Yapay Zeka

Yapay Zekâ İş Yerinde Kullanılırken KVKK’yı Kim Düşünüyor?

17 Haziran 2026 Hüseyin Atılgan
Yapay Zekâ İş Yerinde Kullanılırken KVKK’yı Kim Düşünüyor?

Yapay Zekâ İş Yerinde Kullanılırken KVKK’yı Kim Düşünüyor?

Üretken yapay zekâ araçları artık iş hayatının kenarında duran deneysel araçlar değil. E-posta taslağı hazırlamak, toplantı notu özetlemek, Excel verisi yorumlamak, kod yazdırmak, teklif metni oluşturmak, müşteri yanıtı hazırlamak veya raporları sadeleştirmek için birçok çalışan bu araçlardan destek alıyor.

Fakat işin kritik tarafı şu: Yapay zekâ araçlarına yazılan her prompt, yalnızca basit bir komut olmayabilir. Bazen o prompt içinde müşteri bilgisi, çalışan verisi, fiyat politikası, finansal tablo, özel nitelikli veri, iç yazışma, ticari sır veya şirketin rekabet avantajı taşıyan bilgileri bulunabilir.

Bu nedenle iş yerinde yapay zekâ kullanımı yalnızca bir verimlilik konusu değildir. Aynı zamanda KVKK, bilgi güvenliği, kurumsal risk yönetimi ve dijital dönüşüm kültürü konusudur.

Yapay zekâ kullanımı neden KVKK meselesidir?

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlendiği her durumda dikkate alınması gereken temel çerçeveyi oluşturur. Üretken yapay zekâ araçlarıyla yapılan işlemler de eğer kişisel veri içeriyorsa bu çerçeveden bağımsız düşünülemez.

Bir çalışanın yapay zekâ aracına “şu müşteri şikâyetini daha kibar bir dille yanıtla” diyerek müşterinin adını, telefonunu, sipariş bilgisini veya şikâyet detayını yazması; teknik olarak kişisel veri işleme ve muhtemel veri aktarımı tartışmasını doğurabilir.

Benzer şekilde insan kaynakları tarafında aday CV’lerinin, çalışan performans notlarının, disiplin süreçlerinin veya maaş bilgilerinin üretken yapay zekâ araçlarına yüklenmesi de yüksek riskli bir kullanım alanıdır.

Gölge yapay zekâ: Kurumun bilmediği AI kullanımı

İş yerlerinde en büyük risklerden biri, çalışanların yapay zekâ araçlarını kurumsal politika olmadan bireysel tercihlerle kullanmasıdır. Bu durum “gölge yapay zekâ” olarak düşünülebilir.

Gölge yapay zekâ kullanımında kurum çoğu zaman şu soruların cevabını bilmez:

  • Hangi çalışan hangi yapay zekâ aracını kullanıyor?
  • Bu araçlara hangi veriler giriliyor?
  • Girilen veriler nerede saklanıyor?
  • Veriler model eğitimi için kullanılıyor mu?
  • Veri yurt dışına aktarılıyor mu?
  • Çıktılar kim tarafından kontrol ediliyor?
  • Yanlış veya uydurma AI çıktısı iş sürecine dahil oluyor mu?

Tamamen yasaklayıcı bir yaklaşım da çoğu zaman çözüm değildir. Çünkü çalışanlar verimlilik sağladığını düşündükleri araçları gizli kullanmaya devam edebilir. Bu nedenle iş yerlerinde yapay zekâ kullanımı için yasak merkezli değil, kontrollü ve yönlendirici bir çerçeve kurulmalıdır.

İş yerinde yapay zekâ kullanımı için ilk adım: Veri sınıflandırması

Kurum içinde yapay zekâ kullanımını yönetmenin ilk adımı, hangi verilerin hangi seviyede risk taşıdığını belirlemektir. Her veriye aynı muameleyi yapmak pratik değildir; ancak her veriyi serbest bırakmak da ciddi risk doğurur.

