Skip to content

KVKK + EU AI Act Regulation: Turkish LLM Engineer's Legal Guide — Building Compliance Pipeline

Regulation guide for Turkish LLM engineer: KVKK (Law 6698) all relevant articles, **EU AI Act** (June 2024) risk categories (prohibited, high-risk, limited, minimal), dilemma of Turkish company serving EU (both KVKK and AI Act compliance). Production compliance pipeline: VERBİS registration, data inventory, GDPR-compliant logging, KVKK board audits, AI Act high-risk documentation. Real cases and fines (KVKK with $50K+ fines).

Şükrü Yusuf KAYA
85 min read
Advanced
KVKK + AB AI Act Regülasyon: Türk LLM Mühendisinin Hukuki Rehberi — Compliance Pipeline Kurmak
⚖️ Türk LLM Mühendisinin Hukuki Manzarası
AI mühendisi olmak teknik bir iş gibi görünür. Ama production'a deploy ettiğin an sen artık hukuki bir aktörsün. Türkiye'de 2 ana regülasyon:
(1) KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu, 2016): Kullanıcı verisini işleyen herkes için zorunlu. LLM'ler kişisel veri işliyor (sohbet geçmişi, ad, soyad, vs.). Compliance şart.
(2) AB AI Act (Haziran 2024): Avrupa'da operasyonun varsa veya AB vatandaşına hizmet veriyorsan. Türkçe LLM ürününü ihraç ediyorsan (KOBİ hedef pazarı AB).
İki regülasyon birlikte uygulanır çoğu Türkçe SaaS için. Hem KVKK hem AI Act.
Cezalar gerçek:
  • KVKK: 2024'te SAP'a 2.5M TL ceza, Türkiye operasyonu için. Trendyol 1.6M TL.
  • AB AI Act: yıllık global cironun %7'sine kadar. €35M+ max ceza.
Bu ders Türk LLM mühendisinin hukuki rehberi. Compliance pipeline kurmayı öğretiyor. 85 dakika sonra: VERBİS kaydından AI Act yüksek-risk dokumentasyonuna kadar tüm prosedürleri biliyor olacaksın. Hukukçu değilsin (avukat tut), ama temel hukuk literacy sahibi mühendis.

Bu Derste Neler Var? (11 Bölüm)#

  1. KVKK genel çerçeve — 6698 sayılı kanun
  2. KVKK ve LLM — hangi maddeler relevant
  3. VERBİS kaydı — adım adım
  4. Veri envanteri ve işleme — LLM bağlamı
  5. AB AI Act tanıtım — 4 risk kategorisi
  6. AI Act risk kategorileri detay
  7. Türk şirketin AB ikilemi
  8. Compliance pipeline implementation
  9. Gerçek dava + ceza örnekleri
  10. Türk LLM mühendisi için 10 must-know madde
  11. Egzersizler

1-4. KVKK Detaylı#

1.1 KVKK genel çerçeve#

KVKK = Kişisel Verilerin Korunması Kanunu. 7 Nisan 2016. Türkiye'nin GDPR-tarzı kanunu.
İlke: 'Kişisel veri işleyen herkes bu kanuna tabi.' İstisna yok.
KVK Kurulu: bağımsız denetim organı. Şikayet alır, denetim yapar, ceza kesebilir.

2.1 KVKK ve LLM — Relevant Maddeler#

Madde 3 — Tanımlar:
  • Kişisel veri: belirli/belirlenebilir gerçek kişiye ait her bilgi
  • LLM bağlamı: kullanıcı sohbet logları, ad, e-posta, IP, lokasyon — hepsi kişisel veri
Madde 4 — Genel İlkeler:
  • Hukuka uygunluk + dürüstlük
  • Doğruluk + güncellik
  • Belirli, açık ve meşru amaçlar için işleme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü
  • Veri minimizasyonu — LLM için kritik
Madde 5 — İşleme Şartları:
  • Açık rıza veya
  • Kanunlarda öngörülmesi
  • Meşru menfaat (LLM ürünleri için sık kullanılır)
Madde 6 — Özel Nitelikli Veriler:
  • Sağlık, cinsel hayat, din, siyasi görüş — extra korumalı
  • LLM bunları işlerse: açık rıza şart
Madde 11 — Veri Sahibinin Hakları:
  • Bilgi alma
  • Düzeltme
  • Silme/anonimleştirme
  • İşlemeye itiraz
  • LLM context: kullanıcı 'sohbet geçmişimi sil' diyebilir, retain hakkın yok
Madde 12 — Veri Güvenliği:
  • Yeterli güvenlik tedbirleri (encryption, access control)
  • Veri ihlali bildirim: 72 saat içinde KVK Kurulu'na
Madde 16 — VERBİS Kaydı:
  • Veri sorumlusu siciline kayıt zorunlu (çoğu LLM ürünü için)

