# Aydınlatma, Açık Rıza, VERBİS: AI Projelerinde KVKK Pratiği

> Source: https://sukruyusufkaya.com/blog/ai-projelerinde-kvkk-pratigi
> Updated: 2026-07-12T07:27:15.877Z
> Type: blog
> Category: yapay-zeka
**TLDR:** AI projelerinde KVKK pratiği: aydınlatma yükümlülüğü, açık rıza, meşru menfaat, VERBİS, veri işleme envanteri ve DPIA adım adım, şablonlarla anlatılıyor.

<tldr data-summary="[&quot;AI projelerinde KVKK pratiği, kişisel veri işleyen bir yapay zeka projesinde KVKK yükümlülüklerini soyut ilkelerden somut, belgelenebilir adımlara dönüştürmektir.&quot;,&quot;Her işleme geçerli bir dayanağa ihtiyaç duyar: açık rıza son çare ve geri alınabilir bir onaydır; meşru menfaat belgelenmiş bir denge testi gerektirir.&quot;,&quot;Aydınlatma yükümlülüğü yapay zekada iki katmanlıdır: klasik aydınlatma metni ve otomatik karar/profilleme hakkında anlaşılır şeffaflık.&quot;,&quot;Veri işleme envanteri ve VERBİS, uyumun belgelenmiş omurgasıdır ve yeni sistemde güncellenmelidir.&quot;,&quot;DPIA, büyük ölçekli işleme, sistematik profilleme, özel nitelikli veri veya önemli sonuçlu otomatik kararda güçlü biçimde önerilir.&quot;,&quot;Yapay zeka sağlayıcıları çoğu zaman veri işleyendir; veri sorumlusunun sorumluluğu devredilemez ve ilişki sözleşmeye bağlanmalıdır.&quot;,&quot;AI projelerinde KVKK pratiği tasarımdan itibaren (privacy by design) kurulmalıdır; sona bırakılan uyum pahalıdır.&quot;]" data-one-line="AI projelerinde KVKK pratiğinin kısa cevabı: işleme dayanağı, aydınlatma yükümlülüğü, veri işleme envanteri, VERBİS ve DPIA'yı bir yapay zeka projesinin yaşam döngüsüne baştan gömmek."></tldr>

AI projelerinde KVKK pratiği nedir? AI projelerinde KVKK pratiği, kişisel veri işleyen bir yapay zeka projesinde Kişisel Verilerin Korunması Kanunu'nun (KVKK, 6698 sayılı Kanun) yükümlülüklerini soyut ilkelerden çıkarıp somut, uygulanabilir ve belgelenebilir adımlara dönüştürme disiplinidir. Bu adımlar; geçerli bir işleme dayanağı seçmeyi (açık rıza veya meşru menfaat), aydınlatma yükümlülüğünü yerine getirmeyi, veri işleme envanteri çıkarıp gerekiyorsa VERBİS kaydını güncellemeyi, yüksek riskli işlemede DPIA yapmayı ve yapay zeka sağlayıcılarıyla ilişkiyi sözleşmeye bağlamayı kapsar.

Bu rehber, "yapay zeka kullanalım mı?" sorusunu değil, "yapay zekayı KVKK'ya uygun biçimde nasıl kurar ve işletiriz?" sorusunu yanıtlıyor. Bir yönetim danışmanı ve uyum mühendisi titizliğiyle, yapay zeka projelerinde kvkk yükümlülüklerini aydınlatma, açık rıza, meşru menfaat, VERBİS, veri işleme envanteri ve DPIA başlıkları altında adım adım, şablon iskeletleriyle ele alıyoruz. Önemli bir not: bu içerik bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz; her kurum kendi özel durumu için hukuk ve uyum uzmanlarıyla çalışmalıdır. Kanunun genel çerçevesi için <a href="/blog/kvkk-nedir">KVKK nedir</a> ve kişisel verinin tanımı için <a href="/blog/kisisel-veri-nedir">kişisel veri nedir</a> rehberleri iyi bir başlangıçtır.

<definition-box data-term="AI Projelerinde KVKK Pratiği" data-definition="Kişisel veri işleyen bir yapay zeka projesinde, Kişisel Verilerin Korunması Kanunu'nun (KVKK, 6698 sayılı Kanun) yükümlülüklerini somut, uygulanabilir ve belgelenebilir adımlara dönüştürme disiplinidir. Geçerli bir işleme dayanağı (açık rıza veya meşru menfaat), aydınlatma yükümlülüğü, veri işleme envanteri ve VERBİS, gerektiğinde DPIA, veri sorumlusu-veri işleyen ilişkisi, teknik-idari güvenlik, yurt dışına aktarım ve saklama-imha politikasını bir yapay zeka projesinin yaşam döngüsüne gömmeyi kapsar." data-also="yapay zeka projelerinde kvkk, AI KVKK uyum pratiği, yapay zeka veri koruma uygulaması"></definition-box>

## AI Projelerinde KVKK Pratiği Neden Bu Kadar Önemli?

Yapay zeka projeleri, kurumların en değerli ve en hassas varlığıyla — kişisel veriyle — çalışır. Bir müşteri hizmetleri asistanı müşteri kayıtlarını, bir işe alım modeli aday özgeçmişlerini, bir öneri sistemi kullanıcı davranışını işler. Bu yüzden AI projelerinde KVKK pratiği "iyi olsa iyi olur" bir eklenti değil, projenin en başında ele alınması gereken bir tasarım gereksinimidir. Kanun, yapay zeka kelimesini özel olarak tanımlamaz; ancak bir yapay zeka sistemi kişisel veri işlediği ölçüde, kanunun tüm ilke ve yükümlülükleri bu sisteme doğrudan uygulanır.

Birinci kritiklik nedeni yaptırım riskidir. KVKK, kişisel verilerin hukuka aykırı işlenmesi, aydınlatma yükümlülüğünün ihlali, veri güvenliği tedbirlerinin alınmaması ve VERBİS yükümlülüğüne aykırılık hâllerinde idari para cezaları öngörür. Yapay zeka projelerinde işlenen veri hacmi büyük olduğu için, bir ihlalin etkisi geleneksel bir sistemden çok daha geniş olabilir. Güncel ceza tutarları her yıl yeniden değerleme oranıyla değiştiğinden, kesin rakamlar için KVKK Kurumu'nun güncel duyurularına bakılmalıdır; bu rehberde uydurma bir rakam vermek yerine "KVKK'da öngörülen idari para cezaları" genel ifadesini kullanıyoruz.

İkinci neden itibar ve güvendir. Kurumlar, müşterilerinin verisini yapay zekaya emanet ettiğinde, bu emanetin kötüye kullanılmayacağına dair bir güven sözü verir. Kötü tasarlanmış bir profilleme sistemi veya bir veri ihlali, bu güveni bir gecede yok edebilir. Bu yüzden yapay zeka projelerinde kvkk uyumu, aynı zamanda bir marka koruma stratejisidir. Üçüncü neden sürdürülebilirliktir: uyumu sonradan eklemek pahalı, çoğu zaman imkânsızdır. Kişisel veriyi ayrımsız toplayarak eğitilmiş bir modeli, sonradan "bu veriyi işleme hakkımız var mıydı?" diye sorgulamak, modeli baştan kurmak anlamına gelebilir.

Türkiye özelinde bir boyut daha var: benimseme hızı. We Are Social'ın "Digital 2026" verisine göre Türkiye, üretken yapay zeka araçlarından web'e yönlendirilen trafik payında dünya birincisidir. Bu yüksek benimseme, kurumların yapay zekayı hızla kullanıma aldığı ama uyumu aynı hızda kuramadığı bir boşluk yaratır. İşte AI projelerinde KVKK pratiğini disiplinle kuran kurumlar, bu boşluğu kapatır ve hem hızlı hem güvenli ilerler. Bu rehber boyunca amacımız, bu disiplini soyut bir yükümlülük listesi olmaktan çıkarıp, bir yapay zeka projesinin her aşamasında uygulanabilir, ölçülebilir ve belgelenebilir bir çalışma biçimine dönüştürmektir; çünkü kâğıt üzerinde kalan bir uyum, gerçek bir koruma sağlamaz.

<stat-callout data-value="Dünya 1.'si" data-context="Türkiye, We Are Social &quot;Digital 2026&quot; verisine göre üretken yapay zeka araçlarından web'e yönlendirilen trafik payında dünya birincisidir; bu yüksek benimseme," data-outcome="AI projelerinde KVKK pratiğini, yapay zekayı hızla devreye alan kurumlar için stratejik bir zorunluluk hâline getirir." data-source="{&quot;label&quot;:&quot;Euronews TR / Digital 2026&quot;,&quot;url&quot;:&quot;https://tr.euronews.com/next/2026/01/04/turkiye-chatgpt-trafiginde-yuzde-9449luk-oranla-dunya-birincisi&quot;,&quot;date&quot;:&quot;2026-01&quot;}"></stat-callout>

<callout-box data-type="info" data-title="Uyum bir engel değil, bir tasarım disiplinidir">AI projelerinde KVKK pratiği ilk bakışta projeyi yavaşlatan bir yük gibi görünür; oysa doğru kurulduğunda tam tersini yapar. Uyumu baştan ele almak hangi verinin gerçekten gerekli olduğunu netleştirir, mimariyi sadeleştirir ve sonradan çıkacak sürprizleri önler. En pahalı uyum, projeyi bitirdikten sonra yapılandır.</callout-box>

## Yapay Zeka Yaşam Döngüsünde KVKK Nerede Devreye Girer?

AI projelerinde KVKK pratiğini doğru kurmak için, önce kanunun bir yapay zeka projesinin hangi aşamalarında devreye girdiğini görmek gerekir. Yaygın bir yanılgı, uyumu yalnızca "veri toplama" anına bağlamaktır; oysa işleme, verinin modelin içindeki tüm yolculuğunu kapsar. Veriyi toplama, modeli eğitme, modeli çalıştırma (çıkarım) ve çıktıyı saklama — hepsi birer işleme faaliyetidir ve her biri bir dayanak ile ilkelere uygunluk gerektirir.

Bu bütünsel bakış üç önemli sonuç doğurur. Birincisi, işleme her aşamada geçerlidir: bir amaçla toplanan veriyi modeli eğitmek için kullanmak, ayrı bir işleme faaliyetidir ve orijinal amaçla bağdaşmıyorsa amaç sınırlaması ilkesini ihlal edebilir. İkincisi, çıkarımlar da kişisel veridir: bir model bir kişi hakkında bir tahmin (kredi riski, ilgi alanı, sağlık eğilimi) üretiyorsa, bu üretilen bilgi de kişisel veridir ve korunmalıdır. Üçüncüsü, özel nitelikli veriye özel dikkat gerekir: sağlık, biyometri, din, siyasi görüş gibi veriler daha katı korumaya tabidir.

Bu yüzden yapay zeka projelerinde kvkk uyumu, klasik bir veritabanından daha dikkatli bir yaklaşım ister. Model, kişisel veriyi "ezberleyebilir", çıktıda sızdırabilir veya beklenmedik çıkarımlar üretebilir. AI projelerinde KVKK pratiği, "modelin ne öğrendiğini" olduğu kadar "modelin ne çıkardığını" da korumayı gerektirir. Aşağıdaki tablo, kanunun devreye girdiği aşamaları ve her aşamadaki temel soruyu özetliyor.

