ARTICLE
3 December 2025

Veri Koruma ve Siber Güvenlik Perspektifinden Yapay Zekâda Artan Düzenleme İhtiyacı

G+
Gun + Partners

Contributor

Gun + Partners logo
Gün + Partners is a full-service institutional law firm with a strategic international vision, providing transactional, advisory and dispute resolution services since 1986. The Firm is based in Istanbul, with working offices Ankara and Izmir. The Firm advises in life sciences, energy, construction & real estate, technology, media and telecoms, automotive, FMCG, chemicals and the defence industries.”
Explore Firm Details
Yapay zekâ teknolojilerinin hızla gelişmesi ve üretken yapay zekâ sistemlerinin yaygın şekilde kullanılması, yapay zekanın düzenlenmesi ihtiyacını da beraberinde getiriyor.
Turkey Technology
Begüm Yavuzdoğan Okumuş and Yalçın Umut Talay
Your Author LinkedIn Connections
Gun + Partners are most popular:
  • in Turkey

Yapay zekâ teknolojilerinin hızla gelişmesi ve üretken yapay zekâ sistemlerinin yaygın şekilde kullanılması, yapay zekanın düzenlenmesi ihtiyacını da beraberinde getiriyor. Avrupa Birliği Yapay Zeka Yasası ("AI Act") çerçevesinde Avrupa Birliği'ne üye ülkelerde atılan adımlar ve tartışılan hususlar da konunun hukuki çerçevesini netleştirmeye başladı. Türkiye'de de yapay zekaya yönelik henüz özel bir düzenleme olmasa da başta veri koruma ve siber güvenlik açısından değerlendirilmesinde yarar olan gelişmeler bulunmaktadır.

Kişisel Verilerin Korunması – Üretken Yapay Zekâ Rehberi

Kişisel Veriler Koruma Kurumu ("Kurum"), üretken yapay zekâ uygulamalarının yenilikçi fırsatlar ve faydalar sunmakla birlikte etik, hukuki ve toplumsal açılardan bazı riskleri de beraberinde getirdiğini vurgulayarak bu uygulamaları geliştiren ve kullanan veri sorumluları için bir rehber oluşturmak adına 24 Kasım 2025 tarihinde Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi'ni ("Üretken Yapay Zekâ Rehberi") yayınlamıştır.

Bilindiği üzere, Kurum, yapay zekâ ile dünyadaki gelişmelere paralel olarak konuyu yakından takip etmektedir. Kurum'un daha önce yapay zekâ alanında kişisel verilerin korunmasına ilişkin yayınladığı tavsiyeler ile ilgili makalemize de buradan ulaşabilirsiniz.

Kurum bu defa büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından girilen istem ya da komuta (prompt) yanıt olarak metin, görsel, video, ses veya yazılım kodu gibi farklı formatlarda içerikler üretebilen yapay zekâ uygulamalarına odaklanmakta, bu üretken yapay zekâ modellerinin çalışma prensipleri ve söz konusu çıktıları nasıl oluşturabildiklerine yönelik bir farkındalık sağlamaya çalışmaktadır. Üretken Yapay Zekâ Rehberi'nde bu sistemlerin çalışma prensiplerini de detaylı olarak anlatan Kurum, başta "halüsinasyonlar", tutarsız çıktılar, ön yargı ve yanlı çıktılar, veri gizliliği ve güvenliği endişeleri, fikri mülkiyet haklarının ihlali, "deep fake" ve manipülatif içerikler olmak üzere bu sistemlerin beraberinde getirdiği riskleri ve bu risklerin kişisel verilerin korunması düzenlemeleri ışığında nasıl ele alınabileceğini de açıklamaktadır.

