ÜRETKEN YAPAY ZEKÂ VE KIŞISEL VERILERIN KORUNMASI: YENI REHBERIN ANA HATLARI
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 28 Kasım 2025 tarihinde yayımlanan Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi ("Rehber"), üretken yapay zekâ (“ÜYZ”) sistemlerini 15 temel soru üzerinden ele alarak bu teknolojilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) bakımından nasıl değerlendirilmesi gerektiğini kapsamlı biçimde açıklamaktadır. Rehber’de; ÜYZ’nin tanımı, içerik üretim mekanizması, modelin yaşam döngüsü, kullanım alanları ve ÜYZ’nin doğurduğu risklere ilişkin soruların yanı sıra, ÜYZ sistemlerinde kişisel veri işlenip işlenmediği, veri sorumlusu–veri işleyen rollerinin nasıl belirleneceği, genel ilkelerin ÜYZ’de nasıl uygulanacağı ve işleme şartlarının nasıl tespit edileceği de ayrıntılı şekilde ele alınmaktadır. Bunun yanında kişisel verilerin yurt dışına aktarımı, şeffaflık ve aydınlatma yükümlülüğü, ilgili kişi haklarının otomatik işleme süreçlerinde nasıl kullanılabileceği, veri güvenliğine ilişkin teknik ve idari tedbirler ile yetişkinler ve çocuklar açısından ÜYZ kullanımında dikkat edilmesi gereken hususlar da Rehber’in sistematiği içinde yer almaktadır. Bu yapısıyla Rehber, ÜYZ’ye ilişkin kavramsal ve uygulamaya dönük değerlendirmelerin ilk kez bu ölçekte ortaya konulduğu temel bir başvuru metnidir.
Rehber, ÜYZ’nin doğası gereği önemli riskler barındırdığına özellikle dikkat çekmektedir. Üretilen içeriklerde görülebilen “halüsinasyon” (gerçeği yansıtmayan, uydurma bilgiler), eğitim verilerindeki yapısal sorunların yol açtığı önyargılı çıktılar, manipülatif nitelikteki deep fake içerikler, yanıltıcı yönlendirme riskleri ve kimlik taklidi amacıyla tasarlanabilen oltalama senaryoları ÜYZ’ye özgü belirgin riskler arasında sayılmaktadır. Bu risklerin hem kişisel verilerin korunması hem de veri güvenliği bakımından ciddi sonuçlar doğurabileceği Rehber’de açık bir biçimde ortaya konmaktadır. Rehber esasen kişisel veri korumasına odaklanmakla birlikte, ÜYZ’nin metin, görsel, ses ve yazılım kodu üretebilme kapasitesinin fikrî mülkiyet hukuku bakımından da taşınan riskleri artırabileceğini belirtmek gerekir. Özellikle üçüncü kişilere ait eserlerin izinsiz taklidi veya onlarla yüksek benzerlik gösteren içeriklerin üretilmesi ihtimali, ÜYZ kullanımının telif hakkı ihlali riskini gündeme getirmektedir.
Rehber’in özellikle 6. soruya ayrılan kısmında ÜYZ sistemlerinde kişisel veri işlenip işlenmediği detaylı biçimde ele alınmaktadır. ÜYZ modelleri çoğunlukla geniş ölçekli veri kümeleri üzerinde eğitilmekte; bu veri kümelerinde gerçek kişilere ilişkin bilgiler bulunduğu takdirde, söz konusu veriler modelin iç yapısını ve ürettiği çıktıları doğrudan etkileyebilmektedir. Eğitim veri setlerinin hazırlanması, eğitimin yürütülmesi, modelin güncellenmesi, kullanıcı tarafından girilen verilerin işlenmesi ve nihai çıktıların oluşturulması gibi yaşam döngüsünün pek çok aşamasında kişisel veri işleme faaliyeti gerçekleşmektedir. Rehber, kişisel veri işlemenin her zaman açıkça görülemeyebileceğini; arka planda yürüyen süreçlerde kişisel veri niteliği taşıyan bilgilere doğrudan veya dolaylı şekilde temas edilebileceğini vurgulamaktadır. Ayrıca modelin kişisel veri işlemek amacıyla tasarlanmamış olması veya kişisel verilerin çıktılarda “tesadüfi” şekilde ortaya çıkması, Kanun anlamında veri işleme olgusunu ortadan kaldırmamaktadır. Kanun’un 3. maddesinde yer alan tanım uyarınca kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi ÜYZ süreçlerinde işleniyorsa veri sorumluluğu doğmaktadır. Dolayısıyla “model kişisel veri için tasarlanmadı” veya “çıktıda kişisel veri görünmesi rastlantısaldır” şeklindeki savunmalar sorumluluğu bertaraf etmemektedir.
