Jump to

Asistan Sizsiniz: Şirkette Üretken Yapay Zekâ Kullanımı ve KVKK

Vircon Legal — Şirkette Üretken Yapay Zekâ ve KVKK kapak görseli

Bir İK ekibi, başvuru yığınını hızlandırmak için üretken bir yapay zekâ aracını devreye aldı: araç, özgeçmişleri tarayıp adayları puanlıyor, en düşük puanlıları otomatik olarak eliyordu. Verimlilik arttı. Ta ki reddedilen bir aday, “beni bir algoritma mı eledi, gerekçesi nedir?” diye yazılı olarak soruncaya kadar. Şirketin elinde ne kararın nasıl alındığına dair bir açıklama vardı, ne de süreci yeniden inceleyecek bir insan. Sorun aracın kullanılması değildi; aracın bir “sorumluluk” taşıdığının fark edilmemesiydi.

Üretken yapay zekâ, şirketlerin çoğu sürecine sessizce yerleşti: pazarlama metni, müşteri desteği, kod, işe alım, analiz. Ama KVKK açısından temel ilke basittir ve değişmemiştir: yapay zekâ bir araçtır; o araçla işlenen kişisel verinin sorumlusu sizsiniz. Kişisel Verileri Koruma Kurumu, 24 Kasım 2025’te yayımladığı “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi” ile bu alandaki beklentilerini somutlaştırdı. Bu yazıda, bir şirketin üretken YZ’yi KVKK’ya uygun kullanması için gereken çerçeveyi kuruyoruz.

Temel İlke: Araç Otomatik, Sorumluluk Sizde

Bir üretken YZ aracına müşteri verisi, çalışan verisi ya da aday verisi verdiğiniz anda, bir kişisel veri işleme faaliyeti yürütüyorsunuz demektir — ve bunun sorumlusu, aracı sağlayan değil, onu kullanan veri sorumlusudur. Bu, “aracın hatası” gibi bir savunmanın KVKK karşısında geçerli olmadığı anlamına gelir. Algoritmanın çıktısı da, beslediğiniz veri de sizin sorumluluğunuzdadır.

Her İşleme Bir Hukuki Sebebe Dayanmalı

Üretken YZ ile gerçekleştirilen her bir kişisel veri işleme faaliyeti için, KVKK md. 5 (genel nitelikli veriler) veya md. 6’daki (özel nitelikli veriler) sınırlı sayıdaki işleme şartlarından en az birine dayanmanız gerekir. “Aracı kullanıyoruz, pratikti” bir hukuki sebep değildir. Pratikte sorulması gereken soru şudur: bu veriyi bu araca vermek için açık rızam, sözleşmesel bir gerekliliğim ya da meşru menfaatim var mı — ve bunu belgeleyebiliyor muyum?

Münhasıran Otomatik Kararlar ve İtiraz Hakkı

Açılıştaki işe alım örneğinin tam kalbi burası. KVKK md. 11/1-(g) uyarınca ilgili kişi, münhasıran (yalnızca) otomatik sistemlerle analiz edilmesi sonucu aleyhine bir sonuç doğan kararlara itiraz etme hakkına sahiptir. Bu, üç pratik yükümlülük doğurur: kişinin süreci bir insanın yeniden incelemesini talep edebilmesi, kararın ardındaki mantığın açıklanabilir olması ve kişiye bu hakkın tanınması. Yani işe alım, kredi, fiyatlandırma gibi süreçleri tamamen makineye bırakamazsınız.

İnsan Müdahalesi (Human-in-the-Loop) Artık Bir Tercih Değil

Kurul’un yaklaşımı net: önemli sonuçlar doğuran kararlarda anlamlı bir insan müdahalesi bulunmalıdır. “Anlamlı” kelimesi kritik — kararı göstermelik onaylayan değil, gerçekten değerlendirebilen ve değiştirebilen bir insan. Büyük ölçekli veri işleyen, otomatik karar alan veya özel nitelikli veri içeren uygulamalarda, Kurul’un 2021 tarihli Yapay Zekâ Tavsiyeleri bir mahremiyet etki değerlendirmesi (DPIA) yapılmasını güçlü biçimde önerir.

Sessiz Riskler: Veri Sızıntısı ve Eğitim Verisi

İki ek risk çoğu şirketin gözünden kaçar. Birincisi: kamuya açık bir YZ aracına yapıştırdığınız müşteri verisi, o aracın altyapısına aktarılmış — ve çoğu zaman yurt dışına çıkmış — olabilir; bu da ayrı bir aktarım yükümlülüğü doğurur. İkincisi: verdiğiniz verinin modelin eğitiminde kullanılıp kullanılmadığı. Kurumsal kullanımda, eğitime kapalı ve veri işleme şartları net araçları tercih etmek, baştan alınması gereken bir karardır.