Üretken Yapay Zekâ Rehberi'nde yer alan ve veri sorumluları açısından dikkat edilmesi gereken önemli bazı hususlar aşağıdaki gibidir:

  • Üretken yapay zekâ sistemlerinin eğitimi, değerlendirilmesi, izlenmesi ve kullanılması sırasında Türkiye'deki mukim kişisel verilerin bu süreçlere dahil edilmiş olması hâlinde bu sürecin Kişisel Verilerin Korunması Kanunu'na ("KVKK") tabi bir veri işleme faaliyeti olduğu unutulmamalıdır, yapay zekâ modeli doğrudan kişisel verileri hedeflemese dahi rastlantısal ya da dolaylı bir şekilde de kişisel veri işliyor olabilir. Ayrıca, bu sistemlerinin tasarımı, geliştirilmesi ve test edilmesi gibi süreçlerde yalnızca anonim ya da anonimleştirilmiş verilerin kullanılması halinde dahi anonimleştirme faaliyetinin kendisinin de bir işleme faaliyeti olduğu ve anonim hâle getirildiği ileri sürülen verilerin gerçekten anonim olup olmadığının teknik yöntemler ve nesnel ölçütlerle ortaya konulması gerekliliğine de vurgu yapılmıştır.
  • Üretken yapay zekâ sistemlerinin kompleks yapısı ve çok katmanlı işleyişinin veri sorumlusunun ve veri işleyenin tespitini güçleştirdiği belirtilmekle birlikte özellikle KVKK'dan kaynaklanan yükümlülüklerin belirlenebilmesi adına bu tespitin önemli olduğu vurgulanmıştır ve bu tespitin nasıl yapılabileceği örneklerle değerlendirilmiştir. Rehber uyarınca veri sorumlularının belirlenmesinde taraflar arasındaki sözleşmelerden ziyade, tarafların bu sistemler ile yapılan veri işleme faaliyetleri üzerindeki fiili kontrolünün esas alınması, fiili uygulamaların da bu kontrol ve karar alma yetkileri ile uyumlu olup olmadığının tespit edilmesi gerekmektedir.
  • KVKK'nın genel ilkeleri ve hukuki işleme nedenlerine uyum konusunun altı çizilmiştir. Bu çerçevede, üretken yapay zekâ sistemlerinin yaşam döngüsü boyunca gerçekleştirilen kişisel veri işleme faaliyetlerinin, KVKK'nın genel ilkelerine uygun şekilde yürütülmesinin zorunlu olduğu vurgulanmıştır. İlkelerin her birinin yapay zekâ sistemlerinin yaşam döngüsü açısından nasıl ele alınabileceğine ilişkin pratik örnekler sağlanmıştır. Yapay zekâ sistemlerinin geliştirilmesi, çalıştırılması ve çıktılarının kullanılması gibi her bir adımı için hangi işleme şartına dayanıldığının ayrı ayrı belirlenmesi gerekecektir. Nitekim, kullanıcı tarafından girilen kişisel verilerin modelin çalıştırılması amacıyla işlenmesi, bu verilerin modelin geliştirilmesi amacıyla kullanılması, model tarafından üretilen çıktıların kullanıcıyla etkileşimin kişiselleştirilmesi amacıyla kullanılması ve model tarafından üretilen çıktıların modelin geliştirilmesi için kullanılması gibi süreçlerin her biri ayrı veri işleme süreçleri olarak değerlendirilmelidir ve ayrı hukuki neden analizini gerektirmektedir. Rehber'de bu hukuki neden analizlerinin nasıl yapılabileceğine ilişkin pratiğe yönelik pek çok örnek bulunmaktadır.
  • Yurt dışına veri aktarımı düzenlemelerine uyum da kritik bir konu olarak Rehber'de düzenlenmektedir.
  • Rehber'de üretici yapay zekâ kullanımında şeffaflık, ilgili kişi haklarının etkin biçimde kullanılabilmesi ve veri güvenliğinin sağlanmasının gerek hukuki uyumun gerekse toplumsal güvenin temelini oluşturduğu vurgulanmaktadır. Aydınlatma yükümlülüğünün açık ve ayrı bir şekilde yerine getirilmesi, otomatik karar almaya dayanan süreçlerde bireylere itiraz ve yeniden değerlendirme imkânı sunulması, insan müdahalesine tabi olması, tasarımdan itibaren mahremiyet yaklaşımının benimsenmesi ve risk odaklı güvenlik önlemlerinin uygulanmasının gerekli olduğu belirtilmiştir. Bu kapsamda veri sorumlularının "red teaming", mahremiyet artırıcı teknolojiler (PET) ve etki değerlendirmeleri gibi yöntemlerle sistemleri proaktif olarak gözetmesi gerektiğine işaret edilmiştir.
  • Özellikle yapay zekâ sistemlerinde kişisel verilerin işlenmesi için meşru menfaat hukuki sebebine dayanılırken etki değerlendirmesi yapılmasındaki faydaların altı çizilmiştir. Yapay zekâ uygulamaları ile yapılacak işlemenin gerekli olup olmadığı, veri sorumlusuna sağladığı menfaatin ne olduğu, aynı menfaatin üretken yapay zekâ ile işleme olmaksızın elde edilmesinin mümkün olup olmadığı, ilgili kişilerin mahremiyetleri kapsamındaki makul beklentileri ve veri işleme sonucunda ortaya çıkabilecek olası olumsuz etkiler gibi hususların önceden değerlendirilmesi önerilmektedir. Bu vesile ile meşru menfaat hukuki nedenine dayalı veri işleme uygulamalarında etki değerlendirmesi yapılması hususu mevzuatta olmamasına rağmen tekrar gündeme gelmiştir.

