KVKK ve Yapay Zeka 2026: Kişisel Verilerin AI ile İşlenmesinde Hukuki Sorunlar
Yapay zeka sistemleri büyük miktarda veriyle eğitilir ve çalışır. Bu verilerin önemli bir kısmı kişisel veri niteliğindedir. KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) kapsamında AI ile kişisel veri işleme, hukuki açıdan dikkatle ele alınması gereken bir konudur.
AI ve Kişisel Veri İşleme
Yapay zeka sistemlerinde kişisel veriler birden fazla aşamada işlenmektedir: Veri toplama — AI eğitimi için veri setlerinin derlenmesi. Veri ön işleme — verilerin temizlenmesi, sınıflandırılması ve yapılandırılması. Model eğitimi — toplanan verilerle AI modelinin öğrenme süreci. Çıkarım (inference) — eğitilmiş modelin yeni veriler üzerinde tahmin yapması. Sonuç işleme — AI çıktısının karar alma sürecinde kullanılması. KVKK açısından bu aşamaların her birinde kişisel veri işleme söz konusu olabilir ve her biri ayrı ayrı hukuka uygunluk değerlendirmesi gerektirir.
KVKK'nın Temel İlkeleri ve AI
KVKK m. 4'te sayılan kişisel veri işleme ilkelerinin AI bağlamında uygulanması: Hukuka ve dürüstlük kurallarına uygunluk — AI sistemi veri sahiplerini aldatıcı veya manipülatif şekilde kullanmamalıdır. Doğru ve gerektiğinde güncel olma — AI'ın eğitim verileri doğru olmalı ve modelin çıktıları güncel bilgileri yansıtmalıdır. Belirli, açık ve meşru amaçlar için işlenme — AI'ın hangi amaçla kişisel veri işlediği açıkça tanımlanmalıdır. Amaçla bağlantılı, sınırlı ve ölçülü olma — AI eğitimi için toplanan veriler amacı aşmamalıdır. Veri minimizasyonu ilkesi AI'ın büyük veri iştahıyla çelişebilir. İlgili mevzuatta öngörülen süre kadar muhafaza — AI eğitim verilerinin ne kadar süre saklanacağı belirlenmelidir.
Otomatik Karar Alma (m. 11/g)
KVKK m. 11/1(g) veri sahiplerine önemli bir hak tanımaktadır: İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz hakkı. Bu hüküm AI sistemleri için doğrudan uygulanabilir: Kredi skorlaması — AI tabanlı kredi değerlendirmesinde başvurunun reddedilmesi. İşe alım — AI destekli CV tarama ve aday eleme. Sigorta fiyatlama — AI ile risk profili çıkarma ve prim belirleme. Sağlık değerlendirmesi — AI ile hastalık riski tahmini. Veri sahibinin itiraz hakkını kullanması halinde veri sorumlusu kararı insan müdahalesiyle yeniden değerlendirmek zorundadır.
Profilleme ve AI
Profilleme kişisel verilerin otomatik işlenmesiyle kişinin belirli özelliklerinin değerlendirilmesidir. AI profilleme konusunda KVKK gereklilikleri: Açık rıza — profilleme için kural olarak ilgili kişinin açık rızası gerekir. İstisnai haller (kanuni yükümlülük, meşru menfaat) dar yorumlanmalıdır. Aydınlatma yükümlülüğü — profillemedeki mantığın ilgili kişiye anlaşılır şekilde açıklanması. Özel nitelikli veri yasağı — ırk, sağlık, siyasi görüş gibi özel nitelikli verilerle profilleme çok daha sıkı şartlara tabidir.
AI Eğitim Verisi Sorunu
AI modellerinin eğitilmesi için kullanılan verilerin hukuki durumu: Web scraping — internetten toplanan kişisel verilerle AI eğitimi KVKK'ya aykırılık oluşturabilir. Sentetik veri — gerçek verilerden türetilen yapay verilerin kişisel veri niteliği tartışmalıdır. Anonimleştirme — KVKK m. 7 kapsamında geri döndürülemez anonimleştirme yapılan veriler kanun kapsamından çıkar. Ancak AI'ın yeniden tanımlama (re-identification) riski dikkate alınmalıdır. Veri tabanı lisanslama — eğitim verisi olarak kullanılacak veri setlerinin lisans şartları kontrol edilmelidir.
Veri Sorumlusunun Yükümlülükleri
AI sistemi kullanan veri sorumlularının yerine getirmesi gereken yükümlülükler: Aydınlatma — AI ile kişisel veri işlendiği, hangi amaçlarla kullanıldığı, otomatik karar alınıp alınmadığı açıklanmalıdır. Veri Sorumluları Sicili (VERBİS) kaydı — AI faaliyetlerinin VERBİS kaydına işlenmesi. Veri etki değerlendirmesi — yüksek riskli AI uygulamaları için veri koruma etki değerlendirmesi yapılması. Teknik ve idari tedbirler — AI sistemi güvenliğinin sağlanması, veri sızıntısı önleme. Veri ihlal bildirimi — AI sistemi üzerinden veri ihlali gerçekleştiğinde 72 saat içinde Kurul'a bildirim.
