Kişisel Verileri Koruma Kurumu’nun Yeni Dokümanı Işığında “Gölge Yapay Zekâ”

Üretken yapay zekâ (“ÜYZ”) araçları, modern iş hayatının giderek daha belirgin bir unsuru hâline geliyorÖte yandan e-posta taslaklarının hazırlanmasından uzun belgelerin özetlenmesine, kod üretiminden stratejik planlama desteğine kadar pek çok alanda verimlilik sağlayan bu araçların kurumsal denetim mekanizmalarının dışında yaygınlaşması; kişisel verilerin korunması, bilgi güvenliği ve mevzuata uyum açısından ciddi soruları da beraberinde getiriyor. 

Kişisel Verileri Koruma Kurumu (“Kurum”), 5 Mart 2026 tarihinde İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı başlıklı bir doküman (“Doküman”) yayımladı. Doküman, iş yerlerinde ÜYZ kullanımının yasaklanmaya çalışılmasının ters etki yaratacağını ve yasağın kullanımı yalnızca kurumsal denetimin dışına iteceğini vurguluyor. Bu çerçevede kuruluşlar için ÜYZ kullanımını engellemenin değil, halihazırda faaliyetleri içinde var olan onaysız ÜYZ kullanımını yani Kurum’un “Gölge Yapay Zekâ” olarak adlandırdığı olguyu görünür kılmanın önemi vurgulanıyor. 

“Gölge Yapay Zekâ”nın Yükselişi

“Gölge YZ” kavramı, bilişim yönetişimi alanının uzun süredir aşina olduğu bir sorun olan Gölge BT (Shadow IT) olgusunun üzerine inşa ediliyor. Kuruluşlar yıllardır, çalışanların resmî kurumsal sistemleri devre dışı bırakarak yetkisiz kişisel bulut depolama hizmetleri, mesajlaşma uygulamaları ve diğer üçüncü taraf araçları kullanmasıyla karşı karşıya kalıyorKurum bu iki olgu arasında bir paralellik kurarken, Gölge YZ’nin önemli ölçüde daha büyük riskler taşıdığını vurguluyor. 

Gölge BT, genellikle kurumsal verilerin harici platformlarda yetkisiz olarak depolanmasını veya aktarılmasını ifade ediyor. Gölge YZ ise kurumsal verilerin, bu verileri işleyen, belirli yapılandırmalarda saklayabilen veya öğrenebilen üçüncü taraf üretken modellere aktif olarak beslenmesini içeriyor. Bir çalışan kişisel bulut sürücüsüne bir dosya yüklediğinde veri, üçüncü taraf bir sunucuda bulunsa da statik olarak kalıyor. Ancak aynı çalışan bir müşteri sözleşmesini kamuya açık bir ÜYZ aracına yapıştırdığında veri, onu saklayabilecek, öğrenebilecek veya daha kötüsü diğer kullanıcılara sunulan çıktılarda yeniden üretebilecek bir sistem tarafından aktif olarak işleniyor. Kuruluş yalnızca veri üzerindeki kontrolünü değil, veriye ne olduğuna dair görünürlüğü de yitiriyor. 

Doküman, Gölge YZ’nin yaygınlaşmasını sağlayan çeşitli faktörleri ortaya koyuyor. ÜYZ araçları kolay erişilebilir, çoğunlukla ücretsiz veya düşük maliyetli olarak sunuluyor, özel teknik bilgi gerektirmiyor ve anlık sonuçlar üretiyor. Açık kurumsal politikaların yokluğunda çalışanlar, rutin görevleri hızlandırmak, çıktı kalitesini artırmak veya teslimat tarihlerini kaçırmamak için bu araçları bireysel inisiyatifleriyle benimseme eğilimi gösteriyor. Sonuç olarak, hassas nitelikteki kurumsal ve kişisel veriler, kuruluşun kontrolü dışında kalan üçüncü taraf platformlara izlenmeden ve düzenlenmeden akıyor. 