<comparison-table data-caption="Yapay zeka yaşam döngüsünde KVKK'nın devreye girdiği aşamalar" data-headers="[&quot;Aşama&quot;,&quot;İşleme faaliyeti&quot;,&quot;Başlıca KVKK sorusu&quot;]" data-rows="[{&quot;feature&quot;:&quot;Veri toplama&quot;,&quot;values&quot;:[&quot;Eğitim/çalışma verisinin edinilmesi&quot;,&quot;Hangi dayanakla, hangi amaçla?&quot;]},{&quot;feature&quot;:&quot;Model eğitimi&quot;,&quot;values&quot;:[&quot;Kişisel verinin öğrenmede kullanımı&quot;,&quot;Amaç sınırlaması ihlal ediliyor mu?&quot;]},{&quot;feature&quot;:&quot;Çıkarım (inference)&quot;,&quot;values&quot;:[&quot;Kişi hakkında tahmin üretme&quot;,&quot;Çıkarım kişisel veri; korunuyor mu?&quot;]},{&quot;feature&quot;:&quot;Otomatik karar&quot;,&quot;values&quot;:[&quot;Modelin sonucuna göre işlem&quot;,&quot;İnsan denetimi ve itiraz var mı?&quot;]},{&quot;feature&quot;:&quot;Saklama&quot;,&quot;values&quot;:[&quot;Veri ve çıktının tutulması&quot;,&quot;Saklama süresi ve imha tanımlı mı?&quot;]}]"></comparison-table>

## İşleme Dayanağı: Açık Rıza mı Meşru Menfaat mi?

AI projelerinde KVKK pratiğinin ilk ve en temel adımı, her işleme faaliyeti için geçerli bir hukuki dayanak bulmaktır. KVKK'ya göre kişisel veri, ancak kanunda sayılan işleme şartlarından birine dayanılarak işlenebilir; dayanaksız işleme, ne kadar iyi niyetli olursa olsun hukuka aykırıdır. Bu yüzden her yapay zeka projesi, "bu veriyi hangi dayanakla işliyorum?" sorusuna net bir cevap vermelidir. Kanunun 5. maddesi genel nitelikli veriler için, 6. maddesi ise özel nitelikli veriler için daha katı bir rejim tanımlar.

Sık yapılan bir hata, açık rızayı otomatik ilk tercih saymaktır. Oysa KVKK'da açık rıza, diğer işleme şartları uygulanamadığında başvurulan bir dayanaktır. Madde 5, kanunlarda öngörülme, sözleşmenin kurulması/ifası için gereklilik, veri sorumlusunun hukuki yükümlülüğü, alenileştirme, bir hakkın tesisi/kullanılması ve meşru menfaat gibi şartları sayar; bunların hiçbiri uygulanamıyorsa açık rıza aranır. Doğru dayanağın seçimi, yapay zeka projelerinde kvkk uyumunun en kritik hukuki kararlarından biridir.

### Açık Rıza Ne Zaman ve Nasıl Alınır?

Açık rıza, kişinin belirli bir konuda, bilgilendirilmiş olarak ve özgür iradesiyle verdiği onaydır. Üç unsuru vardır: belirli bir konuya ilişkin olmalı, aydınlatmaya dayanmalı ve özgür irade ile açıklanmalıdır. En önemli özelliği geri alınabilir olmasıdır; kişi rızasını dilediği zaman geri çekebilmeli ve bu geri çekme sistemde teknik olarak da uygulanabilir olmalıdır. Ayrıca açık rıza bir hizmetin ön koşuluna bağlanamaz — "rıza vermezsen hizmet yok" dayatması rızayı geçersiz kılar. Genel (battaniye) bir rıza da geçersizdir; her amaç için ayrı ve anlaşılır bir rıza gerekir.

Yapay zeka projelerinde açık rızanın pratik zorluğu, veri kullanımının zaman içinde değişebilmesidir. Bir modeli eğitmek için toplanan veriyi sonradan başka bir amaç için kullanmak, ilk rızanın kapsamı dışına çıkabilir. Bu yüzden açık rızaya dayanan projelerde rızanın kapsamı baştan yeterince açık tanımlanmalı, amaç genişlerse yeni rıza alınmalıdır. Rızanın alındığı an, kapsamı ve geri çekme kaydı ispat için saklanmalıdır; çünkü KVKK'da ispat yükü büyük ölçüde veri sorumlusundadır.

### Meşru Menfaat ve Denge Testi Nasıl Kurulur?

Meşru menfaat, veri sorumlusunun makul ve gerçek bir menfaatinin, kişinin temel hak ve özgürlüklerini zedelemeden dengelenmesiyle kullanılan bir dayanaktır. Esnektir ama keyfî değildir: kullanılabilmesi için bir denge testi (menfaat dengesi analizi) yapılmalı ve belgelenmelidir. Bu testte kurumun menfaati ile kişinin makul beklentileri ve hakları tartılır; işleme kişinin haklarına orantısız zarar veriyorsa, meşru menfaat dayanak olamaz. Denge testi, meşru menfaatin görünmeyen ama zorunlu belgesidir.

Yapay zekada meşru menfaat, örneğin dolandırıcılık tespiti veya sistem güvenliği gibi kişinin de yararına olan işlemelerde uygun olabilir. Ancak yaygın bir hata, meşru menfaati "açık rıza almaktan kaçınmanın kolay yolu" olarak kullanmaktır. Denge testi olmadan kullanıldığında meşru menfaat en kırılgan dayanaktır; denetimde ilk sorgulanan da budur. Özel nitelikli veri söz konusuysa kural daha da katıdır: bu veriler için çoğu durumda açık rıza veya kanunda açıkça öngörülen bir istisna aranır ve meşru menfaat tek başına yeterli olmayabilir. Yüz tanıma gibi biyometrik sistemlerde bu ayrım hayatidir; konuyu <a href="/blog/yuz-tanima-nedir">yüz tanıma nedir</a> yazısında da ele alıyoruz.

<comparison-table data-caption="Açık rıza ile meşru menfaat dayanağının karşılaştırması" data-headers="[&quot;Boyut&quot;,&quot;Açık rıza&quot;,&quot;Meşru menfaat&quot;]" data-rows="[{&quot;feature&quot;:&quot;Temel mantık&quot;,&quot;values&quot;:[&quot;Kişinin bilgilendirilmiş onayı&quot;,&quot;Dengelenmiş kurumsal menfaat&quot;]},{&quot;feature&quot;:&quot;Belgeleme&quot;,&quot;values&quot;:[&quot;Rıza kaydı, kapsam metni&quot;,&quot;Denge testi (menfaat analizi)&quot;]},{&quot;feature&quot;:&quot;Geri alma&quot;,&quot;values&quot;:[&quot;Her zaman geri alınabilir&quot;,&quot;İtiraz hakkı vardır&quot;]},{&quot;feature&quot;:&quot;Tipik kullanım&quot;,&quot;values&quot;:[&quot;Pazarlama, opsiyonel özellikler&quot;,&quot;Güvenlik, dolandırıcılık tespiti&quot;]},{&quot;feature&quot;:&quot;Risk&quot;,&quot;values&quot;:[&quot;Geri çekilirse işleme durur&quot;,&quot;Denge testi zayıfsa geçersiz&quot;]}]"></comparison-table>

<callout-box data-type="warning" data-title="Açık rıza her derde deva değildir">Yaygın bir yanlış, her işlemeyi açık rızaya bağlamaktır. Açık rıza geri alınabilir olduğundan, kişi rızasını çektiğinde işlemeye devam etmek hukuka aykırı hâle gelir; modelin eğitildiği veri için bu ciddi bir kırılganlıktır. Bu yüzden mümkün olduğunda sözleşme gerekliliği, hukuki yükümlülük veya iyi belgelenmiş meşru menfaat gibi daha dayanıklı şartlar değerlendirilmeli; açık rıza gerçekten son çare olarak kullanılmalıdır.</callout-box>

## Aydınlatma Yükümlülüğü Yapay Zekada Nasıl Yerine Getirilir?

Aydınlatma yükümlülüğü, veri sorumlusunun kişisel veriyi işlemeden önce ilgili kişiyi bilgilendirmesi zorunluluğudur. KVKK'ya göre kişi; kimin, hangi veriyi, hangi amaçla, hangi dayanakla işlediğini, kimlere aktarıldığını ve haklarının neler olduğunu bilme hakkına sahiptir. AI projelerinde KVKK pratiğinde aydınlatma yükümlülüğü, hem klasik anlamda hem de yapay zekaya özgü bir şeffaflık boyutuyla yerine getirilmelidir. Aydınlatma, açık rızadan farklı bir kavramdır: aydınlatma bir bilgilendirmedir ve her işlemede gereklidir; açık rıza ise yalnızca bir dayanak olarak kullanıldığında gerekir.

Klasik boyut, bir aydınlatma metninin (privacy notice) hazırlanıp kişiye sunulmasıdır. Bu metin; veri sorumlusunun kimliği, işleme amaçları, hukuki dayanak, aktarılan taraflar, saklama süresi ve ilgili kişinin hakları gibi unsurları içermelidir. Yapay zeka söz konusu olduğunda metnin, verinin bir yapay zeka sistemi tarafından işlendiğini ve varsa otomatik karar/profilleme yapıldığını da açıkça belirtmesi gerekir. Kişi, verisinin bir modeli beslediğini bilme hakkına sahiptir; bunu gizlemek aydınlatma yükümlülüğünün ihlalidir.

Yapay zekaya özgü boyut ise anlaşılabilir şeffaflıktır. Bir yapay zeka sistemi bir kişi hakkında karar veriyor veya onu profilliyorsa, aydınlatma yalnızca "yapay zeka kullanıyoruz" demekle yetinemez; sürecin mantığı hakkında anlamlı bilgi vermelidir. Bu, modelin tüm teknik ayrıntısını açıklamak değil, kişinin "neye göre değerlendirildiğini" makul ölçüde anlamasını sağlamaktır. Bu şeffaflık hem KVKK hem de açıklanabilir yapay zeka açısından bir gerekliliktir; konuyu <a href="/blog/aciklanabilir-yapay-zeka-nedir">açıklanabilir yapay zeka nedir</a> yazısında derinleştiriyoruz.

Aydınlatma yükümlülüğünde en sık hata, metni bir kez yazıp unutmaktır. Yapay zeka sistemleri hızla değişir: yeni veri kaynakları eklenir, yeni amaçlar ortaya çıkar, model yeni çıktılar üretir. Metin bu değişimi yansıtacak biçimde güncel tutulmazsa, teknik olarak var olan ama içerik olarak yanlış bir aydınlatma ortaya çıkar. Aydınlatma canlı bir belge olarak ele alınmalıdır; bu disiplin, yapay zeka projelerinde kvkk uyumunun görünmeyen ama belirleyici bir parçasıdır.

<callout-box data-type="info" data-title="Şeffaflık bir yük değil, bir güven aracıdır">Aydınlatma yükümlülüğü çoğu zaman 'yapılması gereken bir formalite' gibi görülür; oysa iyi yapıldığında güçlü bir güven aracıdır. Kişilere verilerinin nasıl kullanıldığını açık ve anlaşılır anlatmak, hem uyumu sağlar hem de kurumun sorumlu yapay zeka konumlanmasını güçlendirir. Sorumlu yapay zekanın çerçevesini <a href=&quot;/blog/sorumlu-yapay-zeka-nedir&quot;>sorumlu yapay zeka nedir</a> yazısında ele alıyoruz.</callout-box>

## VERBİS ve Veri İşleme Envanteri: Nasıl Çıkarılır ve Güncellenir?

AI projelerinde KVKK pratiği, yalnızca doğru davranmayı değil, doğru davrandığını belgeleyebilmeyi de gerektirir. Bu belgelemenin iki temel aracı, veri işleme envanteri ve VERBİS kaydıdır. Bunlar olmadan bir kurum, "verilerimizi hukuka uygun işliyoruz" iddiasını kanıtlayamaz; ve KVKK'da ispat yükü büyük ölçüde veri sorumlusundadır. Yapay zeka projelerinde bu ikili özellikle kritiktir, çünkü yapay zeka veriyi sürekli dönüştürür.

