KVKK · Yayın No 113 · Kasım 2025

Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)

Kişisel Verileri Koruma Kurumu’nun (KVKK) üretken yapay zekâ ve kişisel verilerin korunmasına ilişkin rehberinin sade bir özeti. ÜYZ’nin ne olduğundan riskleri, hukuki sebep, yurt dışı aktarım, şeffaflık, ilgili kişi hakları ve güvenlik tedbirlerine kadar 15 soruyu ve temel yapay zekâ terimlerini bir arada bulun.

Amaç ve Kapsam

Üretken yapay zekâ (ÜYZ) sistemleri; mevcut verilerden hareketle metin, görsel, ses, video veya kod üretebilme kapasiteleriyle geleneksel yapay zekânın sınırlarını aşar. Bu sistemlerin geliştirilmesi ve kullanılmasında işlenen verilerin önemli bir bölümünü kişisel veriler oluşturduğundan, kişisel verilerin korunması tasarımdan uygulamaya kadar her aşamada gözetilmelidir. Rehber, bu süreçlerde veri sorumlusu sıfatını haiz aktörlere yol göstermeyi amaçlar.

Not: Bu sayfa, KVKK rehberinin bilgilendirme amaçlı bir özetidir ve bağlayıcı mevzuat metni değildir. Rehber de bir tavsiye/yol gösterme belgesidir; somut uyuşmazlıklarda 6698 sayılı Kanun ve ilgili ikincil düzenlemeler esas alınmalıdır.

Üretken Yapay Zekâ KVKK Uyum Asistanı

Rehberin 6.–13. sorularını interaktif bir kontrol listesine dönüştüren araçla kendi kullanımınızı adım adım test edin.

15 Soruda Rehber

1.Üretken yapay zekâ nedir?▾

Üretken/üretici yapay zekâ (generative AI); büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcının girdiği istem ya da komuta (prompt) yanıt olarak metin, görsel, video, ses veya yazılım kodu gibi farklı formatlarda içerik üretebilen yapay zekâ türüdür. Yapay sinir ağları ve derin öğrenme algoritmalarıyla mevcut verilerdeki örüntüleri öğrenir. Geleneksel yapay zekâdan farkı, belirli görevlerle sınırlı kalmayıp tamamen yeni ve bağlama uygun içerikler üretebilmesidir.

2.Üretken yapay zekâ sistemlerinde içerik üretimi nasıl gerçekleşir?▾

İçerik üretiminin temelinde, geniş veri kümeleriyle eğitilen “temel modeller” (foundation models) yer alır; bunlar ince ayar (fine-tuning) ile belirli görevlere uyarlanır. Metin üretiminde, dönüştürücü (transformer) mimarisine ve öz-dikkat (self-attention) mekanizmasına dayanan büyük dil modelleri (LLM) ile GPT kullanılır; model bir sonraki kelimeyi olasılığa göre tahmin eder. Görsel üretiminde ise varyasyonel otomatik kodlayıcılar (VAE) ve çekişmeli üretken ağlar (GAN) öne çıkar. Modeller tek modlu veya çok modlu olabilir.

3.Bir üretken yapay zekâ modelinin yaşam döngüsü hangi aşamalardan oluşur?▾

Yaşam döngüsü genel olarak beş aşamadan oluşur: (1) modelin kullanım amacının ve kapsamının belirlenmesi, (2) verilerin toplanması ve ön işlemeye tabi tutulması (sıklıkla “web kazıma” ile kamuya açık kaynaklardan), (3) modelin eğitilmesi ve ince ayarının yapılması, (4) modelin değerlendirilmesi ve izlenmesi, (5) modelin yerleştirilmesi (deploy) ve devamında düzenli geri bildirim sağlanması. Her aşamada kişisel veri işleme faaliyeti gündeme gelebilir.

