağıdaki dört alan, bir çalışanın işe girişinden ayrılışına kadarki yolculuğu izler.

İşe Alım ve Aday Seçimi

En yaygın ve en tartışmalı kullanım budur. Yapay zeka; özgeçmiş tarama, aday sıralama, başvuru elemesi, video mülakat analizi ve hatta aday-iş uyumu tahmini için kullanılır. Doğal dil işleme modelleri özgeçmişteki metni okur, sınıflandırır ve puanlar; bu teknolojinin temeli için doğal dil işleme nedir yazısına bakabilirsiniz. İşe alım, çalışan verisiyle yapay zekanın en yüksek riskli alanıdır, çünkü karar bir kişinin bir fırsata erişimini doğrudan belirler ve işe alım algoritmaları ayrımcılığı kolayca ölçeklendirebilir.

Performans Yönetimi ve Değerlendirme

Yapay zeka, çalışan performansını ölçmek ve tahmin etmek için giderek daha çok kullanılıyor: satış rakamlarının analizi, üretkenlik metrikleri, 360 derece geri bildirimlerin özetlenmesi, hatta iletişim verisinden çıkarımlar. Buradaki risk, ölçülebilir olanın ölçülmesi gerekenin yerine geçmesidir; bir algoritma yalnızca sayısal çıktıyı görür, bir çalışanın bağlamını, ekip katkısını veya zor koşullarını göremez. Performans değerlendirmesinde otomatik karar ve profilleme devreye girdiğinde, KVKK'nın koruyucu hükümleri aktif hale gelir.

Elde Tutma ve Ayrılma Tahmini

Çalışan kaybı (turnover) maliyetli olduğu için kurumlar, kimin ayrılma riski taşıdığını önceden bilmek ister. Yapay zeka; kıdem, maaş, terfi geçmişi, devamsızlık ve bazen iletişim örüntüleri gibi verilerden ayrılma olasılığı tahmini yapar. Bu bir profilleme faaliyetidir ve dikkatli yürütülmezse "kendini gerçekleştiren kehanet" riski taşır: ayrılma riski yüksek etiketlenen bir çalışan, yatırım yapılmaya değmez görülüp gözden düşebilir. Çalışan verisiyle yapay zeka bu alanda güçlü ama etik açıdan kaygan bir zemindir.

Çalışan İzleme ve Üretkenlik Takibi

Uzaktan çalışmanın yaygınlaşmasıyla çalışan izleme araçları patladı: klavye/fare aktivitesi, uygulama kullanımı, ekran görüntüleri, çağrı analizi ve bazı sistemlerde kamera üzerinden davranış veya duygu analizi. Duygu analizinin nasıl çalıştığını duygu analizi nedir yazısında bulabilirsiniz. Bu alan, ölçülülük ilkesiyle en sık çatışan alandır; sürekli ve kapsamlı izleme, çoğu durumda KVKK'ya aykırı kabul edilir.

İK'da yapay zeka kullanım alanları ve başlıca KVKK riski
AlanTipik uygulamaBaşlıca KVKK riski
İşe alımÖzgeçmiş tarama, aday sıralama, video mülakatAyrımcılık, otomatik eleme, şeffaflık eksikliği
PerformansÜretkenlik skoru, değerlendirme, geri bildirimProfilleme, ölçüsüz veri, bağlam kaybı
Elde tutmaAyrılma riski tahmini, kariyer önerisiProfilleme, damgalama, kendini gerçekleştiren kehanet
Çalışan izlemeAktivite takibi, ekran/kamera, duygu analiziÖlçüsüzlük, özel yaşam ihlali, gizli izleme

Bu dört alanın ortak paydası şudur: hepsi çalışanın en hassas verisini kullanır ve hepsinde karar, kişinin çalışma hayatını doğrudan etkiler. Bu yüzden çalışan verisiyle yapay zeka projelerinde "hangi alandayız?" sorusu, hukuki dayanak ve risk seviyesini belirleyen ilk sorudur.

Özlük Verisinin Özel Niteliği: Neden Farklı Korunur?

Özlük verisi, bir çalışana ilişkin işverenin tuttuğu tüm kişisel veriyi kapsar: kimlik bilgileri, iletişim, maaş ve özlük hakları, performans kayıtları, izin ve devamsızlık, sağlık raporları, disiplin geçmişi ve daha fazlası. Kişisel verinin ne olduğunu kişisel veri nedir yazısında ele alıyoruz; özlük verisi bu tanımın iş bağlamındaki özel bir alt kümesidir. Çalışan verisiyle yapay zeka projelerinde bu verinin özel niteliğini anlamak, tüm uyum çerçevesinin temelidir.

Özlük verisinin bir kısmı, KVKK'nın "özel nitelikli kişisel veri" kategorisine girer ve çok daha katı korunur. Sağlık verileri (işe giriş sağlık raporu, engellilik durumu, iş kazası kayıtları), sendika üyeliği, dernek/vakıf üyelikleri, ceza mahkûmiyeti ve güvenlik tedbirleri, biyometrik veriler (parmak izi ile giriş, yüz tanıma) bu kapsamdadır. Yüz tanımanın İK'daki kullanımı ve riskleri için yüz tanıma nedir yazısı yol gösterir. Özel nitelikli verilerin işlenmesi, açık rıza veya kanunda öngörülen sınırlı istisnalar dışında yasaktır; bir yapay zeka modeline bu verileri girdi olarak vermek, ayrı ve çok daha ağır bir uyum yükümlülüğü doğurur.

Özlük verisini diğer kişisel verilerden ayıran ikinci boyut, işlem çeşitliliği ve süresidir. Bir çalışanın verisi, iş ilişkisi boyunca (bazen on yıllarca) ve ilişki sona erdikten sonra da (yasal saklama süreleri nedeniyle) işlenir. Bu uzun ömür, veri minimizasyonu ve saklama süresi ilkelerini kritik hale getirir: çalışan verisiyle yapay zeka projelerinde "her ihtimale karşı tüm veriyi toplayıp saklayalım" yaklaşımı, hem KVKK'ya aykırı hem de risk biriktiren bir hatadır.

Özlük verisi türleri ve KVKK korunma seviyesi
Veri türüÖrnekKorunma seviyesi
Genel özlük verisiKimlik, iletişim, maaş, kıdemGenel KVKK ilkeleri
Özel nitelikli veriSağlık, sendika, ceza kaydı, biyometrikKatı; işleme kural olarak yasak, dar istisna
Davranışsal/türetilmiş veriÜretkenlik skoru, ayrılma riski, profilProfilleme kuralları + genel ilkeler

Üçüncü ve en incelikli boyut, türetilmiş veridir. Bir yapay zeka modeli, ham özlük verisinden yeni bilgiler üretir: "bu çalışanın ayrılma olasılığı %78", "bu adayın başarı skoru düşük", "bu ekibin motivasyonu azalıyor". Bu türetilmiş çıkarımlar da kişisel veridir ve çoğu zaman ham veriden daha hassastır, çünkü kişi hakkında bir yargı içerir. Çalışan verisiyle yapay zeka projelerinde sıkça atlanan nokta budur: yalnızca girdi veriyi değil, modelin ürettiği profilleri de korumak, saklamak ve gerektiğinde silmek gerekir.

İş İlişkisinde Açık Rıza Neden Geçersiz Sayılır?

Kurumların en sık yaptığı hata, "çalışandan rıza aldık, o hâlde her şey yasal" varsayımıdır. Oysa iş hukuku ve veri koruma hukukunun kesiştiği bu noktada, açık rıza çoğu zaman geçersiz bir dayanaktır. Bunun nedenini anlamak, çalışan verisiyle yapay zeka uyumunun belki de en kritik dersidir.

KVKK'da açık rızanın üç şartı vardır: belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür irade ile açıklanması. İş ilişkisinde takılan şart üçüncüsüdür: özgür irade. Bir çalışan, işvereninin sunduğu bir veri işleme talebini gerçekten özgürce reddedebilir mi? Çoğu durumda hayır. Çalışan, rıza vermezse işini kaybetmekten, terfi alamamaktan veya gözden düşmekten çekinir. Bu bağımlılık ilişkisi, rızayı baştan sakatlar. Veri koruma otoriteleri (KVKK Kurumu ve Avrupa'daki muadilleri) bu noktada nettir: iş ilişkisinde rıza, kural olarak geçerli bir hukuki dayanak sayılmaz.

Peki dayanak rıza değilse ne olmalı? KVKK, kişisel veri işleme için rıza dışında başka hukuki sebepler sunar ve çalışan verisiyle yapay zeka projelerinde asıl dayanak bunlar olmalıdır. Başlıcaları şunlardır: sözleşmenin ifası için gerekli olması (bordro işlemek gibi), işverenin tabi olduğu kanuni yükümlülük (SGK bildirimleri gibi), ve meşru menfaat (işin verimli yürütülmesi, ancak çalışanın temel haklarıyla dengelenerek). GDPR ve KVKK arasındaki nüanslar için GDPR nedir ve genel çerçeve için KVKK nedir yazıları temel oluşturur.

