6698 Sayılı KVKK · KVKK Üretken Yapay Zekâ Rehberi (15 Soruda)
Üretken Yapay Zekâ KVKK Uyum Asistanı
ChatGPT, Gemini ve benzeri üretken yapay zekâ (ÜYZ) sistemlerini kurumsal ya da bireysel olarak kullanırken kişisel verilerin korunması yükümlülüklerini karşılıyor musunuz? Kontrol listesini doldurun; eksikleri, dayanaklarını ve giderme önerilerini görün.
Uyum Kontrol Listesi
Kapsam & Anonimlik
Sistemin eğitim, çalıştırma ve çıktı aşamalarında kişisel veri (kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgi) işlenip işlenmediğini değerlendirdiniz mi?
Yalnızca anonim/anonimleştirilmiş veri kullandığınızı iddia ediyorsanız, bu verilerin teknik yöntemler ve nesnel ölçütlerle gerçekten anonim olduğunu doğruladınız mı?
Veri Sorumlusu / Veri İşleyen Tespiti
Her bir işleme faaliyeti için, kişisel verilerin işlenme amaç ve vasıtalarını kimin belirlediğini (veri sorumlusu mu, veri işleyen mi) somut olarak değerlendirdiniz mi?
Hazır (ör. kapalı erişimli) bir ÜYZ modelini kendi faaliyetinize entegre edip amaç ve yöntemine siz karar veriyorsanız, bu işlemeler bakımından veri sorumlusu olduğunuzu ve yükümlülükleri üstlendiğinizi kabul ettiniz mi?
Adınıza kişisel veri işleyen bir taraf (veri işleyen) varsa, onunla KVKK’ya uygun bir kişisel veri işleme sözleşmesi yaptınız mı?
Hukuki Sebep (İşleme Şartı)
Her bir işleme faaliyeti (eğitim, çalıştırma, çıktı üretimi, geliştirme) için 6698 m.5 / m.6’daki işleme şartlarından en az birine ayrı ayrı dayandınız mı?
Açık rıza dışında bir işleme şartına dayanabiliyorsanız, ayrıca (gereksiz/aldatıcı biçimde) açık rıza almadığınızdan emin oldunuz mu?
Açık rızaya dayanıyorsanız; ÜYZ kullanıldığı, sistemin türü ve verinin geliştirme mi yoksa çalıştırma için mi işleneceği gibi hususlarda açık/sade dille bilgilendirme yaparak geçerli açık rıza aldınız mı?
Kamuya açık / web kazıma ile elde edilen verileri işliyorsanız, bunu “alenileştirme” şartına değil; denge testi yapılmış bir meşru menfaat değerlendirmesine mi dayandırıyorsunuz?
Özel nitelikli kişisel veri (sağlık, biyometrik, din, etnik köken vb.) işleniyorsa, 6698 m.6’daki şartları ve Kurul’un 2018/10 sayılı Kararı’ndaki yeterli önlemleri sağladınız mı?
Genel İlkeler
İşleme amaçlarını “ÜYZ modelimizi geliştirmek” gibi muğlak ifadelerle değil; her aşama için belirli, açık ve meşru biçimde tanımladınız mı?
Yalnızca amaçla bağlantılı, sınırlı ve ölçülü veri mi işliyorsunuz (daha fazla veri her zaman daha iyi sonuç değildir)?
Algoritmik ön yargı/ayrımcılık riskine karşı veri kümelerini özenle seçip çıktıları düzenli izliyor musunuz?
Çıktı doğruluğu ve halüsinasyon riski için izleme, filtreleme ve gerektiğinde insan gözetimi mekanizmaları kurdunuz mu?
Kişisel veri içeren eğitim/işleme kümeleri için makul ve gerekçelendirilebilir saklama süreleri belirleyip amaç sona erince imha ediyor musunuz?
Yurt Dışına Aktarım
Yurt dışında yerleşik bir ÜYZ hizmet sağlayıcı kullanıyorsanız, kişisel veri aktarımını 6698 m.9 ve Yurt Dışına Aktarım Yönetmeliği’ne uygun (yeterlilik kararı / uygun güvence / arızi hâl) gerçekleştiriyor musunuz?
Şeffaflık & Aydınlatma
6698 m.10 kapsamında, sistemin kullanımı ile geliştirilmesi için ayrı ayrı, açık/sade dille aydınlatma yaptınız ve aydınlatma metni arayüzde kolayca erişilebilir mi?
Kullanıcı bir ÜYZ sistemiyle (ör. sohbet botu) etkileşimde olduğunu açıkça biliyor mu?
Veriler doğrudan ilgili kişiden elde edilmediyse (web kazıma vb.), makul sürede aydınlatma (teknik imkânsızlıkta kamuya açık aydınlatma metni) sağlıyor musunuz?
