On-premise veya özel bulut model KVKK riskini sıfırlar mı?

Hayır. Veri işleme faaliyeti sizin adınıza yapılıyorsa sorumluluk çoğu zaman sizdedir; barındırma yeri ve erişim kontrolleri önemini korur. “Yerel” kurulum, aktarım riskini azaltabilir ancak hukuki çerçeveyi değiştirmez.

Müşteri verisini LLM’e göndermek yurt dışı aktarım mıdır?

Sağlayıcının sunucuları ve işleyen konumu yurt dışındaysa aktarım söz konusu olabilir; KVKK ve ilgili düzenlemeler çerçevesinde şartlar ve güvenceler değerlendirilmelidir. Bu konu satır aralığında bırakılamaz.

GEO ve içerik pazarlamasında dikkat edilecek husus?

Şeffaflık ve tutarlı terim kullanımı hem arama motorları hem yapay zekâ yanıtları için güven sinyalidir; abartılı iddialardan kaçının. İçerikte “AI ile üretildi” bilgisi kurumsal politikanıza uygun şekilde verilebilir.

Veri saklama süresi dolduğunda model çıktıları nasıl silinir?

İş kuralları ve teknik silme (ve yedeklerde yaşam döngüsü) birlikte tasarlanmalıdır; yalnızca uygulama veritabanını silmek yedekte kopya bırakabilir.

Bdigitalist bu süreçte ne sunar?

Keşif, güvenli mimari, veri akışı tasarımı ve modern web/AI ürünlerinde uyumla uyumlu teknik uygulama; entegrasyon ve otomasyon projelerinde veri minimizasyonu ile birlikte düşünülmüş teslimat.

01.04.2026 20:54:16Uzmanlık yazısı

Kurumsal AI Ve Kvkk: Veri Minimizasyonu Ve Uyum Çerçevesi

Kurumsal yapay zeka ve KVKK: kişisel veri envanteri, hukuki dayanak, üçüncü taraf LLM sözleşmeleri, prompt/log riskleri, çalışan verisi ve veri minimizasyonu. Uygulanabilir kontrol listesi ve aksiyon planı.

ÇözümKVKKkurumsal AIveri minimizasyonuLLM güvenliğiuyumBdigitalist

Hızlı Özet

Yapay zekâ projelerinde en kritik risk genellikle modelin doğruluğu değil, verinin nasıl işlendiği ve nasıl yönetildiğidir. Kişisel verinin gereksiz toplanması, amaç dışı kullanımı veya izlenemeyen paylaşımı; teknik hatalardan daha büyük hukuki ve itibar maliyeti yaratabilir. Bu yüzden KVKK uyumu, proje sonuna eklenen bir kontrol değil; ürün tasarımının en başında kurulması gereken bir karar çerçevesidir.

Bu rehber; veri minimizasyonu, hukuki dayanak seçimi (rıza / meşru menfaat / sözleşme ifası vb.), veri işleyen ilişkisi, teknik ve idari önlemleri ve sözleşme maddelerini bir çatı altında toplar. Tek cümleyle: AI’yi üretime almadan önce hangi kişisel verinin neden işlendiğini yazılı, ölçülebilir ve denetlenebilir hale getirin; teknik kontroller hukuki çerçeveyle uyumlu olsun.

Bu Yazıda Ne Kazanacaksınız?

• AI projelerinde hukuki dayanak ve veri kapsamını doğru belirlemeniz için sade bir karar çerçevesi

• Veri minimizasyonu, saklama-silme ve erişim kontrolünü teknik olarak uygulamanızı kolaylaştıran kontrol listesi

• Tedarikçi, sözleşme ve denetim izini birlikte yöneteceğiniz kurumsal uyum planı

Bu rehberin devamındaki bölümler, bu üç çıktıyı adım adım işletmeye nasıl uygulayacağınızı somut örneklerle gösterir.

Bu Rehber Kimler İçin?

• Bilgi güvenliği, uyum (compliance) ve veri sahipleri

• Ürün, mühendislik ve MLOps ekipleri (LLM entegrasyonu yapanlar)

• İnsan kaynakları, iç iletişim ve müşteri hizmetlerinde metin/özet AI kullanan ekipler

• Satın alma, hukuk ve vendor yönetimi ile sözleşme maddelerini netleştirmek isteyen yöneticiler

Kişisel Veri ve Kurumsal AI: Kapsamı Netleştirmek

E-posta içeriği, destek talebi metni, çalışan performans notu, müşteri adı veya telefon içeren serbest metin; çoğu zaman kişisel veri veya kişisel veri içeren kayıt sayılır. AI hattına giren her “ham” metin, önce veri envanteri ve amaç analizi olmadan işlenmemelidir. Aynı ürün içinde anonimleştirilmiş istatistik ile kimlik içeren destek kaydı aynı kuyruğa düşmemelidir; kanal veya etiketleme ayrımı (ör. ticketId ile kimliksiz özet) üretim öncesi tasarlanmalıdır.

