- Tümünü Gör
- Altyapı Projeleri & Proje Finansmanı
- Birleşme & Devralmalar
- Banka & Finans
- Enerji & Doğal Kaynaklar
- Gayrimenkul Hukuku
- Rekabet Hukuku
- Uluslararası Ticaret ve Gümrük
- Kişisel Verilerin Korunması
- Genel Şirketler Hukuku
- Uyuşmazlık Çözümü
- Sermaye Piyasaları
- Beyaz Yaka Suçları & Yolsuzlukla Mücadele
- Varlık ve Servet Yönetimi
Kişisel Verileri Koruma Kurumu (“KVK Kurumu”), internet sitesinde yayımladığı “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlıklı metinde (“Metin”) ile üretken yapay zekâ araçlarının iş süreçlerinde kullanımına ilişkin başlıca risk alanları ve kuruluşlar tarafından dikkate alınabilecek yönetişim yaklaşımlarına ilişkin değerlendirmelerini kamuoyuyla paylaştı.
Metin, çalışanların günlük iş akışlarında üretken yapay zekâ araçlarının yaygınlaşması karşısında, bu kullanımın yalnızca verimlilik ve hız avantajları üzerinden değil; kişisel verilerin korunması, bilgi güvenliği, ticari sırların korunması, karar kalitesi ve kurumsal yönetişim bakımından da değerlendirilmesi gerektiğini gösteriyor.
Gölge Yapay Zekâ: Kurumsal Kontrol Dışı Kullanımın Yükselen Riski
Metinde öne çıkan kavramlardan biri “Gölge Yapay Zekâ” (Shadow AI). Bu kavram, çalışanların üretken yapay zekâ araçlarını kurumun bilgisi veya kontrolü dışında, iş süreçlerinde kullanmasını ifade ediyor.
KVK Kurumu, bu tür kontrol dışı kullanımın özellikle hesap verilebilirlik, ticari sır ve kişisel veri dahil bilgi güveliği alanlarında risk yaratabileceğine dikkat çekiyor.
Bu yaklaşım, şirketlerin yalnızca “Yapay zekâ kullanılıyor mu?” sorusuna değil; hangi araçların, kimler tarafından, hangi amaçlarla ve hangi veri kategorileriyle kullanıldığına da odaklanması gerektiğini gösteriyor.
Kişisel Veriler, Ticari Sırlar ve Hassas Bilgiler Bakımından Riskler
KVK Kurumu, üretken yapay zekâ araçlarının kontrol dışı kullanımının yalnızca kişisel veriler bakımından değil; ticari sırlar, fikri mülkiyet hakları ve kurumsal açıdan hassas bilgiler bakımından da önemli riskler doğurabileceğine dikkat çekiyor. Metinde, kaynak kod, ürün tasarımları, iş stratejileri, iç yazışmalar, insan kaynakları verileri ve müşteri dosyaları gibi içeriklerin harici yapay zekâ araçlarıyla paylaşılmasının, bu bilgiler üzerindeki kurumsal kontrolü zayıflatabileceği vurgulanıyor.
Kişisel veriler bakımından ise KVK Kurumu, üretken yapay zekâ sistemleri aracılığıyla yürütülen veri işleme faaliyetlerinin 6698 sayılı Kanun kapsamında olduğunu açıkça ortaya koyuyor. Bu çerçevede, çalışanlar tarafından komutlar aracılığıyla kişisel veri paylaşılması; verilerin yetkisiz işlenmesi, üçüncü kişilerce erişilebilir hâle gelmesi veya amaç dışı kullanılması risklerini beraberinde getirebiliyor.
Hız ve Verimlilik Kadar Doğruluk ve İnsan Denetimi de Önemli
KVK Kurumu ayrıca üretken yapay zekâ sistemleri tarafından üretilen çıktılara aşırı güven duyulması riskine de dikkat çekiyor. Literatürde “automation bias” olarak ifade edilen bu durum, kullanıcıların otomatik sistemler tarafından üretilen içerikleri yeterli değerlendirmeden geçirmeden doğru kabul etmesine yol açabiliyor.
Buna paralel olarak, üretken yapay zekâ sistemlerinin gerçeğe aykırı ancak ikna edici görünen içerikler üretebilmesi (“hallucination”) riskinin de kurumsal karar süreçlerinde dikkate alınması gerektiği belirtiliyor. Bu nedenle KVK Kurumu, yapay zekâ çıktılarının nihai kararların doğrudan dayanağı olarak değil, insan değerlendirmesi altında destekleyici bir araç olarak ele alınması gerektiğini vurguluyor.
İş Yerleri İçin Öne Çıkan Uyum Başlıkları
Metinde, üretken yapay zekâ araçlarının iş yerlerinde kullanımına ilişkin olarak kuruluşların benimseyebileceği bazı yönetişim yaklaşımlarına da yer veriliyor. Bu kapsamda özellikle:
- Üretken yapay zekâ araçlarının kullanımına ilişkin açık bir kurumsal politika veya rehber oluşturulması,
- Bu araçlara hangi tür verilerin girdi olarak sunulabileceğinin belirlenmesi,
- Kurumsal veriler ve kişisel veriler bakımından gizlilik ve güvenlik tedbirlerinin gözden geçirilmesi,
- Üretilen içeriklerin insan denetimi altında değerlendirilmesi,
- Çalışanlara yönelik farkındalık ve eğitim faaliyetlerinin yürütülmesi,
gibi hususların risklerin yönetilmesi bakımından önem taşıdığı ifade ediliyor.
Uygulama ve Uyum Perspektifi
Rehber, şirketler bakımından üretken yapay zekâ kullanımının artık yalnızca bir verimlilik aracı değil; veri koruma, bilgi güvenliği ve kurumsal yönetişim kapsamında ele alınması gereken bir uyum alanı olduğunu ortaya koyuyor. Bu çerçevede şirketlerin, çalışanların harici üretken yapay zekâ araçlarıyla hangi verileri paylaşabileceğini netleştirmesi; kişisel veriler, ticari sırlar ve hassas kurumsal bilgiler bakımından açık sınırlar belirlemesi; erişim kontrolü, insan denetimi ve iç politika mekanizmalarını güçlendirmesi önem taşıyor. Bu yönüyle Metin, iş yerlerinde üretken yapay zekâ kullanımını tamamen yasaklamaktan ziyade, görünür, kontrollü ve sorumlu bir çerçeveye oturtan bir yaklaşımı yansıtıyor.
Yazarlar: