Verimlilik mi, Veri Güvenliği mi? KVKK Bakımından İş Yerlerinde Yapay Zekâ Denklemi

March 11, 2026 , Yazarları: Seda Yılmaz, Bengisu Uğraş Makaleler


Kişisel Verileri Koruma Kurumu ("Kurum"), 05.03.2026 tarihinde yayınladığı "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlıklı doküman (“Rehber”) ile üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen üretken yapay zekâ araçlarının iş yerlerinde kullanımına ilişkin olası veri koruma risklerine dikkat çekmeyi ve kurumlar nezdinde bilinçli kullanım konusunda farkındalık oluşturmayı amaçlamıştır.

1.      İş Yerlerinde Yapay Zekâ Kullanımı: Neden Kurumsal Farkındalık Artık Bir Zorunluluk?

Dijital dönüşümün hız kazandığı günümüzde, üretken yapay zekâ teknolojileri kurumsal iş akışlarının ayrılmaz bir parçası hâline gelmeye başlamıştır. Çalışanların metin oluşturma, belge özetleme, çeviri, kodlama desteği ve araştırma gibi pek çok farklı amaçla bu araçlara başvurması, iş dünyasında yeni bir dönemin kapılarını aralamaktadır. Ne var ki bu hızlı benimseme süreci, beraberinde göz ardı edilemeyecek riskleri de getirmektedir. Kurum tarafından yayınlanan Rehber, tam da bu noktada kuruluşlara yol gösterici bir çerçeve sunmayı amaçlamaktadır.

2.      Gölge Yapay Zekâ: Görünmeyen Tehdit,

Rehber’in özellikle dikkat çektiği kavramlardan biri, "Gölge Yapay Zekâ" olgusudur. Bu kavram, çalışanların kurumun bilgisi veya denetimi dışında üretken yapay zekâ araçlarını iş süreçlerinde kullanmasını ifade etmektedir. Bilgi teknolojileri alanında uzun süredir bilinen "Gölge BT" kavramının bir uzantısı olarak değerlendirilebilecek bu olgu, yapay zekânın veri işleme kapasitesi ve karar süreçlerine doğrudan etki edebilme gücü nedeniyle çok daha geniş kapsamlı sonuçlar doğurabilmektedir.

Bir çalışanın toplantı notlarını, müşteri bilgilerini veya iç yazışmaları kamuya açık bir yapay zekâ aracına aktarması, ilk bakışta zararsız bir verimlilik adımı gibi görünebilir. Ancak bu eylem; kurumsal gizliliğin zedelenmesinden kişisel verilerin hukuka aykırı biçimde işlenmesine, fikri mülkiyet haklarının tehlikeye girmesinden siber güvenlik açıklarının oluşmasına kadar uzanan bir risk zincirine kapı aralayabilmektedir.

3.      Hangi Riskler Öne Çıkıyor?

Rehber, gölge yapay zekâ kullanımından kaynaklanan riskleri birden fazla boyutuyla ele almaktadır:

·         Kişisel verilerin korunması açısından en belirgin tehlike, çalışanların farkında olmaksızın kişisel veri niteliğindeki bilgileri üçüncü taraf platformlarla paylaşmasıdır. Bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamındaki yükümlülüklerin ihlal edilmesi sonucunu doğurabilmektedir. Girdi olarak sunulan verilerin model eğitim süreçlerinde kullanılma ihtimali ya da üretilen çıktılar aracılığıyla üçüncü kişilerce erişilebilir hâle gelmesi, bu riskin boyutunu daha da genişletmektedir. Bu kapsamda, yapay zekâ uygulamalarının kişisel verilerin korunması hukuku ile çelişkilerine ilişkin değerlendirmelerimize bu linkten ulaşabilirsiniz.

·         Bilgi güvenliği ve siber güvenlik perspektifinden bakıldığında, kurumsal denetim dışında kalan yapay zekâ araçları, yönetilmeyen uygulama programlama arayüzleri ve kişisel cihazlar üzerinden kuruluşların saldırı yüzeyini genişletebilmektedir. Yetkisiz erişim, veri sızıntısı ve zararlı yazılımlara maruz kalma gibi tehditler, bu bağlamda ciddiye alınması gereken unsurlardır.

