Bizi Takip Edin :
Yapay Zeka

Kurumsal Yapay Zeka Politikası: 2026 KVKK Uyumlu AI Kullanım Rehberi

Kurumsal yapay zeka politikası KVKK uyumlu 2026 rehberi — Xen Bilişim Yapay Zeka

Geçen ay üç farklı müşterimde aynı sahneyi yaşadım: müşteri verisi içeren bir Excel dosyası, bir çalışan tarafından “özetle bunu” diye ChatGPT’nin ücretsiz sürümüne yapıştırıldı. Sonuç: KVKK kapsamında potansiyel veri ihlali, çünkü o çalışanın yetkili olmadığı bir veri işleme + üçüncü taraf modelinin eğitimine gönderme + denetim izi yok. Kurumun politikası “ChatGPT yasak” diyordu — uygulanmıyordu. Bu yazıda kurumsal yapay zeka kullanım politikasının nasıl yazılacağını, hangi maddeleri içermesi gerektiğini ve gerçek hayatta nasıl uygulanacağını ele alacağım.

Neden kurumsal AI politikası gerekli?

KVKK + Anayasa’nın 20. madde “Özel Hayatın Gizliliği” kapsamında bir kurum, çalışanlarının veri işleme aktivitelerinden sorumludur. Çalışan kendi inisiyatifiyle müşteri verisini ChatGPT’ye yapıştırdığında, KVKK Kurul ihlali değerlendirmesi yapar — şirket “ben bilmiyordum” diyemez. KVKK 12. madde “veri güvenliği yükümlülüğü” gereği teknik + idari tedbirlerin alınmış olması gerekir; bunlardan biri yazılı politika + farkındalık eğitimidir.

KVKK’nın resmi sayfası (kvkk.gov.tr) bu yükümlülüğü detaylı belirtir; ayrıca Avrupa Birliği’nin AI Act’i (2024’te yürürlüğe giren) kurumsal AI kullanımı için ek dokümantasyon yükümlülükleri getirir — Türkiye doğrudan tabi olmasa da AB’ye veri/hizmet ihraç eden Türk kurumlar için pratik etki var.

Politika yazılmadan önceki üç temel soru

İçeriği yazmadan önce kurumun mevcut durumunu anlamak gerekir:

Soru 1: Hangi AI araçlar zaten kullanılıyor? Defender for Cloud Apps (CASB) veya Microsoft Edge enterprise raporları üzerinden çalışanların hangi AI servislerine eriştiği analiz edilir. Tipik tespit: ChatGPT (free + Plus), Google Gemini, Claude, Perplexity, Bing/Microsoft Copilot. Bazen 10+ farklı AI servisi kullanılıyor olduğu görülür.

Soru 2: Hangi senaryolarda kullanılıyor? Çalışan anketi + kullanım analizi: e-posta yazımı, doküman özeti, kod üretimi, çeviri, brainstorm, yazılı içerik üretimi, müşteri hizmetleri yanıt taslakları. Her senaryonun veri hassasiyeti farklı.

Soru 3: Hangi veri tipleri risk altında? KVKK kapsamında hassas veri (T.C. kimlik no, IBAN, sağlık verisi), ticari sır (fiyat listesi, müşteri portföyü, sözleşme), fikri mülkiyet (kod, tasarım, formül), hukuki belge (dava dosyası, müvekkil yazışması). Her kategori politika içinde farklı kural alır.

Politikanın yapı taşları

İyi yazılmış kurumsal AI politikası şu bölümleri içerir:

Bölüm 1: Kapsam ve tanımlar

Politikanın hangi çalışanları, hangi sistemleri kapsadığı net belirtilir. Tanımlar bölümü: “Yapay zeka aracı”, “kurumsal AI”, “kişisel AI”, “kişisel veri”, “ticari sır” vb. terimler açıklanır. Bu bölüm hukuk + IT işbirliği gerektirir.

Bölüm 2: Onaylı AI araçları listesi

Politikanın kalbi. Hangi AI araçları onaylı (kullanım serbest), hangileri kısıtlı (sadece belirli rollere/senaryolara), hangileri yasak olarak işaretlenir.

