ARTICLE
11 March 2026

İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımının Kvkk Kapsamında Değerlendirilmesi

SO
Sakar Law Office

Contributor

Sakar Law Office logo
Sakar is a client and solution oriented, investigative and innovative law firm based in Istanbul. Our Firm is committed to provide our clients with high-quality legal services and business-minded approach. We are a full service law firm to clients across a wide range of areas including Mergers and Acquisitions, Corporate and Commercial, Contracts, Banking and Finance, Competition, Litigation, Employment, Real Estate, Energy, Capital Markets, Foundations, E-commerce, Media and Technology, Data Privacy and Data Protection and Intellectual Property. In order to offer the best possible service for our clients, we harness the latest market developments in legal technology and innovation and we closely follow the legislative changes in Turkish Law. Our lawyers are multi-specialists, equipped to handle a broad range of legal matters. In addition to our depth of experience and awareness of market practice, clients know they will benefit from our team’s innovative mindset and willingness.
Explore Firm Details
İşbu makalemizde, üretken yapay zekâ sistemlerinin son yıllardaki gelişimi ve kişisel veriler kapsamında ilişkinin incelenmesi ele alınmaktadır.
Turkey Technology
Gözde Esen Sakar and Ece Nart
Your Author LinkedIn Connections
Sakar Law Office are most popular:
  • within Energy and Natural Resources and Criminal Law topic(s)

Kişisel Verileri Koruma Kurulu (“Kurul”) İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı hakkında dokümanı (“Doküman”) üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen üretken yapay zekâ araçlarının iş yerlerinde kullanımına ilişkin genel bir çerçeve sunmak amacıyla 5 Mart 2026 tarihinde Kurul’un resmi internet sitesinde yayınlanmıştır. İşbu makalemizde, üretken yapay zekâ sistemlerinin son yıllardaki gelişimi ve kişisel veriler kapsamında ilişkinin incelenmesi ele alınmaktadır.

Bilindiği üzere, üretken yapay zekâ sistemleri son yıllarda en önemli teknolojik gelişmelerin arasında yer almaktadır. Bu teknolojik gelişme iş süreçlerinde de oldukça yoğun şekilde kullanılmakta, bilgiye erişim, üretim konularında kolaylık sağlaması, metin, görsel, ses, yazılım kodu ve benzeri içeriklerin üretilmesi ile çalışanların tercih sebebi olmaktadır. Kurul hazırlanan bu Doküman ile, üretim araçlarının kullanımına genel bakış, kontrol dışı kullanımı ve riskleri, kullanımda dikkate alınması gereken hususları ele alarak şirket, kurum ve kuruluşlar nezdinde farkındalık oluşturmayı, olası risklere dikkat çekmeyi ve bilinçli kullanımı teşvik etmeyi hedeflemektedir.

İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımına Genel Bakış

Üretken yapay zeka (“ÜYZ”) Doküman’da açıkça tanımlanmış olup şu şekildedir; büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından sunulan istem veya komutlara (prompt) yanıt olarak metin, görsel, video, ses ya da yazılım kodu gibi farklı formatlarda içerikler üretebilen yapay zekâ (“YZ”) sistemlerini ifade etmektedir.

ÜYZ araçlarının yaygınlaşması ve erişilebilirliğinin artması, çalışanların bu araçları iş süreçlerinde kullanmalarını önemli ölçüde kolaylaştırmaktadır. Nitekim üretken yapay zekâ araçları yalnızca belirli bir sektör veya meslek grubu ile sınırlı olmayıp farklı uzmanlık alanlarında yürütülen faaliyetlerde destekleyici bir araç olarak kullanılabilmektedir. Günümüzde bu araçlar; e-posta ve metin taslaklarının hazırlanması, belgelerin özetlenmesi, içeriklerin analiz edilmesi, fikir geliştirme süreçlerinin desteklenmesi, toplantı notlarının oluşturulması ve araştırma faaliyetlerinin hızlandırılması gibi birçok farklı amaçla kullanılabilmektedir. Üretken yapay zekâ araçlarının sunduğu hız ve verimlilik avantajları, birçok kuruluşta bu araçların iş süreçlerinin çeşitli aşamalarına entegre edilmesine zemin hazırlamaktadır.

