İş Yerinde Yapay Zekâ Kullanımının KVKK, Ticari Sırlar ve Hukuki Riskler Bakımından Değerlendirilmesi
İş yerinde yapay zekâ kullanımı, şirketlerin bilgiye erişim, metin hazırlama, veri analizi, müşteri hizmetleri, yazılım geliştirme, insan kaynakları ve karar alma süreçlerini önemli ölçüde değiştirmektedir. Üretken yapay zekâ araçları sayesinde daha önce uzun sürede tamamlanan pek çok iş kısa sürede gerçekleştirilebilmekte, tekrarlayan görevler azaltılabilmekte ve çalışanların daha yüksek katma değer taşıyan faaliyetlere yönelmesi sağlanabilmektedir.
Bununla birlikte söz konusu araçların iş süreçlerine kontrolsüz biçimde dâhil edilmesi, kişisel verilerin korunması, ticari sırların açıklanması, müşteri bilgilerinin üçüncü taraflara aktarılması, fikri mülkiyet haklarının ihlali, hatalı çıktıların kullanılması ve çalışanların hukuki sorumluluğu gibi önemli riskler doğurabilmektedir.
Kişisel Verileri Koruma Kurumu tarafından Şubat 2026 tarihinde yayımlanan İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı başlıklı dokümanda da üretken yapay zekâ araçlarının her zaman açık bir kurumsal politika ve yönlendirme çerçevesinde kullanılmadığına dikkat çekilmiştir. Çalışanların günlük işlerini kolaylaştırmak amacıyla kendi tercihleri doğrultusunda bu araçlardan yararlanması, kullanımın şirket tarafından izlenmesini ve yönetilmesini güçleştirebilmektedir.
Bu nedenle iş yerinde yapay zekâ kullanımı yalnızca teknolojik bir tercih veya verimlilik meselesi olarak görülmemelidir. Kullanılacak araçların, bu araçlara aktarılabilecek bilgilerin ve üretilen çıktıların hangi koşullarda kullanılacağının hukuki, teknik ve kurumsal bir çerçeveye bağlanması gerekmektedir.
1. İş Yerinde Yapay Zekâ Kullanımının Hukuki Çerçevesi
Türkiye’de iş yerinde yapay zekâ kullanımını bütün yönleriyle düzenleyen tek ve özel bir kanun henüz bulunmamaktadır. Bununla birlikte yapay zekâ aracılığıyla gerçekleştirilen işlemler mevcut hukuk kurallarının dışında kalmamaktadır.
Yapay zekâ kullanımının niteliğine göre 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 6102 sayılı Türk Ticaret Kanunu, 4857 sayılı İş Kanunu, 5846 sayılı Fikir ve Sanat Eserleri Kanunu ve 5237 sayılı Türk Ceza Kanunu hükümleri uygulama alanı bulabilecektir.
Şirket tarafından kullanılan yapay zekâ aracına müşteri bilgileri, çalışan kayıtları, sözleşmeler, elektronik yazışmalar veya gerçek kişilere ilişkin başka bilgiler girildiğinde kişisel veri işleme faaliyeti meydana gelebilecektir. Teknik çizimler, fiyatlandırma bilgileri, teklif dosyaları, üretim süreçleri, müşteri portföyleri veya şirket stratejileri paylaşıldığında ise ticari sır ve gizlilik yükümlülükleri gündeme gelecektir.
Yapay zekâ aracından elde edilen bir metnin, görselin, yazılım kodunun veya raporun kullanılması hâlinde fikri mülkiyet hakları ile çıktının doğruluğundan doğan sorumluluk ayrıca değerlendirilmelidir. Bu kapsamda şirketlerin İnternet ve Bilişim Hukuku, Kişisel Verileri Koruma Hukuku ve Fikri Mülkiyet Hukuku alanlarında ortaya çıkabilecek yükümlülükleri birlikte ele alınmalıdır.
2. Kontrol Dışı Kullanım ve Gölge Yapay Zekâ Sorunu
Şirket tarafından onaylanmamış yapay zekâ araçlarının çalışanlar tarafından iş süreçlerinde kullanılması, gölge yapay zekâ olarak adlandırılmaktadır. Bu durumda kullanılan uygulamalar, aktarılan veriler, kabul edilen hizmet koşulları ve elde edilen çıktıların hangi işlerde kullanıldığı şirket tarafından bilinememektedir.
Çalışan tarafından kişisel bir hesap üzerinden kullanılan bir yapay zekâ aracına müşteri sözleşmesinin yüklenmesi, satış raporlarının özetletilmesi veya çalışan öz geçmişlerinin değerlendirilmesi bu kapsamda ele alınabilir. Şirketin bilgi teknolojileri sisteminde herhangi bir kurulum yapılmamış olsa dahi şirket verileri üçüncü taraf bir hizmete aktarılmış olabilecektir. Kişisel Verileri Koruma Kurumu, üretken yapay zekâ araçlarının tamamen yasaklanmasına dayalı yaklaşımların uygulamada gerçekçi sonuçlar doğurmayabileceğini belirtmektedir. Katı yasakların çalışanları kurumsal görünürlük dışında kullanıma yöneltebileceği, bu nedenle yasaklama yerine yönlendirme, denge ve farkındalık temelli bir yaklaşımın benimsenmesinin daha uygun olacağı ifade edilmektedir. Bu yaklaşım uyarınca şirket tarafından kullanılmasına izin verilen yapay zekâ araçları belirlenmeli, kullanım amaçları açıklanmalı ve hangi bilgi türlerinin bu araçlara girilemeyeceği çalışanlara bildirilmelidir. Kullanımın tamamen çalışanların bireysel değerlendirmesine bırakılması kadar bütün araçların koşulsuz biçimde yasaklanması da etkin bir risk yönetimi sağlamayabilir.