### Veri İşleme Envanteri Nedir ve Nasıl Hazırlanır?

Veri işleme envanteri, kurumun hangi kişisel veriyi, hangi amaçla, hangi dayanakla, ne kadar süreyle sakladığını, kimlere aktardığını ve hangi güvenlik tedbirlerini aldığını gösteren yaşayan bir kayıttır. Bir yapay zeka projesinde envanter çıkarmak için önce tüm veri kaynakları ve akışları haritalanır; sonra her işleme faaliyeti için amaç, dayanak, veri kategorisi, alıcı grupları, saklama süresi ve aktarım bilgileri yazılır. Yapay zekada kritik nokta, verinin ham veri, öznitelik, embedding, model parametresi ve çıktı olarak farklı biçimlere girmesidir; iyi bir veri işleme envanteri bu dönüşüm zincirini izlenebilir kılar.

Veri işleme envanterinin pratik değeri, bir "kör nokta" haritası olmasıdır: kurum, envanteri çıkarırken çoğu zaman fark etmediği işlemeleri keşfeder — bir bulut aracına giden veri, bir alt-işleyicide tutulan kayıt, bir modelin ürettiği ve saklanan çıkarım. Envanter olmadan uyum eksikleri görünmez kalır. Bu yüzden AI projelerinde KVKK pratiğinin ilk pratik adımı, çoğu zaman kapsamlı bir veri işleme envanteri çıkarmaktır. Envanter aynı zamanda ilgili kişi haklarının (özellikle silme hakkının) yerine getirilmesinin de önkoşuludur: verinin nerede olduğu bilinmezse silinemez.

### VERBİS Kaydı Kimler İçin Zorunlu?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), belirli kriterleri karşılayan veri sorumlularının kaydolmak ve işleme faaliyetlerine ilişkin bilgi vermek zorunda olduğu resmî bir sicildir. VERBİS'e kayıt yükümlülüğü, kurumun büyüklüğü (çalışan sayısı, mali bilanço) ve işlediği verinin niteliğine göre değişir; güncel eşikler için Kurum'un duyurularına bakılmalıdır. Yapay zeka projeleri genellikle işlenen verinin hacmini ve çeşitliliğini artırdığı için, VERBİS beyanının kapsamını ve doğruluğunu etkileyebilir.

Veri işleme envanteri ile VERBİS birbirini besler: envanter iç belgelemedir, VERBİS ise dışa (Kuruma) beyandır. Sağlam bir envanter olmadan doğru bir VERBİS beyanı yapmak neredeyse imkânsızdır. Yeni bir yapay zeka sistemi devreye alındığında, önce veri işleme envanteri güncellenmeli, ardından VERBİS beyanı buna göre gözden geçirilmelidir. Bu ikisini güncel tutmak, yapay zeka projelerinde kvkk uyumu için hem yasal bir yükümlülük hem de yönetişimin temelidir. Kurumsal yapay zeka yönetişiminin bütününü <a href="/blog/ai-governance-nedir">AI governance nedir</a> yazısında ele alıyoruz.

<comparison-table data-caption="Veri işleme envanteri ve VERBİS: rol ve yapay zekada kritik nokta" data-headers="[&quot;Araç&quot;,&quot;Niteliği&quot;,&quot;Yapay zekada kritik nokta&quot;]" data-rows="[{&quot;feature&quot;:&quot;Veri işleme envanteri&quot;,&quot;values&quot;:[&quot;İç belgeleme (yaşayan kayıt)&quot;,&quot;Ham veri → embedding → çıktı zincirini izlemek&quot;]},{&quot;feature&quot;:&quot;VERBİS kaydı&quot;,&quot;values&quot;:[&quot;Resmî sicile beyan&quot;,&quot;Yeni sistemde beyanı güncellemek&quot;]},{&quot;feature&quot;:&quot;İlişki&quot;,&quot;values&quot;:[&quot;Envanter VERBİS'i besler&quot;,&quot;Envanter yoksa beyan güvenilmez&quot;]}]"></comparison-table>

## DPIA Ne Zaman Zorunlu? Veri Koruma Etki Değerlendirmesi Adım Adım

DPIA (Data Protection Impact Assessment, veri koruma etki değerlendirmesi), bir işleme faaliyetinin kişilerin hak ve özgürlükleri üzerindeki risklerini önceden değerlendiren ve azaltıcı tedbirleri planlayan sistematik bir çalışmadır. Yapay zeka projeleri doğaları gereği yüksek riskli işlemeler içerdiği için, DPIA çoğu zaman AI projelerinde KVKK pratiğinin en kritik parçasıdır. DPIA, riski projeden önce görmenin ve tasarımı buna göre iyileştirmenin yoludur.

### DPIA Ne Zaman Gerekir?

DPIA, işlemenin yüksek risk doğurma ihtimali olduğunda önerilir. Yapay zeka bağlamında yüksek risk işaretleri şunlardır: büyük ölçekli kişisel veri işleme; sistematik ve kapsamlı profilleme; özel nitelikli veri (sağlık, biyometri) kullanımı; kişi üzerinde önemli sonuç doğuran otomatik karar; savunmasız grupların (çocuklar, hastalar) verisi; ve yeni bir teknolojinin ilk kez uygulanması. Bir yapay zeka projesi bu işaretlerden birini bile taşıyorsa, DPIA güçlü biçimde önerilir. Bir kredi skorlama modeli, bir işe alım eleme sistemi veya bir sağlık öngörü modeli, neredeyse her zaman DPIA gerektiren yüksek riskli işlemelerdir.

### DPIA Nasıl Yapılır?

DPIA sistematik bir süreçtir ve tipik olarak beş adımda ilerler: işlemenin ayrıntılı tanımı, gerekliliğin ve orantılılığın değerlendirilmesi, kişiler üzerindeki risklerin belirlenmesi, azaltıcı tedbirlerin planlanması ve sonucun belgelenmesi. Bu süreç bir kez yapılıp bitmez; proje değiştikçe DPIA da güncellenmelidir. DPIA'nın en büyük değeri, riski soyut bir kaygıdan somut, yönetilebilir bir listeye dönüştürmesidir. Yapay zekaya özgü bir DPIA şablonuyla çalışmak süreci hızlandırır.

<howto-steps data-name="Yapay zeka projesinde DPIA adımları" data-description="Bir veri koruma etki değerlendirmesini baştan sona yürütmenin temel adımları." data-steps="[{&quot;name&quot;:&quot;İşlemeyi tanımla&quot;,&quot;text&quot;:&quot;Hangi veri, hangi amaç, hangi dayanak, hangi akış ve hangi taraflar — ayrıntılı biçimde yaz.&quot;},{&quot;name&quot;:&quot;Gereklilik ve orantılılığı değerlendir&quot;,&quot;text&quot;:&quot;İşleme gerçekten gerekli mi; daha az müdahaleci bir yol var mı? Veri minimizasyonunu sorgula.&quot;},{&quot;name&quot;:&quot;Riskleri belirle&quot;,&quot;text&quot;:&quot;Kişiler üzerindeki olası zararları (ayrımcılık, mahremiyet kaybı, hatalı karar) listele ve olasılık/etki ile derecelendir.&quot;},{&quot;name&quot;:&quot;Azaltıcı tedbirleri planla&quot;,&quot;text&quot;:&quot;Anonimleştirme, erişim kontrolü, insan denetimi, şeffaflık gibi tedbirlerle her riski azalt.&quot;},{&quot;name&quot;:&quot;Belgele ve gözden geçir&quot;,&quot;text&quot;:&quot;Sonucu yazılı hale getir; proje değiştikçe DPIA'yı güncelle ve düzenli gözden geçir.&quot;}]"></howto-steps>

DPIA'yı erken yapmanın stratejik faydası vurgulanmalıdır: proje başlamadan yapılan bir DPIA, hem uyumu güvence altına alır hem de tasarımı iyileştirir. Örneğin DPIA sırasında "bu özel nitelikli veri gerçekten gerekli mi?" sorusu, çoğu zaman gereksiz bir veri toplama kaleminin en baştan elenmesini sağlar. Bu yüzden DPIA bir engel değil, tasarımı sadeleştiren bir araçtır. Veri minimizasyonu ve anonimleştirme, DPIA'da en sık önerilen azaltıcı tedbirlerdir; anonimleştirme yöntemlerini <a href="/blog/veri-anonimlestirme-nedir">veri anonimleştirme nedir</a> yazısında bulabilirsiniz.

## Veri Sorumlusu ve Veri İşleyen İlişkisi Yapay Zeka Sağlayıcılarıyla Nasıl Kurulur?

Modern kurumsal yapay zeka, büyük ölçüde üçüncü taraf sağlayıcılar üzerine kuruludur: bir dil modeli API'si, bir bulut platformu, bir vektör veritabanı hizmeti. AI projelerinde KVKK pratiğinde çoğu zaman göz ardı edilen bir soru, "bu veriden kim sorumlu?" sorusudur. KVKK iki temel rol tanımlar: işleme amaç ve araçlarını belirleyen veri sorumlusu ile onun adına ve talimatıyla veri işleyen veri işleyen. Bir yapay zeka projesinde kurum genellikle veri sorumlusu, kullandığı bulut/model sağlayıcısı ise veri işleyendir.

Rollerin doğru paylaşımı sözleşmeyle güvence altına alınır. Veri sorumlusu ile veri işleyen arasında; işlemenin konusunu, süresini, amacını, veri türünü ve veri işleyenin yükümlülüklerini tanımlayan yazılı bir veri işleme sözleşmesi (data processing agreement) bulunmalıdır. Bu sözleşme; veri işleyenin yalnızca sorumlunun talimatıyla hareket etmesini, gerekli güvenlik tedbirlerini almasını, alt-işleyici kullanımını sorumluya bildirmesini ve işleme sonunda veriyi silmesini veya iade etmesini kapsamalıdır. Yapay zeka bağlamında en kritik madde, sağlayıcının veriyi kendi modellerini eğitmek için kullanıp kullanamayacağını açıkça düzenlemektir.

Sık yapılan bir hata, "sağlayıcı büyük ve güvenilir, o hâlde uyumu o hallettir" varsayımıdır. Oysa KVKK'da veri sorumlusunun sorumluluğu veri işleyene devredilemez. Kurum, bir bulut yapay zeka aracı kullansa bile o araca gönderdiği kişisel veriden birinci derecede sorumlu olmaya devam eder. Bu yüzden sağlayıcı seçimi yalnızca teknik değil, bir uyum kararıdır: sağlayıcının sunduğu güvenceler, kurumun kendi yükümlülüğünü yerine getirmesine yetecek düzeyde olmalıdır. Bazı senaryolarda taraflar ortak veri sorumlusu (joint controller) da olabilir; bu durumda sorumluluk paylaşımı ayrıca belirlenmelidir.