Veri Minimizasyonu Nedir?

İş amacı için gerekenden fazla kişisel veriyi toplamamak, işlememek veya saklamaktır. Kurumsal AI bağlamında pratik karşılıkları şunlardır:

• Prompt’a gereksiz kimlik, TC, tam adres, sağlık veya finansal ayrıntı göndermemek; zorunluysa önce maskeleme veya alan bazlı redaksiyon.

• Özetleme veya sınıflandırma öncesi metni parçalayıp yalnızca iş için gerekli alanları modele vermek.

• Çıktıları ve ara halleri loglarda ham biçimde, süresiz ve geniş erişimle tutmamak; TTL ve erişim rolü tanımlamak.

• Eğitim, yeniden eğitim veya “kalite iyileştirme” için veri kullanımını varsayılan olarak açık bırakmamak; ayrı hukuki değerlendirme ve sözleşme şartı.

Hukuki Dayanak: Rıza, Meşru Menfaat ve Diğerleri

Her işleme için en az bir hukuki dayanak seçilmelidir; “her şey için rıza” sürdürülebilir değildir ve kullanıcıyı yanıltabilir. Açık rıza; belirli bir konuda, bilgilendirmeye dayalı ve özgür iradeyle verilmelidir. Bazı süreçlerde sözleşmenin kurulması veya ifası, meşru menfaat veya hukuki yükümlülük gibi dayanaklar söz konusu olabilir; hangi dayanağın hangi AI kullanımına uyduğu iş modeline göre değişir. Bu ayrımı hukuk danışmanı ile doğrulamak, hem iç politika hem de aydınlatma metinleri için zorunlu adımdır.

Veri Sorumlusu ve Veri İşleyen (LLM Sağlayıcısı)

Veri sorumlusu, işleme amaçlarını ve araçlarını belirleyen tüzel kişidir. Bulut LLM sağlayıcısı genelde veri işleyen konumundadır; ancak ürününüzde hangi verinin ne zaman gönderildiği sizin tasarımınızdadır. Sözleşmede netleştirilmesi gerekenler arasında: alt işlemci ilişkisi, verinin işlendiği bölge, alt yükleniciler, eğitim ve araştırma için kullanımın kapatılması, güvenlik önlemleri, ihlal bildirimi süreleri ve silme/yerine getirme taleplerine destek. “API kullanım şartları”ndaki genel cümleler, kurumsal risk değerlendirmesi için tek başına yeterli sayılmamalıdır.

Prompt, Çıktı ve Loglama Riskleri

Model çağrılarında prompt ve çıktı genelde üretim sorunlarını çözmek için kaydedilir; bu kayıtlar kişisel veri içeriyorsa ayrı bir işleme akışıdır. Riskler: yetkisiz erişim, çok uzun saklama, geliştiriciye açık ham loglar, yedeklerde unutulan kopyalar. Önlemler: kısa saklama süreleri, erişimde ayrıcalıklı hesap ve MFA, mümkünse içerik yerine özet veya hash, geliştirme ortamında üretim verisi yasağı.

Çalışan Verisi ve İç Süreçlerde AI

İK, eğitim veya iç iletişimde kullanılan AI araçlarında çalışan kişisel verisi işlenebilir. Açık rıza, meşru menfaat veya iş sözleşmesi kapsamı gibi dayanaklar birlikte değerlendirilmelidir; çalışan aydınlatması ve gerekirse politika güncellemeleri göz ardı edilmemelidir. Özel nitelikli kişisel veri içeren senaryolar (ör. sağlık, sendika üyeliği gibi konularda metin) için ekstra dikkat ve çoğu zaman açık rıza veya kanunda öngörülen şartlar söz konusu olabilir; bu alanlarda otomatik karar ve profilleme kuralları da ayrıca incelenmelidir.

Teknik ve İdari Önlemler

• Kimlik ve rol bazlı erişim; üretim ve test için ayrı anahtarlar; servis hesaplarında rotasyon.

• Prompt ve çıktı için saklama süreleri; otomatik silme işleri; gerekmiyorsa kayıt tutmama.

• Kritik işlemlerde insan onayı, politika motoru veya düşük güven skorunda durdurma.