3. Yapay Zekâ Kullanımında KVKK Yükümlülükleri
3.1. Yapay Zekâ Aracına Veri Girilmesi Kişisel Veri İşleme Sayılabilir
Kişisel verilerin yapay zekâ aracına komut, dosya, görsel, ses kaydı veya başka bir içerik şeklinde sunulması, veriler üzerinde otomatik yöntemlerle işlem gerçekleştirilmesine neden olabilecektir. Bu nedenle kişisel verilerin yalnızca şirket sisteminde tutulduğu, yapay zekâ aracına yüklenmesiyle yeni bir veri işleme faaliyetinin meydana gelmediği yönündeki değerlendirme isabetli olmayacaktır.
Yapay zekâ sistemine girilen komutların saklanması, analiz edilmesi, hizmetin geliştirilmesinde kullanılması veya farklı ülkelerde bulunan sunuculara gönderilmesi mümkündür. Bu hususlar kullanılan aracın teknik yapısına, hesap türüne, abonelik modeline ve hizmet koşullarına göre değişebilmektedir.
Ücretsiz ve kamuya açık bir yapay zekâ aracı ile kurumsal sözleşme kapsamında sunulan bir hizmet aynı veri işleme koşullarına sahip olmayabilir. Bu nedenle yalnızca aracın markasına veya genel tanıtımına bakılarak değerlendirme yapılmamalı, şirket tarafından kullanılan somut hizmet modeli incelenmelidir. Kişisel Verileri Koruma Kurumu tarafından hazırlanan Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi kapsamında da üretken yapay zekâ sistemlerinin yaşam döngüsü boyunca meydana gelen kişisel veri işleme faaliyetlerinin KVKK hükümleri çerçevesinde ele alınması gerektiği belirtilmiştir.
3.2. Veri Sorumlusu ve Veri İşleyen Rolleri Belirlenmelidir
İş süreçlerinde yapay zekâ kullanılması, şirketin kişisel veriler bakımından taşıdığı sorumluluğu kendiliğinden ortadan kaldırmamaktadır. Hangi kişisel verilerin hangi amaçlarla işleneceğine karar veren şirket, çoğu durumda veri sorumlusu sıfatını koruyacaktır. Yapay zekâ hizmetini sunan kuruluşun veri işleyen veya bağımsız veri sorumlusu olarak hareket edip etmediği ise hizmet şartlarına ve fiilî veri işleme sürecine göre belirlenmelidir. Hizmet sağlayıcının verileri yalnızca şirketin talimatları doğrultusunda işlemesi ile verileri kendi ürününü geliştirmek veya başka bağımsız amaçlarla kullanması aynı hukuki sonucu doğurmayacaktır.
Bu nedenle sağlayıcının gizlilik politikası, veri işleme sözleşmesi, alt hizmet sağlayıcıları, veri saklama süreleri ve model eğitimi için verileri kullanıp kullanmadığı incelenmeden kurumsal kullanıma geçilmemelidir.
3.3. KVKK Kapsamındaki Temel İlkelere Uyulmalıdır
Yapay zekâ aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerinde KVKK’nın 4. maddesinde yer alan temel ilkelere uyulması gerekmektedir. İşleme faaliyetinin hukuka ve dürüstlük kurallarına uygun olması, belirli ve meşru bir amaca dayanması, amaçla bağlantılı ve ölçülü tutulması, verilerin doğru ve güncel olması ile yalnızca gerekli süre boyunca muhafaza edilmesi sağlanmalıdır.
Bir müşteri şikâyetinin özetlenmesi için kişinin kimlik numarası, adresi ve banka bilgilerinin de yapay zekâ aracına girilmesi çoğu durumda ölçülülük ilkesiyle bağdaşmayacaktır. Benzer şekilde bir sözleşme hükmünün dil bakımından gözden geçirilmesi için tarafların kimlik ve iletişim bilgilerinin paylaşılması gerekli olmayabilir. Kullanım amacı mümkün olduğunca kişisel veriden arındırılmış metinler üzerinden gerçekleştirilmeli, kişiyi belirlemeye yarayan unsurlar kaldırılmalı ve yalnızca ihtiyaç duyulan bilgiler işlenmelidir. Kurum tarafından yayımlanan dokümanda da belirli kişi adları, tarih, konum ve benzeri ayırt edici unsurlar yerine daha genel anlatımlar kullanılmasının daha ihtiyatlı bir yaklaşım oluşturacağı belirtilmiştir. Bununla birlikte bir metinden yalnızca ad ve soyadın çıkarılması her zaman anonimleştirme anlamına gelmemektedir. Meslek, görev, işlem tarihi, şirket içindeki pozisyon veya olayın ayrıntıları üzerinden kişinin yeniden belirlenebilmesi mümkünse kişisel veri niteliği devam edecektir.
3.4. Veri İşleme Şartı Belirlenmelidir
Yapay zekâ kullanımı kapsamında işlenen her kişisel veri için KVKK’nın 5. veya 6. maddesinde öngörülen geçerli bir veri işleme şartının bulunması gerekmektedir. Şirketin aynı veriyi kendi bilgi sisteminde hukuka uygun biçimde işliyor olması, bu verinin başka bir yapay zekâ hizmetine aktarılmasını otomatik olarak hukuka uygun hâle getirmemektedir.