Gölge Yapay Zekâ ve Gölge BT

Kurul tarafından yayımlanan Doküman’da dikkat çekilen kavramlardan biri Gölge Yapay Zekâ (Shadow AI) olarak ifade edilmektedir. Gölge yapay zekâ, çalışanların üretken yapay zekâ araçlarını kurumun bilgisi, onayı veya kurumsal kontrol mekanizmaları dışında iş süreçlerinde kullanmasını ifade etmektedir. Çoğu zaman bireysel inisiyatifle ortaya çıkan bu kullanım biçimi, kurumların bilişim altyapısı ve yönetişim mekanizmaları tarafından yeterince izlenemeyen uygulamalara yol açabilmektedir. Günümüzde gölge yapay zekâ kullanımı birçok kuruluş açısından teorik bir risk olmaktan çıkmış, günlük iş akışları içerisinde karşılaşılan bir olgu hâline gelmiştir. Çalışanların toplantı notları, iç yazışmalar, rapor taslakları veya müşterilere ve çalışanlara ilişkin çeşitli bilgileri üretken yapay zekâ araçları ile paylaşması, kurumların kontrolü dışında veri paylaşımı riskini artırabilmektedir. Bu olgu, kurumların uzun süredir karşı karşıya kaldığı Gölge BT (Shadow IT) uygulamalarıyla da benzerlik göstermekte olup, kurum tarafından onaylanmamış veya izlenmeyen dijital araçların çalışanlar tarafından iş amaçlı kullanılması sonucunda ortaya çıkmaktadır. Benzer şekilde üretken yapay zekâ araçlarının kontrolsüz kullanımı da kurumların risk yönetimi süreçlerini zorlaştırabilecek yeni bir alan oluşturmaktadır.

Gölge Yapay Zekâ Kullanımının Riskleri

Doküman’da gölge yapay zekâ kullanımının beraberinde getirebileceği risklere de dikkat çekilmektedir.

  • Denetlenebilirlik: Kurumsal kayıt ve denetim mekanizmalarına tabi olmayan üretken yapay zekâ araçlarının kullanımı, hangi verilerin hangi amaçla kullanıldığının ve ortaya çıkan sonuçların hangi gerekçelerle üretildiğinin sonradan tespit edilmesini zorlaştırabilmektedir.
  • Karar Kalitesi ve Doğruluğu: Kurumsal doğrulama süreçlerinden geçmeyen yapay zekâ çıktıları hatalı, yanıltıcı veya tutarsız sonuçlar üretebilmekte ve bu durum iş süreçlerinde yanlış değerlendirmelere yol açabilmektedir.
  • Fikri Mülkiyet ve Ticari Sırların Korunması: Kaynak kodları, ürün tasarımları, iş stratejileri veya rekabet açısından hassas bilgilerin harici üretken yapay zekâ araçları ile paylaşılması, bu bilgilerin kontrolünün kaybedilmesi veya üçüncü kişilerce erişilebilir hâle gelmesi riskini doğurabilmektedir.
  • İtibar ve Güven Kaybı: Doğruluğu teyit edilmemiş yapay zekâ çıktılarının kullanılması, hatalı veya güvenilirliği düşük içeriklerin paylaşılması yoluyla kurumun paydaşlar nezdindeki güvenilirliğini zedeleyebilmektedir.
  • Bilgi Güvenliği ve Siber Güvenlik: Kurumsal kontrol dışında kullanılan üretken yapay zekâ araçları; güvenli olmayan API’ler, kişisel cihazlar veya kontrolsüz entegrasyonlar aracılığıyla kurumların siber saldırılara açık hâle gelmesine neden olabilmektedir.
  • Kişisel Verilerin Korunması: Bununla birlikte kişisel verilerin korunması bakımından da önemli riskler ortaya çıkmaktadır. Kurumsal kontrol dışında kullanılan üretken yapay zekâ araçları ile kişisel verilerin paylaşılması, veri ihlali riskini artırabilmektedir. Bu tür kullanımlar kişisel verilerin hukuka aykırı şekilde işlenmesine, yetkisiz kişiler tarafından erişilebilir hâle gelmesine veya amaç dışı kullanılmasına yol açabilmektedir. Ayrıca kullanıcıların komutlar aracılığıyla paylaştığı kişisel verilerin veya kurumsal açıdan hassas bilgilerin üretilen çıktılara yansıması ve bu çıktılar üzerinden üçüncü kişiler tarafından erişilebilir hâle gelmesi de önemli bir güvenlik sorunu olarak değerlendirilmektedir.

ÜYZ Araç Kullanımında Dikkate Alınması Gereken Hususlar

Bu çerçevede üretken yapay zekâ araçlarının iş süreçlerinde giderek daha yaygın biçimde kullanılması, kuruluşların bu araçlara ilişkin kurumsal politika ve uygulamalarını gözden geçirmelerini gerekli kılmaktadır. Nitekim yalnızca yasaklayıcı yaklaşımlara dayanan politikaların uygulamada etkin sonuçlar doğurmasının zor olduğu değerlendirilmektedir. Bu nedenle kuruluşların üretken yapay zekâ araçlarının kullanımına ilişkin açık ve kapsamlı bir kurumsal politika oluşturması önem taşımaktadır.

 

Politika ve Yönlendirmeler: Uygulamada bazı kuruluşların oluşturduğu politika ve yönlendirmelerde; kişisel veri, ticari sır veya kurumsal açıdan hassas bilgi içermemesi şartıyla kamuya açık üretken yapay zekâ araçlarının belirli amaçlarla kullanılmasına izin verildiği görülmektedir. Örneğin fikir geliştirme çalışmalarının desteklenmesi, metinlerin dilsel açıdan gözden geçirilmesi veya internet ortamında bulunan içeriklerin özetlenmesi gibi kullanım alanları belirli sınırlar dahilinde kabul edilebilmektedir. Buna karşılık müşteri dosyaları, insan kaynakları verileri veya iç yazışmalar gibi hassas nitelikteki bilgilerin üretken yapay zekâ araçları ile paylaşılması genellikle politika kapsamında yasaklanan kullanım biçimleri arasında yer almaktadır.

