⏱️ Okuma süresi: 13 dk · 📁 Kategori: KVKK & Yapay Zekâ

KVKK Açısından Yapay Zekâ Modellerinin Eğitimi: Veri Seti Kullanımında Hukuki Gereklilikler

Yapay zekâ modellerinin eğitimi, yalnızca teknik bir süreç değildir;
doğrudan kişisel verilerin işlenmesi, aktarılması, dönüştürülmesi ve yeniden üretimiyle bağlantılıdır.

2025 itibarıyla KVKK ve global veri koruma otoriteleri; model eğitimi sırasında kullanılan veri setlerinin hukuki dayanaklarını, anonimlik derecesini ve çıktı risklerini daha yakından incelemeye başladı.

Bu nedenle yapay zekâ geliştiren, dış kaynak AI modelleri kullanan veya veri seti sağlayan tüm kurumların; KVKK açısından model eğitimine özel riskleri tanıması ve uygun hukuki mekanizmaları kurması zorunludur.

1. Model Training Sürecinde Kişisel Veri Nedir? Nerede Başlar?

Yapay zekâ modellerinde kullanılan her veri seti, otomatik olarak anonim sayılmaz. KVKK açısından “kişisel veri”, model eğitiminde üç düzeyde ortaya çıkabilir:

1) Doğrudan Tanımlayıcı Veriler

• Ad, soyad
• Telefon numarası
• TC kimlik no
• IP adresi

2) Dolaylı Tanımlayıcı Veriler

• Konum verisi
• Çerez ID’si
• Davranış logları
• Sosyal medya aktiviteleri

3) Modelden Geri Çıkarılabilir Veriler (Model Inversion Risk Zone)

• Modelin eğitildiği kişiye ait örüntülerin tahmin yoluyla geri çıkarılabilmesi
• Membership inference: bir kişinin eğitim setine dahil olup olmadığının anlaşılması

2. Anonim Veri – Kişisel Veri Ayrımı: Model Eğitimi Açısından Kritik Noktalar

Yapay zekâ modelleri için kullanılan veri setleri çoğu zaman “anonimleştirilmiş” olarak lanse edilse de, KVKK’ya göre anonimlik ancak aşağıdaki koşullarla mümkündür:

• Veri artık hiçbir kişiyle ilişkilendirilemez olmalı
• Geri döndürme tekniklerine karşı dayanıklı olmalı
• Model çıktılarından veri sahibine ulaşılmamalı
• Teknolojik gelişmelere rağmen yeniden tanımlama ihtimali düşük olmalı

Eğer bu koşullar sağlanmıyorsa veri hâlâ “kişisel veri” sayılır ve KVKK hükümlerine tabidir.

3. KVKK’ya Göre AI Model Eğitimi İçin Gerekli Hukuki Dayanaklar

Yapay zekâ modellerinin eğitimi, KVKK m.5 ve m.6 kapsamındaki hukuki sebeplerden biriyle yapılmalıdır.

A) Açık Rıza (her durum için güvenli değildir)

• Kullanıcıların model eğitimine açıkça onay vermesi gerekir
• Rızanın geri alınabilir olması modele etkiler → model retraining gerekir
• Uygulamada sürdürülebilirliği zordur

B) Sözleşmenin İfası İçin Zorunluluk

• Hizmet sunmak için model eğitimi şartsa geçerli olabilir
• Her model bu kapsama girmez

C) Meşru Menfaat (en çok başvurulan fakat en riskli dayanak)

• Denge testi (LIA – Legitimate Interest Assessment) zorunludur
• Kullanıcı haklarını aşırı sınırlandırmamalı

D) Açıkça Alenileştirilmiş Veriler

• Sosyal medya verileri bu kapsama girmez → hâlâ KVKK korumasındadır

E) Özel Nitelikli Veri İşleniyorsa

• Açık rıza olmadan işlenemez
• Model training’de biyometrik veya sağlık verisi kullanılması çok yüksek risklidir

4. Model Training Riskleri: KVKK Açısından Değerlendirme

Yapay zekâ modelleri eğitilirken ortaya çıkan başlıca riskler şunlardır:

1) Model Inversion Attack

• Modelden eğitimde kullanılan kişisel verilerin tahmin yoluyla elde edilmesi

2) Membership Inference Attack

• Belirli bir kişinin eğitim setine dahil olup olmadığının anlaşılması

3) Overlearning (Modele Verinin “Kazınması”)

• Modelin verileri “unutamaması” → KVKK m.4 ihlali (işlendikleri amaçla bağlantılı olma)

4) Cross-Border Data Transfer

• Model eğitimi için verinin yurtdışında işlenmesi
• AB/ABD sunucularının kullanılması → yeterlilik kararı yok

5) Veri Setinin Üçüncü Taraflardan Temini

• Kaynağı belirsiz veri setleri → hukuka aykırı işlenen veri sorumluluğu

5. KVKK’ya Uygun Bir AI Eğitim Süreci Nasıl Olmalı?

KVKK uyumluluğu için teknik ve hukuki süreçler bütünleşik halde yürütülmelidir:

A) Veri Envanteri ve Kaynak Doğrulama

• Veri setinin nereden geldiği belgelendirilmeli
• Üçüncü taraf veri sağlayıcıları için sözleşme + teknik kontrol

B) DPIA – Veri Koruma Etki Analizi

• Model eğitimi öncesi riskler analiz edilmeli
• Yüksek risk varsa rıza zorunlu hale gelebilir

C) LIA – Meşru Menfaat Dengesi

• Modelin gereklilik–orantılılık testi yapılmalı

D) Gerçek Anonimlik ve Sentetik Veri Kullanımı

• Yüksek riskli sektörlerde sentetik veri önerilir
• Anonimlik geri döndürülemez olmalı

E) Audit Trail (Denetim İzi) Kurulumu

• Modelin hangi veriyle ne zaman eğitildiği kayıt altına alınmalı

6. Türkiye’deki Şirketler İçin Özel Riskler

Türkiye’de geliştirilen modellerin önemli bir kısmı, bulut hizmetlerinde AB/ABD altyapısı kullanıyor; bu da **yurt dışına aktarım** açısından ciddi risk doğuruyor.

• AWS / GCP / Azure modellerinde veri akışı kontrol edilmeli
• KVKK Kurulu’nun 2025 kararlarında AI veri işleme sık sık gündeme geldi
• Çapraz entegrasyon yapan SaaS çözümleri gizli veri transferi oluşturabilir

Sonuç: Yapay Zekâ Eğitimi KVKK Açısından Yüksek Riskli Bir Veri İşleme Sürecidir

Model eğitiminde kullanılan verinin niteliği, hukuki dayanağı, saklama süresi ve çıktıdan geri döndürülebilirlik ihtimali; KVKK uyumunun kalbini oluşturur.

Bu nedenle KVKK perspektifinden AI eğitim süreçleri şu prensiplere dayanmalıdır:

• Minimum veri → maksimum anonimlik
• Açık ve hesap verebilir süreç
• Denetlenebilir model eğitim kayıtları
• Güçlü hukuki dayanak
• Sürekli risk analizi

KVKK & AI Eğitimi Danışmanlığı