Yapay zeka araçlarında özel bir risk, "gölge yapay zeka" (shadow AI) olgusudur: çalışanların, kurumun onayı olmadan kişisel veriyi halka açık yapay zeka araçlarına girmesidir. Bir çalışanın müşteri verisini bir sohbet aracına yapıştırması, farkında olmadan bir yurt dışı aktarımı ve amaç dışı işleme yaratabilir. Bu risk teknik engellerden çok kültür ve eğitimle yönetilir; çalışanların hangi veriyi hangi araca girebileceğini net bir politikayla bilmesi gerekir. Bu yüzden <a href="/blog/yapay-zeka-okuryazarligi-nedir">yapay zeka okuryazarlığı</a>, AI projelerinde KVKK pratiğinin teknik değil insani bir bileşenidir.

## AI Projelerinde KVKK Uygulaması: Adım Adım Pratik

Şimdi tüm bu ilkeleri, bir yapay zeka projesini baştan sona kuran uygulanabilir bir sıraya dönüştürelim. AI projelerinde KVKK pratiğinin gücü, ilkeleri projenin doğal bir parçası hâline getirmesinden gelir; uyum, sonradan eklenen bir yük olmaktan çıkar. Aşağıdaki adımlar, tasarımdan işletmeye kadar bir omurga sunar.

<howto-steps data-name="AI projelerinde KVKK uygulama adımları" data-description="Bir yapay zeka projesini tasarımdan işletmeye KVKK uyumlu kurmanın adım adım rehberi." data-steps="[{&quot;name&quot;:&quot;Veriyi ve amacı haritala&quot;,&quot;text&quot;:&quot;Projenin hangi kişisel veriyi hangi amaçla işlediğini bir veri işleme envanterinde netleştir.&quot;},{&quot;name&quot;:&quot;Dayanağı belirle ve belgele&quot;,&quot;text&quot;:&quot;Her işleme için açık rıza veya meşru menfaat gibi geçerli bir dayanak seç; meşru menfaatte denge testi yaz.&quot;},{&quot;name&quot;:&quot;Veriyi minimize et&quot;,&quot;text&quot;:&quot;Yalnızca gerekli veriyi işle; mümkün olan her yerde anonimleştir veya takma adlandır.&quot;},{&quot;name&quot;:&quot;Aydınlat ve şeffaf ol&quot;,&quot;text&quot;:&quot;Güncel bir aydınlatma metni sun; otomatik karar/profilleme varsa açıkça belirt.&quot;},{&quot;name&quot;:&quot;Riski değerlendir (DPIA)&quot;,&quot;text&quot;:&quot;Yüksek riskli işleme için bir veri koruma etki değerlendirmesi yap.&quot;},{&quot;name&quot;:&quot;VERBİS'i güncelle&quot;,&quot;text&quot;:&quot;Yeni sistem envantere işlensin; kayıt zorunluysa VERBİS beyanını gözden geçir.&quot;},{&quot;name&quot;:&quot;Sağlayıcıyı sözleşmeye bağla&quot;,&quot;text&quot;:&quot;Yapay zeka sağlayıcısıyla veri işleme sözleşmesi imzala; model eğitimi maddesini netleştir.&quot;},{&quot;name&quot;:&quot;Güvenliği ve aktarımı kur&quot;,&quot;text&quot;:&quot;Şifreleme, erişim kontrolü, guardrail; yurt dışı aktarım güvencelerini tanımla.&quot;},{&quot;name&quot;:&quot;Saklama-imhayı tanımla&quot;,&quot;text&quot;:&quot;Her veri kategorisi için saklama süresi ve imha mekanizması belirle.&quot;},{&quot;name&quot;:&quot;İzle, belgele, güncelle&quot;,&quot;text&quot;:&quot;Envanter, DPIA ve aydınlatmayı proje değiştikçe düzenli güncelle.&quot;}]"></howto-steps>

Bu sırayı dar bir pilot projede uygulamak, tüm kurumu bir kerede dönüştürmeye çalışmaktan çok daha akıllıcadır. Küçük ve iyi tanımlı bir yapay zeka kullanımında uyumu baştan sona kurmak, kurumun uyum kasını geliştirir ve sonraki büyük projeleri kolaylaştırır. AI projelerinde KVKK pratiği bir kerelik bir proje değil, kurumsal bir yetkinliktir. Bu yetkinliği kurmak için ekiplerin yapay zeka ve veri koruma okuryazarlığını birlikte geliştirmesi gerekir; <a href="/training">kurumsal eğitim</a> seçenekleri bu açığı kapatmaya yardımcı olur.

## Şablon İskeletleri: Aydınlatma, Açık Rıza, Envanter ve DPIA

Pratiği somutlaştırmak için, AI projelerinde KVKK pratiğinin dört temel belgesinin iskeletini veriyoruz. Bu iskeletler bilgilendirme amaçlı başlangıç noktalarıdır; her kurum kendi durumuna göre bir hukuk uzmanıyla uyarlamalı ve gerçek metne dönüştürmelidir. Amaç, boş bir sayfayla başlamak yerine yapılandırılmış bir çerçeveden yola çıkmaktır.

### Aydınlatma Metni İskeleti (Yapay Zeka Odaklı)

Bir yapay zeka aydınlatma metni şu başlıkları içermelidir: (1) veri sorumlusunun kimliği ve iletişim bilgisi; (2) işlenen kişisel veri kategorileri; (3) işleme amaçları — burada verinin bir yapay zeka sistemi tarafından işlendiği açıkça belirtilir; (4) hukuki dayanak (açık rıza veya meşru menfaat gibi); (5) varsa otomatik karar/profilleme yapıldığı ve bunun kişi üzerindeki olası etkileri; (6) verinin aktarıldığı taraflar (yapay zeka sağlayıcıları, alt-işleyiciler) ve yurt dışına aktarım durumu; (7) saklama süresi; (8) ilgili kişinin hakları ve başvuru yolu. Aydınlatma yükümlülüğü, bu başlıkların anlaşılır bir dille sunulmasıyla karşılanır.

### Açık Rıza Metni İskeleti

Açık rıza metni, aydınlatma metninden ayrı ve ona ek olmalıdır. İskelet: (1) rızanın hangi belirli işlemeyi kapsadığı (genel/battaniye rıza geçersizdir); (2) rızanın özgür iradeyle verildiğine ve bir hizmet ön koşuluna bağlı olmadığına dair ifade; (3) rızanın her zaman geri çekilebileceği ve geri çekmenin nasıl yapılacağı; (4) rıza geri çekildiğinde sonuçların ne olacağı; (5) rızanın tarihi ve kaydının tutulduğu bilgisi. Açık rıza, kişinin aktif bir eylemiyle (kutucuğu kendisinin işaretlemesi gibi) alınmalı; önceden işaretli kutucuklar kullanılmamalıdır.

### Veri İşleme Envanteri Satır İskeleti

Envanterin her satırı bir işleme faaliyetini tanımlar ve şu alanları içerir: işleme faaliyetinin adı; veri kategorisi (ör. iletişim, finansal, özel nitelikli); ilgili kişi grubu (müşteri, çalışan, aday); işleme amacı; hukuki dayanak; yapay zekaya özgü biçim (ham veri / öznitelik / embedding / model çıktısı); alıcı grupları ve alt-işleyiciler; yurt dışına aktarım durumu; saklama süresi; ve alınan teknik-idari güvenlik tedbirleri. Bu satır yapısı, veri işleme envanterini hem VERBİS beyanına hem de DPIA'ya doğrudan besleyecek biçimde kurar.

### DPIA Özet İskeleti

Bir DPIA raporu özet iskeleti şu bölümlerden oluşur: (1) işlemenin tanımı ve akış şeması; (2) gereklilik ve orantılılık değerlendirmesi (daha az müdahaleci alternatif var mı?); (3) risk kaydı — her risk için olasılık, etki ve etkilenen kişi grubu; (4) azaltıcı tedbirler ve her tedbirin hangi riski düşürdüğü; (5) artık risk (kalan risk) değerlendirmesi ve karar; (6) gözden geçirme tarihi ve sorumlusu. Bu iskelet, DPIA'yı denetlenebilir ve güncellenebilir bir belgeye dönüştürür.

<callout-box data-type="success" data-title="Şablonlar başlangıçtır, bitiş değil">Bu iskeletler, boş sayfayla başlamanın yükünü ortadan kaldırır; ancak hiçbir şablon kurumunuzun özel bağlamının yerini tutmaz. Aydınlatma, açık rıza, envanter ve DPIA belgeleri; işlediğiniz gerçek veriye, gerçek amaçlara ve gerçek risklere göre bir hukuk/uyum uzmanıyla uyarlanmalıdır. Şablonu düşünmeden doldurmak, uyum gibi görünen ama gerçekte koruma sağlamayan bir belge üretir.</callout-box>

## AI Projelerinde KVKK Kontrol Listesi (Madde Madde)

Tüm bu ilkeleri, bir yapay zeka projesinde uçtan uca uygulanabilecek madde madde bir kontrol listesine dönüştürelim. Bu liste, AI projelerinde KVKK pratiğinin omurgasıdır; her maddeyi projenizde işaretleyebiliyorsanız, sağlam bir uyum temeliniz var demektir. Liste bilgilendirme amaçlıdır ve hukuki tavsiye yerine geçmez.

<comparison-table data-caption="AI projelerinde KVKK için on maddelik uygulama kontrol listesi" data-headers="[&quot;#&quot;,&quot;Kontrol maddesi&quot;,&quot;Ne doğrulanmalı?&quot;]" data-rows="[{&quot;feature&quot;:&quot;1&quot;,&quot;values&quot;:[&quot;Veri işleme envanteri ve amaç&quot;,&quot;Hangi kişisel veri, hangi amaçla işleniyor?&quot;]},{&quot;feature&quot;:&quot;2&quot;,&quot;values&quot;:[&quot;İşleme dayanağı&quot;,&quot;Açık rıza veya meşru menfaat gibi geçerli bir dayanak ve denge testi var mı?&quot;]},{&quot;feature&quot;:&quot;3&quot;,&quot;values&quot;:[&quot;Veri minimizasyonu&quot;,&quot;Yalnızca gerekli veri; mümkünse anonimleştirme yapıldı mı?&quot;]},{&quot;feature&quot;:&quot;4&quot;,&quot;values&quot;:[&quot;Aydınlatma yükümlülüğü&quot;,&quot;Güncel aydınlatma metni ve yapay zeka şeffaflığı var mı?&quot;]},{&quot;feature&quot;:&quot;5&quot;,&quot;values&quot;:[&quot;VERBİS&quot;,&quot;Kayıt zorunluysa beyan güncel ve envanterle tutarlı mı?&quot;]},{&quot;feature&quot;:&quot;6&quot;,&quot;values&quot;:[&quot;DPIA&quot;,&quot;Yüksek riskli işleme için etki değerlendirmesi yapıldı mı?&quot;]},{&quot;feature&quot;:&quot;7&quot;,&quot;values&quot;:[&quot;Otomatik karar ve profilleme&quot;,&quot;İnsan denetimi ve itiraz mekanizması kuruldu mu?&quot;]},{&quot;feature&quot;:&quot;8&quot;,&quot;values&quot;:[&quot;Sağlayıcı sözleşmesi&quot;,&quot;Veri işleme sözleşmesi ve model eğitimi maddesi var mı?&quot;]},{&quot;feature&quot;:&quot;9&quot;,&quot;values&quot;:[&quot;Güvenlik ve yurt dışı aktarım&quot;,&quot;Şifreleme, erişim kontrolü ve aktarım güvencesi belgelendi mi?&quot;]},{&quot;feature&quot;:&quot;10&quot;,&quot;values&quot;:[&quot;Saklama ve imha&quot;,&quot;Saklama süreleri ve imha mekanizması tanımlı mı?&quot;]}]"></comparison-table>

Bu on maddelik liste, karmaşık görünen uyumu yönetilebilir parçalara böler. Önemli olan, listeyi projenin sonunda bir denetim aracı olarak değil, projenin başında bir tasarım rehberi olarak kullanmaktır. Her madde, tasarım aşamasında sorulduğunda ucuz ve kolaydır; proje bittikten sonra sorulduğunda pahalı ve bazen imkânsızdır. Daha kapsamlı bir uyum kontrol listesi için <a href="/blog/kvkk-uyumlu-yapay-zeka-kontrol-listesi">KVKK uyumlu yapay zeka kontrol listesi</a> rehberine, kavramsal temel için <a href="/blog/kvkk-uyumlu-yapay-zeka-nedir">KVKK uyumlu yapay zeka nedir</a> yazısına bakabilirsiniz.

