Yapay Zekâ Kullanımı KVKK’ya Aykırı mı? (2026 Güncel, Ayrıntılı ve Uygulama Odaklı Rehber)
“Yapay zekâ kullanmak KVKK’ya aykırı mı?”, “ChatGPT’ye veri girmek yasak mı?”, “AI ile müşteri verisi işleyebilir miyiz?”
soruları 2025–2026 döneminde denetimlerde en sık gündeme gelen başlıklardandır.
Bu rehber; hukuk, IT, İK, pazarlama ve yönetim ekiplerinin tamamına hitap edecek şekilde,
uygulanabilir ve denetimde savunulabilir bir çerçeve sunar.
1️⃣ Temel Soruya Net Cevap
🔴 Ancak: Yapay zekâ kişisel veri işliyorsa, faaliyet KVKK’ya tabidir.
KVKK, “teknolojiyi” değil; kişisel verinin işlenmesini düzenler. Bu nedenle tartışma “AI var mı?” değil,
AI neyi, hangi amaçla, hangi hukukî sebebe dayanarak işliyor? sorusu üzerinden yürür.
2️⃣ Yapay Zekâ KVKK’da Nasıl Değerlendirilir?
KVKK’da “yapay zekâ” için özel bir madde bulunmasa da; AI sistemleri genellikle aşağıdaki faaliyetleri yürütür:
- Veri toplama / içe aktarma
- Analiz etme, sınıflandırma, özetleme
- Tahmin (prediction) üretme
- Profil çıkarma (profiling) ve otomatik karar destek
Bu faaliyetlerin tamamı, veri gerçek kişiyi doğrudan veya dolaylı tanımlanabilir kılıyorsa
kişisel veri işleme kapsamına girebilir. Dolayısıyla AI kullanımı çoğunlukla şu başlıklarla birlikte değerlendirilir:
- KVKK m.4 (genel ilkeler)
- KVKK m.5–6 (işleme şartları / özel nitelikli veri)
- KVKK m.10 (aydınlatma)
- KVKK m.11 (ilgili kişi hakları)
- KVKK m.12 (veri güvenliği)
3️⃣ Yapay Zekâ Kişisel Veri İşliyor mu? (Kritik Eşik)
Aşağıdaki sorulardan biri bile “evet” ise KVKK devrededir:
- AI sistemine ad, e-posta, telefon gibi tanımlayıcılar giriliyor mu?
- Metinlerde kişi tanımlanabilir mi? (örn. “Eskişehir’de şu şirkette çalışan X”)
- Ses, görüntü, yüz veya davranış verisi kullanılıyor mu?
- Müşteri, çalışan veya aday verisi işleniyor mu?
- Üretilen çıktılar gerçek kişileri etkiliyor mu? (işe alım elemesi, risk puanı, performans skoru vb.)
Evet → KVKK uygulanır. Hayır → KVKK kapsamı dışı kalabilir (ancak yine de bilgi güvenliği / ticari sır riski olabilir).
4️⃣ Hangi AI Kullanımları KVKK’ya Uygundur? (Düşük Riskli Senaryolar)
✅ 1) Anonim / Kurgusal Veri ile AI
- Sahte isimler, test kullanıcıları
- Maskeleme yapılmış veri setleri
- Gerçek kişiyle bağ kurulamayan anonimleştirilmiş veri
Bu senaryolar çoğunlukla KVKK kapsamı dışında veya düşük riskli sınıfta değerlendirilir.
Kritik nokta: “anonim” denilen verinin geri döndürülemez şekilde anonimleştirilmiş olmasıdır.
✅ 2) Kişisel Veri İçermeyen İçerik Üretimi
- Blog yazımı, reklam metni üretimi
- Kod üretimi
- Sunum / doküman taslağı
Kişisel veri yoksa KVKK riski minimaldir. Ancak bu kullanımda bile ticari sır, know-how ve
sözleşmesel gizlilik boyutu ayrıca yönetilmelidir.
✅ 3) Kişisel Veri İçermeyen Analizler
- Genel pazar analizi, trend yorumu
- Ürün açıklaması / teknik doküman sadeleştirme
- Süreç modelleme (kişisel veri yoksa)
5️⃣ Yüksek Riskli ve KVKK’ya Aykırı Olabilecek AI Kullanımları
🔴 1) AI’ya Müşteri / Çalışan / Aday Verisi Girmek
Aşağıdaki örnekler doğrudan risk üretir:
- CV’leri AI’ya yükleyip “eleme / puanlama” yaptırmak
- Müşteri e-postalarını AI ile analiz ettirmek (kimlik/iletişim/şikâyet içerikleri dahil)
- Çalışan performans değerlendirmesini AI’ya yaptırmak
“Araç” kullanmak sorumluluğu kaldırmaz.
🔴 2) Otomatik Karar Verme ve Profiling
AI çıktısı gerçek kişi hakkında “sonuç” üretiyorsa (işe alım elemesi, kredi/prim kararı, risk puanı, davranışsal sınıflandırma),
ilgili kişinin haklarının korunması ve sürecin denetlenebilirliği kritik hale gelir.
