- Tümünü Gör
- Altyapı Projeleri & Proje Finansmanı
- Birleşme & Devralmalar
- Banka & Finans
- Enerji & Doğal Kaynaklar
- Gayrimenkul Hukuku
- Rekabet Hukuku
- Uluslararası Ticaret ve Gümrük
- Kişisel Verilerin Korunması
- Genel Şirketler Hukuku
- Uyuşmazlık Çözümü
- Sermaye Piyasaları
- Beyaz Yaka Suçları & Yolsuzlukla Mücadele
- Varlık ve Servet Yönetimi
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 24.11.2025 tarihinde Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi[1] (“Rehber”) yayınlandı.
Rehber, 15 farklı soruyu merkezine alarak “Üretken Yapay Zekâ” (“ÜYZ”) sistemlerinin geleneksel yapay zekâ sistemlerinden ayrılan yönlerinin ve kişisel verilerin korunması mevzuatı açısından oluştururabileceği yeni risklerin altını çizmesinin yanı sıra derin öğrenme (deep learning), derin kurgu (deep fake) ve yapay sinir ağı (artificial neural network) gibi Kurum tarafından daha önce tanımlanmayan kritik kavramlara açıklık getiriyor.
Rehber’de ÜYZ sistemleri, büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından girilen istem ya da komuta (prompt) yanıt olarak metin, görsel, video, ses veya yazılım kodu gibi farklı formatlarda içerikler üretebilen sistemler olarak tanımlanıyor. Önceden belirlenmiş veri kümeleri ile belirli problemleri çözmeye yarayan geleneksel yapay zeka sistemlerinden farklı olarak ÜYZ sistemleri, girdi olarak kullanılan veri kümesinde yer almayan özgün çıktılar elde edip tamamen yeni içerikler üretebilmekte, esnek ve çok yönlü bir yapıyla birden fazla işlevi gerçekleştirebiliyor.
Günümüzde yaygın bir kullanıcı kitlesine ulaşan ÜYZ sistemlerinin, müşteri hizmetleri alanında sanal asistanlar, sağlık sektöründe hasta kayıtlarının analizi ve kişisel tedavi planları hazırlanması, eğitim sektöründe kişisel eğitim programları oluşturulması, reklamcılık sektöründe kitle analizi ve kampanya planlamasında kullanılmasının yanı sıra sanat, yazılım ve hukuk gibi sektörlerde de otomasyonu sağladığı belirtiliyor.
ÜYZ sistemlerinin sağladığı tüm bu faydalara karşılık, ortaya çıkardığı riskler de Rehber’de yer alıyor. “Halüsinasyon” adı verilen hatalı ve tutarsız çıktılar ile ön yargılı çıktıların yanı sıra özellikle derin kurgu (deep fake) teknolojisi ile oluşturulan ve sahte görsel ve sesli unsurlar içeren manipülatif içerikler buna örnek olarak gösteriliyor. Kişisel verilerin korunması bağlamında ise bu sistemlerin oltalama e-postaları ve sahte kimlikler oluşturmak amacıyla kullanılarak kullanıcı verilerini tehlikeye atmasının yanı sıra sistemlerin eğitimi için kullanılan büyük veri kümelerinin içerisindeki kişisel verilerin kullanıcılara sunulan çıktılarda yer alması veya kullanıcıların kendi girdilerinde bu tarz verileri paylaşması önemli güvenlik sorunlarına yol açabilir.
Rehber, “veri sorumlusu” ve “veri işleyen” rollerinin tespitinde her bir veri işleme faaliyetinin niteliğinin ve tarafların fiili rollerinin dikkate alınmasını tavsiye ediyor. Nitekim ÜYZ sistemlerinin yaşam döngüsüne ilişkin farklı aşamalarda sorumluluk üstlenen çok sayıda gerçek veya tüzel kişi yer alabiliyor. Bunun yanı sıra “geliştirici” veya “yerleştirici” gibi aktörler ise doğrudan bu rollerin kapsamı dışında kalabiliyor. Bu tarz problemler her bir işleme faaliyeti için ayrıca somut bir değerlendirme gerektiriyor. Bu noktada hangi kategorilere ait hangi tür verilerin işleneceği ve verilerin hangi kaynaklardan elde edileceği gibi hususlarda temel kararların kim tarafından alındığının belirlenmesi rollerin anlaşılmasında önemli bir etken olarak gösteriliyor.
