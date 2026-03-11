Article Insights

Kisisel Verileri Koruma Kurulu ("Kurul") Is Yerlerinde Üretken Yapay Zekâ Araçlarinin Kullanimi hakkinda dokümani ("Doküman") üçüncü taraflarca sunulan ve kamuya açik olarak erisilebilen üretken yapay zekâ araçlarininis yerlerinde kullanimina iliskin genel bir çerçeve sunmak amaciyla 5 Mart 2026 tarihinde Kurul'un resmi internet sitesinde yayinlanmistir. Isbu makalemizde, üretken yapay zekâ sistemlerinin son yillardaki gelisimi ve kisisel veriler kapsaminda iliskinin incelenmesi ele alinmaktadir.

Bilindigi üzere, üretken yapay zekâ sistemleri son yillarda en önemli teknolojik gelismelerin arasinda yer almaktadir. Bu teknolojik gelisme is süreçlerinde de oldukça yogun sekilde kullanilmakta, bilgiye erisim, üretim konularinda kolaylik saglamasi, metin, görsel, ses, yazilim kodu ve benzeri içeriklerin üretilmesi ile çalisanlarin tercih sebebi olmaktadir. Kurul hazirlanan bu Doküman ile, üretim araçlarinin kullanimina genel bakis, kontrol disi kullanimi ve riskleri, kullanimda dikkate alinmasi gereken hususlari ele alarak sirket, kurum ve kuruluslar nezdinde farkindalik olusturmayi, olasi risklere dikkat çekmeyi ve bilinçli kullanimi tesvik etmeyi hedeflemektedir.

Is Yerlerinde Üretken Yapay Zekâ Araçlarinin Kullanimina Genel Bakis

Üretken yapay zeka ("ÜYZ") Doküman'da açikça tanimlanmis olup su sekildedir; büyük ölçekli veri kümeleri üzerinde egitilen ve kullanici tarafindan sunulan istem veya komutlara (prompt) yanit olarak metin, görsel, video, ses ya da yazilim kodu gibi farkli formatlarda içerikler üretebilen yapay zekâ ("YZ") sistemlerini ifade etmektedir.

ÜYZ araçlarinin yayginlasmasi ve erisilebilirliginin artmasi, çalisanlarin bu araçlari is süreçlerinde kullanmalarini önemli ölçüde kolaylastirmaktadir. Nitekim üretken yapay zekâ araçlari yalnizca belirli bir sektör veya meslek grubu ile sinirli olmayip farkli uzmanlik alanlarinda yürütülen faaliyetlerde destekleyici bir araç olarak kullanilabilmektedir. Günümüzde bu araçlar; e-posta ve metin taslaklarinin hazirlanmasi, belgelerin özetlenmesi, içeriklerin analiz edilmesi, fikir gelistirme süreçlerinin desteklenmesi, toplanti notlarinin olusturulmasi ve arastirma faaliyetlerinin hizlandirilmasi gibi birçok farkli amaçla kullanilabilmektedir. Üretken yapay zekâ araçlarinin sundugu hiz ve verimlilik avantajlari, birçok kurulusta bu araçlarin is süreçlerinin çesitli asamalarina entegre edilmesine zemin hazirlamaktadir.