KategoriOnaylıKısıtlıYasak
Microsoft 365 Copilot (kurumsal lisanslı)✓ Tüm kullanıcılar
Microsoft Copilot (Bing Chat Enterprise)✓ Kurumsal hesapla
Microsoft Copilot Studio (özel ajanlar)✓ Onay alarak
ChatGPT Enterprise (kurumsal lisanslı)✓ Belirli rollere
ChatGPT Free / Plus (kişisel)✗ Şirket verisiyle
Claude for Business✓ Belirli rollere
Claude.ai (kişisel)✗ Şirket verisiyle
Google Gemini (kurumsal lisanslı)✓ Onay alarak
Perplexity Free✓ Sadece public veri
GitHub Copilot Business✓ Yazılım ekibi

Bu liste her kurumun ihtiyacına göre özelleştirilir. Anahtar prensip: Kurumsal lisanslı AI = onaylı; kişisel/free AI + şirket verisi = yasak.

Bölüm 3: Veri sınıflandırması ve kullanım kuralları

Hangi veri tipinin hangi AI ile kullanılabileceğini matriksleyerek belirleyin:

Veri tipiM365 CopilotChatGPT EnterpriseChatGPT FreePublic verisi
Public bilgi (web içerik, basın bülteni)
Kurum içi non-hassas (genel doküman)✓ (onaylı)
Müşteri verisi (T.C. kimlik no, iletişim)✓ (Sensitivity Label’lı)
Hassas KVKK verisi (sağlık, biyometrik)✗ Yasak (her AI)
Ticari sır (fiyat, sözleşme şartı)✓ Sensitivity Label’lı
Müvekkil dosyası (hukuk firması)✓ Sensitivity Label’lı
Kaynak kodGitHub Copilot Business

Microsoft 365 Copilot’un avantajı: mevcut Sensitivity Label’lara + erişim izinlerine otomatik uyar. Kullanıcı erişimi olmayan dokümanı Copilot da göremez.

Bölüm 4: Yasak senaryolar (kırmızı çizgiler)

Spesifik olarak yasak olan kullanımlar:

  • Müşteriye ait kişisel veriyi kişisel/free AI servislerine girme
  • Ticari sır içeren dosyayı yetkisiz AI servisine yükleme
  • AI ürettiği içeriği kontrol etmeden müşteriye gönderme
  • AI üretimi içeriği “kendi çalışmamdır” diye sunma (akademik + telif hakkı)
  • AI ile fake içerik üretip pazarlamada kullanma (kararsız yasal alan)
  • Çalışan performans değerlendirmesi/işten çıkarma kararını sadece AI çıktısına dayandırma (AB AI Act prensibi + KVKK ayrımcılık riski)
  • Kaynak kod telif hakkı endişeli alanlarda AI üretim kodunu doğrudan production’a verme

Bölüm 5: Onaylı kullanım rehberi

Çalışanın “yapabilir” senaryoları + en iyi pratikler:

  • E-posta taslağı: AI ile yazıp gözden geçirip gönder. Müşteri ismi + hassas detay paylaşmadan önce kurumsal AI kullan.
  • Doküman özeti: Public veya iç dokümanları M365 Copilot ile özetle (otomatik label kontrolü).
  • Brainstorm: Konsept geliştirme, isim önerisi, slogan — public bilgilerle AI kullanımı serbest.
  • Çeviri: Kurumsal AI veya onaylı çeviri servisi. Müşteri verisi içeren çevirler kurumsal AI ile.
  • Kod üretimi: GitHub Copilot Business veya M365 Copilot. Hassas kod (güvenlik kritik) için ekstra inceleme.
  • Araştırma: Public web bilgileri için herhangi bir AI; kurumsal araştırma için M365 Copilot Researcher veya ChatGPT Enterprise.

Bölüm 6: Verifikasyon ve sorumluluk

AI üretimi içeriğin doğruluğunu kontrol etme sorumluluğu kullanıcıdadır. Hatalı veya halüsinasyonlu AI çıktısının sonuçlarından kullanıcı sorumludur. Politika bu sorumluluğu net belirtir; çalışanın AI çıktısını “araştırma + doğrulama yapmadan” kullanma alışkanlığı engellenir.

Bölüm 7: Uyum izleme ve yaptırım

  • Defender for Cloud Apps ile yasak AI servislerine erişim engelleme veya uyarı.
  • Onaylı AI servislerinde audit log takibi.
  • İhlal halinde uyarı → disiplin süreci → ağır vakada işten çıkarma — İş Kanunu kapsamında.
  • Çalışan eğitim katılım kayıtları zorunlu.

Bölüm 8: İletişim ve güncelleme

  • AI alanı hızla değişiyor — politika çeyreklik review edilmeli.
  • Yeni AI ürünleri çıktığında IT + Hukuk + İK ortak değerlendirme.
  • Çalışan soru/öneri kanalları belirlenir.

