İş yerinde ChatGPT KVKK'ya aykırı mı? Risk ve teknik çözüm

Üretken yapay zekâ kullanımında üç madde pratikte sürekli gündeme gelir. Birbirini tamamlar; birini “hallettik” deyip diğerini atlamak denetimde tutarsızlık yaratır.

Kişisel veri modele gönderildiğinde işleme gerçekleşmiş sayılır. Hukuka uygunluk için genellikle sözleşmenin ifası, meşru menfaat veya açık rıza gündeme gelir — hangisinin geçerli olduğu sürece ve veri kategorisine göre değişir. Aydınlatma yükümlülüğü ayrıca değerlendirilir: çalışan veya müşteri verisi modele gidiyorsa, bu işleme ilişkin bilgilendirme ve kayıt envanteri güncel olmalıdır.

Kurul’un Üretken Yapay Zekâ Rehberi de veri minimizasyonu ve amaç sınırlamasını vurgular. “Tüm müşteri dosyasını yapıştırdım, model cevap versin” pratiği hem m.8 hem minimizasyon ilkesiyle çelişir.

ChatGPT, Claude ve benzeri servislerin altyapısı büyük ölçüde yurt dışındadır. Kişisel veri içeren istek gönderildiğinde m.9 kapsamında aktarım değerlendirmesi gerekir. Yeterli koruma, standart sözleşme maddeleri, açık rıza veya Kurul izni — hangi dayanağın kullanıldığı yazılı ve kanıtlanabilir olmalıdır.

“Business hesabı aldık, aktarım sorunu kalmadı” genellemesi doğru değildir. Kurumsal hesap sözleşmesi bazı taahhütleri düzenler; veri sorumlusunun m.9 değerlendirmesi ve teknik minimizasyon yükümlülüğü devam eder. Detaylı aktarım çerçevesi için ChatGPT yurt dışı veri aktarımı yazımıza bakın.

Denetimde en sık eksik bulunan madde budur. Kağıt üzerinde politika veya eğitim slaytı yetmez; erişim kontrolü, maskeleme, log, olay müdahalesi fiilen uygulanmalıdır. Kişisel ChatGPT hesabı kullanımında IT hangi departmanın ne gönderdiğini göremez — m.12 açısından “gerekli tedbir” savunması zayıflar.

Teknik tedbir seti tipik olarak şunları içerir: merkezi gateway, gerçek zamanlı kişisel veri maskeleme (TC kimlik, IBAN, telefon), denetim izi, rol bazlı erişim, dosya yükleme sınırı. İdari tedbir: yazılı kullanım politikası, ihlal prosedürü, periyodik raporlama.

ChatGPT Business veya Enterprise; faturalama, SSO, bazı veri işleme taahhütleri ve kurumsal destek sağlar. IT satın alma ekipleri için mantıklı bir adımdır. Ancak Türkiye’de KVKK denetim beklentisinin tamamını otomatik karşılamaz.

Business hesabında bile çalışan müşteri e-postasını olduğu gibi modele yapıştırabilir. Denetim izi kurumunuzun formatında ve süresinde olmayabilir. Departman kotası, Türkçe kişisel veri maskeleme, admin aksiyon logu — bunlar çoğu kurumda ayrı bir gateway katmanında tanımlanır. “Business aldık, yeterli mi?” sorusunun cevabı: kısmen evet, tamamen hayır.

Business + gateway birlikte düşünülmelidir: sözleşmesel güvence ile teknik zorunluluk. ChatGPT Business KVKK yazımız bu ayrımı satın alma perspektifinden ele alır.

KVKK denetimi veya iç uyumluluk incelemesinde yapay zekâ konusunda aşağıdaki sorular tekrarlanır. Cevaplarınızı ve kanıtlarınızı önceden hazırlamak, süreci kısaltır.

Senaryo 1 — Müşteri hizmetleri: Şikâyet e-postası (ad, TC kimlik, telefon, adres) ChatGPT'ye yapıştırılır. Model özet cevap üretir; veri ABD/AB altyapısına gitmiş olur. Kurum fark etmeden işlem tamamlanır.

Senaryo 2 — Satınalma: Tedarikçi teklif tablosu (vergi no, IBAN, tutar) modele analiz ettirilir. Finansal ve kimlik verisi üçüncü tarafa aktarılır; sözleşmesel dayanak belirsizdir.

Senaryo 3 — İnsan kaynakları: Aday özgeçmişi ve sağlık raporu özeti modele “değerlendirme” için gönderilir. Özel nitelikli kişisel veri riski doğar; aydınlatma ve hukuki dayanak ayrıca sorgulanır.

Ortak nokta: verimlilik kazancı gerçek; fakat denetim izi yok, maskeleme yok, envanter güncel değil. Tek bir olay bile Kurul şikâyeti veya iç denetim bulgusu olarak dönebilir.

Hukuk ekibi politika ve hukuki dayanağı netleştirir; IT ve uyumluluk teknik karşılığı uygular. İkisi arasındaki boşluk, “politikamız var ama uygulayamıyoruz” tablosudur.

İdari adımlar: yapay zekâ kullanım politikası, veri sınıflandırması (modele gitmeyecek veri türleri), ihlal bildirim prosedürü, çalışan eğitimi. Tek seferlik eğitim yetmez; platform zorunluluğu davranışı değiştirir.

Teknik adımlar: tüm model erişimini gateway üzerinden zorunlu kılma, TC kimlik/IBAN/telefon maskeleme, departman ve kullanıcı kotası, aylık kullanım ve uyumluluk raporu, on-prem veya hibrit kurulum (sektöre göre).

KVKK idari para cezaları 2024 güncellemesiyle üst sınırları açısından ciddi seviyededir. Yapay zekâ kaynaklı ihlaller henüz her dosyada ayrı kategoride raporlanmasa da, kişisel veri ihlali ve m.12 tedbir eksikliği gerekçesiyle ceza uygulanmış vakalar mevcuttur. Özellikle “tedbir almadık / log sunamadık / envanter yok” savunması zayıf kalır.

Ceza riski yalnızca büyük sızıntıda değil; tekrarlayan küçük ihlallerde de birikir. Bir çalışanın haftalık müşteri verisi yapıştırması, tek seferlik değil sistematik işleme olarak değerlendirilebilir. Kurul şikâyeti veya ihbar hattı tetikleyicidir.

Önleyici yatırım mantığı: gateway + yönetişim maliyeti, tek bir ağırlaştırılmış idari para cezasının çoğu senaryoda altındadır. Detay senaryolar: KVKK yapay zeka cezası yazımız.

Banka ve sigorta: m.9 aktarım + m.12 tedbir + on-prem/hibrit gateway. Denetim sıklığı yüksek; aylık uyumluluk raporu standart beklenti.

Üretim ve ticaret: gölge AI görünürlüğü + minimizasyon + maliyet kotası. Verimlilik baskısı yüksek; yasak yerine kanal.

Kamu ve holding: veri egemenliği + envanter + üst yönetim raporu. Politika-platform uyumu zorunlu.

KOBİ: Business hesabı + basit gateway pilotu ile başlanabilir; envanter ve politika yine gerekli. Ölçek küçük olsa da veri sorumlusu yükümlülüğü aynıdır.

ChatGPT’yi iş yerinde kullanmak KVKK’ya otomatik aykırı değildir. Kontrolsüz kullanmak aykırılık ve ceza riskini taşır. Kurumsal gateway, maskeleme ve denetim izi kombinasyonu hem çalışan verimliliğini korur hem denetim beklentisini karşılar. Sonraki adımlar: envanter, kontrol listesi (üretken AI rehberi), tek departman pilotu.