Open menu
Yapay Zekâ Danışmanlığı

Yapay Zekâ
Danışmanlığı

İş verimliliğinizi artırmak ve rekabet avantajınızı güçlendirmek için geliştirdiğimiz özel yapay zekâ stratejileriyle, müşteri deneyimlerinizi dönüştürüyor ve operasyonlarınızı mükemmelleştiriyoruz. Kurumsal dil modellerini (LLM'ler) şirketinizin verileriyle eğiterek, yapay zekâ araçlarınızın iş hedeflerinizle tam uyumlu olmasını sağlıyoruz. Bu sayede, iş süreçlerinizi optimize ederken yenilikçi ve sürdürülebilir çözümler sunuyoruz.

Makine Öğrenimi Proje Danışmanlığı

Makine Öğrenimi
Proje Danışmanlığı

Makine öğrenimi proje danışmanlığımız ile projelerinize yeni bir boyut kazandırın. Fikir aşamasından nihai dağıtıma kadar her adımda sizinle birlikteyiz. Projelerinizi hayata geçirirken sağlam ve etkili modeller geliştiriyoruz. Bu yenilikçi çözümleri iş akışlarınıza entegre ederek, tedarikçilerinizle olan iletişimi güçlendiriyor ve iş sonuçlarınızı ölçülebilir şekilde iyileştiriyoruz. İnovasyonun kapılarını aralayarak, iş dünyasında iz bırakmanızı sağlıyoruz.

Veri Yönetişim Hizmetleri

Veri Yönetişim
Hizmetleri

Verinin gücünü etkin bir şekilde yönetmek, iş dünyasında fark yaratmanın anahtarıdır. Veri kalitesini ve güvenliğini en üst düzeyde tutarak, KVKK ve GDPR gibi önemli düzenlemelere uyum sağlamanızı kolaylaştırıyoruz. Dayanıklı veri altyapıları oluşturuyor ve veriye dayalı, bilinçli kararlar almanızı mümkün kılıyoruz.

Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler

12 Ağustos 2025

    Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler

    Yapay zekâ sistemleri, son yıllarda gösterdiği gelişmeyle yalnızca teknik bir dönüşüm değil; aynı zamanda bireyin temel hak ve özgürlükleri, özellikle de kişisel verilerin korunması hakkı açısından yeni tartışma alanları yaratmaktadır. Özellikle otomatik karar verme, profilleme, önyargı üretimi gibi senaryolarda, kişisel veri işleme faaliyetleri sistemsel hale gelmiş ve bu alanda düzenleyici çerçeve ihtiyacı kaçınılmaz olmuştur.

    Kişisel Verileri Koruma Kurumu tarafından Nisan 2025’te yayımlanan “Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” başlıklı rehber, bu ihtiyaca yönelik kapsamlı bir çerçeve sunmaktadır. Rehber; geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılara özel sorumluluk alanları tanımlayarak, yapay zekâ sistemlerinin 6698 sayılı Kanun’a ve ilgili mevzuata uygun şekilde geliştirilmesini ve uygulanmasını hedeflemektedir.

    Bu yazıda, söz konusu rehber ışığında, kişisel verilerin korunmasına dair yapay zekâ sistemlerinde dikkate alınması gereken ilkeler, yükümlülükler ve uygulama önerileri yeniden ele alınmakta ve ilgili tüm aktörler için yol gösterici bir bakış açısı sunulmaktadır.

    1. Temel Veri Koruma İlkeleri ve Genel Tavsiyeler

    Rehberde yapay zekâ sistemlerinin geliştirilmesi ve uygulanması süreçlerinde, kişisel verilerin işlenmesine yönelik tüm faaliyetlerin; insan haklarına, veri güvenliğine ve şeffaflığa dayalı bir çerçeve ile yürütülmesi gerekliliği vurgulanmaktadır. Rehberde yer verilen başlıca ilkeler aşağıdaki şekildedir:

    1. Hukuka Uygunluk ve Dürüstlük
      • Kişisel veri işleme faaliyetleri, 6698 sayılı Kanun’a ve ilgili ikincil düzenlemelere uygun biçimde yürütülmelidir.
      • Veri işleme sürecinin amacı, kapsamı ve yöntemi açıkça belirlenmeli; bu faaliyetler dürüstlük kuralları ile bağdaşmalıdır.
    2. Şeffaflık ve Hesap Verebilirlik
      • Veri işleme sürecine dâhil olan tüm taraflar; bireylerin kişisel verilerinin ne şekilde toplandığı, işlendiği ve hangi sonuçlara yol açtığı konusunda şüpheye mahal vermeyecek şekilde açık ve anlaşılır bilgilendirme yapmalıdır.
      • Projenin başından itibaren bir veri koruma uyum programı oluşturulmalı, bu program dokümante edilerek gerektiğinde yetkili otoritelerle paylaşılabilir olmalıdır.
    3. Veri Koruma Tasarımı (Privacy by Design)
      • Kişisel verilerin işlenmesini içeren tüm sistemler, tasarım aşamasından itibaren veri koruma ilkelerine göre yapılandırılmalı ve bu yaklaşım sistemin yaşam döngüsü boyunca korunmalıdır.
      • Geliştirilecek sistemlerde, mümkünse kişisel veri işlenmesine gerek kalmadan hedefe ulaşılmalı; aksi durumda veriler anonimleştirilerek işlenmelidir.
    4. Ölçülülük ve Veri Minimizasyonu
      • İşlenen veriler, belirli, açık ve meşru amaçlarla sınırlı olmalı; gereğinden fazla veri toplanmamalıdır.
      • Verinin kaynağı, kalitesi, doğruluğu ve güncelliği düzenli olarak kontrol edilmelidir. Güncel olmayan veya doğru olmayan verilerle ilgili hem bu durumun tespitinin sağlanması hem de imha süreçlerinin yönetilmesi için prosedürler oluşturulmalıdır.
    5. Risk Tabanlı Yaklaşım ve Mahremiyet Etki Değerlendirmesi
      • Veri işleme faaliyetlerinin bireyler ve toplum üzerindeki potansiyel etkileri, risk temelli bir yaklaşımla analiz edilmelidir.
      • Yapay zekâ sistemlerinin kişisel veriler üzerindeki etkileri bağlamında risk temelli bir yaklaşım benimsenmelidir. Bu kapsamda yüksek risk içeren projelerde “Mahremiyet Etki Değerlendirmesi (PIA)” yapılmalı ve sonuçları karar süreçlerine entegre edilmelidir. PIA, veri işleme faaliyetinin bireyler üzerindeki etkilerini sistematik olarak analiz ederek veri koruma risklerinin azaltılmasını sağlar.
    6. Özel Nitelikli Verilerde Yüksek Duyarlılık
      • Sağlık, biyometrik, genetik veya benzeri özel nitelikli kişisel veriler işleniyorsa; bu durumda teknik ve idari tedbirlerin kapsamı artırılmalı, risk seviyesi daha titizlikle değerlendirilmelidir.
      • Gerekli durumlarda ve işlenen verinin hassasiyetine göre özel izin ve denetim süreçleri tanımlanmalıdır.
    7. Taraflar Arası Sorumluluk Ayrımı
      • Bir projede yer alan paydaşların (geliştirici, servis sağlayıcı, işveren vb.) veri sorumlusu veya veri işleyen olarak rolü proje başlangıcında açıkça belirlenmelidir.
      • Bu ayrım; aydınlatma yükümlülüğü, açık rıza alma, veri güvenliği ve başvuru yönetimi gibi süreçlerin sorumluluğunu doğru biçimde dağıtmak açısından kritik öneme sahiptir.

    2. Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler

    Yapay zekâ sistemlerinin geliştirilmesinden dağıtımına, kullanıma sunulmasından güncellenmesine kadar geçen tüm süreçlerde görev alan geliştiriciler, üreticiler ve servis sağlayıcılar; kişisel verilerin korunması bakımından doğrudan sorumluluk taşımaktadır. Rehberde, bu kişilerin yükümlülüklerine ilişkin de birtakım tavsiye ve öneriler belirtilmiştir:

    1. Tasarımdan Başlayan Uyum
      • Yapay zekâ sistemleri, veri mahremiyetini merkeze alan bir anlayışla ve “gizliliği tasarımda gözet (privacy by design)” ilkesi doğrultusunda tasarlanmalıdır.
      • Kullanılan algoritmaların yalnızca teknik verimlilik değil; aynı zamanda etik, sosyal ve insan hakları temelli etkileri de dikkate alınmalıdır.
      • Örneğin, yapay zekâ temelli sağlık ve egzersiz öneri sistemlerinde lokal işlemeyi tercih ederek verilerin merkez sunuculara gitmesinin önlenmesi yahut veri mimarisinin tasarım aşamasında anonimleştirme yöntemlerinin tercih edilmesi gibi.
    2. Önyargı, Ayrımcılık ve Bağlamdan Kopma Riski
      • Algoritmaların bireyler üzerinde öngörülemeyen etkiler yaratmaması için bağlam dışı kullanım riskleri değerlendirilmelidir.
      • Geliştirme sürecinde; toplumsal cinsiyet, etnik köken, yaş gibi değişkenlerde ayrımcılık yaratabilecek örüntüler önceden tespit edilmeli ve engellenmelidir.
      • Bu süreçte akademik kurumlar ve bağımsız uzmanlar ile iş birliği yapılması, özellikle şeffaflığın sınırlı olduğu uygulamalarda tavsiye edilmektedir.
      • Özellikle profilleme faaliyetlerinde otomatik ayrımcılık riski yüksek olduğundan ayrımcı örüntülerin bulunmamasına dikkat edilmelidir.
    3. Veri Kalitesi ve Asgari Veri İlkesi
      • Yapay zekâ sistemlerinde kullanılan verilerin niteliği, kaynağı, güncelliği ve doğruluğu düzenli olarak kontrol edilmeli; gereksiz ve aşırı veri kullanımından kaçınılmalıdır.
      • “Az veri ile yüksek performans” ilkesine uygun modelleme tercih edilmelidir. Verilerin doğruluk oranı, güncellik ve yeniden kullanım senaryoları düzenli olarak sorgulanmalı, veri işleme nedeni ortadan kalktığında veriler imha edilmelidir.
    4. Bireysel Kontrol ve Müdahale Hakkı
      • Kullanıcılara, kendi verilerinin işlenmesine ilişkin olarak:
        • İşlemenin gerekçesi,
        • Kullanılan yöntemler,
        • Muhtemel sonuçlar hakkında açık bilgi verilmelidir.
      • İtiraz hakkı, veri silme veya anonimleştirme imkânı, veri işlemeyi durdurma hakkı sistem tasarımına entegre edilmelidir.
    5. Hesap Verebilirlik ve Yaşam Döngüsü İzleme
      • Ürün ve hizmetlerin tasarımından başlayarak, yaşam döngüsü boyunca kişisel verilerin korunmasına ilişkin hesap verebilirlik ilkesini destekleyen mekanizmalar oluşturulmalıdır.
      • Sistemlerin performansı kadar veri koruma etkisi de düzenli aralıklarla değerlendirilmelidir. Örneğin AB kurumları kendi kullandıkları yapay zekâ sistemleri için “AI Register” adında denetlenebilir, şeffaflık içeren bir platform oluşturulmuştur.
    6. Alternatif ve Güvenli Tasarım Seçenekleri
      • Mümkün olan her durumda kişilik haklarına daha az müdahale eden alternatif çözümler sunulmalı ve kullanıcıların seçim hakkı güvence altına alınmalıdır.
      • Kullanıcıyı işlemeye zorlayan uygulama mimarilerinden kaçınılmalı; tercih esaslı yapılandırmalar önerilmelidir. Kullanıcılara sistem önerilerine güvenmeme hakkı tanınmalıdır.
      • Geliştiricilerin en az veri ile en yüksek etki prensibini gözeterek “design choice matrix” oluşturması tavsiye edilmektedir.

    3. Karar Alıcılar İçin Tavsiyeler

    Yapay zekâ sistemlerinin kurum içinde kullanımı veya entegre edilmesi yönünde karar alan yöneticiler, kamu otoriteleri veya özel sektör üst düzey temsilcileri; kişisel verilerin korunmasına ilişkin sorumluluğu yalnızca teknik ekiplere bırakamaz. KVKK'nın 2025 tarihli rehberine göre, bu gruba özel aşağıdaki ilkeler geçerlidir:

    1. Hesap Verebilirlik ve Uygulama Matrisleri
      • Kişisel verilerin işlendiği her süreçte hesap verebilirlik ilkesi gözetilmeli; proje boyunca bu ilkenin takibi için izlenebilir yapı kurulmalıdır.
      • Her sektör ve uygulama özelinde veri işleme risklerini tanımlayan uygulama matrisleri oluşturulmalı; bu sayede farklı donanım ve yazılımlar için karşılaştırmalı analiz yapılabilmelidir.
    2. Sertifikasyon ve Davranış Kuralları
      • Yapay zekâ sistemlerinde kişisel veri işlenmesine ilişkin süreçlerde; davranış kuralları, etik politikalar ve mümkünse sertifikasyon mekanizmaları geliştirilmelidir.
      • Bu kurallar sadece iç süreçleri değil, iş ortaklarını da kapsamalıdır.
    3. İnsan Müdahalesinin Sağlanması
      • Karar alma süreçlerinde insan müdahalesinin sağlanması zorunlu tutulmalıdır. Tamamen otomatikleştirilmiş kararların birey üzerindeki etkisi yüksekse, insan gözetimi ve gerekirse müdahale edebilme imkânı sağlanmalıdır.
      • Bireylerin, yapay zekâ sistemleri tarafından üretilen sonuçlara güvenmeme özgürlüğü korunmalı, alternatif kanallar sunulmalıdır.
    4. Denetim Otoriteleriyle İş Birliği
      • Yapay zekâ uygulamalarının bireylerin haklarını önemli ölçüde etkileyebileceği durumlarda, ilgili denetim otoritelerine başvurulması gerekmektedir.
      • Tüketici hakları, ayrımcılıkla mücadele, rekabet hukuku gibi alanlarda yetkili kurumlarla çapraz iş birliği teşvik edilmelidir.
    5. Sosyal Etki, Eğitim ve Katılım
      • Yapay zekânın etik, sosyolojik ve psikolojik etkilerini değerlendirmeye yönelik uygulamalı araştırmalar desteklenmeli; birey ve grupların karar mekanizmalarındaki rolü şeffaf biçimde tanımlanmalıdır.
      • Kurum içinde çalışanların ve hizmet kullanıcılarının bu teknolojileri anlamalarını sağlamak adına dijital okuryazarlık programları teşvik edilmelidir.
    6. Açık ve Güvenli Ekosistem Oluşturma
      • Verilerin güvenli, adil, yasal ve etik paylaşımını destekleyen, tercihen açık kaynak temelli dijital altyapılar geliştirilmelidir.
      • Bu tür yapılar hem iç denetimi kolaylaştırır hem de paydaşlar arası güveni artırır.

    4. Sonuç ve Değerlendirme

    Yapay zekâ sistemlerinin bireylerin özel hayatına ve kişisel verilerine doğrudan etki eden yapılar hâline gelmesi, bu sistemlerin yalnızca teknik değil, aynı zamanda hukuki, etik ve yönetişimsel açıdan da değerlendirilmesini zorunlu kılmıştır. Kişisel Verileri Koruma Kurumu tarafından Nisan 2025’te yayımlanan rehber, bu çerçevede önemli ve yapıcı bir başlangıç noktası sunmaktadır. Özellikle geliştiriciler, üreticiler, karar vericiler ve hizmet sağlayıcılar bakımından ayrı ayrı sorumluluk alanlarının tanımlanmış olması, Türkiye uygulaması açısından bir ilk niteliği taşımaktadır.

    Her ne kadar rehber; otomatik karar alma, açıklanabilirlik, insan müdahalesi gibi başlıklara doğrudan bağlayıcı düzenlemeler getirmemiş olsa da Kurul’un önceki kararlarında ve uygulama pratiğinde Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Avrupa Veri Koruma Kurulu (EDPB) rehberlerine açıkça referans verildiği gözetildiğinde, bu alanlardaki uygulama örneklerinin Türk veri koruma rejimi açısından da yol gösterici olacağı açıktır.

    Özellikle:

    • Profil oluşturma (profiling) süreçlerinin etkileri,
    • Tamamen otomatik karar verme sistemlerine bireyin tabi tutulması riski,
    • Veri koruma etki değerlendirmesi (PIA/DPIA) gibi mekanizmaların hukuki ve kurumsal karar süreçlerine entegrasyonu,
    • Ve açıklanabilirlik, hesap verebilirlik, insan müdahalesi hakkı gibi GDPR’da açıkça düzenlenmiş ilkelerin, KVKK uygulamasında da içtihat yoluyla şekilleneceği öngörülebilir bir gelişmedir

    Bu nedenle, yapay zekâ kullanan veya entegre eden tüm özel ve kamu kurumlarının yalnızca mevcut Türk mevzuatıyla sınırlı kalmaksızın, GDPR standartlarını da dikkate alan bir veri koruma uyum yaklaşımını benimsemeleri, gelecekteki denetim süreçlerine hazırlıklı olmaları açısından önemlidir.