İşleme amacı, kullanılan aracın niteliği ve sağlayıcının veriler üzerindeki tasarrufu ayrıca değerlendirilmelidir. Özellikle çalışan sağlık verileri, biyometrik veriler, ceza mahkûmiyeti bilgileri ve diğer özel nitelikli kişisel veriler bakımından daha sınırlayıcı bir yaklaşım benimsenmelidir. İşe alım, performans değerlendirmesi veya disiplin süreçlerinde yapay zekâ kullanılması hâlinde yalnızca işverenin operasyonel menfaati dikkate alınmamalıdır. Çalışanın temel hakları, makul beklentileri ve otomatik değerlendirmeden doğabilecek sonuçlar da göz önünde bulundurulmalıdır.
3.5 Aydınlatma Yükümlülüğü Gözden Geçirilmelidir
Şirketin çalışan, müşteri, tedarikçi veya başka ilgili kişilere ait verileri yapay zekâ sistemleri aracılığıyla işlemesi hâlinde mevcut aydınlatma metinlerinin bu faaliyeti kapsayıp kapsamadığı incelenmelidir. Aydınlatma yükümlülüğü yerine getirilirken işlenen veri kategorileri, işleme amaçları, hukuki sebepler, aktarım yapılan taraflar ve ilgili kişinin hakları açık biçimde belirtilmelidir. Genel ve belirsiz ifadelerle hazırlanan bir aydınlatma metninin her türlü gelecekteki yapay zekâ kullanımını kapsadığı kabul edilmemelidir.
Şirketin yapay zekâyı müşteri hizmetlerinde, insan kaynaklarında veya pazarlama faaliyetlerinde farklı amaçlarla kullanması hâlinde her süreç bakımından ayrı veri akışları ortaya çıkabilecektir. Bu nedenle aydınlatma metinleri yalnızca bir belge güncellemesi olarak değil, fiilî veri işleme faaliyetinin hukuki açıklaması olarak ele alınmalıdır.
3.6. Yurt Dışına Veri Aktarımı İncelenmelidir
Pek çok yapay zekâ hizmeti yurt dışında kurulu şirketler tarafından sunulmakta ve veriler farklı ülkelerde bulunan sunucularda işlenebilmektedir. Kullanılan hizmette kişisel verilerin Türkiye dışına gönderilmesi hâlinde KVKK’nın 9. maddesinde düzenlenen yurt dışına aktarım hükümleri uygulanacaktır.
Yurt dışına veri aktarımı bakımından hizmet sağlayıcının merkezinin nerede bulunduğu tek başına yeterli değildir. Verilerin fiilen hangi ülkelerde işlendiği, alt veri işleyenlere aktarılıp aktarılmadığı ve teknik destek süreçlerinde başka ülkelerden erişim sağlanıp sağlanmadığı belirlenmelidir. KVKK’da 2024 yılında yapılan değişikliklerle standart sözleşmeler ve bağlayıcı şirket kuralları uygun güvence yöntemleri arasında düzenlenmiştir. Standart sözleşme kullanılması hâlinde sözleşmenin imzalanmasından itibaren beş iş günü içinde Kuruma bildirim yapılması gerekmektedir. Yapay zekâ hizmeti satın alınırken veri aktarım mekanizmasının ayrıca kurulması ve belgelendirilmesi önem taşımaktadır.
3.7. Veri Güvenliğine İlişkin Tedbirler Alınmalıdır
KVKK’nın 12. maddesi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirlerin alınması gerekmektedir. Yapay zekâ kullanımına ilişkin bir politika hazırlanması, yetkilendirme yapılması, kullanıcı hesaplarının merkezi biçimde yönetilmesi, çok aşamalı kimlik doğrulama kullanılması, erişim kayıtlarının tutulması ve çalışanlara düzenli eğitim verilmesi idari ve teknik tedbirlerin bir parçası olarak değerlendirilebilir. Şirket tarafından izin verilen kurumsal hesaplar yerine kişisel hesapların kullanılması, verilere kimlerin eriştiğinin ve içeriklerin ne kadar süre saklandığının belirlenmesini güçleştirecektir. Çalışanın işten ayrılması hâlinde kişisel hesapta kalan şirket verilerine erişilememesi de ayrı bir güvenlik sorunu doğurabilecektir.
Kişisel Verileri Koruma Kurumunun Kişisel Veri Güvenliği Rehberi uyarınca teknik ve idari tedbirlerin birlikte ele alınması gerekmektedir. Yalnızca çalışanlara gizlilik taahhüdü imzalatılması veya yalnızca teknik erişim kısıtlaması uygulanması yeterli bir güvenlik modeli oluşturmayacaktır.
4. Ticari Sırlar ve Şirkete Ait Gizli Bilgiler
Yapay zekâ araçlarının iş yerinde kullanılmasından doğan riskler yalnızca kişisel verilerle sınırlı değildir. Bir bilgi kişisel veri niteliği taşımadığı hâlde şirket açısından yüksek ticari değere sahip olabilir. Ürün reçeteleri, üretim teknikleri, kaynak kodları, maliyet hesaplamaları, fiyat listeleri, yatırım planları, müşteri portföyleri, pazarlama stratejileri, teklif dosyaları ve henüz kamuya açıklanmamış finansal bilgiler ticari sır veya şirket sırrı niteliği taşıyabilir.