İK'da hukuki dayanak seçenekleri ve yapay zeka için uygunluğu
Hukuki dayanakİK örneğiYapay zeka için uygunluk
Açık rızaEk/isteğe bağlı uygulamalarZayıf; bağımlılık nedeniyle çoğu zaman geçersiz
Sözleşmenin ifasıBordro, özlük işlemleriDar; yalnızca gerçekten gerekli işleme
Kanuni yükümlülükSGK, vergi, iş sağlığı bildirimleriGüçlü ama kapsamı kanunla sınırlı
Meşru menfaatVerimlilik, güvenlik, süreç iyileştirmeDenge testi şart; en sık kullanılan dayanak

Meşru menfaat, çalışan verisiyle yapay zeka projelerinde en çok başvurulan dayanaktır; ama bedava değildir. Meşru menfaate dayanmak için işveren bir "denge testi" yapmalıdır: kendi menfaati ile çalışanın temel hak ve özgürlükleri arasında bir tartı. İzleme ne kadar yoğunsa, veri ne kadar hassassa, denge çalışanın lehine kayar ve meşru menfaat dayanağı zayıflar. Bu yüzden aynı teknoloji, dar ve şeffaf bir uygulamada meşru menfaatle savunulabilirken, geniş ve gizli bir uygulamada savunulamaz hale gelir.

Otomatik Karar Verme ve Profilleme Sınırları Nelerdir?

Çalışan verisiyle yapay zeka konusunun hukuki kalbi, otomatik karar verme ve profilleme hükümleridir. KVKK, bir kişinin "tamamen otomatik sistemlerle işlenmesi sonucu aleyhine bir sonucun ortaya çıkmasına itiraz etme" hakkını tanır; GDPR ise bu konuda daha ayrıntılı bir çerçeve sunar. İK, bu hükümlerin en doğrudan uygulandığı alandır çünkü işe alma, terfi ve işten çıkarma tam olarak "önemli sonuç doğuran" kararlardır.

Otomatik karar, insan müdahalesi olmadan yalnızca algoritmaya dayanan karardır. Bir adayın bir yapay zeka skoruna göre, hiçbir insan bakmadan otomatik elenmesi; bir çalışanın üretkenlik skoru eşiğin altına düştüğü için otomatik uyarı/işlem görmesi bu kapsama girer. Bu tür kararlarda hukuk, üç koruma öngörür: anlamlı insan denetimi (kararı gerçekten inceleyen, değiştirebilecek yetkide bir insan), kararın mantığının açıklanması, ve çalışanın itiraz edip insan müdahalesi talep etme hakkı. "İnsan onaylıyor" demek yetmez; onay, formaliteye dönüşmüş bir tık değil, gerçek bir değerlendirme olmalıdır.

Profilleme ise kişinin bazı özelliklerini analiz ederek onun hakkında çıkarımlar (performans, güvenilirlik, ayrılma eğilimi) üretmektir. Çalışan verisiyle yapay zeka projelerinin çoğu, doğası gereği profilleme içerir. Profilleme tek başına yasak değildir; ama şeffaflık, veri minimizasyonu ve — önemli sonuç doğuruyorsa — otomatik karar korumaları devreye girer. Bir algoritmanın türettiği "bu çalışan riskli" etiketi, o çalışanı damgalayabileceği için özellikle dikkatli yönetilmelidir.

Otomatik karar ve profilleme: İK'da izin, sınır ve gereklilik
DurumİK örneğiGereken koruma
Tümüyle otomatik önemli kararAlgoritmik aday elemesi, otomatik işten çıkarmaİnsan denetimi + açıklama + itiraz hakkı
İnsan destekli kararYapay zeka sıralar, insan seçerŞeffaflık + anlamlı (formalite olmayan) inceleme
ProfillemeAyrılma riski, performans tahminiAydınlatma + minimizasyon + damgalamayı önleme

Buradaki pratik ders şudur: çalışan verisiyle yapay zeka sistemini tasarlarken, "insanı döngüden çıkarmak" cazip bir verimlilik gibi görünse de, önemli İK kararlarında bu bir hukuki risktir. Doğru mimari, yapay zekayı bir karar-verici değil, bir karar-destekleyici olarak konumlandırır: model sıralar, önerir, işaret eder; ama nihai kararı, gerekçeyi görebilen ve sorumluluğu üstlenen bir insan verir. Bu ayrım, hem KVKK uyumunu hem de kararların adilliğini korur.

İşe Alım Algoritmalarında Ayrımcılık ve Önyargı Riski Nasıl Yönetilir?

İşe alım algoritmaları, çalışan verisiyle yapay zekanın en çok manşet olan ve en çok dava riski taşıyan alanıdır. Sorunun kaynağı teknik olduğu kadar felsefidir: bir işe alım algoritması, geçmiş işe alım kararlarından öğrenir. Eğer bir kurum geçmişte — bilinçli ya da bilinçsiz — belirli grupları dezavantajlı bıraktıysa, model bu örüntüyü "başarı formülü" olarak öğrenir ve geleceğe taşır. Yani yapay zeka, geçmişteki ayrımcılığı temizlemez; onu otomatikleştirir ve ölçeklendirir. Bu mekanizmanın kökeni için yapay zekada önyargı nedir yazısı temel bir okumadır.

Önyargı, doğrudan değişken kaldırılsa bile sızar. Bir kurum "cinsiyeti modele vermeyelim" dese bile, model cinsiyeti dolaylı vekil değişkenlerden (proxy) çıkarabilir: mezun olunan okul, oynanan spor, ikamet edilen semt, hatta özgeçmişteki kelime seçimleri. Böylece cinsiyet hiç girdi olarak verilmese de, karar cinsiyete göre çarpıtılabilir. İşte bu yüzden işe alım algoritmalarında "hassas özelliği çıkardık" demek, ayrımcılığı önlemek için asla yeterli değildir; asıl gereken, sonuçların gruplar arası dağılımını ölçmektir.

Peki işe alım algoritmalarında ayrımcılık nasıl yönetilir? İlk adım, önyargı testidir: modelin çıktısı, farklı gruplar (cinsiyet, yaş bandı, vb.) arasında sistematik bir fark üretiyor mu? İkinci adım, açıklanabilirliktir: model neden bir adayı öne aldı, hangi faktörler etkili oldu? Kara kutu bir modelin İK kararında kullanılması hem hukuki hem etik açıdan savunulamaz; bu yüzden açıklanabilir yapay zeka nedir yazısındaki yaklaşımlar İK için özellikle önemlidir. Üçüncü adım, insan denetimidir: algoritma eler değil, işaret eder; nihai kararı insan verir.

İşe alım algoritmalarında önyargı kaynakları ve azaltıcı önlem
Önyargı kaynağıNasıl oluşurAzaltıcı önlem
Geçmiş veri önyargısıModel geçmiş ayrımcılığı öğrenirDengeli/temsilci veri, geçmişi denetleme
Vekil değişken (proxy)Semt, okul cinsiyeti/etnisiteyi ima ederProxy analizi, grup-bazlı sonuç testi
Etiket önyargısı'Başarı' tanımı zaten taraflıHedef değişkeni yeniden tanımlama
Otomasyon güveniİnsan makineye körü körüne güvenirAnlamlı insan denetimi, eğitim

Önemli bir uyarı: bazı ünlü kurumsal örneklerde, işe alım için geliştirilen yapay zeka araçları belirli grupları sistematik olarak dezavantajlı hâle getirdiği fark edilince kullanımdan kaldırılmıştır. Bu örnekler, en yetkin teknik ekiplerin bile önyargı riskini kolayca gözden kaçırabileceğini gösterir. Bu yüzden çalışan verisiyle yapay zeka projelerinde işe alım algoritmaları, "kurdum ve çalışıyor" denilip bırakılamaz; sürekli izlenmesi, test edilmesi ve denetlenmesi gereken canlı sistemlerdir. Ayrımcılık, bir kez değil, her modelin güncellenmesinde yeniden kontrol edilmelidir.

Şeffaflık ve Aydınlatma Yükümlülüğü Nasıl Yerine Getirilir?

Çalışan verisiyle yapay zeka kullanan bir kurumun en temel yükümlülüklerinden biri şeffaflıktır. KVKK'nın aydınlatma yükümlülüğü, kişilere verilerinin nasıl işlendiğini açıkça bildirmeyi gerektirir; EU AI Act ise yüksek riskli sistemlerde bunun ötesine geçerek yapay zeka kullanımının kendisinin bildirilmesini ve açıklanabilirliği zorunlu kılar. İK bağlamında bu, hem adaylara hem çalışanlara karşı bir yükümlülüktür.

Aydınlatma metni, çalışan verisiyle yapay zeka projelerinde şu unsurları içermelidir: hangi kişisel verilerin işlendiği, işleme amacı, hukuki dayanak, yapay zeka destekli bir değerlendirme yapıldığı bilgisi, otomatik karar veya profilleme varsa bunun mantığı ve olası sonuçları, verinin kimlerle paylaşıldığı, saklama süresi ve çalışanın hakları. Bu bilgilerin "erişilebilir bir yerde duran uzun bir hukuk metni" olarak değil, gerçekten anlaşılır biçimde sunulması esastır; şeffaflık, biçimsel değil işlevsel olmalıdır.

