ETKEN YAPAY ZEKÂ SİSTEMLERİNDE MAHREMİYET: OLASI RİSKLER VE ÖNERİLER

1-  Giriş

Kişisel Verileri Koruma Kurumu (“Kurum”), yapay zekâ teknolojilerindeki niteliksel dönüşümleri ve otonomi artışını ve bu yeni teknolojileri kullanılırken bireylerin mahremiyetini korumak amacıyla yapılabilecekleri ele almak amacıyla 12 Mart 2026 tarihinde “Etken Yapay Zekâ (Agentic AI)” başlıklı bir belgeyi (“Belge”) kamuoyu ile paylaşmıştır. Belge, geleneksel yapay zekâ uygulamalarının ötesine geçerek hedefe yönelik, çok adımlı ve otonom süreçler yürütebilen sistemlerin işleyişini, beraberinde getirdiği riskleri ve alınabilecek tedbirleri değerlendirmektedir.

2-  Yeni Bir Kavramsal Çerçeve: Etken Yapay Zekâ ve YZ Aracıları

Belge’de, Etken YZ sistemleri, YZ aracıları ve Çoklu YZ Aracısı Sistemleri şeklinde üç temel kavram tarif edilmektedir. Belge’de bu kavramların kullanımı konusunda bazı belirsizlikler olsa da bu yeni teknolojilere kavramsal bir çerçeve çizilmesi ve genel ilkelerin ortaya konulması uygulama bakımından önemlidir.

Belge, Etken YZ sistemlerini; belirli hedeflere ulaşmak amacıyla farklı düzeylerde otonom biçimde davranabilen ve etkileşimde bulunabilen “YZ Aracıları’ndan (AI Agents) oluşan YZ sistemleri” olarak tarif etmektedir. "YZ Aracıları" (AI Agents) ise “çevresini algılayan, bu çevreye tepki veren ve belirlenen hedefler doğrultusunda eylemlerde bulunan otomatik bir etmen” olarak açıklanmakta ve bu teknolojilerin “Etken YZ sistemlerinin yazılımsal bir bileşeni” olmasına vurgu yapılmaktadır. Bu iki kavram arasındaki ilişki, "bir restoranın baş şefi ile mutfaktaki aşçılar" analojisiyle somutlaştırılmaktadır; YZ Aracıları belirli görevleri yürüten aşçılar iken, Etken YZ sistemi menüyü planlayan ve süreci koordine eden baş şef konumundadır.

Belge’de yer alan son kavram ise "Çoklu YZ Aracısı Sistemleri" (Multi-agent systems) olarak karşımıza çıkmaktadır. Çoklu YZ Aracısı Sistemleri, “ortak görev ve hedeflerin gerçekleştirilmesi amacıyla birden fazla YZ Aracısının görev paylaşımı ve eş güdümü çerçevesinde, etkileşim içerisinde faaliyet gösterdiği yapılar” olarak açıklanmaktadır.  

Belge, bu üç teknolojinin mevcut durumdaki kullanımına ilişkin örnekler verdikten sonra potansiyel riskleri ve kişisel verilerin korunması bakımından dikkate alınabilecek hususları Etken YZ sistemleri üzerinden irdelemektedir.   

3-  Geleneksel YZ Sistemlerinden Farklılaşan Noktalar

Etken YZ sistemleri bakımından ele alınan risklerin bir kısmı, genel olarak YZ sistemleri için öngörülen risklerle örtüşmekte ancak Etken YZ sistemlerinin doğası gereği, bu sistemlerin oluşturduğu risklerin özel olarak ele alınması gerekmektedir.

YZ sistemleri, ilk etapta “önceden tanımlı ve tekrarlayan nitelikteki belirli ve sınırlı görevleri yerine getirmek üzere tasarlanan yapılar” olarak ortaya çıksa da, zaman içerisinde YZ sistemlerinin daha karmaşık görevlerde ve daha geniş bağlamlarda kullanılmasına yönelik ihtiyaç doğmuştur. Bu nedenle zaman içerisinde belirli bir hedefe yönelik olarak farklı düzeylerde otonom işleyiş gösterebilen YZ sistemleri ortaya çıkmıştır. Belge’de Etken YZ sistemlerinin, geleneksel YZ sistemlerinden “görevleri ele alma biçimi” ve “karar alma süreçlerinin kurgulanması” konusunda farklılaştığı belirtilmektedir.

Bu kapsamda, Etken YZ sistemlerinin, belirli bir hedef için gerekli görevleri tanımlayabilme ve değişen koşullara göre bu görevleri değerlendirebilme ve çevreyle etkileşime geçebilme şeklinde kendini gösteren otonomisine özellikle vurgu yapılmaktadır. 