AB Yapay Zeka Düzenlemesi (AI Act) ve Türkiye
AB Yapay Zeka Düzenlemesi (AI Act) dünyada ilk kapsamlı AI mevzuatıdır ve Türkiye'yi dolaylı olarak etkilemektedir: Risk bazlı sınıflandırma — AI sistemleri kabul edilemez, yüksek, sınırlı ve minimal riskli olarak kategorize edilir. Yüksek riskli AI yükümlülükleri — biyometrik tanımlama, eğitim, istihdam ve adalet alanlarındaki AI sistemleri sıkı denetime tabidir. Şeffaflık — AI içeriğinin yapay olduğunun belirtilmesi zorunluluğu. Türkiye'nin AB uyum süreci ve ticari ilişkiler nedeniyle benzer düzenlemeler beklenmektedir.
KVKK ve yapay zeka arasındaki gerilim, veri koruma hukukunun en dinamik alanlarından biridir. Bu alanda uzmanlaşan avukatlar hem şirketlere hem bireylere büyük değer katabilir.
Bu bilgiyi kendi durumunuza uyarlayin
AI ile durumunuza ozel analiz yapin veya avukata ulasin
Lisanslı avukat tarafından incelenmiştir
İlgili Yazılar
7545 Sayılı Siber Güvenlik Kanunu 2026: Şirketler İçin Uyum Rehberi ve Avukat Danışmanlığı
7545 sayılı Siber Güvenlik Kanunu neler getiriyor? Bildirim yükümlülükleri, sertifikasyon, 10-100 milyon TL cezalar. Avukatlar için danışmanlık rehberi.
KVKK 2026 Ceza Güncellemesi: Avukatlar Müvekkillerini Nasıl Korumalı?
KVKK 2026 idari para cezaları %25 arttı. Azami ceza 17 milyon TL. Avukatlar için KVKK uyum danışmanlığı ve müvekkil koruma rehberi.
KVKK Veri İhlali Bildirimi 2026: Şirketler İçin Adım Adım Rehber
2026 KVKK veri ihlali bildirimi rehberi. 72 saat bildirim süresi, KVKK Kurulu başvurusu, idari para cezaları ve VERBİS yükümlülükleri hakkında bilgi.
AB Yapay Zeka Yasası (AI Act) 2026: Türk Şirketleri ve Avukatlar İçin Uyum Rehberi
AB AI Act Ağustos 2026'da tam yürürlükte. Risk sınıflandırması, yüksek riskli AI yükümlülükleri, Türk şirketleri için uyum adımları ve avukat danışmanlığı.
Sıkça Sorulan Sorular
Yapay zeka kişisel verileri işleyebilir mi?
Yapay zeka sistemleri büyük miktarda veriyle eğitilir ve çalışır. Bu verilerin önemli bir kısmı kişisel veri niteliğindedir. KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) kapsamında AI ile kişisel veri işleme, hukuki açıdan dikkatle ele alınması gereken bir konudur.
AI eğitim verisi olarak kişisel veri kullanılabilir mi?
AI modellerinin eğitilmesi için kullanılan verilerin hukuki durumu: Web scraping — internetten toplanan kişisel verilerle AI eğitimi KVKK'ya aykırılık oluşturabilir. Sentetik veri — gerçek verilerden türetilen yapay verilerin kişisel veri niteliği tartışmalıdır. Anonimleştirme — KVKK m. 7 kapsamında geri döndürülemez anonimleştirme yapılan veriler kanun kapsamından çıkar.
KVKK otomatik karar alma hakkında ne diyor?
Yapay zeka sistemlerinde kişisel veriler birden fazla aşamada işlenmektedir: Veri toplama — AI eğitimi için veri setlerinin derlenmesi. Veri ön işleme — verilerin temizlenmesi, sınıflandırılması ve yapılandırılması. Model eğitimi — toplanan verilerle AI modelinin öğrenme süreci. Çıkarım (inference) — eğitilmiş modelin yeni veriler üzerinde tahmin yapması.
AI profilleme hukuka uygun mudur?
Yapay zeka sistemlerinde kişisel veriler birden fazla aşamada işlenmektedir: Veri toplama — AI eğitimi için veri setlerinin derlenmesi. Veri ön işleme — verilerin temizlenmesi, sınıflandırılması ve yapılandırılması. Model eğitimi — toplanan verilerle AI modelinin öğrenme süreci. Çıkarım (inference) — eğitilmiş modelin yeni veriler üzerinde tahmin yapması.
Yapay zeka kullanan şirketin KVKK yükümlülükleri nelerdir?
Yapay zeka sistemleri büyük miktarda veriyle eğitilir ve çalışır. Bu verilerin önemli bir kısmı kişisel veri niteliğindedir. KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) kapsamında AI ile kişisel veri işleme, hukuki açıdan dikkatle ele alınması gereken bir konudur.
Bu bilgiyi kendi durumunuza uyarlayin
AI ile durumunuza ozel analiz yapin veya avukata ulasin