Yapay Zeka ve Veri Koruma: KVKK Uyumluluk Rehberi

Yapay zeka, müşteri hizmetlerinden insan kaynaklarına, finansal analizdan sağlık hizmetlerine her alanı dönüştürüyor. Ama AI'ın gerçek verimliliği veriyle gelir; ve veri, yasaların düzenlediği bir alandır. Türkiye'de KVKK, Avrupa'da GDPR, Katar'da PDPPL; tüm bu çerçeveler kişisel veriyi koruma altına alır. Bu rehberde, Allync'in kurumsal müşterilerine sunduğu uyumluluk omurgasını, AI özelinde tüm boyutlarıyla ele alıyoruz.

Hukuki Dayanak: KVKK Madde 5 ve GDPR Article 6

Bir kişinin verisini işleyebilmek için hukuki dayanağa ihtiyaç vardır. Hem KVKK Madde 5 hem de GDPR Article 6, altı temel hukuki dayanak tanımlar; bu altıdan en az biri sağlanmadığı sürece kişisel veri işlenemez.

• Açık rıza / Consent: Veri sahibinin özgür iradesiyle, bilgilendirilmiş ve belirli bir konuya ilişkin verdiği onay
• Sözleşmenin ifası / Contract: Veri sahibiyle kurulan sözleşmenin gereği olan işleme
• Hukuki yükümlülük / Legal obligation: Mevzuatın gereği
• Hayati menfaat / Vital interest: Veri sahibinin veya başka birinin hayati çıkarlarının korunması
• Kamu görevi / Public task: Kamusal yetkinin kullanılması
• Meşru menfaat / Legitimate interest: Veri sorumlusunun meşru menfaati (KVKK'da daha sınırlı uygulanır)

AI projelerinde en sık karşılaşılan iki dayanak açık rıza ve sözleşmenin ifasıdır. Müşteri hizmetleri AI bot'u, müşteriyle var olan satın alma sözleşmesinin ifası kapsamında çalışabilir. Pazarlama amaçlı AI ise tipik olarak açık rıza gerektirir.

AI'da Açık Rıza Nasıl Görünür?

"Kullanıcı kabul ediyor" tikinin altına gizlenmiş, kapsamı belirsiz bir onay açık rıza değildir. KVKK ve GDPR'ın açık rızadan kastettiği üç temel kriter:

Özgürlük

Kullanıcı, hizmeti almakla rızayı vermek arasında zorunlu bir bağ kurulmamalıdır. Pazarlama AI'ı için "rıza vermezsen ürünü kullanamazsın" demek özgür iradeyi yok eder ve rızayı geçersiz kılar.

Bilgilendirilmişlik

Kullanıcı, verisinin kim tarafından, hangi amaçla, ne kadar süre ve hangi 3. taraflarla işleneceğini somut olarak bilmeli. AI özelinde bu, "verileriniz ChatGPT/Claude gibi LLM sağlayıcılarına gönderilebilir" şeklinde açıkça yazılmalıdır.

Belirlilik

Açık rıza belirli bir amaca yöneliktir. Tek bir tikle hem pazarlamaya, hem AI eğitimine, hem 3. taraf paylaşımına onay alamazsınız. Her amaç için ayrı, granular onay almak gerekir.

AI Sağlayıcılarıyla DPA: Veri İşleme Sözleşmesi

Bir uygulama OpenAI API'ı veya Anthropic Claude'u kullandığında, son müşterinin kişisel verisi mutlaka bu sağlayıcıların altyapısına gider. Yasal düzlemde:

• Sizin müşteriniz = veri sahibi
• Siz / Allync müşterisi = veri sorumlusu
• Allync = veri işleyen
• OpenAI / Anthropic = alt-veri-işleyen (sub-processor)

Bu zincirin her halkası, yukarıdakine karşı sözleşmesel olarak bağlanmalıdır. Bu sözleşmenin adı DPA (Data Processing Agreement)'dır ve içeriği KVKK Madde 8/2-b ile GDPR Article 28 tarafından düzenlenir.

DPA'da Bulunması Gerekenler

• İşleme konusu, süresi, niteliği ve amacı
• Kişisel verinin türü ve veri sahibi kategorileri
• Tarafların hak ve yükümlülükleri
• Alt-veri-işleyen kullanma şartı (önceden onay/bilgilendirme)
• Teknik ve idari güvenlik tedbirleri
• Veri ihlali bildirim mekanizması
• Veri sahibi hakları taleplerinin yönetimi
• Sözleşme sonrası verinin iadesi veya imhası

Allync, müşterilerine sunduğu yapı içinde Anthropic ve OpenAI ile imzalı kurumsal DPA'lara dayanır. Bu DPA'lar, müşteri verisinin model eğitiminde kullanılmamasını sözleşmesel olarak garanti eder.

Eğitim Verisi İzolasyonu Neden Hayati?

2023 öncesi AI dünyasının en büyük gri alanı şuydu: API'ya gönderdiğin veri, modelin bir sonraki versiyonunda eğitim verisine dönüşür müydü? Cevap büyük ölçüde "evet, opt-out edilmediği sürece" idi. 2026 itibarıyla kurumsal sağlayıcıların standart taahhüdü çok netleşti.

Anthropic Enterprise DPA

Anthropic'in kurumsal DPA'sı, API üzerinden gönderilen müşteri girdilerinin (input) ve modelin ürettiği çıktının (output) model eğitiminde kullanılmayacağını taahhüt eder. Bu, default opt-out değil, default off durumudur. Allync mimarisi bu kapsam altında çalışır.

OpenAI API Terms

OpenAI'ın API kullanım şartları, varsayılan olarak API üzerinden gelen verinin model eğitiminde kullanılmayacağını taahhüt eder. (ChatGPT Free/Plus consumer ürünüyle karıştırılmamalıdır; orada farklı bir politika söz konusudur.) Allync, hiçbir koşulda consumer ChatGPT arayüzünü kurumsal entegrasyonlarda kullanmaz; tüm trafik enterprise düzeyde API'lardan akar.

İzolasyon Pratikte

Veri izolasyonu sadece sözleşme meselesi değildir; mimari de gerektirir. Allync uygulamasında:

• Her tenant'ın verisi mantıksal olarak ayrı tutulur (tenant ID anahtarlı)
• Prompt'lar ve yanıtlar audit log'a yazılırken hassas alanlar redacted edilir
• Cross-tenant fine-tuning yapılmaz; her müşterinin AI'ı kendi verisiyle çalışır, başka müşterinin verisi onunla karıştırılmaz

Veri Minimizasyonu: Az Veri = Az Risk

GDPR Article 5(1)(c) ve KVKK Madde 4 "ölçülülük" (sadece gerekli olan kadar) ilkesini şart koşar. AI bağlamında bu, en güçlü güvenlik aracıdır: işlemediğiniz veri, sızdırılamaz veri demektir.

Allync'in WhatsApp ve Instagram entegrasyonlarında pratik uygulamalar:

• Yalnızca mesaj metni AI'a iletilir; profil resmi, telefon numarası, IGSID gibi ek alanlar prompt'a eklenmez
• Karar/yanıt için ihtiyaç yoksa kullanıcının geçmiş konuşma geçmişi de gönderilmez; sadece o anki turn LLM'e gider
• Müşterinin satın alma geçmişi ancak sipariş takibi senaryosunda, gerekli olduğu kadar getirilir
• Kişisel veri içeren alanlar log'larda otomatik olarak redacted edilir

Audit Log: Uyumluluğun Kanıt Aracı

GDPR Article 30, "veri işleme faaliyetleri kaydı tutma yükümlülüğü"nü şart koşar. KVKK'nın "hesap verebilirlik" ilkesi de aynı yönde işler. Hangi kullanıcının hangi veriye eriştiği, AI'ın hangi prompt ile hangi yanıtı ürettiği — bunların hepsi sorgulanabilir olmalı.