İlgili Kişi Hakları
6698 m.11’deki hakların (bilgi, erişim, düzeltme, silme, itiraz) sistemin tüm aşamalarında (eğitim, ince ayar, çıktı, sorgu) kullanılabilmesi için açık ve işlevsel mekanizmalar kurdunuz mu?
Sistem otomatik karar süreçlerinde (işe alım, kredi, sigorta vb.) kullanılıyorsa, m.11/g itiraz hakkı ve insan müdahalesi/yeniden inceleme imkânı sağlıyor musunuz?
Veri Güvenliği
6698 m.12 kapsamında “tasarımdan itibaren mahremiyet” ilkesiyle birlikte uygun teknik ve idari tedbirleri aldınız mı?
ÜYZ’ye özgü saldırılara (model tersine çevirme, istem enjeksiyonu, jailbreak, üyelik çıkarımı) karşı teknik kontroller kurup düzenli izliyor musunuz?
Bireyler üzerinde önemli etki doğurabilecek işlemeler için veri koruma etki değerlendirmesi (VKED) yaptınız mı?
Yasal Uyarı: Bu araç, KVKK’nın “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)” başlıklı rehberindeki hususları özetleyen genel bir öz-değerlendirme aracıdır; bağlayıcı mevzuat metni, hukuki danışmanlık veya resmi uyum denetimi yerine geçmez. Her somut işleme faaliyetinin koşulları farklı olabileceğinden, durumunuz için bir hukuk uzmanına danışınız.
Rehberin Uyum Çerçevesi: 8 Başlık
Bu asistan, KVKK’nın “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)” başlıklı çalışmasının 6.–13. sorularını ve 6698 sayılı Kanun’un ilgili maddelerini esas alır. Temel başlıklar:
Soru 6 & 7 · Kapsam ve Roller
Kişisel veri işleniyor mu? İşleniyorsa veri sorumlusu/veri işleyen kimdir? Hazır bir modeli kendi amaçlarınızla kullanıyorsanız veri sorumlusu olabilirsiniz.
Soru 8 & 9 · İlkeler ve Hukuki Sebep
Genel ilkeler (belirli amaç, veri minimizasyonu, doğruluk, saklama) ÜYZ’ye nasıl uygulanır; her işleme için m.5/m.6 şartlarından hangisine dayanılır?
Soru 10 & 11 · Aktarım ve Şeffaflık
Yurt dışına aktarım m.9’a uygun mu? Aydınlatma (m.10) sistem kullanımı ve geliştirme için ayrı ayrı, açık/sade dille yapıldı mı?
Soru 12 & 13 · Haklar ve Güvenlik
İlgili kişi hakları (m.11) tüm aşamalarda kullanılabiliyor mu; otomatik kararda itiraz var mı? m.12 teknik/idari tedbirler ve ÜYZ’ye özgü güvenlik kontrolleri alındı mı?
Sık Sorulan Sorular
Üretken yapay zekâ kullanırken KVKK uygulanır mı?▾
6698 sayılı Kanun teknolojiden bağımsızdır; üretken yapay zekâ (ÜYZ) sistemlerinin yaşam döngüsünde herhangi bir şekilde kişisel veri işleniyorsa Kanun uygulanır. Modelin kişisel veriyi özellikle hedeflememesi ya da verinin yalnızca rastlantısal/dolaylı işlenmesi, kişisel veri işleme faaliyetinin varlığını ortadan kaldırmaz. Girdi kişisel veri içermese dahi, model eğitim sürecinde öğrendiği bilgiler doğrultusunda çıktıda kişisel veri üretebilir.
ÜYZ sisteminde veri sorumlusu kim olur?▾
Veri sorumlusu, kişisel verilerin işleme amaç ve vasıtalarını belirleyen kişidir. Rol tespitinde sözleşme ifadeleri değil, tarafların fiili kontrolü ve karar alma yetkisi esastır. Hazır (ör. kapalı erişimli) bir ÜYZ modelini kendi faaliyetinize entegre edip amaç, kapsam ve yönteme siz karar veriyorsanız, bu işlemeler bakımından veri sorumlusu olursunuz. Geliştirici de süreçteki kontrol düzeyine göre veri sorumlusu veya veri işleyen olabilir.
ÜYZ ile kişisel veri işlemek için hangi hukuki sebebe dayanılır?▾
Her işleme faaliyeti (eğitim, çalıştırma, çıktı, geliştirme) için 6698 m.5 (özel nitelikli veriler için m.6) işleme şartlarından en az birine ayrı ayrı dayanılmalıdır. Açık rıza dışında bir şart varsa ayrıca açık rıza alınmamalıdır. Kamuya açık verilerin ÜYZ eğitiminde kullanılması “alenileştirme” şartına dayandırılamaz; ancak verinin aleni olması, meşru menfaat denge testinde dikkate alınabilir.
