Üretken Yapay Zekâ ve KVKK Uyumu: İş Yerlerinde Gölge Yapay Zekâ (Shadow AI) Politikası Yazma Rehberi

Yönetici Özeti. Kişisel Verileri Koruma Kurulu, 2025 sonu ile 2026 ilk çeyreğinde üretken yapay zekâ alanında üç ayrı rehber yayımladı: 24 Kasım 2025 tarihli "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi", 5 Mart 2026 tarihli "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" ve 12 Mart 2026 tarihli "Etken Yapay Zekâ (Agentic AI)" Rehberi (kvkk.gov.tr). Üç metin birlikte okunduğunda ortaya çıkan tablo açık: çalışanların kurumsal politika, onay veya denetim çerçevesi dışında ChatGPT, Copilot, Gemini benzeri araçlara müvekkil veya müşteri verisi yapıştırması — Kurul'un Gölge Yapay Zekâ (Shadow AI) olarak adlandırdığı kullanım biçimi — Kurul tarafından açıkça riskli kategoriye alınmış durumda. Aşağıda üç rehberin ortak çerçevesini, şirketler için somut yükümlülükleri ve önümüzdeki 90 gün içinde atılması gereken adımları ele alıyoruz.

1. Gölge Yapay Zekâ: Tanım ve Kurul'un Yaklaşımı

Kurul'un 5 Mart 2026 tarihli rehberinde Gölge Yapay Zekâ şöyle tanımlanıyor: çalışanların kurumsal politika, onay veya denetim çerçevesi dışında, kişisel hesapları üzerinden ya da yönetilmeyen entegrasyonlarla üretken yapay zekâ araçlarına başvurması. Tanımın anahtar kelimesi görünmezlik. Şirket, bu kullanımdan haberdar değil; haberdar olmadığı için yönetemiyor; yönetemediği için sorumluluğunu da hafifletemiyor.

Pratik bir senaryo: bir çalışan müşteri sözleşmesini özetlemek için ChatGPT'nin ücretsiz versiyonuna belgeyi yapıştırdığında, o belge artık kullanım koşullarına bağlı olarak modelin eğitim verisine, sistem günlüklerine veya üçüncü taraf işleyicilerine aktarılabilir. Şirketin bu süreç üzerindeki teknik kontrolü sıfır.

2. Üç Rehberin Ortak Çerçevesi

Rehber 1 — 24 Kasım 2025: "15 Soruda Üretken Yapay Zekâ ve Kişisel Verilerin Korunması"

Bu rehber, sistemin yaşam döngüsüne odaklanıyor: model eğitim verisi, kullanım sırasında işlenen veri, çıktıların muhafazası ve yeniden işleme. Veri sorumlularına temel mesaj şu: 6698 sayılı Kanun teknolojiden bağımsız uygulanır; modelin yapay zekâ olması, KVKK'nın işleme şartlarını esnetmez.

Rehber 2 — 5 Mart 2026: "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı"

Üç rehberin pratik açıdan en kritik olanı bu. Üçüncü taraflarca sunulan ve kamuya açık erişilebilen üretken yapay zekâ araçlarının (ChatGPT, Gemini, Copilot, Claude vb.) kurumsal kullanımındaki riskleri ele alıyor. Rehberin altını çizdiği temel noktalar:

• Yasaklayıcı yaklaşım çözüm değil. Yasak, kullanımı durdurmaz; yalnızca görünmez kılar.
• Kurumsal politika, erişim kontrolü, eğitim ve denetim — birbirinin yerine geçen değil, birbirini tamamlayan dört unsur.
• Otomasyon ön yargısı (çıktıyı sorgulamadan kabul etme) ve halüsinasyon (ikna edici ama gerçek dışı içerik) kişisel verinin doğruluğu ilkesini doğrudan tehdit eder. Çıktılar nihai karar dayanağı olamaz.
• Kişisel cihazlar, yönetilmeyen API entegrasyonları ve kişisel hesaplar saldırı yüzeyini genişletir; Gölge Yapay Zekâ ayrı bir risk kategorisidir.