Riskler

Kurum’un tespit ettiği, iş yerlerinde kontrolsüz ÜYZ kullanımından kaynaklanan çeşitli risk kategorilerini tümü işletmeler açısından önemli pratik sonuçlar doğuruyor: 

  • Denetlenebilirlik ve Hesap Verebilirlik: ÜYZ araçları kurumsal izleme ve kayıt sistemlerinin dışında kullanıldığında, belirli çıktıların nasıl üretildiğini, girdi olarak hangi verilerin kullanıldığını ve belirli sonuçlara hangi gerekçelerle ulaşıldığını tespit etmek imkansıza yakın hale geliyor. Bu durum kuruluşların müdahale kapasitelerini zayıflatıyor ve mevzuata uyumun ortaya konulmasını önemli ölçüde güçleştiriyor. Bir denetim veya inceleme bağlamında da bu durum ciddi bir risk haline geliyor: KVKK bir veri şikâyetini araştırdığında kuruluşun tüm süreci açıklayamaması ve işleme faaliyetinin takip edilememesi başlı başına bir ihlal teşkil edecektir. 
  • Otomasyon Ön Yargısı ve Halüsinasyonlar: ÜYZ araçları hatalı, yanıltıcı veya ön yargılı çıktılar üretebiliyor. Doküman, kullanıcıların makine tarafından üretilen çıktıları yeterli değerlendirmeye tabi tutmadan doğru kabul etme eğilimi olan “otomasyon ön yargısı” riskine dikkat çekiyor. Bu riski, ÜYZ sistemlerinin tutarlı ve ikna edici görünen ancak gerçekte yanlış içerikler ürettiği halüsinasyon olgusu daha da artırıyor. Bu tür çıktıların uygun doğrulama yapılmadan kurumsal karar alma süreçlerine dâhil edilmesi, önemli riskler doğurabilir. 
  • Fikri Mülkiyet ve Ticari Sırlar: Kaynak kod, ürün tasarımları, iş stratejileri veya rekabet açısından hassas nitelik taşıyan diğer bilgilerin kamuya açık ÜYZ araçlarıyla paylaşılması, fikri mülkiyetin açığa çıkması bakımından somut bir risk oluşturuyor. Bu platformlara sunulan veriler, bazı durumlarda model eğitimi veya iyileştirme süreçlerinde kullanılabiliyor ya da doğrudan rakipler dâhil olmak üzere yetkisiz kişilerce erişilebilir hâle gelebiliyor. 
  • Bilgi Güvenliği ve Siber Riskler: Yönetilmeyen ÜYZ araçlarının güvenli olmayan arayüzler, kişisel cihazlar veya denetlenmeyen entegrasyonlar aracılığıyla kullanılması, kuruluşun siber saldırı yüzeyini genişletiyor. Bu durum; zararlı yazılımlara maruz kalma, yetkisiz erişim, veri kaybı ve kurumsal sistemlerin bütünlüğünü tehdit eden daha geniş kapsamlı siber güvenlik risklerini artırabilir. 
  • Kişisel Verilerin Korunması: Veri koruma perspektifinden bakıldığında Gölge YZ, en yoğun riskleri bu alanda ortaya çıkarıyor. Çalışanların müşteri bilgilerini, çalışan kayıtlarını, sağlık verilerini veya diğer kişisel verileri harici ÜYZ araçlarına girdi olarak sunması, kişisel verilerin üçüncü bir tarafa yetkisiz aktarımı anlamına gelebiliyor. Kurum, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun teknolojiden bağımsız olarak uygulandığını ve ÜYZ sistemleri aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin de diğer her türlü yazılım veya donanım süreci gibi bu kapsama girdiğini açıkça vurguluyor. Doküman ayrıca, kullanıcı komutlarına gömülü kişisel verilerin başka kullanıcılara sunulan çıktılarda ortaya çıkabileceği ihtimaline de dikkat çekerek yetkisiz ifşa açısından ek bir riskişaret ediyor. 
  • İtibar Kaybı: Son olarak Doküman, kurumsal güvenilirliğe yönelik risklere de değiniyor. Doğruluğu teyit edilmemiş ÜYZ çıktılarının müşterilere veya paydaşlara ulaşması hâlinde itibar kaybı ÜYZ aracına değil, aracı kullanan kuruluşa yükleniyor. Bu durum, güven ve uzmanlığın müşteri ilişkisinin temelini oluşturduğu sektörlerde somut bir risk oluşturuyor. 

ÜYZ Kullanımı Yasaklanmalı Mı?

Dokümanın en dikkat çekici yönlerinden biri, Kurum’un ÜYZ kullanımına yönelik genel yasaklamaların ne gerçekçi ne de etkili olduğunu açıkça kabul etmesi. Kurum, bu araçların sunduğu hız, verimlilik ve erişilebilirlik göz önüne alındığında mutlak yasakların fiilî kullanımı önlemesinin mümkün olmayacağını belirtiyorAksine, yasaklayıcı yaklaşımlar, ÜYZ kullanımını kurumsal görünürlük dışına daha da iterek gidermeyi amaçladıkları görünürlük ve yönetişim açıklarını derinleştirme eğiliminde. 

