Kişisel Verileri Koruma Kurumu, 24.11.2025 Tarihinde Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi’ni (“Rehber”) yayımlamıştır. Rehber’de Üretken Yapay Zekâ (“ÜYZ”) sistemlerinin kişisel verilerin korunması bağlamında ortaya çıkarabileceği etkilerin değerlendirilmesi, ÜYZ sistemlerinin geliştirilmesi, ÜYZ sistemlerinin kullanılmasında bireylerin mahremiyetine saygılı bir yaklaşımın teşvik edilmesi ve veri sorumlusu sayılanlara rehber olması amaçlanmaktadır. ÜYZ sistemlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) çerçevesinde içerik üretim süreci, kullanım alanları, yaşam döngüsünün aşamaları ve kullanımının ne tür riskler taşıdığı gibi hususlara değinilmiştir. Aynı zamanda Avrupa’daki Veri Koruma Otoritelerinin kişisel verilerin korunması yaklaşımına, mevzuata ve yapay zekâ ve ÜYZ sistemlerini kapsayan teknolojik gelişmelere uyumlu olması amaçlanmıştır.
İlgili Rehber, yapay zekâ ve verilerin korunmasına ilişkin Avrupa Veri Koruma Otoritelerinin ve mevzuatlarının da tanımlamış olduğu bazı kavramlar ve tanımları açıklamıştır. Rehber, ilgili konuları 15 soru halinde yayımlamış olup, burada da aynı düzende izah edilecektir.
1) Üretken Yapay Zekâ Nedir?
Bu başlıkta “Üretken/üretici yapay zekâ” ile “Geleneksel/klasik yapay zekâ” teknolojileri karşılaştırılmıştır ve üretken yapay zekâ tanımlanmıştır.
2) Üretken Yapay Zekâ Sistemlerinde İçerik Üretimi Nasıl Gerçekleşmektedir?
İçerik üretiminde kullanılan bu modellerin tasarımı, kullanım amacı ve bağlamı, üretilecek içeriğin türüne göre önemli ölçüde farklılık gösterebilmektedir. Yapay zekâ sistemlerinde olduğu gibi veri odaklı işleyen ÜYZ sistemlerinde kullanılan başlıca yöntemler; Makine Öğrenmesi (Machine Learning), Yapay Sinir Ağı (Artificial Neural Network), Görsel Üreten Yapay Zekâ ve Metin Üreten Yapay Zekadır. Metin Üreten Yapay Zekâ; Genel Amaçlı Dönüştürücüler, Büyük Dil Modelleri ve Üretken Önceden Eğitilmiş Dönüştürücü olarak üç kategoriye, Görsel Üreten Yapay Zekâ ise Çekişmeli Üretken Ağlar ve Varyasyonel Otomatik Kodlayıcılar olarak iki kategoriye ayrılarak sınıflandırılmıştır. Modellerin tasarımı, kullanım amacı ve bağlamı içerik türüne göre değişmektir. Metin üretim süreci, görsel üretim süreci ve ÜYZ modellerinin temel sınıflandırılması anlatılmıştır.
3) Bir Üretken Yapay Zekâ Modelinin Yaşam Döngüsü Hangi Aşamalardan Oluşmaktadır?
ÜYZ modellerinin yaşam döngüsünün temel aşamaları belirtilmiştir. Bu yaşam döngüsünün ilk aşaması modelin kullanım amacı ve kapsamının belirlenmesidir. Bazen sürece uygun bir temel model belirlenebilirken bazen sıfırdan bir model geliştirilmelidir. Sonraki aşama verilerin toplanması ve ön işleme tabi tutulmasıdır. “Web kazıma” (web scraping) başta olmak üzere ÜYZ modellerinin eğitiminde kullanılan veri kaynaklarından bahsedilmiştir. Üçüncü aşama modelin kullanım amacına uygun eğitilmesi ve “ince ayar” (fine tuning) yapılmasıdır. Optimize etme yöntemleri ve bu yöntemlerin amaçlarından bahsedilmektedir/ anlatılmaktadır. Sonraki aşamada modelin değerlendirilmesi ve izlenmesi yer alır. Doğruluğu, kullanım amacına uyumluluğu gibi faktörlerin incelenmesi için değerlendirme ölçütleri oluşturulması amaçlanmaktadır. Son aşama ise modelin önceki aşamalardaki ölçütler kullanılarak, sürekli izlenme ve düzenli değerlendirme ile yerleştirilmesi (deploy) ve devamında düzenli geri bildirimler sağlanmasıdır. ÜYZ yaşam döngüsü bütüncül bir süreçtir. Teknik ve kritik gereklilikleri, etik, hukuki ve toplumsal önemi ve etkisi ile ÜYZ teknolojilerinin güvenli, sorumlu ve topluma faydalı olma amaçlı kullanılması gereklidir.
