Yapay zeka, kamu kurumlarından özel sektöre kadar her ölçekteki kuruluşun gündeminde. Ancak yapay zeka sistemleri büyük miktarda veriyle çalışır ve bu verilerin önemli bir kısmı kişisel veri niteliği taşır. Bu noktada Kişisel Verilerin Korunması Kanunu (KVKK) devreye girer. “Kullanışlı bir yapay zeka” ile “KVKK uyumlu bir yapay zeka” çoğu zaman aynı şey değildir; aradaki fark, kurumun veri üzerindeki kontrolünü kaybedip kaybetmediğinde gizlidir.
KVKK uyumlu yapay zeka ne demek? KVKK uyumlu yapay zeka, kişisel veri içeren süreçlerin Kişisel Verilerin Korunması Kanunu’nun temel ilkelerine uygun biçimde yürütüldüğü yapay zeka kullanımıdır. Bu, verinin hukuka uygun ve belirli bir amaçla işlenmesini, amaçla sınırlı ve ölçülü tutulmasını, güvenli biçimde saklanmasını ve ilgili kişinin haklarının korunmasını kapsar. Kişisel Verileri Koruma Kurumu’nun yayımladığı rehberlerde de yapay zeka uygulamalarının insan merkezli, şeffaf, denetlenebilir ve mahremiyete saygılı bir yaklaşımla geliştirilip kullanılması gerektiği vurgulanır. Uyum yalnızca bir yazılım tercihi değil; verinin nerede işlendiği, kimin eriştiği ve kurum dışına çıkıp çıkmadığı gibi mimari kararları da içeren bütüncül bir konudur.
KVKK yapay zeka konusunda ne diyor?

Türkiye’de kişisel verilerin işlenmesi 6698 sayılı KVKK ile düzenlenir. Kanun, yapay zekaya özel ayrı bir bölüm içermese de, kişisel veri içeren her türlü işleme faaliyetini kapsadığı için yapay zeka sistemlerini de doğrudan ilgilendirir.
Kişisel Verileri Koruma Kurumu bu alanda iki önemli yol gösterici kaynak yayımladı:
- Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler (2024) — yapay zeka geliştirme ve kullanımında uyulması önerilen genel ilkeleri ortaya koyar.
- Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda) (24 Kasım 2025) — üretken yapay zeka sistemlerinin kişisel veri açısından risklerini ve sorumlulukları soru-cevap formatında ele alır.
Bu kaynaklarda öne çıkan ortak çerçeve şudur: yapay zeka uygulamaları insan merkezli, şeffaf, denetlenebilir ve mahremiyete saygılı bir yaklaşımla tasarlanmalı ve kullanılmalıdır. Yani sistemin kararları açıklanabilir olmalı, veri işleme süreçleri izlenebilmeli ve birey her zaman sürecin merkezinde kalmalıdır.
Yapay zeka hangi kişisel veri risklerini doğurur?
Kişisel veri açısından yapay zeka, geleneksel yazılımlardan farklı riskler taşır. Başlıca risk alanları şunlardır:
- Veri kurum dışına çıkması: Bulut tabanlı yapay zeka servislerine gönderilen her sorgu (prompt), içinde vatandaş bilgisi, hasta kaydı, personel verisi veya gizli yazışma barındırabilir. Bu veri üçüncü taraf sunuculara ulaştığında kurumun kontrolü zayıflar.
- Amaç dışı kullanım: Bir amaçla toplanan verinin model eğitimi gibi başka bir amaçla işlenmesi, amaçla sınırlılık ilkesini zedeleyebilir.
- Şeffaflık eksikliği: Kararı nasıl ürettiği açıklanamayan bir sistem, denetlenebilirlik ve hesap verebilirlik beklentilerini karşılamakta zorlanır.
- Veri minimizasyonunun ihlali: Yapay zeka sistemlerine “ne olur ne olmaz” mantığıyla gereğinden fazla veri verilmesi, ölçülülük ilkesiyle çelişir.
- Yetkisiz erişim ve sızıntı: Verinin nerede saklandığı belirsizse, güvenlik tedbirlerinin yeterliliğini denetlemek de güçleşir.
Özellikle kamu kurumları için bu riskler kritik önem taşır; çünkü işlenen veri çoğu zaman doğrudan vatandaşa ait ve hassas niteliktedir.
Kurumların yapay zeka kullanımında yükümlülükleri nelerdir?
KVKK çerçevesinde veri sorumlusu sıfatını taşıyan kurumlar, yapay zeka kullansa da kullanmasa da temel yükümlülüklerini sürdürmek zorundadır. Yapay zeka bağlamında öne çıkanlar:
- Hukuka uygun işleme: Her veri işleme faaliyetinin bir hukuki dayanağı olmalıdır.
- Amaçla sınırlılık ve ölçülülük: Yalnızca belirlenen amaç için gerekli veri işlenmelidir.
- Aydınlatma yükümlülüğü: İlgili kişiler verilerinin nasıl işlendiği konusunda bilgilendirilmelidir.
- Veri güvenliği tedbirleri: Verinin yetkisiz erişime, kayba ve sızıntıya karşı korunması için teknik ve idari tedbirler alınmalıdır.
- Denetlenebilirlik ve hesap verebilirlik: İşleme süreçleri kayıt altına alınmalı, gerektiğinde açıklanabilmelidir.
Bu yükümlülüklerin ortak paydası tektir: kurumun verisi üzerindeki kontrolünü her aşamada koruması. Verinin nerede işlendiği belirsizleştiği anda, bu yükümlülükleri yerine getirmek de zorlaşır.