Etken YZ sistemlerinin doğası gereği hedef yönelimli, çok adımlı ve farklı düzeylerde otonom işleyişe sahip olması, geleneksel YZ sistemlerinin oluşturabileceği riskleri daha karmaşık hale getirmektedir.

4-  Etken YZ Sistemlerinin Potansiyel Riskleri

Belge, risklerin önemli bir bölümünün Etken YZ sistemlerinin sahip olduğu otonomi düzeyiyle yakından ilişkili olduğunu belirtmektedir. Zira, otonomi düzeyi arttıkça ilgili sistemler insan müdahalesi olmaksızın eylemleri başlatabilmekte ve kendi başına sürdürebilmektedir. Bu yönüyle Etken YZ sistemleri, önceden belirlenen hedefler çerçevesinde daha hızlı ve etkin kararlar alınmasına ve kısa sürede çok sayıda işlem ve eylem gerçekleştirilmesine imkân sağlamaktadır. Ancak bu durum, insan müdahalesinin de sınırlı olması nedeniyle ortaya çıkan etkilerin zamanında fark edilerek gerekli müdahalelerin yapılmasını zorlaştırmaktadır.

Etken YZ’nin hedefe odaklı ve çok adımlı işleyişine bağlı olarak, geleneksel YZ sistemleri bakımından sıkça tartışılan "kara kutu" (black box) problemi de daha karmaşık hale gelmektedir. Belge’de belirtildiği üzere sistemlerde hangi eylemlerin hangi sırayla gerçekleştirileceği, hangi araç veya işlevlerin hangi aşamada devreye alınacağı ve bu tercihler arasındaki ilişkiler, büyük ölçüde sistemin kendi iç değerlendirme ve planlama süreçleri çerçevesinde şekillenmekte ve bu da karar alma ve eylem süreçlerinin şeffaf bir şekilde açıklanmasını daha da zorlaştırmaktadır. 

Yukarıda açıklandığı şekilde şeffaflığın sağlanamadığı durumlarda hataların ve uyumsuzlukların zamanında fark edilmesi de zorlaşmakta ve bu şekilde fark edilmeyen hatalı sistem çıktılarının Etken YZ sistemi işleyişi içerisinde farklı YZ Aracıları tarafından kullanılması durumunda hatalı değerlendirmeler zincirleme bir şekilde yayılarak nihai çıktıyı olumsuz etkileyebilmektedir.

Benzer bir durum, ön yargı ve ayrımcılık risklerinin tespiti ve buna erkenden müdahale edilememesi bakımından da söz konusudur.  

5-  Kişisel Verilerin Korunması Özelinde Temel Hukuki Riskler

Belge’de, kişisel verilerin korunmasına ilişkin değerlendirmelerin, tek tek veri işleme faaliyetlerinden ziyade sistemin bütüncül işleyişi dikkate alınarak yapılması gerektiği vurgulanmaktadır. Zira, münferit olarak ele alındığında sınırlı etki doğuran bir kişisel veri işleme faaliyeti, Etken YZ sistemindeki diğer faaliyetler ile birleştirildiğinde ilgili kişi özelinde daha ciddi sonuçlar doğurabilmektedir.

Buna paralel olarak genel ilkeler çerçevesinde tespit edilen riskler Etken YZ sistemlerinin faaliyetleri çerçevesinde ele alınmıştır

