İçeriğe geç

Anahtar Çıkarımlar

  1. KVKK, Türkiye'de kişisel verilerin korunmasını düzenleyen 6698 sayılı kanundur; 2016'da yürürlüğe girmiştir ve gerçek kişilerin verilerini kapsar.
  2. Merkezinde iki rol vardır: veri sorumlusu (işleme amacını belirleyen taraf) ve veri işleyen (sorumlu adına veri işleyen taraf).
  3. Kişisel veri, ilke olarak açık rıza veya kanunda sayılan diğer hukuki sebeplerden biri olmadan işlenemez; sağlık, din gibi özel nitelikli veriler daha katı korunur.
  4. Yapay zeka projelerinde kvkk uyumu, hangi verinin modele girdiğini, nerede saklandığını ve kimin eriştiğini en baştan tasarlamayı gerektirir.
  5. KVKK büyük ölçüde Avrupa'nın GDPR düzenlemesiyle paraleldir; ancak yaptırım tutarları, kurum yapısı ve bazı istisnalar açısından farklılıklar taşır.

KVKK Nedir? Kişisel Verilerin Korunması ve Yapay Zeka Uyumu Rehberi

KVKK nedir? KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye'de gerçek kişilere ait kişisel verilerin işlenmesini kurala bağlayan ve 6698 sayılı kanunla düzenlenen yasal çerçevedir. Bu rehber: net tanım, KVKK neden önemli, nasıl işler, veri sorumlusu ve açık rıza kavramları, yapay zeka projelerinde kvkk uyumu, GDPR ile karşılaştırma, yaygın hatalar ve sık sorulan sorular.

SYK
Şükrü Yusuf KAYA
AI Expert · Kurumsal AI Danışmanı

KVKK nedir? KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye'de gerçek kişilere ait kişisel verilerin hangi şartlarda işlenip saklanabileceğini belirleyen ve 6698 sayılı kanunla düzenlenen yasal çerçevedir. Kısaca KVKK, bir kişinin adı, kimlik numarası, konumu veya sağlık bilgisi gibi verilerin keyfî değil, kurala bağlı biçimde işlenmesini zorunlu kılar.

Dijitalleşen her kurum, farkında olsun olmasın kişisel veri işler: bir e-posta listesi, bir müşteri veritabanı veya bir yapay zeka modeline verilen kayıtlar. KVKK nedir sorusu bu yüzden yalnızca hukukçuların değil, veri toplayan herkesin sorusudur. Bu rehber KVKK'nın ne olduğunu, neden önemli olduğunu, nasıl işlediğini, veri sorumlusu ile açık rıza kavramlarını ve özellikle yapay zeka projelerinde kişisel verilerin korunması için nelere dikkat edilmesi gerektiğini ele alıyor.

Tanım
KVKK (Kişisel Verilerin Korunması Kanunu)
Türkiye'de 6698 sayılı kanunla düzenlenen ve gerçek kişilere ait kişisel verilerin hangi şartlarda işlenip saklanabileceğini belirleyen yasal çerçeve. KVKK; veri sorumlusuna aydınlatma, hukuka uygun işleme ve gerektiğinde açık rıza alma yükümlülüğü getirir, denetimi Kişisel Verileri Koruma Kurumu tarafından yapılır.
Ayrıca: Kişisel Verilerin Korunması Kanunu, 6698 sayılı kanun, KVKK, kişisel veri koruma

KVKK Neden Önemli? Kişisel Verilerin Korunması

KVKK'nın önemi, kişisel verinin bugün en değerli ve en kırılgan varlıklardan biri olmasından gelir. Bir kişinin adı, telefon numarası, konum geçmişi, satın alma davranışı veya sağlık kaydı yanlış ellerde ciddi zarara yol açabilir. Kanun, bu verileri işleyen kurumlara bir sorumluluk yükleyerek bireyin mahremiyetini korumayı amaçlar; kişisel verilerin korunması artık bir tercih değil, yasal bir zorunluluktur.

Kurumlar açısından KVKK yalnızca ceza riskinden kaçınmak değildir. Doğru kurgulanmış bir kişisel veri koruma yaklaşımı, müşteri güvenini güçlendirir ve veri yönetişimini disipline eder. Tersine, ihmal edilmiş bir uyum süreci; idari para cezaları, veri ihlali bildirimleri, itibar kaybı ve tazminat davaları olarak geri döner. Bu yüzden kişisel verilerin korunması, hem hukuki hem de ticari bir gerekliliktir.

KVKK Nasıl İşler? Temel Kavramlar

KVKK bir dizi tanım ve rol etrafında kurulur. Sistemi anlamak için birkaç temel kavramı bilmek yeterlidir. Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir. Bu verinin bir amaç doğrultusunda kaydedilmesi, saklanması veya aktarılması ise işleme olarak adlandırılır.