4.Üretken yapay zekâ hangi alanlarda kullanılır?▾

Metin, görsel/video, ses/müzik, yazılım kodu ve sentetik veri üretimi gibi farklı içerik türlerinde kullanılır. Uygulama alanları arasında müşteri hizmetleri (sohbet botları, sanal asistanlar), sağlık (kayıt analizi, kişiselleştirilmiş tedavi, ilaç keşfi), eğitim, yazılım geliştirme ile medya ve eğlence sektörü yer alır. Bu kullanımların birçoğunda kişisel veri işlenmesi söz konusu olabilir.

5.Üretken yapay zekânın kullanımı ne gibi riskler taşır?▾

ÜYZ kavramları anlamaz; eğitildiği veriler üzerinden istatistiksel olarak en olası sonucu üretir. Bu nedenle çıktılar yanlış, tutarsız, önyargılı veya yanıltıcı/manipülatif olabilir (halüsinasyon). Ayrıca verilerin gizliliği ve güvenliği (veri sızıntısı, ikna edici oltalama içerikleri), fikri mülkiyet hakkı ihlalleri ve deep fake gibi manipülatif içerikler önemli risk başlıklarıdır.

6.Üretken yapay zekâ sistemlerinde kişisel veri işlenmekte midir?▾

6698 sayılı Kanun teknolojiden bağımsızdır; ÜYZ’nin yaşam döngüsünde herhangi bir şekilde kişisel veri işleniyorsa Kanun uygulanır. Modelin kişisel veriyi özellikle hedeflememesi ya da verinin yalnızca rastlantısal/dolaylı işlenmesi, işleme faaliyetinin varlığını ortadan kaldırmaz; girdi kişisel veri içermese bile çıktıda kişisel veri üretilebilir. Yalnızca gerçekten anonim verilerin kullanıldığı süreçler kural olarak Kanun kapsamı dışındadır; ancak anonimlik teknik yöntem ve nesnel ölçütlerle doğrulanmalıdır.

7.Veri sorumlusu ile veri işleyen nasıl belirlenmelidir?▾

Veri sorumlusu, işleme amaç ve vasıtalarını belirleyen; veri işleyen ise onun adına ve yetkisiyle işleme yapan ayrı kişidir. Rol tespitinde sözleşme ifadeleri değil, tarafların fiili kontrolü ve karar alma yetkisi esastır ve her işleme faaliyeti ayrı değerlendirilir. Hazır bir modeli kendi amaçlarıyla kullanan kuruluş bu işlemeler bakımından veri sorumlusu olur; geliştirici de kontrol düzeyine göre sorumlu veya işleyen olabilir. Kapalı erişimli (closed-access) modellerde rol tespiti güçleşebilir.

8.Genel ilkeler üretken yapay zekâ sistemlerinde nasıl uygulanmalıdır?▾

6698 m.4’teki ilkeler ÜYZ’de de zorunludur: Hukuka ve dürüstlük kurallarına uygunluk (algoritmik önyargı/ayrımcılık riskinin yönetilmesi); doğru ve gerektiğinde güncel olma (halüsinasyona karşı izleme, filtreleme, insan gözetimi); belirli, açık ve meşru amaç ile ölçülülük (muğlak “model geliştirmek” amaçlarından kaçınma, veri minimizasyonu); ve amaç için gerekli süre kadar saklama (kişisel veri içeren eğitim kümeleri için makul, gerekçeli saklama ve imha).

9.Kişisel verilerin işlenme şartları (hukuki sebep) nasıl belirlenmelidir?▾

Her işleme faaliyeti (eğitim, çalıştırma, çıktı, geliştirme) için 6698 m.5 (özel nitelikli veriler için m.6) işleme şartlarından en az birine ayrı ayrı dayanılmalıdır. Açık rıza dışında bir şart varken ayrıca açık rıza alınmamalıdır. Kamuya açık verilerin ÜYZ eğitiminde kullanımı “alenileştirme” şartına dayandırılamaz; bu veriler ancak iki aşamalı bir meşru menfaat değerlendirmesi ve denge testiyle işlenebilir, olumsuz sonuç ihtimalinde meşru menfaate de dayanılamaz. Sözleşmenin ifası şartı yalnızca hizmet için zorunlu işlemelerde geçerlidir.