Şeffaflığın en zorlu boyutu, açıklanabilirliktir. Bir çalışan "neden düşük performans skoru aldım?" veya bir aday "neden elendim?" diye sorduğunda, kurum anlamlı bir cevap verebilmelidir. "Algoritma böyle karar verdi" cevabı hem yetersiz hem de çoğu çerçevede hukuka aykırıdır. Bu yüzden İK'da kullanılan yapay zeka modellerinin, kararlarını insan tarafından anlaşılır faktörlere indirgeyebilmesi gerekir. Sorumlu yapay zeka ilkeleri için sorumlu yapay zeka nedir ve yönetişim çerçevesi için AI governance nedir yazıları bu tasarımın temelini kurar.

Çalışan İzlemenin KVKK Sınırları Nelerdir?

Çalışan izleme, çalışan verisiyle yapay zekanın belki de en tartışmalı ve en sık ihlal edilen alanıdır. Teknolojinin sunduğu izleme kapasitesi neredeyse sınırsızdır: klavye vuruşları, fare hareketleri, uygulama ve web kullanımı, ekran görüntüleri, e-posta ve mesaj analizi, çağrı kayıtları, konum takibi, kamera ile davranış ve hatta duygu analizi. Ancak teknik olarak mümkün olan ile hukuken caiz olan arasındaki uçurum, çalışan izlemede en derindir. KVKK'nın buradaki temel filtresi ölçülülük (orantılılık) ilkesidir.

Ölçülülük üç alt testten oluşur. Birincisi, elverişlilik: izleme, işverenin meşru amacına gerçekten hizmet ediyor mu? İkincisi, gereklilik: aynı amaca daha az müdahaleci bir yöntemle ulaşılamaz mı? Üçüncüsü, dar anlamda orantılılık: izlemenin çalışana verdiği zarar, işverenin elde ettiği faydayla dengeli mi? Bu üç test, sürekli ve kapsamlı çalışan izleme sistemlerinin çoğunu eler; çünkü her çalışanı, her an, her ayrıntısıyla izlemek neredeyse hiçbir meşru amaç için gerekli değildir.

Çalışan izlemede birkaç kırmızı çizgi vardır. Gizli izleme (çalışana bildirilmeden yapılan izleme) kural olarak yasaktır ve yalnızca çok istisnai, somut bir suç şüphesi gibi durumlarda, katı koşullarla gündeme gelebilir. Özel yaşam alanının izlenmesi (kişisel mesajlar, mola davranışları, sağlık ipuçları) yasaktır. Duygu analizi ve kamerayla sürekli davranış analizi gibi yöntemler, hem ölçüsüzlük hem de özel nitelikli veri riski taşıdığı için çoğu durumda savunulamaz. Uzaktan çalışmada kişisel cihaz ve ev ortamının izlenmesi ise ayrıca hassastır.

Çalışan izleme yöntemleri ve KVKK değerlendirmesi
İzleme yöntemiTipik amaçKVKK değerlendirmesi
Erişim/giriş-çıkış loglarıGüvenlik, mesai takibiGenelde savunulabilir; dar ve şeffafsa
Uygulama/web kullanımıÜretkenlik, güvenlikOrantılıysa mümkün; kişiseli dışlamalı
Klavye/ekran görüntüsüSürekli üretkenlik takibiÇoğu zaman ölçüsüz ve riskli
Kamera + duygu analiziDavranış/ruh hâli takibiGenellikle hukuka aykırı; özel nitelikli veri
Gizli izlemeSuç şüphesiKural olarak yasak; çok dar istisna

Çalışan izlemede sağlıklı yaklaşım, "ne kadar çok veri o kadar iyi" mantığını terk etmek ve amaca dayalı, dar, şeffaf bir tasarıma geçmektir. İzlemenin amacı önceden tanımlanmalı, çalışan açıkça bilgilendirilmeli, toplanan veri amaçla sınırlı tutulmalı ve saklama süresi kısa olmalıdır. Çalışan verisiyle yapay zeka bu alanda kullanılacaksa, model yalnızca meşru ve orantılı veriyle beslenmeli; özel yaşam ve özel nitelikli veri devre dışı bırakılmalıdır. Aksi halde en verimli görünen izleme sistemi, en büyük hukuki yükümlülüğe dönüşür.

DPIA (Veri Koruma Etki Değerlendirmesi) Ne Zaman ve Nasıl Yapılır?

Veri koruma etki değerlendirmesi (DPIA — Data Protection Impact Assessment), yüksek riskli bir veri işleme faaliyetinin, hayata geçirilmeden önce risklerinin sistematik olarak değerlendirildiği bir süreçtir. Çalışan verisiyle yapay zeka projeleri, özellikle işe alım algoritmaları, çalışan izleme ve profilleme içerenler, tipik olarak yüksek risklidir ve bu nedenle DPIA çoğu senaryoda fiilen gereklidir. EU AI Act kapsamında yüksek riskli İK sistemleri için de benzer bir değerlendirme beklenir.

DPIA ne zaman gerekir? Genel kural: işleme, kişilerin hak ve özgürlükleri için yüksek risk taşıyorsa. İK'da bu eşiği aşan tipik durumlar şunlardır: sistematik ve kapsamlı profilleme (performans/ayrılma tahmini), büyük ölçekli özel nitelikli veri işleme (sağlık, biyometrik), sistematik çalışan izleme, ve otomatik karar üreten işe alım sistemleri. Bu senaryolardan biri varsa, DPIA yapmamak başlı başına bir uyum açığıdır.

Nasıl Yapılır

İK yapay zeka projesinde DPIA adımları

Çalışan verisiyle yapay zeka projesinde veri koruma etki değerlendirmesini baştan sona yürütmenin adımları.

  1. 1

    İşlemeyi tanımla

    Hangi veri, hangi amaç, hangi model, hangi karar? İşleme akışını uçtan uca haritalandır.

  2. 2

    Gereklilik ve ölçülülüğü değerlendir

    Bu işleme amaç için gerçekten gerekli mi? Daha az müdahaleci alternatif var mı?

  3. 3

    Hukuki dayanağı belirle

    Rıza yerine meşru menfaat/sözleşme/kanuni yükümlülük; meşru menfaatte denge testi yap.

  4. 4

    Riskleri tespit et

    Ayrımcılık, şeffaflık eksikliği, özel yaşam ihlali, güvenlik açığı ve profilleme risklerini listele.

  5. 5

    Azaltıcı önlemleri tasarla

    İnsan denetimi, önyargı testi, minimizasyon, aydınlatma ve güvenlik önlemlerini tanımla.

  6. 6

    Belgele ve düzenli gözden geçir

    DPIA'yı yaz, sorumlu ata ve model/veri değiştikçe güncelle.

DPIA'nın en büyük değeri, bir uyum belgesi üretmesi değil, projeyi baştan güvenli tasarlamaya zorlamasıdır. Bu yaklaşım "tasarımdan itibaren gizlilik" (privacy by design) ilkesinin ta kendisidir: koruma önlemleri sonradan eklenen bir yama değil, sistemin mimarisine baştan gömülü olmalıdır. Çalışan verisiyle yapay zeka projelerinde DPIA'yı geliştirmenin başında yapmak, sonradan yapmaya göre hem çok daha ucuz hem de çok daha etkilidir; çünkü bir modelin mimarisini baştan doğru kurmak, kurulduktan sonra düzeltmekten kolaydır. Veri anonimleştirme gibi tekniklerin bu aşamada nasıl kullanılacağını veri anonimleştirme nedir yazısında ele alıyoruz.

EU AI Act İK'yı Neden Yüksek Riskli Sayıyor?

Avrupa Yapay Zeka Yasası (EU AI Act), yapay zeka sistemlerini risk seviyelerine göre sınıflandıran ilk kapsamlı yasadır ve İK'yı doğrudan ilgilendirir. Yasa dört risk seviyesi tanımlar: kabul edilemez risk (yasak), yüksek risk (katı yükümlülükler), sınırlı risk (şeffaflık) ve minimal risk. İstihdam, işçi yönetimi ve serbest çalışmaya erişimde kullanılan yapay zeka sistemleri, açıkça yüksek riskli kategoriye yerleştirilmiştir. Yasanın genel çerçevesini EU AI Act nedir yazısında ayrıntılı ele alıyoruz.

Neden yüksek risk? Çünkü İK sistemleri, insanların en temel çıkarlarını — geçim kaynağı, kariyer, itibar ve fırsat eşitliği — doğrudan etkiler. Bir işe alım algoritmasının kararı, bir kişinin bir işe erişimini belirler; bir performans sistemi, bir kişinin terfisini veya işini etkiler. Bu etkilerin ağırlığı, yasa koyucuyu bu sistemleri en sıkı denetime tabi tutmaya yöneltmiştir. Çalışan verisiyle yapay zeka, EU AI Act'in gözünde tam da bu yüzden özel bir kategoridir.

Yüksek risk sınıfı, somut yükümlülükler getirir. Aşağıdaki tablo, bu yükümlülüklerin İK bağlamında ne anlama geldiğini özetler.