## Otomatik Karar, Profilleme ve İnsan Denetimi Nasıl Kurulur?

Yapay zekanın en hassas kullanımlarından biri, kişiler hakkında otomatik karar vermek ve onları profillemektir. KVKK, kişi hakkında yalnızca otomatik işlemeye dayanılarak verilen ve o kişi üzerinde hukuki sonuç doğuran veya benzer biçimde önemli ölçüde etkileyen kararlara özel dikkat gösterir. Bir yapay zeka bir kredi başvurusunu reddediyor, bir iş başvurusunu eliyor veya bir kişiye özel fiyat belirliyorsa, AI projelerinde KVKK pratiği bakımından tam olarak bu hassas alandayız.

Temel gereklilik, sürecin sonunda anlamlı bir insan denetiminin bulunmasıdır. "Anlamlı" kelimesi kritiktir: kararı yalnızca onaylayan, modelin çıktısını körlemesine kabul eden bir insan gerçek denetim sağlamaz. Anlamlı insan denetimi, kararı sorgulayabilen, gerektiğinde değiştirebilen ve bunun için yetki ve bilgiye sahip bir insanı gerektirir. İkinci gereklilik, kişinin itiraz ve görüş sunma hakkının kurulmasıdır: otomatik karara maruz kalan kişi bundan haberdar olabilmeli, itiraz edebilmeli ve insan müdahalesi talep edebilmelidir. Bu mekanizmalar teknik olarak sisteme gömülmeli; sonradan eklenen bir "şikâyet formu" çoğu zaman yetersiz kalır.

Profillemede ek bir dikkat, çıkarımların kişisel veri niteliğidir. Bir model, kişinin doğrudan vermediği bir bilgiyi (bir sağlık eğilimi, bir siyasi yönelim) davranışından çıkarabilir; bu çıkarım da kişisel veridir ve bazen özel nitelikli veri olabilir. Ayrıca otomatik kararların en büyük riski, modeldeki önyargının sistematik ayrımcılığa dönüşmesidir; bu boyutu <a href="/blog/yapay-zekada-onyargi-nedir">yapay zekada önyargı nedir</a> yazısında ele alıyoruz. Bu yüzden profilleme sistemleri, yalnızca girdi verisine değil, ürettikleri çıkarımlara ve bunların adilliğine de bakmalıdır.

<comparison-table data-caption="Otomatik karar ve profilleme: risk ve gerekli tedbir" data-headers="[&quot;Durum&quot;,&quot;Risk&quot;,&quot;Gerekli tedbir&quot;]" data-rows="[{&quot;feature&quot;:&quot;Önemli sonuçlu otomatik karar&quot;,&quot;values&quot;:[&quot;Hatalı/ayrımcı karar&quot;,&quot;Anlamlı insan denetimi + itiraz yolu&quot;]},{&quot;feature&quot;:&quot;Sistematik profilleme&quot;,&quot;values&quot;:[&quot;Mahremiyet ve önyargı&quot;,&quot;DPIA + şeffaflık + sınırlama&quot;]},{&quot;feature&quot;:&quot;Çıkarım üretimi&quot;,&quot;values&quot;:[&quot;Gizli özel nitelikli veri&quot;,&quot;Çıkarımı da kişisel veri say&quot;]},{&quot;feature&quot;:&quot;Savunmasız grup verisi&quot;,&quot;values&quot;:[&quot;Orantısız zarar&quot;,&quot;Ek koruma + ihtiyatlı işleme&quot;]}]"></comparison-table>

## Yurt Dışına Aktarım, Güvenlik ve Saklama Yapay Zekada Nasıl Yönetilir?

Modern yapay zeka araçlarının çoğu bulut tabanlıdır ve verisi Türkiye dışındaki sunucularda işlenebilir. Bu, KVKK açısından özel bir konu olan yurt dışına veri aktarımını gündeme getirir. Bir yapay zeka aracının kişisel veriyi yurt dışında işlemesi tek başına yasak değildir; ancak KVKK'nın yurt dışına aktarım kurallarına uyulması gerekir. Bu, AI projelerinde KVKK pratiğinde en sık atlanan uyum alanlarından biridir. Kanun, aktarımı belirli güvencelere (açık rıza, yeterli korumayı sağlayan taahhütler veya kanunda öngörülen diğer koşullar) bağlar.

Yurt dışı aktarım riskini azaltmanın pratik yolları vardır. Birincisi veri yerelleştirme: mümkünse veriyi Türkiye'de işleyen bir çözüm veya bölge seçmek. İkincisi anonimleştirme: yurt dışına giden veriyi kişiyi belirlenemez hâle getirerek KVKK kapsamından çıkarmak. Üçüncüsü kendi altyapısında barındırma: açık kaynak bir modeli kurum içinde çalıştırarak veriyi hiç dışarı çıkarmamak. Düzenlemeye tabi sektörlerde (örneğin bankacılıkta BDDK kuralları) yurt dışı aktarım kuralları daha da katı olabilir. GDPR ile KVKK'nın bu konudaki paralelliğini <a href="/blog/gdpr-nedir">GDPR nedir</a> yazısında karşılaştırıyoruz.

Güvenlik boyutunda KVKK, veri sorumlusuna gerekli teknik ve idari tedbirleri alma yükümlülüğü getirir. Yapay zekada bu yüzey daha geniştir: veri yalnızca bir veritabanında değil, eğitim kümesinde, model parametrelerinde ve çıktı kayıtlarında da bulunur. Teknik tedbirler arasında erişim kontrolü, şifreleme, günlük kaydı ve yapay zekaya özgü olarak model çıktılarının denetimi öne çıkar. Yapay zeka, prompt injection gibi yeni saldırı yüzeyleri de getirir; bu riski <a href="/blog/prompt-injection-nedir">prompt injection nedir</a>, koruyucu katmanları ise <a href="/blog/guardrail-nedir">guardrail nedir</a> yazısında ele alıyoruz. Modelin hassas veriyi çıktıda sızdırmasını önleyen guardrail'ler, yapay zekaya özgü bir güvenlik tedbiridir.

Saklama ve imha boyutunda KVKK, verinin amaç için gerekli süre kadar saklanmasını; süre dolunca silinmesini, yok edilmesini veya anonim hâle getirilmesini gerektirir. Yapay zekada bu daha karmaşıktır, çünkü veri birçok biçime (ham veri, öznitelik, embedding, model, çıktı) dağılmış olabilir. Kritik soru şudur: bir kişi verisinin silinmesini talep ettiğinde, bu veri yalnızca ham veritabanından mı silinir, yoksa modelin öğrendiği izleri de kapsar mı? Bu zorluk, en baştan veri minimizasyonu ve anonimleştirme ile yönetilmelidir; model hiç kişisel veri ezberlememişse silme sorunu büyük ölçüde ortadan kalkar. İmha; yedekleri, günlük kayıtlarını ve üçüncü taraf araçlardaki kopyaları da kapsamalıdır.

## AI Projelerinde KVKK: Yaygın İhlaller ve Yaptırımlar

Deneyimli bir uyum gözüyle bakıldığında, yapay zeka projelerinde tekrarlayan bir dizi ihlal görülür. Bu hataların ortak özelliği, çoğunun uyumu projenin sonuna bırakmaktan kaynaklanmasıdır. AI projelerinde KVKK pratiğini erken kuran kurumlar bu tuzakların büyük kısmından kaçınır. En sık görülenler şunlardır:

- **Dayanaksız işleme:** Kişisel veriyi, geçerli bir işleme dayanağı (açık rıza veya meşru menfaat gibi) belirlemeden işlemek; en temel ve en sık ihlaldir.
- **Amaç kayması:** Bir amaçla toplanan veriyi, "madem elimizde var" diyerek bir modeli eğitmek gibi bambaşka bir amaçla kullanmak; amaç sınırlamasını ihlal eder.
- **Eksik veya güncel olmayan aydınlatma:** Aydınlatma yükümlülüğünü hiç yerine getirmemek ya da yapay zeka değiştikçe metni güncellememek.
- **Battaniye açık rıza:** Her işlemeyi tek ve genel bir rızaya bağlamak; belirli olmayan rıza geçersizdir.
- **Envanter ve VERBİS'in güncellenmemesi:** Yeni bir yapay zeka sistemi devreye alınırken veri işleme envanterini ve VERBİS beyanını güncellememek.
- **DPIA'yı atlamak:** Yüksek riskli bir işlemeyi, etki değerlendirmesi yapmadan başlatmak.
- **Otomatik kararda insan denetimi olmaması:** Önemli sonuç doğuran bir kararı, itiraz yolu ve anlamlı insan denetimi olmadan tamamen modele bırakmak.
- **Yurt dışı aktarımı denetlememek:** Bulut/API araçlarına, verinin nerede işlendiğini ve alt-işleyicileri incelemeden veri göndermek.
- **İmhayı unutmak:** Saklama süresi dolan veriyi (ve yedeklerdeki kopyalarını) silmemek; veriyi "her ihtimale karşı" sonsuza dek tutmak.

Yaptırım tarafında KVKK; hukuka aykırı işleme, aydınlatma yükümlülüğünün ihlali, veri güvenliği tedbirlerinin alınmaması ve VERBİS yükümlülüğüne aykırılık gibi durumlar için idari para cezaları öngörür. Bu cezalar her yıl yeniden değerleme oranıyla güncellendiği için, bu rehberde kesin bir tutar vermek yerine "KVKK'da öngörülen idari para cezaları" ifadesini kullanıyoruz; güncel tutarlar için Kurum'a (KVKK Kurumu) bakılmalıdır. Ayrıca idari cezanın yanında, ihlalden zarar gören kişilerin tazminat talep etme hakkı ve kurumun ciddi bir itibar kaybı riski de vardır.