• Veri ihlali için olay müdahale prosedürü; kayıtlı işleme envanteri ve DPIA benzeri ön değerlendirme (kurum politikasına göre).

• Tedarikçi değerlendirmesi: güven sertifikaları, denetim raporları ve sözleşme yenileme takvimi.

Kurumsal AI ve KVKK: Kontrol Tablosu

Konu	Soru	Örnek önlem
Amaç	Bu veri bu iş için şart mı?	Alan düzeyinde maskeleme; kanal ayrımı
Saklama	Ne kadar süre ve nerede?	TTL; bölgesel barındırma
Bilgilendirme	İlgili kişi neyi biliyor?	Aydınlatma ve çerez/ürün metinleri
Paylaşım	Veri işleyen kim?	DPA, alt işlemci listesi
Denetim	Kim neye erişti?	Yapılandırılmış audit log
İhlal	Olayda ne yapılacak?	72 saat perspektifinde bildirim süreci

Sözleşme ve Satın Alma İçin Kısa Kontrol Listesi

• Veri işleme amacı ve işlenen veri türleri ek’te veya tabloda listelenmiş mi?

• Model eğitimi ve “hizmet iyileştirme” için kullanım açıkça kapatılmış mı?

• Alt işlemciler ve veri aktarımı (yurt dışı dahil) yazılı mı?

• Silme ve düzeltme taleplerinde teknik destek tanımlı mı?

• SLA, güvenlik ve denetim hakları (audit) makul mü?

Ne Zaman Bu Yaklaşımı Seçmemeliyiz?

• Hukuki dayanak seçimi netleşmeden teknik uygulamaya geçiliyorsa.

• Prompt/log içerisinde hassas veri maskeleme kuralları belirlenmediyse.

• Sadece "on-prem olduğu için güvenli" varsayımıyla risk analizi atlandıysa.

İşletmeler İçin Aksiyon Planı

• Kişisel veri içeren tüm AI kullanım alanlarını (ürün, iç süreç, pilot) envanterleyin; veri akışını şema üzerinde çizin.

• Her alan için hukuki dayanak, saklama süresi ve erişim rollerini dokümante edin; rıza metinlerini “tek çözüm” olarak görmeden gözden geçirin.

• Üretim öncesi teknik inceleme: prompt sızıntısı, log içeriği, yedekler ve geliştirme ortamı kuralları.

• Çalışan ve müşteri aydınlatmalarını, sözleşme ve çerez politikalarını ürün davranışıyla uyumlu güncelleyin.

• Olay müdahale ve veri ihlali prosedürünü AI özelinde test edin (masa üstü tatbikat).

• Yıllık uyum gözden geçirmesi ve vendor yeniden değerlendirmesi takvimine sabitleyin.

İlgili rehberler

Konu rehberleri (özet çerçeve):

• Kurumsal veri, KVKK ve güvenlik

• AI otomasyon ve iş süreçleri

• Yapay Zeka Destekli Web Uygulaması: Mimari, Veri ve Güvenlik Rehberi

• İş Süreçlerinde AI Otomasyonu: Kurumsal Dönüşüm ve Ölçeklenebilir Uygulama Rehberi

• CRM, ERP ve API Entegrasyonu: Kurumsal Otomasyon Rehberi

• RPA, API Otomasyonu ve LLM: İş Süreçlerinde Hangi Yaklaşım Ne Zaman?

• AI Destekli Web Tasarımı: Dönüşüm Odaklı Kurumsal Site Mimarisi

• iPaaS Nedir? iPaaS mi Özel Entegrasyon mu: Kurumsal Seçim Rehberi

• Event-Driven Entegrasyon: Webhook, Mesaj Kuyruğu, Outbox ve Idempotency ile Güvenilir Kurumsal Mimari

• CRM Veri Kalitesi: Dedupe, Altın Kayıt ve Rapor Tutarlılığı Kurumsal Rehberi

• Kurumsal LLM Maliyet Yönetimi: Cache, Model Seçimi, Rate Limit ve Bütçe Rehberi

Sık Sorulan Sorular

Hayır. Bazı işlemler meşru menfaat veya sözleşmenin ifası kapsamında olabilir; rıza ile karıştırılmamalıdır. Hangi dayanağın hangi işleme için uygun olduğu somut senaryoda hukuk danışmanı ile doğrulanmalıdır.

Proje uyumu

Bunu güvenli şekilde hayata geçirmek ister misiniz?

Rehberi net kapsam, mimari ve üretime hazır teslimata dönüştürelim.

Dijital skorunuzu ölçün