Web’den toplanan (kazınan) kamuya açık veriler ÜYZ eğitiminde serbestçe kullanılabilir mi?▾
Hayır. Herkesçe erişilebilen veri, herkesçe serbestçe işlenmeye açık veri anlamına gelmez. İlgili kişi verisini ÜYZ modeli eğitmek amacıyla alenileştirmediğinden alenileştirme şartına dayanılamaz. Bu tür veriler ancak iki aşamalı bir meşru menfaat değerlendirmesi ve denge testiyle işlenebilir; üstelik yüz/ses taklidi gibi olumsuz sonuç doğurabilecek işlemelerde meşru menfaate de dayanılamaz.
Yurt dışında yerleşik bir ÜYZ hizmeti kullanmak yurt dışına veri aktarımı mıdır?▾
Türkiye’de faaliyet gösteren bir veri sorumlusunun, yurt dışında yerleşik bir hizmet sağlayıcı üzerinden ÜYZ sistemini kullanması ve bu yolla kişisel verilerin yurt dışına aktarılması, 6698 m.9 ve Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’e uygun yürütülmelidir: önce yeterlilik kararı; yoksa m.9/4’teki uygun güvenceler; o da yoksa yalnızca arızi olarak m.9/6’daki hâller aranır.
ÜYZ sistemlerinde aydınlatma yükümlülüğü nasıl yerine getirilir?▾
6698 m.10 ve Aydınlatma Tebliği ÜYZ sistemleri için de geçerlidir. Sistemi kullanmak için yapılan işleme ile modelin geliştirilmesi için yapılan işleme ayrı ayrı ve açık/sade dille aydınlatılmalıdır. Kullanıcı bir ÜYZ ile etkileşimde olduğunu açıkça bilmelidir. Veriler doğrudan ilgili kişiden elde edilmediyse (web kazıma vb.), makul sürede aydınlatma; teknik imkânsızlıkta ise kamuya açık aydınlatma metni sağlanmalıdır.
ÜYZ otomatik karar süreçlerinde kullanılırsa hangi hak öne çıkar?▾
İşe alım, kredi veya sigortacılık gibi alanlarda münhasıran otomatik analizle kişi aleyhine sonuç doğması hâlinde, 6698 m.11/1-g uyarınca itiraz hakkı gündeme gelir. Bu hak yalnızca sonuca değil, kararın dayandığı temellerin yeniden değerlendirilmesine de imkân tanır. Riskler yeterince yönetilemiyorsa bu tür sistemlerin devreye alınmasında ihtiyatlı olunması önerilir.
ÜYZ sistemlerinde veri güvenliği için ne yapılmalı?▾
6698 m.12 kapsamında tasarımdan itibaren mahremiyet ilkesiyle uygun teknik ve idari tedbirler alınmalıdır. ÜYZ’ye özgü zafiyetlere (model tersine çevirme, istem enjeksiyonu, jailbreak, üyelik çıkarımı saldırıları) karşı kontroller; kırmızı takım (red teaming) testleri, güvenilir veri kaynakları, yama yönetimi, çok faktörlü kimlik doğrulama ve güvenli log kayıtları örnek tedbirlerdir. Etkili işlemeler için veri koruma etki değerlendirmesi (VKED) önerilir.
İlgili İçerik
- Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda) — Rehberin 15 sorusunun tamamı ve yapay zekâ terimleri sözlüğü.
- Kişisel Veri Maskeleme Aracı — Bir belgeyi ÜYZ’ye vermeden önce içindeki kişisel verileri tarayıcıda maskeleyin.
- Hukuk Sözlüğü — KVKK, kişisel veri ve anonimleştirme gibi terimlerin tanımları.
Kaynaklar
- KVKK — Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda), Yayın No 113, Kasım 2025
- 6698 sayılı Kişisel Verilerin Korunması Kanunu — özellikle m.4 (genel ilkeler), m.5–6 (işleme şartları), m.9 (yurt dışına aktarım), m.10 (aydınlatma), m.11 (ilgili kişi hakları) ve m.12 (veri güvenliği).
- Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (10.07.2024 tarih ve 32598 sayılı Resmî Gazete).
- Kurul Kararları — 31.01.2018 tarih ve 2018/10 sayılı (özel nitelikli veriler için yeterli önlemler); 25.03.2019 tarih ve 2019/78 sayılı (meşru menfaat denge testi).
Kaynak: KVKK — Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda) · 6698 sayılı KVKK. Bu araç bilgi amaçlıdır; bağlayıcı mevzuat metni veya hukuki danışmanlık yerine geçmez.