• Amaçla Sınırlılık ve Veri Minimizasyonu: Kişisel verilerin hangi amaçla işlendiğinin belirlenmesi, veri işleme faaliyetlerinin kapsam ve sınırını belirlemektedir. Etken YZ sistemlerinin hedefe yönelimli ve çok adımlı yapısı, veri işleme faaliyetlerinin kapsamının zaman içerisinde değişkenlik göstermesine neden olabilmektedir. Bir diğer deyişle sistem süreç içerisinde başlangıçta öngörülmeyen yeni veri kümelerine ihtiyaç duyabilmektedir. Bu nedenle, amaç ile veri işleme faaliyeti arasındaki ilişki, sistemin işleyişi boyunca gözetilmelidir. Etken YZ sistemlerinin yaşam döngüsü boyunca, veri ihtiyacının belirlenmesi ve kullanımın sınırlandırılmasına yönelik yaklaşımlar benimsenmelidir. 
• Hukuki Sebebin (İşleme Şartının) Aşılması: Etken YZ sistemlerindeki otonom süreçler nedeniyle, sistem içerisinde veri işleme faaliyetinin kapsamının genişleyebilmekte ve bu durumda başlangıçta geçerli olan hukuki sebep, sistem içerisinde gerçekleştirilen tüm işleme faaliyetleri bakımından uygulanabilir olmamakta ve geçerliliğini yitirebilmektedir. Bu kapsamda, Etken YZ sisteminin tümü bakımından gerçekleştirilen veri işleme faaliyetlerinin ilgili kişilerin makul beklentileriyle ve başlangıçta öngörülen işleme çerçevesiyle olan uyumunun korunmasına dikkat edilmelidir.
• Çıkarıma Dayalı ve Türetilmiş Veri Kullanımı: Etken YZ sistemlerinin yürüttüğü veri işleme faaliyetlerinin genişliği ve çok adımlı olması dikkate alındığında, başlangıçta anonim olarak nitelendirilen veriler, farklı kaynaklardan alınan verilerin sistem tarafından ilişkilendirilmesiyle kişisel veri olarak işlenebilmektedir. Farklı veri kümeleriyle olan etkileşim sonucunda büyük ölçekte veri işlenebilmekte ve ilgili kişilere ilişkin detaylı profillemeler yapılması gündeme gelebilmektedir. Bu durum veri işleme faaliyetlerinin ilgili kişinin makul beklentisinin ötesine geçmesine sebep olmakta ve ortaya çıkan sonuçların öngörülebilirliğini azaltmaktadır.
• Süreçlerin Şeffaflığı: Yukarıda detaylı açıklandığı üzere Etken YZ sistemlerinde farklı aşamalara ve bileşenlere yayılmış şekilde gerçekleşen karar alma mekanizmaları, süreçlerin izlenebilirliğini zorlaştırmaktadır. Bu şekilde kişisel verilerin hangi aşamalarda ve nasıl işlendiğinin anlaşılamaması, veri işleme faaliyetlerinin geriye dönük olarak izlenmesinde ve bu süreçlerin açıklanmasında güçlüklere sebebiyet vermektedir. 
• Hesap Verilebilirliğin Sağlanması: Geleneksel YZ sistemlerinde olduğu gibi Etken YZ sistemlerinde de sürece geliştirici ve yerleştirici (deployer) gibi farklı aktörler dahil olabilmektedir. Bu nedenle, Etken YZ sistemlerinin yaşam döngüsü boyunca bu aktörler arasındaki sorumluluğun nasıl paylaşılacağı, ilgili kişilerin haklarını kime karşı nasıl kullanacağı ve ortaya çıkabilecek bir zarardan kimin sorumlu olacağı konuları uygulamada zorluk arz etmektedir.
• Doğruluk İlkesi ve Halüsinasyon Etkisi: Gerçeklikle örtüşmeyen ancak çoğu zaman makul ve ikna edici görülen çıktıların üretilmesini ifade eden “halüsinasyon” olgusu Etken YZ sistemlerinde de görülmektedir. YZ araçlarının ürettiği gerçek dışı bilgilerin, ardışık işlemlerde diğer YZ Aracılarına girdi olarak aktarılması, kişisel verilerin zincirleme bir şekilde hatalı işlenmesine ve kalıcı yanlışlıklara yol açabilmektedir. Bu tür sonuçların ortaya çıkmaması için kişisel verilerin doğruluğu sağlanmalı ve ortaya çıkan sonuçların güvenilirliği gözetilmelidir.
• Güvenlik ve Sistem Dayanıklılığı: Doğası gereği birden fazla veri kaynağı, araç ve dijital ortamla birlikte çalışan Etken YZ sistemlerinde saldırı yüzeyi genişlemekte ve bu durum veri ihlaline sebebiyet verebilecek saldırılar bakımından yeni zafiyet noktalarının ortaya çıkmasına neden olmaktadır. Diğer bilgi sistemleriyle etkileşim kurulması veya otomatik olarak bazı eylemlerin başlatılması gibi durumlarda veri ihlallerinin zincirleme etkileri söz konusu olabilecektir. Geleneksel YZ sistemlerine ek olarak gündeme gelen bu ilave riskler bakımından ilave önlemlerin alınması bir zorunluluktur.
• Amaç ve Hukuki Çerçeve ile Uyum: Etken YZ sistemlerinin, belirsiz talimatlarla, sınırları yeterince açık bir şekilde tanımlanmadan ve eğitim ve yapılandırma süreçlerindeki diğer eksiklikler giderilmeden kullanılması durumunda, başlangıçta öngörülemeyen veya istenmeyen eylemlerin ortaya çıkması riski bulunmaktadır. Bu durumda veri işleme faaliyetleri üzerindeki insan gözetimi ve müdahalesi sınırlı kalmaktadır.

