⏱️ Okuma süresi: 12 dk · 📁 Kategori: KVKK & Dijital Uyum

AI Destekli CRM Sistemleri KVKK’ya Uygun mu? (2026 Güncel, Hukuki + Teknik + Operasyonel Rehber)

AI destekli CRM sistemleri (Salesforce Einstein, HubSpot AI, Zoho Zia, özel geliştirilen CRM’ler vb.) bugün;
müşteri segmentasyonu, satın alma tahmini, davranış analizi, otomatik skorlamalar ve kişiselleştirilmiş pazarlama gibi alanlarda
yoğun kişisel veri işleme yapmaktadır. Bu nedenle temel soru şudur:
“AI destekli CRM kullanmak KVKK’ya aykırı mı?”

1️⃣ Kısa ve Net Cevap

2️⃣ CRM Sistemleri KVKK Açısından Ne Yapar?

CRM’ler tipik olarak şu veri kümelerini işler:

• Ad–soyad
• Telefon, e-posta
• Satın alma geçmişi
• Görüşme kayıtları / müşteri notları
• Davranışsal veriler (ziyaret, tıklama, etkileşim)
• Kampanya tepkileri (açılma, tıklama, dönüşüm)

Bu veri kümelerinin tamamı kişisel veri niteliğindedir. AI eklendiğinde CRM:

• Tahmin üretir (next best action / satın alma olasılığı)
• Segment oluşturur
• Risk / değer skorları hesaplar
• Otomatik aksiyon önerir

3️⃣ AI Destekli CRM KVKK’da Nasıl Konumlanır?

KVKK perspektifinde rol dağılımı çoğu senaryoda şöyledir:

• CRM’i kullanan şirket → Veri sorumlusu
• CRM yazılım sağlayıcısı → Çoğunlukla veri işleyen
• AI modülü → Veri işleyenin teknik alt aracı (veya alt işleyen zinciri)

4️⃣ AI Destekli CRM Ne Zaman KVKK’ya Uygundur?

AI destekli CRM aşağıdaki şartlar sağlanıyorsa uyumlu kurgulanabilir:

✅ 1) Hukuki Sebep Netse

• Sözleşmenin ifası (mevcut müşteri ilişkisi ve hizmetin yürütülmesiyle doğrudan bağlantı)
• Meşru menfaat (denge testi yapılmış, ölçülü ve beklenebilir kullanım)
• Açık rıza (özellikle pazarlama, ileri analiz ve kişiselleştirme senaryoları)

✅ 2) Amaçla Sınırlılık Varsa (Amaç Kayması Yoksa)

Örneğin satış için toplanan verinin, “disiplin/performans” gibi ayrı bir amaca kaydırılması; yeni hukuki sebep yoksa risk doğurur.
Amaç kayması yoksa uyum mümkündür.

✅ 3) İnsan Müdahalesi Mevcutsa

AI; önerir, skorlar, tahmin eder. Ancak nihai karar insan tarafından veriliyorsa (human-in-the-loop),
otomatik karar riskleri belirgin şekilde azalır.

5️⃣ AI Destekli CRM Ne Zaman KVKK’ya Aykırı Hale Gelir?

🔴 1) Otomatik Karar + İnsan Yoksa

Aşağıdaki senaryolar yüksek risklidir:

• “Bu müşteri riskli” → otomatik engelle
• “Bu müşteri düşük değerli” → kampanya dışı bırak
• “Bu lead düşük kalite” → satışa hiç düşürme

🔴 2) Açık Rıza Gereken Yerde Alınmamışsa

Özellikle aşağıdaki uygulamalar, çoğu senaryoda “meşru menfaat” ile her zaman savunulamaz:

• Davranışsal analiz ile ileri segmentasyon
• Profil çıkarma ile kişiselleştirilmiş kampanya
• Çapraz satış / churn tahmini gibi ileri tahmin modelleri
• CRM verisini model eğitimi (training) için kullanmak

🔴 3) AI Modülü Yurt Dışında Çalışıyorsa

Birçok AI destekli CRM bulut tabanlıdır ve veri işleme/analiz katmanı yurt dışında konumlanabilir.
Bu durum yurt dışına veri aktarımı riskini doğurur ve ek yükümlülükler tetiklenebilir.

