KVKK Uyum Programlarına Yapay Zeka Ayarı

Üretken yapay zekâ araçları artık işyerlerinde çalışanların günlük rutininin bir parçası haline gelmiştir. Metin yazımı, özet çıkarma, toplantı notu hazırlama, fikir geliştirme, araştırma desteği ve içerik üretimi gibi işler için çalışanlar şirketi içi kullanım politikası olmaksızın adeta rastgele bu araçları kullanmaktadır. Çalışanlar çoğu zaman kötü niyetle değil, hızlı iş yapmak amacıyla bu araçları kullanır. Fakat kurumsal yapı doğru kurulmadığında, iyi niyetli bir kullanım dahi veri ihlaline, ticari sır kaybına veya hatalı iş kararına dönüşebilir.

Bu farkındalığı oluşturma ve “soft” bir düzenleme yapmak amacıyla KVKK Şubat 2026’da üretken yapay zekâ araçlarının iş yerlerinde kullanımına dair bir rehber yayınladı.

https://www.kvkk.gov.tr/Icerik/8674/is-yerlerinde-uretken-yapay-zeka-araclarinin-kullanimi

Rehberin en önemli kavramlarından biri “Gölge Yapay Zekâ”dır. Bu kavram, çalışanların şirketin bilgisi, onayı veya denetimi dışında üretken yapay zekâ araçlarını iş süreçlerinde kullanmasını ifade eder. Başka bir deyişle, Şirket politikası tanımlanmamış hangi araçların ne şekilde güvenle kullanılabileceği belirlenmemiş şekilde kontrolsüz yapay zekâ kullanımı söz konusudur. KVKK’ya göre bu artık teorik bir risk değil, fiilen günlük iş akışlarında karşılaşılan bir durumdur. Çalışanlar çoğu zaman verimlilik, hız ve pratiklik amacıyla; toplantı notlarını, iç yazışmaları, rapor taslaklarını, müşteri bilgilerini veya kurumsal değerlendirmeleri bu araçlara girdi olarak sunabilmektedir.

Gölge yapay zekâ kullanımının doğurduğu riskler arasında: şirket içi bilgilerin dış ortamlara bilinçsizce aktarılması, kişisel verilerin gizlilik ihlali olacak şekilde ifşası, hatalı sonuç üretecek şekilde veri işleme, içerik üretme, önyargılı karar süreçleri sayılabilir.

KVKK Rehberinde altı çizilen riskler şöyledir:

- Kişisel verilerin korunmasına ilişkin risklerdir. Kişisel verilerin üretken yapay zekâ araçları ile paylaşılması, hukuka aykırı işleme, yetkisiz erişim, veri sızıntısı veya amaç dışı kullanım sonucunu doğurabilir.

- Denetlenebilirlik ve hesap verebilirlik. Bir şirket, çalışanların hangi yapay zekâ aracını kullandığını ve hangi verileri paylaştığını bilmiyorsa, daha sonra bir ihlal ortaya çıktığında bunu soruşturmak ve açıklamak zorlaşır.

- Karar kalitesi riski, itibar ve güven kaybı. Üretken yapay zekâ araçları ikna edici ama yanlış, tutarsız veya önyargılı çıktı üretebilir. Bu çıktılar doğrulanmadan kullanılırsa iş kararları hatalı hale gelebilir.

- Ticari sırların ifşası. Kaynak kod, ürün tasarımı, strateji belgesi, müşteri dosyası veya gizli iş planlarının harici araçlarla paylaşılması; bu bilgiler üzerindeki kurumsal kontrolün zayıflamasına yol açabilir.

-Bilgi güvenliği ve siber güvenlik. Üretken yapay zekâ araçlarına verilecek bilgiler içinde farkında olunmadan şirketin digital platformlarındaki olası açık kapıları hakkında da bilgi verilmesi riski mevcuttur.

KVKK Rehberinin kişisel veriler bakımından verdiği temel mesaj çok açıktır: 6698 sayılı Kanun teknolojiden bağımsız uygulanır. Yani veri işleme faaliyetinin bir insan eliyle, klasik yazılımla ya da üretken yapay zekâ sistemi üzerinden yapılıyor olması sonucu değiştirmez; ortada kişisel veri işleme varsa KVKK hükümleri uygulanır. Bu nedenle, çalışanların prompt içine yazdığı müşteri bilgileri, çalışan verileri, sağlık bilgileri, finansal veriler, hukuki ihtilaflara ilişkin bilgiler veya bir kişiyi doğrudan ya da dolaylı belirlenebilir kılan unsurlar kişisel veri işlenmesi ve ifşası olabilir. Rehber özellikle, bu araçlarla etkileşim sırasında mümkün olduğunca anonimleştirilmiş, genelleştirilmiş ve soyutlaştırılmış ifadelerin tercih edilmesini, kişi adı, tarih, konum, dosya detayı gibi ayırt edici unsurların paylaşılmamasını önermektedir. Ayrıca, kullanılan YZ aracının aydınlatma metni, gizlilik politikası, veri saklama süresi ve veri paylaşım modeli gibi hususların incelenmesi gerektiği vurgulanmaktadır.

Bu çerçevede KVKK Uyum Programlarında revizyon yapılması zaruri bir ihtiyaçtır.

1. Şirket içi kurumsal üretken yapay zekâ kullanım politikası oluşturulmalıdır. Bu politika; hangi araçların kullanılabileceğini, hangi faaliyetlerde kullanımın uygun olduğunu, hangi veri türlerinin asla paylaşılmayacağını, çıktıların nasıl kontrol edileceğini ve sorumluluk zincirini netleştirmelidir.

2. Veri sınıflandırması ve veri giriş kuralları belirlenmelidir. Özellikle müşteri dosyaları, insan kaynakları verileri, iç yazışmalar, sözleşmeler, ticari sırlar ve hassas kişisel veriler bakımından üretken YZ araçlarına yüklenmemesi noktasında net yasak veya özel izin mekanizması kurulmalıdır.

3. İnsan denetimi korunmalıdır. Yapay zekâ çıktıları nihai karar yerine destekleyici araç olarak görülmeli; doğruluk, uygunluk, bağlam, ayrımcılık ve hata riski açısından insan kontrolünden geçirilmelidir.

4. Erişim kontrolü ve teknik güvenlik tedbirleri alınmalıdır. Hangi platformlara erişileceği, hangi cihazlardan erişim olacağı, rol bazlı yetkilendirme ve ağ düzeyinde kontrol gibi önlemler düşünülmelidir.

5. Bu konuda özel kurum içi eğitim yapılmalı ve çalışan farkındalığı oluşturulmalıdır. Politika hazırlanıp rafa kaldırılmamalı; çalışanlara anlatılmalı, örneklerle desteklenmeli, güncellemeler paylaşılmalı ve geri bildirim mekanizmaları kurulmalıdır.

Özetle üretken yapay zekâ araçlarının işyerlerinde çalışanlarca kullanılmasında asıl risk, çalışanların yapay zekâ kullanması değil; şirketin bunu görmezden gelmesi, politika ve kurallarını belirlememesi ve yönetmemesidir.