Siber Güvenlik

Siber Güvenlik Başkanı'nın atanması ile birlikte Siber Güvenlik Başkanlığı'nın teşkilatının da yakın zamanda tamamlanması ve yapay zekâ odaklı çalışmalar da yapması beklenmektedir. Bilindiği üzere, Siber Güvenlik Kanunu 19 Mart 2025 tarihli Resmi Gazete'de yayınlanarak yürürlüğe girmiştir ve bu kanunla ulusal siber güvenlik politikalarının etkin uygulanması, kamu kurumları ve kritik altyapıların dayanıklılığının artırılması, teknolojik gelişmelerin süreçlere entegrasyonu, siber olayların merkezi bir bakış açısıyla izlenmesi ve bertaraf edilmesi, caydırıcı yaptırımların uygulanması, standardizasyon ve sertifikasyon süreçlerinin düzenlenmesi ile siber suçlara yönelik cezaların artırılması amaçlanmaktadır.

Siber Güvenlik Kanunu uyarınca bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, (i) siber güvenliğe ilişkin Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmek, (ii) siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, (iii) hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek, (iv) kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek, (v) siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak gibi önemli görev ve sorumlulukları bulunmaktadır. Dolayısıyla, Siber Güvenlik Başkanlığı'nın yapacağı düzenlemeler, yapay zekâ sistemlerinin geliştirilmesi, çalıştırılması ve çıktılarının kullanılması, hangi yapay zekâ sistemlerinin tedarik edilebileceği ve tedarik sürecinde dikkat edilmesi gerekecek hususlar bakımından da son derece önemli olacaktır. Dolayısıyla Siber Güvenlik Başkanlığı'nın düzenlemelerinin yakın şekilde takip edilmesi son derece önemlidir.

Yeni Yapay Zekâ Kanun Teklifi

Daha önce "Türkiye'de Yapay Zekanın Düzenlenmesine İlişkin Gelişmeler" hakkında makalemiz kapsamında değerlendirdiğimiz ve AI Act düzenlemelerine paralel bir yaklaşımı benimseyen ilk yapay zekâ kanun teklifine ek olarak, yakın zamanda sunulan yeni bir kanun teklifinde de yapay zekâ sistemlerinin beraberinde getirdiği risklerin başka Türk Ceza Kanunu olmak üzere çeşitli kanunlar çerçevesinde ele alınması gerektiği vurgulanmıştır ve pek çok kanunda yapay zekaya doğrudan işaret eden ancak yaptırım odaklı düzenlemeler yapılması teklif edilmiştir.