3.1 VERBİS Kaydı Adım Adım#

VERBİS = Veri Sorumluları Sicili. kvk.gov.tr üzerinden online.
Adımlar:
  1. KEP (Kayıtlı Elektronik Posta) adresi alın
  2. e-Devlet ile veri sorumlusu kaydı başlat
  3. Şirket bilgileri
  4. Veri sorumlusu temsilcisi atama
  5. Veri kategorileri tanımlama (LLM için: ad, sohbet logları, vs.)
  6. İşleme amaçları
  7. Aktarım bilgileri (yurt dışı sunucu kullanıyorsanız önemli)
  8. Saklama süreleri
  9. Kabul + kayıt tamamlama
Zaman: 2-3 saat. Maliyet: KEP ~₺500/yıl, VERBİS ücretsiz.
İstisna: yıllık cirosu < ₺25M VE çalışan < 50 ise VERBİS zorunlu değil. Ama yine de KVKK kurallarına uymak gerek.

4.1 Veri Envanteri + İşleme#

KVKK madde 7 'Veri İşleme Envanteri' gerektiriyor:
Kategori | Veri tipi | Amaç | Hukuki sebep | Saklama süresi | Aktarım
---|---|---|---|---|---
Kullanıcı kayıt | Ad, e-posta, telefon | Hesap | Açık rıza | Hesap aktifken | AWS Frankfurt (AB-Türkiye DPA)
Sohbet logları | LLM input/output | Servis sağlama | Meşru menfaat | 30 gün | Aynı sunucu, encrypted
Ödeme | Kredi kartı | Faturalandırma | Sözleşme | 10 yıl (vergi) | Stripe (PCI-DSS)
IP + log | Teknik | Güvenlik | Meşru menfaat | 6 ay | Aynı sunucu
Bu envanter KVK Kurulu denetiminde gösterilmek zorunda.

5-8. AB AI Act Detaylı + Türk Şirket İkilemi#

5.1 AB AI Act tanıtım#

Regulation (EU) 2024/1689. Haziran 2024'te onaylandı. 2026 Şubat'tan itibaren tam yürürlükte (geçiş dönemleri var).
İlke: AI sistemleri risk seviyesine göre regüle edilir. 4 kategori:
(1) Yasak (Prohibited): hiç izin verilmiyor
  • Sosyal puanlama (Çin tarzı)
  • Subliminal manipülasyon
  • Çocukları sömüren AI
  • Workplace duygu tanıma (sınırlamalı)
  • Real-time biometric in public (police sınırlı izinli)
(2) Yüksek Risk (High-Risk): ağır documentation + uygunluk değerlendirme
  • Kritik altyapı (enerji, transport)
  • Eğitim (okul-üniversite admission, sınav puanlama)
  • İstihdam (CV taraması, performance management)
  • Temel hizmetler (sağlık, banka kredisi)
  • Yargı sistemi
  • Sınır kontrolü
  • LLM ürünleri sıklıkla buraya düşüyor (CV tarama, kredi değerlendirme, vs.)
(3) Sınırlı Risk (Limited): transparency yükümlülükleri
  • Chatbot (kullanıcıya 'AI ile konuşuyorsun' bildirimi)
  • Deepfake (etiketleme)
  • Emotion recognition (bilgilendirme)
(4) Minimal Risk: regülasyon yok
  • Spam filter, basit oneri sistemleri
  • Çoğu basit LLM uygulaması

6.1 Yüksek-Risk LLM için Yükümlülükler#

Yüksek-risk kategorisine düşersen (örn: CV tarama yapan asistan):
Madde 9-15:
  • Risk management system (sistematik dökümantasyon)
  • Data governance (training data dokumentasyonu, bias analizi)
  • Technical documentation (model card, evaluation results)
  • Record-keeping (log retention 10 yıl)
  • Transparency (user'a AI olduğunu açıkça söyle)
  • Human oversight (insan denetimi mümkün olmalı)
  • Accuracy, robustness, cybersecurity
Madde 43 — Conformity Assessment:
  • Independent audit veya self-assessment (kritik high-risk için audit zorunlu)
  • CE marking (Avrupa)

7.1 Türk Şirket AB İkilemi#

Senaryo: Türk SaaS'in, AB vatandaşı kullanabilen Türkçe LLM ürünü.
Hem KVKK hem AI Act:
  • KVKK (Türkiye operasyonu)
  • AI Act (AB kullanıcısı varsa)
Pratik adımlar:
  1. AB-Türkiye veri akışı için Data Processing Addendum (DPA) sözleşmesi (örn. AWS Frankfurt kullan)
  2. AB AI Act risk değerlendirme (genelde 'sınırlı risk', chatbot bilgilendirme)
  3. Eğer high-risk: technical documentation + conformity assessment
  4. AB temsilci (representative) atama (zorunlu AB'de operasyonu olmasa bile)