Rehber, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’da (“Kanun”) geçen ve kişisel verilerin işlenmesinde uyulması gereken genel ilkelere atıfta bulunup bunlara uyum sağlanması için ÜYZ sistemlerinin geliştirilmesi, eğitilmesi ve kullanıma sunulması aşamalarında ne gibi tedbirlerin alınabileceğine de değiniyor. Bu ilkeler bakımından ÜYZ sistemlerinin işleyiş süreci ve veri işleme faaliyetleri ile ilgili olarak kullanıcılar için de erişilebilir nitelikte gözetim ve denetim mekanizmalarının oluşturulması ve uygun saklama-imha politikalarının geliştirilmesi tavsiye ediliyor. Hukuka uygunluk sebepleri bakımından ise özellkle ilgililerin açık rızasının alınması için kullanıcılara ÜYZ sisteminin kullanıldığının bildirilmesi yeterli olmayıp, ne tarz bir sistemin kullanıldığı, ÜYZ sisteminin geliştirilmesi veya kullanılması açısından hangi amaçla işleneceği, işleme sonucunda oluşacak verilerin niteliği ve üçüncü kişiler tarafından görülebilirliği konusunda bilgi verilmesi gerektiği vurgulanıyor.
Şeffaflığın sağlanması amacıyla aydınlatma metinlerinin ve gizlilik politikalarının kullanıcılar tarafından kolaylıkla erişilebilecek şekilde arayüzlerde sunulması tavsiye ediliyor. Kullanıcıların ÜYZ sistemleriyle doğrudan etkileşimde olduğu sohbet botları gibi sistemlerde kullanıcıların bir ÜYZ sistemi ile iletişim kurdukları yönünde bilgilendirilmesi gerektiği de ayrıca belirtiliyor. ÜYZ sistemlerinin eğitim sürecinde kullanılan veri setleriyle ilgili olarak gerekli düzeyde açıklık sağlanması öneriliyor. Otomatik yollarla doğrudan kamuya açık kaynaklardan elde edilen kişisel veriler söz konusu olduğunda ise, doğrudan aydınlatma yapılmasının teknik açıdan imkansız olduğu hallerde kamuya açık aydınlatma metinlerinin faydalı olacağının altı çiziliyor.
İlgili kişilerin haklarını kullanabilmelerinin önündeki pratik zorluklara dikkat çeken Rehber, özellikle itiraz hakkı üzerinden, otomatik karar alma mekanizmalarında kullanılan ÜYS sistemlerinin karar alma sürecinde ayrımcı veya etik dışı sonuçların ortaya çıkması halinde kullanıcıların hem kararın sonucuna hem de kararın dayandığı temellere itiraz edebileceklerine dikkat çekiyor. Bunun haricinde, hakların kullanılabilmesi için kişisel verilerin işlendiği eğitim, ince ayar (fine tuning) ve çıktı gibi aşamaları kapsayan ve kullanıcılar için şeffaflık ve hesap verilebilirliği sağlayan erişilebilir mekanizmaların oluşturulması gerektiğine dikkat çekiliyor. Veri sorumlularının veri işleme süreçlerine dair kayıtları veri eşleştirme (data mapping) veya veri etiketleme (data labeling) gibi yöntemlerle tutması, ilgili kişilerin haklarını kullanabilmesi açısından özellikle vurgulanıyor.
Kişisel verilerin güvenliği için “tasarımdan itibaren mahremiyet” (privacy by design) ve “varsayılan olarak mahremiyet” (privacy by default) yaklaşımları ile ÜYZ sistemlerinin sadece kullanım aşamasında değil, tasarımdan itibaren her aşamada veri korumanın önceliklendirilmesi ve kullanıcı müdahalesi olmaksızın varsayılan olarak sadece gerekli verilerin işlenmesinin sağlanması tavsiye ediliyor. Bunun haricinde risklerin tanımlabilmesi ve yönetilmesi açısından veri koruma etki değerlendirmelerinin yapılması, bilinmeyen risklerin ortaya konulması ve erken tespiti için “kırmızı takım“ (red team) tekniğiyle test süreçleri yürütülmesi ve düzenli yazılım güncellemeleri yapılması da Rehber’de sunulan tavsiyeler arasında.
[1] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5MjNmNmIwZWY3YTE.pdf
Yazarlar: