Yapay zeka (“YZ”) teknolojileri, büyük miktarda veriyi işleyerek öğrenen ve insan benzeri çıktılar üretebilen sistemlerdir. Günümüzde yalnızca teknoloji sektöründe değil; sağlık, hukuk, finans, eğitim ve kamu hizmetleri gibi pek çok alanda kullanılmaktadır. Bu teknolojilerin en önemli yapı taşlarından biri, veridir. Veri çeşitliliği ve güncelliği arttıkça, YZ sistemlerinin performansı artar. Ancak, işlenen bu verilerin önemli bir kısmı kişisel veri niteliği taşır ve Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamındadır.
YZ tabanlı sistemlerin çalışma mantığı, büyük veri kümeleri üzerinden örüntüleri öğrenmeye dayanır. Bu süreçler genellikle üç temel aşamada ele alınır; eğitim, doğrulama ve kullanım. Eğitim aşamasında, modelin öğrenebilmesi için çok büyük hacimlerde veri kullanılır. Bu veriler kamuya açık kaynaklardan (web siteleri, sosyal medya vb.), lisanslı veri setlerinden veya doğrudan kullanıcıdan toplanabilir. Veri setleri içinde kişisel veri bulunması halinde, KVKK m.5 ve m.6’da yer alan işleme şartlarından en az birinin sağlanması gerekir.
Doğrulama aşamasında, modelin doğruluk ve güvenilirlik testleri yapılırken de kişisel veri işlenebilmektedir. Veri setlerinde kişisel veri bulunması hâlinde KVKK m.5 (işleme şartları) ve m.6 (özel nitelikli veriler) kapsamındaki bir dayanağın sağlanması zorunludur.
Kullanım aşamasında ise kullanıcıların sisteme sağladığı girdiler (metin, görsel, ses, belge vb.) işlenmektedir. Bu aşamada veri minimizasyonu ilkesi (KVKK m.4) uyarınca yalnızca gerekli verilerin toplanmalı; saklama süreleri belirlenmeli ve gerekmedikçe eğitime geri besleme yapılmamalıdır.
YZ sistemlerinde veri güvenliği yalnızca hukuki değil, aynı zamanda etik bir sorumluluktur. Veri işleme süreçlerinde anonimleştirme, maskeleme, takma ad kullanımı, erişim kontrolü, şifreleme ve diferansiyel gizlilik gibi teknikler, risk temelli bir yaklaşımla seçilmeli ve dokümante edilmelidir. Bu noktada, KVKK m.12 kapsamında veri güvenliği yükümlülüklerinin yerine getirilmesinde kritik öneme sahiptir.
Tüm bu genel ilkeler, yapay zekâ sistemlerinin veri işleme boyutunu anlamak için bir temel sunar. Bu çerçevede, son dönemde yaygınlaşan ve milyonlarca kullanıcıyla etkileşim kuran büyük dil modelleri, kişisel verilerin korunması bakımından özel bir değerlendirmeyi hak eden örnekler arasında yer almaktadır.
ChatGPT ve Benzeri Modellerin KVKK’ya Uyumu
ChatGPT gibi en çok bilinen büyük dil modelleri, kullanıcı girdilerini işleyerek yanıt üreten sistemlerdir. Bu sırada, kullanıcıların farkında olmadan kişisel veri paylaşması oldukça muhtemeldir. KVKK m.10’daki aydınlatma yükümlülüğü, bu sistemler için özel önem taşır: Kullanıcılara, verilerinin hangi amaçla işlenip saklandığı, kimlere ve hangi amaçla aktarıldığı, veri toplama yöntemi ve hukuki sebebi gibi hususlar net ve Türkçe dilinde bildirilmelidir. KVKK m.5 ve m.6’da belirtilen diğer hukuka uygunluk sebepleri mevcut değilse, açık rıza alınması zorunludur. YZ özellikleri ayrıca etiketlenmeli (örn. “YZ destekli sohbet”), otomatik kararların etkileri açıklanmalıdır.