4) Üretken Yapay Zekâ Hangi Alanlarda Kullanılmaktadır?
ÜYZ, gelen talimatlardan içerik oluşturma, mevcut içeriği yeniden işleme ve veri analizi gibi temel görevleri yerine getirme kapasitesine sahip, üretkenliği arttırıp yeni sistemlerin geliştirilmesine katkıda bulunan bir araç haline gelmektedir. ÜYZ’nin günümüzdeki kullanım alanları olarak Müşteri Hizmetleri, sağlık, eğitim, pazarlama ve reklamcılık, kültürel endüstriler ve sanat, yazılım geliştirme, arama ve bilgiye erişim ve hukuk kategorileri ele alınmıştır.
5) Üretken Yapay Zekanın Kullanımı Ne Gibi Riskler Taşımaktadır?
Etkin ve hızlı karar alma, sürekli erişilebilirlik, dinamik kişiselleştirme gibi özelliklere sahip ÜYZ birçok imkân sunmasına rağmen birey haklarının korunması ve toplumsal güvenliğin sağlanması açısından ÜYZ sistemlerinin ortaya çıkarabileceği riskler ve bu nedenle sistemlerin sorumlu ve bilinçli tasarımı, geliştirilmesi ve kullanımı önemlidir. ÜYZ’nin gündeme getirdiği, bahsedilen risk alt başlıkları şunlardır; “Halüsinasyonlar” ve Tutarsız Çıktılar, Ön Yargı ve Yanlı Çıktılar, Verilerin Gizliliği ve Güvenliği, Fikri Mülkiyet Hakkı İhlalleri ve Deep Fake ve Manipülatif İçerikler. ÜYZ’nin avantajlarına rağmen modellerin yanlış, tutarsız, ön yargılı veya yanıltıcı/manipülatif olabileceğinden bahsedilmektedir.
6) Üretken Yapay Zekâ Sistemlerinde Kişisel Veri İşlenmekte midir?
Çoğu yapay zekâ sisteminde de ÜYZ sisteminde de büyük ölçekli verilerin kullanıldığı veri odaklı bir işleme ve öğrenme süreci mevcuttur. Bireylere ait kişisel verilerin eğitim verilerine dahil edilmesi durumunda veriler yapay zekâ ve ÜYZ sistemlerinde modelin iç yapısını ve çıktılarını etkileyip yaşam döngüsünün çeşitli aşamalarında birçok yol ile kişisel veri işleme faaliyeti gösterebilmektedir. Kişisel verilerin işlenmesi arka planda gerçekleşmekte, özellikle hedeflenmemiş, rastlantısal veya kişisel veri niteliği taşıyan bilgiler doğrudan veya dolaylı temas edilmiş olabilmektedir. Bu nedenle amacın kişisel veri işlemek olmamasına ve bunun için tasarlanmamış olmasına karşın kişisel veri işlenebilmektedir. Durumun geçerliliğinin değerlendirilmesi için kontrol mekanizmaları uygulanmalıdır. Veri koruma düzenlemelerinin yanında yapay zekâ veri yönetişim çerçeve ve standartlarının da gereğidir. Yapay zekâ ve ÜYZ sistemlerinin kişisel verilerin işlenmesinde KVKK kapsamında olduğu ifade edilmiş ve buna yönelik örnekler verilmiştir. ÜYZ aynı zamanda kişisel veri niteliği taşıyan bilgileri üretebilmektedir. Bu durumda da model KVKK kapsamındadır. KVKK madde 3 (1)-b’ye göre ÜYZ sistemlerinin işleyişinde; tasarımı, geliştirilmesi ve test süreçlerinde yalnızca anonim veya anonimleştirilmiş verilerin kullanılması, kural olarak KVKK kapsamı dışındadır. Ancak, bir verinin gerçekten anonim olup olmadığı teknik yöntemler ve nesnel ölçütlerle belirlenmelidir. Veri kümeleri anonimleşene kadar kişisel veri niteliğini koruduğundan, bu süreçteki tüm veri işleme faaliyetlerinin KVKK’ya uygun yürütülmesi zorunludur.