EU AI Act yüksek risk yükümlülükleri ve İK karşılığı
YükümlülükNe gerektirirİK karşılığı
Risk yönetim sistemiYaşam döngüsü boyunca risk yönetimiİşe alım/izleme riskini sürekli izleme
Veri yönetişimiKaliteli, temsilci, önyargısız veriDengeli aday verisi, önyargı denetimi
Teknik dokümantasyonSistemin nasıl çalıştığının kaydıModel kartı, karar mantığı belgesi
ŞeffaflıkKullanıcıya bilgi ve açıklamaAday/çalışana yapay zeka bildirimi
İnsan gözetimiAnlamlı insan denetimiİnsan-onaylı işe alım/performans kararı
Doğruluk ve sağlamlıkGüvenilir, dayanıklı sistemTest edilmiş, izlenen İK modeli

Türk kurumları için EU AI Act neden önemli? Çünkü yasanın kapsamı coğrafi sınırla değil, etkiyle belirlenir: Avrupa'da iş gücü olan, Avrupalı adaylara başvuru açan veya Avrupalı müşterilere hizmet veren Türk kurumları, doğrudan bu yükümlülüklere tabi olabilir. Ayrıca EU AI Act, KVKK ile birlikte okunmalıdır; ikisi çelişmez, birbirini tamamlar. KVKK verinin nasıl işleneceğini, EU AI Act ise sistemin nasıl tasarlanıp yönetileceğini düzenler. KVKK uyumlu bir yapay zeka mimarisinin nasıl kurulacağını KVKK uyumlu yapay zeka nedir yazısında bulabilirsiniz.

Türkiye Bağlamı: Yüksek Benimseme, Yüksek Sorumluluk

Türkiye, yapay zeka benimseme hızında dünyanın önde gelen ülkelerinden biri. Bu yüksek benimseme, İK'da da kendini gösteriyor: giderek daha çok kurum, işe alımdan performansa çalışan verisiyle yapay zeka çözümlerine yöneliyor. Ancak benimseme hızı, uyum olgunluğunu geride bırakabiliyor; teknoloji hızla yayılırken, onu güvenli kullanma disiplini aynı hızla gelişmeyebiliyor.

Bu yüksek benimseme ortamı, Türk kurumları için hem fırsat hem sorumluluktur. Fırsat, doğru kurgulanmış çalışan verisiyle yapay zeka uygulamalarının verimlilik ve adalet açısından gerçek değer üretebilmesidir. Sorumluluk ise, bu yaygınlaşma sırasında KVKK sınırlarının gözetilmesi, KVKK Kurumu'nun ilke kararlarının takip edilmesi ve VERBIS (Veri Sorumluları Sicili) yükümlülüklerinin yerine getirilmesidir. Benimseme yüksekken uyum disiplinini kuran kurumlar, hem hukuki riskten korunur hem de çalışan güvenini kazanarak rekabet avantajı elde eder.

Türkiye özelinde bir başka boyut, iş hukuku ile veri koruma hukukunun birlikte uygulanmasıdır. Bir İK yapay zeka uygulaması yalnızca KVKK açısından değil, İş Kanunu, eşit davranma ilkesi ve kişilik haklarının korunması açısından da değerlendirilmelidir. Örneğin ayrımcı bir işe alım algoritması, aynı anda hem KVKK'yı hem de eşit davranma borcunu ihlal edebilir. Bu çok katmanlı çerçeve, çalışan verisiyle yapay zeka projelerini hukuk ve İK ekiplerinin birlikte yürütmesini gerektirir.

Sektörel Örnekler: Çalışan Verisiyle Yapay Zeka Nerede Nasıl Kullanılıyor?

Çalışan verisiyle yapay zekanın somut görünümü sektöre göre değişir; çünkü her sektörün iş gücü yapısı, risk profili ve düzenleyici yükü farklıdır. Aşağıdaki örnekler, kalıpları göstermek içindir; her biri kendi bağlamında ayrı bir KVKK değerlendirmesi gerektirir.

Perakende ve Çağrı Merkezi

Yüksek çalışan devir hızı olan bu sektörlerde yapay zeka; hızlı işe alım elemesi, vardiya optimizasyonu ve çağrı kalitesi analizi için kullanılır. Çağrı merkezlerinde yaygın bir uygulama, temsilci konuşmalarının otomatik analiziyle performans skorlaması ve duygu analizidir. Burada risk yüksektir: sürekli ses analizi ve duygu çıkarımı, hem ölçülülük hem özel nitelikli veri açısından dikkatle sınırlanmalıdır. Otomasyonun sınırlarını anlamak için otomasyon nedir yazısı bağlam sunar.

Teknoloji ve Bilişim

Bu sektörde yapay zeka, teknik yetenek taraması, kod/katkı analizi ve elde tutma tahmini için kullanılır. Yetenek kıtlığı nedeniyle ayrılma riski tahmini özellikle değerlidir; ancak bu bir profilleme faaliyetidir ve damgalama riski taşır. "Ayrılabilir" etiketlenen bir mühendisin gizlice gözden düşürülmesi, hem etik hem hukuki bir sorundur.

Üretim ve Lojistik

Bu alanda çalışan izleme, iş güvenliği ve operasyonel verimlilik amacıyla öne çıkar: konum takibi, güvenlik ihlali tespiti, üretkenlik ölçümü. İş güvenliği meşru ve güçlü bir amaçtır; ancak aynı sistemin verimlilik gözetimine kayması ölçülülük sınırını zorlar. Amaç sınırlaması ilkesi burada kritiktir: güvenlik için toplanan veri, sessizce performans cezasına dönüşmemelidir.

Finans ve Bankacılık

Yüksek düzenlemeli bu sektörde, çalışan verisiyle yapay zeka hem İK hem uyum amacıyla kullanılır: içeriden tehdit tespiti, uyum ihlali izleme, yetkin işe alım. Düzenleyici yük yüksektir ve İK yapay zekası, sektörel denetimlerle KVKK'nın kesişiminde durur. Bu sektörde şeffaflık ve belgeleme yükümlülükleri özellikle ağırdır.

Kamu ve Sağlık

Kamu istihdamında ve sağlık kurumlarında çalışan verisi hem yoğun hem hassastır (sağlık çalışanlarının kendi sağlık verileri gibi). Bu alanda özel nitelikli veri sıklıkla devrededir ve otomatik kararların etkisi kamusal olduğu için şeffaflık beklentisi daha da yüksektir.

Veri Minimizasyonu ve Saklama Süreleri İK'da Nasıl Uygulanır?

Çalışan verisiyle yapay zeka projelerinin en sık gözden kaçan ama en koruyucu ilkelerinden ikisi veri minimizasyonu ve saklama süresi sınırlamasıdır. KVKK'nın temel ilkeleri arasında yer alan bu iki kural, "yapay zeka ne kadar çok veri görürse o kadar iyi çalışır" şeklindeki mühendislik sezgisiyle doğrudan çatışır. İşte bu çatışma, İK yapay zekasında en dikkatli yönetilmesi gereken gerilimdir: model iştahı ile hukuki sınır arasındaki denge.

Veri minimizasyonu, işlemenin amacı için yalnızca gerekli olan verinin toplanmasını ve işlenmesini gerektirir. Pratikte bu, bir İK modelinin girdi setini "elimizde ne varsa hepsini verelim" yerine "bu karar için gerçekten hangi veri gerekli?" sorusuyla kurmayı zorunlu kılar. Örneğin bir ayrılma riski modeline çalışanın sağlık verisini, özel yaşamına dair ipuçlarını veya sendika üyeliğini vermek hem gereksiz hem de yüksek risklidir. Minimizasyon, aynı zamanda bir güvenlik önlemidir: toplanmayan veri, sızdırılamaz. Bu yüzden çalışan verisiyle yapay zeka projelerinde en güvenli veri, hiç toplanmayan veridir.

Saklama süresi ise verinin sonsuza kadar tutulamayacağı ilkesidir. Her veri kaleminin bir amacı ve o amaca bağlı bir saklama süresi olmalıdır; amaç ortadan kalktığında veri silinmeli veya anonimleştirilmelidir. İK'da bu özellikle kritiktir çünkü çalışan verisi, iş ilişkisi bittikten sonra bile yasal yükümlülükler nedeniyle bir süre tutulur; ama bu süre sınırsız değildir. Bir yapay zeka modelinin eğitiminde kullanılan eski çalışan verisinin, amaç dışı ve süresiz saklanması yaygın bir ihlaldir. Verinin anonimleştirilerek nasıl güvenli hâle getirileceğini veri anonimleştirme nedir yazısında ele alıyoruz.