Basit bir veri sınıflandırması şu şekilde yapılabilir:

1. Kırmızı alan: AI araçlarına girilmemesi gereken veriler

  • Müşteri adı, telefon, e-posta, adres, sipariş ve ödeme bilgileri
  • Çalışan bordrosu, maaş, performans, disiplin ve özlük bilgileri
  • Sağlık verisi, biyometrik veri, ceza mahkûmiyeti bilgisi gibi özel nitelikli kişisel veriler
  • Ticari sır, fiyatlandırma stratejisi, tedarikçi anlaşmaları ve özel teklif dosyaları
  • Gizli sözleşmeler, hukuki süreçler ve dava dosyaları
  • Kaynak kodu, API anahtarı, parola, erişim token’ı ve sistem mimarisi gibi güvenlik açısından kritik bilgiler

2. Sarı alan: Anonimleştirilerek veya genelleştirilerek kullanılabilecek veriler

  • İsim ve ayırt edici bilgi çıkarılmış örnek müşteri mesajları
  • Gerçek tutarlar yerine temsili rakamlarla hazırlanmış analizler
  • Şirket adı ve kişi adı içermeyen süreç açıklamaları
  • Kişisel veri içermeyen, genelleştirilmiş iş senaryoları

3. Yeşil alan: Görece düşük riskli kullanım alanları

  • Blog başlığı üretimi
  • Kamuya açık metinlerin özetlenmesi
  • Genel pazarlama fikirleri
  • Kişisel veri içermeyen e-posta taslakları
  • Genel eğitim, araştırma ve içerik planlama çalışmaları

Bu sınıflandırma, çalışanların “neyi yazabilirim, neyi yazamam?” sorusuna pratik cevap verir. Kurumsal yapay zekâ politikasının en önemli amacı da tam olarak budur: belirsizliği azaltmak.

Prompt da veri işleme sürecinin parçasıdır

Yapay zekâ araçlarında en çok gözden kaçan nokta, promptların da veri içerebilmesidir. Çalışan açısından prompt sadece “soru sormak” gibi görünebilir. Ancak prompt içinde kişisel veri varsa, bu veri bir üçüncü taraf hizmet sağlayıcıya iletiliyor olabilir.

Örneğin aşağıdaki prompt risklidir:

“Ahmet Yılmaz isimli müşterimiz 12 Haziran’da 84.000 TL’lik sipariş verdi, sevkiyat geciktiği için bize bu şikâyeti yazdı. Buna profesyonel bir cevap hazırla.”

Aynı talep daha güvenli şekilde şöyle yazılabilir:

“Bir müşterinin siparişi gecikti ve müşteri bu durumdan memnun değil. Gecikme için özür dileyen, çözüm odaklı ve profesyonel bir yanıt taslağı hazırla. Kişisel veri kullanma.”

Aradaki fark küçük gibi görünür; ancak KVKK ve veri güvenliği açısından çok önemlidir. İlk örnekte kişi adı, tarih, sipariş tutarı ve işlem detayı bulunur. İkinci örnekte ise durum genelleştirilmiştir.

Yapay zekâ araçları yurt dışına veri aktarımı riski doğurabilir

Birçok üretken yapay zekâ aracı bulut tabanlı çalışır. Kullanıcı tarafından girilen veriler, hizmet sağlayıcının teknik altyapısına, sunucularına veya alt işleyenlerine iletilebilir. Bu altyapıların yurt dışında bulunması halinde kişisel verilerin yurt dışına aktarımı konusu gündeme gelebilir.

Bu nedenle kurumların kullandıkları yapay zekâ araçları için şu soruları sorması gerekir:

  • Hizmet sağlayıcının veri merkezleri nerede?
  • Girilen promptlar ve yüklenen dosyalar saklanıyor mu?
  • Veriler model eğitimi için kullanılıyor mu?
  • Kurumsal hesapta eğitim dışı bırakma seçeneği var mı?
  • Alt işleyenler kimler?
  • Veri aktarımı için gerekli sözleşmesel ve hukuki güvence sağlanıyor mu?
  • Veri saklama süresi ve silme mekanizması açık mı?

Özellikle müşteri, çalışan veya tedarikçi verisi içeren süreçlerde, yapay zekâ aracının yalnızca “popüler” veya “kullanımı kolay” olması yeterli değildir. Veri işleme ve aktarım şartlarının da değerlendirilmesi gerekir.

Teknik tarafta alınabilecek önlemler

İş yerinde yapay zekâ kullanımını güvenli hale getirmek için yalnızca bir politika dokümanı yayımlamak yeterli değildir. Politikanın teknik kontrollerle desteklenmesi gerekir.