Kanun teklifinde, yapay zeka sistemlerinin 'bir suça yönlendirilmesinin' de suç olarak düzenlenmesi, yapay zeka sistemini suç işlenmesine imkan sağlayacak şekilde tasarlayan veya eğitenlerin cezai sorumluluğunun olması, yapay zekâ ile üretilen kişilik haklarına aykırı, kamu güvenliğini tehdit eden ya da sahte (deep fake) içeriklerle ilgili erişimlerin engellenmesi ve gerekli durumlarda acil karar alınmasına imkan sağlayan düzenlemeler yapılması, yapay zeka uygulamasında kullanılacak veri setlerinin anonimliği, ayrımcılık yasağı ve meşruiyet ilkelerine uygun olması, şeffaflık, denetlenebilirlik, yanlış, manipülatif ve halüsinasyon risklerinin engellenmesi vb. öncelikli konular ele alınmıştır. Bu yeni kanun teklifinin tamamını buradan inceleyebilirsiniz.

Bu kanun teklifi halihazırda Sanayi, Ticaret, Enerji, Tabii Kaynaklar, Bilgi ve Teknoloji komisyonlarında görüşülmeye devam etmekle birlikte teklifin bu hali ile yasalaşması beklenmemektedir. Yapay zekâ ile ilgili kanun çalışmalarında daha geniş bir paydaş katılımının sağlanması, çeşitli sektörlerden uzmanların görüşlerinin alınması ile Avrupa Birliği'ndeki düzenlemelere paralel detaylı bir çerçeve oluşturulması ihtiyacı halen devam etmektedir.

Değerlendirme

Yapay zekâ sistemlerinin sunduğu fırsatlardan güvenli ve sorumlu bir şekilde yararlanmak; bireylerin kişisel verilerini koruyan, insan haklarına saygılı, şeffaf ve hesap verebilir bir yaklaşımı zorunlu kılmaktadır. Bunun yanında, insan gözetimi, etki değerlendirme testi uygulaması, tasarım aşamasında gizlilik önlemlerinin alınması gibi hususlar kişisel verileri koruma ve siber güvenlik mevzuatında kendilerine yer bulmaktadır.

Bununla birlikte, Avrupa Birliği'nde de AI Act'in uygulama kapsamı ve yürürlüğü beraberinde bazı tartışmaları getiriyor olsa da Türkiye'de halihazırda tam olarak AI Act paralelinde bir yaklaşımın mevcut olmadığı, şu aşamada konunun sadece rehber, politika, strateji, eylem planı gibi belgelerle ele alınmaya çalışıldığı belirtilebilir. Milletvekilleri tarafından hazırlanan kanun teklifleri de bazı risklere öncelikle işaret edilmesi gerektiğini göstermektedir ancak halihazırda sunulan teklif metinleri ülkemizde bu konuda özel bütünsel bir düzenleme yapılmaksızın somut bazı konularda hukuki problemlerin önüne geçilmesi için yaptırım odaklı düzenlemeler olarak nitelendirilebilir. Bu gibi düzenlemelerin yerine şüphesiz kendi ülkemize öz olan yapay zekâ düzenlemelerine ihtiyaç bulunmaktadır ve bu ihtiyaç her geçen gün artmaktadır.

Katkılarından dolayı Ufuk Ege Uçar ve Mina Sarı'ya teşekkürler.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Begüm Yavuzdoğan Okumuş
Begüm Yavuzdoğan Okumuş
Photo of Yalçın Umut Talay
Yalçın Umut Talay
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More