Allync audit log mimarisi:

• Her API çağrısı, kullanıcı, IP, tenant ID, eylem tipi ve kaynak ile loglanır
• AI prompt'ları ve yanıtları (gerekli redaction'larla) ayrı bir AI audit kanalına yazılır
• Default 90 gün saklama süresi; kurumsal müşterilerde tenant düzeyinde uzatılabilir
• Log'lar değiştirilemez (append-only) ve cryptographic hash ile bütünlük doğrulaması yapılır
• Veri sahibi "verim ne zaman işlendi?" diye sorduğunda yanıtı buradan üretirsiniz

Veri İhlali ve 72 Saat Kuralı

GDPR Article 33 uyarınca veri sorumlusu, kişisel veri ihlalini farkına vardığı andan itibaren 72 saat içinde yetkili denetim otoritesine bildirimde bulunmak zorundadır. KVKK kapsamında ise Kişisel Verileri Koruma Kurulu, ihlalin "en kısa sürede ve en geç 72 saat içinde" kendisine bildirilmesini düzenlemiştir. Etkilenen veri sahiplerine de "yüksek risk" varsa makul sürede bildirim yapılır.

İhlal Müdahale Adımları

1. Tespit ve doğrulama: Olayı detect et, false positive olmadığını doğrula
2. İzolasyon: Etkilenen sistemleri izole et; daha fazla veri sızmasını durdur
3. Etki analizi: Kaç kişi, hangi veri kategorisi, hangi risk seviyesi etkilendi
4. Otorite bildirimi: 72 saat içinde GDPR/KVKK otoritesine yapılandırılmış bildirim
5. Veri sahibi bildirimi: Yüksek risk varsa etkilenen kişilere açık ve sade dille bildirim
6. Kök neden analizi ve düzeltme: Aynı ihlalin tekrarını önleyecek değişiklikler

Veri Sahibi Hakları (DSAR)

GDPR ve KVKK, veri sahibine güçlü haklar verir. Sisteminizin bunları operasyonel olarak destekleyebilmesi gerekir:

• Erişim hakkı: Veri sahibi, hakkında işlenen verilerin kopyasını talep edebilir
• Düzeltme hakkı: Yanlış veya eksik veriyi düzelttirme
• Silme hakkı / Right to erasure: Belirli koşullarda verinin silinmesini isteme
• İşlemeyi sınırlama: Belirli koşullarda işlemeyi geçici olarak durdurma
• Taşınabilirlik: Veriyi yapılandırılmış formatta alma ve başka sorumluya aktarma
• İtiraz hakkı: Otomatik karar verme dahil belirli işlemelere itiraz

Allync platformunda DSAR talepleri için tenant yöneticilerinin kullanabileceği bir arayüz vardır. Talep geldiğinde tüm tenant veritabanından, audit log'lardan ve depolama katmanından veri sahibine ait kayıtlar çıkarılır, talebin tipine göre işlem yapılır.

Saklama Süresi Politikaları

Veriyi sonsuza kadar saklamak hem yasaya aykırı (KVKK Madde 7, GDPR Article 5(1)(e) — saklama sınırlaması) hem de gereksiz risktir. Allync varsayılan saklama süreleri:

• Konuşma logları: 12 ay (operasyonel ihtiyaç + uyuşmazlık çözümü için)
• Audit log: 90 gün (tenant uzatabilir)
• Hata/diagnostic log: 30 gün
• Yedekler: 30 gün rolling

Süre dolduğunda otomatik silme job'u devreye girer ve audit log'a "data retention purge" girdisi düşer. Kurumsal müşteriler kendi sözleşmelerinde özel süreler belirleyebilir.

Uluslararası Veri Transferi

Türkiye'den AB'ye, AB'den ABD'ye veri transferi söz konusu olduğunda aktarım hukuki dayanağı şarttır. AB için bu aktarımlar genelde Standard Contractual Clauses (SCC) ile, ABD'ye yapılan aktarımlar EU-US Data Privacy Framework veya yine SCC ile yapılır. KVKK kapsamında yurt dışına aktarım için Kurul kararı, taahhütname veya açık rıza gibi yollar mevcuttur.