Rehber 3 — 12 Mart 2026: "Etken Yapay Zekâ (Agentic AI)" — 46 sayfa

Etken yapay zekâya — yani çok adımlı, otonom hareket edebilen, farklı sistemlerle entegre çalışan yapay zekâ ajanlarına — özgü ayrı bir düzenleyici çerçeve sunan kapsamlı bir Türk metni. Rehberin altını çizdiği başlıca riskler:

• Çok adımlı yapı nedeniyle veri işlemenin kapsamının öngörülemeyen biçimde genişlemesi; amaçla sınırlılık ve veri minimizasyonu ilkelerine uyumun zorlaşması
• Sistem ilerledikçe ortaya çıkan yeni veri kullanımlarının başlangıçta belirlenen hukuki sebeplerle uyumunun korunamaması
• Farklı kaynaklardan derlenen verilerin birleştirilerek bireyler hakkında kapsamlı profiller oluşturulması
• Çok aracılı yapılarda kara kutu etkisinin derinleşmesi; izlenebilirlik ve hesap verebilirlik çerçevesinin zorlaşması
• Halüsinasyonun çok adımlı iş akışları üzerinden yayılması ve hatanın aşağı sistemlere bulaşması
• Saldırı yüzeyinin genişlemesi; girdi manipülasyonu (prompt injection) yoluyla hassas bilgilerin ifşa edilmesi

3. Kurul'un Beklediği Dört Unsur

Üç rehberi birlikte okuduğumuzda, Kurul'un denetimde arayacağı dört temel unsur ortaya çıkıyor.

Birinci unsur: Yazılı kurumsal politika

Üretken yapay zekâ araçlarının kullanımına ilişkin yazılı, onaylanmış ve çalışanlara duyurulmuş bir politika. Politika içinde üç kategori net olmalı: yasaklı kullanım (örneğin müvekkil verisi, özel nitelikli veri, finansal sır), sınırlı kullanım (kurumsal hesap üzerinden, anonimleştirilmiş veriyle, belirli görevlerde), serbest kullanım (kişisel veri içermeyen iç süreçler). Tek sayfalık bir not yetmez; kategorilerin her biri için somut örnekler ve istisnalar tanımlanmış olmalı.

İkinci unsur: Erişim kontrolü

Hangi araç, hangi departmanda, hangi hesap türü üzerinden, hangi veri kategorisiyle. Kurumsal hesap ile kişisel hesap arasındaki fark sözleşmesel: kurumsal planlarda genellikle veri eğitim için kullanılmaz; kişisel planlarda durum sağlayıcıya ve kullanıcı ayarına göre değişir. Bu ayrımın çalışanlara nasıl açıklandığı, hangi araçlara kurumsal lisansla erişim sağlandığı, hangi araçların kategorik olarak engellendiği — hepsi yazılı olarak yer almalı.

Üçüncü unsur: Personel eğitimi

Eğitimin amacı çalışanı suçlamak değil, görünür kılmak. Kurul rehberinin altını çizdiği nokta: çalışanlar genellikle kötü niyetle değil, işini hızlandırmak için Gölge Yapay Zekâ'ya başvurur. Eğitim bu motivasyonu reddetmek yerine, aynı verimi kurumsal çerçeve içinde nasıl elde edebileceğini gösteren pratik içerik sunmalı.

Dördüncü unsur: Denetim ve dokümantasyon

Politika ile gerçek arasındaki fark ancak denetimle görülür. Periyodik iç denetim, log incelemesi, çalışan anketleri, ihlal vakalarının incelenmesi. Önemli olan sadece denetim yapmak değil; denetim sonuçlarının raporlanmış ve yönetim kuruluna sunulmuş olması.

4. Hukuki Sonuçlar ve Ceza Riski

Üç rehberin de bağlayıcı olmadığını belirtmek gerekir; ancak Kurul'un beklenti ve değerlendirme kriterlerini şekillendirdikleri için pratikte bağlayıcı bir referans niteliği taşıyorlar. Bir Gölge Yapay Zekâ sızıntısı incelendiğinde Kurul'un başvuracağı çerçeve bu rehberler. Olası ihlal başlıkları (KVKK m.18; Resmi Gazete, 27 Kasım 2025):

