İçeriğe geç

Anahtar Çıkarımlar

  1. KVKK uyumlu yapay zeka, kişisel veri işleyen bir yapay zeka sisteminin KVKK ilke ve yükümlülüklerine uygun tasarlanması, kurulması ve işletilmesidir.
  2. Her yapay zeka projesi önce geçerli bir işleme dayanağına ihtiyaç duyar: açık rıza veya meşru menfaat gibi KVKK madde 5/6'daki dayanaklardan biri.
  3. Veri minimizasyonu ve amaç sınırlaması, modelin yalnızca gerekli veriyi ve yalnızca belirlenen amaç için işlemesini zorunlu kılar.
  4. Aydınlatma yükümlülüğü, veri işleme envanteri, VERBİS kaydı ve gerektiğinde DPIA, uyumun belgelenmiş omurgasını oluşturur.
  5. Otomatik karar ve profilleme, kişi üzerinde önemli sonuç doğuruyorsa insan denetimi ve itiraz mekanizması gerektirir.
  6. Yurt dışına aktarım, saklama-imha ve teknik-idari güvenlik tedbirleri, bulut tabanlı ve API tabanlı yapay zeka projelerinde en sık atlanan uyum alanlarıdır.
  7. KVKK ile EU AI Act farklı ama tamamlayıcıdır: biri kişisel veriyi, diğeri yapay zeka sisteminin risk sınıfını düzenler; kurumsal projeler ikisini birlikte ele almalıdır.

KVKK Uyumlu Yapay Zeka: Kurumsal Projeler İçin Uyum Kontrol Listesi

KVKK uyumlu yapay zeka nasıl kurulur? İşleme dayanağı, veri minimizasyonu, aydınlatma, DPIA, otomatik karar, yurt dışı aktarım ve madde madde uyum kontrol listesi bu kapsamlı pillar rehberinde.

SYK
Şükrü Yusuf KAYA
AI Expert · Kurumsal AI Danışmanı

KVKK uyumlu yapay zeka nedir ve nasıl kurulur? KVKK uyumlu yapay zeka, kişisel veri işleyen bir yapay zeka sisteminin Kişisel Verilerin Korunması Kanunu'nun (KVKK) ilkelerine ve yükümlülüklerine uygun biçimde tasarlanması, kurulması ve işletilmesidir. Uyum tek bir onay kutusu değil; geçerli bir işleme dayanağından veri minimizasyonuna, aydınlatma yükümlülüğünden DPIA'ya ve saklama-imha politikasına kadar uzanan, projenin başında ele alınması gereken bütünsel bir çerçevedir.

Bu rehber, kurumsal yapay zeka projelerinde KVKK uyumunu bir yönetim danışmanı ve uyum mühendisi titizliğiyle, madde madde ele alıyor. Amaç, "yapay zeka kullanalım mı?" değil "yapay zekayı nasıl KVKK uyumlu kurarız?" sorusuna savunulabilir, uygulanabilir ve belgelenebilir bir yanıt vermektir. Önemli bir not: bu içerik bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz; her kurumun kendi özel durumu için hukuk ve uyum uzmanlarıyla çalışması gerekir.

Tanım
KVKK Uyumlu Yapay Zeka
Kişisel veri işleyen bir yapay zeka sisteminin, Kişisel Verilerin Korunması Kanunu'nun (KVKK) ilkelerine ve yükümlülüklerine uygun biçimde tasarlanması, kurulması ve işletilmesidir. Geçerli bir işleme dayanağı (açık rıza veya meşru menfaat), veri minimizasyonu ve amaç sınırlaması, aydınlatma yükümlülüğü, veri işleme envanteri ve VERBİS, gerektiğinde DPIA, otomatik karar sınırları, teknik-idari güvenlik, yurt dışına aktarım kuralları ve saklama-imha politikasını birlikte kapsar.
Ayrıca: KVKK uyumu yapay zeka, kişisel veri korumalı yapay zeka, KVKK ve yapay zeka, veri koruma uyumlu AI

KVKK Uyumlu Yapay Zeka Neden Kritik Hâle Geldi?

Yapay zeka, kurumların en değerli varlığı olan veriyle çalışır; ve bu verinin büyük kısmı kişisel veridir. Bir müşteri hizmetleri asistanı müşteri kayıtlarını, bir işe alım modeli aday özgeçmişlerini, bir öneri sistemi kullanıcı davranışını işler. Bu nedenle yapay zeka projeleri, doğaları gereği KVKK'nın kapsamına girer. KVKK uyumlu yapay zeka, artık "iyi olsa iyi olur" değil, projenin en başında ele alınması gereken bir tasarım gereksinimidir.

Birinci kritiklik nedeni yaptırım riskidir. KVKK, kişisel verilerin hukuka aykırı işlenmesi hâlinde idari para cezaları ve tazminat sorumluluğu öngörür. Bir yapay zeka projesi, kişisel veriyi geçerli bir dayanak olmadan işlerse veya güvenlik tedbirlerini almazsa, doğrudan bu riske maruz kalır. Üstelik yapay zeka projelerinde veri hacmi büyük olduğu için, bir ihlalin etkisi geleneksel bir sistemden çok daha geniş olabilir.

İkinci neden itibar ve güvendir. Kurumlar, müşterilerinin verisini yapay zekaya emanet ettiğinde, bu emanetin kötüye kullanılmayacağına dair bir güven sözü verir. Bir veri ihlali veya kötü tasarlanmış bir profilleme sistemi, bu güveni bir gecede yok edebilir. KVKK uyumlu yapay zeka, aynı zamanda bir marka koruma stratejisidir; müşteriye "verini sorumlu biçimde kullanıyorum" demenin somut yoludur.

Üçüncü neden sürdürülebilirliktir. Uyumu sonradan eklemek pahalı ve çoğu zaman imkânsızdır. Kişisel veriyi ayrımsız toplayarak eğitilmiş bir modeli, sonradan "acaba bu veriyi işleme hakkımız var mıydı?" diye sorgulamak, modeli baştan yeniden kurmak anlamına gelebilir. Bu yüzden KVKK uyumlu yapay zeka, tasarımdan itibaren veri koruma (privacy by design) ilkesiyle kurulmalıdır; uyum, projenin sonuna bırakılan bir formalite değil, mimarinin bir parçası olmalıdır.

Türkiye özelinde bir başka boyut daha var: benimseme hızı. We Are Social'ın "Digital 2026" verisine göre Türkiye, üretken yapay zeka araçlarından web'e yönlendirilen trafik payında dünya birincisidir. Bu yüksek benimseme, kurumların yapay zekayı hızla kullanıma aldığı ama uyumu aynı hızda kuramadığı bir boşluk yaratır. İşte bu boşluğu doğru kapatan kurumlar, hem hızlı hem güvenli ilerler.

KVKK Yapay Zekaya Nasıl Bakıyor?

KVKK, 2016 yılında yürürlüğe giren ve kişisel verilerin işlenmesini düzenleyen temel kanundur; büyük ölçüde Avrupa'nın veri koruma geleneğiyle (ve GDPR ile) uyumlu ilkeler taşır. KVKK, "yapay zeka" kelimesini özel olarak tanımlamaz; ancak yapay zeka sistemleri kişisel veri işlediği ölçüde, kanunun tüm ilke ve yükümlülükleri bu sistemlere doğrudan uygulanır. Yani KVKK için yapay zeka, "kişisel veri işleyen bir sistem"dir ve aynı kurallara tabidir.

KVKK'nın temelinde birkaç kavram vardır. Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir; ad, kimlik numarası, e-posta, konum, davranış izi ve hatta bir modelin ürettiği bir çıkarım bile kişisel veri olabilir. Veri sorumlusu, işleme amaç ve araçlarını belirleyen taraftır (genellikle projeyi yürüten kurum). Veri işleyen ise sorumlu adına veri işleyen taraftır (örneğin bir bulut sağlayıcı veya yapay zeka aracı). Kişisel verinin ne olduğunu kişisel veri nedir ve kanunun genel çerçevesini KVKK nedir yazılarında ayrıntılı ele alıyoruz.

Yapay zeka bağlamında KVKK'nın bakışını üç noktada özetlemek mümkündür. Birincisi, işleme her aşamada geçerlidir: veriyi toplama, modeli eğitme, modeli çalıştırma (çıkarım) ve çıktıyı saklama — hepsi birer "işleme" faaliyetidir ve her biri bir dayanak ve ilkelere uygunluk gerektirir. İkincisi, çıkarımlar da kişisel veri olabilir: bir model bir kişi hakkında bir tahmin (kredi riski, ilgi alanı, sağlık eğilimi) üretiyorsa, bu üretilen bilgi de kişisel veridir ve korunması gerekir. Üçüncüsü, özel nitelikli veriye özel dikkat: sağlık, biyometri, din, siyasi görüş gibi özel nitelikli veriler daha katı korumaya tabidir ve yapay zeka bunları işliyorsa ek koşullar aranır.

Bu bakış, KVKK uyumlu yapay zeka kurmanın neden bütünsel olması gerektiğini açıklar: uyum yalnızca "veriyi topladık, rıza aldık" ile bitmez; verinin modelin içindeki yaşam döngüsünün her aşamasını kapsar. Model, kişisel veriyi "hatırlayabilir" (ezberleme), çıktıda sızdırabilir veya beklenmedik çıkarımlar üretebilir; bu yüzden uyum, klasik bir veritabanından daha dikkatli bir yaklaşım gerektirir.

Yapay zeka yaşam döngüsünde KVKK'nın devreye girdiği aşamalar
Aşamaİşleme faaliyetiBaşlıca KVKK sorusu
Veri toplamaEğitim/çalışma verisinin edinilmesiHangi dayanakla, hangi amaçla?
Model eğitimiKişisel verinin öğrenmede kullanımıAmaç sınırlaması ihlal ediliyor mu?
Çıkarım (inference)Kişi hakkında tahmin üretmeÇıkarım kişisel veri; korunuyor mu?
Otomatik kararModelin sonucuna göre işlemİnsan denetimi ve itiraz var mı?
SaklamaVeri ve çıktının tutulmasıSaklama süresi ve imha tanımlı mı?