Uygulamada bu modellerin KVKK'ya tam uyumu çoğu zaman tartışmalıdır. 1 Haziran 2024’te yürürlüğe giren değişikliklerle, yurt dışına aktarım konusunda açık rıza merkezli eski yaklaşım terk edilmiştir. Artık aktarım; (i) yeterlilik kararı bulunan ülkelere ve/veya sektörlere, (ii) uygun güvenceler (örn. standart sözleşme, bağlayıcı şirket kuralları) ile ya da (iii) istisnalar kapsamında yapılabilir. En yaygın kullanılan yöntem olan standart sözleşmeler, imza tarihinden itibaren 5 iş günü içinde Kurum’a bildirilmelidir.
Sistem sağlayıcıların şeffaflık ve hesap verebilirlik ilkelerine uygun hareket etmesi, yalnızca yasal bir yükümlülük değil aynı zamanda kullanıcı güveni açısından da kritik bir husustur.
Yapay Zeka ve Açık Rıza
KVKK’ya göre geçerli bir açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan bir irade beyanıdır. YZ bağlamında bu, kullanıcının hangi verisinin hangi amaçla işlendiğini, bu verinin kimlere aktarılacağını ve ne kadar süre saklanacağını anlamasını gerektirir. Açık rıza, hizmetten yararlanabilmek için zorunlu tutulmamalıdır; aksi takdirde özgür irade unsuru zedelenir. KVKK’da zımni rıza geçerli değildir; örneğin, sistemin kullanımının rıza anlamına geldiğini varsaymak hukuken doğru değildir. Rıza geri alındığında, geri alma kayıt altına alınmalı ve rızaya dayalı işleme durmalıdır. Ayrıca, YZ sistemlerinde rıza sürecinin teknik olarak doğrulanabilir olması (log kayıtları, zaman damgaları) ileride doğabilecek uyuşmazlıklar açısından önemlidir.
Deepfake Teknolojisi ve Riskler
Yapay zekanın yol açtığı veri koruma tartışmalarından bir diğeri de deepfake teknolojisidir. Deepfake, yapay zeka ve derin öğrenme algoritmaları kullanılarak bir kişinin yüzünün, sesinin veya hareketlerinin manipüle edilmesiyle oluşturulan, gerçeğe çok yakın sahte içeriklerdir. Bu içerikler, eğlence veya sanat amacıyla kullanılabileceği gibi; dolandırıcılık, şantaj, itibar zedeleme, sahte haber yayma gibi kötüye kullanım alanlarında da karşımıza çıkabilir. Kişisel Verileri Koruma Kurumu’nun 2025 tarihli bilgi notu, deepfake’in kişisel veri güvenliği açısından doğurduğu riskleri net biçimde ortaya koymaktadır. Özellikle çocuklar ve yaşlılar gibi hassas gruplar, deepfake saldırılarının hedefi olabilmektedir.
Bu teknolojilere karşı korunmak için teknik, idari ve hukuki önlemlerin birlikte ele alınması gerekir. Teknik tedbirler arasında anti-deepfake yazılımlar, otomatik tespit sistemleri, filigran ekleme ve orijinal içeriklerin referans veri tabanlarında saklanması sayılabilir. İdari tedbirlere örnek olarak erişim yetkilendirmesi, kurum içi farkındalık eğitimleri ve olay müdahale planları sayılabilir. Hukuki tedbirlerse ihlalin tespiti halinde hızlı başvuru yolları, içerik kaldırma, erişim engeli ve tazmin talepleri gibi enstrümanları kapsar. Uluslararası alanda ise platform sağlayıcıların sorumluluğu ve yapay zeka içeriklerinin zorunlu işaretlenmesi gibi düzenlemeler gündemdedir.
Sonuç
Yapay zeka sistemlerinin gelişimi, birçok alanda büyük fırsatlar sunarken, kişisel verilerin korunması bağlamında önemli riskler de doğurmaktadır. KVKK; açık rıza, aydınlatma ve veri güvenliği yükümlülükleri ile bu teknolojilere hukuki bir çerçeve sunar. Ancak yalnızca yasal zorunluluklara değil, aynı zamanda etik ilkelere dayanan bir yaklaşım benimsenmediği sürece; güven, şeffaflık ve sorumluluk gibi değerlerin sağlanması zor olacaktır. YZ geliştiricilerinin ve veri sorumlularının, kişisel verileri işlerken yalnızca "mevzuata uygunluğu" değil, aynı zamanda "insan onurunu gözeten" bir yaklaşımı esas alması gerekir.