İK'da veri yaşam döngüsü ve minimizasyon kararları
AşamaSoruDoğru uygulama
ToplamaBu veri amaç için gerekli mi?Yalnızca gerekli alanları topla
İşlemeModel bu girdi olmadan çalışır mı?Gereksiz ve hassas girdiyi çıkar
SaklamaAmaç hâlâ geçerli mi?Süre dolunca sil veya anonimleştir
Türetilmiş profilBu çıkarım hâlâ gerekli mi?Eski profilleri düzenli temizle

Minimizasyon ve saklama disiplini, çalışan verisiyle yapay zeka projesini hem hukuka uygun hem de teknik olarak daha sağlam yapar. Az ama doğru veriyle çalışan bir model, çoğu zaman çok ama gürültülü veriyle çalışan bir modelden daha iyi genelleme yapar. Böylece uyum ile performans, sanılanın aksine, sık sık aynı yöne bakar: gereksiz veriyi ayıklamak hem KVKK riskini düşürür hem de modeli sadeleştirir.

Çalışanın Hakları İK Yapay Zekasında Nasıl Korunur?

KVKK, kişilere verileri üzerinde bir dizi hak tanır ve bu haklar İK bağlamında, çalışan verisiyle yapay zeka kullanıldığında özel bir önem kazanır. Bir çalışan veya aday, kendisi hakkında işlenen veriye ve bu veriden türetilen kararlara karşı savunmasız değildir; hukuk ona somut haklar verir. İşverenin görevi, bu hakları yalnızca teoride tanımak değil, pratikte kullanılabilir kılmaktır.

Başlıca haklar şunlardır: verilerinin işlenip işlenmediğini öğrenme ve işleniyorsa buna erişme; eksik veya yanlış işlenen verinin düzeltilmesini isteme; şartlar oluştuğunda silinmesini veya yok edilmesini talep etme; ve — İK yapay zekasının kalbindeki hak — tümüyle otomatik sistemlerle analiz edilmesi sonucu aleyhine bir sonuç ortaya çıkmasına itiraz etme. Bu son hak, otomatik karar ve profilleme korumasının çalışan tarafındaki karşılığıdır: bir algoritma tarafından haksız değerlendirildiğini düşünen bir çalışan, kararın yeniden, bir insan tarafından incelenmesini talep edebilir.

Bu hakların pratikte işlemesi için üç şey gerekir. Birincisi, çalışanın bu hakları bildiğinden emin olmak — yani şeffaf aydınlatma. İkincisi, hakları kullanmak için erişilebilir bir kanal sunmak: başvuruyu zorlaştıran, bürokratik bir süreç, hakkı fiilen ortadan kaldırır. Üçüncüsü, bir itiraz geldiğinde anlamlı bir insan incelemesi yapabilecek yetkinlik ve yetki. Bir çalışan "bu skoru neden aldım?" diye sorduğunda kurum "bilmiyoruz, algoritma böyle dedi" diyemez; kararı açıklayabilmeli ve gerekirse düzeltebilmelidir.

Üçüncü Taraf İK Yazılımlarında KVKK Sorumluluğu Kimde?

Çoğu kurum, çalışan verisiyle yapay zeka yeteneğini sıfırdan geliştirmez; hazır bir İK yazılımı, işe alım platformu veya bulut tabanlı bir analitik hizmeti kullanır. Bu yaygın gerçeklik, kritik bir soruyu doğurur: veri bir üçüncü tarafın sistemine gittiğinde, KVKK sorumluluğu kimdedir? Cevap, birçok kurumun sandığının aksine, sorumluluğun tedarikçiye devredilemeyeceğidir.

KVKK, iki rol tanımlar: veri sorumlusu (işleme amacını ve araçlarını belirleyen) ve veri işleyen (sorumlu adına veriyi işleyen). Bir İK yazılımı kullanan işveren, tipik olarak veri sorumlusudur; yazılım sağlayıcı ise veri işleyendir. Bu ayrım önemlidir çünkü çalışanlara ve düzenleyiciye karşı birincil sorumluluk veri sorumlusundadır. Yani "biz sadece bir yazılım aldık, veriyi onlar işliyor" savunması hukuken korumaz; işveren, seçtiği tedarikçinin uyumundan da sorumludur.

Bu sorumluluk üç pratik yükümlülük doğurur. Birincisi, tedarikçiyle bir veri işleme sözleşmesi yapmak: tedarikçinin veriyi yalnızca belirlenen amaçla, güvenli biçimde ve talimatlara uygun işlemesini güvence altına almak. İkincisi, tedarikçinin güvenlik ve uyum yeterliliğini denetlemek — özellikle model nasıl çalışıyor, veri nerede saklanıyor, önyargı testleri yapılıyor mu? Üçüncüsü, yurtdışına veri aktarımı varsa (birçok bulut tabanlı İK aracında olduğu gibi) KVKK'nın sınır ötesi aktarım kurallarına uymak. Bulut tabanlı bir işe alım aracı verileri yurtdışında işliyorsa, bu başlı başına ek bir uyum katmanı gerektirir.

İK yazılımında roller ve sorumluluk
RolKimBaşlıca sorumluluk
Veri sorumlusuİşveren/kurumAmaç, dayanak, aydınlatma, birincil sorumluluk
Veri işleyenİK yazılımı/SaaS sağlayıcıTalimata uygun, güvenli işleme
Ortak durumlarBazı analitik/model sağlayıcılarSözleşmeyle netleştirilmeli

Buradan çıkan pratik ders açıktır: bir İK yapay zeka aracı satın almak, uyum sorumluluğunu satın almamak demek değildir. Tedarikçi seçimi, çalışan verisiyle yapay zeka uyumunun bir parçasıdır; "kutudan çıkar çalışır" görünen bir araç, altında ciddi bir uyum borcu taşıyabilir. Bu yüzden satın alma kararında fiyat ve özellik kadar, tedarikçinin veri koruma olgunluğu da bir seçim kriteri olmalıdır.

İK Yapay Zeka Yönetişimini Kim Sahiplenmeli?

Çalışan verisiyle yapay zeka uyumunun belki de en belirleyici ama en az konuşulan boyutu yönetişimdir: bu işi kimin sahiplendiği, kimin karar verdiği ve kimin hesap verdiği. Teknik olarak mükemmel bir sistem bile, sahipsiz bir yönetişimle hızla bir risk kaynağına dönüşür; çünkü kimse sorumlu değilse, kimse denetlemez, güncellemez ve savunmaz.

Sağlam bir İK yapay zeka yönetişimi, tek bir ekibin işi değildir; en az dört bakış açısını bir araya getirir. İK, kullanım senaryosunun iş değerini ve çalışan etkisini bilir. Hukuk ve uyum, KVKK ve EU AI Act yükümlülüklerini yorumlar. Teknik ekip (veri bilimi/mühendislik), modelin nasıl çalıştığını ve sınırlarını bilir. Ve — büyük kurumlarda — veri koruma sorumlusu (DPO) veya eşdeğeri, bağımsız bir gözetim sağlar. Bu dört ses aynı masada olmadığında, tipik sonuç şudur: teknik ekip "yapılabilir" der, İK "faydalı" der, ama kimse "hukuka uygun mu, adil mi?" sorusunu sonuna kadar sormaz.

Yönetişimin somut çıktısı, her İK yapay zeka sistemi için tanımlı bir sorumluluk zinciridir. Bunun içinde bir "sistem sahibi" (kararların ve sonuçların sorumlusu), bir uyum kaydı (hukuki dayanak, DPIA, aydınlatma metinleri), ve düzenli bir gözden geçirme takvimi bulunur. Yapay zeka yönetişiminin kurumsal çerçevesini AI governance nedir ve sorumlu tasarım ilkelerini sorumlu yapay zeka nedir yazılarında ele alıyoruz; bu ilkeler İK bağlamında doğrudan uygulanır.

Performans Değerlendirmesinde Yapay Zeka Nasıl Adil Kullanılır?

Performans yönetimi, çalışan verisiyle yapay zekanın en sinsi risk taşıyan alanlarından biridir; çünkü ilk bakışta "nesnel" görünür. Sayısal metriklere dayanan bir değerlendirme, insan yargısının önyargılarından arınmış gibi durur. Oysa bir performans algoritması yalnızca ölçebildiğini görür ve ölçebildiği, çoğu zaman gerçek katkının eksik bir gölgesidir. Bir çağrı merkezi temsilcisinin "çağrı süresi" düşükse verimli mi sayılmalı, yoksa müşteriyi aceleye mi getiriyor? Bir yazılımcının kod satırı çoksa üretken mi, yoksa gereksiz mi yazıyor? Sayı, bağlamı göremez.

Performans değerlendirmesinde otomatik karar ve profilleme devreye girdiğinde, iki risk büyür. Birincisi, vekil metrik yanılgısı: kolay ölçülen bir gösterge (mesai saati, mesaj sayısı), ölçülmesi zor olan gerçek değerin (katkı, kalite, iş birliği) yerine geçer ve çalışanlar metrikleri "oyunlaştırmaya" yönelir. İkincisi, bağlam körlüğü: algoritma, bir çalışanın zor bir dönemini, ekibe görünmez katkısını veya sistemik engelleri göremez. Bu yüzden performans profillemesi, insan yargısının yerine değil, yanında konumlanmalıdır.

