01.04.2026 20:54:16Uzmanlık yazısı
Kurumsal AI Ve Kvkk: Veri Minimizasyonu Ve Uyum Çerçevesi
Kurumsal yapay zeka ve KVKK: kişisel veri envanteri, hukuki dayanak, üçüncü taraf LLM sözleşmeleri, prompt/log riskleri, çalışan verisi ve veri minimizasyonu. Uygulanabilir kontrol listesi ve aksiyon planı.
Hızlı Özet
Yapay zeka projelerinde hukuki ve itibar riski çoğu zaman “modelin hatası”ndan değil, yanlış verinin işlenmesinden, amaç dışı kullanımdan veya izlenebilir olmayan süreçlerden doğar. Operasyonel çerçeve için iş süreçlerinde AI otomasyonu ve veri güvenliği konu özeti ile birlikte düşünün. KVKK açısından veri sorumlusu; hangi kişisel veriyi hangi amaçla işlediğini, kimlerle paylaştığını ve ne kadar süre sakladığını gösterebilmelidir. Kurumsal LLM maliyet ve kota yönetimi de üretim planına dahil edilmelidir. Kurumsal LLM kullanımında ekstra dikkat gerektiren noktalar: prompt ve çıktının loglanması, üçüncü taraf bulut API’lerine veri gönderimi, çalışan ve müşteri verisinin aynı kanalda karışması ve “özel nitelikli” sayılabilecek verilerin metin içinde taşınmasıdır.
Bu rehber; veri minimizasyonu, hukuki dayanak seçimi (rıza / meşru menfaat / sözleşme ifası vb.), veri işleyen ilişkisi, teknik ve idari önlemleri ve sözleşme maddelerini bir çatı altında toplar. Tek cümleyle: AI’yi üretime almadan önce hangi kişisel verinin neden işlendiğini yazılı, ölçülebilir ve denetlenebilir hale getirin; teknik kontroller hukuki çerçeveyle uyumlu olsun.
Bu Rehber Kimler İçin?
• Bilgi güvenliği, uyum (compliance) ve veri sahipleri
• Ürün, mühendislik ve MLOps ekipleri (LLM entegrasyonu yapanlar)
• İnsan kaynakları, iç iletişim ve müşteri hizmetlerinde metin/özet AI kullanan ekipler
• Satın alma, hukuk ve vendor yönetimi ile sözleşme maddelerini netleştirmek isteyen yöneticiler
Kişisel Veri ve Kurumsal AI: Kapsamı Netleştirmek
E-posta içeriği, destek talebi metni, çalışan performans notu, müşteri adı veya telefon içeren serbest metin; çoğu zaman kişisel veri veya kişisel veri içeren kayıt sayılır. AI hattına giren her “ham” metin, önce veri envanteri ve amaç analizi olmadan işlenmemelidir. Aynı ürün içinde anonimleştirilmiş istatistik ile kimlik içeren destek kaydı aynı kuyruğa düşmemelidir; kanal veya etiketleme ayrımı (ör. ticketId ile kimliksiz özet) üretim öncesi tasarlanmalıdır.
Veri Minimizasyonu Nedir?
İş amacı için gerekenden fazla kişisel veriyi toplamamak, işlememek veya saklamaktır. Kurumsal AI bağlamında pratik karşılıkları şunlardır:
• Prompt’a gereksiz kimlik, TC, tam adres, sağlık veya finansal ayrıntı göndermemek; zorunluysa önce maskeleme veya alan bazlı redaksiyon.
• Özetleme veya sınıflandırma öncesi metni parçalayıp yalnızca iş için gerekli alanları modele vermek.
• Çıktıları ve ara halleri loglarda ham biçimde, süresiz ve geniş erişimle tutmamak; TTL ve erişim rolü tanımlamak.
• Eğitim, yeniden eğitim veya “kalite iyileştirme” için veri kullanımını varsayılan olarak açık bırakmamak; ayrı hukuki değerlendirme ve sözleşme şartı.
Hukuki Dayanak: Rıza, Meşru Menfaat ve Diğerleri
Her işleme için en az bir hukuki dayanak seçilmelidir; “her şey için rıza” sürdürülebilir değildir ve kullanıcıyı yanıltabilir. Açık rıza; belirli bir konuda, bilgilendirmeye dayalı ve özgür iradeyle verilmelidir. Bazı süreçlerde sözleşmenin kurulması veya ifası, meşru menfaat veya hukuki yükümlülük gibi dayanaklar söz konusu olabilir; hangi dayanağın hangi AI kullanımına uyduğu iş modeline göre değişir. Bu ayrımı hukuk danışmanı ile doğrulamak, hem iç politika hem de aydınlatma metinleri için zorunlu adımdır.
