Türkiye’nin yapay zekâ sistemleri dolayısıyla kişisel verilerin korunmasına ilişkin hukuki altyapısının güçlendirilmesi sürecinin bir parçası olarak, Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından hazırlanan ve Kişisel Verilerin Korunması Kanunu (“KVKK”) çerçevesinde değerlendirme niteliği taşıyan Üretken Yapay Zekâ ve Kişisel Verilerin Korunmasına İlişkin Rehber (“Rehber”) 24 Kasım 2025 tarihinde Kurum’un resmi internet sitesinde yayımlanmıştır.

Üretken yapay zekâ (“ÜYZ”) teknolojilerinin kişisel veriler üzerindeki etkilerini açıklığa kavuşturmak amacıyla hazırlanan Rehber, ÜYZ sistemlerinin çalışma prensiplerini, doğurduğu riskleri ve bu sistemler kapsamında yürütülen kişisel veri işleme faaliyetlerinin nasıl değerlendirileceğini sistematik bir çerçevede ele almaktadır.

Rehber kapsamında ele alınan temel hususlar aşağıdaki şekilde özetlenmektedir:

  • Rehber’de yapay zekâya ilişkin bazı temel kavram ve tanımlara öncelikli olarak yer verilmiştir. Bu kapsamda; açık veri, algoritmik karar sistemleri, büyük dil modeli, kara kutu, mahremiyet artırıcı teknolojiler, profilleme ve sentetik veri gibi kavramlar ele alınırken Uluslararası Gizlilik Profesyonelleri Birliği (International Association of Privacy Professionals), Genel Veri Koruma Tüzüğü (General Data Protection Regulation), Avrupa Veri Koruma Denetçisi (European Data Protection Supervisor) ve Uluslararası Standardizasyon Örgütü (International Organization for Standardization) tarafından yapılan tanımlardan yararlanılmıştır.
  • ÜYZ, büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından verilen istemlere yanıt olarak metin, görsel, video, ses veya yazılım kodu gibi özgün içerikler üreten bir yapay zekâ türü olarak tanımlanmaktadır. Geleneksel yapay zekâ modelleri belirli görevler için yapılandırılmış yapılara dayanırken, ÜYZ sistemlerinin derin öğrenme ve yapay sinir ağları aracılığıyla veri örüntülerini işleyerek tamamen yeni ve bağlama uygun çıktılar üretebildiği; bu nedenle içerik üretimi, özetleme, soru–cevap, kod geliştirme ve görsel–işitsel üretim gibi çok geniş bir kullanım alanı sunduğu ifade edilmektedir.
  • ÜYZ modellerinin yaşam döngüsünün; kullanım amacı ve kapsamının belirlenmesi, veri toplama ve ön işleme, modelin eğitim ve ince ayarı, doğruluk ve güvenlik değerlendirmeleri, uygulanması ve geri bildirimle sürekli iyileştirilmesi aşamalarından oluştuğu ifade edilmektedir. Bu sürecin her aşamasında teknik gerekliliklerin yanı sıra etik, hukuki ve toplumsal etkilerin gözetilmesi, ÜYZ sistemlerinin güvenli ve insan merkezli şekilde işletilmesi bakımından zorunlu görülmektedir.
  • ÜYZ’nin kullanım alanlarının geniş bir yelpazeye yayıldığı belirtilmekte; müşteri hizmetlerinde otomatik yanıt üretimi, sağlıkta veri analizi, eğitimde kişiselleştirilmiş öğrenme içerikleri, pazarlama ve reklamcılıkta hedefli kampanya tasarımı, yazılım geliştirmede kod üretimi, arama motorlarında bağlamsal sonuç sunumu ve hukukta doküman inceleme süreçlerinde aktif şekilde kullanıldığı ifade edilmektedir.
  • ÜYZ’nin kullanımı kapsamında riskler ortaya konmakta; halüsinasyon ve tutarsız çıktı, ön yargı ve ayrımcılık, yanlış bilgi üretimi, kişisel verilerin istem dışı işlenmesi, fikri mülkiyet hakkı ihlali ve manipülasyon gibi risklerin veri güvenliği ve toplumsal etkiler bakımından önemli sonuçlarına dikkat çekilmektedir.
  • ÜYZ sistemleri kapsamında kişisel verilerin yalnızca belirli, açık ve meşru amaçlarla işlenmesi; veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olması gerektiğini vurgulanmaktadır. Bu bağlamda, “veri tabanımızı geliştirmek” gibi belirsiz ifadelerin yeterli olmadığı belirtilmektedir.
  • Veri sorumlusu–veri işleyen ayrımının ÜYZ sistemlerinde yaşam döngüsü esas alınarak yapılması gerektiği ifade edilmektedir. Bu çerçevede, kişisel verilerin işlenmesine ilişkin amaç ve vasıtaları belirleyen aktörün veri sorumlusu; bu kararlar doğrultusunda teknik işlemleri yürüten aktörün ise veri işleyen olarak nitelendirileceği, ÜYZ’nin geliştirilmesi, eğitilmesi, yerleştirilmesi ve kullanılması gibi aşamalarda rol ve sorumlulukların değişebileceği belirtilmektedir. Tarafların sözleşmesel beyanlarından bağımsız şekilde, her bir işleme faaliyetinin niteliği, bağlamı ve fiili kontrol mekanizmaları dikkate alınarak somut değerlendirme yapılması gerektiği vurgulanmaktadır.