Rehber, ÜYZ modellerinin eğitim, ince ayar (fine-tuning), entegrasyon, kullanıcı etkileşimi, çıktı üretimi ve güncellemelerden oluşan çok aşamalı bir yaşam döngüsüne sahip olduğunu; bu aşamaların her birinin amaç, kapsam ve veri kategorileri bakımından birbirinden bağımsız veri işleme faaliyetleri niteliği taşıdığını belirtmektedir. Bu nedenle söz konusu süreçlerin tek bir hukuki sebebe dayandırılması mümkün değildir. Her aşamanın işleme amacı ayrı belirlenmeli, uygun hukuki sebep tespit edilmeli ve saklama–imha politikaları işleme amacına göre yapılandırılmalıdır. Ayrıca ÜYZ ekosistemi geliştirici, hizmet sağlayıcı, entegratör ve son kullanıcı gibi çok sayıda aktörü barındırdığından, veri sorumlusu–veri işleyen rollerinin yalnızca sözleşmedeki unvanlara bakılarak değil, fiilen işleme amaç ve vasıtalarını belirleyen aktörün kim olduğuna göre ve her bir işleme faaliyeti özelinde tespit edilmesi gerekmektedir. Bu yaklaşım, ÜYZ gibi dinamik ve çok katmanlı yapılarda sorumluluk dağılımına ilişkin belirsizliklerin giderilmesine katkı sağlamaktadır.
Rehber, hukuka uygun veri işleme faaliyetinin sağlanabilmesi için Kanun’un genel ilkelerinin ÜYZ’nin tüm aşamalarına entegre edilmesi gerektiğini belirtmektedir. Bu kapsamda minimizasyon, ölçülülük, doğruluk, şeffaflık ve saklama süresine ilişkin ilkeler doğrultusunda veri işleme süreçlerinin yapılandırılması; açık rızanın ancak işleme amacının kapsamı, veri türleri ve üçüncü kişilere erişilebilirlik gibi hususlar hakkında yeterli bilgilendirme yapılması halinde geçerli olabileceği ifade edilmektedir. Aydınlatma yükümlülüğünün yerine getirilmesi için aydınlatma metinleri ve gizlilik politikalarının kullanıcıya görünür, erişilebilir ve anlaşılır biçimde sunulması gerektiği vurgulanmaktadır. İlgili kişi haklarının otomatik işleme süreçlerinde etkin şekilde kullanılabilmesi için veri eşleştirme, kayıt tutma ve makul açıklanabilirlik düzeyinin sağlanması önerilmektedir. Veri güvenliği bakımından ise tasarımdan itibaren ve varsayılan olarak mahremiyet yaklaşımlarının benimsenmesi, düzenli risk değerlendirmeleri ve testlerin yapılması ile teknik–idari tedbirlerin sürekli güncellenmesi gerekmektedir. Rehber, çocukların ÜYZ ile etkileşiminde manipülatif veya yanıltıcı içeriklere maruz kalma ihtimalinin daha yüksek olduğuna işaret ederek ebeveyn gözetiminin ve çocuklara ilişkin artırılmış koruma yükümlülüklerinin önemine ayrıca dikkat çekmektedir.
28 Kasım 2025 tarihli Rehber, ÜYZ sistemlerinin Kanun kapsamındaki yükümlülüklerle nasıl ilişkilendirileceğine dair Kurum tarafından ortaya konulan en kapsamlı değerlendirmedir. ÜYZ’nin yaşam döngüsünde ortaya çıkabilecek kişisel veri işleme faaliyetlerini, bu faaliyetlere uygulanacak hukuki şartları ve veri sorumlularının gözetmesi gereken temel ilkeleri açıklığa kavuşturarak uygulamada yaşanan belirsizliklerin önemli bir bölümünü netleştirmektedir. Rehber ayrıca risk yönetimi, şeffaflık, ilgili kişi hakları ve güvenlik tedbirlerine ilişkin somut öneriler sunması bakımından, ÜYZ teknolojilerini geliştiren, entegre eden veya kullanan tüm aktörler için uyum çalışmalarında yol gösterici bir referans noktası niteliği taşımaktadır.