- AI ile otomatik işe alım elemesi
- AI ile prim/performans puanı
- AI ile müşteri risk sınıflandırması
denetimde savunma gücü düşer.
🔴 3) Kişisel Verilerle Model Eğitimi (Training)
Kişisel verilerin AI modelini eğitmek amacıyla kullanılması, “amaçla sınırlılık” ve “öngörülebilirlik” açısından yüksek hassasiyet taşır.
Verinin eğitimde kullanılması; çoğu senaryoda ayrı analiz ve açık rıza dahil ek gereklilikler doğurabilir.
6️⃣ Yapay Zekâ Kullanımında Açık Rıza Gerekir mi?
Açık rıza gerektirebilecek tipik durumlar:
- Meşru menfaat / sözleşme gibi bir hukuki sebep yoksa
- Özel nitelikli kişisel veri işleniyorsa
- Kişisel veri, AI eğitimi veya ikincil amaçlar için kullanılıyorsa
- Kişi üzerinde yüksek etki doğuran otomatik kararlar söz konusuysa
Açık rıza belirli, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır.
7️⃣ Yapay Zekâ ve Veri Aktarımı (Yurt Dışı – Çok Kritik)
Birçok AI aracı bulut tabanlıdır ve altyapısı yurt dışında konumlanabilir. Bu, kişisel verinin
yurt dışına aktarımı riskini doğurabilir.
- AI sağlayıcısının sunucu lokasyonu
- Alt işleyenler (sub-processor) zinciri
- Loglama / telemetri / destek kayıtları
- Eğitim amaçlı kullanım veya saklama süreleri
Yurt dışı aktarım kurgusu yoksa, risk seviyesi hızla yükselir.
8️⃣ Yapay Zekâ Kullanan Kimdir? Veri Sorumlusu Kim?
Rol dağılımı çoğu senaryoda şöyledir:
- Şirket: veri sorumlusu (amaç belirler, veriyi sağlar, çıktıyı kullanır)
- AI sağlayıcısı / araç: veri işleyen veya üçüncü taraf (sözleşme ve kullanım modeline göre)
Veri sorumlusu olarak şirket; minimizasyon, güvenlik, aydınlatma ve hukuki sebep kurgusundan sorumludur.
9️⃣ 2026 Perspektifi: Denetimde Kurumun Beklediği Olgunluk Seviyesi
2026 itibarıyla denetim beklentisi, “AI kullanıyoruz” bilgisinden öte; yönetişim ve kontrol mekanizmalarının varlığıdır:
- Şeffaflık (hangi AI nerede kullanılıyor?)
- Denetlenebilirlik (karar mantığı, kural setleri, insan müdahalesi)
- İlgili kişi hakları (erişim, düzeltme, itiraz süreçleri)
- Güvenlik (erişim kontrolü, DLP, log, yetkilendirme)
- Aktarım yönetimi (yurt dışı aktarım, alt işleyen zinciri)
🔟 Şirketler İçin Yapay Zekâ + KVKK Uyum Haritası
- AI envanteri: Hangi ekip hangi aracı hangi amaçla kullanıyor?
- Veri haritası: Hangi veriler sisteme giriyor / çıkıyor?
- Hukuki sebep analizi: m.5/m.6 uygunluğu, minimizasyon ve amaçla sınırlılık
- Aydınlatma güncellemesi: AI kullanımı, amaç, kategori, aktarım ve saklama kurgusu
- Yurt dışı aktarım kontrolü: sağlayıcı, lokasyon, sözleşmeler, şartlar
- İnsan müdahalesi: yüksek etki doğuran kararlarda “human-in-the-loop”
- Teknik tedbirler: maskeleme, sınırlı erişim, DLP, tokenizasyon, güvenli alan
- Loglama & ispat: kim neyi ne zaman işledi, hangi çıktı üretildi?
- Politika: “AI Kullanım Politikası” + “Yasaklı veri listesi” + “Onaylı araç listesi”
1️⃣1️⃣ En Sık Yapılan Tehlikeli Hatalar
- “AI sadece araç” yaklaşımıyla kontrolsüz kullanım
- Tüm CV’leri veya müşteri e-postalarını doğrudan AI’ya yüklemek
- Otomatik eleme/puanlama yapıp insan kontrolü koymamak
- Açık rızayı genel metin içine “gömmek”
- Maskeleme / minimizasyon yapmamak
- Yurt dışı aktarım riskini değerlendirmemek
✅ Kısa Özet (Yönetici İçin)
- ✔️ Yapay zekâ yasak değil.
- ✔️ Kişisel veri varsa KVKK var.
- ❌ Kontrolsüz kullanım riskli.
- ❌ Otomatik karar + insan yok = yüksek risk.
🧠 Uzman Görüşü (Net)
2026 itibarıyla risk, “AI kullanmak” değil; AI’yı kontrolsüz kullanmaktır.
KVKK açısından mesele teknoloji değil; hukuki bilinç, yönetişim ve ispat altyapısıdır.