<callout-box data-type="warning" data-title="İhlallerin ortak kökeni: uyumu sona bırakmak">Bu ihlallerin neredeyse tamamı aynı kökten gelir: uyumu projenin başında değil sonunda ele almak. Model kurulduktan, veri toplandıktan ve sistem çalışmaya başladıktan sonra uyum eklemek hem pahalı hem de bazen imkânsızdır. AI projelerinde KVKK pratiği, tasarımdan itibaren veri koruma (privacy by design) ilkesiyle kurulmalıdır.</callout-box>

## Sektörel Örnekler: AI Projelerinde KVKK Nasıl Farklılaşır?

AI projelerinde KVKK pratiği, sektöre göre farklı ağırlıklar taşır; çünkü her sektörün işlediği verinin niteliği ve risk profili değişir. Aşağıdaki örnekler, hangi uyum boyutunun hangi sektörde öne çıktığını göstermek içindir; ayrıntılar her kurumun kendi durumuna göre değişir ve hukuki görüşle netleştirilmelidir.

Sağlıkta veri büyük ölçüde özel nitelikli (sağlık) veridir; bu yüzden en katı koruma rejimine tabidir. Bir tanı destek modeli veya hasta öngörü sistemi kuran kuruluş, çoğu durumda açık rıza veya kanuni istisna arar, DPIA yapar ve yurt dışı aktarıma özellikle dikkat eder. Finans ve bankacılıkta ana konular kredi skorlama ve dolandırıcılık tespiti gibi otomatik kararlar etrafında yoğunlaşır; kredi başvurusunu değerlendiren bir model önemli sonuçlu otomatik karar kapsamına girer, bu yüzden anlamlı insan denetimi ve itiraz yolu zorunludur. Ayrıca bankacılıkta sektörel düzenlemeler veri yerelleştirme getirebilir.

Perakende ve pazarlamada ana konu müşteri profilleme ve kişiselleştirilmiş önerilerdir; burada işleme dayanağı, aydınlatma yükümlülüğü ve amaç sınırlaması öne çıkar. En sık hata, bir amaçla toplanan müşteri verisini sonradan bir öneri modelini eğitmek için amaç dışı kullanmaktır. İnsan kaynaklarında işe alım ve çalışan değerlendirmesi hem otomatik karar hem önyargı riski taşır; bir aday eleme modeli adaylar üzerinde önemli sonuç doğurur, bu yüzden şeffaflık, insan denetimi ve ayrımcılık denetimi kritiktir. Müşteri hizmetlerinde ise chatbot'a girilen verinin nerede işlendiği (yurt dışı aktarım) ve saklandığı öne çıkar. Bu sektörel çeşitlilik, AI projelerinde KVKK pratiğinin tek tip bir şablonla değil, bağlama göre uyarlanarak kurulması gerektiğini gösterir.

Ortak payda ise her sektörde aynıdır: işlenen kişisel verinin niteliği ne olursa olsun, dayanak, aydınlatma yükümlülüğü, veri işleme envanteri, gerektiğinde DPIA ve VERBİS aynı omurgayı oluşturur; sektör yalnızca hangi maddeye ne kadar ağırlık verileceğini belirler. Kamu, eğitim, sigorta ve lojistik gibi alanlar da bu omurgayı kendi risk profillerine göre uyarlar. Bu yüzden bir kurumun bir sektörde kurduğu AI projelerinde KVKK pratiği, aynı yöntemle başka bir alana taşınabilir; değişen içerik değil, ağırlıklardır. Kurumsal bir yol haritası için <a href="/consulting">yapay zeka danışmanlığı</a> desteği, sektöre özgü ağırlıkların doğru kurulmasını hızlandırır.

## AI Projelerinde KVKK Yönetişimini Kim Sahiplenmeli?

Bir yapay zeka projesinde uyumun en sık başarısız olduğu nokta, teknik yetersizlik değil, sahiplik boşluğudur. "Uyum herkesin işi" dendiğinde, pratikte çoğu zaman "uyum kimsenin işi" hâline gelir. AI projelerinde KVKK pratiği, açıkça tanımlanmış bir sahiplik yapısı olmadan sürdürülemez; birinin, uyumun gerçekleştiğini izlemekten ve sapmalara müdahale etmekten sorumlu olması gerekir.

Sağlam bir yönetişim modeli en az üç rolü bir araya getirir. Veri koruma sorumlusu veya irtibat kişisi, kanuni yükümlülüklerin karşılanmasını ve ilgili kişi başvurularının yanıtlanmasını gözetir; uyumun hukuki omurgasını temsil eder. Teknik ekip veya yapay zeka mühendisi, veri minimizasyonu, güvenlik tedbirleri ve teknik kısıtların gerçekten uygulanmasından sorumludur; ilkeleri koda dönüştürür. İş birimi sahibi ise projenin amacını ve faydasını bilir; işleme dayanağının ve amacının gerçekçiliğini değerlendirir. Bu üç rol bir arada olmadan, uyum ya kâğıt üzerinde kalır ya da pratikte uygulanmaz.

Yönetişimin ikinci boyutu karar mekanizmasıdır. Yeni bir yapay zeka kullanımı önerildiğinde, bunun bir uyum değerlendirmesinden (hangi veri, hangi dayanak, hangi risk, hangi tedbir) geçmesi gerekir. Bu değerlendirme resmî bir aşama olarak sürece gömülmezse, projeler uyum kontrolünü atlayarak ilerler ve sorun ancak bir denetimde veya ihlalde ortaya çıkar. Olgun kurumlar, yapay zeka fikirlerini bir "uyum kapısından" geçirir; bu kapı projeyi engellemek için değil, riski erken görmek için vardır. Bu hataları bağımsız bir gözle yakalamak için bir <a href="/blog/yapay-zeka-danismanligi-nedir">yapay zeka danışmanlığı</a> desteği, tasarım aşamasında yüksek katma değer sağlar.

## Kişisel Veri mi, Anonim Veri mi? Yapay Zekada Kritik Ayrım

AI projelerinde KVKK pratiğinin çoğu zaman göz ardı edilen ama en güçlü kaldıraçlarından biri, verinin kişisel olup olmadığı ayrımıdır. KVKK yalnızca kişisel veriye uygulanır; gerçek anlamda anonim hâle getirilmiş, yani kimliği belirli veya belirlenebilir bir kişiye artık geri bağlanamayan veri, kanunun kapsamı dışına çıkar. Bu ayrım, bir yapay zeka projesinin uyum yükünü dramatik biçimde azaltabilir: model kişisel veri yerine anonim veriyle eğitilebiliyorsa, aydınlatma, açık rıza ve VERBİS gibi birçok yükümlülük büyük ölçüde hafifler.

Ancak burada sık yapılan bir hata, takma adlandırma (pseudonymization) ile anonimleştirmeyi karıştırmaktır. Takma adlandırma, kimlik bilgilerini bir anahtarla değiştirir; ama anahtar hâlâ mevcut olduğu için veri, kişiye geri bağlanabilir ve dolayısıyla hâlâ kişisel veridir. Gerçek anonimleştirme ise geri döndürülemez olmalıdır; kişiye ulaşmanın makul hiçbir yolu kalmamalıdır. Yapay zekada bu zordur, çünkü zengin veri kümelerinde birkaç görünüşte masum özniteliğin birleşimi bile bir kişiyi yeniden tanımlanabilir kılabilir. Anonimleştirme yöntemlerini ve tuzaklarını <a href="/blog/veri-anonimlestirme-nedir">veri anonimleştirme nedir</a> yazısında ele alıyoruz.

Pratik sonuç şudur: bir yapay zeka projesinde "bu veriyi anonimleştirdik" demek, ancak titiz bir teknik değerlendirmeyle desteklendiğinde uyum sağlar. Yüzeysel bir maskeleme, veriyi KVKK kapsamından çıkarmaz ve yanlış bir güvenlik hissi yaratır. Bu yüzden AI projelerinde KVKK pratiği, anonimleştirmeyi bir onay kutusu değil, ölçülüp doğrulanması gereken bir mühendislik hedefi olarak ele almalıdır. İyi tasarlanmış bir anonimleştirme, hem uyumu kolaylaştırır hem de veri ihlali durumunda zararı sınırlar.

## Veri Minimizasyonu ve Amaç Sınırlaması Yapay Zekada Nasıl Uygulanır?

KVKK'nın genel ilkeleri arasında yapay zeka için en zorlayıcı ikisi veri minimizasyonu ve amaç sınırlamasıdır. Yapay zeka kültürü tarihsel olarak "ne kadar çok veri, o kadar iyi" mantığıyla gelişti; oysa KVKK tam tersini söyler: yalnızca gerekli olan kadar veri, yalnızca belirlenen amaç için. Bu gerilim, AI projelerinde KVKK pratiğinin kalbinde yer alır ve en sık burada çözülür veya çözülemez.

Veri minimizasyonu, bir işlemede yalnızca amaç için gerekli, ilgili ve ölçülü kişisel verinin işlenmesi ilkesidir. Yapay zeka bağlamında bu; "modelin performansını marjinal artırabilir" diye her alanı toplamamak, eğitim veri kümesinden gereksiz kişisel öznitelikleri çıkarmak ve mümkün olan her yerde anonimleştirme veya takma adlandırma kullanmak demektir. Veri minimizasyonunun pratik gücü, aynı zamanda bir risk azaltma stratejisi olmasıdır: işlenmeyen veri sızdırılamaz. Bir veri ihlali yaşandığında, sistemin işlediği kişisel veri ne kadar azsa zarar da o kadar sınırlı olur.

Amaç sınırlaması ise kişisel verinin yalnızca toplandığı belirli, açık ve meşru amaç için işlenmesi; bu amaçla bağdaşmayan biçimde kullanılmaması ilkesidir. Yapay zekada en sık ihlal edilen ilke budur: bir amaçla (örneğin sipariş teslimatı) toplanan veriyi sonradan başka bir amaçla (bir öneri modelini eğitmek) kullanmak amaç sınırlamasını ihlal edebilir. Uygulamada bu ilkeyi korumanın yolu, her veri kümesi için "bu veri hangi amaçla toplandı ve bu kullanım o amaçla bağdaşıyor mu?" sorusunu sormaktır. Bağdaşmıyorsa ya yeni bir dayanak (örneğin açık rıza) alınmalı ya da veri anonimleştirilerek kanun kapsamından çıkarılmalıdır.

<callout-box data-type="warning" data-title="En sinsi ihlal: amaç kayması">Yapay zeka projelerinde en sık ve en fark edilmeyen ihlal amaç kaymasıdır: veri bir amaçla toplanır, ama zamanla 'madem elimizde var' diyerek bambaşka amaçlarla kullanılır. Bir model eğitimi, çoğu zaman orijinal toplama amacıyla bağdaşmaz. Elinizde veri olması, onu her amaçla kullanma hakkı vermez; bu, AI projelerinde KVKK pratiğinin en temel kurallarından biridir.</callout-box>

## İlgili Kişi Hakları Yapay Zekada Nasıl Karşılanır?

KVKK, kişilere (ilgili kişilere) verileri üzerinde bir dizi hak tanır: bilgi talep etme, işlenip işlenmediğini öğrenme, düzeltme, silme, işlemeye itiraz ve otomatik kararlara karşı görüş sunma. AI projelerinde KVKK pratiği, bu hakları yalnızca kâğıt üzerinde tanımakla kalmaz; teknik olarak da uygulanabilir kılar. Bir kişi hakkını kullanmak istediğinde, sistemin buna cevap verebilir olması gerekir; bu, uyumun görünen yüzüdür.

Yapay zekada bu hakların yerine getirilmesi klasik sistemlerden daha zordur. Örneğin bir kişi verisinin silinmesini talep ettiğinde, bu veri yalnızca ham veritabanında değil; embedding'lerde, önbelleklerde, günlük kayıtlarında ve muhtemelen modelin öğrendiği örüntülerde de bulunabilir. "Silme hakkı"nı gerçekten yerine getirebilmek için, verinin sistemdeki tüm izlerini bulacak bir mimari gerekir; ve bu mimari en baştan veri minimizasyonu ve iyi bir veri işleme envanteri ile kurulur. Envanter yoksa verinin nerede olduğu bilinmez; bilinmeyen veri de silinemez.

