Blog

KVKK Kurumu duyurusu: iş yerinde üretken yapay zekâ ne diyor?

Şubat 2026 KVKK Kurum duyurusu: gölge yapay zekâ, yasak yerine yönetim, risk listesi ve kurumsal adımlar. Hukukçular ve IT için özet ve uygulama boşluğu.

5 dk okumakvkk kurum duyurusu yapay zeka

KVKK Kurumu duyurusu ne söylüyor?

Kişisel Verileri Koruma Kurumu, Şubat 2026’da “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlıklı bir kurum duyurusu yayımladı. Duyuru, kamuya açık üçüncü taraf araçlar — ChatGPT, Claude, Gemini ve benzeri — için kurumsal farkındalık hedefliyor; yasaklama veya izin listesi değil, risk çerçevesi ve dikkat edilmesi gereken hususlar.

Önemli nokta: Kurum, 6698 sayılı Kanun’un teknolojiden bağımsız olduğunu tekrarlıyor. Üretken yapay zekâ aracılığıyla yapılan kişisel veri işleme de aynı hukuki çerçeveye tabi. Ayrıca “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)”nın dikkate alınması öneriliyor — detaylı uyum listesi için KVKK üretken yapay zekâ rehberi yazımıza bakın.

Duyuru, hukuk bürolarının ve uyumluluk ekiplerinin müşterilere ileteceği “resmi referans” metni konumunda. IT ve veri sorumlusu ise “peki teknik olarak ne yapacağız?” sorusunu duyuruda tam cevap bulamaz — bu boşluk bilinçli okunmalıdır.

Gölge yapay zekâ artık resmi kavram

Kurum “Gölge YZ” (Shadow AI) tanımını net biçimde kullanıyor: kurumun bilgisi, onayı veya kontrolü dışında çalışanların üretken yapay zekâ araçlarını iş süreçlerinde kullanması. Gölge BT ile paralel çiziliyor; teorik risk değil, günlük iş akışında karşılaşılan olgu olarak konumlandırılıyor.

Duyuruda sayılan tipik veri akışları: toplantı notları, iç yazışmalar, rapor taslakları, müşteri bilgileri, kamuya açık olmayan kurumsal veriler — üçüncü taraf araçlara gidebiliyor. Çalışanlar bunu verimlilik kazanımı olarak görüyor; kurum ise denetlenebilirlik kaybediyor.

Gölge AI operasyonel boyut: gölge yapay zekâ rehberimiz. Hukuki çerçeve: iş yerinde ChatGPT KVKK.

Kurumun saydığı riskler — KVKK’dan geniş çerçeve

Duyuru kişisel veriyi tek risk olarak ele almıyor. Kurum şu başlıkları ayrı ayrı vurguluyor:

  • Denetlenebilirlik ve hesap verebilirlik — log yoksa olay müdahalesi ve mevzuata uygunluk ispatı zorlaşır
  • Karar kalitesi — halüsinasyon, otomasyon ön yargısı (automation bias); insan denetimi şart
  • Fikri mülkiyet ve ticari sır — kaynak kod, strateji, gizli bilgi; model eğitiminde kullanım riski
  • Kurumsal itibar — doğrulanmamış çıktıların paydaşlara yansıması
  • Siber güvenlik — kişisel cihaz, yönetilmeyen API, genişleyen saldırı yüzeyi
  • Kişisel verilerin korunması — hukuka aykırı işleme, yetkisiz erişim, çıktıya sızma

Kişisel veri riski — Kurum ne öneriyor?

Kişisel veri için duyuru, prompt’ta mümkün olduğunca anonimleştirilmiş ve genelleştirilmiş ifade kullanılmasını öneriyor — isim, tarih, konum gibi ayırt edici unsurlardan kaçınma. Sağlık, finans, hukuki süreç verilerinde daha temkinli olunması gerektiği belirtiliyor.

Bu, davranışsal önlemdir; eğitim ve politika ile desteklenmelidir. Yoğun iş temposunda çalışan her seferinde metni soyutlaştırmaz — teknik maskeleme ve gateway zorunluluğu bu yüzden pratikte gereklidir. TC kimlik / IBAN maskeleme yazımız teknik karşılığı anlatır.

En kritik cümle: yasak gerçekçi değil

Duyurunun Operyan bloglarıyla en güçlü örtüşen bölümü budur. Kurum açıkça diyor ki: ÜYZ araçlarının sunduğu hız ve verimlilik karşısında, kullanımın **tamamen yasaklanmasına dayalı yaklaşımların uygulamada gerçekçi sonuçlar doğurmayacağı** düşünülmektedir. Yasaklayıcı yaklaşım, çalışanların araçları kurumsal kontrol dışında kullanmasına zemin hazırlayarak gölge kullanımı teşvik edebilir.

Bunun yerine yönlendirme, denge ve farkındalık temelli yaklaşım öneriliyor. Güvenli ve sorumlu kullanım; açık politika, onaylı araçlar, rol temelli erişim, eğitim. Strateji boyutu: ChatGPT yasaklamak mı yönetmek mi.

