ARTICLE
6 March 2026

KVKK, İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımına İlişkin Rehber Yayımladı

FE
Fidanci & Esin Partners

Contributor

Fidanci & Esin Partners logo
F&E Partners is a next-generation boutique law firm based in Istanbul, delivering full-spectrum legal solutions across diverse practice areas, including but not limited to dispute resolution, corporate, regulatory, and real estate matters. Combining international experience with meticulous local expertise, we offer agile, partner-led counsel and strategic insight to help clients thrive in a dynamic legal and business landscape.
Explore Firm Details
Kişisel Verileri Koruma Kurumu ("Kurum"), 5 Mart 2026 tarihinde "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" başlıklı rehberi ("Rehber") yayımladı.
Turkey Privacy
Şevval Bahar Esin and Kemal Fidanci
Your Author LinkedIn Connections
Şevval Bahar Esin’s articles from Fidanci & Esin Partners are most popular:
  • in European Union
  • in European Union
Fidanci & Esin Partners are most popular:
  • within Criminal Law, Intellectual Property, Litigation and Mediation & Arbitration topic(s)

Yeni Gelişme

Kişisel Verileri Koruma Kurumu ("Kurum"), 5 Mart 2026 tarihinde "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" başlıklı rehberi ("Rehber") yayımladı. Rehber, üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen üretken yapay zekâ ("ÜYZ") araçlarının çalışanlar tarafından iş süreçlerinde kullanımına ilişkin temel riskleri ele almakta; şirket, kurum ve kuruluşlara yönelik farkındalık oluşturmayı ve bilinçli kullanımı teşvik etmeyi amaçlamaktadır.

Rehber bağlayıcı nitelikte olmamakla birlikte, Kurum'un bu alandaki beklentileri ve değerlendirme kriterleri bakımından önemli bir referans kaynağı niteliği taşımaktadır.

Rehber Neleri Kapsıyor?

Gölge YZ Olgusu ve Riskleri

Rehber'in odak noktasını, kurumun bilgisi, onayı veya kurumsal denetimi dışında çalışanlar tarafından ÜYZ araçlarının iş süreçlerine dahil edilmesi biçiminde tanımlanan "Gölge YZ" (Shadow AI) olgusu oluşturmaktadır. Rehber, bu kullanım biçimini daha önce gündeme gelen "Gölge BT" (Shadow IT) kavramıyla ilişkilendirirken, ÜYZ'nin veri işleme kapasitesi ve karar mekanizmalarına doğrudan etkisi nedeniyle ayrı ve ek riskler barındırdığını vurgulamaktadır.

Bu çerçevede Rehber'de öne çıkan riskler şu şekilde sıralanmaktadır: kurumsal denetim mekanizmaları dışında kalan ÜYZ çıktıları bakımından hesap verebilirlik ve denetlenebilirlik güçlükleri; halüsinasyon ve ön yargılı çıktılardan kaynaklanan karar kalitesi riskleri; kaynak kodlar, iş stratejileri ve ticari sırların üçüncü taraf araçlarıyla paylaşılmasından doğan fikri mülkiyet riskleri; güvenilirliği doğrulanmamış içeriklerin kullanımından kaynaklanan kurumsal itibar kayıpları; yönetilmeyen entegrasyonlar üzerinden gerçekleşen siber güvenlik tehditleri ve kişisel verilerin hukuka aykırı biçimde işlenmesi ile yetkisiz erişim riski.

6698 Sayılı Kanun Kapsamındaki Vurgu

Rehber, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun teknolojiden bağımsız biçimde kişisel verilerin işlendiği her durumda uygulanacağını ve ÜYZ sistemleri aracılığıyla gerçekleştirilen veri işleme faaliyetlerinin de bu kapsama girdiğini açıkça belirtmektedir. Kurum, bu çerçevede daha önce yayımlanmış olan "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)" ile birlikte değerlendirilmesini tavsiye etmektedir.

Dikkate Alınması Gereken Hususlar

Rehber'de, yasaklayıcı yaklaşımlar yerine yönlendirme, denge ve farkındalık temelli bir kurumsal yaklaşımın benimsenmesi önerilmekte; bu doğrultuda aşağıdaki hususlar öne çıkarılmaktadır:

  • Hangi ÜYZ araçlarının hangi amaç ve koşullarla kullanılabileceğini, hangi bilgi türlerinin bu araçlarla paylaşılabileceğini ve risk yönetimine ilişkin esasları ortaya koyan açık bir kurumsal politika veya yönlendirme çerçevesi oluşturulması.
  • Çalışanların, kurumsal açıdan hassas bilgileri ve kişisel verileri ÜYZ araçlarıyla paylaşmamaları konusunda bilinçlendirilmesi; araçlarla etkileşim sırasında mümkün olduğunca anonim, genelleştirilmiş ifadelerin tercih edilmesi.
  • ÜYZ çıktılarına aşırı güvenden kaynaklanan "otomasyon ön yargısı" riskinin gözetilmesi ve üretilen çıktıların nihai karar dayanağı olarak kullanılmak yerine insan denetimi altında destekleyici unsurlar olarak değerlendirilmesi.
  • Çalışanların yalnızca kuruluş tarafından belirlenen ve kullanım koşulları tanımlanmış araçlara erişimini esas alan, gerektiğinde rol temelli kısıtlamalar içeren veri güvenliği ve erişim kontrolü mekanizmalarının değerlendirilmesi.
  • ÜYZ araçlarının kullanımına ilişkin politikaların kuruluş içinde kamuoyuyla paylaşılması, çalışanların bu belgelere kolayca erişebilmesinin sağlanması ve düzenli bilgilendirme ile eğitim faaliyetlerinin sürdürülmesi.

Sonuç

Rehber, kişisel veri işleyen kuruluşlar açısından bağlayıcı yükümlülükler öngörmemekle birlikte, Kurum'un bu alandaki değerlendirme yaklaşımını ve beklentilerini ortaya koymaktadır. Çalışanların iş süreçlerinde üçüncü taraf ÜYZ araçlarını yaygın biçimde kullandığı kuruluşların; mevcut kurumsal politikalarını bu rehber doğrultusunda gözden geçirmeleri, ÜYZ kullanımını kapsayan açık bir veri işleme ve bilgi güvenliği çerçevesi oluşturmaları ve bu çerçeveyi çalışanlara etkin biçimde duyurmaları önerilmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Şevval Bahar Esin
Şevval Bahar Esin
Photo of Kemal Fidanci
Kemal Fidanci
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More