ARTICLE
5 May 2026

Sessizce Büyüyen Bir Kurumsal Risk; Gölge Yapay Zekâ

CL
Canpolat Legal

Contributor

Canpolat Legal logo
Canpolat Legal is a tech-savvy specialist law firm with an agile mindset, located in Istanbul. Canpolat Legal, which has been ranked by Chambers&Partners and World Trademark Review, especially take pride in dealing with complex Fintech and IP matters, and also legal issues of emerging technologies.
Explore Firm Details
Bir pazarlama yöneticisi müşteri listesini segmentlere ayırmak için dosyayı ChatGPT’ye yüklüyor. Bir İK uzmanı aday CV’lerini özetletiyor. Bir finans ekibi üyesi çeyrek sunumunun taslağını üretken yapay zekâya yazdırıyor. Hepsi iyi niyetli, hepsi verimlilik adına yapılıyor, ama -çoğunlukla- şirketin haberi olmadan.
Turkey Technology
Yasar K. Canpolat
Your Author LinkedIn Connections

Bir pazarlama yöneticisi müşteri listesini segmentlere ayırmak için dosyayı ChatGPT’ye yüklüyor. Bir İK uzmanı aday CV’lerini özetletiyor. Bir finans ekibi üyesi çeyrek sunumunun taslağını üretken yapay zekâya yazdırıyor. Hepsi iyi niyetli, hepsi verimlilik adına yapılıyor, ama -çoğunlukla- şirketin haberi olmadan.

Bu, üretken yapay zekânın (ÜYZ) iş hayatına girişiyle birlikte hemen her şirkette her gün yaşanan bir senaryo…

Literatürde “Shadow AI” (Gölge YZ) adı verilen bu olgu; şirketin bilgisi, denetimi ve kuralları dışında ilerleyen bireysel yapay zekâ kullanımını işaret ediyor.

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) Mart 2026'da yayımladığı “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” dokümanı (“Doküman”), bu tabloya bir uyarı getiriyor:kullanımın kurumsal görünürlük dışında sürmesi, şirketin hukuki sorumluluğunu bertaraf etmez; aksine sorumluluğu sessizce şirket üzerinde biriktirir.

Kurum’un yayımladığı bu Doküman üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen üretken yapay zekâ araçlarının iş yerlerinde kullanımını konu almakta, şirket, kurum ve kuruluşlar nezdinde farkındalık oluşturmayı, olası risklere dikkat çekmeyi ve bilinçli kullanımı teşvik etmeyi hedeflemektedir.

Bu yazımızda Kurum’un ilgil Doküman’da altını çizdiği hususları dikkate alarak (i) Gölge YZ’nin şirketler nezdinde yarattığı riskleri, (ii) Kurum’un ilgili riskleri yönetmek için önerisini ve (iii) Yapay zekâya ilişkin bir dahili politikanın içermesi gereken hususları ele almaya çalışacağız.

Altı Eksende Risk Haritası

Kurum’un Dokümanı, Gölge YZ kullanımının beraberinde getirdiği riskleri altı başlıkta ele almaktadır.

  • Fikri mülkiyet ve ticari sırlar.Kaynak kod, ürün tasarımları, iş stratejileri ve rekabete duyarlı bilgilerin harici araçlarla paylaşılması; bu bilgilerin kurumsal kontrol dışına çıkmasına, bazı durumlarda model eğitim süreçlerinde kullanılmasına zemin hazırlayabilmektedir.
  • Denetlenebilirlik ve hesap verebilirlik.Kurumsal kayıt mekanizmalarına tabi olmayan araçlar üzerinden üretilen çıktılar bakımından; hangi verilerin hangi amaçla işlendiğinin ve belirli sonuçların nasıl ortaya çıktığının tespit edilmesi güçleşmektedir. Bir ihlal anında izlenebilirlik yoksa savunma da yoktur.
  • Bilgi ve siber güvenlik.Kurumsal kontrol dışında kullanılan araçlar; güvensiz API’ler, kişisel cihazlar veya yönetilmeyen entegrasyonlar aracılığıyla kurumların siber saldırı yüzeyini genişletmekte, yetkisiz erişim ve veri kaybı risklerini artırmaktadır.
  • Karar kalitesi ve otomasyon önyargısı.Kurumsal değerlendirmeye tabi tutulmadan kullanılan araçlar hatalı veya tutarsız çıktılar üretebilir. Doküman özellikle “otomasyon önyargısı”na dikkat çekmektedir: çalışanların makine çıktılarını yeterli sorgulamaya tabi tutmaksızın kabul etme eğilimi, zamanla insan muhakemesini ikincil konuma taşıyabilmektedir.
  • Kişisel verilerin korunması.Komutlar aracılığıyla üçüncü taraf sistemlere aktarılan kişisel veriler; hukuka aykırı işlenebilir, amaç dışı kullanılabilir ya da üretilen çıktılar üzerinden başkalarınca erişilebilir hale gelebilir. Doküman, 6698 sayılı Kanun’un teknolojiden bağımsız olarak uygulandığını açıkça ortaya koymaktadır.
  • Kurumsal itibar.Doğruluğu teyit edilmemiş yapay zekâ çıktılarının kullanılması; hatalı bilgilendirme veya düşük kaliteli içerik üretimi yoluyla kuruluşun paydaşlar nezdindeki güvenilirliğini zedeleyebilmektedir.