Gölge Yapay Zekâ ve Gölge BT

Kurul tarafindan yayimlanan Doküman'da dikkat çekilen kavramlardan biri Gölge Yapay Zekâ (Shadow AI) olarak ifade edilmektedir. Gölge yapay zekâ, çalisanlarin üretken yapay zekâ araçlarini kurumun bilgisi, onayi veya kurumsal kontrol mekanizmalari disinda is süreçlerinde kullanmasini ifade etmektedir. Çogu zaman bireysel inisiyatifle ortaya çikan bu kullanim biçimi, kurumlarin bilisim altyapisi ve yönetisim mekanizmalari tarafindan yeterince izlenemeyen uygulamalara yol açabilmektedir. Günümüzde gölge yapay zekâ kullanimi birçok kurulus açisindan teorik bir risk olmaktan çikmis, günlük is akislari içerisinde karsilasilan bir olgu hâline gelmistir. Çalisanlarin toplanti notlari, iç yazismalar, rapor taslaklari veya müsterilere ve çalisanlara iliskin çesitli bilgileri üretken yapay zekâ araçlari ile paylasmasi, kurumlarin kontrolü disinda veri paylasimi riskini artirabilmektedir. Bu olgu, kurumlarin uzun süredir karsi karsiya kaldigi Gölge BT (Shadow IT) uygulamalariyla da benzerlik göstermekte olup, kurum tarafindan onaylanmamis veya izlenmeyen dijital araçlarin çalisanlar tarafindan is amaçli kullanilmasi sonucunda ortaya çikmaktadir. Benzer sekilde üretken yapay zekâ araçlarinin kontrolsüz kullanimi da kurumlarin risk yönetimi süreçlerini zorlastirabilecek yeni bir alan olusturmaktadir.

Gölge Yapay Zekâ Kullaniminin Riskleri

Doküman'da gölge yapay zekâ kullaniminin beraberinde getirebilecegi risklere de dikkat çekilmektedir.

Denetlenebilirlik: Kurumsal kayit ve denetim mekanizmalarina tabi olmayan üretken yapay zekâ araçlarinin kullanimi, hangi verilerin hangi amaçla kullanildiginin ve ortaya çikan sonuçlarin hangi gerekçelerle üretildiginin sonradan tespit edilmesini zorlastirabilmektedir.

Kurumsal kayit ve denetim mekanizmalarina tabi olmayan üretken yapay zekâ araçlarinin kullanimi, hangi verilerin hangi amaçla kullanildiginin ve ortaya çikan sonuçlarin hangi gerekçelerle üretildiginin sonradan tespit edilmesini zorlastirabilmektedir. Karar Kalitesi ve Dogrulugu: Kurumsal dogrulama süreçlerinden geçmeyen yapay zekâ çiktilari hatali, yaniltici veya tutarsiz sonuçlar üretebilmekte ve bu durum is süreçlerinde yanlis degerlendirmelere yol açabilmektedir.

Kurumsal dogrulama süreçlerinden geçmeyen yapay zekâ çiktilari hatali, yaniltici veya tutarsiz sonuçlar üretebilmekte ve bu durum is süreçlerinde yanlis degerlendirmelere yol açabilmektedir. Fikri Mülkiyet ve Ticari Sirlarin Korunmasi: Kaynak kodlari, ürün tasarimlari, is stratejileri veya rekabet açisindan hassas bilgilerin harici üretken yapay zekâ araçlari ile paylasilmasi, bu bilgilerin kontrolünün kaybedilmesi veya üçüncü kisilerce erisilebilir hâle gelmesi riskini dogurabilmektedir.

Kaynak kodlari, ürün tasarimlari, is stratejileri veya rekabet açisindan hassas bilgilerin harici üretken yapay zekâ araçlari ile paylasilmasi, bu bilgilerin kontrolünün kaybedilmesi veya üçüncü kisilerce erisilebilir hâle gelmesi riskini dogurabilmektedir. Itibar ve Güven Kaybi: Dogrulugu teyit edilmemis yapay zekâ çiktilarinin kullanilmasi, hatali veya güvenilirligi düsük içeriklerin paylasilmasi yoluyla kurumun paydaslar nezdindeki güvenilirligini zedeleyebilmektedir.

Dogrulugu teyit edilmemis yapay zekâ çiktilarinin kullanilmasi, hatali veya güvenilirligi düsük içeriklerin paylasilmasi yoluyla kurumun paydaslar nezdindeki güvenilirligini zedeleyebilmektedir. Bilgi Güvenligi ve Siber Güvenlik: Kurumsal kontrol disinda kullanilan üretken yapay zekâ araçlari; güvenli olmayan API'ler, kisisel cihazlar veya kontrolsüz entegrasyonlar araciligiyla kurumlarin siber saldirilara açik hâle gelmesine neden olabilmektedir.