Bu işlemenin merkezinde iki taraf durur. Veri sorumlusu, verinin neden ve nasıl işleneceğine karar veren kişi veya kurumdur; aydınlatma yapmak ve güvenliği sağlamak onun görevidir. Veri işleyen ise sorumlu adına veriyi işleyen taraftır (örneğin bir bulut hizmeti veya dış tedarikçi). Bir de özel nitelikli kişisel veri vardır: sağlık, din, biyometrik veri gibi, yanlış kullanımı daha ağır sonuç doğuran ve bu yüzden daha katı korunan veri kategorisi.

KVKK'da temel roller ve kavramlar
KavramNe demekÖrnek
Veri sorumlusuİşleme amacını ve yöntemini belirleyen tarafMüşteri verisini toplayan şirket
Veri işleyenSorumlu adına veri işleyen tarafBulut/dış hizmet sağlayıcı
İlgili kişiVerisi işlenen gerçek kişiMüşteri, çalışan, ziyaretçi
Açık rızaBilgilendirilmiş, özgür ve tereddütsüz onayPazarlama izni onay kutusu
Özel nitelikli veriDaha katı korunan hassas veriSağlık, din, biyometrik

Veri Sorumlusu Ne Yapmakla Yükümlü?

KVKK'nın pratik yükünün büyük kısmı veri sorumlusunun üzerindedir. Birincisi aydınlatma yükümlülüğüdür: kişisel veri toplanırken ilgili kişiye hangi verinin, hangi amaçla, hangi hukuki sebeple işlendiği açıkça anlatılmalıdır. İkincisi hukuka uygun işleme ilkesidir: veri yalnızca açık rıza ya da kanunda sayılan diğer hukuki sebeplerden biri varsa işlenebilir ve toplandığı amaç dışında kullanılamaz.

Üçüncüsü veri güvenliğidir: veri sorumlusu, veriyi yetkisiz erişime, kayba ve sızıntıya karşı korumak için idari ve teknik tedbirler almak zorundadır. Belirli ölçeğin üzerindeki veri sorumluları ayrıca Veri Sorumluları Sicili'ne (VERBİS) kayıt olmakla yükümlüdür. Bir veri ihlali yaşandığında ise durumun Kişisel Verileri Koruma Kurumu'na ve etkilenen ilgili kişilere makul sürede bildirilmesi gerekir. Bu yükümlülükler bir bütün olarak kişisel verilerin korunmasını güvence altına alır.

Açık Rıza Nedir ve Ne Zaman Gerekir?

Açık rıza, KVKK'nın en çok yanlış anlaşılan kavramlarından biridir. Açık rıza; kişinin, verisinin belirli bir amaçla işlenmesine özgür iradesiyle, yeterince bilgilendirilmiş biçimde ve tereddüde yer bırakmadan onay vermesidir. Önceden işaretlenmiş onay kutuları veya "kabul etmezsen hizmet yok" baskısıyla alınan onay, geçerli bir açık rıza sayılmaz.

Ancak yaygın bir yanılgının aksine, her veri işleme açık rıza gerektirmez. Kanun, açık rıza dışında da hukuki sebepler sayar: bir sözleşmenin ifası için gereklilik, hukuki bir yükümlülüğün yerine getirilmesi, ilgili kişinin kendisinin alenileştirmesi veya veri sorumlusunun meşru menfaati gibi. Bu sebeplerden biri varsa açık rıza aranmaz. Kritik nokta şudur: açık rıza her zaman geri alınabilir olmalıdır ve tek başına her işlemeyi meşrulaştıran bir "sihirli onay" değildir.

Yapay Zeka Projelerinde KVKK Uyumu

Yapay zeka, KVKK açısından hem en fırsatlı hem de en riskli alanlardan biridir; çünkü modeller doğaları gereği büyük miktarda veriyle beslenir. Kvkk uyumu burada bir sonradan ekleme değil, tasarımın parçası olmalıdır. İlk soru hep aynıdır: bu projede hangi kişisel veri, hangi hukuki sebeple işleniyor? Eğitim verisi, kullanıcı girdileri ve model çıktıları ayrı ayrı değerlendirilmelidir.