Aslına bakılırsa bu riskleri somutlaştırmak için güncel hayattaki birkaç senaryoyu ele almak yeterlidir:

  • Bir satın alma ekibi rakip analizini kamuya açık bir yapay zekâ aracına yaptırıyor; girilen bilgiler üçüncü taraf altyapısında tutuluyor.
  • Bir hukuk birimi stajyeri özel nitelikli kişisel veri içeren bir sözleşme ekini araca yüklüyor; müvekkil gizliliği ve yurt dışı veri aktarım rejimi bir anda devreye giriyor.
  • Bir İK yöneticisi işe alım sıralamasında yapay zekâ önerilerini filtre olarak kullanıyor; otomasyon önyargısı nedeniyle ayrımcılık riski doğuyor, karar gerekçesi sonradan açıklanamıyor.

Üç senaryonun ortak noktası dikkat çekicidir: hiçbiri kötü niyetten kaynaklanmıyor. Hepsi, bir politikanın yokluğunun sonucu.

Yasaklamak Değil, Çerçevelemek

Kurum’un Dokümanı’nın en stratejik tespitlerinden birisi, yasaklayıcı yaklaşımların pratikte işe yaramadığına ilişkin açık değerlendirmesidir.

Kurum, üretken yapay zekâ araçlarının kullanımını tamamen yasaklamaya dayalı yaklaşımların uygulamada gerçekçi sonuçlar doğurmayacağını; aksine Gölge YZ kullanımını pekiştireceğini belirtmektedir.

Bu nedenle KVKK’nın önerisi yasaklamaktan ziyade yönlendirme, denge ve farkındalık ekseninde beş temel unsur üzerine kurulu bir yaklaşım ile ilgili risklerin yönetilmesidir; (i) açık bir kurumsal politika çerçevesi, (ii) kişisel veriler bakımından dikkatli bir kurumsal tutum, (iii) insan denetiminin korunması, (iv) teknik güvenlik tedbirleri ve (v) çalışan farkındalık eğitimleri.

Bu beş unsuru hayata geçirecek kurumsal aracın ise bir “Yapay zekâ Politikası” olacağını söylemek yanlış olmayacaktır.

Bir Politikanın Anatomisi

Bugüne kadarki tecrübelerimiz, güncel uygulamalar ve Kurum’un Dokümanı’nı ele aldığımızda, işlevsel bir yapay zekâ politikasının neyi kapsaması gerektiğine dair genel bir çerçeveyi aşağıdaki gibi çizmek mümkündür.