Türk Borçlar Kanunu’nun 396. maddesi uyarınca işçi, işi sırasında öğrendiği üretim ve iş sırlarını kendi yararına kullanmamak ve başkalarına açıklamamakla yükümlüdür. Bu yükümlülük, işverenin haklı menfaatinin korunması için gerekli olduğu ölçüde iş ilişkisinin sona ermesinden sonra da devam etmektedir.
Türk Ticaret Kanunu’nun haksız rekabete ilişkin hükümleri kapsamında üretim ve iş sırlarının hukuka aykırı biçimde değerlendirilmesi veya başkalarına bildirilmesi dürüstlük kuralına aykırı davranış olarak kabul edilmektedir. Ticari sırların açıklanması bazı durumlarda Türk Ceza Kanunu’nun 239. maddesi kapsamında cezai sorumluluğa da neden olabilecektir.
Bir çalışanın şirket sırrını yapay zekâ aracına girmesi, bilginin şirket dışındaki bir hizmet sağlayıcının sistemine aktarılması sonucunu doğurabilir. Çalışanın bilgiyi kamuya açıklama amacı taşımaması veya yalnızca işini kolaylaştırmayı hedeflemesi bu sonucu her durumda ortadan kaldırmayacaktır. Hizmet sağlayıcının sözleşmesinde verilerin model geliştirme, kalite kontrolü veya güvenlik incelemesi amacıyla kullanılabileceği belirtilmişse şirket bilgisinin üçüncü taraflarca işlenmesi söz konusu olabilecektir.
Bu nedenle ticari sırların korunması yalnızca çalışanların iyi niyetine bırakılamaz. Hangi bilgilerin gizli kabul edildiği, bu bilgilerin hangi sistemlerde işlenebileceği ve yapay zekâ araçlarına aktarımın hangi durumlarda yasak olduğu açıkça belirlenmelidir. Ticari sır niteliğinin korunabilmesi ve olası bir uyuşmazlıkta ispat kolaylığı sağlanabilmesi için şirket tarafından makul koruma tedbirlerinin alındığının gösterilebilmesi önem taşımaktadır. Gizlilik sınıflandırması, erişim yetkileri, çalışan eğitimleri, sözleşmesel hükümler ve teknik kısıtlamalar bu bakımdan birlikte kullanılmalıdır.
5. İş Hukuku Bakımından Çalışan ve İşveren Sorumluluğu
İşverenin yönetim hakkı kapsamında işin yürütülmesine ve iş yerindeki davranışlara ilişkin genel düzenlemeler yapılabilmektedir. Türk Borçlar Kanunu’nun 399. maddesinde de işverenin işin görülmesi ve işçilerin iş yerindeki davranışları hakkında genel düzenlemeler yapabileceği ve özel talimat verebileceği kabul edilmiştir. Bu kapsamda çalışanların hangi yapay zekâ araçlarını kullanabileceği, hangi bilgileri bu araçlara giremeyeceği ve çıktıların hangi kontrollerden geçirilmesi gerektiği düzenlenebilir. Söz konusu kurallar iş sözleşmesine, personel yönetmeliğine, bilgi güvenliği politikasına veya ayrı bir yapay zekâ kullanım politikasına dâhil edilebilir.
Çalışanın açıkça bildirilen bir kurala aykırı biçimde müşteri verilerini veya ticari sırları yapay zekâ aracına yüklemesi, sadakat ve özen borcunun ihlâli olarak değerlendirilebilir. Ancak bu durumun doğrudan ve her olayda haklı fesih sebebi oluşturduğu kabul edilmemelidir. İhlalin niteliği, çalışanın kusuru, paylaşılan bilginin hassasiyeti, meydana gelen zarar, önceki uyarılar ve şirket tarafından yeterli eğitim verilip verilmediği birlikte değerlendirilmelidir. Uygulanacak disiplin yaptırımının ölçülü olması ve somut olayın özelliklerine göre belirlenmesi gerekir. Şirket tarafından herhangi bir politika oluşturulmamış, çalışanlara eğitim verilmemiş ve kişisel hesapların kullanımı uzun süre görmezden gelinmişse bütün sorumluluğun çalışana yüklenmesi güçleşebilecektir. İşverenin organizasyon ve gözetim yükümlülüğü de ayrıca dikkate alınmalıdır.
Çalışanların yapay zekâ kullanımının denetlenmesi sırasında kişisel verilerin korunması ve özel hayatın gizliliği ihlal edilmemelidir. Kullanım kayıtlarının izlenmesi, ekran faaliyetlerinin takip edilmesi veya çalışan yazışmalarının denetlenmesi ölçülülük ve aydınlatma ilkelerine uygun biçimde gerçekleştirilmelidir. Bu konuya ilişkin ayrıntılı açıklamalar İşveren İçin Dijital Gözetim Rehberi başlıklı yayınımızda ele alınmıştır. Yapay zekâ araçları öz geçmişlerin sınıflandırılması, adayların ön değerlendirmeye tabi tutulması, çalışan performansının analiz edilmesi ve eğitim ihtiyaçlarının belirlenmesi amacıyla kullanılabilmektedir. Bu süreçlerde kullanılan veriler çalışan veya aday hakkında hukuki ve ekonomik sonuçlar doğurabilecektir. Veri setindeki hatalar, geçmiş ayrımcı uygulamalar veya modelin çalışma biçimi nedeniyle belirli grupların sistematik olarak dezavantajlı hâle gelmesi mümkündür.