Bir başka zorluk düzeltme hakkıdır. Bir model bir kişi hakkında yanlış bir çıkarım üretmişse (örneğin yanlış bir risk skoru), kişinin bunu düzelttirme hakkı vardır. Ancak modelin ürettiği bir çıkarımı düzeltmek, ham bir veriyi düzeltmekten farklıdır; çoğu zaman modelin girdisini veya kararını gözden geçirmeyi gerektirir. Bu yüzden ilgili kişi haklarını karşılayabilen bir yapay zeka sistemi, insan denetimi ve şeffaflık katmanlarını baştan içermelidir. Pratikte kurumlar, başvuruların nereye yapılacağını, kim tarafından ve hangi sürede yanıtlanacağını tanımlayan bir süreç kurmalıdır; bu sürecin varlığı, AI projelerinde KVKK pratiğinin hem yasal hem itibar açısından güçlü bir göstergesidir.

## Veri İhlali Durumunda AI Projesinde Ne Yapılmalı?

AI projelerinde KVKK pratiği, ihlallerin hiç yaşanmayacağını varsaymaz; iyi tasarlanmış bir sistem ihlal ihtimalini azaltır ama sıfırlayamaz. Bu yüzden uyumun ayrılmaz bir parçası bir veri ihlali müdahale planıdır. KVKK, kişisel verilerin hukuka aykırı biçimde ele geçirilmesi hâlinde, veri sorumlusunun bunu en kısa sürede ilgili Kurul'a ve etkilenen kişilere bildirmesini öngörür. Bu yükümlülüğü yerine getirebilmek için önceden kurulmuş bir sürecin olması gerekir; ihlal anında plan yazmaya başlamak çok geçtir.

Yapay zeka bağlamında ihlal, klasik bir veri sızıntısından daha çeşitli biçimlerde ortaya çıkabilir: bir prompt injection saldırısıyla modelin gizli veriyi ifşa etmesi, bir yanlış yapılandırmayla model çıktısının hassas bilgiyi sızdırması, bir alt-işleyicideki açık veya bir çalışanın hassas veriyi halka açık bir araca girmesi. Bu çeşitlilik ihlal tespitini zorlaştırır; çünkü sızıntı bir veritabanı değil, bir model çıktısı üzerinden gerçekleşebilir. Bu yüzden yapay zeka sistemlerinde çıktı izleme ve günlük kaydı, yalnızca kalite için değil, ihlal tespiti için de kritiktir.

Sağlam bir müdahale planı dört adımı içerir: tespit (ihlali hızlı fark edecek izleme), sınırlama (etkilenen sistemi hızla izole etme), değerlendirme (hangi verinin, kaç kişinin etkilendiğini belirleme) ve bildirim (Kurul'a ve gerekiyorsa ilgili kişilere yasal süre içinde haber verme). Bu planın önceden yazılı ve tatbik edilmiş olması, gerçek bir ihlal anında panik yerine düzenli bir tepki sağlar. AI projelerinde KVKK pratiği, "ihlal olmayacak" varsayımına değil, "ihlal olursa hazırız" gerçekçiliğine dayanır; ve bu hazırlık, iyi bir veri işleme envanteri ile çok daha kolaydır, çünkü hangi verinin nerede olduğunu önceden bilirsiniz.

## AI Projelerinde KVKK ile EU AI Act Nasıl Birlikte Ele Alınır?

AI projelerinde KVKK pratiğini çalışırken sık karşılaşılan bir soru, KVKK ile EU AI Act (Avrupa Yapay Zeka Yasası) arasındaki ilişkidir. İki düzenleme sık karıştırılır; oysa farklı şeyleri düzenler ve birbirini tamamlar. Kurumsal projeler, özellikle Avrupa pazarına yönelenler, ikisini birlikte ele almalıdır. KVKK bir veri koruma kanunudur ve kişisel verinin nasıl işleneceğini (dayanak, ilkeler, haklar) düzenler; odağı veridir.

EU AI Act ise bir ürün güvenliği ve temel haklar düzenlemesidir: yapay zeka sistemlerini risk seviyelerine göre (kabul edilemez, yüksek, sınırlı, minimal) sınıflandırır ve her seviyeye farklı yükümlülükler getirir; odağı sistemdir. Yani KVKK "veriyle ne yapıyorsun?" diye sorarken, EU AI Act "ne tür bir yapay zeka sistemi kuruyorsun?" diye sorar. Kişisel veri işleyen yüksek riskli bir sistem (örneğin işe alım veya kredi skorlama), hem KVKK'nın veri koruma yükümlülüklerine hem de EU AI Act'in yüksek risk yükümlülüklerine tabi olabilir. Yasanın çerçevesini <a href="/blog/eu-ai-act-nedir">EU AI Act nedir</a> yazısında ele alıyoruz.

Bu durumda kurum, iki ayrı uyum çalışması yürütmek yerine ikisini tek bir yönetişim çerçevesinde birleştirmelidir: örneğin bir DPIA (KVKK) ile bir uygunluk değerlendirmesi (EU AI Act) ortak bir risk analizinden beslenebilir. Uluslararası çerçeveler de bu tabloya girer; ISO/IEC 42001 (yapay zeka yönetim sistemi standardı) ve NIST AI RMF (yapay zeka risk yönetimi çerçevesi), KVKK ve EU AI Act uyumunu operasyonel bir yönetim sistemine dönüştürmede yardımcı olur. GDPR ile KVKK'nın büyük ölçüde örtüşen ilkeleri, Avrupa'ya hizmet veren Türk kurumları için bu bütünleşik yaklaşımı daha da değerli kılar.

## Tasarımdan İtibaren Veri Koruma (Privacy by Design) Neden Temeldir?

Bu rehber boyunca tekrar eden bir tema, uyumu projenin sonuna değil başına koymaktır. Bu ilkenin adı, tasarımdan itibaren veri koruma (privacy by design) ve varsayılan olarak veri koruma (privacy by default) ilkeleridir. AI projelerinde KVKK pratiği, en güçlü hâline ancak bu ilkeler mimariye gömüldüğünde ulaşır; sonradan eklenen uyum her zaman daha zayıf ve daha pahalıdır.

Tasarımdan itibaren veri koruma, veri korumayı bir sonradan-düşünce değil, bir tasarım gereksinimi olarak ele almaktır. Bir yapay zeka projesi tasarlanırken, "bu özelliği nasıl yaparız?" sorusuyla birlikte "bu özelliği en az kişisel veriyle nasıl yaparız?" sorusu da sorulur. Bu ikili düşünme çoğu zaman daha zarif çözümler üretir: gereksiz veri toplamayan, anonimleştirmeyi baştan kuran, erişimi sınırlayan bir mimari hem daha uyumlu hem de çoğu zaman daha basittir. Varsayılan olarak veri koruma ise sistemin en gizlilik-korumacı ayarlarla gelmesini gerektirir; en az veri, en dar erişim, en kısa saklama süresi varsayılan olmalı, fazlası ancak bilinçli bir kararla açılmalıdır.

Bu iki ilkenin pratik değeri, uyumu bir "engel" olmaktan çıkarıp bir "tasarım kalitesi" göstergesine dönüştürmesidir. İyi tasarlanmış bir yapay zeka sistemi zaten büyük ölçüde uyumludur; çünkü gereksiz veri toplamaz, amaç dışına çıkmaz ve erişimi kontrol eder. Bu yüzden deneyimli ekipler, AI projelerinde KVKK pratiğini ayrı bir "uyum projesi" olarak değil, iyi mühendisliğin doğal bir sonucu olarak ele alır. Tasarımdan itibaren veri koruma, yapay zeka projelerinde kvkk uyumunun felsefi ve pratik temelidir; bir kez benimsendiğinde, her yeni proje bu temelin üzerine hızla ve güvenle inşa edilir.

## AI Projelerinde KVKK Olgunluğu Nasıl Ölçülür?

AI projelerinde KVKK pratiği bir kerelik bir hedef değil, sürekli izlenmesi gereken bir olgunluk durumudur. Bir kurum, "uyumlu muyuz?" sorusuna evet/hayır ile değil, bir olgunluk düzeyiyle cevap vermelidir. Uyumu ölçmek onu yönetilebilir kılar; ölçülmeyen uyum zamanla aşınır ve fark edilmeden ihlale dönüşür. Bu yüzden olgun kurumlar, uyumu düzenli bir öz-değerlendirmeyle takip eder.

Olgunluğu ölçmenin pratik yolu, birkaç boyutta düzenli bir değerlendirme yapmaktır. Birinci boyut kapsamdır: kurumun tüm yapay zeka sistemleri veri işleme envanterine alınmış ve değerlendirilmiş mi, yoksa sadece bir kısmı mı? İkinci boyut derinliktir: her sistem için on maddelik kontrol listesinin ne kadarı gerçekten karşılanıyor — dayanak belgelendi mi, aydınlatma yükümlülüğü güncel mi, DPIA yapıldı mı? Üçüncü boyut sürekliliktir: uyum bir kez mi yapıldı, yoksa değişimlerle birlikte güncelleniyor mu? Dördüncü boyut kültürdür: çalışanlar veri korumayı bir yük olarak mı, yoksa doğal bir çalışma biçimi olarak mı görüyor?

Bu boyutları düzenli ölçen bir kurum, uyum eksiklerini ihlale dönüşmeden yakalar. Ölçüm bir gösterge tablosuna bağlanabilir: kaç yapay zeka sistemi envantere alındı, kaçı için DPIA yapıldı, kaç aydınlatma metni güncel, kaç sistemde otomatik karar denetimi var, kaç sağlayıcıyla veri işleme sözleşmesi imzalandı. Bu metrikler, AI projelerinde KVKK pratiğini soyut bir hedeften somut, izlenebilir bir duruma dönüştürür. Olgunluğun stratejik değeri, ilk projelerde kurulan uyum yetkinliğinin sonraki projeleri hızlandırmasıdır: bir kez sağlam bir çerçeve (envanter şablonu, DPIA süreci, aydınlatma metni kütüphanesi, tedarikçi değerlendirme kriterleri) kuran kurum, her yeni yapay zeka projesini bu çerçevenin üzerine hızla inşa eder.

## Özetle: AI Projelerinde KVKK Pratiği Nasıl Kurulur?

Özetle AI projelerinde KVKK pratiği, kişisel veri işleyen bir yapay zeka projesini KVKK'nın ilke ve yükümlülüklerine uygun biçimde, tasarımdan itibaren kurmaktır. Bu; her işleme için geçerli bir dayanak seçmeyi (açık rıza veya belgelenmiş meşru menfaat), aydınlatma yükümlülüğünü iki katmanlı yerine getirmeyi, veri işleme envanteri çıkarıp VERBİS'i güncel tutmayı, yüksek riskli işlemede DPIA yapmayı, yapay zeka sağlayıcısıyla ilişkiyi sözleşmeye bağlamayı, teknik-idari güvenliği ve yurt dışı aktarımı yönetmeyi ve saklama-imha politikasını tanımlamayı gerektirir.