Veri Sorumlusu ve Veri İşleyen (LLM Sağlayıcısı)
Veri sorumlusu, işleme amaçlarını ve araçlarını belirleyen tüzel kişidir. Bulut LLM sağlayıcısı genelde veri işleyen konumundadır; ancak ürününüzde hangi verinin ne zaman gönderildiği sizin tasarımınızdadır. Sözleşmede netleştirilmesi gerekenler arasında: alt işlemci ilişkisi, verinin işlendiği bölge, alt yükleniciler, eğitim ve araştırma için kullanımın kapatılması, güvenlik önlemleri, ihlal bildirimi süreleri ve silme/yerine getirme taleplerine destek. “API kullanım şartları”ndaki genel cümleler, kurumsal risk değerlendirmesi için tek başına yeterli sayılmamalıdır.
Prompt, Çıktı ve Loglama Riskleri
Model çağrılarında prompt ve çıktı genelde üretim sorunlarını çözmek için kaydedilir; bu kayıtlar kişisel veri içeriyorsa ayrı bir işleme akışıdır. Riskler: yetkisiz erişim, çok uzun saklama, geliştiriciye açık ham loglar, yedeklerde unutulan kopyalar. Önlemler: kısa saklama süreleri, erişimde ayrıcalıklı hesap ve MFA, mümkünse içerik yerine özet veya hash, geliştirme ortamında üretim verisi yasağı.
Çalışan Verisi ve İç Süreçlerde AI
İK, eğitim veya iç iletişimde kullanılan AI araçlarında çalışan kişisel verisi işlenebilir. Açık rıza, meşru menfaat veya iş sözleşmesi kapsamı gibi dayanaklar birlikte değerlendirilmelidir; çalışan aydınlatması ve gerekirse politika güncellemeleri göz ardı edilmemelidir. Özel nitelikli kişisel veri içeren senaryolar (ör. sağlık, sendika üyeliği gibi konularda metin) için ekstra dikkat ve çoğu zaman açık rıza veya kanunda öngörülen şartlar söz konusu olabilir; bu alanlarda otomatik karar ve profilleme kuralları da ayrıca incelenmelidir.
Teknik ve İdari Önlemler
• Kimlik ve rol bazlı erişim; üretim ve test için ayrı anahtarlar; servis hesaplarında rotasyon.
• Prompt ve çıktı için saklama süreleri; otomatik silme işleri; gerekmiyorsa kayıt tutmama.
• Kritik işlemlerde insan onayı, politika motoru veya düşük güven skorunda durdurma.
• Veri ihlali için olay müdahale prosedürü; kayıtlı işleme envanteri ve DPIA benzeri ön değerlendirme (kurum politikasına göre).
• Tedarikçi değerlendirmesi: güven sertifikaları, denetim raporları ve sözleşme yenileme takvimi.
Kurumsal AI ve KVKK: Kontrol Tablosu
| Konu | Soru | Örnek önlem |
|---|---|---|
| Amaç | Bu veri bu iş için şart mı? | Alan düzeyinde maskeleme; kanal ayrımı |
| Saklama | Ne kadar süre ve nerede? | TTL; bölgesel barındırma |
| Bilgilendirme | İlgili kişi neyi biliyor? | Aydınlatma ve çerez/ürün metinleri |
| Paylaşım | Veri işleyen kim? | DPA, alt işlemci listesi |
| Denetim | Kim neye erişti? | Yapılandırılmış audit log |
| İhlal | Olayda ne yapılacak? | 72 saat perspektifinde bildirim süreci |
Sözleşme ve Satın Alma İçin Kısa Kontrol Listesi
• Veri işleme amacı ve işlenen veri türleri ek’te veya tabloda listelenmiş mi?
• Model eğitimi ve “hizmet iyileştirme” için kullanım açıkça kapatılmış mı?
• Alt işlemciler ve veri aktarımı (yurt dışı dahil) yazılı mı?
• Silme ve düzeltme taleplerinde teknik destek tanımlı mı?
• SLA, güvenlik ve denetim hakları (audit) makul mü?