KVKK’nın 11. maddesi kapsamında ilgili kişiye, işlenen verilerin münhasıran otomatik sistemler aracılığıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı tanınmıştır. Bu nedenle işe alım veya performans değerlendirmesi gibi önemli kararların yalnızca yapay zekâ çıktısına bırakılması sakıncalı olacaktır. Yapay zekâ tarafından oluşturulan değerlendirme, kararın tek ve nihai dayanağı olarak kullanılmamalıdır. Yetkin bir insan tarafından kontrol yapılmalı, modelin hangi kriterlere göre sonuca ulaştığı mümkün olduğunca anlaşılmalı ve ilgili kişiye gerektiğinde kararın yeniden incelenmesini talep edebileceği bir süreç sunulmalıdır. Avrupa Veri Koruma Kurulu tarafından yayımlanan büyük dil modellerine ilişkin risk çalışmasında da önemli hukuki sonuç doğurabilecek işlemlerde insan müdahalesinin sisteme dâhil edilmesi, çıktıların doğruluk ve adalet bakımından yetkin kişilerce incelenmesi ve hatalı sonuçlar için açık yönlendirme süreçlerinin kurulması önerilmektedir.
6. Hatalı Çıktılar ve Otomasyon Yanlılığı
Üretken yapay zekâ araçları biçimsel olarak tutarlı ve ikna edici görünen ancak gerçeğe aykırı bilgiler üretebilmektedir. Yanlış mevzuat hükümleri, mevcut olmayan mahkeme kararları, hatalı finansal veriler veya gerçeğe uygun olmayan teknik açıklamalar oluşturulabilir.
Kişisel Verileri Koruma Kurumu tarafından yayımlanan iş yeri dokümanında bu durum halüsinasyon ve otomasyon ön yargısı kavramları üzerinden ele alınmıştır. Çalışanların yapay zekâ çıktısına aşırı güvenmesi ve kendi muhakemesini ikinci plana bırakması, hatalı bilgilerin iş süreçlerine dâhil edilmesine neden olabilecektir. Yapay zekâ aracı tarafından hazırlanmış bir sözleşmenin, hukuki görüşün, teknik raporun veya müşteri bilgilendirmesinin kontrol edilmeden kullanılması hâlinde sorumluluk kural olarak araca yüklenemeyecektir. Çıktıyı iş sürecine dâhil eden şirket ve işlemi gerçekleştiren kişiler bakımından sözleşmesel, idari veya haksız fiil sorumluluğu gündeme gelebilecektir. Bu nedenle yapay zekâ çıktılarının doğruluğu, güncelliği ve somut olaya uygunluğu yetkin kişiler tarafından kontrol edilmelidir. Kullanılan kaynaklar ayrıca doğrulanmalı ve önemli kararlar bakımından yalnızca yapay zekâ tarafından üretilen sonuca dayanılmamalıdır.
7. Fikri Mülkiyet Hakları Bakımından Riskler
Yapay zekâ aracına yüklenen metinler, görseller, yazılım kodları ve tasarımlar üçüncü kişilere ait fikri mülkiyet haklarını içerebilir. Şirketin kullanma yetkisine sahip olmadığı bir eserin yapay zekâ aracına yüklenmesi çoğaltma, işleme veya paylaşma hakları bakımından uyuşmazlık doğurabilecektir.
Yapay zekâ tarafından oluşturulan çıktının daha önce oluşturulmuş bir eserle benzerlik taşıması da mümkündür. Çıktının sistem tarafından üretilmiş olması, şirketi üçüncü kişilerin telif, marka veya tasarım haklarına ilişkin taleplerden kendiliğinden korumaz. Hizmet sağlayıcının kullanım koşullarında çıktılar üzerindeki haklara, üçüncü kişi iddialarına ve tazminat sorumluluğuna ilişkin hükümler dikkatle incelenmelidir. Çalışanlar tarafından hazırlanan komutların ve çıktıların şirket içindeki hak sahipliği de iş sözleşmeleri ve fikri mülkiyet hükümleriyle açıklığa kavuşturulmalıdır. Yapay zekâ tarafından üretilen içeriklerin telif hakkı ve hak sahipliği boyutu Fikri ve Sınai Mülkiyet Hakları Bağlamında Yapay Zekâ ve Yapay Zekânın Yarattıkları başlıklı yayınımızda ayrıntılı olarak incelenmiştir.
8. Yapay Zekâ Hizmet Sağlayıcılarıyla Yapılan Sözleşmeler
Yapay zekâ aracının şirket tarafından kurumsal ölçekte kullanılmasına karar verilmesi hâlinde standart çevrim içi koşullarla yetinilmemesi gerekir. Hizmet sağlayıcıyla kurulacak sözleşme şirketin faaliyetinin niteliğine ve işlenecek verilere göre incelenmelidir. Sözleşmede verilerin hangi amaçlarla kullanılacağı, model eğitiminde kullanılıp kullanılmayacağı, saklama süreleri, silme usulleri, alt hizmet sağlayıcılar, veri merkezlerinin bulunduğu ülkeler, güvenlik standartları ve veri ihlali hâlinde uygulanacak bildirim süreçleri düzenlenmelidir. Sağlayıcının gizlilik yükümlülüğü, denetim hakkı, hizmet seviyeleri, sistem kesintileri, çıktıların fikri mülkiyet durumu, üçüncü kişi talepleri ve sorumluluk sınırları da açık hâle getirilmelidir.