Kişisel Veriler Hassasiyeti: Öte yandan üretken yapay zekâ araçlarının kullanımı sırasında çalışanların özellikle kişisel veriler ve kurumsal açıdan hassas bilgiler bakımından dikkatli bir yaklaşım benimsemesi gerekmektedir. Sağlık verileri, finansal bilgiler veya hukuki süreçlere ilişkin bilgiler gibi hassas nitelikteki veriler söz konusu olduğunda, bu araçların kullanımında daha temkinli bir yaklaşım benimsenmesi önem arz etmektedir.

Üretken Yapay Zekâ Araçları ile Paylaşılan Verilerin Niteliği: Doküman’da ayrıca üretken yapay zekâ araçları ile etkileşim sırasında paylaşılan verilerin niteliğine ilişkin dikkat edilmesi gereken hususlara da değinilmektedir. Buna göre kullanıcılar tarafından üretken yapay zekâ araçlarına girdi olarak sunulan komutlar aracılığıyla kişisel veriler işlenebileceğinden, bu süreçlerde kişisel verilerin korunmasına ilişkin yükümlülüklerin gözetilmesi önem taşımaktadır. Bu kapsamda özellikle kişiyi doğrudan veya dolaylı olarak tanımlamaya elverişli bilgilerin bu araçlarla paylaşılması çeşitli riskler doğurabilecektir. Bu nedenle Doküman’da, üretken yapay zekâ araçları ile etkileşim sırasında mümkün olduğunca anonimleştirilmiş, genelleştirilmiş ve soyut ifadelerin tercih edilmesinin kişisel verilerin korunması bakımından daha ihtiyatlı bir yaklaşım olacağı ifade edilmektedir. Örneğin belirli kişi adları, tarih veya konum gibi ayırt edici unsurlar yerine daha genel ifadelerin kullanılması önerilmektedir.

Sorgulayıcı ve Eleştirel Yaklaşım: Doküman’da ayrıca üretken yapay zekâ araçları tarafından üretilen çıktılara aşırı güven duyulmasının da önemli bir risk olarak değerlendirildiği görülmektedir. Literatürde otomasyon ön yargısı (automation bias) olarak ifade edilen bu durum, kullanıcıların otomatik sistemler tarafından üretilen sonuçları yeterli değerlendirmeye tabi tutmadan doğru kabul etmesi sonucunu doğurabilmektedir. Bu nedenle yapay zekâ çıktılarının insan denetimi ve eleştirel değerlendirme süreçlerinden geçirilmesi önem taşımaktadır.

Teknik ve İdari Tedbirler: Son olarak üretken yapay zekâ araçlarının güvenli şekilde kullanılabilmesi bakımından veri güvenliği ve erişim kontrolüne ilişkin teknik ve idari tedbirlerin değerlendirilmesi gerekmektedir. Çalışanların yalnızca kurum tarafından belirlenen ve kullanım koşulları açıkça tanımlanmış araçlara erişebilmesini sağlayan yaklaşımlar, kontrol dışı kullanım biçimlerinin azaltılmasına katkı sağlayacaktır. Bununla birlikte çalışanlar nezdinde farkındalık oluşturulması ve bu araçların güvenli kullanımı konusunda eğitim faaliyetlerinin yürütülmesi de önemli bir unsur olarak değerlendirilmektedir.

Sonuç

Üretken yapay zekâ araçları; veri güvenliği, kişisel verilerin korunması, fikri mülkiyet hakları, karar doğruluğu ve kurumsal itibar gibi birçok alanda çeşitli riskleri beraberinde getirmektedir. Bununla birlikte söz konusu teknolojilerin sunduğu hız ve verimlilik avantajları dikkate alındığında, iş ve özel hayatın farklı alanlarında kullanımının tamamen ortadan kaldırılması veya yasaklanması uygulamada gerçekçi bir yaklaşım olarak değerlendirilememektedir. Nitekim bu tür araçların tamamen yasaklanması, çalışanların bu teknolojilere farklı yollarla ve kurumsal kontrol dışında erişmesine yol açarak gölge yapay zekâ kullanımını artırma riskini de beraberinde getirebilecektir. Bu nedenle kuruluşların üretken yapay zekâ araçlarına yönelik yasaklayıcı bir yaklaşım yerine, kontrollü ve bilinçli kullanımı esas alan bir yönetişim çerçevesi benimsemeleri önem taşımaktadır. Bu kapsamda şirketler tarafından açık kurumsal politikaların oluşturulması, çalışanlara yönelik farkındalık ve eğitim faaliyetlerinin yürütülmesi, kişisel verilerin korunması bakımından gerekli bilgilendirmelerin yapılması, yapay zekâ çıktılarının sorgulayıcı bir yaklaşımla değerlendirilmesi ve veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması büyük önem arz etmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Gözde Esen Sakar
Gözde Esen Sakar
Photo of Ece Nart
Ece Nart
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More