10.Kişisel verilerin yurt dışına aktarımı nasıl değerlendirilmelidir?▾

Yurt dışında yerleşik bir hizmet sağlayıcı üzerinden ÜYZ kullanımı ve bu yolla aktarım, 6698 m.9 ve 10.07.2024 tarihli “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik”e uygun olmalıdır. Sıralama şöyledir: önce Kurul’un yeterlilik kararı; yoksa m.9/4’teki uygun güvencelerden biri (ör. standart sözleşme, bağlayıcı şirket kuralları); o da yoksa yalnızca arızi olmak kaydıyla m.9/6’daki hâller.

11.Üretken yapay zekâ sistemleri bağlamında şeffaflık nasıl sağlanabilir?▾

6698 m.10 aydınlatma yükümlülüğü ve Aydınlatma Tebliği ÜYZ için de geçerlidir. Sistemin kullanımı ile modelin geliştirilmesi için yapılan işlemeler ayrı ayrı, açık ve sade dille aydınlatılmalı; aydınlatma metni arayüzde erişilebilir olmalıdır. Kullanıcı bir ÜYZ ile (ör. sohbet botu) etkileşimde olduğunu açıkça bilmelidir. Veriler doğrudan ilgili kişiden elde edilmediyse (web kazıma vb.), makul sürede aydınlatma; teknik imkânsızlıkta ise kamuya açık aydınlatma metni sağlanmalıdır.

12.İlgili kişilerin hakları nasıl kullandırılabilir?▾

6698 m.11’deki haklar (bilgi/erişim, düzeltme, silme-yok etme, itiraz, zararın giderilmesi) ÜYZ sistemlerinde de geçerlidir; çok katmanlı yapı kullanımı güçleştirse de hakları uygulanamaz hâle getirmez. Eğitim verisi, ince ayar, çıktı ve sorgular dahil tüm aşamalar kapsanmalıdır. Münhasıran otomatik analizle kişi aleyhine sonuç doğduğunda m.11/1-g itiraz hakkı öne çıkar. Tasarımdan itibaren mahremiyet ve varsayılan mahremiyet yaklaşımları haklarının etkin kullanımını destekler.

13.Kişisel verilerin güvenliği açısından nelere dikkat edilmelidir?▾

6698 m.12 uyarınca veri sorumlusu, hukuka aykırı işleme ve erişimi önlemek ile verilerin muhafazasını sağlamak için uygun teknik ve idari tedbirleri almakla yükümlüdür. Örnek tedbirler: tasarımdan itibaren/varsayılan mahremiyet, veri koruma etki değerlendirmesi (VKED), mahremiyet artırıcı teknolojiler (PET), ÜYZ’ye özgü zafiyetlere (model tersine çevirme, istem enjeksiyonu, jailbreak, üyelik çıkarımı) karşı kontroller, kırmızı takım (red teaming) testleri, güvenilir veri kaynakları, yama yönetimi, çok faktörlü kimlik doğrulama ve güvenli log kayıtları.

14.Bireyler günlük hayatta ÜYZ kullanırken nelere dikkat etmelidir?▾

Bireyler, sistemlere sundukları içeriklerde ad-soyad, adres, telefon ve kimlik bilgisi gibi doğrudan/dolaylı tanımlayıcı verileri paylaşmaktan kaçınmalı; üçüncü kişilere ait verileri de paylaşmamalıdır. Mümkün olduğunca anonimleştirilmiş ve genel ifadeler tercih edilmeli, aydınlatma metinleri ile gizlilik politikaları dikkatle incelenmeli ve gizlilik ayarları gözden geçirilmelidir. Özellikle sağlık, finans ve hukuki süreçlere ilişkin hassas bilgiler bu sistemlerle paylaşılmamalıdır.

15.ÜYZ kullanan çocuklar için ebeveynler hangi önlemleri alabilir?▾

Ebeveynler; platformların yaşa uygunluğunu, kullanım koşullarını, gizlilik politikalarını ve içerik filtrelerini incelemeli, çocukları deep fake içeriklerin riskleri konusunda bilinçlendirmeli ve sosyal medya gizlilik ayarlarını etkinleştirmelidir. Çocukların ad-soyad, okul, adres gibi bilgileri paylaşmaması sağlanmalı; kullanım süresine sınır konmalı, etik kullanım bilinci kazandırılmalı ve ÜYZ etkileşiminin duygusal/psikolojik etkileri (gerçeklik algısının zayıflaması, bağımlılık vb.) gözlemlenerek gerektiğinde uzman desteği alınmalıdır.