6-  Kurumsal Uyum: Alınması Gereken Tedbirler ve İnsan Gözetimi

Belge, yukarıda açıklanan risklerin yönetilebilmesi için risk temelli ve insan merkezli bir uyum çerçevesi önermektedir:

• Risk Temelli Yaklaşım: Risklerin tamamen ortadan kaldırılmasından ziyade, Etken YZ sistemlerinin otonomi düzeyi, kullanım durumu ve ortaya çıkabilecek etkiler göz önüne alınarak uygun teknik ve idari tedbirlere odaklanan bir çerçeve belirlenmelidir. Bu risk temelli yaklaşım, zamanla değişebilecek risk profillerine uyum sağlayabilecek mekanizmalarla ve uygun veri yönetişimi uygulamalarıyla desteklenmelidir.
• Anlamlı İnsan Gözetimi: Sistemin otonomi düzeyi ne olursa olsun, potansiyel risk barındıran karar alma aşamalarında insan denetimini ve müdahalesini devreye sokacak mekanizmalar öngörülmelidir. Etken YZ sistemlerinin otonomisine karşı, “bireylerin karar alma, seçim yapma ve kendi eylemleri üzerindeki kontrol imkânları” şeklinde ifade edilebilecek insan otonomisi gözetilmelidir. Bu mekanizmalar belirlenirken hangi aşamada ve hangi koşullarda insan gözetiminin devreye gireceği açık bir şekilde tanımlanmalıdır.  Bu çerçevede Belge uyarınca;
• Geliştirme aşamasında sistemin hangi veri türlerine erişebileceği, ne tür kararlar verebileceği hususları açık bir şekilde tanımlanmalı ve bu sınırlar test edilmeli,
• Kullanıma alınma aşamasında yüksek risk barındıran süreçlerde ilave insan gözetimini mümkün kılabilecek mekanizmalar bulunmalı ve
• Kullanım sonrası aşamada sistem davranışları, karar alma süreçleri ve diğer etkileşimler için izleme, geri bildirim ve değerlendirme mekanizmaları kurulmalıdır.
• Şeffaflık ve Açıklığın Sağlanması: Çok katmanlı ve dağıtık bir yapıya sahip Etken YZ sistemlerinde şeffaflık farklı düzeylerde ele alınmalıdır. Şeffaflığın ve açıklığın sağlanabilmesi için ilgili sistem bileşenleri arasındaki etkileşimlerin yeterli açıklıkta ortaya konulmasına ve sistem davranışlarının izlenmesine imkân veren mekanizmalar kurulmalıdır. Söz konusu mekanizmalar, insan gözetiminin etkin biçimde sağlanmasına ve olumsuz sonuçların erken aşamalarda tespit edilmesine de yardımcı olacaktır.
• Doğruluk İlkesinin Gözetilmesi: Etken YZ sistemlerinin kullanılması durumunda sürecin her aşamasında kişisel verilerin doğruluğu sürekli olarak gözetilmeli ve kullanılan bilgi ve çıktıların güncelliğinin ve bağlama uygunluğunun korunmasına yönelik bir yaklaşım benimsenmelidir.
• Yaşam Döngüsü Boyunca Mahremiyetin Gözetilmesi: “Tasarımdan itibaren mahremiyet” (privacy by design) ve “varsayılan olarak mahremiyet” (privacy by default) yaklaşımları her aşamada gözetilmeli ve "mahremiyet artırıcı teknolojiler" sürece dâhil edilmelidir.
• Sorumluluk Dağılımı ve Etki Değerlendirmesi: Geliştiriciler ve yerleştiriciler arasındaki yasal roller netleştirilmeli, ayrıca olası risklere karşı düzenli olarak veri koruma etki değerlendirmesi gibi mekanizmalara başvurulmalıdır. Bu noktada paydaşlar arasında rollerin farklılaşmasına dayalı ve koordinasyonu gözeten bir iş birliği anlayışı benimsenmelidir.

7-  Sonuç ve Değerlendirme

Kurum tarafından yayımlanan bu Belge, YZ teknolojilerindeki otonomi evrimini ve bu evrimin kişisel verilerin korunmasındaki olası yansımalarını analiz etmektedir. Otonom sistemlerin kullanımının yasaklanmasından ziyade, risk yönetimi ve kurumsal yönetişim çerçevesinde şeffaf ve hesap verebilir bir zemine oturtulması gerektiğini açıkça ortaya koymaktadır. Veri sorumlularının; sistemlerin hedeflerini belirlerken mahremiyet gerekliliklerini gözetmeleri, rol dağılımını şeffaflaştırmaları ve insan denetimini sürecin merkezine almaları, teknolojik verimlilik ile hukuki uyumun bir arada sürdürülebilmesi için bir zorunluluktur.