Kişisel Veri İşleme Dayanağı Nedir: Açık Rıza mı Meşru Menfaat mi?

KVKK uyumlu yapay zeka kurmanın ilk ve en temel adımı, işleme için geçerli bir hukuki dayanak bulmaktır. KVKK'ya göre kişisel veri, ancak kanunda sayılan işleme şartlarından (dayanaklarından) birine dayanılarak işlenebilir. Dayanaksız işleme, ne kadar iyi niyetli olursa olsun hukuka aykırıdır. Bu yüzden her yapay zeka projesi, "bu veriyi hangi dayanakla işliyorum?" sorusuna net bir cevap vermelidir.

KVKK madde 5, genel nitelikli kişisel veriler için birkaç işleme şartı sayar: kanunlarda öngörülmesi, bir sözleşmenin kurulması veya ifası için gereklilik, veri sorumlusunun hukuki yükümlülüğü, verinin ilgili kişi tarafından alenileştirilmesi, bir hakkın tesisi/kullanılması/korunması, meşru menfaat ve bunların hiçbiri yoksa açık rıza. Madde 6 ise özel nitelikli veriler için daha katı bir rejim öngörür. Doğru dayanağın seçimi, yapay zeka projesinin en kritik hukuki kararlarından biridir.

Açık Rıza Ne Zaman Uygundur?

Açık rıza, kişinin belirli bir konuda, bilgilendirilmiş olarak ve özgür iradesiyle verdiği onaydır. Üç unsuru vardır: belirli bir konuya ilişkin olmalı, aydınlatmaya dayanmalı ve özgür irade ile açıklanmalıdır. Açık rızanın en önemli özelliği geri alınabilir olmasıdır; kişi rızasını dilediği zaman geri çekebilmelidir ve bu geri çekme, sistemde teknik olarak da uygulanabilir olmalıdır. Ayrıca açık rıza, bir hizmetin ön koşuluna bağlanamaz — yani "rıza vermezsen hizmet yok" dayatması, rızayı geçersiz kılar.

Yapay zeka projelerinde açık rızanın pratik zorluğu, veri kullanımının zaman içinde değişebilmesidir. Bir modeli eğitmek için toplanan veriyi, sonradan başka bir amaç için kullanmak, ilk rızanın kapsamı dışına çıkabilir. Bu yüzden açık rızaya dayanan projelerde, rızanın kapsamı baştan yeterince açık tanımlanmalı ve amaç genişlerse yeni rıza alınmalıdır.

Meşru Menfaat Ne Zaman Kullanılabilir?

Meşru menfaat, veri sorumlusunun makul ve gerçek bir menfaatinin, kişinin temel hak ve özgürlüklerini zedelemeden dengelenmesiyle kullanılan bir dayanaktır. Bu dayanak esnektir ama keyfî değildir: kullanılabilmesi için bir denge testi (menfaat dengesi analizi) yapılmalı ve belgelenmelidir. Bu testte, kurumun menfaati ile kişinin makul beklentileri ve hakları tartılır; eğer işleme kişinin haklarına orantısız zarar veriyorsa, meşru menfaat dayanak olamaz.

Yapay zekada meşru menfaat, örneğin dolandırıcılık tespiti veya sistem güvenliği gibi kişinin de yararına olan işlemelerde uygun olabilir. Ancak yaygın bir hata, meşru menfaati "açık rıza almaktan kaçınmanın kolay yolu" olarak kullanmaktır. Meşru menfaat, denge testi olmadan kullanıldığında en kırılgan dayanaktır; denetimde ilk sorgulanan da budur.

Açık rıza ile meşru menfaat dayanağının karşılaştırması
BoyutAçık rızaMeşru menfaat
Temel mantıkKişinin bilgilendirilmiş onayıDengelenmiş kurumsal menfaat
BelgelemeRıza kaydı, kapsam metniDenge testi (menfaat analizi)
Geri almaHer zaman geri alınabilirİtiraz hakkı vardır
Tipik kullanımPazarlama, opsiyonel özelliklerGüvenlik, dolandırıcılık tespiti
RiskGeri çekilirse işleme dururDenge testi zayıfsa geçersiz

Özel nitelikli veri (sağlık, biyometrik, din, siyasi görüş vb.) söz konusu olduğunda kural daha da katıdır: bu veriler için çoğu durumda açık rıza veya kanunda açıkça öngörülen bir istisna aranır; meşru menfaat tek başına yeterli olmayabilir. Biyometrik tanıma yapan bir yapay zeka sistemi (örneğin yüz tanıma) kurarken bu ayrım hayati önemdedir. Yüz tanımanın veri koruma boyutunu yüz tanıma nedir yazısında da ele alıyoruz. İşleme dayanağının doğru seçimi projeye özgüdür ve mutlaka hukuki görüşle netleştirilmelidir.

Veri Minimizasyonu ve Amaç Sınırlaması Yapay Zekada Nasıl Uygulanır?

KVKK'nın genel ilkeleri arasında yapay zeka için en zorlayıcı ikisi, veri minimizasyonu ve amaç sınırlamasıdır. Çünkü yapay zeka kültürü tarihsel olarak "ne kadar çok veri, o kadar iyi" mantığıyla gelişti; oysa KVKK tam tersini söyler: yalnızca gerekli olan kadar veri, yalnızca belirlenen amaç için. Bu gerilim, KVKK uyumlu yapay zeka tasarımının kalbindedir.

Veri Minimizasyonu Nedir?

Veri minimizasyonu, bir işleme faaliyetinde yalnızca amaç için gerekli, ilgili ve ölçülü kişisel verinin işlenmesi ilkesidir. Yapay zeka bağlamında bu, "modelin performansını marjinal artırabilir" diye her alanı toplamamak; eğitim veri kümesinden gereksiz kişisel öznitelikleri çıkarmak; ve mümkün olan her yerde anonimleştirme veya takma adlandırma kullanmak demektir. Bir öneri modeli için kişinin tam kimliğine gerek yoksa, takma bir kimlikle çalışmak veri minimizasyonunun somut uygulamasıdır.

Veri minimizasyonunun pratik gücü, aynı zamanda bir risk azaltma stratejisi olmasıdır: işlenmeyen veri, sızdırılamaz. Bir veri ihlali yaşandığında, sistemin işlediği kişisel veri ne kadar azsa, zarar da o kadar sınırlı olur. Bu yüzden veri minimizasyonu hem uyumu güçlendirir hem de güvenlik risklerini düşürür. Verinin kimliksizleştirilmesi tekniklerini veri anonimleştirme nedir yazısında ayrıntılı ele alıyoruz; iyi bir anonimleştirme, veriyi KVKK kapsamından çıkarabilir ve uyumu ciddi biçimde kolaylaştırabilir.

Amaç Sınırlaması Nedir?

Amaç sınırlaması, kişisel verinin yalnızca toplandığı belirli, açık ve meşru amaç için işlenmesi; bu amaçla bağdaşmayan biçimde kullanılmaması ilkesidir. Yapay zekada en sık ihlal edilen ilke budur: bir amaçla (örneğin sipariş teslimatı) toplanan veriyi, sonradan başka bir amaçla (örneğin bir öneri modelini eğitmek) kullanmak, amaç sınırlamasını ihlal edebilir. "Elimizde veri var, neden modeli onunla eğitmeyelim?" düşüncesi, en yaygın uyum tuzağıdır.

Amaç sınırlamasını yapay zekada uygulamanın yolu, her veri kümesi için "bu veri hangi amaçla toplandı ve bu kullanım o amaçla bağdaşıyor mu?" sorusunu sormaktır. Eğer model eğitimi orijinal amaçla bağdaşmıyorsa, ya yeni bir dayanak (örneğin açık rıza) alınmalı ya da veri anonimleştirilerek KVKK kapsamından çıkarılmalıdır. Bu disiplin, modeli hukuka aykırı bir temele oturtma riskini ortadan kaldırır.

Aydınlatma Yükümlülüğü Yapay Zekada Nasıl Yerine Getirilir?

Aydınlatma yükümlülüğü, veri sorumlusunun, kişisel veriyi işlemeden önce ilgili kişiyi bilgilendirmesi zorunluluğudur. KVKK'ya göre kişi; kimin, hangi veriyi, hangi amaçla, hangi dayanakla işlediğini, kimlere aktarıldığını ve haklarının neler olduğunu bilme hakkına sahiptir. Yapay zeka projelerinde aydınlatma yükümlülüğü, hem klasik anlamda (bir aydınlatma metni) hem de yapay zekaya özgü bir şeffaflık boyutuyla yerine getirilmelidir.

Klasik boyut, bir aydınlatma metninin (privacy notice) hazırlanması ve kişiye sunulmasıdır. Bu metin; veri sorumlusunun kimliği, işleme amaçları, hukuki dayanak, aktarılan taraflar, saklama süresi ve ilgili kişinin hakları gibi unsurları içermelidir. Yapay zeka söz konusu olduğunda bu metnin, verinin bir yapay zeka sistemi tarafından işlendiğini ve varsa otomatik karar/profilleme yapıldığını da açıkça belirtmesi gerekir. Kişi, verisinin bir modeli beslediğini bilme hakkına sahiptir.

Yapay zekaya özgü boyut ise anlaşılabilir şeffaflıktır. Bir yapay zeka sistemi bir kişi hakkında karar veriyorsa veya onu profilliyorsa, aydınlatma yalnızca "yapay zeka kullanıyoruz" demekle yetinemez; sürecin mantığı hakkında anlamlı bilgi vermelidir. Bu, modelin tüm teknik ayrıntısını açıklamak anlamına gelmez; ama kişinin "neye göre değerlendirildiğini" makul ölçüde anlamasını sağlamak gerekir. Bu şeffaflık, hem KVKK hem de açıklanabilir yapay zeka açısından bir gerekliliktir; konuyu açıklanabilir yapay zeka nedir yazısında derinleştiriyoruz.