Kurumsal kontrol disinda kullanilan üretken yapay zekâ araçlari; güvenli olmayan API'ler, kisisel cihazlar veya kontrolsüz entegrasyonlar araciligiyla kurumlarin siber saldirilara açik hâle gelmesine neden olabilmektedir. Kisisel Verilerin Korunmasi: Bununla birlikte kisisel verilerin korunmasi bakimindan da önemli riskler ortaya çikmaktadir. Kurumsal kontrol disinda kullanilan üretken yapay zekâ araçlari ile kisisel verilerin paylasilmasi, veri ihlali riskini artirabilmektedir. Bu tür kullanimlar kisisel verilerin hukuka aykiri sekilde islenmesine, yetkisiz kisiler tarafindan erisilebilir hâle gelmesine veya amaç disi kullanilmasina yol açabilmektedir. Ayrica kullanicilarin komutlar araciligiyla paylastigi kisisel verilerin veya kurumsal açidan hassas bilgilerin üretilen çiktilara yansimasi ve bu çiktilar üzerinden üçüncü kisiler tarafindan erisilebilir hâle gelmesi de önemli bir güvenlik sorunu olarak degerlendirilmektedir.

ÜYZ Araç Kullaniminda Dikkate Alinmasi Gereken Hususlar

Bu çerçevede üretken yapay zekâ araçlarinin is süreçlerinde giderek daha yaygin biçimde kullanilmasi, kuruluslarin bu araçlara iliskin kurumsal politika ve uygulamalarini gözden geçirmelerini gerekli kilmaktadir. Nitekim yalnizca yasaklayici yaklasimlara dayanan politikalarin uygulamada etkin sonuçlar dogurmasinin zor oldugu degerlendirilmektedir. Bu nedenle kuruluslarin üretken yapay zekâ araçlarinin kullanimina iliskin açik ve kapsamli bir kurumsal politika olusturmasi önem tasimaktadir.

Politika ve Yönlendirmeler: Uygulamada bazi kuruluslarin olusturdugu politika ve yönlendirmelerde; kisisel veri, ticari sir veya kurumsal açidan hassas bilgi içermemesi sartiyla kamuya açik üretken yapay zekâ araçlarinin belirli amaçlarla kullanilmasina izin verildigi görülmektedir. Örnegin fikir gelistirme çalismalarinin desteklenmesi, metinlerin dilsel açidan gözden geçirilmesi veya internet ortaminda bulunan içeriklerin özetlenmesi gibi kullanim alanlari belirli sinirlar dahilinde kabul edilebilmektedir. Buna karsilik müsteri dosyalari, insan kaynaklari verileri veya iç yazismalar gibi hassas nitelikteki bilgilerin üretken yapay zekâ araçlari ile paylasilmasi genellikle politika kapsaminda yasaklanan kullanim biçimleri arasinda yer almaktadir.

Kisisel Veriler Hassasiyeti: Öte yandan üretken yapay zekâ araçlarinin kullanimi sirasinda çalisanlarin özellikle kisisel veriler ve kurumsal açidan hassas bilgiler bakimindan dikkatli bir yaklasim benimsemesi gerekmektedir. Saglik verileri, finansal bilgiler veya hukuki süreçlere iliskin bilgiler gibi hassas nitelikteki veriler söz konusu oldugunda, bu araçlarin kullaniminda daha temkinli bir yaklasim benimsenmesi önem arz etmektedir.

