ChatGPT'yi yasaklamak mı yönetmek mi? Neden yasak çözüm değil

Başarılı bir yasak politikası şunları gösterir: yetkisiz trafik azaldı, veri sızıntısı olmadı, verimlilik korundu. Gerçekte çoğu kurum yalnızca ilk maddeyi (kaba trafik) ölçer; ikinci ve üçüncüyü ölçemez çünkü gölge kanallar log dışı kalır.

Verimlilik baskısı olan organizasyonlarda yasak sürdürülebilir değildir. Rakipler ve sektör basını yapay zekâ ile kazanım anlatırken çalışan elinde daha yavaş araçlarla kalır. IT “yasakladık” der; satınalma gizlice ChatGPT Plus faturalarını görür.

Yönetmek, kullanımı sıfırlamak değil; kuralları platformda zorunlu kılmaktır. Hangi roller hangi modellere erişir, günlük kota nedir, hangi veri türleri modele gitmemeli — bunlar PDF değil, gateway politikası olmalıdır.

Yönetilen erişimde IT görünürlük kazanır: departman maliyeti, denetim izi, kişisel veri olay kaydı. Çalışan onaylı kurumsal arayüzden aynı yeteneklere erişir. Hukuki dayanak iş yerinde ChatGPT KVKK rehberinde; bu yazı strateji boyutuna odaklanır.

Yönetim modeli “serbest ama loglu” değil, “kural tabanlı ve kanıtlı” olmalıdır. Serbest log modelinde kişisel veri yine gider; sadece sonradan görülür. Kural tabanlı modelde gitmemesi gereken veri teknik olarak engellenir — denetimde fark kritiktir.

Üst yönetim ve IT birlikte şu soruları yanıtlamalı:

“Kullanmayın” yerine “şu koşullarda, şu araçla, şu sınırlar içinde kullanın” denilebilir. İhlal durumunda log vardır; ölçülebilir müdahale yapılır. Yasak ihlali genelde kayda geçmez — bu da uyumluluk açısından paradokstur.

İnsan kaynakları disiplin süreci ile KVKK uyumluluk süreci ayrı ama paralel yürütülmeli. Politika ihlali tespiti gateway logundan beslenmelidir; keyfi değil, kanıta dayalı olmalıdır.

Yasak döneminde disiplin cezası verilen çalışan, alternatif kanal açıldığında güven kaybeder — geçişte “affetme” değil “yeni kural” mesajı net olmalıdır. Aksi halde gölge psikolojik olarak devam eder.

Finans: Sıkı regülasyon; yasak + gölge kombinasyonu en riskli profil. Yönetim + on-prem/hibrit gateway tercih edilir.

Perakende/e-ticaret: Verimlilik baskısı yüksek; tam yasak kısa ömürlü. Departman kotası + maskeleme ile hızlı pilot.

Teknoloji: Geliştirici gölgesi (API key, Copilot) yüksek; erişim yönetimi ve repo taraması yasaktan daha etkili.

Kamu: Veri egemenliği; yasak siyasi olarak kolay, operasyonel olarak zor. Envanter + politika + gateway üçlüsü standart yol.

ChatGPT kurumsal kullanımında sürdürülebilir model, yasak değil yönetimdir. Kurumunuz için yasak mı yönetim mi — mevcut gölge AI ölçeğiniz ve sektör denetim baskınız belirler.

“Yasağı kaldırdık” mesajı zayıftır. Doğru mesaj: “Güvenli kurumsal kanal açıldı; kişisel hesap artık gerekli değil.” Çalışanlara neden (KVKK + verimlilik) ve nasıl (URL, eğitim, destek hattı) açık anlatılmalı.

IK disiplin süreci ile uyumluluk süreci paralel yürütülmeli. İlk 90 günde cezalandırıcı ton yerine yönlendirici ton gölgeyi daha hızlı azaltır.

Yönetim kuruluna “yasakladık” raporu ile “yönetiyoruz, işte metrikler” raporu farklı güven verir. Sunulması gerekenler: aylık kullanım, departman maliyeti, olay sayısı, gölge trafik trendi, uyumluluk özeti.

Maliyet raporlama çerçevesi: yapay zekâ maliyeti yönetim kurulu. Hukuki çerçeve: iş yerinde ChatGPT KVKK.

Hata 1: Yasak + alternatif sunmamak. Hata 2: Politika yazıp gateway açmamak. Hata 3: IT’ye yükleyip üst yönetim sponsoru atamamak. Hata 4: Pilot ölçmeden kurumsal yayılım. Hata 5: Hukuk ve IT’yi ayrı projelerde tutmak.

Bu hataların ortak sonucu: gölge AI büyür, denetimde savunma zayıflar. 30 günlük eylem planı bu hatalardan kaçınmak için pratik sıra sunar.