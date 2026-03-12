Yeni Gelişme

Kişisel Verileri Koruma Kurumu ("Kurum"), 12 Mart 2026 tarihinde "Etken Yapay Zekâ (Agentic AI)" başlıklı rehberi ("Rehber") yayımladı. Rehber, etken yapay zekâ sistemlerinin ne olduğunu, bu sistemlerde yapay zekâ aracılarının işlevlerini, potansiyel kullanım durumlarını ve beraberinde getirebileceği riskleri genel hatlarıyla ele almakta; kişisel verilerin korunması bakımından dikkate alınabilecek hususları ortaya koymayı amaçlamaktadır.

Rehber bağlayıcı nitelikte olmamakla birlikte, Kurum'un bu alandaki değerlendirme yaklaşımını ve beklentilerini yansıtan önemli bir referans kaynağı niteliği taşımaktadır.

Rehber Neleri Kapsıyor?

Etken YZ Sistemleri Nedir?

Rehber, belirli hedeflere ulaşmak amacıyla farklı düzeylerde otonom biçimde davranabilen ve etkileşimde bulunabilen yapay zekâ aracılarından oluşan sistemleri "Etken YZ" (Agentic AI) olarak tanımlamaktadır. Bu sistemler, geleneksel yapay zekâ uygulamalarından farklı olarak, sürekli insan yönlendirmesine ihtiyaç duymaksızın çok adımlı görevleri yürütebilmekte; değişen koşullara uyum sağlayarak eylemleri koordine edebilmektedir. Rehber, söz konusu sistemlerin tek bir teknoloji türünden ziyade, hedef yönelimliliğin, otonomi düzeyinin ve çevreyle etkileşim biçiminin ön plana çıktığı sistemlere yönelik bir tasarım yaklaşımını ifade ettiğini vurgulamaktadır.

Kişisel Verilerin Korunmasına İlişkin Riskler

Rehber'in odak noktasını, Etken YZ sistemlerinin yapısal özelliklerinin kişisel veri işleme süreçlerine yansımaları oluşturmaktadır. Rehber'de öne çıkan riskler şu şekilde sıralanmaktadır: çok adımlı ve dağıtık yapı nedeniyle veri işlemenin kapsamının öngörülemeyen biçimde genişleyebilmesi ve amaçla sınırlılık ile veri minimizasyonu ilkelerine uyumun zorlaşması; sistem ilerledikçe ortaya çıkan yeni veri kullanımlarının başlangıçta belirlenen hukuki işleme şartlarıyla uyumunun korunamaması riski; farklı kaynaklardan derlenen verilerin birleştirilerek bireyler hakkında kapsamlı profiller oluşturulabilmesi; kara kutu niteliğinin çok aracılı yapılarda daha da derinleşmesi ve veri işleme süreçlerinin izlenebilirliğini ile hesap verebilirlik çerçevesinin oluşturulmasını güçleştirmesi; üretken YZ modellerinin halüsinasyon eğiliminin kişisel verilerin doğruluğunu tehdit etmesi ve hataların çok adımlı iş akışları aracılığıyla yayılması; saldırı yüzeyinin genişlemesi ve girdi manipülasyonu yoluyla hassas bilgilerin ifşa edilmesi riski.

Dikkate Alınması Gereken Hususlar

Rehber, risk odaklı bir yaklaşımın benimsenmesini tavsiye etmekte ve aşağıdaki hususları öne çıkarmaktadır:

İnsan merkezli tasarım ve anlamlı insan gözetiminin sağlanması; insan denetiminin hangi koşullarda ve hangi aşamalarda devreye gireceğinin önceden açıkça tanımlanması.

Şeffaflık ve açıklanabilirliğin sistematik biçimde gözetilmesi; sistem bileşenleri arasındaki etkileşimlerin izlenebilir kılınması ve istenmeyen sonuçların erken aşamada tespit edilmesine imkân tanıyan kontrol mekanizmalarının kurgulanması.

Geliştiriciler, yerleştiriciler ve diğer ilgili aktörler arasında görev, yetki ve sorumlulukların açık biçimde netleştirilmesi ve koordinasyonu gözeten bir iş birliği anlayışının benimsenmesi.

"Tasarımdan itibaren mahremiyet" (privacy by design) ve "varsayılan olarak mahremiyet" (privacy by default) yaklaşımlarının sistemlerin yaşam döngüsü boyunca uygulamaya geçirilmesi.

Veri koruma etki değerlendirmesi gibi araçlardan yararlanılarak Etken YZ sistemlerinin işleyişinden kaynaklanabilecek risklerin bütüncül biçimde değerlendirilmesi.

Sonuç

Rehber, Kurum'un Etken YZ sistemlerine ilişkin değerlendirme çerçevesini ve beklentilerini ortaya koymaktadır. Bu sistemleri kullanan veya kullanmayı planlayan kuruluşların; Etken YZ kullanımını kapsayan bir veri yönetişimi ve risk değerlendirme çerçevesi oluşturmaları, veri işleme süreçlerindeki aktörler arasındaki sorumluluk dağılımını netleştirmeleri, insan gözetimi mekanizmalarını tasarım aşamasından itibaren sisteme entegre etmeleri ve çalışanları bu sistemlerin kişisel veri işleme boyutu konusunda bilgilendirmeleri önerilmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.