Politikanın uygulanması — 4 katmanlı yaklaşım

Politika yazmak başlangıç; gerçek uygulama dört katmandan oluşur:

Katman 1: Teknik tedbirler

  • Microsoft Defender for Cloud Apps: Onaylı/yasak AI servislerinin tespiti + politika uygulaması.
  • Microsoft Purview Sensitivity Labels: Hassas dokümanlar otomatik etiketli; M365 Copilot etiket politikasına uyar.
  • DLP politikaları: T.C. kimlik no, IBAN gibi pattern’lerin kişisel AI servislerine yapıştırılmasını engelle.
  • Conditional Access: Yetkisiz cihazlardan AI servislerine erişim engeli.

Katman 2: İdari tedbirler

  • Yazılı politika ile çalışanlara tebliğ.
  • İş sözleşmesine “AI kullanım politikası” ek olarak.
  • KVKK aydınlatma metnine AI kullanımının dahil edilmesi.
  • VERBİS bildiriminde işlenen veri kategorileri arasında “AI servisleri ile işleme” satırı.

Katman 3: Eğitim ve farkındalık

  • Yıllık zorunlu AI farkındalık eğitimi (30-60 dk).
  • Departman bazlı use case eğitimi (finans, satış, İK için farklı senaryolar).
  • “Sık yapılan hatalar” eğitim materyali — örnek vakalar.
  • Yeni başlayan personel için onboarding’de AI politikası modülü.

Katman 4: İzleme ve raporlama

  • Aylık AI kullanım raporu (yönetici + DPO’ya).
  • İhlal vakalarının kök neden analizi.
  • Onaylı AI kullanım metrikleri (ROI takibi).
  • Çeyreklik politika güncellemesi.

Örnek politika başlığı — KOBİ için sade bir şablon

Çok uzun politika tepkimeye yol açar. KOBİ için sade bir yapı önerisi:

1. Amaç ve Kapsam (1 sayfa)
   - Politikanın amacı
   - Kapsadığı çalışan ve sistem grupları
   - Tanımlar

2. Onaylı AI Araçları (1 sayfa)
   - Liste + açıklama + kim kullanabilir

3. Yasak Kullanımlar (1 sayfa)
   - Net madde madde
   - Veri kategorisi + AI servisi matriksi

4. Kullanım Rehberi (2 sayfa)
   - "Yapın" / "Yapmayın" rehberi
   - Sık karşılaşılan senaryolar

5. Sorumluluk ve Yaptırım (1 sayfa)
   - Kullanıcı sorumluluğu
   - Disiplin süreci

6. İletişim ve Soru (yarım sayfa)
   - Soru kanalları
   - Güncelleme prosedürü

Toplam: 6.5 sayfa, okunaklı, uygulanabilir.

Uzun bir hukuk metni yerine uygulanabilir + net politika çalışanın bağlanmasını kolaylaştırır.

Politika sonrası: uygulamayı sürdürmek

Politika yazmak en kolay kısım. Asıl iş 6 ay sonra başlar:

  • 3 ay sonra: İlk uygulama review — hangi maddeler işliyor, hangileri tepki alıyor?
  • 6 ay sonra: Çalışan farkındalık anketi. Onaylı AI kullanım rakamları. Yasak AI tespitleri.
  • 1 yıl sonra: Tam politika revizyonu. Yeni AI ürünleri için güncel kararlar. KVKK denetim hazırlığı.
  • Sürekli: Yeni AI ürün çıktığında 30 gün içinde IT + Hukuk + İK ortak değerlendirme.

Pratik öneri

2026 itibarıyla kurumsal AI politikası bir “lüks” değil temel gereksinim — özellikle KVKK kapsamında veri işleyen kuruluşlar için. Politika olmayan kurumda:

  1. Çalışanlar zaten AI kullanıyor (ölçtüğümüzde tipik %60+ kullanım oranı).
  2. Hangi veri nereye gidiyor — bilinmiyor.
  3. Bir KVKK ihlali halinde “tedbir alındı” diyemezsiniz.

Politika kurmak için 4-6 haftalık bir proje yeterli: hafta 1-2 mevcut durum analizi, hafta 3 politika taslağı, hafta 4 hukuk + yönetim review, hafta 5 çalışan duyurusu + eğitim, hafta 6 teknik tedbir aktivasyonu. Xen Bilişim KVKK danışmanlığı kapsamında politika şablonu + uygulama desteği veriyor; detay: KVKK ve Yasal Sorumluluk Danışmanlığı.

İlgili rehberler: Microsoft 365 Copilot Lisanslama · Shadow AI / ChatGPT Şirket Verisi Eylem Planı · Copilot vs ChatGPT vs Claude Karar Rehberi.

Bu yazıyı paylaşın
Read in English

İlgili Yazılar