  • Kapsam ve tanımlar.Politikanın kimi (çalışanlar, danışmanlar, üçüncü taraflar), neyi (üretken YZ, geleneksel YZ, etken/agentic YZ) ve hangi süreçleri kapsadığı açık olmalıdır. Etken YZ sistemleri ayrı bir kategori olarak ele alınmalıdır; bu sistemler insan onayı olmadan çok adımlı eylem alabilir ve risk profilleri belirgin biçimde farklıdır.
  • Risk sınıflandırması.Her yapay zekâ kullanımı aynı düzeyde risk taşımaz. Düşük (e-posta dilbilgisi düzeltme), orta (kamuya açık veri analizi) ve yüksek (kişisel veri içeren analiz, kritik karar destek) risk kategorileri ayrıştırılmalı; her kategori için farklı denetim mekanizmaları öngörülmelidir.
  • Kişisel veri ve ticari sır kuralları.“Kesinlikle paylaşılmayacak veriler” listesi açıkça belirtilmelidir: müşteri ve çalışan kişisel verileri, KVKK md. 6 kapsamındaki özel nitelikli kişisel veriler, ticari sırlar, henüz açıklanmamış stratejik bilgiler. Anonimleştirme teknikleri pratik örneklerle gösterilmelidir; soyut yasaklar uygulanabilir değildir.
  • Kurumsal hesap zorunluluğu.Şirket işleri için kurumsal lisanslı hesapların kullanılması ve kişisel ücretsiz hesapların yasaklanması açıkça belirtilmelidir. Kurumsal hesaplarda komutların model eğitiminde kullanılmaması sözleşmesel olarak taahhüt edilir; bu, kişisel hesaplarda mevcut olmayan bir koruma katmanıdır.
  • İnsan denetimi ilkesi.Kişiler veya iş süreçleri hakkında sonuç doğuran kararlarda yapay zekâ çıktısı yalnızca destekleyici girdidir; nihai karar mutlaka insan tarafından verilmelidir. Bu ilke, işe alım, performans değerlendirme, kredi kararları ve müşteri segmentasyonu gibi alanlarda hem KVKK md. 11 kapsamındaki hakların korunması hem de ayrımcılık iddialarına karşı kritik bir savunmadır.
  • Şeffaflık ve aydınlatma.YZ sistemleri çalışan veya müşterilerle doğrudan etkileşime giriyorsa, bu kişilerin bir YZ ile iletişim kurduğunu bilme hakkı vardır. KVKK kapsamındaki aydınlatma yükümlülüğü burada da geçerlidir.
  • Geliştirme yaşam döngüsü.Şirket içinde geliştirilen YZ sistemleri için tasarım aşamasından itibaren mahremiyet (privacy by design), Veri Koruma Etki Değerlendirmesi (DPIA), kırmızı takım (red teaming) testleri ve aşamalı dağıtım adımları belgelenmelidir. Hazır araçların entegrasyonunda da satın alma öncesi hukuki ve teknik değerlendirme zorunlu olmalıdır.
  • Rol ve sorumluluk dağılımı.Hukuk, BT, geliştirici ekipler, iş birimleri ve üst yönetim için yetki ve sorumluluk haritası tanımlanmalıdır. Aksi takdirde “Herkesin sorumluluğu” çoğu zaman kimsenin sorumluluğu anlamına gelebilecektir.
  • Raporlama, denetim ve yaptırım.Hatalı veya şüpheli çıktıların raporlanma kanalları, periyodik denetim mekanizması ve politika ihlali halinde uygulanacak iç disiplin çerçevesi belirtilmelidir.

Erteleme Lüksü Kalmadı

Üretken yapay zekânın, günümüzde artık bir gelecek vizyonundan öte kurumsal altyapının kalıcı bir parçasına dönüşmeye başlamış olduğunu söyleyebiliriz.

Bu geçişi kontrolsüz bırakan şirketler için en görünür sonucu ise hiç şüphesiz; hukuki uyumsuzluk nedeniyle yaptırım, repütasyon kaybı, bilgi kaybı ve bunlara bağlı pazar kaybı olacaktır.

Kurum’un Doküman’a ilişkin zamanlamasını ve konuya ilişkin proaktif çözümler sunmasını bu anlamda takdir etmek gerekir.

Bununla birlikte Kurum tarafından yayımlanan dokümana dair aşağıdaki iki okumayı da yapmanın mümkün olacaağını düşünüyoruz:

  • Yeni Standart.Bir KVKK soruşturmasında veya veri ihlali davasında “sektörde genel kabul gören uygulama” ölçütünün değiştiğini söyleyebiliriz. KVKK, iş yerlerinde yapay zekâ kullanımına ilişkin kurumsal bir yaklaşım ve politika beklentisini yazılı biçimde ortaya koymuştur.
  • Hesap Verilebilirlik.Bir veri ihlali yaşandığında; yürürlükteki bir yapay zekâ politikası, gerekli teknik ve idari tedbirlerin alındığını kanıtlayan bir doküman olarak hesap verilebilirlik açısından kritik önem taşıyacaktır.

Bununla birlikte, müşteri ve yatırımcı beklentisinin de bu gelişmelerle şekillendiğini söyleyebiliriz. Nitekim, kurumsal alıcılar, tedarikçi değerlendirme süreçlerini giderek daha fazla veri yönetim standartları ekseninde yapılandırmaya başlamıştlardır. Yine, “Yapay zekâ kullanım politikanız var mı?” sorusu, büyük ölçekli ihalelerde ve yatırım süreçlerinde standart bir kontrol noktasına dönüşmektedir.

Dolayısıyla şirketlerin yapay zekâya ilişkin dahili riskleri yönetmeyi erteleme lüksünün kalmadığını söyleyebiliriz.

SONUÇ

Türkiye’de YZ’ye özgü düzenleyici çerçeve henüz oluşum aşamasındadır. Kurum’un yayımladığı Doküman ise bu düzenleyici çerçeveyi besleyecek bir kaynak olarak değerlendirmek ve buna bağlı olarak gerekli aksiyonları almak önemli olacaktır.

Nihayetinde, düzenleme gelmeden önce kendi düzenini kuran şirketler; düzenleme geldiğinde uyum sancısı yerine pozisyonlama avantajı yaşayacaktır.

Bu bağlamda şirketlerin Kurum’un yayımladığı dokümandaki çerçeveye sahip bir yapay zekâ politikası ile şirket için yönlendirme çalışmalarına başlamasını önermekteyiz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Yasar K. Canpolat
Yasar K. Canpolat
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More