Allync, veri ikametgahı seçeneği sunar: AB ve Türkiye için bölgesel barındırma, müşteri tercihine göre yapılandırılabilir. AI sağlayıcılarına yapılan transferler ise sözleşmesel SCC'ler altında gerçekleşir.

Sıkça Sorulan Sorular

AI ile kişisel veri işlemenin hukuki dayanağı nedir?

KVKK Madde 5 ve GDPR Article 6, kişisel verinin işlenebilmesi için altı hukuki dayanaktan en az birini şart koşar: açık rıza, sözleşmenin ifası, hukuki yükümlülük, hayati menfaat, kamu görevi ve meşru menfaat. AI projelerinde en sık kullanılan dayanaklar açık rıza ile sözleşmenin ifasıdır. Müşteri hizmetleri AI'ı genelde sözleşmenin ifası kapsamında işler; pazarlama amaçlı AI kullanımı ise açık rıza gerektirir.

AI sağlayıcılarımla DPA imzalamam gerekir mi?

Evet. Anthropic, OpenAI gibi AI sağlayıcıları, sizin verinizi işleyen 'veri işleyendirler' (KVKK terimi) veya 'processor' (GDPR terimi). Aralarındaki ilişki yasal olarak DPA (Data Processing Agreement) ile belgelenmek zorundadır. Allync, müşterilerine sunduğu yapı içinde Anthropic ve OpenAI ile imzalı kurumsal DPA'lara dayanır; bu DPA'lar müşteri verisinin model eğitiminde kullanılmamasını sözleşmesel olarak garanti eder.

Verim AI modelinin eğitiminde kullanılır mı?

Hayır. Allync mimarisinde müşteri verisi hiçbir koşulda model eğitiminde kullanılmaz. Anthropic'in kurumsal DPA'sı ve OpenAI API Terms, API üzerinden gönderilen müşteri verisinin model eğitimi için kullanılmayacağını açıkça taahhüt eder. Allync, prompt'lar ve yanıtlar yalnızca o anki çıkarım (inference) için kullanılır, sonradan modele dönmez.

Veri ihlali olduğunda ne kadar süre içinde bildirim yapılmalı?

GDPR Article 33 uyarınca veri sorumlusu, kişisel veri ihlalini farkına vardığı andan itibaren 72 saat içinde yetkili denetim otoritesine bildirmek zorundadır. KVKK kapsamında ise Kişisel Verileri Koruma Kurulu, ihlalin en kısa sürede ve en geç 72 saat içinde bildirilmesini düzenlemiştir. Ayrıca etkilenen veri sahiplerine de makul sürede bildirim yapılması gerekir. Allync ihlal müdahale prosedürleri bu süreleri otomatik takvimle yönetir.

Audit log'lar ne kadar saklanır ve neden önemli?

Allync platformunda audit log'lar varsayılan olarak 90 gün saklanır ve kurumsal müşteriler için bu süre tenant bazında uzatılabilir. Audit log'lar uyumluluk için kritik bir araçtır: kim, ne zaman, hangi kişisel veriye erişti veya hangi AI eylemi gerçekleştirildi sorularını GDPR Article 30 (kayıt tutma yükümlülüğü) ve KVKK kapsamındaki hesap verebilirlik ilkesi gereğince belgelemenize yarar. Veri sahibi 'verim ne zaman işlendi?' diye sorduğunda yanıtı buradan üretirsiniz.

Allync Hakkında

Allync, AI destekli müşteri etkileşim platformunu GDPR, KVKK, Katar PDPPL, ISO 27001 ve SOC 2 Type II prensipleriyle uyumlu olarak tasarlar. Tenant başına izolasyon, alan bazlı şifreleme, otomatik audit log, DSAR yönetimi ve sözleşmesel sub-processor zinciri ürünün omurgasıdır.

Müşteri verisi hiçbir koşulda model eğitiminde kullanılmaz; bu, hem mimari hem sözleşmesel olarak Anthropic ve OpenAI ile imzalı kurumsal DPA'larla garanti altındadır. Ayrıntılı veri koruma uygulamalarımız için gizlilik politikamızı inceleyebilirsiniz.