KVKK Çerçevesinde Yapay Zekâ Uygulamaları
KVKK yapay zekâ kullanımını doğrudan ilgilendirir: AI sistemleri eğitim verisinden model çıktısına kadar her aşamada kişisel veri işleyebilir. 6698 sayılı Kanun AI’a özel hükümler içermese de mevcut ilkeleri — amaçla bağlılık, veri minimizasyonu, açık rıza, otomatik karara itiraz — yapay zekâya aynen uygulanır. Bu rehber, KVKK ile AI kullanımını aynı çerçevede yönetmenin pratik yolunu anlatır.
KVKK’nın AI kullanımına etkisi
AI, klasik yazılımdan farklı üç noktada KVKK’yla kesişir:
- Eğitim verisi: Model, kişisel veri içeren setlerle eğitildiyse işleme faaliyetidir — hukuki dayanak gerekir.
- Girdi/çıktı: Kullanıcıların sisteme yazdıkları ve sistemin ürettikleri kişisel veri içerebilir; üçüncü taraf API kullanımında bu veri yurt dışına akar (m.9).
- Profilleme ve karar: AI’ın kişiler hakkında skor, sınıf veya karar üretmesi, Kişisel Verileri Koruma Kurumu rehberlerinde vurgulanan şeffaflık ve itiraz mekanizmalarını gerektirir.
Genel ilkeler (m.4) burada kritik: hukuka uygunluk, doğruluk, amaçla bağlılık, veri minimizasyonu. “Elimizde veri var, modele koyalım” yaklaşımı amaçla bağlılık ilkesine ilk çarpan hatadır.
Açık rıza ve özel nitelikli veri
- İşleme şartları (m.5): Rıza tek dayanak değildir; sözleşmenin ifası, meşru menfaat gibi şartlar AI senaryolarında da geçerli. Ancak dayanak seçimi belgelenmeli ve aydınlatma metnine yansımalıdır.
- Özel nitelikli veri (m.6): Sağlık, biyometrik veri gibi kategorileri işleyen AI (yüz tanıma, ses analizi, sağlık tahmini) sıkılaştırılmış şartlara tabidir. Biyometrik kimliklendirme projelerinde bu, tasarım aşamasında ele alınmalıdır.
- Aydınlatma (m.10): Kişiler, verilerinin AI ile işlendiğini anlayabilmelidir. “Otomatik sistemlerle analiz yapılmaktadır” düzeyinde şeffaflık asgaridir; ISO 42001’in şeffaflık kontrolleri (Ek A.8) bunun sistematiğini kurar.
Otomatik karar alma ve itiraz hakkı
KVKK m.11(g): kişi, verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesiyle aleyhine bir sonuç doğmasına itiraz edebilir. AI ile işe alım elemesi, kredi skorlama, fiyatlama yapan her kuruluş için bu şu anlama gelir:
- Hangi kararların salt otomatik verildiğini bilin (envanter).
- İtiraz kanalı kurun ve itirazı insan değerlendirsin.
- İnsan gözetimini gerçek yapın — “onay butonuna basan operatör” değil, kararı değiştirebilecek yetkide gözetim. EU AI Act yüksek riskli sistemlerde aynı şartı arar; iki mevzuat tek mekanizmayla karşılanır.
Veri envanteri + AI envanteri: tek harita
KVKK için tuttuğunuz veri envanteri ile AI sistem envanteri aynı gerçekliğin iki görünümüdür:
| Veri envanteri sorar | AI envanteri sorar |
|---|---|
| Hangi veri, hangi amaçla? | Hangi sistem, hangi veriyle? |
| Hukuki dayanak ne? | Karar üzerindeki rol ne? |
| Kimlere aktarılıyor? | Üçüncü taraf model/API var mı? |
| Saklama süresi? | Yaşam döngüsü durumu? |
İkisini çapraz referanslı tutun: AI envanterindeki her kişisel veri işleyen satır, veri envanterinde bir işleme faaliyetiyle eşleşmeli. Bu eşleşme hem VERBİS güncellemelerini hem ISO 42001 denetimini kolaylaştırır.
Pratik uyum adımları
- AI envanterini çıkarın — gölge AI dâhil (rehber).
- KVKK eşleşmesini yapın — her AI sistemi için işleme şartı, aydınlatma, aktarım durumu.
- Onaylı araç politikası yayınlayın — hangi AI araçlarına hangi veri girilebilir.
- Otomatik kararları işaretleyin — itiraz kanalı + insan gözetimi tanımlayın.
- Yönetim sistemine bağlayın — bu adımların sürdürülebilir hâli ISO 42001 AIMS’idir; KVKK pratiğiniz kurulumu hızlandırır.
Mevcut durumunuzu görmek için ücretsiz gap analizini çözün; KVKK-AI kesişimini birlikte yapılandırmak için danışmanlık hizmetimize bakın veya teklif alın.