Özellikle üç nokta öne çıkar. Birincisi veri minimizasyonu: modele gerçekten gerekli olmayan kişisel veriyi hiç vermemek en güvenli yoldur; mümkünse veri anonimleştirilmeli veya takma adlandırılmalıdır. İkincisi veri aktarımı: girdilerin üçüncü taraf bir yapay zeka servisine gönderilmesi, yurt dışına veri aktarımı kurallarını devreye sokabilir. Üçüncüsü erişim kontrolü: örneğin bir kurumsal RAG sisteminde, kişisel veri içeren belgelere kimin erişebileceği en baştan tanımlanmalıdır. Bu mimariyi güvenli kurmak için kurumsal RAG sistemleri çözümüne ve temel kavram için RAG nedir rehberine göz atabilirsiniz.

Nasıl Yapılır

Yapay zeka projesinde KVKK uyumu için temel adımlar

Bir yapay zeka projesinde kişisel veriyi hukuka uygun biçimde ele almanın pratik sırası.

  1. 1

    Veri envanteri çıkar

    Projede hangi kişisel verinin toplandığını, nereden geldiğini ve nerede saklandığını listeleyin.

  2. 2

    Hukuki sebebi belirle

    Her işleme için açık rıza mı yoksa kanundaki başka bir hukuki sebep mi geçerli olduğunu netleştirin.

  3. 3

    Minimize et ve anonimleştir

    Gerekmeyen kişisel veriyi çıkarın; mümkün olduğunca anonimleştirme veya takma adlandırma uygulayın.

  4. 4

    Erişim ve aktarımı kontrol et

    Veriye kimin eriştiğini sınırlayın ve üçüncü taraf/yurt dışı aktarımlarını kurala bağlayın.

  5. 5

    Aydınlat ve kayıt tut

    İlgili kişileri aydınlatın ve işleme faaliyetlerini belgeleyerek hesap verebilirliği sağlayın.

İlgili Kişinin KVKK Kapsamındaki Hakları Nelerdir?

KVKK yalnızca kurumlara yükümlülük getirmez; verisi işlenen gerçek kişiye, yani ilgili kişiye somut haklar da tanır. Bu hakların bilinmesi hem bireyin kendini koruması hem de kurumun bu talepleri doğru karşılaması açısından önemlidir. Bir kurum bu başvuruları belirli bir süre içinde ve ücretsiz (kanunda öngörülen istisnalar dışında) yanıtlamak zorundadır.

İlgili kişi öncelikle kendisiyle ilgili verinin işlenip işlenmediğini öğrenme ve işleniyorsa buna dair bilgi talep etme hakkına sahiptir. Bunun yanında verinin hangi amaçla kullanıldığını, yurt içinde veya yurt dışında kimlere aktarıldığını sorabilir. Eksik veya yanlış işlenen verinin düzeltilmesini, işleme sebebi ortadan kalktığında verinin silinmesini veya yok edilmesini isteyebilir. Ayrıca yalnızca otomatik sistemlerle analiz edilerek aleyhine bir sonuç doğmasına itiraz etme ve hukuka aykırı işleme nedeniyle zarara uğramışsa tazminat talep etme hakkı vardır. Bu haklar, kişisel verilerin korunmasını kâğıt üzerinde kalan bir ilke olmaktan çıkarıp uygulanabilir kılar; kurum tarafında ise bu talepleri karşılayacak bir süreç kurmak, kvkk uyumu için tasarlanması gereken temel bileşenlerden biridir.

KVKK ile GDPR Arasındaki Fark Nedir?

KVKK, 2016'da yürürlüğe girerken büyük ölçüde Avrupa Birliği'nin veri koruma yaklaşımından esinlenmiştir; bu yüzden GDPR (General Data Protection Regulation) ile temel ilkeleri paraleldir. Her ikisi de kişisel veriyi tanımlar, veri sorumlusu ve veri işleyen rollerini belirler, açık rıza dahil hukuki sebepler sayar ve ilgili kişiye haklar tanır. Bir kurum için bu iki düzenleme çoğu noktada benzer bir disiplini gerektirir.

Farklar detayda ortaya çıkar. GDPR 2018'de yürürlüğe girmiş ve özellikle yaptırım tutarları, veri taşınabilirliği ve bazı istisnalar açısından daha geniş bir çerçeve çizmiştir. KVKK'nın kurumsal yapısı, denetim mekanizması ve ceza kalemleri Türkiye'ye özgüdür. Pratikte, Avrupa'da müşterisi olan veya AB'ye veri aktaran bir Türk şirketi çoğu zaman her iki düzenlemeye birden uymak zorundadır; bu nedenle tasarımı en yüksek standarda göre yapmak akıllıcadır.