Aydınlatma yükümlülüğünde yapay zeka projelerinin en sık hatası, metni bir kez yazıp unutmaktır. Yapay zeka sistemleri hızla değişir: yeni veri kaynakları eklenir, yeni amaçlar ortaya çıkar, model yeni çıktılar üretir. Aydınlatma metni bu değişimi yansıtacak biçimde güncel tutulmazsa, teknik olarak var olan ama içerik olarak yanlış bir aydınlatma ortaya çıkar. Aydınlatma, canlı bir belge olarak ele alınmalıdır.

Veri İşleme Envanteri ve VERBİS Yapay Zekada Neden Önemli?

KVKK uyumlu yapay zeka, yalnızca doğru davranmayı değil, doğru davrandığını belgeleyebilmeyi de gerektirir. Bu belgelemenin iki temel aracı, veri işleme envanteri ve VERBİS kaydıdır. Bunlar olmadan bir kurum, "verilerimizi hukuka uygun işliyoruz" iddiasını kanıtlayamaz; ve KVKK'da ispat yükü büyük ölçüde veri sorumlusundadır.

Veri İşleme Envanteri Nedir?

Veri işleme envanteri, kurumun hangi kişisel veriyi, hangi amaçla, hangi dayanakla, ne kadar süreyle sakladığını, kimlere aktardığını ve hangi güvenlik tedbirlerini aldığını gösteren yaşayan bir kayıttır. Yapay zeka projelerinde envanter özellikle kritiktir çünkü yapay zeka veriyi dönüştürür: ham veri, öznitelik, embedding, model parametresi ve çıktı olarak farklı biçimlere girer. İyi bir veri işleme envanteri, bu dönüşüm zincirini izlenebilir kılar.

Veri işleme envanterinin pratik değeri, bir "kör nokta" haritasıdır: kurum, envanteri çıkarırken çoğu zaman fark etmediği işlemeleri keşfeder — bir bulut aracına giden veri, bir alt-işleyicide tutulan kayıt, bir modelin ürettiği ve saklanan çıkarım. Envanter olmadan, uyum eksikleri görünmez kalır. Bu yüzden KVKK uyumlu yapay zeka çalışmasının ilk pratik adımı, çoğu zaman kapsamlı bir veri işleme envanteri çıkarmaktır.

VERBİS Kaydı Nedir?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), belirli kriterleri karşılayan veri sorumlularının kaydolmak ve işleme faaliyetlerine ilişkin bilgi vermek zorunda olduğu resmî bir sicildir. VERBİS'e kayıt yükümlülüğü, kurumun büyüklüğü ve işlediği verinin niteliğine göre değişir. Yapay zeka projeleri genellikle işlenen veri hacmini ve çeşitliliğini artırdığı için, VERBİS kaydının kapsamını ve doğruluğunu etkileyebilir; yeni bir yapay zeka sistemi devreye alındığında VERBİS beyanının güncellenmesi gerekebilir.

Veri işleme envanteri ile VERBİS birbirini besler: envanter iç belgelemedir, VERBİS ise dışa (Kuruma) beyandır. Sağlam bir envanter olmadan doğru bir VERBİS beyanı yapmak neredeyse imkânsızdır. Bu ikisini güncel tutmak, KVKK uyumlu yapay zeka için hem yasal bir yükümlülük hem de yönetişimin temelidir. Kurumsal yapay zeka yönetişiminin bütününü AI governance nedir yazısında ele alıyoruz.

Veri işleme envanteri ve VERBİS: rol ve kapsam
AraçNiteliğiYapay zekada kritik nokta
Veri işleme envanteriİç belgeleme (yaşayan kayıt)Ham veri → embedding → çıktı zincirini izlemek
VERBİS kaydıResmî sicile beyanYeni sistemde beyanı güncellemek
İlişkiEnvanter VERBİS'i beslerEnvanter yoksa beyan güvenilmez

DPIA (Veri Koruma Etki Değerlendirmesi) Nasıl Yapılır?

DPIA (Data Protection Impact Assessment, veri koruma etki değerlendirmesi), bir işleme faaliyetinin kişilerin hak ve özgürlükleri üzerindeki risklerini önceden değerlendiren ve azaltıcı tedbirleri planlayan sistematik bir çalışmadır. Yapay zeka projeleri, doğaları gereği yüksek riskli işlemeler içerdiği için, DPIA çoğu zaman KVKK uyumlu yapay zeka çalışmasının en kritik parçasıdır. DPIA, riski projeden önce görmenin ve tasarımı buna göre iyileştirmenin yoludur.

DPIA Ne Zaman Gerekir?

DPIA, işlemenin yüksek risk doğurma ihtimali olduğunda önerilir. Yapay zeka bağlamında yüksek risk işaretleri şunlardır: büyük ölçekli kişisel veri işleme; sistematik ve kapsamlı profilleme; özel nitelikli veri (sağlık, biyometri) kullanımı; kişi üzerinde önemli sonuç doğuran otomatik karar; savunmasız grupların (çocuklar, hastalar) verisi; ve yeni bir teknolojinin ilk kez uygulanması. Bir yapay zeka projesi bu işaretlerden birini bile taşıyorsa, DPIA güçlü biçimde önerilir.

DPIA Nasıl Yapılır?

DPIA sistematik bir süreçtir ve tipik olarak beş adımda ilerler: işlemenin ayrıntılı tanımı, gerekliliğin ve orantılılığın değerlendirilmesi, kişiler üzerindeki risklerin belirlenmesi, azaltıcı tedbirlerin planlanması ve sonucun belgelenmesi. Bu süreç bir kez yapılıp bitmez; proje değiştikçe DPIA da güncellenmelidir. DPIA'nın en büyük değeri, riski soyut bir kaygıdan somut, yönetilebilir bir listeye dönüştürmesidir.

Nasıl Yapılır

Yapay zeka projesinde DPIA adımları

Bir veri koruma etki değerlendirmesini baştan sona yürütmenin temel adımları.

  1. 1

    İşlemeyi tanımla

    Hangi veri, hangi amaç, hangi dayanak, hangi akış ve hangi taraflar — ayrıntılı biçimde yaz.

  2. 2

    Gereklilik ve orantılılığı değerlendir

    İşleme gerçekten gerekli mi; daha az müdahaleci bir yol var mı? Veri minimizasyonunu sorgula.

  3. 3

    Riskleri belirle

    Kişiler üzerindeki olası zararları (ayrımcılık, mahremiyet kaybı, hatalı karar) listele ve olasılık/etki ile derecelendir.

  4. 4

    Azaltıcı tedbirleri planla

    Anonimleştirme, erişim kontrolü, insan denetimi, şeffaflık gibi tedbirlerle her riski azalt.

  5. 5

    Belgele ve gözden geçir

    Sonucu yazılı hale getir; proje değiştikçe DPIA'yı güncelle ve düzenli gözden geçir.

DPIA'yı erken yapmanın stratejik faydası vurgulanmalıdır: proje başlamadan yapılan bir DPIA, hem uyumu güvence altına alır hem de tasarımı iyileştirir. Örneğin DPIA sırasında "bu özel nitelikli veri gerçekten gerekli mi?" sorusu, çoğu zaman gereksiz bir veri toplama kaleminin en baştan elenmesini sağlar. Bu yüzden DPIA bir engel değil, tasarımı sadeleştiren bir araçtır. Sorumlu yapay zeka ilkeleriyle DPIA'nın nasıl bütünleştiğini sorumlu yapay zeka nedir yazısında ele alıyoruz.

Otomatik Karar ve Profilleme Sınırları Nelerdir?

Yapay zekanın en hassas kullanımlarından biri, kişiler hakkında otomatik karar vermek ve onları profillemektir. KVKK, kişi hakkında yalnızca otomatik işlemeye dayanılarak verilen ve o kişi üzerinde hukuki sonuç doğuran veya benzer biçimde önemli ölçüde etkileyen kararlara özel bir dikkat gösterir. Bir yapay zeka bir kredi başvurusunu reddediyor, bir iş başvurusunu eliyor veya bir kişiye özel bir fiyat belirliyorsa, bu tam olarak bu hassas alandır.

Bu tür kararlarda temel gereklilik, sürecin sonunda anlamlı bir insan denetiminin bulunmasıdır. "Anlamlı" kelimesi kritiktir: kararı yalnızca onaylayan, modelin çıktısını körlemesine kabul eden bir insan, gerçek bir denetim sağlamaz. Anlamlı insan denetimi, kararı sorgulayabilen, gerektiğinde değiştirebilen ve bunun için yetki ve bilgiye sahip bir insanı gerektirir. Bu denetim, hem KVKK hem de sorumlu yapay zeka açısından temeldir.

İkinci gereklilik, kişinin itiraz ve görüş sunma hakkının kurulmasıdır. Otomatik bir karara maruz kalan kişi; bu karardan haberdar olabilmeli, itiraz edebilmeli, görüşünü sunabilmeli ve gerektiğinde insan müdahalesi talep edebilmelidir. Bu mekanizmalar teknik olarak sisteme gömülmelidir; sonradan eklenen bir "şikâyet formu" çoğu zaman yetersiz kalır. Profillemenin ve otomatik kararın etik boyutunu yapay zekada önyargı nedir yazısıyla birlikte okumak yararlıdır; çünkü otomatik kararların en büyük riski, modeldeki önyargının sistematik ayrımcılığa dönüşmesidir.

Profillemede ek bir dikkat, çıkarımların kişisel veri niteliğidir. Bir model, kişinin doğrudan vermediği bir bilgiyi (örneğin bir sağlık eğilimi, bir siyasi yönelim) davranışından çıkarabilir. Bu çıkarım da kişisel veridir ve bazı durumlarda özel nitelikli veri olabilir. Bu yüzden profilleme sistemleri, yalnızca girdi verisine değil, ürettikleri çıkarımlara da veri koruma açısından bakmalıdır. KVKK uyumlu yapay zeka, "modelin ne öğrendiğini" olduğu kadar "modelin ne çıkardığını" da korumayı gerektirir.