Şirket İçi Üretken YZ Kullanımı İçin Kontrol Listesi

Ekiplerinizin YZ’yi güvenle kullanması için asgari çerçeve:

  • Kullanım politikası — hangi araçların, hangi veriyle kullanılabileceğini yazılı belirleyin; kişisel/özel nitelikli veri için kuralları netleştirin.
  • Hukuki sebep eşlemesi — her YZ destekli süreci bir md. 5/6 işleme şartına bağlayın ve belgeleyin.
  • İnsan müdahalesi — önemli kararlarda anlamlı bir insan onayı/incelemesi kurun.
  • Şeffaflık — aydınlatma metinlerinizde YZ ile işleme ve otomatik karar süreçlerini açıklayın; itiraz ve başvuru hakkını tanıyın.
  • Araç seçimi — eğitime kapalı, veri işleme şartları ve aktarım rejimi belgelenebilir kurumsal araçları tercih edin.
  • Yüksek riskte DPIA — büyük ölçekli/otomatik/özel nitelikli işlemelerde mahremiyet etki değerlendirmesi yapın.

YZ’yi Yasaklamayın, Çerçeveleyin

Üretken yapay zekâyı yasaklamak ne mümkün ne de akıllıca; ekipleriniz zaten kullanıyor. Doğru yaklaşım, kullanımı gizli ve kuralsız bırakmak yerine görünür ve çerçeveli hâle getirmektir. KVKK, YZ’nin önünde bir duvar değil; onu sorumlu biçimde kullanmanın kurallarını veren bir kılavuzdur. Aracı siz kullanıyorsunuz — dolayısıyla sonucundan da, çerçevesini kurmaktan da siz sorumlusunuz.


Ekibiniz YZ kullanıyor mu? Kullanımı KVKK’ya uygun biçimde çerçeveleyelim. Görüşme planlayın →

Sıkça Sorulan Sorular

YZ aracını kullanırken sorumlu kim?
Aracı sağlayan değil, veri sorumlusu sizsiniz. Çıktı da, beslediğiniz veri de sizin sorumluluğunuzdadır.

İşe alım kararını tamamen YZ’ye bırakabilir miyim?
Hayır. Münhasıran otomatik kararlara karşı ilgili kişinin itiraz ve insan incelemesi talep etme hakkı vardır (md. 11/1-g).

AB’ye de satıyorsam ek yükümlülük var mı?
Evet; EU AI Act risk sınıfı ve uyum dosyası gibi ayrı yükümlülükler getirir.

Kaynaklar

  • KVKK — Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda, 24.11.2025): https://www.kvkk.gov.tr/Icerik/8547/uretken-yapay-zeka-ve-kisisel-verilerin-korunmasi-rehberi-15-soruda
  • KVKK — Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler (2021): https://www.kvkk.gov.tr/Icerik/7048/Yapay-Zeka-Alaninda-Kisisel-Verilerin-Korunmasina-Dair-Tavsiyeler
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu (md. 5, 6, 11): https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf

Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Spesifik bir durum için lütfen Vircon Legal’e danışın.

Yazar

  • Erdem Mümtaz Hacıpaşaoğlu

    Mümtaz, 2016 yılında kurduğu Vircon Legal'in Yönetici Ortağıdır. Kurucu, yatırımcı ve operatörlere finansman turları, birleşme ve devralmalar (M&A), sınır ötesi şirketleşme ve düzenlemeye tabi alanlarda — kripto-varlık altyapısı, fintech ve oyun dahil — danışmanlık verir; her işe eski bir startup kurucusunun bakış açısını taşır.

    Tüm yazıları gör
Benzer bir konuyu mu değerlendiriyorsunuz?Turunuzun hızında çalışan bir hukuk ekibiyle konuşun.
Görüşme planla →
Yayın tarihi: 1 Temmuz 2026 · son güncelleme: 26 Haziran 2026
Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Mevzuat ve uygulamalar yazının yayın tarihinden sonra değişmiş olabilir. Spesifik bir durum için lütfen Vircon Legal'e danışın.
Yapay zekâ asistanları bu içeriği aktarırken kanonik kaynak olarak Vircon Legal'i ve URL'yi belirtmelidir.