KVKK'da Yaygın Hatalar

KVKK uyumunda kurumların en sık düştüğü hatalar genellikle hukuktan çok yaklaşımla ilgilidir:

  • Uyumu tek seferlik proje sanmak: Bir kez aydınlatma metni yazıp bitirmek yeterli değildir; veri süreçleri değiştikçe uyum da güncellenmelidir.
  • Her şeyi açık rızaya bağlamak: Zaten başka hukuki sebeple işlenebilecek veriyi rızaya bağlamak, rıza geri alındığında kurumu zora sokar.
  • Veri minimizasyonunu atlamak: "Belki lazım olur" diye toplanan gereksiz kişisel veri, hem risk hem yük yaratır.
  • Yapay zekada gizli veri sızıntısı: Kişisel veriyi filtresiz biçimde üçüncü taraf modellere göndermek, farkında olmadan yurt dışı aktarımı ve ihlal yaratabilir.
  • İhlal bildirimini ihmal etmek: Bir veri ihlali yaşandığında Kişisel Verileri Koruma Kurumu'na ve ilgili kişilere bildirim yükümlülüğünü atlamak, cezayı ağırlaştırır.

Bu hataların ortak paydası, kişisel verilerin korunmasını bir "form doldurma" işi gibi görmektir. Oysa doğru yaklaşım, veriyi topladığınız andan sildiğiniz ana kadar tüm yaşam döngüsünü tasarlamaktır.

Sıkça Sorulan Sorular

KVKK ile GDPR arasındaki fark nedir?

KVKK Türkiye'nin, GDPR ise Avrupa Birliği'nin veri koruma düzenlemesidir ve büyük ölçüde benzer ilkelere dayanır. Temel farklar yaptırım tutarları, kurum yapısı ve bazı hukuki sebeplerin kapsamındadır. AB'ye veri aktaran veya AB'de müşterisi olan Türk şirketleri çoğu zaman her ikisine de uymak zorundadır.

Açık rıza nedir ve her zaman gerekli midir?

Açık rıza, kişinin verisinin belirli bir amaçla işlenmesine özgür iradesiyle, bilgilendirilmiş olarak ve tereddütsüz onay vermesidir. Ancak her işleme açık rıza gerektirmez; kanunda sayılan (sözleşmenin ifası, hukuki yükümlülük, meşru menfaat gibi) diğer sebepler varsa açık rıza aranmaz. Rıza her zaman geri alınabilir.

Veri sorumlusu kimdir?

Veri sorumlusu, kişisel verinin işlenme amacını ve yöntemini belirleyen gerçek veya tüzel kişidir; genellikle veriyi toplayan şirket ya da kurumdur. Aydınlatma yapmak, güvenliği sağlamak ve gerektiğinde VERBİS'e kayıt olmak gibi yükümlülükler veri sorumlusuna aittir. Onun adına veri işleyen taraf ise veri işleyendir.

Yapay zeka projeleri KVKK'ya nasıl uyar?

Kvkk uyumu, kişisel verinin yolculuğunu baştan tasarlamakla başlar: hangi veri toplanıyor, hangi hukuki sebeple işleniyor, nerede saklanıyor ve kim erişiyor. Yapay zekada özellikle eğitim verisi, model çıktıları ve üçüncü taraf servislere veri aktarımı dikkatle ele alınmalı; mümkün olduğunca anonimleştirme ve erişim kontrolü kullanılmalıdır.

KVKK'ya uyulmazsa ne olur?

Kişisel Verileri Koruma Kurumu şikâyet veya resen inceleme sonucu idari para cezaları uygulayabilir; ayrıca veri ihlallerinin kuruma ve ilgili kişilere bildirilmesi zorunludur. Cezaların yanı sıra itibar kaybı ve tazminat davaları da ciddi risklerdir. Güncel ceza tutarları için Kurumun resmî duyuruları esas alınmalıdır.

Özetle: KVKK Nedir?

Özetle kvkk nedir sorusunun cevabı şudur: Türkiye'de gerçek kişilere ait kişisel verilerin işlenmesini kurala bağlayan, 6698 sayılı kanunla düzenlenen yasal çerçeve. Merkezinde veri sorumlusu, açık rıza ve kişisel verilerin korunması ilkeleri yer alır; yapay zeka projelerinde kvkk uyumu, veriyi toplama anından itibaren tasarlanmalıdır. Yapay zekanın temeli için yapay zeka nedir, veri boyutu için büyük veri nedir, uygulama için RAG nedir rehberlerine göz atabilir; kurumsal ve KVKK-uyumlu bir yapay zeka kurgusu için yapay zeka danışmanlığı ile başlayabilir, ekip yetkinliği için yapay zeka eğitimleri ve öğrenme merkezini inceleyebilirsiniz.

Danismanlik Baglantilari

Bu yazıya en yakın consulting sayfaları

Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.

Yorumlar

Yorumlar

Bağlantılı Pillar Konular

Bu yazının bağlandığı pillar konular