  • ÜYZ süreçlerinde kişisel veri işlemenin hukuki sebebinin her bir işleme adımı için ayrı ayrı belirlenmesi gerektiği belirtilmektedir. Bu kapsamda, “veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması” şartının ÜYZ uygulamalarında kullanılabildiği, ancak sınırsız bir yetki alanı sunmadığı ve Kişisel Verileri Koruma Kurulu’nun 25 Mart 2019 tarihli ve 2019/78 sayılı Kararı[1]’nda da ifade edildiği üzere, meşru menfaatin ilgili kişinin temel hak ve özgürlükleriyle dengelenmesinin zorunlu olduğu vurgulanmaktadır. Nitekim, kamuya açık sosyal medya gönderilerinin, ilgili kişinin makul beklentisini aşacak şekilde ÜYZ modelinin eğitimi amacıyla toplanması ve yeniden işlenmesinin, meşru menfaat gerekçesiyle işlenemeyeceği; bu kullanımın kişilerin bilgilerinin yeniden kurgulanması riskini doğurduğu için denge testini karşılamadığı belirtilmektedir.
  • Özel nitelikli kişisel verilerin ÜYZ sistemleri kapsamında işlenmesi hâlinde, söz konusu verilerin niteliği gereği ilgili kişilerin mağduriyetine veya ayrımcılığa yol açabilecek sonuçlar doğabileceğine değinilmektedir. Bu çerçevede, bu verilerin işlenmesinden kaynaklanabilecek risklerin dikkatle değerlendirilmesi ve bu riskleri en aza indirecek uygun teknik ve idari önlemlerin alınması gerektiği ifade edilmektedir.
  • ÜYZ süreçlerinde yurt dışına veri aktarımının büyük ölçekli veri gereksinimi nedeniyle özel bir önem taşıdığını belirtilmekte ve bu aktarımın KVKK madde 9 ile Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik hükümlerine uygun olarak gerçekleştirilmesi gerektiği ifade edilmektedir. Ayrıca, Kurum tarafından yayımlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberi bu süreçte yol gösterici bir doküman olarak işaret edilmektedir. (Kişisel Verilerin Yurt Dışına Aktarılması Rehberi kapsamındaki detaylı yazımıza buradan ulaşabilirsiniz.)
  • ÜYZ sistemlerinde şeffaflığın sağlanması temel bir yükümlülük olarak konumlandırılmakta, bu kapsamda, aydınlatma metinleri ve gizlilik politikalarının sistem arayüzlerinde açıkça yer alması, ÜYZ’nin veri eğitimi, geliştirilmesi ve kullanıcıyla etkileşim süreçlerinde hangi veri kategorilerinin işlendiğinin açıkça belirtilmesi ve ilgili kişilerin bir yapay zekâ sistemiyle muhatap olduklarını net şekilde anlayabilmesi gerektiği detaylı olarak ele alınmaktadır.
  • ÜYZ sistemlerine ilişkin olarak KVKK madde 11 kapsamındaki ilgili kişi haklarının aynen geçerli olduğunu, bu kapsamda şeffaflık, izlenebilirlik ve hesap verebilirlik sağlayan teknik ve idari mekanizmalarının tasarımdan itibaren kurgulanması; özellikle otomatik karar alma süreçlerinde itiraz hakkının etkin biçimde kullanılabilmesi için sistemlerin gerekçelendirilmiş, denetlenebilir ve insan müdahalesine açık şekilde işletilmesi öngörülmektedir.
  • ÜYZ sistemlerinde veri güvenliğinin geleneksel bilgi teknolojileri önlemleriyle sınırlı olmadığını; model tersine mühendisliği, istem enjeksiyonu ve jailbreak girişimleri gibi ÜYZ’ye özgü saldırı vektörlerine karşı proaktif ve yaşam döngüsü temelli bir güvenlik yaklaşımının zorunlu olduğu vurgulanmaktadır. Bu kapsamda, “tasarımdan itibaren” ve “varsayılan olarak mahremiyet” ilkeleri ile veri koruma etki değerlendirmesi, mahremiyet artırıcı teknolojilerin kullanımı, kayıt tutma–izlenebilirlik mekanizmalarının oluşturulması ve risklerin dinamik biçimde yönetilmesi, temel yükümlülükler olarak öne çıkarılmaktadır.
  • ÜYZ uygulamalarının günlük kullanımında kullanıcıların paylaştıkları bilgilerin niteliğini dikkatle değerlendirmeleri ve özellikle kimlik, sağlık ve finans verileri gibi hassas içeriklerden kaçınmaları tavsiye edilmektedir. Bu çerçevede, aydınlatma metinleri ve varsa gizlilik politikalarının incelenmesi, yalnızca gerekli bilgilerin paylaşılması, gizlilik ayarlarının etkin şekilde yönetilmesi ve üçüncü kişilere ait bilgilerin ifşa edilmemesi temel sorumluluklar olarak öne çıkmaktadır.
  • Çocukların ÜYZ sistemleriyle etkileşiminde yaşa uygun içerik kontrolü, manipülatif deep fake içeriklere yönelik farkındalık sağlanması ve ebeveyn rehberliğinin uygulanması gerekli görülmekte; aksi hâlde bu teknolojilerin çocukların güvenliği, mahremiyeti ve bilişsel gelişimi üzerinde kalıcı olumsuz etkiler doğurabileceği belirtilmektedir.

Rehberin tam metnine bu bağlantıdan ulaşabilirsiniz. 

[1] “Veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle Kuruma yapmış olduğu başvuru” Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/78 Sayılı Karar Özeti (https://www.kvkk.gov.tr/Icerik/5434/2019-78)

Paylaş:

Linkedin'de paylaş Twitter'da paylaş Facebook'ta Paylaş E-postada paylaş Pay