·         Karar alma süreçlerinin kalitesi bakımından ise "otomasyon ön yargısı" olarak adlandırılan olgu ön plana çıkmaktadır. Yapay zekâ tarafından üretilen çıktıların biçimsel tutarlılığı ve ikna edici görünümü, kullanıcıları bu çıktıları yeterince sorgulamadan kabul etmeye yönlendirebilmektedir. Gerçeklikle örtüşmeyen ancak inandırıcı biçimde sunulan içerikler — yaygın adıyla "halüsinasyonlar" — hatalı bilgilerin kurumsal süreçlere sızmasına neden olabilmektedir.

·         Fikri mülkiyet ve ticari sırların korunması açısından ise kaynak kodların, ürün tasarımlarının, iş stratejilerinin veya rekabet avantajı sağlayan diğer gizli bilgilerin harici yapay zekâ platformlarıyla paylaşılması, bu bilgiler üzerindeki kurumsal kontrolün zayıflamasına ve telafisi güç kayıplara yol açabilmektedir.

4.      Yasaklamak Yerine Yönlendirmek

Üretken yapay zekâ araçlarının kullanımının tümüyle yasaklanmasına dayalı yaklaşımların gerçekçi sonuçlar doğurmaz. Yasaklayıcı politikalar, çalışanları bu araçlardan uzaklaştırmak yerine kullanımı kurumsal görünürlük alanının tamamen dışına itmekte ve gölge yapay zekâ olgusunu daha da derinleştirmektedir.

Bu nedenle doküman, yasaklama yerine yönlendirme, denge ve farkındalık temelli bir yaklaşımın benimsenmesini önermektedir. Bu yaklaşımın temel bileşenleri şu şekilde özetlenebilir:

·         Öncelikle, kuruluşların hangi yapay zekâ araçlarının hangi amaçlarla ve hangi koşullar altında kullanılabileceğini açıkça ortaya koyan kurumsal bir politika veya yönlendirme çerçevesi oluşturması gerekmektedir. Bu çerçeve; kullanılabilecek araçları, bu araçlara girdi olarak sunulabilecek bilgi türlerini, üretilen çıktıların değerlendirilme esaslarını ve veri güvenliğine ilişkin kuralları kapsayacak biçimde tasarlanmalıdır.

·         İkinci olarak, çalışanların yapay zekâ araçlarıyla etkileşim sırasında kişisel veriler ve kurumsal açıdan hassas bilgiler konusunda ihtiyatlı davranmaları sağlanmalıdır. Mümkün olduğunca anonimleştirilmiş, genelleştirilmiş ve soyut ifadelerin tercih edilmesi; belirli kişi adları, tarihler veya ayırt edici unsurlar yerine genel anlatımların kullanılması, bu ihtiyatın somut yansımalarıdır.

·         Üçüncü olarak, veri güvenliği ve erişim kontrolüne ilişkin teknik tedbirler değerlendirilmelidir. Yalnızca kuruluş tarafından onaylanmış araçlara erişim izni verilmesi, harici platformlara ağ düzeyinde sınırlama getirilmesi ve rol temelli erişim yaklaşımlarının benimsenmesi, kontrol dışı kullanımın azaltılmasında etkili adımlar olacaktır.

·         Son olarak, çalışan farkındalığının sürekli biçimde güçlendirilmesi gerekmektedir. Eğitim programları, bilgilendirme faaliyetleri ve geri bildirim mekanizmaları aracılığıyla çalışanların yapay zekâ çıktılarına eleştirel bir bakış açısıyla yaklaşmaları desteklenmeli ve kuruluş bünyesinde etik ve sorumlu kullanıma yönelik bir kültürün yerleşmesi sağlanmalıdır.

5.      Sonuç: Bilinçli Kullanım, Sürdürülebilir Fayda

Üretken yapay zekâ araçları, doğru yönetildiğinde kurumsal verimliliği önemli ölçüde artırma potansiyeline sahiptir. Ancak bu potansiyelin sürdürülebilir bir faydaya dönüşebilmesi, kullanımın bilinçli, kontrollü ve hukuki yükümlülüklerle uyumlu bir zeminde gerçekleşmesine bağlıdır. Rehber, kuruluşlara tam da bu dengeyi kurabilmeleri için kapsamlı bir yol haritası sunmaktadır. Yapay zekânın iş dünyasındaki varlığının giderek derinleşeceği önümüzdeki dönemde, bugünden atılacak kurumsal adımların belirleyici bir öneme sahip olacaktır.

Rehber’in tamamına bu link üzerinden erişebilirsiniz.