Otomatik karar ve profilleme: risk ve gerekli tedbir
DurumRiskGerekli tedbir
Önemli sonuçlu otomatik kararHatalı/ayrımcı kararAnlamlı insan denetimi + itiraz yolu
Sistematik profillemeMahremiyet ve önyargıDPIA + şeffaflık + sınırlama
Çıkarım üretimiGizli özel nitelikli veriÇıkarımı da kişisel veri say
Savunmasız grup verisiOrantısız zararEk koruma + ihtiyatlı işleme

Veri Güvenliği İçin Hangi Teknik ve İdari Tedbirler Gerekir?

KVKK, veri sorumlusuna kişisel verinin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri alma yükümlülüğü getirir. Yapay zeka projelerinde bu yükümlülük, klasik bir sistemden daha geniş bir yüzeyi kapsar: veri yalnızca bir veritabanında değil, eğitim kümesinde, model parametrelerinde, çıktı kayıtlarında ve üçüncü taraf araçlarında da bulunur. Bu yüzden KVKK uyumlu yapay zeka, güvenliği uçtan uca ele almalıdır.

Teknik tedbirler arasında şunlar öne çıkar: erişim kontrolü (kimin hangi veriye eriştiğinin sıkı yönetimi), şifreleme (veri hem beklerken hem aktarılırken), ağ güvenliği, günlük kaydı ve izleme, ve yapay zekaya özgü olarak model çıktılarının denetimi. Yapay zeka sistemleri, klasik olmayan güvenlik risklerine de açıktır; örneğin bir dil modeline yapılan prompt injection saldırısı, sistemin gizli verileri ifşa etmesine yol açabilir. Bu riski prompt injection nedir yazısında, güvenlik katmanlarını ise guardrail nedir yazısında ele alıyoruz. Modelin hassas veriyi çıktıda sızdırmasını önleyecek guardrail'ler, yapay zekaya özgü bir güvenlik tedbiridir.

İdari tedbirler ise insan ve süreç boyutunu kapsar: veri koruma politikaları, çalışan eğitimleri, gizlilik sözleşmeleri, erişim yetkilerinin düzenli gözden geçirilmesi, veri ihlali müdahale planı ve tedarikçi/alt-işleyici denetimi. Yapay zeka projelerinde çalışanların yapay zekayı doğru ve güvenli kullanması özellikle önemlidir; bu yetkinliği yapay zeka okuryazarlığı nedir ve kurumsal yapay zeka eğitimi nedir yazılarında ele alıyoruz. En iyi teknik tedbir bile, onu yanlış kullanan bir çalışanla etkisiz kalır.

Yapay zekaya özgü bir güvenlik boyutu da model ezberlemesidir: bir model, eğitim verisindeki kişisel bilgileri "ezberleyip" sonradan çıktısında sızdırabilir. Bu risk, özellikle hassas veriyle eğitilmiş modellerde ciddidir ve veri minimizasyonu, anonimleştirme ve çıktı denetimi ile azaltılır. Bulut tabanlı bir modele veri gönderirken, o verinin sağlayıcı tarafından modeli eğitmek için kullanılıp kullanılmadığı da bir güvenlik ve uyum sorusudur; sözleşmede bu açıkça düzenlenmelidir.

Yurt Dışına Veri Aktarımı Yapay Zekada Nasıl Yönetilir?

Modern yapay zeka araçlarının çoğu bulut tabanlıdır ve verisi Türkiye dışındaki sunucularda işlenebilir. Bu, KVKK açısından özel bir konu olan yurt dışına veri aktarımını gündeme getirir. Bir yapay zeka aracının kişisel veriyi yurt dışında işlemesi tek başına yasak değildir; ancak KVKK'nın yurt dışına aktarım kurallarına uyulması gerekir. Bu, bulut/API tabanlı yapay zeka projelerinde en sık atlanan uyum alanlarından biridir.

KVKK, yurt dışına aktarımı belirli güvencelere bağlar. Bunlar arasında ilgili kişinin açık rızası, tarafların yeterli korumayı sağlayacağını taahhüt etmesi (örneğin uygun sözleşmesel güvenceler) veya kanunda öngörülen diğer koşullar bulunur. Pratikte kurumlar; kullandıkları yapay zeka sağlayıcısının verinin nerede işlendiğini, hangi alt-işleyicileri kullandığını ve hangi güvenceleri sunduğunu incelemeli; bir veri işleme sözleşmesiyle bu güvenceleri belgelemelidir.

Yurt dışı aktarım riskini azaltmanın birkaç pratik yolu vardır. Birincisi veri yerelleştirme: mümkünse veriyi Türkiye'de işleyen bir çözüm veya bölge seçmek. İkincisi anonimleştirme: yurt dışına giden veriyi, kişiyi belirlenemez hâle getirerek KVKK kapsamından çıkarmak. Üçüncüsü kendi altyapısında barındırma: açık kaynak bir modeli kurum içinde çalıştırarak veriyi hiç dışarı çıkarmamak. Bu son yaklaşımın ödünleşimlerini açık kaynak LLM nedir yazısında ele alıyoruz; veri egemenliği kritik olduğunda kendi altyapısında barındırma güçlü bir seçenektir.

Düzenlemeye tabi sektörlerde yurt dışı aktarım kuralları daha da katı olabilir. Örneğin bankacılıkta, ek düzenleyici yükümlülükler verinin yurt içinde tutulmasını gerektirebilir. Bu yüzden yurt dışı aktarım kararı, yalnızca KVKK değil, sektörel düzenlemeler de gözetilerek verilmelidir. GDPR ile KVKK'nın bu konudaki paralelliğini ve farklarını GDPR nedir yazısında karşılaştırıyoruz; Avrupa'ya hizmet veren kurumlar için her iki rejim de devreye girebilir.

Saklama ve İmha Politikası Nasıl Kurulur?

Kişisel veri, sonsuza kadar saklanamaz. KVKK, verinin işlendiği amaç için gerekli olan süre kadar saklanmasını; sürenin dolması veya işleme sebebinin ortadan kalkmasıyla verinin silinmesini, yok edilmesini veya anonim hâle getirilmesini gerektirir. Yapay zeka projelerinde saklama ve imha, klasik sistemlerden daha karmaşıktır çünkü veri birçok biçime (ham veri, öznitelik, embedding, model, çıktı) dağılmış olabilir.

Sağlam bir saklama-imha politikası, her veri kategorisi için bir saklama süresi tanımlar ve bu süre dolduğunda otomatik veya periyodik imha mekanizması kurar. Yapay zekada kritik soru şudur: bir kişi verisinin silinmesini talep ettiğinde (silme/unutulma hakkı), bu veri yalnızca ham veritabanından mı silinir, yoksa modelin öğrendiği izleri de kapsar mı? Bu teknik olarak zor bir sorudur; çünkü bir modelin belirli bir kişinin verisini "unutması" kolay değildir. Bu zorluk, en baştan veri minimizasyonu ve anonimleştirme ile yönetilmelidir — model hiç kişisel veri ezberlememişse, silme sorunu büyük ölçüde ortadan kalkar.

İmha, yalnızca ham veriyi silmekle bitmez; yedekler, günlük kayıtları, embedding'ler ve üçüncü taraf araçlardaki kopyalar da kapsanmalıdır. Bir kişisel verinin gerçekten imha edildiğini söyleyebilmek için, o verinin sistemdeki tüm izlerinin ele alınması gerekir. Bu yüzden saklama-imha politikası, veri işleme envanteriyle sıkı biçimde bağlantılıdır: envanter, verinin nerede olduğunu; imha politikası, ne zaman ve nasıl temizleneceğini söyler.

Yapay zekada saklama ve imha: veri biçimi ve dikkat noktası
Veri biçimiSaklama sorusuİmha zorluğu
Ham veriAmaç için gerekli süreGörece kolay silinir
Embedding/öznitelikKişiye bağlanabilir mi?İzleme ve silme zor
Model parametresiEzberleme var mı?Unutturma teknik olarak güç
Çıktı/günlükNe kadar tutulmalı?Yedeklerde gözden kaçar

KVKK Uyumlu Yapay Zeka Kontrol Listesi (Madde Madde)

Şimdi tüm bu ilkeleri, kurumsal bir yapay zeka projesinde uçtan uca uygulanabilecek madde madde bir kontrol listesine dönüştürelim. Bu liste, KVKK uyumlu yapay zeka çalışmasının omurgasıdır; her maddeyi projenizde işaretleyebiliyorsanız, sağlam bir uyum temeliniz var demektir. Liste bilgilendirme amaçlıdır ve hukuki tavsiye yerine geçmez.

KVKK uyumlu yapay zeka için on maddelik uyum kontrol listesi
#Kontrol maddesiNe doğrulanmalı?
1Veri envanteri ve amaçHangi kişisel veri, hangi amaçla işleniyor?
2İşleme dayanağıAçık rıza veya meşru menfaat gibi geçerli bir dayanak var mı?
3Veri minimizasyonu ve amaç sınırlamasıYalnızca gerekli veri, yalnızca belirlenen amaçla mı?
4Aydınlatma yükümlülüğüGüncel bir aydınlatma metni ve yapay zeka şeffaflığı var mı?
5Veri işleme envanteri ve VERBİSEnvanter güncel ve VERBİS beyanı doğru mu?
6DPIAYüksek riskli işleme için etki değerlendirmesi yapıldı mı?
7Otomatik karar ve profillemeİnsan denetimi ve itiraz mekanizması kuruldu mu?
8Teknik ve idari güvenlikŞifreleme, erişim kontrolü, guardrail ve eğitim var mı?
9Yurt dışına aktarımBulut/API sağlayıcı için aktarım güvencesi belgelendi mi?
10Saklama ve imhaSaklama süreleri ve imha mekanizması tanımlı mı?

Bu on maddelik liste, karmaşık görünen KVKK uyumunu yönetilebilir parçalara böler. Önemli olan, listeyi projenin sonunda bir denetim aracı olarak değil, projenin başında bir tasarım rehberi olarak kullanmaktır. Her madde, tasarım aşamasında sorulduğunda ucuz ve kolaydır; proje bittikten sonra sorulduğunda pahalı ve bazen imkânsızdır. KVKK uyumlu yapay zeka, işte bu proaktif yaklaşımla kurulur.