Kurum içinde uygulanabilecek bazı teknik önlemler şunlardır:

  • Onaylı yapay zekâ araçları listesi oluşturmak
  • Kurumsal hesaplar üzerinden kullanım sağlamak
  • Kişisel hesaplarla iş verisi işlenmesini engellemek
  • Hassas verilerin AI araçlarına kopyalanmasını önlemek için DLP kontrolleri kullanmak
  • Tarayıcı eklentileri ve üçüncü taraf AI araçlarını kontrol etmek
  • API anahtarları, parola ve erişim token’larının AI araçlarına girilmesini engellemek
  • Rol bazlı erişim yetkisi tanımlamak
  • Loglama ve denetim mekanizması kurmak
  • AI çıktılarının kritik sistemlere doğrudan yazmasını engellemek
  • Model çıktılarının insan kontrolünden geçmesini zorunlu kılmak

Özellikle yazılım geliştirme, finans, insan kaynakları ve müşteri ilişkileri gibi alanlarda bu kontroller daha da önemlidir. Çünkü bu departmanlar hem kişisel veriye hem de kurumsal açıdan hassas bilgilere daha yakın çalışır.

Prompt injection ve hassas bilgi sızıntısı riski

Yapay zekâ uygulamaları yalnızca kullanıcıların bilinçsiz veri paylaşımı nedeniyle riskli değildir. Aynı zamanda teknik saldırı yüzeyleri de içerir.

Özellikle kurumsal sistemlere entegre edilen LLM tabanlı uygulamalarda “prompt injection” önemli bir güvenlik riskidir. Bu risk, kötü niyetli veya manipülatif bir girdinin yapay zekâ sisteminin davranışını değiştirmesi ve beklenmeyen çıktılar üretmesine neden olmasıdır.

Bir diğer önemli risk de hassas bilgi ifşasıdır. Yapay zekâ sistemi, yanlış yapılandırılmışsa, kullanıcıya gösterilmemesi gereken bilgileri cevap içinde açığa çıkarabilir. Bu nedenle LLM tabanlı sistemlerde klasik siber güvenlik önlemlerinin yanında modele özgü güvenlik kontrolleri de düşünülmelidir.

Kurumsal bir AI uygulaması geliştiriliyorsa; input filtreleme, output kontrolü, erişim sınırlandırması, sistem promptlarının korunması, veri maskeleme, rate limit, audit log ve insan onayı gibi katmanlar tasarımın başından itibaren ele alınmalıdır.

Yapay zekâ çıktısına fazla güvenmek de risklidir

KVKK açısından konu yalnızca verinin araca girilmesi değildir. Yapay zekâdan alınan çıktının iş süreçlerinde nasıl kullanıldığı da önemlidir.

Üretken yapay zekâ araçları ikna edici ama hatalı cevaplar üretebilir. Bu durum özellikle hukuki değerlendirme, finansal analiz, insan kaynakları kararı, müşteri şikâyeti, sağlık bilgisi veya teknik güvenlik kararı gibi alanlarda risklidir.

Bu nedenle yapay zekâ çıktısı nihai kararın yerine geçmemelidir. AI çıktısı bir destek unsuru olarak değerlendirilmeli, karar süreçlerinde insan kontrolü korunmalıdır.

Kurumsal yapay zekâ politikası neleri kapsamalı?

İş yerinde yapay zekâ kullanımını yönetmek isteyen bir kurum için kısa, anlaşılır ve uygulanabilir bir politika hazırlanmalıdır. Bu politika yalnızca hukuk departmanının anlayacağı bir metin olmamalı; çalışanların günlük işlerinde gerçekten kullanabileceği kadar net olmalıdır.