Adil bir kullanım için üç ilke geçerlidir. Birincisi, yapay zekayı bir karar-verici değil bir girdi olarak kullanmak: model bir sinyal üretir, nihai değerlendirmeyi bağlamı bilen bir insan yapar. İkincisi, çok boyutluluk: tek bir metriğe değil, birden çok göstergeye ve niteliksel geri bildirime dayanmak. Üçüncüsü, şeffaflık: çalışanın hangi verinin ölçüldüğünü ve nasıl değerlendirildiğini bilmesi. Çalışan verisiyle yapay zeka performans değerlendirmesinde kullanıldığında, çalışanın "neden bu skoru aldım?" sorusuna açık ve gerekçeli bir cevap alabilmesi şarttır.

Uyum ile Etik Arasındaki Fark İK Yapay Zekasında Neden Önemli?

İK yapay zekası tartışmalarında sık karıştırılan iki kavram vardır: hukuka uygunluk (uyum) ve etik. Bunlar örtüşür ama aynı şey değildir. Uyum, "hukukun izin verdiği" sınırı çizer; etik ise "yapmamız gereken doğru şeyi" sorar. Bir uygulama tümüyle KVKK'ya uygun olabilir ama yine de çalışanlar tarafından adaletsiz, müdahaleci veya güvensiz bulunabilir. Çalışan verisiyle yapay zeka kullanan kurumlar için bu fark kritiktir, çünkü çalışan güveni yalnızca hukuki sınıra değil, algılanan adalete dayanır.

Bu farkın somut bir örneği şudur: bir kurum, çalışan izlemeyi hukuken savunulabilir bir dayanağa ve şeffaf aydınlatmaya oturtabilir; teknik olarak uyumlu olur. Ama eğer bu izleme çalışanlarda sürekli gözetlenme hissi yaratıyor, güveni aşındırıyor ve iş yerini bir güvensizlik ortamına çeviriyorsa, uyumlu olsa bile etik ve stratejik açıdan başarısızdır. Yasal olan her şey, akıllıca veya doğru değildir. Olgun kurumlar, "bunu yapabilir miyiz?" sorusundan sonra "yapmalı mıyız?" sorusunu da sorar.

İnsan merkezli bir İK yapay zekası yaklaşımı, üç ilkeye dayanır. Birincisi, orantı ve saygı: teknolojiyi, çalışanı bir veri noktasına indirgemek için değil, ona daha iyi hizmet etmek için kullanmak. İkincisi, katılım: izleme ve değerlendirme sistemlerini çalışanların görüşünü alarak, onlara rağmen değil onlarla birlikte tasarlamak. Üçüncüsü, geri çekilebilirlik: bir yapay zeka uygulamasının zarar verdiği anlaşıldığında, ondan vazgeçebilecek esnekliği korumak. Sorumlu tasarım ilkelerini sorumlu yapay zeka nedir yazısında derinleştiriyoruz.

Etik ile uyumu birlikte gözeten kurumlar, uzun vadede bir rekabet avantajı elde eder. Çalışanların, verilerinin adil ve saygılı biçimde kullanıldığına güvendiği bir kurum, yeteneği daha kolay çeker ve elde tutar. Çalışan verisiyle yapay zeka bu yüzden yalnızca bir uyum meselesi değil, aynı zamanda bir kurumsal kültür ve güven meselesidir. En iyi teknoloji, en iyi hukuki dayanakla bile, çalışanın güvenini kazanamıyorsa amacına ulaşamaz.

İK Yapay Zeka Kararları Nasıl Belgelenmeli? (Hesap Verebilirlik)

KVKK ve EU AI Act'in ortak, sessiz ama belirleyici ilkelerinden biri hesap verebilirliktir: bir kurum yalnızca hukuka uygun davranmakla kalmaz, hukuka uygun davrandığını belgeleyebilmelidir. Çalışan verisiyle yapay zeka projelerinde bu ilke özellikle önemlidir çünkü bir İK kararı sonradan sorgulandığında — bir aday itiraz ettiğinde, bir çalışan dava açtığında veya bir denetim geldiğinde — "biz doğru yaptık" demek yetmez; bunun kaydı gerekir. Belgelenmemiş uyum, hukuk önünde çoğu zaman yok sayılan uyumdur.

Hesap verebilirliğin İK yapay zekasındaki somut karşılığı bir belgeleme setidir. Bu set tipik olarak şunları içerir: işleme envanteri (hangi veri, hangi amaç, hangi dayanak), aydınlatma metinlerinin sürüm geçmişi, DPIA raporu ve güncellemeleri, meşru menfaat denge testi kayıtları, modelin nasıl çalıştığını anlatan teknik dokümantasyon (model kartı), önyargı testi sonuçları ve — kritik olarak — önemli kararlarda insan denetiminin yapıldığını gösteren iz kayıtları. Bu belgeler, bir sorun çıkmadan önce hazırlanmalıdır; sorun çıktıktan sonra geriye dönük oluşturulan kayıtlar hem zayıf hem de risklidir.

Belgelemenin en çok atlanan ama en değerli parçası, karar gerekçelerinin izlenebilirliğidir. Bir işe alım algoritması bir adayı öne çıkardığında veya elediğinde, bu kararın hangi faktörlere dayandığı ve bir insanın bunu nasıl gözden geçirdiği kaydedilmelidir. Bu iz, hem çalışanın itiraz hakkını anlamlı kılar hem de kurumu denetimde korur. Açıklanabilirliğin teknik temelini açıklanabilir yapay zeka nedir yazısında ele alıyoruz; İK'da açıklanabilirlik yalnızca bir teknik özellik değil, bir hesap verebilirlik gereğidir.

Hesap verebilirlik disiplini, uzun vadede bir yük değil bir varlık üretir: kurumun her yapay zeka İK kararını açıklayabildiği, geriye izleyebildiği ve savunabildiği bir kurumsal hafıza. Bu hafıza, hem düzenleyici denetimlerde hem de çalışan güveninin inşasında en güçlü koruma katmanıdır.

İK Yapay Zekasında Güvenlik ve Veri İhlali Riski Nasıl Yönetilir?

Çalışan verisiyle yapay zeka, doğası gereği kurumun en hassas veri yığınlarından birini bir araya getirir: özlük bilgileri, performans kayıtları, bazen sağlık ve biyometrik veriler. Bu yoğunlaşma, bir güvenlik açığı durumunda zararın büyüklüğünü artırır. Bir veri ihlali, sıradan bir müşteri listesinin sızmasından çok daha ağırdır çünkü çalışanların en özel bilgileri, üstelik onların rızası dışında ifşa olur. Bu yüzden güvenlik, İK yapay zeka uyumunun ayrılmaz bir parçasıdır; KVKK da veri güvenliğini açık bir yükümlülük olarak düzenler.

Güvenlik riski üç katmanda ortaya çıkar. Birincisi, klasik veri güvenliği: erişim kontrolü, şifreleme, ağ güvenliği ve yetkilendirme. İK yapay zeka sistemine kimin, hangi veriye erişebileceği dar biçimde tanımlanmalı; "herkes her şeyi görebilir" mimarisi baştan reddedilmelidir. İkincisi, model-özgü riskler: bir yapay zeka modeli, eğitim verisini istemeden "ezberleyip" çıktısında sızdırabilir veya kötü niyetli girdilerle manipüle edilebilir. Bu tür saldırıların bir örneği için prompt injection nedir yazısına bakabilirsiniz. Üçüncüsü, insan katmanı: yetkisiz kullanım, ihmal ve sosyal mühendislik.

İK yapay zekasında güvenlik katmanları ve önlemler
KatmanRiskÖnlem
Veri güvenliğiYetkisiz erişim, sızıntıErişim kontrolü, şifreleme, minimizasyon
Model güvenliğiVeri ezberleme, manipülasyonTest, izleme, çıktı denetimi
İnsan katmanıİhmal, yetkisiz kullanımEğitim, yetki ayrımı, farkındalık
TedarikçiÜçüncü taraf açığıSözleşme, denetim, veri yeri kontrolü

Bir veri ihlali gerçekleştiğinde, KVKK belirli durumlarda Kurul'a ve ilgili kişilere bildirim yükümlülüğü öngörür. Bu yüzden çalışan verisiyle yapay zeka projelerinde bir olay müdahale planı baştan hazır olmalıdır: ihlal nasıl tespit edilir, kim bilgilendirilir, hangi sürede bildirim yapılır ve zarar nasıl azaltılır? İhlal anında plansız kalmak, teknik zararın üzerine bir de uyum ihlali ekler. İhlale hazırlıklı olmak, ihlalin olmayacağını varsaymaktan çok daha olgun bir duruştur.

Güvenlik ile uyumun burada birleştiği nokta şudur: en iyi hukuki dayanak, en şeffaf aydınlatma ve en adil model bile, veri güvenli değilse anlamsızdır. Bir çalışanın verisini toplarken ona verdiğiniz örtük söz, o veriyi koruyacağınızdır. Bu sözü tutmak, çalışan verisiyle yapay zeka kullanan her kurumun en temel yükümlülüğü ve çalışan güveninin temelidir.

Çalışan Verisiyle Yapay Zeka Uyum Kontrol Listesi

Aşağıdaki kontrol listesi, çalışan verisiyle yapay zeka projesini KVKK ve EU AI Act sınırları içinde yürütmek için pratik bir rehberdir. Her maddeyi karşılayabiliyorsanız, projeniz savunulabilir bir zemine oturuyor demektir. Bu liste bir hukuki tavsiye değil, bir öz-değerlendirme çerçevesidir.