Kurumun önerdiği kurumsal adımlar

Duyuru tek tip politika dayatmıyor; kurumlar kendi kapsamına göre belirliyor. Ortak tema şu maddelerde toplanıyor:

  • Açık kurumsal politika veya yönlendirme — hangi araç, hangi amaç, hangi veri gitmez, çıktı nasıl kullanılır
  • Politikanın duyurulması ve çalışan erişimi — kağıtta kalmaması
  • Yalnızca kurumun belirlediği, koşulları tanımlı araçlara erişim
  • Rol temelli kullanım ve görev/ihtiyaç odaklı erişim
  • Ağ düzeyinde kısıtlama ve kurumsal cihaz — tamamlayıcı tedbir olarak
  • Eğitim, farkındalık ve geri bildirim mekanizması
  • ÜYZ çıktılarına insan denetimi — nihai karar dayanağı olmamalı

Politika örneği: ne serbest, ne yasak?

Duyuruda bazı kurum örneklerine atıf var. Kişisel veri, ticari sır ve hassas bilgi **içermemesi koşuluyla** kamuya açık araçlarda izin verilen kullanımlar: fikir geliştirme, metnin dilsel gözden geçirilmesi, internetteki kamuya açık içeriğin özetlenmesi.

Uygun bulunmayan örnekler: müşteri dosyaları, insan kaynakları verileri, kişisel veri içerebilecek iç yazışmalar. Politika şablonu ve uygulama: yapay zeka kullanım politikası.

Duyuruda eksik kalan — teknik uygulama boşluğu

Kurum idari ve davranışsal önlemleri detaylandırıyor; **otomatik maskeleme, merkezi gateway, denetim izi, departman kotası** gibi teknik katmanları isim vererek tanımlamıyor. “Politika yazın, eğitin, onaylı araca yönlendirin” çizgisi net; “platformda zorunlu kılın” cümlesi yok.

Denetim pratiğinde ise m.12 teknik-idari tedbirler fiilen uygulanmış olmalıdır. Politika ile fiili uygulama arasındaki boşluk — duyurunun okuyucusunun sıkıştığı nokta — gateway + yönetişim katmanıyla kapanır. Hukuki dayanak: iş yerinde ChatGPT KVKK cornerstone rehberi.

Kurum duyurusundan sonra ne yapmalısınız?

Hukuk / uyumluluk: Duyuruyu ve 15 Soruda Rehberi referans alarak politika taslağını güncelleyin; gölge AI envanteri çıkarın.

IT: Onaylı kurumsal erişim kanalı planlayın; yalnızca URL engeli yeterli değil. Pilot: tek departman, maskeleme + log açık.

Üst yönetim: “Yasakladık” yerine “yönetiyoruz, işte metrikler” dili. 30 günlük eylem planı: çalışanlar ChatGPT kullanıyor ne yapmalı.

Duyuru tek başına uyumluluk sağlamaz; politika + teknik tedbir + ölçüm üçlüsü birlikte ilerlemelidir.

Sık sorulan sorular

KVKK Kurumu iş yerinde ChatGPT'yi yasakladı mı?
Hayır. Duyuru tam tersine, tamamen yasaklayıcı yaklaşımların gerçekçi sonuç doğurmayacağını ve gölge kullanımı artırabileceğini belirtiyor. Yönlendirme ve sorumlu kullanım çizgisi öneriliyor.
Gölge yapay zekâ (Shadow AI) KVKK terminolojisinde mi?
Evet — Şubat 2026 duyurusunda Kurum “Gölge YZ” kavramını resmen kullanıyor ve Gölge BT ile ilişkilendiriyor. Kurumsal kontrol dışı üretken AI kullanımını tanımlıyor.
Kurum duyurusu gateway veya maskeleme zorunlu kılıyor mu?
Doğrudan isim vermiyor. Rol temelli erişim, onaylı araçlar ve eğitim vurgulanıyor. m.12 kapsamında teknik tedbir beklentisi ise fiili uygulamayı gerektirir — pratikte gateway, maskeleme ve log en sık karşılıktır.
Hangi veriler modele gitmemeli — Kurum örneği?
Müşteri dosyaları, IK verileri, kişisel veri içeren iç yazışmalar ve kurumsal hassas bilgiler. Kişisel veri/ticari sır içermeyen fikir geliştirme veya kamuya açık içerik özeti bazı politikalarda izin verilen örnekler arasında sayılıyor.
15 Soruda Rehber ile duyuru arasındaki fark nedir?
Rehber kişisel veri ve KVKK ilkelerine odaklı soru-cevap çerçevesi sunar. Şubat 2026 duyurusu iş yeri pratiği, gölge AI, yasak vs yönetim ve çok boyutlu risk listesi ekler. İkisi birlikte okunmalıdır.

Kurumsal yapay zekâ altyapınızı birlikte değerlendirelim.

KVKK uyumlu gateway, denetim izi ve maliyet yönetimi — ihtiyacınıza göre modül modül.

Keşif Görüşmesi Planla
← Tüm yazılar