Hizmet sağlayıcının sorumluluğunu çok düşük bir tutarla sınırlandırdığı, verileri kendi amaçları için kullanabildiği veya tek taraflı olarak hizmet koşullarını değiştirebildiği sözleşmeler şirket açısından önemli riskler doğurabilir. Bu nedenle yapay zekâ hizmet sözleşmeleri yalnızca bir yazılım aboneliği olarak değerlendirilmemeli, kişisel veri, gizlilik, fikri mülkiyet, bilgi güvenliği ve ticari süreklilik hükümlerini içeren kapsamlı teknoloji sözleşmeleri olarak ele alınmalıdır. Şirketlere özel sözleşme yapılarının oluşturulması bakımından Sözleşmeler Hukuku çalışmaları önem taşımaktadır.
9. Avrupa Birliği Yapay Zekâ Tüzüğünün Türk Şirketlerine Etkisi
Avrupa Birliği Yapay Zekâ Tüzüğü 01.08.2024 tarihinde yürürlüğe girmiştir. Yasaklanan yapay zekâ uygulamaları ve yapay zekâ okuryazarlığına ilişkin hükümler 02.02.2025 tarihinden itibaren uygulanmaya başlanmıştır. Genel amaçlı yapay zekâ modellerine ilişkin bazı yükümlülükler ise 02.08.2025 tarihinde uygulamaya girmiştir. Tüzüğün genel uygulama tarihi 02.08.2026 olmakla birlikte bazı yüksek riskli sistemlere ilişkin takvim değişiklik ve geçiş düzenlemelerine konu olmaktadır. Tüzük yalnızca Avrupa Birliği içinde kurulmuş şirketler bakımından önem taşımamaktadır. Avrupa Birliği pazarına yapay zekâ sistemi sunan, Avrupa Birliği içinde faaliyet gösteren kuruluşlara hizmet veren veya yapay zekâ çıktıları Avrupa Birliği içinde kullanılan Türk şirketleri bakımından da uygulama alanı ayrıca incelenmelidir.
İşe alım, çalışan seçimi, görev dağılımı, performans değerlendirmesi ve iş ilişkisinin sona erdirilmesi gibi alanlarda kullanılan bazı yapay zekâ sistemleri yüksek riskli sistem olarak değerlendirilebilecektir. Bu nedenle Avrupa Birliği ile bağlantılı şirketlerin insan kaynakları süreçlerinde kullandıkları sistemleri ayrıca sınıflandırması gerekmektedir. Tüzükte düzenlenen yapay zekâ okuryazarlığı yükümlülüğü de şirket içi eğitimlerin önemini artırmaktadır. Çalışanlara yalnızca aracı nasıl kullanacakları değil, sistemin sınırları, veri güvenliği riskleri, hatalı çıktı ihtimali ve insan denetiminin önemi de anlatılmalıdır.
10. Şirketlerde Yapay Zekâ Kullanım Politikası Nasıl Hazırlanmalıdır?
Kişisel Verileri Koruma Kurumu, iş yerlerinde yapay zekâ kullanımının doğru sınırlarını belirleyen açık bir kurumsal politika veya yönlendirme çerçevesi oluşturulmasını önermektedir. Politikada kullanılabilecek araçların, kullanım amaçlarının, paylaşılabilecek bilgi türlerinin, çıktıların kullanım esaslarının ve çalışan eğitimlerinin belirlenmesi gerektiği ifade edilmektedir.
10.1. İzin Verilen Araçlar Belirlenmelidir
Şirket tarafından güvenlik ve hukuki incelemeden geçirilmiş araçlar belirlenmeli, çalışanların farklı ve onaylanmamış hizmetleri kullanması sınırlandırılmalıdır. Her araç için aynı izin düzeyi tanınmamalıdır. İnternet üzerinde kamuya açık bilgilerin özetlenmesi amacıyla kullanılabilecek bir araç, müşteri dosyalarının veya şirket içi belgelerin işlenmesi bakımından uygun olmayabilir.
10.2. Bilgi Sınıflandırması Yapılmalıdır
Şirket verileri kamuya açık, şirket içi, gizli ve çok gizli gibi sınıflara ayrılabilir. Hangi sınıftaki verilerin yapay zekâ araçlarına girilebileceği açık biçimde belirtilmelidir. Kişisel veriler, ticari sırlar, müşteri belgeleri, hukukî süreçlere ilişkin bilgiler, insan kaynakları kayıtları, finansal bilgiler ve henüz yayımlanmamış şirket kararları için daha sıkı kurallar öngörülmelidir.
10.3. İnsan Kontrolü Zorunlu Tutulmalıdır
Yapay zekâ çıktılarının doğrudan müşterilere gönderilmesi, sözleşmelere eklenmesi, resmî başvurularda kullanılması veya yönetim kararlarına dayanak yapılması öncesinde yetkin bir kişi tarafından kontrol edilmesi sağlanmalıdır. Kontrol yükümlülüğü yalnızca yazım hatalarının giderilmesi şeklinde anlaşılmamalıdır. İçeriğin doğruluğu, hukuka uygunluğu, güncelliği, kaynakları ve şirket politikalarıyla uyumu değerlendirilmelidir.