Nasıl Yapılır

Çalışan verisiyle yapay zeka uyum kontrol listesi

İK yapay zeka projesini KVKK ve EU AI Act sınırları içinde tasarlamak için adım adım kontrol listesi.

  1. 1

    Kullanım alanını ve riski sınıfla

    İşe alım mı, performans mı, izleme mi? Yüksek riskliyse DPIA planla.

  2. 2

    Doğru hukuki dayanağı seç

    Rıza yerine meşru menfaat/sözleşme/kanuni yükümlülük; meşru menfaatte denge testi yap.

  3. 3

    Veriyi minimize et

    Yalnızca amaç için gerekli veriyi topla; özel nitelikli ve özel yaşam verisini dışla.

  4. 4

    Önyargıyı test et

    İşe alım/performans modelinin çıktısını gruplar arası ayrımcılık için ölç.

  5. 5

    İnsanı döngüde tut

    Önemli kararlarda anlamlı insan denetimi ve itiraz hakkı sağla.

  6. 6

    Şeffaf aydınlat

    Aday/çalışana yapay zeka kullanımını, mantığını ve haklarını anlaşılır biçimde bildir.

  7. 7

    DPIA yap ve belgele

    Riskleri ve azaltıcı önlemleri değerlendir; kararların gerekçesini kayıt altına al.

  8. 8

    Sürekli denetle

    Model, veri ve süreçleri düzenli gözden geçir; sapmaları erken yakala.

Bu kontrol listesini bir pilot uygulamada denemek, tüm İK süreçlerini bir anda yapay zekaya devretmekten çok daha akıllıcadır. Dar, ölçülebilir ve düşük riskli bir senaryoyla başlayıp uyum çerçevesini oturtmak, hem hukuki riski düşürür hem de kurumun öğrenmesini sağlar. Kurumsal bir uyum çerçevesi kurmak için yapay zeka danışmanlığı ile başlayabilir, ekiplerin farkındalığını artırmak için kurumsal eğitim seçeneklerine bakabilir ve kavramları derinleştirmek için öğrenme merkezini kullanabilirsiniz.

İK Yapay Zekasında Yaygın İhlaller ve Hatalar Nelerdir?

Deneyimli bir gözle bakıldığında, çalışan verisiyle yapay zeka projeleri benzer hatalarla bozulur. Bu hataların ortak özelliği, hepsinin "verimlilik" adına koruma ilkelerini atlaması ve genellikle iyi niyetle yapılmasıdır. En sık görülen ihlaller şunlardır:

  • Her şeyi rızaya dayandırmak: İş ilişkisinde rıza çoğu zaman geçersizdir; buna rağmen "çalışan imzaladı" diye her işlemi meşru saymak, en yaygın ve en temel hatadır.
  • Ölçüsüz veri toplamak: "İleride lazım olur" diyerek gereğinden fazla veri toplamak, hem veri minimizasyonu ilkesini ihlal eder hem de bir ihlal anında zarar yüzeyini büyütür.
  • Kara kutu kararlar: Bir adayı veya çalışanı, gerekçesi açıklanamayan bir algoritmayla değerlendirmek; şeffaflık ve açıklanabilirlik yükümlülüklerini ihlal eder.
  • Önyargıyı test etmemek: İşe alım algoritmalarını kurup ayrımcılık açısından hiç ölçmemek; sessiz ama sistematik bir hukuk ihlali üretir.
  • İnsanı formaliteye indirmek: "İnsan onaylıyor" demek ama onayı gerçek bir inceleme olmadan tıka dönüştürmek; otomatik karar korumalarını kağıt üzerinde bırakır.
  • Amaç kayması: Güvenlik için toplanan veriyi sessizce performans veya disiplin amacıyla kullanmak; amaç sınırlaması ilkesini ihlal eder.
  • Gizli izleme: Çalışanı bilgilendirmeden yapılan sürekli izleme; kural olarak yasaktır ve tespit edildiğinde hem hukuki hem itibar krizi doğurur.
  • DPIA'yı atlamak: Yüksek riskli bir İK sistemini etki değerlendirmesi yapmadan devreye almak; hem bir uyum açığı hem de kör bir risk almaktır.

Bu hatalardan kaçınmanın en pratik yolu, projeyi bağımsız bir gözle gözden geçirmektir. İK, hukuk, uyum ve teknik ekiplerin birlikte çalıştığı bir yönetişim; tek bir ekibin göremeyeceği riskleri erken yakalar. Bir yapay zeka danışmanının katma değeri tam da buradadır: hem teknolojiyi hem çerçeveyi bilen, projeye duygusal bağı olmayan bir gözün varsayımları sınaması. Danışmanlığın ne olduğunu yapay zeka danışmanlığı nedir yazısında ele alıyoruz.

Çalışan Verisiyle Yapay Zeka Uyumu Nasıl Ölçülür?

Uyum, bir kereye mahsus bir onay değil, sürekli izlenen bir durumdur. Bir kurum "biz KVKK uyumluyuz" diyemez; ancak "uyumu sürekli ölçüyor ve yönetiyoruz" diyebilir. Çalışan verisiyle yapay zeka için sağlam bir ölçüm çerçevesi dört katmandan oluşur ve her katman bir öncekinin sonucunu görünür kılar.

Çalışan verisiyle yapay zeka uyum ölçüm çerçevesi
KatmanNe ölçerÖrnek gösterge
YönetişimKurumsal hazırlıkVeri envanteri, hukuki dayanak kaydı, sorumlu atanması
VeriVeri disipliniMinimizasyon oranı, saklama uyumu, özel nitelikli kontrol
ModelAlgoritmik adaletÖnyargı test skoru, açıklanabilirlik, doğruluk
Süreçİşleyiş ve haklarAydınlatma kapsamı, itiraz/insan denetimi vaka sayısı, DPIA güncelliği

Bu çerçevede en yaygın hata, yalnızca belge katmanını (politikalar yazıldı mı) ölçüp gerçek işleyişi ihmal etmektir. Bir kurum mükemmel politikalara sahip olup pratikte hepsini ihlal edebilir; ya da tersine, iyi işleyen ama belgelenmemiş bir uygulaması olabilir. Dört katmanı birlikte ölçmek, "kağıt üzerinde uyum" ile "gerçek uyum" arasındaki farkı ortaya çıkarır. Özellikle model katmanı — önyargı testleri ve açıklanabilirlik — çoğu kurumun en zayıf olduğu ve en çok denetim riski taşıdığı yerdir.

Her göstergenin üç özelliği olmalıdır: bir taban çizgisi (başlangıç durumu), bir hedef (ulaşılmak istenen seviye) ve bir ölçüm sıklığı. Bunlar olmadan uyum, izlenemeyen bir iyi niyetten ibaret kalır. Sağlam bir modelde, her yapay zeka İK sisteminin bir "uyum sahibi" vardır: göstergeleri izlemekten, sapmalarda müdahale etmekten ve düzenli iç denetim ile gerektiğinde bağımsız gözden geçirmeyi yürütmekten sorumlu bir kişi. Böylece çalışan verisiyle yapay zeka kullanımı, bir risk kaynağından yönetilen ve savunulabilir bir yetkinliğe dönüşür.

Sıkça Sorulan Sorular

İK'da çalışan verisiyle yapay zeka kullanmak KVKK açısından yasak mı?

Hayır, yasak değildir; ancak sıkı sınırlara tabidir. İK'da çalışan verisiyle yapay zeka kullanmak, uygun bir hukuki dayanağa (çoğu zaman meşru menfaat veya kanuni yükümlülük), aydınlatma yükümlülüğünün yerine getirilmesine, veri minimizasyonuna, ölçülülüğe ve tümüyle otomatik önemli kararlara karşı çalışanın korunmasına bağlıdır. Yüksek riskli senaryolarda (işe alım, izleme) bir veri koruma etki değerlendirmesi (DPIA) yapılması güçlü biçimde önerilir. Bu bir hukuki tavsiye değil, bilgilendirmedir; somut durum için hukuk danışmanına başvurulmalıdır.

İş sözleşmesinde çalışanın verdiği açık rıza yapay zeka kullanımı için yeterli mi?

Genellikle yeterli değildir. KVKK'da açık rızanın geçerli olması için özgür irade ile verilmesi gerekir; oysa iş ilişkisinde çalışan işverene bağımlıdır ve rıza vermeme durumunda olumsuz sonuç yaşamaktan çekinir. Bu bağımlılık, rızayı çoğu zaman geçersiz kılar. Bu nedenle çalışan verisiyle yapay zeka uygulamalarında işverenler rızaya değil, mümkün olduğunda meşru menfaat, sözleşmenin ifası veya kanuni yükümlülük gibi diğer hukuki sebeplere dayanmalıdır. Rıza yalnızca gerçekten özgürce reddedilebilecek, ek uygulamalarda anlamlıdır.

İşe alım algoritmaları neden ayrımcılık riski taşır?