Üretken Yapay Zekâ Araçlari ile Paylasilan Verilerin Niteligi: Doküman'da ayrica üretken yapay zekâ araçlari ile etkilesim sirasinda paylasilan verilerin niteligine iliskin dikkat edilmesi gereken hususlara da deginilmektedir. Buna göre kullanicilar tarafindan üretken yapay zekâ araçlarina girdi olarak sunulan komutlar araciligiyla kisisel veriler islenebileceginden, bu süreçlerde kisisel verilerin korunmasina iliskin yükümlülüklerin gözetilmesi önem tasimaktadir. Bu kapsamda özellikle kisiyi dogrudan veya dolayli olarak tanimlamaya elverisli bilgilerin bu araçlarla paylasilmasi çesitli riskler dogurabilecektir. Bu nedenle Doküman'da, üretken yapay zekâ araçlari ile etkilesim sirasinda mümkün oldugunca anonimlestirilmis, genellestirilmis ve soyut ifadelerin tercih edilmesinin kisisel verilerin korunmasi bakimindan daha ihtiyatli bir yaklasim olacagi ifade edilmektedir. Örnegin belirli kisi adlari, tarih veya konum gibi ayirt edici unsurlar yerine daha genel ifadelerin kullanilmasi önerilmektedir.

Sorgulayici ve Elestirel Yaklasim: Doküman'da ayrica üretken yapay zekâ araçlari tarafindan üretilen çiktilara asiri güven duyulmasinin da önemli bir risk olarak degerlendirildigi görülmektedir. Literatürde otomasyon ön yargisi (automation bias) olarak ifade edilen bu durum, kullanicilarin otomatik sistemler tarafindan üretilen sonuçlari yeterli degerlendirmeye tabi tutmadan dogru kabul etmesi sonucunu dogurabilmektedir. Bu nedenle yapay zekâ çiktilarinin insan denetimi ve elestirel degerlendirme süreçlerinden geçirilmesi önem tasimaktadir.

Teknik ve Idari Tedbirler: Son olarak üretken yapay zekâ araçlarinin güvenli sekilde kullanilabilmesi bakimindan veri güvenligi ve erisim kontrolüne iliskin teknik ve idari tedbirlerin degerlendirilmesi gerekmektedir. Çalisanlarin yalnizca kurum tarafindan belirlenen ve kullanim kosullari açikça tanimlanmis araçlara erisebilmesini saglayan yaklasimlar, kontrol disi kullanim biçimlerinin azaltilmasina katki saglayacaktir. Bununla birlikte çalisanlar nezdinde farkindalik olusturulmasi ve bu araçlarin güvenli kullanimi konusunda egitim faaliyetlerinin yürütülmesi de önemli bir unsur olarak degerlendirilmektedir.

Sonuç

Üretken yapay zekâ araçlari; veri güvenligi, kisisel verilerin korunmasi, fikri mülkiyet haklari, karar dogrulugu ve kurumsal itibar gibi birçok alanda çesitli riskleri beraberinde getirmektedir. Bununla birlikte söz konusu teknolojilerin sundugu hiz ve verimlilik avantajlari dikkate alindiginda, is ve özel hayatin farkli alanlarinda kullaniminin tamamen ortadan kaldirilmasi veya yasaklanmasi uygulamada gerçekçi bir yaklasim olarak degerlendirilememektedir. Nitekim bu tür araçlarin tamamen yasaklanmasi, çalisanlarin bu teknolojilere farkli yollarla ve kurumsal kontrol disinda erismesine yol açarak gölge yapay zekâ kullanimini artirma riskini de beraberinde getirebilecektir. Bu nedenle kuruluslarin üretken yapay zekâ araçlarina yönelik yasaklayici bir yaklasim yerine, kontrollü ve bilinçli kullanimi esas alan bir yönetisim çerçevesi benimsemeleri önem tasimaktadir. Bu kapsamda sirketler tarafindan açik kurumsal politikalarin olusturulmasi, çalisanlara yönelik farkindalik ve egitim faaliyetlerinin yürütülmesi, kisisel verilerin korunmasi bakimindan gerekli bilgilendirmelerin yapilmasi, yapay zekâ çiktilarinin sorgulayici bir yaklasimla degerlendirilmesi ve veri güvenligini saglamaya yönelik teknik ve idari tedbirlerin alinmasi büyük önem arz etmektedir.