7) Üretken Yapay Zekâ Sistemlerinin Yaşam Döngüsü Kapsamında Veri Sorumlusu ile Veri İşleyen Nasıl Belirlenmelidir?
Burada Rehber, KVKK’da “veri sorumlusu” ve “veri işleyen” tanımlarına yer verip, neler yaptıklarını, nasıl tespit edileceklerini ve veri sorumlusunun yapacağı kişisel veri işleme sözleşmesi ile hangi hususlarda karar verme yetkisini veri işleyene bırakabildiğini ele almıştır. ÜYZ sistemlerinin çok katmanlı yapısı ve karmaşık olmasından dolayı veri sorumlusu ve veri işleyen tespiti zor olabilmektedir. Kontrol düzeyi olan veya karar alabilen çok sayıda ve çeşitli aktör yer almaktadır. Veri işleme faaliyetlerinin niteliği ve kapsamı dinamik olarak değiştiği için, sorumluluğun tespiti sözleşmesel ifadelere değil, tarafların bu faaliyetler üzerindeki fiili kontrolü ve kişisel verilerin işlenmesine ilişkin karar alma yetkisine dayanmalıdır. Bu nedenle, “geliştirici” ve “yerleştirici” konumundaki gibi roller her zaman doğrudan veri sorumlusu/işleyen rolüyle örtüşmeyebilir; her bir işleme faaliyetinin niteliği ve tarafların fiili rolleri esas alınarak somut bir değerlendirme yapılması gerekmektedir. Bu nedenle ÜYZ sistemlerinde veri sorumluluğuna ilişkin yapılacak değerlendirmelerde, kişisel verilerin işlenmesine dair temel nitelikteki kararların kim tarafından alındığı göz önünde bulundurulmalı, bu kararlar, veri işleme faaliyetinin niteliği, kapsamı, amacı ve bağlamı gibi unsurlar üzerinde belirleyici olmakta ve hangi tür verilerin işleneceği, işlenecek verilerin hangi kategorilere ait olduğu ve bu verilerin hangi kaynaklardan elde edileceği gibi hususları içermektedir. Bazı durumlarda ise bir kuruluşun veri işleme faaliyetinin niteliği ve kapsamı üzerindeki kontrol ve etki düzeyi açık bir şekilde ortaya konulamamaktadır. Bu durum özellikle, günümüzde yaygın bir kullanım alanı bulan “kapalı erişimli” (closed-access) modeller açısından geçerlidir. Bu gibi durumlarda tarafların veri işleme süreçlerindeki rollerinin belirlenmesinde, yerleştiricinin hangi bilgilere erişebildiğinin ve geliştirici tarafından sağlanan kontrol düzeyinin niteliğinin dikkate alınması önem taşımaktadır. Genel bir yaklaşım değil, her veri işleme faaliyetinin niteliği, bağlamı, tarafların fiili rolleri ve uygulama ile uyumluluğu olup olmadığı kapsamında değerlendirilmelidir.
8) Kişisel Verilerin İşlenmesinde Genel İlkeler Üretken Yapay Zekâ Sistemlerinde Nasıl Uygulanmalıdır?
