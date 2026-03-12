Kişisel Verileri Koruma Kurumu ("Kurum") tarafından hazırlanan "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" başlıklı rehber ("Rehber"), 5 Mart 2026 tarihinde Kurum'un internet sitesinde yayımlanmıştır. Rehber, üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen üretken yapay zekâ ("ÜYZ") araçlarının iş yerlerinde kullanımına ilişkin genel bir çerçeve sunmak amacıyla hazırlanmış olup şirket, kurum ve kuruluşlar nezdinde farkındalık oluşturmayı, olası risklere dikkat çekmeyi ve bilinçli kullanımı teşvik etmeyi hedeflemektedir.

Büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından sunulan istem veya komutlara (prompt) yanıt olarak metin, görsel, video, ses, yazılım kodu gibi farklı formatlarda içerik üretebilen yapay zekâ sistemlerini ifade eden ÜYZ, son yıllarda farklı sektörlerde iş süreçlerinin yürütülme biçimini etkileyen teknolojik gelişmeler arasında önemli bir yer edinmiştir. İşbu sistemlere dayalı olarak geliştirilen uygulama ve hizmetler; bilgiye erişim, içerik üretimi ve çeşitli destekleyici faaliyetler kapsamında iş yerlerinde giderek daha yaygın biçimde kullanılmaktadır. Bununla birlikte, bu araçların kullanımının her zaman açık biçimde tanımlanmış bir kurumsal strateji, politika veya yönlendirme çerçevesi içerisinde gerçekleşmemesi ve çoğu durumda çalışanların günlük işlerini kolaylaştırmaya yönelik bireysel tercihler doğrultusunda şekillenmesi, ÜYZ araçlarının kurumsal düzeyde izlenmesi ve yönetilmesini zorlaştırabilmektedir.

Rehber, başta veri sorumluları olmak üzere tüm şirket, kurum ve kuruluşların, iş yerlerinde ÜYZ araçlarının kullanımına ilişkin farkındalık kazanmalarını ve bu araçların kullanımından kaynaklanabilecek riskleri yönetebilmelerini amaçlamaktadır. Bu kapsamda Rehber, ÜYZ araçlarının kontrol dışı kullanımı ve söz konusu durumun ortaya çıkardığı riskler ile iş yerlerinde ÜYZ araçlarının kullanımına ilişkin dikkate alınabilecek hususlara yer vermektedir. Rehberde öne çıkan hususlar aşağıdaki gibidir:

Kurum veya kuruluş bünyesinde ÜYZ araçlarının, söz konusu kurum veya kuruluşun bilgisi, onayı veya kurumsal kontrolü dışında çalışanlar tarafından iş süreçlerinde kullanılması olarak tanımlanan Gölge Yapay Zekâ kavramı ve bu kapsamda ortaya çıkan denetlenebilirlik, karar kalitesi, fikri mülkiyet, kurumsal itibar, bilgi güvenliği ve kişisel verilerin korunmasına ilişkin riskler detaylı biçimde ele alınmıştır. Gölge Yapay Zekâ kullanımlarının çoğu zaman çalışanların bireysel inisiyatifiyle ortaya çıkmakta olup mevcut kurumsal bilişim altyapıları, yönetişim çerçeveleri ve denetim mekanizmaları kapsamında öngörülmeyen veya bu mekanizmalar tarafından yeterince izlenemeyen biçimlerde gerçekleştiği belirtilmiştir.

Gölge Yapay Zekâ kullanımının beraberinde getirebileceği riskler (i) denetlenebilirlik ve hesap verebilirliğe ilişkin riskler, (ii) karar kalitesi ve doğruluğa ilişkin riskler, (iii) fikri mülkiyet ve ticari sırların korunmasına ilişkin riskler, (iv) kurumsal itibar ve güven kaybına ilişkin riskler, (v) bilgi güvenliği ve siber güvenliğe ilişkin riskler ve (vi) kişisel verilerin korunmasına ilişkin riskler olarak belirlenmiştir.

ÜYZ sistemlerine dayalı araçların kullanımında kişisel verilerin korunmasına ilişkin mevzuatta yer alan düzenlemelere riayet edilmesi, ÜYZ sistemlerinin kişisel verilerin korunması kapsamındaki etkilerinin değerlendirilmesi, ÜYZ sistemlerinin geliştirilmesi ile kullanılmasında bireylerin mahremiyetine saygılı bir yaklaşımın teşvik edilmesi ve ÜYZ sistemlerinin yaşam döngüsü boyunca gerçekleştirilen kişisel veri işleme faaliyetleri bakımından Kurum'un "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)" rehberinin dikkate alınması tavsiye edilmiştir.

İş yerlerinde ÜYZ araçlarının kullanımına ilişkin olarak şirket, kurum ve kuruluşlar tarafından dikkate alınabilecek genel hususlar belirlenmiş ve bu araçların kurumsal politika veya yönlendirme çerçevesi içerisinde yönetilmesinin önemi vurgulanmıştır.

Çalışanların kurumsal açıdan hassas nitelik taşıyan bilgiler ile kişisel veriler bakımından dikkatli bir yaklaşım benimsemeleri gerektiği, ÜYZ araçlarına veri girişi yapılırken özellikle kişisel veriler ve ticari sırlara konu bilgiler açısından azami özen gösterilmesi gerektiği ifade edilmiştir. Bu çerçevede, ÜYZ araçlarıyla etkileşim sırasında mümkün olduğunca anonimleştirilmiş, genelleştirilmiş ve soyut ifadelerin tercih edilmesinin faydalı olacağı açıklanmıştır. Örneğin, belirli kişi adları, tarih, konum veya benzeri ayırt edici unsurlar içeren ayrıntılar yerine daha genel anlatımların kullanılmasının, kişisel verilerin korunması bakımından daha ihtiyatlı bir yaklaşım olduğu değerlendirilmiştir.

ÜYZ çıktılarına aşırı güven duyulması ve insan yargısının geri planda kalması riskine dikkat çekilmiş, üretilen içeriklerin doğruluk, güncellik ve uygunluk açısından insan denetiminden geçirilmesinin gerekliliği belirtilmiştir.

Otomasyon önyargısı (automation bias) olarak ifade edilen durumun kullanıcıların otomatik sistemler tarafından üretilen çıktıları yeterli sorgulama ve değerlendirmeye tabi tutmaksızın doğru kabul etmesi sonucuna yol açacağından bahsedilmiş, ÜYZ araçları tarafından üretilen ve gerçeklikle örtüşmese dahi biçimsel olarak tutarlı ve ikna edici görünen içeriklerin (halüsinasyonlar) yanlış veya yanıltıcı bilgilerin fark edilmeden iş süreçlerine dahil edilip kurumsal karar alma süreçlerinde hatalı değerlendirmelere yol açabileceği açıklanmıştır.

Veri güvenliği ve erişim kontrolüne ilişkin tedbirlerin değerlendirilmesi kapsamında, ÜYZ araçlarına erişimin yetkilendirme esasına göre sınırlandırılması, log kayıtlarının tutulması ve periyodik denetimlerin yapılması önerilmiştir.

Çalışanlar nezdinde farkındalık oluşturulmasına yönelik eğitim ve bilgilendirme faaliyetlerinin düzenlenmesi, ÜYZ araçlarının güvenli ve hukuka uygun kullanımına ilişkin iç politika ve prosedürlerin oluşturulması gerektiği vurgulanmıştır.