İyi bir kurumsal yapay zekâ politikası en az şu başlıkları içermelidir:

  • Hangi yapay zekâ araçlarının kullanılabileceği
  • Hangi departmanların hangi amaçlarla kullanabileceği
  • AI araçlarına girilmesi yasak olan veri türleri
  • Anonimleştirme ve genelleştirme kuralları
  • Kurumsal hesap ve kişisel hesap ayrımı
  • AI çıktılarının doğrulanması ve insan kontrolü
  • Üçüncü taraf hizmet sağlayıcı değerlendirme süreci
  • Yurt dışına veri aktarımı kontrolü
  • Loglama, denetim ve olay bildirim süreci
  • Çalışan eğitimi ve farkındalık programı

Uygulanabilir bir kontrol listesi

Bir şirkette üretken yapay zekâ kullanımı başlatılmadan önce aşağıdaki kontrol listesi pratik bir başlangıç sağlayabilir:

  1. Kurum içinde hangi AI araçlarının kullanıldığını tespit edin.
  2. Departman bazında kullanım senaryolarını çıkarın.
  3. Kişisel veri, özel nitelikli veri ve ticari sır içeren süreçleri ayırın.
  4. Onaylı ve yasaklı kullanım alanlarını belirleyin.
  5. Veri sınıflandırması yapın: kırmızı, sarı, yeşil alanlar.
  6. Yapay zekâ sağlayıcılarının gizlilik ve veri işleme şartlarını inceleyin.
  7. Yurt dışı veri aktarımı ihtimalini değerlendirin.
  8. AI çıktıları için insan kontrolü kuralı koyun.
  9. Çalışanlara örnek promptlarla eğitim verin.
  10. Politikayı yaşayan bir doküman olarak düzenli güncelleyin.

Dijital dönüşüm açısından asıl mesele: Hız mı, kontrol mü?

Profesyonel hayatta dijital dönüşüm projelerinde sık gördüğüm temel bir yanılgı var: Yeni bir aracı kullanmaya başlamak, tek başına dönüşüm anlamına gelmiyor.

Yapay zekâ için de aynı durum geçerli. Bir şirket çalışanlarına AI aracı açtığında otomatik olarak dijitalleşmiş olmaz. Eğer veri sınıflandırması yoksa, yetki yönetimi yoksa, güvenlik standardı yoksa, çıktı kontrolü yoksa ve çalışanlar hangi veriyi paylaşamayacağını bilmiyorsa; hız kazanılırken kontrol kaybedilebilir.

Bu nedenle yapay zekâ kullanımını “herkes kullansın” veya “kimse kullanmasın” ikileminden çıkarmak gerekir. Doğru yaklaşım; güvenli, ölçülü, denetlenebilir ve iş hedefleriyle uyumlu kullanım modelidir.

Sonuç: Yapay zekâ politikası olmayan şirket, riskini çalışan inisiyatifine bırakır

Üretken yapay zekâ iş hayatında önemli bir verimlilik fırsatı sunuyor. Ancak bu fırsat, KVKK ve bilgi güvenliği çerçevesi kurulmadan kullanıldığında ciddi riskler doğurabilir.

İş yerlerinde yapay zekâ kullanımı artık yalnızca “hangi aracı kullanalım?” sorusuyla ele alınmamalı. Asıl sorular şunlar olmalı:

  • Hangi veriler yapay zekâ araçlarına girilebilir?
  • Hangi veriler kesinlikle girilmemelidir?
  • Hangi araçlar kurumsal kullanım için onaylıdır?
  • AI çıktıları kim tarafından kontrol edilir?
  • Veri güvenliği ve KVKK sorumluluğu nasıl yönetilir?

Yapay zekâ çağında şirketlerin yalnızca hızlı olması yetmez. Güvenli, sorumlu ve hukuka uyumlu olması da gerekir. Çünkü dijital dönüşüm, sadece yeni teknolojiyi kullanmak değil; o teknolojiyi doğru yönetecek kültürü, süreci ve kontrol mekanizmasını kurmaktır.

Kaynak Notu

Bu yazı hukuki görüş niteliğinde değildir. İş yerlerinde üretken yapay zekâ kullanımı, KVKK uyumu ve teknik risk yönetimi açısından genel bir değerlendirme sunmak amacıyla hazırlanmıştır. Somut olaylarda hukuk ve veri koruma uzmanlarından ayrıca görüş alınmalıdır.

  • Kişisel Verileri Koruma Kurumu – Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi: kvkk.gov.tr
  • Kişisel Verileri Koruma Kurumu – İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı: kvkk.gov.tr
  • Kişisel Verileri Koruma Kurumu – Kişisel Verilerin Yurt Dışına Aktarılması Rehberi: kvkk.gov.tr
  • OWASP Top 10 for Large Language Model Applications: owasp.org
Paylaş:
X LinkedIn Facebook
Blog Ana Sayfaya Dön Ana Sayfa