ÜYZ sistemleri de KVKK madde 4 kapsamında olup verilerin kişisel verilerin işlenmesinde genel ilkelere uygun şekilde işlenmesi hukuki bir zorunluluktur. Bu ilkeler hukuka ve dürüstlük kuralına uygun olma ilkesi, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayılan ilkelerdir. Rehber’de bu ilkeler tek tek açıklanmıştır.
9) Üretken Yapay Zekâ Sistemlerinde Kişisel Verilerin İşlenme Şartları (Hukuki Sebep) Nasıl Belirlenmelidir?
ÜYZ sistemlerinde kişisel verilerin hukuka uygun şekilde işlenebilmesi için KVKK madde 5 veya özel nitelikli kişisel veriler için KVKK madde 6’da belirtilen işleme şartlarından en az birine dayanılması zorunludur. Kişisel verilerin işlenme şartları sınırlı sayıda olsa da Kanun’da yer alan şartlar, yeni teknik ve süreçlerle gerçekleştirilen kişisel veri işleme faaliyetlerini de kapsayacak özelliğe sahiptir. ÜYZ sistemleri, verilerin her aşamada yoğun şekilde işlenmesini gerektirebildiğinden, bu süreçlerin her birinin sistemin, modelin veya uygulamanın özelliklerine ve somut olaya göre değerlendirilmelidir. Rehber’de KVKK madde 5’te sayılan aşağıdaki şartlar ayrı ayrı açıklanmıştır:
– İlgili kişinin açık rızasının varlığı.
-Kanunlarda açıkça öngörülmesi.
-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
-İlgili kişinin kendisi tarafından alenileştirilmiş olması.
-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
ÜYZ sistemleri KVKK madde 6’da sayılan özel nitelikli kişisel veriler ve işlenme şartları hükmünün de kapsamında olduğu için ancak maddedeki hallerde özel nitelikli verilerin işlenmesi mümkün olmaktadır. Kanun bu verilerin niteliği gereği ortaya çıkabilecek risklere karşı daha özel önlemler öngörür, ÜYZ sistemleri için de bu önlemlerin alınması aranır.
10) Üretken Yapay Zekâ Sistemlerinde Kişisel Verilerin Yurt Dışına Aktarımı Nasıl Değerlendirilmelidir?
Kişisel verilerin yurt dışına aktarımı, KVKK madde 9 ve kalan mevzuatta hükme bağlandığı şekilde, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ve Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’ne uygun olacak şekilde veri sorumlusu ve veri işleyen tarafından yapılabilmektedir.
11) Üretken Yapay Zekâ Sistemleri Bağlamında Şeffaflık Nasıl Sağlanabilir?
KVKK madde 10’da öngörülen Veri Sorumlusunun Aydınlatma Yükümlülüğü’nde, veri sorumlusu veya yetkilendirdiği kişilerin bilgi vermekle yükümlü olduğu konulara yer verilmiştir. ÜYZ sistemleri bağlamında da ilgili hükme, mevzuata ve “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” hükümlerine uygun olarak bu yükümlülük yerine getirilmelidir. ÜYZ sistemleri de bu sayılanlar kapsamdadır. Rehber’de ÜYZ sistemlerinin her ayrı ve farklı aşamasında aydınlatma yükümlülüğü kapsamının nasıl yerine getirileceği ve önem arz eden detaylar belirtilmiştir. Buna karşın ÜYZ sistemlerinin her aşamasında yeterli düzeyde şeffaflığın sağlanması ve kişisel verilerin korunması anlamında olası gizlilik ve veri koruma risklerine karşı politika ve kontrol mekanizmaları gibi uygulamalar geliştirilmesi gereklidir.
12) Üretken Yapay Zekâ Sistemleri Kapsamında İlgili Kişilerin Hakları Nasıl Kullandırılabilir?
