Kişisel Verileri Koruma Kurumu’ndan İş Yerlerinde Üretken Yapay Zekâ Kullanımına İlişkin Rehber

Kişisel Verileri Koruma Kurumu, 5 Mart 2026 tarihinde yayımladığı “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlıklı rehber ile, kamuya açık ve üçüncü taraflarca sunulan üretken yapay zekâ araçlarının iş yerlerinde kullanımına ilişkin risk alanlarına dikkat çekmiş ve bu araçların kullanımına dair genel bir uyum çerçevesi ortaya koymuştur.

Rehber, üretken yapay zekâ araçlarının çalışanlar tarafından içerik üretimi, araştırma, özetleme ve benzeri amaçlarla günlük iş akışlarının bir parçası olarak giderek daha yaygın kullanıldığını kabul etmektedir. Bu çerçevede Kurum, mutlak bir yasak yaklaşımını benimsememekte; aksine, bu tür bir yaklaşımın söz konusu kullanımı kurumsal görünürlük ve denetimin daha da dışına itebileceğine işaret etmektedir. Bunun yerine rehber, şirketlerin başta gizlilik, kişisel verilerin korunması, siber güvenlik ve fikri mülkiyet olmak üzere çeşitli riskleri yönetebilecekleri kontrollü bir kullanım çerçevesi oluşturmasını teşvik etmektedir.

Temel risk alanı: “Gölge Yapay Zekâ”

Rehberde öne çıkan kavramlardan biri “gölge yapay zekâ”dır. Kurum, bu kavramı, çalışanların üretken yapay zekâ araçlarını işverenin bilgisi, onayı veya gözetimi olmaksızın, kendi inisiyatifleriyle kullanmaları olarak tanımlamaktadır. Kurum’a göre asıl sorun, yapay zekâ araçlarının iş yerinde kullanılması değil; bu kullanımın kurumsal politika, yönetişim ve denetim mekanizmalarının dışında gerçekleşmesidir.

Bu yaklaşım önemlidir. Zira rehber, çalışanların bu araçlara yönelmesinin çoğu zaman verimlilik artışı, zaman kazanımı ve iş süreçlerinin kolaylaştırılması gibi pratik gerekçelere dayandığını kabul etmektedir. Bu nedenle Kurum, mutlak bir yasağı savunmak yerine, açık iç kurallar ve farkındalık temelinde şekillenen bir yönlendirme modelini tercih etmektedir.

Kurumun dikkat çektiği başlıca riskler

Kurum, hangi yapay zekâ araçlarının kullanıldığı ve bu araçlar aracılığıyla hangi verilerin paylaşıldığı konusunda yeterli görünürlük bulunmaması hâlinde, şirketlerin hem mevzuata uyumu sağlamasının hem de bir ihlal durumunda zamanında müdahale etmesinin güçleşeceğini vurgulamaktadır. Rehberde öne çıkan başlıca risk alanları şu şekilde özetlenebilir:

• Denetlenebilirlik ve hesap verebilirlik riskleri: Yapay zekâ araçlarının kullanımı ile bu araçlar aracılığıyla üretilen çıktılara ilişkin kayıt, izleme veya denetim mekanizmalarının bulunmaması, belirli bir sonucun nasıl ortaya çıktığının sonradan tespit edilmesini zorlaştırabilir. Bu durum, olay müdahalesi süreçlerini ve uyumun ortaya konulmasını güçleştirebilir.

• Doğruluk ve karar kalitesi riskleri: İç denetim ve doğrulama süreçlerinden geçirilmeden kullanılan yapay zekâ çıktıları hatalı, yanıltıcı veya tutarsız olabilir. Bu da şirketin kalite standartları, karar süreçleri ve etik ilkeleri bakımından olumsuz sonuçlar doğurabilir.

• Fikri mülkiyet ve ticari sır riskleri: Kaynak kodlarının, ürün tasarımlarının, iş stratejilerinin, ticari sırların veya ticari açıdan hassas diğer bilgilerin harici yapay zekâ araçlarıyla paylaşılması, bu bilgiler üzerindeki kurumsal kontrolü zayıflatabilir ve yetkisiz erişim riskini artırabilir.

• İtibar riskleri: Yapay zekâ çıktıları üzerindeki yetersiz kontrol, hatalı veya düşük kaliteli içerik kullanımına yol açabilir. Bu tür içeriklerin iç veya dış iletişim süreçlerine yansıması ise şirketin itibarı ve paydaş güveni üzerinde olumsuz etki yaratabilir.

• Bilgi güvenliği ve siber güvenlik riskleri: Kurumsal kontrol dışında kullanılan yapay zekâ araçları; kişisel cihazlar, güvensiz API’ler veya yönetilmeyen entegrasyonlar aracılığıyla şirketin saldırı yüzeyini genişletebilir. Bu da yetkisiz erişim, veri kaybı, zararlı yazılım ve benzeri siber güvenlik risklerini artırabilir.

• Kişisel verilerin korunmasına ilişkin riskler: Kişisel verilerin bu araçlar aracılığıyla kontrolsüz şekilde paylaşılması, veri ihlali, hukuka aykırı işleme ve yetkisiz erişim risklerini beraberinde getirebilir. Rehber ayrıca, prompt’lar aracılığıyla paylaşılan kişisel verilerin ve kurumsal açıdan hassas bilgilerin üçüncü kişiler bakımından erişilebilir hâle gelmesi riskine özellikle dikkat çekmektedir. Kurum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun teknolojiden bağımsız olarak kişisel verilerin işlendiği her durumda geçerli olan genel bir hukuki çerçeve ortaya koymakta olduğu hatırlatarak, yapay zekâ araçları üzerinden yürütülen veri işleme faaliyetlerinin de bu çerçevede değerlendirilmesi gerektiğini vurgulamaktadır.

Kurum şirketlerden ne bekliyor

Rehberin genel yaklaşımı, şirketleri yasakçı bir modelden ziyade kontrollü ve hesap verebilir bir kullanım modeline yönlendirmektedir. Kurum’a göre doğru yaklaşım, üretken yapay zekâ araçlarını iş süreçlerinden tamamen çıkarmak değil; hangi araçların, hangi amaçlarla ve hangi koşullar altında kullanılabileceğini, bu araçlara hangi tür bilgilerin girilebileceğini ve elde edilen çıktılara nasıl yaklaşılması gerektiğini açıkça belirleyen bir iç çerçeve oluşturmaktır.

Bu kapsamda insan denetimi merkezi önemini korumaktadır. Rehberin ortaya koyduğu yaklaşım, kurumsal sorumluluğun yapay zekâ araçlarına devredilemeyeceği; hem bu araçlarla paylaşılan bilgiler hem de bu araçlar tarafından üretilen çıktılar üzerinde anlamlı insan muhakemesinin korunması gerektiği yönündedir.

Her ne kadar rehber bağlayıcı bir düzenleme niteliği taşımıyor olsa da, Kurum’un beklentisini açık biçimde ortaya koymaktadır: Şirketlerin, iç kurallar, veri koruma tedbirleri, gizlilik önlemleri ve çalışan farkındalığı ile desteklenen; görünür, politika temelli ve risk odaklı bir yönetişim yapısı kurmaları beklenmektedir.

Yazar

Ömer Faruk Çıkın