İşe alım algoritmaları geçmiş işe alım verisiyle eğitilir. Eğer geçmişte belirli gruplar sistematik olarak dezavantajlıysa, model bu örüntüyü başarı kalıbı olarak öğrenir ve geleceğe taşır. Ayrıca cinsiyet gibi doğrudan kullanılmayan bir özellik, dolaylı vekil değişkenler (belirli okullar, semtler, kelime seçimleri) üzerinden modele sızabilir. Sonuçta yapay zeka, nesnel göründüğü hâlde ayrımcılığı ölçekli biçimde sürdürebilir. Bu yüzden işe alım algoritmalarında önyargı testi, açıklanabilirlik ve insan denetimi şarttır.

Otomatik karar verme İK'da ne zaman sınırlanır?

Tümüyle otomatik karar verme, kişi üzerinde hukuki sonuç doğuran veya onu benzer şekilde önemli ölçüde etkileyen kararlarda sınırlıdır. İK'da bir adayın tamamen bir algoritma tarafından elenmesi, bir çalışanın performans skoruna göre otomatik işten çıkarılması bu kapsama girer. Bu tür kararlarda anlamlı insan denetimi, kararın gerekçesinin açıklanması ve çalışanın itiraz edip insan müdahalesi talep etme hakkı gereklidir. Otomatik karar tamamen yasak değildir; ancak insanın döngüde olması ve şeffaflık şartları sağlanmalıdır.

Çalışan izleme yapay zeka ile nereye kadar yapılabilir?

Çalışan izleme, ölçülülük ilkesiyle sınırlıdır: işverenin meşru bir amacı olmalı, izleme bu amaçla orantılı olmalı ve daha az müdahaleci bir yöntem varsa o tercih edilmelidir. Sürekli, her şeyi kapsayan ve çalışana bildirilmeyen bir izleme (klavye vuruşları, ekran görüntüleri, duygu analizi, kamera ile davranış analizi) çoğu durumda ölçüsüz ve hukuka aykırı kabul edilir. Çalışanın önceden ve açıkça bilgilendirilmesi, izlemenin kapsamının dar tutulması ve özel yaşamın gizli kalması şarttır. Gizli izleme ise ancak çok istisnai ve katı koşullarda gündeme gelebilir.

İK yapay zeka projesinde DPIA zorunlu mu?

Yüksek riskli işlemelerde güçlü biçimde gereklidir ve birçok senaryoda fiilen zorunludur. İşe alım algoritmaları, sistematik çalışan izleme, profilleme ve özel nitelikli veri işleyen İK uygulamaları tipik olarak yüksek risklidir. DPIA; işlemenin amacını, gerekliliğini ve ölçülülüğünü değerlendirir, riskleri belirler ve azaltıcı önlemleri tanımlar. EU AI Act kapsamında yüksek riskli İK sistemleri için bu tür bir değerlendirme ayrıca beklenir. DPIA yapmak yalnızca bir uyum belgesi değil, projeyi baştan güvenli tasarlamanın aracıdır.

EU AI Act İK yapay zekasını neden yüksek riskli sayıyor?

EU AI Act, yapay zeka sistemlerini risk seviyelerine göre sınıflandırır ve istihdam, işçi yönetimi ile serbest çalışmaya erişim alanında kullanılan sistemleri açıkça yüksek riskli kategoriye koyar. Gerekçe, bu sistemlerin insanların geçim kaynağı, kariyeri ve temel hakları üzerinde doğrudan ve ciddi etkisi olmasıdır. Yüksek risk sınıfı; risk yönetim sistemi, veri kalitesi, teknik dokümantasyon, şeffaflık, insan gözetimi ve doğruluk/sağlamlık gibi yükümlülükler getirir. Avrupa'ya hizmet veren Türk kurumları için bu yükümlülükler doğrudan geçerli olabilir.

Özlük verisi ile diğer kişisel veriler arasında KVKK açısından fark var mı?

Özlük verisi kişisel veridir ve KVKK'nın genel ilkelerine tabidir; ancak iki ek hassasiyet taşır. Birincisi, bir kısmı özel nitelikli kişisel veri olabilir (sağlık raporları, sendika üyeliği, ceza mahkûmiyeti gibi) ve bunların işlenmesi çok daha katı koşullara bağlıdır. İkincisi, iş ilişkisindeki güç dengesizliği, çalışan verisinin işlenmesinde rızanın geçerliliğini zayıflatır ve işverene daha yüksek bir sorumluluk yükler. Bu yüzden çalışan verisiyle yapay zeka projelerinde özlük verisi, sıradan müşteri verisinden daha dikkatli bir hukuki ve teknik çerçeve gerektirir.

İşe alımda yapay zeka kullanan bir şirket adaylara ne söylemek zorundadır?

Aydınlatma yükümlülüğü gereği şirket, adaylara kişisel verilerinin işleneceğini, hangi verilerin işlendiğini, hangi amaçla ve hukuki dayanakla işlendiğini, yapay zeka destekli bir değerlendirme yapıldığını, otomatik karar/profilleme söz konusuysa bunun mantığını ve olası sonuçlarını, ve haklarını (itiraz, insan müdahalesi talep etme, erişim) anlaşılır biçimde bildirmelidir. Şeffaflık, hem KVKK hem de EU AI Act açısından temel bir yükümlülüktür. Kara kutu bir algoritmayla adayı eleyip bunu gizlemek, hem hukuka aykırı hem de itibar açısından risklidir.

Çalışan verisiyle yapay zeka uyumunu nasıl ölçerim?

Uyum, bir kerelik onay değil sürekli izlenen bir durumdur. Pratik bir ölçüm çerçevesi dört katmandan oluşur: yönetişim (envanter, hukuki dayanak kaydı, sorumlu), veri (minimizasyon, saklama uyumu, özel nitelikli kontrol), model (önyargı testi, açıklanabilirlik, doğruluk) ve süreç (aydınlatma kapsamı, itiraz/insan denetimi vaka sayısı, DPIA güncelliği). Her göstergeye bir hedef ve ölçüm sıklığı atanmalı; düzenli iç denetim ve gerektiğinde bağımsız gözden geçirme yapılmalıdır. Böylece çalışan verisiyle yapay zeka kullanımı denetlenebilir ve savunulabilir hale gelir.

Özet: Çalışan Verisiyle Yapay Zeka ve KVKK Sınırları

Özetle, İK'da çalışan verisiyle yapay zeka güçlü bir fırsat ama aynı ölçüde büyük bir sorumluluktur. Kullanım dört alanda yoğunlaşır — işe alım, performans, elde tutma ve çalışan izleme — ve her biri farklı KVKK riski taşır. Temel dersler nettir: özlük verisi özel biçimde korunur; iş ilişkisinde açık rıza çoğu zaman geçersizdir ve dayanak meşru menfaat, sözleşme veya kanuni yükümlülük olmalıdır; tümüyle otomatik karar ve profilleme önemli İK kararlarında sınırlıdır; işe alım algoritmaları ayrımcılık riski taşır ve test edilmelidir; şeffaflık ve aydınlatma zorunludur; çalışan izleme ölçülülükle sınırlıdır; ve yüksek riskli sistemlerde DPIA gereklidir.

Son bir hatırlatma: bu alandaki uyum, bir kereye mahsus bir proje değil, kurumun benimsemesi gereken bir çalışma biçimidir. Teknoloji, düzenleme ve kurumun kendi süreçleri sürekli değiştiği için, dün uyumlu olan bir sistem bugün açık verebilir. Bu yüzden en sağlam yaklaşım, çalışan verisiyle yapay zeka uygulamalarını canlı ve denetlenen sistemler olarak görmek; her önemli değişiklikte hukuki dayanağı, aydınlatmayı, önyargı testlerini ve insan denetimini yeniden gözden geçirmektir. Uyumu bir varış noktası değil, sürdürülen bir disiplin olarak kuran kurumlar, hem riskten korunur hem de çalışanlarının güvenini uzun vadede kazanır.

En önemli mesaj şudur: çalışan verisiyle yapay zeka, doğru soruyla tasarlandığında hem verimli hem adil olabilir. Doğru soru "bunu yapabilir miyiz?" değil, "bunu ölçülü, şeffaf, insan denetimli ve savunulabilir biçimde yapabilir miyiz?" sorusudur. EU AI Act ve KVKK, bu iki soruyu birbirine bağlar. Kavramların temeli için KVKK nedir ve EU AI Act nedir yazılarına, KVKK uyumlu mimari için KVKK uyumlu yapay zeka nedir rehberine bakabilir; kurumunuza özel bir uyum çerçevesi için yapay zeka danışmanlığı ile başlayabilir, ekip farkındalığı için kurumsal eğitim seçeneklerini inceleyebilir ve tüm kavramları öğrenme merkezinde derinleştirebilirsiniz. Not: Bu içerik bir hukuki tavsiye değil, bilgilendirme amaçlıdır.

Danismanlik Baglantilari

Bu yazıya en yakın consulting sayfaları

Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.

Yorumlar

Yorumlar

Bağlantılı Pillar Konular

Bu yazının bağlandığı pillar konular