Kontrol listesini kurumsal bir yapay zeka stratejisinin parçası olarak ele almak, tekil projelerden daha güçlüdür. Kurumun genel yapay zeka yönetişimi ve stratejisiyle uyumu birleştirmek için AI governance nedir yazısına ve daha geniş çerçeve için yapay zeka nedir rehberine göz atabilirsiniz. Uyum, izole bir hukuk çalışması değil, yapay zeka stratejisinin bütünleşik bir boyutudur.

Sektörel KVKK Uyumlu Yapay Zeka Örnekleri

KVKK uyumlu yapay zeka, sektöre göre farklı ağırlıklar taşır; çünkü her sektörün işlediği verinin niteliği ve risk profili değişir. Aşağıdaki örnekler, hangi uyum boyutunun hangi sektörde öne çıktığını göstermek içindir; ayrıntılar her kurumun kendi durumuna göre değişir.

Sağlık

Sağlıkta veri, büyük ölçüde özel nitelikli (sağlık) veridir; bu yüzden en katı koruma rejimine tabidir. Bir tanı destek modeli veya hasta öngörü sistemi kuran bir sağlık kuruluşu, çoğu durumda açık rıza veya kanuni istisna arar, DPIA yapar ve verinin yurt dışına aktarımına özellikle dikkat eder. Sağlıkta KVKK uyumlu yapay zeka, neredeyse her zaman DPIA gerektiren yüksek riskli bir alandır.

Finans ve Bankacılık

Finansta ana konular, kredi skorlaması ve dolandırıcılık tespiti gibi otomatik kararlar ve profilleme etrafında yoğunlaşır. Bir kredi başvurusunu değerlendiren model, önemli sonuç doğuran otomatik karar kapsamına girer; bu yüzden anlamlı insan denetimi ve itiraz yolu zorunludur. Ayrıca bankacılıkta sektörel düzenlemeler (ör. BDDK), veri yerelleştirme ve ek güvenlik yükümlülükleri getirebilir; bu, yurt dışı aktarım kararlarını doğrudan etkiler.

Perakende ve Pazarlama

Perakendede ana konu, müşteri profilleme ve kişiselleştirilmiş önerilerdir. Burada işleme dayanağı (çoğu zaman açık rıza veya dengelenmiş meşru menfaat), aydınlatma yükümlülüğü ve amaç sınırlaması öne çıkar. En sık hata, bir amaçla toplanan müşteri verisini, sonradan bir öneri modelini eğitmek için amaç dışı kullanmaktır. Öneri sistemlerinin veri koruma boyutu, veri minimizasyonu ile dengelenmelidir.

İnsan Kaynakları

İşe alım ve çalışan değerlendirmesinde yapay zeka kullanmak, hem otomatik karar hem de önyargı riski taşır. Bir aday eleme modeli, adaylar üzerinde önemli sonuç doğurur; bu yüzden şeffaflık, insan denetimi ve ayrımcılık denetimi kritiktir. İK'da KVKK uyumlu yapay zeka, veri koruma ile ayrımcılık önleme yükümlülüklerinin kesiştiği hassas bir alandır.

Müşteri Hizmetleri

Yapay zeka destekli müşteri hizmetleri ve chatbot'lar, müşteri verisini ve konuşma geçmişini işler. Buradaki kritik nokta, chatbot'a girilen verinin nerede işlendiği (yurt dışı aktarım) ve saklandığıdır. Chatbot'ların temelini chatbot nedir yazısında ele alıyoruz; bir müşteri hizmetleri asistanı kurarken, müşterinin paylaştığı hassas bilginin sağlayıcı tarafından nasıl işlendiği baştan netleştirilmelidir.

Uygulama Kontrol Listesi: KVKK Uyumlu Yapay Zeka Adım Adım

Teoriyi pratiğe dökmek için, bir yapay zeka projesini baştan sona KVKK uyumlu kurmanın adımlarını bir uygulama kontrol listesine dönüştürelim. Bu adımlar, uyumu projenin doğal bir parçası hâline getirir; sonradan eklenen bir yük olmaktan çıkarır.

Nasıl Yapılır

KVKK uyumlu yapay zeka uygulama adımları

Bir yapay zeka projesini tasarımdan işletmeye KVKK uyumlu kurmanın adım adım rehberi.

  1. 1

    Veriyi ve amacı haritala

    Projenin hangi kişisel veriyi, hangi amaçla işlediğini bir envanterde netleştir.

  2. 2

    Dayanağı belirle

    Her işleme için açık rıza veya meşru menfaat gibi geçerli bir dayanak seç ve belgele.

  3. 3

    Veriyi minimize et

    Yalnızca gerekli veriyi işle; mümkün olan her yerde anonimleştir veya takma adlandır.

  4. 4

    Aydınlat ve şeffaf ol

    Güncel bir aydınlatma metni sun; otomatik karar/profilleme varsa açıkça belirt.

  5. 5

    Riski değerlendir (DPIA)

    Yüksek riskli işleme için bir veri koruma etki değerlendirmesi yap.

  6. 6

    Güvenliği kur

    Şifreleme, erişim kontrolü, guardrail ve çalışan eğitimini uygula.

  7. 7

    Aktarım ve saklamayı yönet

    Yurt dışı aktarım güvencelerini ve saklama-imha sürelerini tanımla.

  8. 8

    İzle ve güncelle

    VERBİS, envanter ve DPIA'yı proje değiştikçe düzenli güncelle.

Bu kontrol listesini dar bir pilot projede uygulamak, tüm kurumu bir kerede dönüştürmeye çalışmaktan çok daha akıllıcadır. Küçük ve iyi tanımlı bir yapay zeka kullanımında uyumu baştan sona kurmak, kurumun uyum kasını geliştirir ve sonraki, daha büyük projeleri kolaylaştırır. KVKK uyumlu yapay zeka, bir kerelik bir proje değil, kurumsal bir yetkinliktir. Bu yetkinliği kurmak için ekiplerin yapay zeka ve veri koruma okuryazarlığını birlikte geliştirmesi gerekir; kurumsal eğitim seçenekleri bu açığı kapatmaya yardımcı olur.

KVKK Uyumlu Yapay Zekada Yaygın İhlaller ve Hatalar

Deneyimli bir uyum gözüyle bakıldığında, yapay zeka projelerinde tekrarlayan bir dizi ihlal ve hata görülür. Bu hataların ortak özelliği, çoğunun uyumu projenin sonuna bırakmaktan kaynaklanmasıdır. En sık görülenler şunlardır:

  • Dayanaksız işleme: Kişisel veriyi, geçerli bir işleme dayanağı (açık rıza veya meşru menfaat gibi) belirlemeden işlemek; en temel ve en sık ihlaldir.
  • Amaç kayması: Bir amaçla toplanan veriyi, "madem elimizde var" diyerek bir modeli eğitmek gibi bambaşka bir amaçla kullanmak; amaç sınırlamasını ihlal eder.
  • Eksik veya güncel olmayan aydınlatma: Aydınlatma yükümlülüğünü hiç yerine getirmemek ya da yapay zeka değiştikçe metni güncellememek.
  • Veri minimizasyonunu göz ardı etmek: "Ne bulursak toplayalım, belki modele yarar" yaklaşımı; hem uyumu bozar hem de ihlal riskini büyütür.
  • VERBİS ve envanterin güncellenmemesi: Yeni bir yapay zeka sistemi devreye alınırken veri işleme envanterini ve VERBİS beyanını güncellememek.
  • Otomatik kararda insan denetimi olmaması: Önemli sonuç doğuran bir kararı, itiraz yolu ve anlamlı insan denetimi olmadan tamamen modele bırakmak.
  • Yurt dışı aktarımı denetlememek: Bulut/API araçlarına, verinin nerede işlendiğini ve alt-işleyicileri incelemeden veri göndermek.
  • İmhayı unutmak: Saklama süresi dolan veriyi (ve yedeklerdeki kopyalarını) silmemek; veriyi "her ihtimale karşı" sonsuza dek tutmak.
  • DPIA'yı atlamak: Yüksek riskli bir işlemeyi, etki değerlendirmesi yapmadan başlatmak.

Bu hatalardan kaçınmanın en pratik yolu, uyumu bağımsız bir gözle ve proje başında gözden geçirmektir. Bir yapay zeka danışmanının veya uyum uzmanının katma değeri tam da buradadır: projeye teknik olarak bağlı olmayan, çerçeveyi bilen bir gözün, tasarım aşamasında riskleri yakalaması. Danışmanlığın ne olduğunu yapay zeka danışmanlığı nedir yazısında ele alıyoruz; kurumsal bir KVKK uyumlu yapay zeka mimarisi için yapay zeka danışmanlığı ile başlayabilirsiniz.

KVKK ile EU AI Act İlişkisi Nedir?

KVKK uyumlu yapay zeka çalışırken sık karşılaşılan bir soru, KVKK ile EU AI Act (Avrupa Yapay Zeka Yasası) arasındaki ilişkidir. İki düzenleme sık karıştırılır; oysa farklı şeyleri düzenler ve birbirini tamamlar. Kurumsal projeler, özellikle Avrupa pazarına yönelenler, ikisini birlikte ele almalıdır.

KVKK bir veri koruma kanunudur: kişisel verinin nasıl işleneceğini (dayanak, ilkeler, kişilerin hakları) düzenler. Odağı veridir. EU AI Act ise bir ürün güvenliği ve temel haklar düzenlemesidir: yapay zeka sistemlerini risk seviyelerine göre sınıflandırır (kabul edilemez, yüksek, sınırlı, minimal risk) ve her seviyeye farklı yükümlülükler getirir. Odağı sistemdir. Yani KVKK "veriyle ne yapıyorsun?" diye sorarken, EU AI Act "ne tür bir yapay zeka sistemi kuruyorsun?" diye sorar. EU AI Act'in ayrıntılarını EU AI Act nedir yazısında ele alıyoruz.