6️⃣ CRM + AI = Profil Oluşturma mı?

Profil oluşturma yasak değildir; ancak şeffaflık, itiraz hakkı, ölçülülük
ve amaçla sınırlılık ilkeleri kritik hale gelir.

7️⃣ AI Destekli CRM’de Açık Rıza Ne Zaman Gerekir?

Açık rıza ihtiyacı doğurabilecek tipik durumlar:

• CRM verileri pazarlama amacıyla AI analizine sokuluyorsa
• Kişiselleştirilmiş kampanya / teklif / iletişim kurgulanıyorsa
• CRM verisi AI modeli eğitimi için kullanılıyorsa
• Özel nitelikli veriye dolaylı temas varsa (sağlık vb.)

8️⃣ En Kritik Risk: AI ile Amaç Genişletme (Purpose Creep)

Örnek:
CRM verisi satış ilişkisini yönetmek için toplandı, ancak AI ile “müşteri psikolojisi analizi / duygu analizi / hassas profil” çıkarıldı.
Bu, yeni bir amaç ve yeni bir risk seti doğurur.

9️⃣ KVKK Kurulu’nun Yaklaşımı (2026 Perspektifi)

Özetle denetim perspektifi:

• AI destekli sistemler yasak değildir
• Şeffaflık zorunludur
• Profiling denetlenebilir olmalıdır
• Otomatik kararlar itiraza açık olmalıdır
• Veri sorumlusu her zaman sorumludur

🔟 AI Destekli CRM İçin KVKK Uyum Haritası (Pratik)

1. Veri türleri: CRM’de işlenen veri kategorilerini listeleyin (kimlik, iletişim, işlem, davranış).
2. AI fonksiyonları: AI modülünün ne yaptığını teknik olarak netleştirin (skor, segment, öneri, otomatik aksiyon).
3. Profiling analizi: Profil oluşturma var mı? Varsa kapsamı ve etkisi nedir?
4. Hukuki sebep: m.5/m.6 analizini yapın; meşru menfaatse denge testi kurgulayın.
5. Açık rıza: gerekiyorsa ayrı alın (pazarlama/kişiselleştirme/ileri analiz).
6. İnsan onayı: kritik aksiyonlarda “human-in-the-loop” kurun.
7. Yurt dışı aktarım: bulut lokasyonu + alt işleyen zinciri + sözleşmesel/teknik kontrolleri denetleyin.
8. Politika: CRM–AI kullanım politikasını yazılı hale getirin (yasaklı veri, yetkilendirme, retention).
9. Loglama: AI skor/öneri üretimi, karar ve aksiyon zincirini kayıt altına alın.
10. İtiraz mekanizması: ilgili kişi talep/itiraz süreçlerinde CRM-AI çıktılarının nasıl ele alınacağını belirleyin.

1️⃣1️⃣ En Sık Yapılan Tehlikeli Hatalar

• “CRM zaten var, AI ekledik” yaklaşımıyla yeniden hukuki analiz yapmamak
• Otomatik skorları “karar” gibi kullanmak
• Pazarlama rızası olmadan ileri profiling / kişiselleştirme yapmak
• Tüm sorumluluğu CRM sağlayıcısına yıkmak
• AI modülünün veri akışını ve aktarımını denetlememek

✅ Kısa Özet (Yönetici İçin)

🧠 Uzman Görüşü (Net)

2026 itibarıyla denetimde sorulan soru “CRM kullanıyor musunuz?” değil;
“CRM’in AI’si neye karar veriyor ve bu karar hangi hukuki/teknik kontrollerle yönetiliyor?” sorusudur.
Doğru kurgulanmış AI–CRM yapısı satış performansını artırır ve risk yaratmaz; yanlış kurgulanmış yapı ise
idari para cezası, müşteri şikâyeti, denetim bulgusu ve itibar kaybı doğurabilir.

AI Destekli CRM KVKK Risk Analizi & Uyum Haritası Alın