    Bu bağlamda, yapay zekâ kullanan veya entegre eden tüm özel ve kamu kurumlarının yalnızca mevcut Türk mevzuatıyla sınırlı kalmaksızın, GDPR standartlarını da dikkate alan bir veri koruma uyum yaklaşımını benimsemeleri, gelecekteki denetim süreçlerine hazırlıklı olmaları açısından önemlidir:

    • Geliştirdiğimiz veya kullandığımız yapay zekâ sistemleri, hangi kişisel verileri neden ve ne kadar süreyle işler?
    • Sistem kararlarının arkasındaki mantığı kullanıcıya açıklayabiliyor muyuz?
    • Kullanıcı, bu sistemin sonuçlarına karşı ne ölçüde kontrol sahibidir?
    • Sistem tarafından alınan kararlar, birey açısından hangi sonuçları doğurmakta; bu sonuçlara insan müdahalesi mümkün müdür?
    • Algoritmanın işleyiş mantığını açıklayabiliyor muyuz? Bu konuda ilgili kişiye açık ve anlaşılır bilgi sunabiliyor muyuz?
    • Kişisel veriler açısından sistemin önyargı üretme, ayrımcılık yaratma veya hakkaniyetten sapma riski nedir?
    • Bu sistemi, veri minimizasyonu ve alternatif yöntemlerle yeniden tasarlayabilir miyiz?

    Bu sorulara verilecek yanıtlar, yalnızca yasal uyumun değil; aynı zamanda güven temelli bir dijital dönüşümün de temelini oluşturacaktır. İlgili rehbere buradan ulaşabilirsiniz.

    Yapay Zekâ Sistemlerinde Kişisel Verilerin Korunması – 2025 Rehberi Işığında 8 Temel İlke

    İlke Uygulayıcılar İçin Ne Anlama Geliyor?
    1. Tasarımdan Başlayan Uyum Sistemi daha kod yazılmadan önce veri koruma ilkeleriyle uyumlu olacak şekilde planlayın.
    2. Şeffaflık ve Hesap Verebilirlik Kullanıcıya neyi, neden, nasıl yaptığınızı anlaşılır biçimde anlatın; süreçleri belgelendirin.
    3. Veri Minimizasyonu Daha az veriyle daha çok iş üretin. Gereksiz veri toplamaktan kaçının.
    4. Risk Tabanlı Yaklaşım Otomatik kararlar, önyargı üretme ve ayrımcılık risklerini değerlendirin. Gerekiyorsa mahremiyet etki analizi (PIA) yapın.
    5. Kullanıcıya Müdahale Hakkı Kullanıcı verisinin işlenmesine rıza göstermeme, verisini sildirme veya sistem çıktısına itiraz etme hakkı tanıyın.
    6. İnsan Müdahalesi ve Alternatifler Tam otomasyon yerine, gerektiğinde müdahale edilebilir hibrit modeller tasarlayın.
    7. Paydaşlar Arası Sorumluluk Dağılımı Veri sorumlusu ve veri işleyeni açıkça ayırın. Hukuki yükümlülükleri doğru taraflara atayın.
    8. Eğitim ve Farkındalık Hem geliştiricileri hem yöneticileri veri mahremiyeti konusunda eğitin. Dijital okuryazarlığı artırın.

    Bu ilkeler hem teknik hem de organizasyonel düzeyde güçlü bir veri koruma kültürü oluşturmak için temel alınmalıdır.

    Bu yazı, aşağıdaki resmî belgeye dayalı olarak hazırlanmıştır:

    KVKK Yayınları No: 76 – Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler, Nisan 2025

    Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

    CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

    Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

    CottGroup® üye şirketlerine ulaşmak için tıklayınız.

    • /en/ai/item/recommendations-on-the-protection-of-personal-data-in-the-field-of-artificial-intelligence

    Diğer Makaleler

    Başlayalım
    Hizmet ihtiyaçlarınız için teklif alın.

    Daha fazla bilgi
    almak ister misiniz?