8.1 Compliance Pipeline Implementation#

Production-grade compliance:
Adım 1: Audit log infrastructure
import logging
from datetime import datetime
import hashlib

def log_llm_request(user_id, input_text, output_text, model_name):
    log_entry = {
        'timestamp': datetime.utcnow().isoformat(),
        'user_id_hash': hashlib.sha256(user_id.encode()).hexdigest(),  # anonymize
        'input_hash': hashlib.sha256(input_text.encode()).hexdigest(),  # don't store raw text
        'input_length': len(input_text),
        'output_length': len(output_text),
        'model': model_name,
        'pii_detected': has_pii(input_text),  # KVKK flag
    }
    # SQLite veya PostgreSQL
    db.execute('INSERT INTO audit_log ...', log_entry)
Adım 2: Data retention policy
  • Sohbet logları: 30 gün
  • Audit log: 6 ay (KVKK denetim için)
  • High-risk AI: 10 yıl (AB AI Act)
Adım 3: Data deletion endpoint
@app.delete('/user/data')
def delete_user_data(user_id):
    # KVKK madde 11 — kullanıcı silme hakkı
    db.execute('DELETE FROM sohbetler WHERE user_id = ?', user_id)
    db.execute('DELETE FROM kullanicilar WHERE id = ?', user_id)
    # Audit log: silindiğini logla
    return {'status': 'deleted'}
Adım 4: Veri ihlali response plan
  • 24 saat içinde tespit
  • 72 saat içinde KVK Kurulu bildirim
  • Etkilenen kullanıcılara bilgi
  • Forensic analiz

9.1 Gerçek Cezalar ve Davalar#

KVK Kurulu cezaları (2023-2024):
  • SAP Türkiye (2024): 2.5M TL — uygunsuz veri aktarımı
  • Trendyol (2023): 1.6M TL — yetersiz güvenlik
  • Yemeksepeti (2023): 500K TL — veri ihlali yönetimi
  • Sahibinden.com (2022): 700K TL — açık rıza eksikliği
Çoğu Türk SaaS şirketi karşılaştı.
AB AI Act (2026'dan itibaren):
  • ChatGPT'nin İtalya kısa banı (Mart 2023): GDPR ihlali
  • Henüz büyük AI Act cezası yok (yeni yürürlükte)
  • Tahmini ilk büyük dava: 2026 sonu - 2027
✅ Ders 22.2 Özeti — KVKK + AB AI Act
Türk LLM mühendisinin regülasyon manzarası: KVKK (Türkiye, 2016, zorunlu) ve AB AI Act (AB, 2024, AB kullanıcısı varsa). KVKK relevant maddeler: 4 (genel ilkeler), 5 (işleme şartları), 11 (silme hakkı), 12 (güvenlik), 16 (VERBİS). VERBİS kaydı: 2-3 saat online, e-Devlet üzerinden. AB AI Act risk kategorileri: yasak/yüksek-risk/sınırlı/minimal. Çoğu Türkçe LLM 'sınırlı risk' (chatbot bilgilendirme yeterli). Compliance pipeline: audit log + data retention + deletion endpoint + breach response plan. Cezalar gerçek: KVKK 500K-2.5M TL, AI Act max €35M. Sonraki ders: capstone — production-grade KVKK + AI Act compliant Türkçe LLM stack.

Sonraki Ders: Capstone Compliance Stack#

Ders 22.3'te Türkçe Production LLM Compliance Stack capstone. Modül 14-21'deki 12 production artefakt'ını KVKK + AB AI Act uyumlu hale getirmek. Audit log + encryption + deletion endpoint + breach response + AB temsilci + AI Act dokumentasyon. Müfredatın 13. production artefaktı + müfredatın kapanış kurdelesi.

Frequently Asked Questions

**Starting costs**: **KVKK** (~$500-2000/year): - VERBİS registration: free - KEP: $50/year - Lawyer initial setup: $500-1500 (one-time) - Audit log hosting: $20/month - KVK board audit: be prepared but rare **EU AI Act** (if EU users, ~$1000-5000/year): - Risk assessment: lawyer $500-2000 (one-time) - EU representative (required): $300-1000/year (service provider) - Documentation maintenance: your time - If high-risk: this number 10x increases **Total (start-up first year)**: $1500-7000. **Yearly recurring**: $500-3000. For large companies (1M+ users): $50K-500K compliance budget. **Pragmatic**: $2K/year for small bootstrap startup. Without this investment, you're taking **risk** (fines > investment).

Yorumlar & Soru-Cevap

(0)
Yorum yazmak için giriş yap.
Yorumlar yükleniyor...

Related Content

Module 0: Course Framework & Workshop Setup

Who Is an LLM Engineer? The AI Engineering Career Ladder from Junior to Staff

Start Learning
Module 0: Course Framework & Workshop Setup

Course Philosophy: Why This Path, Why This Order — The Skeleton of an 8-Month Curriculum

Start Learning
Module 0: Course Framework & Workshop Setup

Workshop Setup: uv, PyTorch 2.5+, CUDA, WSL2, Mac MPS, Triton, FlashAttention, Nsight

Start Learning

Connected pillar topics

Pillar topics this article maps to

Pillar Topic

AI Governance and EU AI Act Compliance

AI Governance is the corporate framework that ensures AI systems — from design to use — meet ethical, safety, transparency, explainability and legal-compliance requirements (EU AI Act, GDPR/KVKK, ISO 42001).