ÜYZ sistemleri tüm KVKK mevzuatları hükmüne tabi olduğu gibi “ilgili kişi” haklarının düzenlendiği KVKK madde 11’in de kapsamındadır. ÜYZ sistemlerinin kendine özgü nitelikleri göz önünde bulundurularak uygun teknik ve idari mekanizmaların yapılandırılması, ilgili kişi haklarının bu sistemler kapsamında da etkili biçimde kullanılabilmesine katkı sağlamaktadır. Ancak ilgili kişi haklarının ÜYZ sistemleri konusunda uygulanmasında birtakım pratik zorluklar ortaya çıkmaktadır. Otomatik karar alma mekanizmalarının birçok alanda yaygın olarak kullanılması ve bu sistemlerde kullanılan algoritmaların karmaşıklığı ve karar alma süreçlerine dair şeffaflık düzeyinin düşük olması, bireylerin kendileri hakkında alınan kararların gerekçesini anlayabilmelerini ve bu bağlamda haklarını kullanabilmelerini güçleştirmesine sebep olmaktadır. Rehber, böyle durumlarda dikkatle değerlendirmeyi öngörmüş ve itiraz mekanizması, “veri eşleştirme” (data mapping) ve “veri etiketleme” (data labeling) gibi mekanizmalar ve yöntemlere yer vermiş, “tasarımdan itibaren mahremiyet” (privacy by design) ve “varsayılan olarak mahremiyet” (privacy by default) yaklaşımlarını da benimsemiştir.
13) Üretken Yapay Zekâ Sistemlerinde Kişisel Verilerin Güvenliği Açısından Nelere Dikkat Edilmelidir?
ÜYZ sistemlerine özgü güvenlik riskleri mevcuttur. Bu nedenle KVKK madde 12 uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerekmektedir. Rehber’de bu teknik ve idari tedbirler sayılmış ve incelenmiştir. Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)” de mevzuatla birlikte dikkate alınacaktır.
14) Günlük Hayatta Üretken Yapay Zekâ Uygulamalarını Kullanırken Kişisel Verilerin Korunması Açısından Bireyler Hangi Hususlara Dikkat Etmelidir?
Rehber’de, bireylerin dikkat etmesi gereken hususlar olarak bireylerin ÜYZ sistemlerini ve uygulamalarını kullanırken kişisel veri güvenliğini önceleyen bilinçli bir tutum sergilemeleri ve yeterli farkındalığa sahip olmaları gerektiğine, bazı tür verilerin ele geçirildiği takdirde nasıl ciddi sonuçlar doğurabileceğine, üçüncü kişiye ait verilerin de sistemlerde paylaşılmamasına özen gösterilmesi gerektiğine, ÜYZ sistemleriyle bilgi paylaşımı sırasında mümkün olduğunca anonimleştirilmiş ve genelleştirilmiş ifadelerin tercih edilmesi gerektiğine ve gizlilik ayarlarının gözden geçirilmesine yer verilmiştir.
15) Üretken Yapay Zekâ Araçlarını Kullanan Çocuklara Yönelik Olarak Ebeveynler Tarafından Alınabilecek Önemler Nelerdir?
Çocuklar da günümüzde ÜYZ uygulamaları kullanmaktadır ve bu kullanım sıklığı gittikçe artmaktadır. Rehber’de, ebeveynlerin alabileceği bazı önlemlere yer verilmiştir; ÜYZ tabanlı platformların yaşa uygun içerik sunup sunmadığının kontrol edilmesi, “deep fake” içeriklerin oluşturduğu ifade edilen olası tehlikelerin farkında olunması ve baş edilmesi için desteklenmesi, çocukların yaşına uygun bilgilendirme, bilinçlendirme ve etik farkındalık çalışması yapılması ve kullanım sınırlarının belirlenmesi.
“Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi” tam metnine aşağıdaki linkten ulaşabilirsiniz.
KVKK-Üretken Yapay Zeka ve Kişisel Verilerin Korunması Rehberi .pdf
İşbu hukuki duyuru güncel hukuki konular hakkında sadece genel bilgilendirme amacı ile hazırlanmış olup, Hukuki Duyuru içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. İşbu Hukuki Duyuru içeriğinden dolayı herhangi bir şekilde SRP-Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir. Bu Hukuki Duyuru kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir.