• Md.12 — Veri güvenliği yükümlülüğü ihlali (256.357 – 17.092.242 TL): Kurumsal politika ve erişim kontrolünün bulunmaması, veri güvenliği için gerekli her türlü teknik ve idari tedbirin alınmamış olması olarak yorumlanabilir.
• Md.10 — Aydınlatma yükümlülüğü ihlali (85.437 – 1.709.200 TL): Verisi üretken yapay zekâ aracına aktarılan ilgili kişiler bu işleme faaliyetinden önce aydınlatılmamışsa.
• Md.5 — Hukuka uygunluk ilkesi: Eğer aktarım için açık rıza ya da meşru bir hukuki sebep yoksa, işleme baştan hukuka aykırı.
• Md.9 — Yurt dışı aktarım (90.308 – 1.806.177 TL): Pek çok üretken yapay zekâ servisi yurt dışı sunucularda işlem yapıyor; uygun aktarım mekanizması (SCC, açık rıza, güvenli ülke) yoksa Md.9 ihlali ayrıca devreye girer.

Md.12 ve Md.10 üst sınırları kümülatif uygulandığında teorik tavan 18,8 milyon TL'yi aşıyor; Md.9 ve Md.5 değerlendirmeleri eklendiğinde rakam daha da yükseliyor. Hesap, Kurul'un tek olayda birden fazla yükümlülük ihlalini ayrı ayrı cezalandırma yetkisinden çıkarılmıştır.

5. 90 Günlük Yol Haritası

Gün 0–30 — Görünürlük

• Mevcut Gölge Yapay Zekâ kullanım haritası: anonim çalışan anketi, ağ trafik analizi, departman yöneticileriyle görüşme
• Hangi departmanlar hangi araçları, hangi sıklıkta, hangi veri kategorileriyle kullanıyor — yazılı tablo
• Mevcut sözleşmelerin (kurumsal Enterprise plan var mı, ne kapsıyor) gözden geçirilmesi

Gün 30–60 — Çerçeve

• Üretken Yapay Zekâ Kullanım Politikasının yazımı: yasak/sınırlı/serbest kategorileri, somut örnekler, istisnalar
• Kurumsal araç seçimi (varsa) ve lisanslama
• Aydınlatma metinlerinin güncellenmesi: işleme amaçlarına "yapay zekâ destekli süreçler" eklenmesi
• VERBİS bildirim envanterinin güncellenmesi

Gün 60–90 — Yerleşme

• Personel eğitimi (departman bazlı, somut senaryolarla)
• Erişim kontrol mekanizmalarının teknik tarafta uygulanması
• İlk denetim raporunun hazırlanması — Kurul incelemesinde sunulmak üzere
• Politikanın 12 ay sonra yenilenmek üzere yıllık takvime alınması

6. Hukuk Büroları İçin Ek Bir Not

Buraya kadar genel olarak şirketler için yazdık; ancak hukuk büroları için ayrı bir parantez açmak gerekir. Avukatlık mesleği müvekkil sırrı yükümlülüğüyle özel bir mesleki etik çerçeve içinde yürütülür; 1136 sayılı Avukatlık Kanunu m.36 ve TBB Meslek Kuralları sırrın korunmasını mutlak bir yükümlülük olarak tanımlar. Bir avukat veya büro çalışanının müvekkil belgelerini ücretsiz bir üretken yapay zekâ aracına yapıştırması, KVKK ihlali olmanın ötesinde — meslek etiği açısından bağımsız bir disiplin sorumluluğu doğurabilir. Bürolarda üretken yapay zekâ politikası bu nedenle yalnızca veri koruma değil, mesleki sorumluluk perspektifinden de yazılmalı.

Sonuç

Üretken yapay zekâ araçları iş süreçlerinden çıkmayacak. Kurul da bunu kabul ediyor — rehberin yasaklayıcı değil, çerçeveleyici tonu bunun göstergesi. Ne var ki çerçeveyi kuran şirket olmazsa, Kurul'un kuracağı çerçeve bir denetim sonucu olarak gelir. Şirketler için doğru soru artık "AI kullanmalı mıyız?" değil, "AI kullanımımız Kurul incelemesinde savunulabilir mi?"

Politikası olmayan bir şirketin ihlal anında "farkında değildim" demek gibi bir seçeneği yok. Politikası olan bir şirket, aynı ihlal anında — politikanın yazılı olduğu, eğitim verildiği, denetim yapıldığı kanıtlanabiliyorsa — Kurul'un takdir hakkını kendi lehine çevirebilir.

Bu yazı genel bilgilendirme amaçlıdır; somut olaylarda hukuki danışmanlık yerine geçmez.