10.4. Kurumsal Hesap Kullanımı Sağlanmalıdır
Mümkün olduğu ölçüde kişisel hesaplar yerine şirket tarafından açılan ve merkezi olarak yönetilen hesaplar kullanılmalıdır. Kullanıcı yetkileri görevle sınırlı tutulmalı ve işten ayrılma hâlinde erişimler kapatılmalıdır. Kayıtların ne kadar süre tutulacağı, kimler tarafından incelenebileceği ve hangi durumlarda silineceği önceden belirlenmelidir.
10.5. İhlal Bildirim Süreci Oluşturulmalıdır
Bir çalışanın yanlışlıkla kişisel veri veya ticari sır paylaşması hâlinde durumu kime bildireceği açık biçimde düzenlenmelidir. Çalışanın olayı gizlemesine neden olabilecek aşırı cezalandırıcı bir bildirim sistemi yerine hızlı müdahaleyi teşvik eden bir süreç kurulmalıdır. Sağlayıcıdan verilerin silinmesinin talep edilmesi, hesabın geçici olarak kapatılması, erişim kayıtlarının incelenmesi ve veri ihlali bildirimi gerekip gerekmediğinin değerlendirilmesi için sorumlu birimler belirlenmelidir.
10.6. Düzenli Eğitim Verilmelidir
Politikanın çalışanlara yalnızca elektronik posta ile gönderilmesi yeterli olmayacaktır. Gerçek kullanım örnekleri üzerinden eğitim verilmeli ve hangi bilgilerin paylaşılmaması gerektiği somut biçimde açıklanmalıdır. İnsan kaynakları, hukuk, finans, satış, pazarlama ve yazılım ekiplerinin riskleri farklı olduğundan eğitim içerikleri görev alanlarına göre uyarlanmalıdır.
10.7. Politika Düzenli Olarak Güncellenmelidir
Yapay zekâ araçlarının teknik özellikleri ve hizmet koşulları kısa sürelerde değişebilmektedir. Şirket tarafından onaylanan bir aracın veri kullanım şartları daha sonra farklılaştırılabilir. Bu nedenle politika sabit bir belge olarak görülmemeli, belirli aralıklarla ve önemli teknoloji değişikliklerinden sonra yeniden değerlendirilmelidir. Bu süreç şirketin genel Uyum ve Soruşturmalar yapısına dâhil edilmelidir.
11. Şirketler İçin Uygulanabilir Uyum Süreci
İlk aşamada çalışanların hâlen hangi yapay zekâ araçlarını kullandığı tespit edilmelidir. Yalnızca bilgi teknolojileri birimi tarafından satın alınan uygulamalar değil, çalışanların kendi hesaplarıyla kullandığı araçlar da envantere dâhil edilmelidir.
İkinci aşamada her kullanım örneği bakımından girilen veriler, kullanım amacı, hizmet sağlayıcı, veri saklama koşulları ve yurt dışına aktarım durumu belirlenmelidir.
Üçüncü aşamada kullanım örnekleri risk seviyelerine ayrılmalıdır. Kamuya açık bilgilerin özetlenmesi ile müşteri dosyalarının analiz edilmesi aynı risk kategorisinde değerlendirilmemelidir.
Dördüncü aşamada hizmet sağlayıcıların sözleşmeleri, gizlilik politikaları, güvenlik önlemleri ve alt hizmet sağlayıcıları incelenmelidir. Gerekli olması hâlinde veri işleme sözleşmeleri ve yurt dışına aktarım mekanizmaları oluşturulmalıdır.
Beşinci aşamada şirketin yapay zekâ kullanım politikası hazırlanmalı, iş sözleşmeleri, gizlilik taahhütleri, bilgi güvenliği politikaları ve KVKK dokümanlarıyla uyumu sağlanmalıdır.
Son aşamada çalışanlara eğitim verilmeli, kullanım kayıtlarının takibi ve ihlal bildirim süreci oluşturulmalı, sistem belirli aralıklarla denetlenmelidir.
12. Uygulamada Öne Çıkan Hukuki Sorunlar
12.1. İşverenin Yapay Zekâ Kullanımını Sınırlandırma Yetkisi
İşveren, yönetim hakkı kapsamında iş süreçlerinde kullanılabilecek araçları belirleyebilir ve yapay zekâ kullanımına ilişkin sınırlamalar getirebilir. Bununla birlikte bütün yapay zekâ araçlarının istisnasız biçimde yasaklanması, kullanımın ortadan kalkmasını sağlamaktan çok şirketin gözetimi dışına çıkmasına neden olabilir.
Bu nedenle daha ölçülü ve uygulanabilir bir yapının kurulması gerekir. Kullanımına izin verilen araçların, yasaklanan veri kategorilerinin ve insan denetimi gerektiren işlem türlerinin önceden belirlenmesi daha etkili bir risk yönetimi sağlayacaktır. Kişisel Verileri Koruma Kurumu tarafından benimsenen yaklaşım da salt yasaklama yerine yönlendirme, denge ve farkındalık esasına dayanmaktadır.
12.2. Kişisel Verilerin Yapay Zekâ Sistemlerine Aktarılması
Bir kişisel verinin şirket tarafından hukuka uygun biçimde işleniyor olması, aynı verinin yapay zekâ sistemine aktarılmasını kendiliğinden hukuka uygun hâle getirmez. Yapay zekâ aracına veri girilmesi, mevcut işleme faaliyetinden ayrı ve yeni bir veri işleme süreci oluşturabilir.