On-premise (yerinde) kurulum uyumu neden kolaylaştırır?

Yapay zeka uyumunun en zorlayıcı noktası, verinin işlenmek üzere kurum dışına gönderilmesidir. Yerinde (on-premise / offline) kurulum tam olarak bu sorunu ortadan kaldırır: yapay zeka modeli kurumun kendi sunucularında, kendi ağı içinde çalışır ve veri hiçbir aşamada kurum dışına çıkmaz.
Bu mimarinin uyuma katkıları somuttur:
- Veri kurumda kalır: İşlenen kişisel veri kurumun fiziksel ve dijital sınırları içinde tutulur; üçüncü taraf bulut servisine aktarım söz konusu olmaz. Bu, sınır ötesi veri aktarımı ve dışa bağımlılık sorunlarını büyük ölçüde ortadan kaldırır.
- Erişim denetimi kurumda: Kimin hangi veriye eriştiği kurumun kendi kimlik ve yetkilendirme sistemleriyle yönetilir.
- Denetlenebilirlik artar: Tüm işleme süreçleri kurumun kendi altyapısında kayıt altına alınabildiği için, hesap verebilirlik daha kolay sağlanır.
- İnternet bağımlılığı azalır: Offline çalışabilen sistemler, dış servis kesintilerinden ve istem dışı veri paylaşımından etkilenmez.
Burada altını çizmek gerekir: on-premise kurulum tek başına “otomatik uyum” anlamına gelmez. Aydınlatma, amaçla sınırlılık ve güvenlik tedbirleri yine sağlanmalıdır. Ancak verinin kurum dışına çıkmaması, uyumun en riskli ayağını baştan çözer ve geri kalan yükümlülükleri yönetilebilir hale getirir.
Kurumlar için pratik adımlar
KVKK uyumlu bir yapay zeka kullanımına geçerken izlenebilecek pratik bir yol haritası:
- Veri envanteri çıkarın: Yapay zekaya hangi verilerin gireceğini ve bunların hangilerinin kişisel/hassas veri olduğunu netleştirin.
- Veri akışını haritalandırın: Verinin nereye gittiğini izleyin. Bulut servisi kullanılıyorsa verinin kurum dışına çıktığını kabul edin.
- Mimari kararı bilinçli verin: Hassas veri söz konusuysa yerinde (on-premise/offline) kurulumu önceliklendirin.
- Amaç ve dayanağı belirleyin: Her kullanım senaryosu için işleme amacını ve hukuki dayanağı tanımlayın.
- Erişim ve loglama kurun: Kimin neye eriştiğini kontrol edin ve süreçleri kayıt altına alın.
- Aydınlatma metinlerini güncelleyin: Yapay zeka kullanımını mevcut aydınlatma ve süreçlere yansıtın.
- Düzenli denetleyin: Sistemi ve veri akışını periyodik olarak gözden geçirin.
Sıkça Sorulan Sorular
KVKK yapay zekayı yasaklıyor mu? Hayır. KVKK yapay zekayı yasaklamaz; kişisel veri içeren işlemelerin kanunun ilkelerine uygun yürütülmesini ister. Kurum rehberleri de yasaklayıcı değil yol gösterici niteliktedir.
Bulut tabanlı yapay zeka araçları KVKK’ya aykırı mı? Aykırı olduğu söylenemez; ancak veri kurum dışına çıktığı için uyum yükü artar ve kontrol zayıflar. Hassas veri içeren süreçlerde dikkatli değerlendirme gerekir.
On-premise yapay zeka kullanırsam KVKK’dan tamamen muaf olur muyum? Hayır. Yerinde kurulum verinin kurum dışına çıkmaması gibi en kritik riski çözer, ancak aydınlatma, amaçla sınırlılık ve güvenlik tedbirleri gibi yükümlülükler devam eder.
Kamu kurumları için farklı bir durum var mı? Kamu kurumları çoğunlukla vatandaşa ait ve hassas veri işlediği için risk daha yüksektir. Bu nedenle verinin kurum içinde kalmasını sağlayan mimariler özellikle önem kazanır.
Veriniz kurumdan çıkmadan yapay zeka kullanmak mümkün
KVKK uyumunun en kritik ayağı, verinin kurum dışına çıkmamasıdır. C3T, bir yapay zeka entegratörü olarak kurumların kendi altyapısında çalışan, offline/on-premise yapay zeka çözümleri kurar. Böylece kişisel veri kurum sınırları içinde kalır, erişim ve denetim kurumun kontrolünde olur.
Yerinde yapay zeka kurulumunun nasıl çalıştığını ve kurumunuza nasıl uyarlanabileceğini merak ediyorsanız Yerinde Yapay Zeka sayfamızı inceleyebilirsiniz. Kurumunuza özel bir değerlendirme için bizimle iletişime geçin.
Bu içerik bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Kurumunuzun özel durumu için hukuk ve uyum danışmanlarınızla birlikte değerlendirme yapmanızı öneririz.
Kaynaklar
- Kişisel Verileri Koruma Kurumu — Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler
- Kişisel Verileri Koruma Kurumu — Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)
- Kişisel Verileri Koruma Kurumu — Rehberler
Yazar · Teknoloji ekibi
C3T Teknoloji
Kurumlara özel yapay zeka, özel yazılım ve teknoloji danışmanlığı geliştiren teknik ekip. Çözümler kurumun kendi sunucusunda, veriniz dışarı çıkmadan çalışır. İstanbul.
Bu konuyu kurumunuzda konuşalım.
Bağlayıcı olmayan, ücretsiz bir fizibilite görüşmesi.