KVKK Üretken Yapay Zekâ Rehberi'ne kurumsal uyum: pratik kontrol listesi

Aşağıdaki maddeleri “evet / kısmen / hayır” ve kanıt dosyası ile işaretleyin. Denetim hazırlığında bu tablo başlangıç noktasıdır.

Envanter olmadan maskeleme anlamsızdır. Satınalma, IK, müşteri hizmetleri ve hukuk farklı veri profili taşır — her biri ayrı değerlendirilmeli.

Minimizasyon teknik zorunlulukla desteklenmelidir: dosya yükleme limiti, asistan kapsam sınırı, otomatik red. “Lütfen yapıştırmayın” uyarısı yeterli değildir.

Aktarım değerlendirmesinde sözleşme tek başına yetmez; gateway logu hangi aktarımın ne zaman gerçekleştiğini göstermelidir. Yurt dışı aktarım yazımı teknik modelleri karşılaştırır.

Tedbirler denetimde somut kanıt ister: log örneği, maskeleme test çıktısı, aylık uyumluluk raporu. PDF politika tek başına “evet” sayılmaz.

Madde 1 — Envanter: Yalnızca “ChatGPT kullanıyoruz” demek yetmez. Süreç bazlı kayıt gerekir: hangi iş adımında, hangi veri kategorisi, hangi amaç. VERBİS ile tutarlılık kontrol edilmeli.

Madde 2 — Minimizasyon: Örnek kural — müşteri e-postasında yalnızca soru cümlesi modele gider; imza bloğu otomatik strip. Teknik karşılık gateway ön işleme pipeline.

Madde 3 — Aktarım: m.9 değerlendirme notu yazılı olmalı; “Business sözleşmesi var” tek satır yeterli değil. Aktarımın minimize edildiği maskeleme test raporu ile gösterilmeli.

Madde 4 — Tedbirler: Rol bazlı erişim, maskeleme, log saklama süresi, admin MFA — checklist maddeleri ayrı ayrı “evet” + kanıt ile işaretlenmeli.

Madde 5 — Olay: Kişisel veri tespit edildiğinde otomatik ticket, 72 saat içinde uyumluluk ekibi bilgilendirme, örnek olay kaydı dosyada.

Madde 6 — İzleme: Aylık rapor — kullanım, olay, maliyet, gölge trafik. Anomali eşiği aşıldığında otomatik uyarı.

Banka / sigorta: m.9 + m.12 + on-prem veya hibrit gateway öncelikli. Denetim sıklığı yüksek; kanıt seti hazır olmalı. Kontrol listesinde “hayır” bırakılmaması hedeflenir.

Üretim / ticaret: gölge AI + minimizasyon + maliyet görünürlüğü. Operasyonel verimlilik baskısı yüksek; yasak yerine kanal açma. Madde 2 ve 6 öncelikli.

Kamu / holding: veri egemenliği + envanter + politika-platform uyumu. Üst yönetim raporu aylık olmalı. Madde 1, 3, 4 öncelikli.

Tüm sektörlerde ortak: olay müdahale prosedürü (Madde 5) yazılı değilse diğer maddeler denetimde zayıf kalır.

Rehberin beklentisi ile fiili uygulama arasındaki boşluk, Türkiye'deki en yaygın uyumluluk sorunudur. Hukuk ekibi rehberi yorumlar; IT gateway, maskeleme ve raporlama ile karşılık verir. İkisi ayrı projeler gibi yürürse denetimde çatlak görülür.

Kontrol listesini doldurduktan sonra “hayır” ve “kısmen” maddeleri önceliklendirin. Çoğu kurumda ilk üç adım: envanter, gateway pilotu, aylık rapor şablonu.

Tipik denetim dosyası paketi: (1) AI kullanım envanteri ve VERBİS uyumu. (2) Yurt dışı aktarım değerlendirme notu. (3) Teknik-idari tedbir dokümantasyonu. (4) Örnek denetim log çıktısı (kişisel veri maskelenmiş). (5) Olay müdahale prosedürü ve varsa örnek kayıt. (6) Aylık uyumluluk raporu şablonu.

Eksik kanıt, eksik tedbir algısı yaratır. “Politika PDF’i” tek başına dosya sayılmamalıdır.

Minimizasyon → gateway dosya limiti + asistan kapsamı. Maskeleme → TC/IBAN/telefon filtresi. Aktarım → m.9 değerlendirme + log. Denetim → merkezi log + saklama süresi. Farkındalık → eğitim + platform zorunluluğu.

Bu eşleme tablosu IT ve hukuk arasında ortak dil oluşturur. Detaylı m.9 modelleri: yurt dışı aktarım.

KVKK Üretken Yapay Zekâ Rehberi, kurumsal uyum için soru setidir; cevaplar platform ve prosedürle gelir. Kontrol listesini doldurun, boşlukları önceliklendirin, cornerstone hukuki çerçeve ile birlikte ilerleyin: iş yerinde ChatGPT KVKK.