24 Kasım 2025 tarihinde Kişisel Verileri Koruma Kurumu tarafından Üretken Yapay Zekâ[1] (“ÜYZ”) ve Kişisel Verilerin Korunması hakkında Rehber (“Rehber”) yayımlanmıştır. Rehber, ÜYZ sistemlerini geliştiren, entegre eden veya kullanan şirketlerin veri sorumlusu sıfatıyla atması gereken adımları ve uyum yükümlülüklerini açıklamaktadır. Rehber kapsamında ÜYZ kullanılırken dikkat edilmesi gereken hususlar aşağıda özetlenmiştir.

a) Rol ve Sorumlulukların Belirlenmesi:

    • Rehber uyarınca, veri sorumlusu ve veri işleyen rolleri, sistemin karmaşık ve dinamik yapısı nedeniyle geleneksel yöntemlere göre daha zor belirlenir.
    • Bu kapsamda, rollerin belirlenmesinde sözleşmesel ifadeden çok, tarafların kişisel veri işleme faaliyetleri üzerindeki fiili kontrolü ve karar alma yetkisi esas alınır. Genel bir yaklaşımdan kaçınılarak, her bir işleme faaliyetinin niteliği ve bağlamı dikkate alınmalıdır.
    • Veri Sorumlusu, kişisel verilerin işlenmesine ilişkin temel nitelikteki kararları alan taraftır.
    • Veri İşleyen, veri sorumlusunun talimatlarına dayanarak onun adına kişisel verilerin işlenmesinin teknik kısımlarını yürüten taraftır.

    b) Genel İlkelere Uygunluk:

      • ÜYZ aracılığıyla işlenen kişisel veriler genel ilkelere uygun olarak işlenmelidir.
      • Sadece gerekli olan veriler işlenmeli, sonradan gerekli olabileceği düşüncesiyle sınırsız veri toplanmamalıdır.
      • Modelin halüsinasyon (yanlış çıktı) üretmemesi ve ayrımcılık yapmaması için eğitim veri kümelerinin doğruluğu, güncelliği ve temsiliyet dengesi (ön yargı içermemesi) sağlanmalıdır.
      • Veriler, işleme amacı bittiğinde silinmeli, yok edilmeli veya anonim hale getirilmelidir.
      • ÜYZ sistemleri ile kişisel veri işleme faaliyetlerinin hukuka uygun olması için, kullanılan teknolojiden bağımsız olarak 6698 sayılı Kişisel Verileri Koruma Kanunu’ndaki (“KVKK”) sınırlı sayıdaki işleme şartlarından en az birine dayanılması zorunludur.
      • İşleme faaliyetlerinin her bir adımı (geliştirme, çalıştırma, çıktı üretimi vb.) bağımsız birer işlem sayılabilir ve bu nedenle her biri için ayrı bir hukuki sebep belirlenmelidir. Bu kapsamda, her bir işleme faaliyeti için KVKK’nın 5. ve 6. Maddelerinde yer alan işleme şartlarından birinin varlığı gerekmektedir. Açık rıza işleme şartı öncelikli değildir ve eğer diğer hukuki sebepler mevcut değilse alınmalıdır.

    c) Aydınlatma ve Yurtdışına Aktarım:

      • Kullanıcılara, bir ÜYZ ile (örneğin bir chatbot ile) etkileşimde oldukları açıkça bildirilmelidir.
      • Verilerin hangi kaynaklardan (web kazıma dahil) toplandığı, nasıl işlendiği ve hangi amaçla kullanıldığına dair şeffaf ve erişilebilir aydınlatma metinleri sunulmalıdır.
      • Sunucuları yurt dışında olan ÜYZ sağlayıcılarının kullanılması durumunda, KVKK’nın 9. Maddesindeki yurt dışına veri aktarım şartlarına (yeterlilik kararı veya uygun güvenceler) uyulmalıdır.

    d) Veri Sahibi Haklarının Kullandırılması:

      • KVKK’nın 11. Maddesinde düzenlenen veri sahibinin haklarının ÜYZ kullanımı kapsamında da veri sahiplerine sağlanması ve kullandırılması gerekmektedir.
      • Kişiler hakkında sadece otomatik sistemlerle (ÜYZ) verilen kararlar aleyhlerine sonuç doğuruyorsa, bu sonuca itiraz etme imkânı sağlanmalıdır ve kişilerin verilerini sildirme, düzelttirme veya bilgi alma haklarını bu karmaşık sistemler içinde de kullanabilmeleri için gerekli mekanizmalar kurulmalıdır.

    e) Veri Güvenliği Tedbirleri:

      • Kişisel veri güvenliği tedbirleri alınmalıdır.
      • Bu tedbirlere örnek olarak; (i) sistem henüz tasarım aşamasındayken veri koruma önlemleri (Privacy by Design) entegre edilmesi, (ii) sistemin güvenlik açıklarını tespit etmek için “Kırmızı Takım” (Red Teaming) testleri gibi sızma testleri yapılması ve (iii) mümkün olan durumlarda gerçek kişisel veriler yerine sentetik verilerin veya mahremiyet artırıcı teknolojilerin kullanılmasının teşvik edilmesi verilebilir.

    Konuya ilişkin detaylı bilgi almak için ekibimiz ile iletişime geçebilirsiniz.

    [1] Rehber kapsamında Üretken Yapay Zeka, büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından girilen istem ya da komuta yanıt olarak metin, görsel, video, ses veya yazılım kodu gibi farklı formatlarda içerikler üretebilen yapay zeka türü olarak ifade edilmektedir.

    Batuhan Şahmay
    Ortak Avukat | batuhan.sahmay@bener.com
    Özlem Özdemir Yılmaz
    Kıdemli Avukat | ozlem.ozdemir@bener.com
    Merve Atayurt
    Avukat | merve.atayurt@bener.com