Üretken Yapay Zekâ Araçlarının İşyerlerinde Kullanımı: KVKK Açısından Öneriler

1-  Giriş

5 Mart 2026’da Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlığıyla üretken yapay zekâ sistemlerinin iş hayatında kullanımına ilişkin öneriler kamuoyuyla paylaşılmıştır.

Kurum tarafından “Üretken Yapay Zekâ” (ÜYZ); büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından sunulan istem veya komutlara (prompt) yanıt olarak metin, görsel, video, ses ya da yazılım kodu gibi farklı formatlarda içerikler üretebilen yapay zekâ (YZ) sistemleri olarak tanımlanmıştır. ÜYZ’nin iş hayatında kullanımı bakımından, e-posta ve metin taslaklarının hazırlanması, belgelerin özetlenmesi ve toplantı notlarının oluşturulması gibi örnekler söz konusudur. Kullanım kolaylığı ve kısa sürede çıktı üretebilme kapasitesi, bu araçların çalışanlar tarafından tercih edilmesini sağlamaktadır. Ancak Kurum, bu araçların kullanımının açık biçimde tanımlanmış bir kurumsal strateji çerçevesinde gerçekleşmediğini ve çoğunlukla çalışanların bireysel tercihleri doğrultusunda şekillendiğini tespit etmiştir.

2-  “Gölge Yapay Zekâ” (Shadow AI) Olgusu ve Denetim Zafiyeti

"Gölge YZ" (Shadow AI) kavramı, ÜYZ araçlarının kurumun bilgisi, onayı veya kurumsal kontrolü dışında çalışanlar tarafından kullanılması durumunu ifade etmektedir. Kurum, bu durumu literatürdeki "Gölge BT" (Shadow IT) uygulamalarıyla kıyaslamaktadır. Çalışanların kurumsal verilere dışarıdan erişebilmek için kişisel bulut hesaplarını kullanması gibi örnekleri barındıran Gölge BT'den farklı olarak Gölge YZ; veri işleme, içerik üretimi ve karar mekanizmalarına doğrudan etki edebilme kapasitesi nedeniyle çok daha farklı boyutlarda riskler barındırmaktadır. Görünürlüğün kaybolması, mevzuata uyumun değerlendirilmesini ve olay müdahalesi süreçlerinin yürütülmesini güçleştirmektedir.

3-  Karşılaşılan Temel Hukuki, Operasyonel ve Siber Güvenlik Riskleri

Kurum, kontrol dışı ÜYZ kullanımının yol açabileceği ihlal alanlarını şu şekilde sıralamaktadır:

• Kişisel Verilerin İhlali: Kurumsal kontrol dışındaki araçlarla kişisel verilerin paylaşılması, veri ihlali riskini artırmakta ve verilerin yetkisiz kişilerce erişilebilir hâle gelmesine yol açabilmektedir. Özellikle komutlar (prompt) aracılığıyla paylaşılan kişisel verilerin üretilen çıktılara yansıması ciddi bir güvenlik sorunudur. Kurum, bu noktada veri sorumlularına daha önce yayımlanan "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)" dokümanının dikkate alınmasını önermektedir.
• Fikri Mülkiyet ve Ticari Sırların İfşası: Kaynak kod, ürün tasarımları veya iş stratejilerinin harici ÜYZ araçlarıyla paylaşılması, fikri mülkiyet haklarının ihlaline ve bu bilgilerin üçüncü tarafların model geliştirme süreçlerinde kullanılmasına neden olabilmektedir.
• Karar Kalitesi ve Otomasyon Ön Yargısı: Kullanıcıların, otomatik sistemlerin ürettiği çıktıları sorgulamadan doğru kabul etmesi literatürde "otomasyon ön yargısı" (automation bias) olarak ifade edilmektedir. Ayrıca ÜYZ araçlarının gerçeklikle örtüşmeyen hatalı içerikler (halüsinasyonlar) üretmesi, iş süreçlerinde hatalara ve kurumsal itibar kaybına neden olabilmektedir.
• Denetlenebilirlik ve Siber Güvenlik: ÜYZ araçları kapsamında üretilen çıktıların sonradan tespit edilmesi zorlaştığından hesap verebilirlik zedelenmektedir. Ayrıca güvenli olmayan uygulama arayüzleri, kurumların siber saldırı yüzeyini genişletmektedir.

4-  Yasaklayıcı Yaklaşımların Yetersizliği ve Kurumsal Politikalar

ÜYZ araçlarının kullanımının tamamen yasaklanmasının gerçekçi sonuçlar doğurmayacağı ve aksine kontrol dışı kullanımı teşvik edeceği vurgulanmaktadır. Bunun yerine, kullanım koşullarını ortaya koyan açık bir kurumsal politika oluşturulmalıdır. Kurum bu politikalar için somut bir vizyon sunarak; metinlerin dilsel açıdan düzeltilmesi veya internetteki genel içeriklerin özetlenmesi gibi amaçlara izin verilebileceğini, ancak müşteri dosyaları, insan kaynakları verileri veya iç yazışmalar gibi hassas bilgilerin ÜYZ araçlarıyla paylaşılmasının kesinlikle uygun bulunmaması gerektiğini belirtmektedir.

5-  Veri Minimizasyonu ve Erişim Kontrolü Tedbirleri

Kurum tarafından, veri sorumluları için operasyonel tedbirler de önerilmektedir: Soyutlama ve Anonimleştirme: ÜYZ araçlarıyla etkileşim sırasında doğrudan kişi adları, tarih veya konum belirtmek yerine anonimleştirilmiş ve soyut ifadeler tercih edilmelidir.

• Hassas Verilerde Temkinlilik: Sağlık, finans ve hukuki süreçlere ilişkin verilerde çok daha temkinli bir yaklaşım benimsenmelidir.
• Erişim Kısıtlamaları: Harici platformlara erişimin ağ düzeyinde sınırlandırılması, araçların yalnızca kurumsal cihazlar üzerinden kullanılabilmesi ve rol temelli yaklaşımların uygulanması tavsiye edilmektedir.
• Geri Bildirim Mekanizmaları: Çalışanların karşılaştıkları sorunları paylaşabilecekleri mekanizmalar oluşturulmalı ve iyileştirme alanları tespit edilmelidir.

6-  Sonuç ve Değerlendirme

Kurum’un “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” dokümanı, çalışma hayatında hızla yaygınlaşan ÜYZ teknolojisinin sınırlarını çizen ve riskleri somutlaştıran önemli bir rehber niteliğindedir. Doküman, yapay zekâ kullanımının yasaklanmasından ziyade, kurumsal risk yönetimi süreçlerine dâhil edilerek yönetilmesi gerektiğini açıkça ortaya koymaktadır. Bu bağlamda, veri sorumlularının, ÜYZ araçları tarafından üretilen çıktılara nihai karar dayanağı olarak yaklaşmamaları ve insan denetimini merkeze almaları elzemdir. Riskleri gözeterek bütüncül bir yaklaşım benimsemek hem verimliliği sürdürülebilir kılacak hem de hukuki ihlallerin önüne geçilmesine katkı sağlayacaktır.