Duyurular

Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda) Yayınlanmıştır

Kişisel Verileri Koruma Kurumu (“KVKK”) tarafından hazırlanan Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda) (“Rehber”) 24.11.2025 tarihinde KVKK’nın resmi internet sitesinde yayınlanmıştır.

Rehber’de özetle aşağıdaki hususlara yer verilmiştir:

  • Üretken Yapay Zekâ (“ÜYZ”) sistemlerinin kişisel verilerin korunması bağlamında doğurabileceği etkilerin değerlendirilmesini ve veri sorumlularına yol gösterilmesini amaçlamaktadır.
  • ÜYZ, büyük ölçekli veri kümeleri üzerinde eğitilmiş ve kullanıcı tarafından sunulan istemlere (prompt) yanıt olarak metin, görsel, video, ses veya yazılım kodu gibi farklı formatlarda içerikler üretebilen bir Yapay Zekâ (“YZ”) türü olarak tanımlanmaktadır. Geleneksel YZ sistemlerinden farklı olarak, ÜYZ modelleri tamamen yeni içerikler üretebilme kapasitesine sahip bulunmaktadır. İçerik üretiminin temelinde, genellikle geniş ve çeşitli veri kümeleri üzerinde eğitilen temel modeller (foundation models) yer almaktadır.
  • Bir ÜYZ modelinin yaşam döngüsü; modelin kullanım amacı ve kapsamının belirlenmesiyle başlamakta, gerekli verilerin toplanması, eğitilmesi, ince ayarının (fine-tuning) yapılması, değerlendirilmesi, yerleştirilmesi ve izlenmesi aşamalarından oluşmaktadır.
  • ÜYZ, hukuk (sözleşme hazırlanması, hukuki belge analizi ve içtihat tespiti), sağlık, eğitim, müşteri hizmetleri ve pazarlama gibi birçok alanda kullanılmaktadır.
  • ÜYZ’nin kullanımına bağlı olarak gündeme gelen başlıca riskler şunlardır:
    • Halüsinasyonlar ve Tutarsız Çıktılar: ÜYZ modellerinin istatistiksel olasılıklara dayalı yapısı nedeniyle, gerçek görünüm altında, gerçeklikle örtüşmeyen ancak makul çıktılar (halüsinasyon) oluşturulabilmektedir. Bu hatalı veya yanıltıcı çıktılar sebebiyle, çıktıların doğruluğunun düzenli olarak kontrol edilmesi gerekmektedir.
    • Ön Yargı ve Yanlı Çıktılar: Eğitim verilerinde bulunan ön yargılar, sistemin çıktılarında ayrımcı veya saldırgan içeriklerin yeniden üretilmesine ve pekiştirilmesine neden olabilmektedir. Modellerin kara kutu (black box) niteliği taşıması, karar alma süreçlerinin anlaşılmasını ve ön yargıların giderilmesini karmaşık hâle getirmektedir.
    • Verilerin Gizliliği ve Güvenliği: Geniş veri kümeleri üzerinde eğitilen modellerde (örneğin internetten elde edilen veriler), kişisel verilerin model çıktılarına yansıtılarak veri sızıntılarına veya gizlilik ihlallerine yol açılması riski bulunmaktadır.
    • Deep Fake ve Manipülatif İçerikler: YZ tarafından oluşturulan veya değiştirilen, gerçekçi sahte görsel, ses ve video içerikleri, bireylerin itibarına zarar verme ve yanlış bilgi yayma potansiyelini taşımaktadır.
  • ÜYZ sistemlerinin veri odaklı işleyişi sebebiyle, yaşam döngüsünün her aşamasında kişisel veri işleme faaliyetleri söz konusu olabilmektedir. Model, kişisel veri işlenmesini özellikle hedeflememiş olsa dahi, çıktı aşamasında bir gerçek kişiye ilişkin verilerin üretilmesi mümkündür. Bu sebeple, söz konusu faaliyetler kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) hükümleri uygulama alanı bulmaktadır. Anonim hâle getirilmiş verilerin kullanılması hâlinde ise Kanun hükümleri kural olarak uygulanmamaktadır.
  • ÜYZ sistemlerinin karmaşık ve çok katmanlı yapısı, veri sorumlusu ve veri işleyen rollerinin tespitini zorlaştırmaktadır. Veri sorumlusunun tespiti, kişisel verilerin işlenmesine ilişkin temel kararları (neden ve nasıl) kimin aldığına bakılarak somut olaya göre yapılmalıdır. Taraflar arasında akdedilen sözleşmelerin, tek başına belirleyici bir nitelik taşımadığı ve tarafların fiili kontrolünün esas alınması gerektiği vurgulanmaktadır.
  • ÜYZ sistemleri kapsamında işlenen kişisel veriler, Kanun’un 4. maddesinde düzenlenen genel ilkelere uygun olmalıdır.
  • ÜYZ ile gerçekleştirilen her bir kişisel veri işleme faaliyeti için Kanun’un 5. veya 6. maddesindeki sınırlı sayıdaki işleme şartlarından en az birine dayanılması zorunludur. ÜYZ’nin geliştirilmesi ve çalıştırılması gibi farklı aşamalar, bağımsız veri işleme faaliyetleri teşkil edebileceğinden, her biri için ayrı işleme şartının belirlenmesi gerekebilecektir;
    • Açık Rıza: Açık rızanın geçerli olabilmesi için, YZ kullanıldığı, hangi amaçla işleneceği (geliştirme mi, çalıştırma mı) ve çıktının niteliği hakkında açıkça bilgilendirme yapılması gerekmektedir.
    • Verinin ilgili kişi tarafından alenileştirilmiş olması hâli, verilerin ÜYZ sistemlerinde serbestçe işlenebileceği anlamına gelmemektedir; alenileştirme iradesinin sınırlarının aşılmaması gerekmektedir.
    • Meşru Menfaat: Bu şarta dayanılabilmesi için, veri sorumlusunun menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında denge testi yapılmalıdır. İlgili kişinin temel hak ve hürriyetlerinin zarar göreceği (örneğin, bir kişinin taklidinin oluşturulması gibi) durumlarda bu şarta dayanılamamaktadır.
    • Özel Nitelikli Kişisel Veriler: Bu tür verilerin işlenmesi kural olarak yasak olup, Kanun’un 6. maddesindeki özel şartlara tabidir. Sözleşmenin ifası ve meşru menfaat, özel nitelikli kişisel veriler için hukuki dayanak teşkil etmemektedir.
  • Yurt dışında yerleşik hizmet sağlayıcılar aracılığıyla ÜYZ sistemlerinin kullanılması durumunda, kişisel verilerin yurt dışına aktarımı faaliyetinin Kanun’un 9. maddesi ile ilgili Yönetmelik hükümlerine uygun şekilde gerçekleştirilmesi gerekmektedir.
  • Kanun’un 10. maddesinde düzenlenen aydınlatma yükümlülüğü ile şeffaflık sağlanmaktadır. Kullanıcıyla doğrudan etkileşim kuran sistemlerin (sohbet botları gibi), ÜYZ temelli olduklarını açıkça belirtmeleri gerekmektedir.
  • Kanun’un 11. maddesinde güvence altına alınan ilgili kişi haklarının ÜYZ sistemleri kapsamında da etkili biçimde kullandırılması zorunludur. Özellikle bireylerin, münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine çıkan sonuca itiraz etme hakkı (md. 11/1/g), bu sistemlerde kritik bir güvence olarak değerlendirilmektedir.
  • Veri sorumluları, Kanun’un 12. maddesi uyarınca kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek amacıyla uygun teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda; veri koruma etki değerlendirmesi yapılması, mahremiyet artırıcı teknolojilerin (privacy-enhancing technologies) kullanılması ve ÜYZ’ye özgü zafiyetlere (istem enjeksiyonu gibi) karşı teknik kontrollerin uygulanması tavsiye edilmektedir. Ayrıca tasarımdan itibaren mahremiyet ve varsayılan olarak mahremiyet yaklaşımlarının benimsenmesi de önerilen önleyici tedbirler arasındadır.
  • Bireylerin ÜYZ uygulamalarını kullanırken; ad-soyad veya kimlik bilgileri gibi doğrudan tanımlamaya elverişli kişisel verilerin paylaşımından kaçınılması, üçüncü kişilere ait kişisel verilerin ifşa edilmemesi ve sağlık, finansal veya hukuki süreçlere ilişkin hassas nitelikteki bilgilerin bu sistemlerle paylaşılmasından kaçınılması gerektiği belirtilmektedir.
  • Ebeveynler tarafından çocukların ÜYZ kullanımına yönelik olarak, kullanılan platformların yaşa uygunluğunun kontrol edilmesi, özellikle deep fake teknolojilerinin yarattığı manipülatif içerik riskleri hakkında çocukların bilinçlendirilmesi ve kişisel bilgilerin paylaşılmamasına yönelik farkındalık kazandırılması önem taşımaktadır.