Bu ikisi çoğu zaman kesişir. Kişisel veri işleyen yüksek riskli bir yapay zeka sistemi (örneğin işe alım veya kredi skorlama), hem KVKK'nın veri koruma yükümlülüklerine hem de EU AI Act'in yüksek risk yükümlülüklerine tabi olabilir. Bu durumda kurum, iki ayrı uyum çalışması yürütmek yerine, ikisini tek bir yönetişim çerçevesinde birleştirmelidir: örneğin bir DPIA (KVKK) ile bir uygunluk değerlendirmesi (EU AI Act) ortak bir risk analizinden beslenebilir.

KVKK ile EU AI Act: farklar ve kesişim
BoyutKVKKEU AI Act
OdakKişisel verinin işlenmesiYapay zeka sisteminin risk sınıfı
Temel soruVeriyle ne yapıyorsun?Ne tür bir sistem kuruyorsun?
Ana araçDayanak, ilkeler, DPIARisk sınıflandırması, uygunluk
KesişimKişisel veri işleyen sistemYüksek riskli + veri işleyen sistem

Uluslararası çerçeveler de bu tabloya girer. ISO/IEC 42001 (yapay zeka yönetim sistemi standardı) ve NIST AI RMF (yapay zeka risk yönetimi çerçevesi), yapay zeka yönetişimi için gönüllü ama giderek yaygınlaşan referanslardır. Bu çerçeveler, KVKK ve EU AI Act uyumunu operasyonel bir yönetim sistemine dönüştürmede yardımcı olur. GDPR ile KVKK arasındaki paralellik ise Avrupa'ya hizmet veren Türk kurumları için özellikle önemlidir; iki rejimin ilkeleri büyük ölçüde örtüşür ve bir GDPR uyum çalışması, KVKK uyumunu da önemli ölçüde besler.

KVKK Uyumu Olgunluğu Nasıl Ölçülür?

KVKK uyumlu yapay zeka bir kerelik bir hedef değil, sürekli izlenmesi gereken bir olgunluk durumudur. Bir kurum, "uyumlu muyuz?" sorusuna evet/hayır ile değil, bir olgunluk düzeyiyle cevap vermelidir. Uyumu ölçmek, onu yönetilebilir kılar; ölçülmeyen uyum, zamanla aşınır ve fark edilmeden ihlale dönüşür.

Uyum olgunluğunu ölçmenin pratik yolu, birkaç boyutta düzenli bir öz-değerlendirme yapmaktır. Birinci boyut kapsamdır: kurumun tüm yapay zeka sistemleri envantere alınmış ve değerlendirilmiş mi, yoksa sadece bir kısmı mı? İkinci boyut derinliktir: her sistem için on maddelik kontrol listesinin ne kadarı gerçekten karşılanıyor? Üçüncü boyut sürekliliktir: uyum bir kez mi yapıldı, yoksa değişimlerle birlikte güncelleniyor mu? Dördüncü boyut kültürdür: çalışanlar veri korumayı bir yük olarak mı, yoksa doğal bir çalışma biçimi olarak mı görüyor?

Bu boyutları düzenli ölçen bir kurum, uyum eksiklerini ihlale dönüşmeden yakalar. Ölçüm, bir gösterge tablosuna bağlanabilir: kaç yapay zeka sistemi envantere alındı, kaçı için DPIA yapıldı, kaç aydınlatma metni güncel, kaç sistemde otomatik karar denetimi var. Bu metrikler, uyumu soyut bir hedeften somut, izlenebilir bir duruma dönüştürür. Kurumsal yapay zeka yönetişiminin bu ölçüm boyutunu AI governance nedir yazısıyla birlikte ele almak, uyumu stratejiyle bütünleştirir.

Olgunluğun stratejik değeri, ilk projelerde kurulan uyum yetkinliğinin sonraki projeleri hızlandırmasıdır. Uyumu her projede sıfırdan kuran bir kurum yavaş ve pahalı ilerler; oysa bir kez sağlam bir uyum çerçevesi (envanter şablonu, DPIA süreci, aydınlatma metni kütüphanesi, tedarikçi değerlendirme kriterleri) kuran kurum, her yeni yapay zeka projesini bu çerçevenin üzerine hızla inşa eder. Bu yüzden KVKK uyumlu yapay zeka, tekil bir projeden çok, kurumsal bir olgunluk yolculuğu olarak düşünülmelidir.

KVKK Uyumlu Yapay Zeka Yönetişimini Kim Sahiplenmeli?

Bir yapay zeka projesinde uyumun en sık başarısız olduğu nokta, teknik yetersizlik değil, sahiplik boşluğudur. "Uyum herkesin işi" dendiğinde, pratikte çoğu zaman "uyum kimsenin işi" hâline gelir. KVKK uyumlu yapay zeka, açıkça tanımlanmış bir sahiplik yapısı olmadan sürdürülemez; birinin, uyumun gerçekleştiğini izlemekten ve sapmalara müdahale etmekten sorumlu olması gerekir.

Sağlam bir yönetişim modeli, en az üç rolü bir araya getirir. Veri koruma sorumlusu veya irtibat kişisi, kanuni yükümlülüklerin karşılanmasını ve ilgili kişi başvurularının yanıtlanmasını gözetir; uyumun hukuki omurgasını temsil eder. Teknik ekip veya yapay zeka mühendisi, veri minimizasyonu, güvenlik tedbirleri ve teknik kısıtların gerçekten uygulanmasından sorumludur; ilkeleri koda dönüştürür. İş birimi sahibi ise projenin amacını ve faydasını bilir; işleme dayanağının ve amacının gerçekçiliğini değerlendirir. Bu üç rol bir arada olmadan, uyum ya kâğıt üzerinde kalır ya da pratikte uygulanmaz.

Yönetişimin ikinci boyutu, karar mekanizmasıdır. Yeni bir yapay zeka kullanımı önerildiğinde, bunun bir uyum değerlendirmesinden geçmesi gerekir: hangi veri, hangi dayanak, hangi risk, hangi tedbir? Bu değerlendirme resmî bir aşama olarak sürece gömülmezse, projeler uyum kontrolünü atlayarak ilerler ve sorun ancak bir denetimde veya ihlalde ortaya çıkar. Olgun kurumlar, yapay zeka fikirlerini bir "uyum kapısından" geçirir; bu kapı, projeyi engellemek için değil, riski erken görmek için vardır.

Üçüncü boyut, kültürdür. En iyi yönetişim yapısı bile, çalışanlar veri korumayı bir düşman olarak görürse işlemez. KVKK uyumlu yapay zeka, uyumu bir "hayır deme mekanizması" değil, bir "güvenli evet" mekanizması olarak konumlandırmalıdır: doğru kurulduğunda uyum, projeyi durdurmaz; onu güvenle ilerletir. Bu kültürel dönüşüm, üst yönetimin uyuma verdiği açık destekle ve çalışanların düzenli eğitimiyle kurulur. Yönetişimi kurumsal düzeyde ele almak için AI governance nedir ve stratejik çerçeve için yapay zeka danışmanlığı nedir yazıları yol gösterir. Sonuçta uyum, bir belge değil, bir sorumluluk kültürüdür; ve o kültürü kuran kurumlar, yapay zekayı hem hızlı hem güvenli ölçekler.

Veri Sorumlusu ve Veri İşleyen Sorumlulukları Yapay Zekada Nasıl Paylaşılır?

KVKK uyumlu yapay zeka kurarken çoğu zaman göz ardı edilen bir soru, "bu veriden kim sorumlu?" sorusudur. KVKK, iki temel rol tanımlar: işleme amaç ve araçlarını belirleyen veri sorumlusu ile onun adına ve talimatıyla veri işleyen veri işleyen. Bir yapay zeka projesinde bu roller çoğu zaman iç içe geçer; kurum veri sorumlusu, kullandığı bulut/model sağlayıcısı ise veri işleyen konumundadır. Bu ayrımı netleştirmemek, bir ihlal anında sorumluluğun kimde olduğunu belirsiz bırakır.

Rollerin doğru paylaşımı, sözleşmeyle güvence altına alınır. Veri sorumlusu ile veri işleyen arasında, işlemenin konusunu, süresini, amacını, veri türünü ve veri işleyenin yükümlülüklerini tanımlayan yazılı bir veri işleme sözleşmesi (data processing agreement) bulunmalıdır. Bu sözleşme; veri işleyenin yalnızca sorumlunun talimatıyla hareket etmesini, gerekli güvenlik tedbirlerini almasını, alt-işleyici kullanımını sorumluya bildirmesini ve işleme sonunda veriyi silmesini veya iade etmesini kapsamalıdır. Yapay zeka bağlamında bu sözleşmenin en kritik maddesi, sağlayıcının veriyi kendi modellerini eğitmek için kullanıp kullanamayacağını açıkça düzenlemektir.

Sorumluluğun paylaşımında sık yapılan bir hata, "sağlayıcı büyük ve güvenilir, o hâlde uyumu o hallettir" varsayımıdır. Oysa KVKK'da veri sorumlusunun sorumluluğu, veri işleyene devredilemez. Kurum, bir bulut yapay zeka aracı kullansa bile, o araca gönderdiği kişisel veriden birinci derecede sorumlu olmaya devam eder. Bu yüzden sağlayıcı seçimi, yalnızca teknik değil, bir uyum kararıdır: sağlayıcının sunduğu güvenceler, kurumun kendi yükümlülüğünü yerine getirmesine yetecek düzeyde olmalıdır.

Bazı senaryolarda iki taraf ortak veri sorumlusu (joint controller) olabilir; yani işleme amaç ve araçlarını birlikte belirlerler. Bu durumda sorumlulukların nasıl paylaşıldığı ayrıca belirlenmeli ve şeffaf biçimde ilgili kişilere yansıtılmalıdır. Rollerin doğru tanımlanması, KVKK uyumlu yapay zeka mimarisinin görünmeyen ama kritik bir katmanıdır; bir ihlal anında "kimin ne yapması gerektiği" sorusuna önceden verilmiş bir cevaptır.

Üçüncü Taraf Yapay Zeka Araçları ve Tedarikçi Yönetimi Nasıl Denetlenir?