Yapay Zekâ Terimleri Sözlüğü

Büyük dil modeli (LLM): Büyük metin veri setleri üzerinde, derin öğrenme algoritmalarıyla önceden eğitilmiş; karakterler, kelimeler ve ifadeler arasındaki kalıpları öğrenerek metin tabanlı görevleri yerine getiren yapay zekâ türü.
Temel model (foundation model): Kapsamlı ve çeşitli veri kümeleri üzerinde eğitilmiş, kullanıma özgü uygulamalar için temel oluşturabilen büyük ölçekli model.
İnce ayar (fine-tuning): Bir temel modelin, belirli bir görev için gözetimli öğrenme yoluyla daha fazla eğitilmesi süreci.
Halüsinasyon (hallucination): Üretken yapay zekâ modellerinin görünüşte makul ancak gerçekte yanlış çıktılar oluşturduğu durumlar.
Komut / istem (prompt): Bir çıktı üretmesi için yapay zekâ modeline veya sistemine sağlanan girdi ya da talimat.
Deep fake (derin kurgu): Yapay zekâ tarafından oluşturulan veya değiştirilen; mevcut kişi, nesne veya olayları andıran ve gerçek izlenimi oluşturabilecek görsel, ses veya video içerikleri.
Derin öğrenme (deep learning): Çok sayıda gizli katmana sahip sinir ağlarının eğitilmesiyle zengin hiyerarşik temsiller oluşturmaya yönelik bir makine öğrenmesi alt alanı.
Yapay sinir ağı (artificial neural network): Ayarlanabilir ağırlıklı bağlantılarla birbirine bağlı bir veya daha fazla nöron katmanından oluşan, girdiyi alıp çıktı üreten ağ.
Sentetik veri (synthetic data): Gerçek verinin yapısı ve istatistiksel özelliklerini taklit edebilen, makine öğrenmesi modellerini test etmek veya eğitmek için üretilen veri.
Kara kutu (black box): Yapay zekâ sistemlerinin ulaştığı sonuçların üretildiği sürecin ve kararların neden verildiğinin insanlarca tam olarak anlaşılamadığı durumlar.
Profilleme (profiling): Bir gerçek kişinin performans, ekonomik durum, sağlık, tercih, davranış veya konum gibi yönlerini analiz etmek/öngörmek amacıyla kişisel verilerin kullanıldığı her türlü otomatik işleme biçimi.
Tasarımdan itibaren mahremiyet (privacy by design): Veri koruma ve mahremiyetin, veri işleme faaliyetleri ile bilgi sistemlerinin tasarımına en baştan entegre edilmesini amaçlayan yaklaşım.
Varsayılan olarak mahremiyet (privacy by default): Kullanıcı müdahalesi olmaksızın, varsayılan olarak yalnızca her amaç için kesinlikle gerekli verilerin işlenmesini öngören yaklaşım.
Mahremiyet artırıcı teknolojiler (PET): Bilgi sisteminin işlevselliğini kaybetmeden kişisel veri işlemeyi ortadan kaldırarak veya azaltarak mahremiyeti koruyan teknik önlemler bütünü.
Sentetik / anonim ayrımı: Anonim hâle getirme, verinin başka verilerle eşleştirilse dahi hiçbir surette belirli bir kişiyle ilişkilendirilememesidir; bu eşik sağlanana kadar veri kişisel veri niteliğini korur (6698 m.3).

Kaynaklar

KVKK — Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)
6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil düzenlemeler (Aydınlatma Tebliği; Yurt Dışına Aktarım Yönetmeliği).

Kaynak: KVKK — Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda), Yayın No 113, Kasım 2025. Bu özet bilgi amaçlıdır; hukuki danışmanlık yerine geçmez.