Rehber’in tam metnine buradan ulaşabilirsiniz.

 

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

 

İnternet sitemizde bulunan her türlü bilgi ve belge Avukatlık Kanunu ve ilgili diğer mevzuat ile Türkiye Barolar Birliği’nin Avukatlık Meslek Kuralları dikkate alınarak Zümbül Hukuk ve Danışmanlık tarafından yalnızca genel bilgilendirme amacıyla hazırlanmış olup, bu yayınlarda kesinlikle reklam ve/veya ticari amaç güdülmemiştir. İnternet sitemizdeki her türlü bilgi ve belge genel geçer nitelikte olup hiçbir suretle bu yayınların eksiksiz, doğru, güncel ve güvenilir olduğu garanti ve taahhüt edilmemektedir. İnternet sitemizde yer verilen yayınlardaki bilgilerle ilgili olarak bir avukata/uzmana danışmadan söz konusu bilgi ve belgelere dayanılarak hareket edilmemelidir. İnternet sitemizdeki yayınlarda yer verilen linkler kamuya açık kaynaklardan elde edilerek yalnızca ziyaretçilerin diğer bilgi ve belgelere ulaşmasını kolaylaştırmak amacıyla bulunmaktadır. Bu linkler hiçbir şekilde link verilen kişi, kurum ve kuruluşları tavsiye ve/veya onay anlamına gelmemektedir. İnternet sitemizdeki yayınlar hiçbir şekilde hukuki danışmanlık sunulması veya internet sitemize herhangi bir suretle ulaşan ziyaretçiler ile avukat-müvekkil ilişkisi oluşturulduğu anlamına gelmemektedir. İnternet sitemizdeki tüm içerikler Zümbül Hukuk ve Danışmanlık mülkiyetindedir ve hiçbir içerik yazılı izin alınmaksızın kopyalanamaz, çoğaltılamaz ve atıf yapılmadan kullanılamaz.