Modern kurumsal yapay zeka, büyük ölçüde üçüncü taraf araçlar üzerine kuruludur: bir dil modeli API'si, bir bulut platformu, bir vektör veritabanı hizmeti, bir gözlemlenebilirlik aracı. Her biri, kişisel veriye dokunabilen bir alt-işleyicidir; ve KVKK uyumlu yapay zeka, yalnızca kurumun kendi sistemini değil, bu tedarik zincirinin tamamını kapsar. Zincirin en zayıf halkası, tüm uyumu riske atabilir.

Tedarikçi denetiminin ilk adımı, bir tedarikçi değerlendirme çerçevesi kurmaktır. Bu çerçeve; sağlayıcının verinin nerede işlendiğini (yurt dışı aktarım), hangi alt-işleyicileri kullandığını, hangi güvenlik sertifikalarına (örneğin ISO/IEC 27001) sahip olduğunu, veri ihlali durumunda bildirim yükümlülüğünü nasıl yerine getirdiğini ve verinin sağlayıcı tarafından model eğitimi için kullanılıp kullanılmadığını sorgular. Bu sorulara net cevap veremeyen bir sağlayıcı, ne kadar popüler olursa olsun bir uyum riskidir.

Yapay zeka araçlarında özellikle dikkat edilmesi gereken bir nokta, "gölge yapay zeka" (shadow AI) olgusudur: çalışanların, kurumun onayı ve denetimi olmadan, kişisel veriyi halka açık yapay zeka araçlarına girmesidir. Bir çalışanın müşteri verisini bir sohbet aracına yapıştırması, farkında olmadan bir yurt dışı aktarımı ve amaç dışı işleme yaratabilir. Bu risk, teknik engellerden çok kültür ve eğitimle yönetilir; çalışanların hangi veriyi hangi araca girebileceğini net bir politika ile bilmesi gerekir. Bu yüzden yapay zeka okuryazarlığı, KVKK uyumlu yapay zekanın teknik değil insani bir bileşenidir.

Tedarikçi yönetimi bir kerelik değil, sürekli bir faaliyettir. Sağlayıcılar politikalarını değiştirir, yeni alt-işleyiciler ekler, veri işleme koşullarını günceller. Bu yüzden tedarikçi değerlendirmesi periyodik olarak yenilenmeli ve sözleşmeler güncel tutulmalıdır. Bir kez onaylanan bir aracın, zamanla uyumsuz hâle gelmesi mümkündür; sürekli denetim, bu kaymayı erken yakalar. KVKK uyumlu yapay zeka, tedarik zincirini canlı bir risk olarak izlemeyi gerektirir.

Veri İhlali Durumunda Yapay Zeka Projesinde Ne Yapılmalı?

KVKK uyumlu yapay zeka, ihlallerin hiç yaşanmayacağını varsaymaz; iyi tasarlanmış bir sistem, ihlal ihtimalini azaltır ama sıfırlayamaz. Bu yüzden uyumun ayrılmaz bir parçası, bir veri ihlali müdahale planıdır. KVKK, kişisel verilerin hukuka aykırı biçimde ele geçirilmesi hâlinde, veri sorumlusunun bunu en kısa sürede ilgili Kurul'a ve etkilenen kişilere bildirmesini öngörür. Bir yapay zeka projesinde bu yükümlülüğü yerine getirebilmek için, önceden kurulmuş bir sürecin olması gerekir.

Yapay zeka bağlamında ihlal, klasik bir veri sızıntısından daha çeşitli biçimlerde ortaya çıkabilir: bir prompt injection saldırısıyla modelin gizli veriyi ifşa etmesi, bir yanlış yapılandırmayla model çıktısının hassas bilgiyi sızdırması, bir alt-işleyicideki açık veya bir çalışanın hassas veriyi halka açık bir araca girmesi. Bu çeşitlilik, ihlal tespitini zorlaştırır; çünkü sızıntı bir veritabanı değil, bir model çıktısı üzerinden gerçekleşebilir. Bu yüzden yapay zeka sistemlerinde çıktı izleme ve günlük kaydı, yalnızca kalite için değil, ihlal tespiti için de kritiktir.

Sağlam bir müdahale planı dört adımı içerir: tespit (ihlali hızlı fark edecek izleme), sınırlama (etkilenen sistemi hızla izole etme), değerlendirme (hangi verinin, kaç kişinin etkilendiğini belirleme) ve bildirim (Kurul'a ve gerekiyorsa ilgili kişilere yasal süre içinde haber verme). Bu planın önceden yazılı ve tatbik edilmiş olması, gerçek bir ihlal anında panik yerine düzenli bir tepki sağlar. KVKK uyumlu yapay zeka, "ihlal olmayacak" varsayımına değil, "ihlal olursa hazırız" gerçekçiliğine dayanır.

İlgili Kişi Hakları Yapay Zekada Nasıl Yerine Getirilir?

KVKK, kişilere (ilgili kişilere) verileri üzerinde bir dizi hak tanır: bilgi talep etme, işlenip işlenmediğini öğrenme, düzeltme, silme, işlemeye itiraz ve otomatik kararlara karşı görüş sunma. KVKK uyumlu yapay zeka, bu hakları yalnızca kâğıt üzerinde tanımakla kalmaz; teknik olarak da uygulanabilir kılar. Bir kişi hakkını kullanmak istediğinde, sistemin buna cevap verebilir olması gerekir.

Yapay zekada bu hakların yerine getirilmesi, klasik sistemlerden daha zordur. Örneğin bir kişi verisinin silinmesini talep ettiğinde, bu veri yalnızca ham veritabanında değil; embedding'lerde, önbelleklerde, günlük kayıtlarında ve muhtemelen modelin öğrendiği örüntülerde de bulunabilir. "Silme hakkı"nı gerçekten yerine getirebilmek için, verinin sistemdeki tüm izlerini bulacak bir mimari gerekir; ve bu mimari, en baştan veri minimizasyonu ve iyi bir veri işleme envanteri ile kurulur. Envanter yoksa, verinin nerede olduğu bilinmez; bilinmeyen veri de silinemez.

Bir başka zorluk, düzeltme hakkıdır. Bir model, bir kişi hakkında yanlış bir çıkarım üretmişse (örneğin yanlış bir risk skoru), kişinin bunu düzelttirme hakkı vardır. Ancak modelin ürettiği bir çıkarımı "düzeltmek", ham bir veriyi düzeltmekten farklıdır; çoğu zaman modelin girdisini veya kararını gözden geçirmeyi gerektirir. Bu yüzden ilgili kişi haklarını yerine getirebilen bir yapay zeka sistemi, insan denetimi ve şeffaflık katmanlarını baştan içermelidir.

Pratikte kurumlar, ilgili kişi başvurularını karşılamak için bir süreç kurmalıdır: başvuruların nereye yapılacağı, kim tarafından ve hangi sürede yanıtlanacağı, ve yapay zeka sistemlerinde verinin nasıl bulunup işleneceği. Bu sürecin varlığı, KVKK uyumlu yapay zekanın hem yasal hem de itibar açısından güçlü bir göstergesidir; bir kuruma "haklarımı kullanabiliyorum" diyebilen bir müşteri, o kuruma güvenir.

Tasarımdan İtibaren Veri Koruma (Privacy by Design) Neden Temeldir?

Bu rehber boyunca tekrar eden bir tema, uyumu projenin sonuna değil başına koymaktır. Bu ilkenin adı, tasarımdan itibaren veri koruma (privacy by design) ve varsayılan olarak veri koruma (privacy by default) ilkeleridir. KVKK uyumlu yapay zeka, en güçlü hâline ancak bu ilkeler mimariye gömüldüğünde ulaşır; sonradan eklenen uyum, her zaman daha zayıf ve daha pahalıdır.

Tasarımdan itibaren veri koruma, veri korumayı bir sonradan-düşünce değil, bir tasarım gereksinimi olarak ele almak demektir. Bir yapay zeka projesi tasarlanırken, "bu özelliği nasıl yaparız?" sorusuyla birlikte "bu özelliği en az kişisel veriyle nasıl yaparız?" sorusu da sorulur. Bu ikili düşünme, çoğu zaman daha zarif çözümler üretir: gereksiz veri toplamayan, anonimleştirmeyi baştan kuran, erişimi sınırlayan bir mimari, hem daha uyumlu hem de çoğu zaman daha basittir.

Varsayılan olarak veri koruma ise, sistemin en gizlilik-korumacı ayarlarla gelmesini gerektirir. Yani bir yapay zeka aracı, varsayılan olarak en az veriyi toplamalı, en dar erişimi sunmalı ve en kısa saklama süresini uygulamalıdır; daha fazlası ancak bilinçli bir kararla açılmalıdır. Bunun tersi — her şeyin açık geldiği, kullanıcının kısıtlamaları sonradan kapatması gereken bir sistem — hem KVKK'ya aykırıdır hem de ihlal riskini artırır.

Bu iki ilkenin pratik değeri, uyumu bir "engel" olmaktan çıkarıp bir "tasarım kalitesi" göstergesine dönüştürmesidir. İyi tasarlanmış bir yapay zeka sistemi, zaten büyük ölçüde uyumludur; çünkü gereksiz veri toplamaz, amaç dışına çıkmaz ve erişimi kontrol eder. Bu yüzden deneyimli ekipler, KVKK uyumunu ayrı bir "uyum projesi" olarak değil, iyi mühendisliğin doğal bir sonucu olarak ele alır. Tasarımdan itibaren veri koruma, KVKK uyumlu yapay zekanın felsefi ve pratik temelidir.

Sıkça Sorulan Sorular

KVKK uyumlu yapay zeka nedir ve nasıl kurulur?

KVKK uyumlu yapay zeka, kişisel veri işleyen bir yapay zeka sisteminin Kişisel Verilerin Korunması Kanunu'nun ilkelerine ve yükümlülüklerine uygun tasarlanması, kurulması ve işletilmesidir. Kurmak için önce projenin hangi kişisel veriyi, hangi amaçla ve hangi işleme dayanağıyla (açık rıza veya meşru menfaat) işlediği netleştirilir; ardından veri minimizasyonu, amaç sınırlaması, aydınlatma yükümlülüğü, veri işleme envanteri ve VERBİS kaydı, gerektiğinde DPIA, otomatik karar sınırları, teknik-idari güvenlik, yurt dışı aktarım kuralları ve saklama-imha politikası birlikte uygulanır. Bu bir hukuki tavsiye değildir.