En önemli mesaj şudur: uyum, projenin sonuna bırakılan bir formalite değil, tasarımın bir parçasıdır. On maddelik kontrol listesini projenin başında bir tasarım rehberi olarak kullanan kurumlar hem hızlı hem güvenli ilerler; uyumu sona bırakanlar ise pahalı ve bazen imkânsız düzeltmelerle karşılaşır. Aydınlatma yükümlülüğünü zamanında yerine getirmek, geçerli bir dayanak (açık rıza veya meşru menfaat) seçmek, veri işleme envanteri ile VERBİS'i güncel tutmak ve yüksek riskte DPIA yapmak; bu dört alışkanlık, AI projelerinde KVKK pratiğinin bel kemiğini oluşturur ve zamanla kurumsal bir refleks hâline gelir. Avrupa'ya hizmet veren kurumlar için KVKK ile <a href="/blog/eu-ai-act-nedir">EU AI Act</a>'i tek bir yönetişim çerçevesinde birleştirmek özellikle verimlidir. Bu içerik bilgilendirme amaçlıdır ve hukuki tavsiye yerine geçmez; her kurum kendi durumu için uzman görüşü almalıdır.

Temel kavramlar için <a href="/blog/kvkk-nedir">KVKK nedir</a>, <a href="/blog/kisisel-veri-nedir">kişisel veri nedir</a> ve <a href="/blog/yapay-zeka-nedir">yapay zeka nedir</a> rehberlerine göz atabilir; daha geniş bir uyum kontrol listesi için <a href="/blog/kvkk-uyumlu-yapay-zeka-kontrol-listesi">KVKK uyumlu yapay zeka kontrol listesi</a> yazısına bakabilir; kurumunuza özel bir uyum ve yapay zeka yol haritası için <a href="/consulting">yapay zeka danışmanlığı</a> ile başlayabilir, ekiplerinizin veri koruma yetkinliği için <a href="/training">kurumsal eğitim</a> seçeneklerini inceleyebilir ve tüm kavramları <a href="/learn">öğrenme merkezinde</a> derinleştirebilirsiniz.

## Sıkça Sorulan Sorular

### AI projelerinde KVKK pratiği nedir?

AI projelerinde KVKK pratiği, kişisel veri işleyen bir yapay zeka projesinde Kişisel Verilerin Korunması Kanunu'nun (6698 sayılı Kanun) yükümlülüklerini somut adımlara dönüştürmektir. Bu; geçerli bir işleme dayanağı seçmeyi (açık rıza veya meşru menfaat), aydınlatma yükümlülüğünü yerine getirmeyi, veri işleme envanteri çıkarmayı ve gerekiyorsa VERBİS kaydını güncellemeyi, yüksek riskli işlemede DPIA yapmayı, veri sorumlusu-veri işleyen ilişkisini sözleşmeye bağlamayı ve her adımı belgelemeyi kapsar. Kısacası kanunun ilkelerini bir yapay zeka projesinin yaşam döngüsüne gömmektir. Bu bir hukuki tavsiye değildir.

### Yapay zeka projesinde açık rıza mı yoksa meşru menfaat mi tercih edilmeli?

Duruma göre değişir ve açık rıza otomatik ilk tercih değildir. KVKK'da açık rıza, diğer işleme şartları uygulanamadığında başvurulan bir dayanaktır; kişinin özgür iradesiyle, belirli bir konuda ve bilgilendirilerek verdiği, her zaman geri çekilebilir onaydır ve bir hizmetin ön koşuluna bağlanamaz. Meşru menfaat ise veri sorumlusunun makul menfaatinin, kişinin hak ve özgürlüklerine zarar vermeden dengelenmesiyle kullanılır ve belgelenmiş bir denge testi gerektirir. Özel nitelikli veri işleniyorsa çoğu durumda açık rıza veya kanuni istisna aranır. Doğru dayanağın seçimi projeye özgüdür ve hukuki görüşle netleştirilmelidir.

### Aydınlatma yükümlülüğü yapay zekada nasıl yerine getirilir?

Aydınlatma yükümlülüğü iki katmanda karşılanır. Birinci katman klasik aydınlatma metnidir: veri sorumlusunun kimliği, işleme amaçları, hukuki dayanak, aktarılan taraflar, saklama süresi ve ilgili kişinin hakları. İkinci katman yapay zekaya özgü şeffaflıktır: verinin bir yapay zeka sistemi tarafından işlendiğini, varsa otomatik karar veya profilleme yapıldığını ve bu sürecin mantığını anlaşılır biçimde açıklamaktır. Kişi, neye göre değerlendirildiğini makul ölçüde anlayabilmelidir. Aydınlatma canlı bir belgedir; sistem değiştikçe güncellenmelidir.

### VERBİS kaydı yapay zeka projeleri için zorunlu mu?

VERBİS kaydı, belirli kriterleri karşılayan veri sorumluları için zorunludur; yükümlülük kurumun büyüklüğüne ve işlediği verinin niteliğine göre değişir. Bir yapay zeka projesi zorunluluğu doğrudan yaratmaz, ancak işlenen kişisel veri hacmini ve çeşitliliğini artırarak mevcut VERBİS beyanının kapsamını etkileyebilir. Kaydı zorunlu bir kurum yeni bir yapay zeka sistemi devreye aldığında, veri işleme envanterini güncellemeli ve VERBİS beyanını buna göre gözden geçirmelidir. Güncel kayıt yükümlülüğü eşikleri için Kurum'un duyurularına bakılmalıdır.

### Veri işleme envanteri nasıl çıkarılır?

Veri işleme envanteri, kurumun hangi kişisel veriyi, hangi amaçla, hangi dayanakla, ne kadar süreyle sakladığını, kimlere aktardığını ve hangi güvenlik tedbirlerini aldığını gösteren yaşayan bir kayıttır. Bir yapay zeka projesinde envanter çıkarmak için önce tüm veri kaynakları ve akışları haritalanır; sonra her işleme faaliyeti için amaç, dayanak, veri kategorisi, alıcı grupları, saklama süresi ve aktarım bilgileri yazılır. Yapay zekada kritik nokta, verinin ham veri, öznitelik, embedding, model parametresi ve çıktı olarak farklı biçimlere girmesidir; iyi bir envanter bu dönüşüm zincirini izlenebilir kılar. Envanter, VERBİS beyanının da temelidir.

### DPIA ne zaman zorunlu hâle gelir?

DPIA, bir işlemenin kişilerin hak ve özgürlükleri üzerinde yüksek risk doğurma ihtimali olduğunda yapılan sistematik bir değerlendirmedir. Yapay zeka bağlamında yüksek risk işaretleri şunlardır: büyük ölçekli kişisel veri işleme, sistematik ve kapsamlı profilleme, özel nitelikli veri kullanımı, kişi üzerinde önemli sonuç doğuran otomatik karar, savunmasız grupların verisi ve yeni bir teknolojinin ilk kez uygulanması. Bir yapay zeka projesi bu işaretlerden birini bile taşıyorsa DPIA güçlü biçimde önerilir. Erken yapılan DPIA hem uyumu güvence altına alır hem de gereksiz veri toplamayı en baştan eleyerek tasarımı iyileştirir.

### Yapay zeka sağlayıcısı veri sorumlusu mu, veri işleyen mi?

Çoğu senaryoda kurum veri sorumlusu, kullandığı bulut/model sağlayıcısı ise veri işleyendir; yani sağlayıcı, sorumlunun talimatı ve amacı doğrultusunda veri işler. Ancak sağlayıcı veriyi kendi amaçları için (örneğin modelini eğitmek) kullanıyorsa, o işleme bakımından kendisi de veri sorumlusu konumuna geçebilir. Kritik ilke şudur: veri sorumlusunun sorumluluğu veri işleyene devredilemez. Kurum, bir bulut yapay zeka aracı kullansa bile gönderdiği kişisel veriden birinci derecede sorumlu kalır. Bu yüzden ilişki, bir veri işleme sözleşmesiyle ve sağlayıcının veriyi model eğitimi için kullanıp kullanamayacağını açıkça düzenleyen bir maddeyle güvence altına alınmalıdır.

### AI projelerinde en sık görülen KVKK ihlalleri ve yaptırımları nelerdir?

En sık ihlaller: geçerli bir işleme dayanağı olmadan veri işlemek; aydınlatma yükümlülüğünü hiç veya eksik yerine getirmek; amaç dışı kullanım; veri işleme envanterini ve VERBİS'i güncellememek; DPIA gerektiren yüksek riskli işlemeyi değerlendirmeden başlatmak; otomatik kararda insan denetimi ve itiraz yolu koymamak; ve yurt dışı aktarımı denetlememek. KVKK, hukuka aykırı işleme, aydınlatma yükümlülüğünün ihlali, veri güvenliği tedbirlerinin alınmaması ve VERBİS yükümlülüğüne aykırılık gibi durumlar için idari para cezaları öngörür. Güncel ceza tutarları her yıl yeniden değerleme oranıyla değiştiği için kesin rakam için KVKK Kurumu'nun güncel duyurularına bakılmalıdır.

### Küçük bir işletme AI projelerinde KVKK pratiğine nereden başlamalı?

Küçük bir işletme önce hangi yapay zeka aracını hangi kişisel veriyle kullandığını basit bir envanterle listeler. Sonra her kullanım için işleme dayanağını (açık rıza veya meşru menfaat), amacı ve saklama süresini yazar; aydınlatma metnini günceller; kullandığı bulut/araç sağlayıcısının verinin nerede işlendiğini ve KVKK güvencelerini kontrol eder. Yüksek riskli bir kullanım (müşteri profilleme, otomatik karar) varsa basit bir DPIA yapar ve VERBİS yükümlülüğünü kontrol eder. Bu adımlar büyük bir hukuk departmanı olmadan da uyumun büyük kısmını sağlar; belirsiz veya yüksek riskli durumlarda uzman görüşü alınmalıdır.

### AI projelerinde KVKK için hazır bir uygulama sırası var mı?

Evet. Pratik sıra şudur: (1) veri ve amacı haritala (envanter), (2) her işleme için dayanağı belirle ve belgele, (3) veriyi minimize et ve mümkünse anonimleştir, (4) aydınlatma metnini ve yapay zeka şeffaflığını kur, (5) yüksek riskli işleme için DPIA yap, (6) VERBİS beyanını güncelle, (7) yapay zeka sağlayıcısıyla veri işleme sözleşmesi imzala, (8) teknik-idari güvenliği ve yurt dışı aktarım güvencelerini kur, (9) saklama-imha sürelerini tanımla, (10) izle, belgele ve değiştikçe güncelle. Bu sıra, AI projelerinde KVKK pratiğini yönetilebilir bir omurgaya dönüştürür ve bilgilendirme amaçlıdır.

<references-list data-references="[{&quot;label&quot;:&quot;Euronews TR — Türkiye üretken yapay zeka trafiğinde dünya birincisi (Digital 2026)&quot;,&quot;url&quot;:&quot;https://tr.euronews.com/next/2026/01/04/turkiye-chatgpt-trafiginde-yuzde-9449luk-oranla-dunya-birincisi&quot;},{&quot;label&quot;:&quot;KVKK nedir? (dahili rehber)&quot;,&quot;url&quot;:&quot;/blog/kvkk-nedir&quot;},{&quot;label&quot;:&quot;KVKK uyumlu yapay zeka kontrol listesi (dahili rehber)&quot;,&quot;url&quot;:&quot;/blog/kvkk-uyumlu-yapay-zeka-kontrol-listesi&quot;}]"></references-list>