Bu kapsamda geçerli veri işleme şartının bulunması, ölçülülük ilkesine uyulması, aydınlatma yükümlülüğünün yerine getirilmesi ve gerekli teknik ve idari tedbirlerin alınması gerekir. Kullanılan sistemin verileri hangi amaçlarla işlediği, ne kadar süreyle sakladığı ve üçüncü taraflarla paylaşıp paylaşmadığı da ayrıca değerlendirilmelidir.
12.3. Kişisel Verilerin Belirleyici Unsurlardan Arındırılması
Bir metinden ad ve soyadın çıkarılması, verinin her durumda anonim hâle geldiği anlamına gelmez. Kişinin görevi, işlem tarihi, olayın özellikleri, şirket içindeki pozisyonu veya diğer dolaylı unsurlar üzerinden yeniden belirlenebilmesi mümkünse kişisel veri niteliği devam edecektir.
Bu nedenle verilerin yapay zekâ araçlarında kullanılmasından önce yalnızca isimlerin kaldırılmasıyla yetinilmemeli, bütün veri seti yeniden belirlenme ihtimali bakımından değerlendirilmelidir. Gerçek anlamda anonimleştirme sağlanamıyorsa veri minimizasyonu ve takma adlandırma gibi yöntemlerden yararlanılması düşünülmelidir.
12.4. Yapay Zekâ Çıktılarının Kullanılmasından Doğan Sorumluluk
Yapay zekâ sistemleri hukuki sorumluluğu üstlenebilen bağımsız kişiler değildir. Bu nedenle yapay zekâ tarafından üretilen hatalı bir raporun, sözleşmenin, hesaplamanın veya değerlendirmenin şirket faaliyetinde kullanılması hâlinde sorumluluk somut olayın koşullarına göre şirket, çalışan, yönetici veya hizmet sağlayıcı bakımından doğabilir.
Çıktının yapay zekâ tarafından üretilmiş olması, doğrulama ve denetim yükümlülüğünü ortadan kaldırmaz. Özellikle hukuki, mali, teknik veya ticari sonuç doğuran içeriklerin yetkin kişiler tarafından incelenmesi ve yalnızca doğrulanmış bilgilerin iş süreçlerine dâhil edilmesi gerekir.
12.5. Kişisel Hesaplar Üzerinden Kurumsal Kullanım
Çalışanların kişisel hesapları üzerinden yapay zekâ araçlarından yararlanması, şirketin veri akışları üzerindeki denetimini önemli ölçüde zayıflatabilir. Kullanılan verilerin nerede saklandığı, hangi güvenlik ayarlarının uygulandığı ve hesaba kimlerin erişebildiği şirket tarafından belirlenemeyebilir.
Ayrıca çalışanın işten ayrılması hâlinde şirket verilerinin kişisel hesapta kalması veya kullanım geçmişine erişilememesi mümkündür. Bu nedenle kurumsal kullanımın şirket tarafından açılan, merkezi biçimde yönetilen ve yetkilendirme esasına dayanan hesaplar üzerinden gerçekleştirilmesi daha güvenli olacaktır.
12.6. Kurumsal Yapay Zekâ Politikası İhtiyacı
Yapay zekâ araçlarının iş süreçlerine fiilen dâhil olduğu şirketlerde yazılı bir kullanım politikasının bulunması, yalnızca yönetsel bir tercih olarak görülmemelidir. Böyle bir politika kişisel verilerin, ticari sırların ve şirket içi bilgilerin korunmasına yönelik temel idari tedbirlerden biri olarak değerlendirilebilir.
Politikanın kapsamı her şirket için aynı olmayacaktır. Faaliyet gösterilen sektör, işlenen veri türleri, çalışanların görevleri, kullanılan sistemler ve yapay zekâ kullanımının doğurabileceği etkiler birlikte ele alınmalıdır. Etkili bir politika yalnızca yasakları değil, izin verilen kullanım alanlarını, denetim esaslarını, sorumluluk dağılımını ve ihlal bildirim süreçlerini de düzenlemelidir.
Sonuç
İş yerinde yapay zekâ kullanımı şirketler açısından önemli verimlilik ve rekabet avantajları sunmaktadır. Bununla birlikte bu araçların kontrolsüz kullanılması kişisel verilerin korunması, ticari sırların açıklanması, fikri mülkiyet hakları, iş hukuku ve sözleşmesel sorumluluk bakımından ciddi sonuçlar doğurabilir.
Şirketlerin yapay zekâ kullanımını yalnızca çalışanların bireysel tercihine bırakmaması, kullanılan araçları ve veri akışlarını tespit etmesi, hizmet sağlayıcı sözleşmelerini incelemesi ve açık bir kurumsal politika oluşturması gerekmektedir.
Yapay zekâ araçlarının bütünüyle yasaklanması yerine izin verilen kullanım alanlarının ve yasaklanan bilgi türlerinin belirlenmesi daha uygulanabilir bir yaklaşım oluşturacaktır. İnsan kontrolü, veri minimizasyonu, güvenli hesap yönetimi, çalışan eğitimi ve düzenli denetim bu yapının temel unsurları olarak değerlendirilmelidir.
İş yerinde yapay zekâ kullanımı, KVKK uyumu ve kurumsal yapay zekâ kullanım politikalarının hazırlanması konusunda hukuki destek için Çetin Avukatlık Ofisi ile iletişime geçebilirsiniz.