Yapay zeka projesinde açık rıza mı yoksa meşru menfaat mi işleme dayanağı olmalı?

Duruma göre değişir. Açık rıza, kişinin özgür iradesiyle, belirli bir konuda ve bilgilendirilmiş olarak verdiği onaydır; her zaman geri çekilebilir olması ve bir hizmetin ön koşuluna bağlanmaması gerekir. Meşru menfaat ise veri sorumlusunun makul menfaatinin, kişinin temel hak ve özgürlüklerine zarar vermeden dengelenmesiyle kullanılan bir dayanaktır ve bir denge testi belgelenmelidir. Özel nitelikli veri (sağlık, biyometrik vb.) işleniyorsa çoğu durumda açık rıza veya kanunda öngörülen istisna aranır. Doğru dayanağın seçimi projeye özgüdür ve hukuki görüşle netleştirilmelidir.

Yapay zekada veri minimizasyonu ne anlama gelir?

Veri minimizasyonu, bir yapay zeka sisteminin yalnızca belirlenen amaç için gerekli olan asgari kişisel veriyi işlemesi ilkesidir. Pratikte bu; eğitim veri kümesinden gereksiz alanların çıkarılması, mümkün olduğunda anonimleştirme veya takma adlandırma, yalnızca gerekli özniteliklerin modele verilmesi ve "belki lazım olur" mantığıyla veri toplanmaması anlamına gelir. Veri minimizasyonu hem KVKK uyumunu güçlendirir hem de veri ihlali durumunda riski azaltır.

Yapay zeka projelerinde DPIA (veri koruma etki değerlendirmesi) ne zaman gerekir?

DPIA, bir işleme faaliyetinin kişilerin hak ve özgürlükleri üzerinde yüksek risk doğurma ihtimali olduğunda yapılan sistematik bir değerlendirmedir. Yapay zeka bağlamında; büyük ölçekli kişisel veri işleme, sistematik profilleme, özel nitelikli veri kullanımı, otomatik kararla önemli sonuç doğurma veya yeni bir teknolojinin ilk kez kullanılması gibi durumlarda DPIA güçlü biçimde önerilir. DPIA; işlemenin tanımı, gerekliliği ve orantılılığı, risklerin belirlenmesi ve azaltıcı tedbirlerin planlanmasını içerir. Erken yapılırsa hem uyumu güvence altına alır hem de tasarımı iyileştirir.

Yapay zeka otomatik karar verirken KVKK hangi sınırları getirir?

Kişi hakkında yalnızca otomatik işlemeye (profilleme dâhil) dayanarak verilen ve o kişi üzerinde hukuki sonuç doğuran veya benzer biçimde önemli ölçüde etkileyen kararlar özel dikkat gerektirir. Bu tür kararlarda kişinin bilgilendirilmesi, karara itiraz edebilmesi, görüşünü sunabilmesi ve gerektiğinde insan müdahalesi talep edebilmesi için mekanizmalar kurulmalıdır. Yapay zeka bir başvuruyu reddediyor, bir fiyatı belirliyor veya bir kişiyi sınıflandırıyorsa, sürecin sonunda anlamlı bir insan denetimi bulunmalıdır. Bu, hem KVKK hem de sorumlu yapay zeka açısından temel bir gerekliliktir.

Bulut tabanlı yapay zeka araçları KVKK'ya uygun mu; yurt dışına veri aktarımı sorun mu?

Bulut veya API tabanlı bir yapay zeka aracı kullanmak tek başına aykırılık değildir; ancak veri yurt dışındaki bir sunucuda işleniyorsa, yurt dışına aktarım kurallarına uyulmalıdır. KVKK, yurt dışına aktarımı belirli koşullara (açık rıza, yeterli koruma sağlayan taahhütler veya kanunda öngörülen diğer güvenceler) bağlar. Pratikte kurumlar; sözleşmesel güvenceleri, veri işleme sözleşmelerini, verinin nerede işlendiğini ve alt-işleyicileri incelemeli, mümkünse veri yerelleştirme veya anonimleştirme ile riski azaltmalıdır. Düzenlemeye tabi sektörlerde daha katı yükümlülükler olabilir.

KVKK ile EU AI Act arasındaki ilişki nedir; ikisine birden uymak gerekir mi?

KVKK ve EU AI Act farklı şeyleri düzenler ama tamamlayıcıdır. KVKK, kişisel verinin işlenmesini (dayanak, ilkeler, haklar) düzenleyen bir veri koruma kanunudur. EU AI Act ise yapay zeka sistemlerini risk seviyelerine (kabul edilemez, yüksek, sınırlı, minimal) göre sınıflandıran ve yüksek riskli sistemlere yükümlülükler getiren bir ürün-güvenliği/temel-haklar düzenlemesidir. Avrupa pazarına yapay zeka sistemi sunan Türk kurumları her ikisine birden dikkat etmelidir; kişisel veri işleyen yüksek riskli bir sistem hem KVKK hem EU AI Act kapsamına girebilir. İkisini tek bir yönetişim çerçevesinde ele almak en verimli yoldur.

Yapay zeka projelerinde en sık görülen KVKK ihlalleri nelerdir?

En sık görülenler: geçerli bir işleme dayanağı olmadan veri işlemek; aydınlatma yükümlülüğünü hiç veya eksik yerine getirmek; veri minimizasyonunu göz ardı edip "ne bulursak toplayalım" yaklaşımı; kişisel veriyi toplama amacının dışında (örneğin modeli eğitmek için) kullanmak; VERBİS kaydını ve veri işleme envanterini güncellememek; otomatik kararda insan denetimi ve itiraz yolu koymamak; yurt dışı aktarımı ve alt-işleyicileri denetlemeden bulut araçlarına veri göndermek; saklama süresi dolan veriyi imha etmemek; ve DPIA gerektiren yüksek riskli işlemeyi değerlendirmeden başlatmak. Bu ihlallerin ortak kökeni, uyumu projenin sonuna bırakmaktır.

Küçük bir işletme KVKK uyumlu yapay zeka için nereden başlamalı?

Küçük bir işletme, önce hangi yapay zeka aracını hangi kişisel veriyle kullandığını basit bir envanterle listeler. Sonra her kullanım için işleme dayanağını, amacı ve saklama süresini yazar; aydınlatma metnini günceller; kullandığı bulut/araç sağlayıcısının verinin nerede işlendiğini ve KVKK güvencelerini kontrol eder. Yüksek riskli bir kullanım (örneğin müşteri profilleme, otomatik karar) varsa basit bir DPIA yapar. Bu adımlar, büyük bir hukuk departmanı olmadan da uyumun büyük kısmını sağlar; belirsiz veya yüksek riskli durumlarda uzman görüşü alınmalıdır.

KVKK uyumlu yapay zeka için hazır bir kontrol listesi var mı?

Evet, bu rehberdeki kontrol listesi on başlıkta toplanır: (1) veri envanteri ve amaç, (2) işleme dayanağı (açık rıza/meşru menfaat), (3) veri minimizasyonu ve amaç sınırlaması, (4) aydınlatma yükümlülüğü, (5) veri işleme envanteri ve VERBİS, (6) DPIA, (7) otomatik karar ve profilleme sınırları, (8) teknik ve idari güvenlik tedbirleri, (9) yurt dışına aktarım, (10) saklama ve imha. Her maddeyi projenizde işaretleyebiliyorsanız, KVKK uyumlu yapay zeka için sağlam bir temeliniz var demektir. Bu liste bilgilendirme amaçlıdır ve hukuki tavsiye yerine geçmez.

Özetle: KVKK Uyumlu Yapay Zeka Nasıl Kurulur?

Özetle KVKK uyumlu yapay zeka, kişisel veri işleyen bir yapay zeka sistemini KVKK'nın ilke ve yükümlülüklerine uygun biçimde, tasarımdan itibaren kurmaktır. Bu; geçerli bir işleme dayanağı (açık rıza veya meşru menfaat) seçmeyi, veri minimizasyonu ve amaç sınırlamasını uygulamayı, aydınlatma yükümlülüğünü yerine getirmeyi, veri işleme envanteri ve VERBİS'i güncel tutmayı, gerektiğinde DPIA yapmayı, otomatik karar ve profilleme sınırlarına uymayı, teknik-idari güvenliği kurmayı, yurt dışı aktarımı yönetmeyi ve saklama-imha politikasını tanımlamayı gerektirir.

En önemli mesaj şudur: uyum, projenin sonuna bırakılan bir formalite değil, tasarımın bir parçasıdır. On maddelik kontrol listesini projenin başında bir tasarım rehberi olarak kullanan kurumlar, hem hızlı hem güvenli ilerler; uyumu sona bırakanlar ise pahalı ve bazen imkânsız düzeltmelerle karşılaşır. KVKK ve EU AI Act'i tek bir yönetişim çerçevesinde birleştirmek, Avrupa'ya hizmet veren kurumlar için özellikle verimlidir. Bu içerik bilgilendirme amaçlıdır ve hukuki tavsiye yerine geçmez; her kurum kendi durumu için uzman görüşü almalıdır.

Temel kavramlar için KVKK nedir, kişisel veri nedir ve yapay zeka nedir rehberlerine göz atabilir; KVKK uyumlu bir yapay zeka mimarisinin kavramsal temeli için KVKK uyumlu yapay zeka nedir yazısına bakabilir; kurumunuza özel bir uyum ve yapay zeka yol haritası için yapay zeka danışmanlığı ile başlayabilir, ekiplerinizin veri koruma yetkinliği için kurumsal eğitim seçeneklerini inceleyebilir ve tüm kavramları öğrenme merkezinde derinleştirebilirsiniz.

Danismanlik Baglantilari

Bu yazıya en yakın consulting sayfaları

Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.

Yorumlar

Yorumlar

Bağlantılı Pillar Konular

Bu yazının bağlandığı pillar konular