İşletmeler İçin Aksiyon Planı
• Kişisel veri içeren tüm AI kullanım alanlarını (ürün, iç süreç, pilot) envanterleyin; veri akışını şema üzerinde çizin.
• Her alan için hukuki dayanak, saklama süresi ve erişim rollerini dokümante edin; rıza metinlerini “tek çözüm” olarak görmeden gözden geçirin.
• Üretim öncesi teknik inceleme: prompt sızıntısı, log içeriği, yedekler ve geliştirme ortamı kuralları.
• Çalışan ve müşteri aydınlatmalarını, sözleşme ve çerez politikalarını ürün davranışıyla uyumlu güncelleyin.
• Olay müdahale ve veri ihlali prosedürünü AI özelinde test edin (masa üstü tatbikat).
• Yıllık uyum gözden geçirmesi ve vendor yeniden değerlendirmesi takvimine sabitleyin.
İlgili rehberler
Konu rehberleri (özet çerçeve):
• Kurumsal veri, KVKK ve güvenlik
• AI otomasyon ve iş süreçleri
• Yapay Zeka Destekli Web Uygulaması: Mimari, Veri ve Güvenlik Rehberi
• İş Süreçlerinde AI Otomasyonu: Kurumsal Dönüşüm ve Ölçeklenebilir Uygulama Rehberi
• CRM, ERP ve API Entegrasyonu: Kurumsal Otomasyon Rehberi
• RPA, API Otomasyonu ve LLM: İş Süreçlerinde Hangi Yaklaşım Ne Zaman?
• AI Destekli Web Tasarımı: Dönüşüm Odaklı Kurumsal Site Mimarisi
• iPaaS Nedir? iPaaS mi Özel Entegrasyon mu: Kurumsal Seçim Rehberi
• CRM Veri Kalitesi: Dedupe, Altın Kayıt ve Rapor Tutarlılığı Kurumsal Rehberi
• Kurumsal LLM Maliyet Yönetimi: Cache, Model Seçimi, Rate Limit ve Bütçe Rehberi
Sık Sorulan Sorular
Soru: Açık rıza her zaman gerekli mi?
Cevap: Hayır. Bazı işlemler meşru menfaat veya sözleşmenin ifası kapsamında olabilir; rıza ile karıştırılmamalıdır. Hangi dayanağın hangi işleme için uygun olduğu somut senaryoda hukuk danışmanı ile doğrulanmalıdır.
Soru: On-premise veya özel bulut model KVKK riskini sıfırlar mı?
Cevap: Hayır. Veri işleme faaliyeti sizin adınıza yapılıyorsa sorumluluk çoğu zaman sizdedir; barındırma yeri ve erişim kontrolleri önemini korur. “Yerel” kurulum, aktarım riskini azaltabilir ancak hukuki çerçeveyi değiştirmez.
Soru: Müşteri verisini LLM’e göndermek yurt dışı aktarım mıdır?
Cevap: Sağlayıcının sunucuları ve işleyen konumu yurt dışındaysa aktarım söz konusu olabilir; KVKK ve ilgili düzenlemeler çerçevesinde şartlar ve güvenceler değerlendirilmelidir. Bu konu satır aralığında bırakılamaz.
Soru: GEO ve içerik pazarlamasında dikkat edilecek husus?
Cevap: Şeffaflık ve tutarlı terim kullanımı hem arama motorları hem yapay zekâ yanıtları için güven sinyalidir; abartılı iddialardan kaçının. İçerikte “AI ile üretildi” bilgisi kurumsal politikanıza uygun şekilde verilebilir.
Soru: Veri saklama süresi dolduğunda model çıktıları nasıl silinir?
Cevap: İş kuralları ve teknik silme (ve yedeklerde yaşam döngüsü) birlikte tasarlanmalıdır; yalnızca uygulama veritabanını silmek yedekte kopya bırakabilir.
Soru: Bdigitalist bu süreçte ne sunar?
Cevap: Keşif, güvenli mimari, veri akışı tasarımı ve modern web/AI ürünlerinde uyumla uyumlu teknik uygulama; entegrasyon ve otomasyon projelerinde veri minimizasyonu ile birlikte düşünülmüş teslimat.
Proje uyumu
Bunu güvenli şekilde hayata geçirmek ister misiniz?
Rehberi net kapsam, mimari ve üretime hazır teslimata dönüştürelim.