BuKurum bakımından pratik faydacı bir anlayışı yansıtıyor. Kurum, yasaklamadan ziyade yapılandırılmış yönetişime geçişi öneriyor ve kısıtlama yerine yönlendirme ve farkındalığa dayanan bir yaklaşım öngörüyor. Kuruluşlar açısından bu, Kurum’un beklentisinin iş yerinde ÜYZ bulunmaması değil, kullanımının yönetilmesi olduğu anlamına geliyor. 

Gelecek Nasıl Görünüyor?

Doküman’da ortaya konulan çerçeve ışığında, ÜYZ kaynaklı riskleri yönetirken operasyonel faydaları korumak isteyen kuruluşların aşağıdaki tedbirleri dikkate almaları kaçınılmaz görünüyor: 

1. Kurumsal Politikalar: Kuruluşlar, iş yerinde ÜYZ araçlarının kullanımını düzenleyen resmî bir politika geliştirmeli ve duyurmalı. Bu politika; hangi araçların kullanıma onaylanmış olduğunu, hangi amaçlarla kullanılabileceklerini, bu araçlarla paylaşılabilecek ve paylaşılamayacak veri kategorilerini, ÜYZ tarafından üretilen çıktılara uygulanacak standartları ve kuruluşun bu bağlamdaki risk yönetimi yaklaşımını ele almalı

2. Veri Disiplini: Çalışanlar, ÜYZ etkileşimlerine veri hassasiyeti konusunda bilinçli bir yaklaşımla yönlendirilmeli. Doküman, mümkün olan her durumda tanımlanabilir kişisel verilerin veya ticari açıdan hassas bilgilerin doğrudan girilmesi yerine anonimleştirilmiş, genelleştirilmiş ve soyut ifadelerin kullanılmasını öneriyor. Örneğin belirli isim, tarih veya finansal rakamlar yerine genel ifadeler kullanılmalı ya da en azından gerçek kişisel veriler yerine yer tutucular tercih edilmeli. Bu uygulama özellikle sağlık bilgileri, finansal kayıtlar ve hukuki süreçlere ilişkin veriler gibi özel nitelikli veri kategorileriyle çalışılırken büyük önem taşıyor. 

3. İnsan Denetimi: Doküman, ÜYZ çıktılarının nihai veya kesin olarak değerlendirilmemesi gerektiğini vurguluyor. Kuruluşlar, yapay zekâ tarafından üretilen içeriğin herhangi bir karar veya iletişimi yönlendirmeden önce esaslı bir insan değerlendirmesi gerektiren bir başlangıç noktası olarak kabul edildiği bir kültür oluşturmayı hedeflemeli. Otomasyon ön yargısı ve halüsinasyon risklerini özellikle ele alan gözden geçirme süreçlerinin kurulması, karar kalitesinin ve kurumsal güvenilirliğin korunması açısından kritik hale geliyor. 

4. Teknik KontrollerYönetimsel tedbirler, uygun teknik önlemler ve ürünlerle desteklenmeli. Bunlar arasında onaylanmamış ÜYZ platformlarına erişimin ağ düzeyinde kısıtlanması veya daha da önemlisi uygun güvenlik yapılandırmalarına sahip kurumsal düzeyde yapay zekâ çözümlerinin çalışanlara sunulması ile beraber diğer teknik çözümler yer alabiliyor. 

5. Farkındalık ve Eğitim: Kuruluşlar, ÜYZ araçlarının yeteneklerini ve sınırlılıklarını, ilişkili hukuki ve teknik riskleri ve kuruluşun geçerli politikalarını kapsayan düzenli farkındalık ve eğitim faaliyetleri yürütmeli. Kurum ayrıca, çalışanların pratik zorlukları raporlayabilecekleri ve deneyimlerini paylaşabilecekleri, kuruluşun ortaya çıkan riskleri sürekli olarak tespit edebilmesini sağlayacak geri bildirim mekanizmalarının oluşturulmasını da öneriyor. 

Sonuç

Doküman, iş yerlerinde ÜYZ kullanımına ilişkin süregelen hukuki düzenleme tartışmalarına kayda değer ve faydalı bir katkı sağlıyor. Kurum perspektifinden temelde konunun, çalışanların ÜYZ araçlarını kullanıp kullanmadığı değil, kuruluşların bu kullanımı sorumlu bir şekilde yönetecek yapılara sahip olup olmadığı haline geldiği anlaşılıyor. 

Türkiye’de faaliyet gösteren işletmeler için Doküman; Gölge YZ’ye mevcut maruziyetlerini değerlendirmek, ÜYZ yönetişim çerçevelerini geliştirmek veya güncellemek ve kişisel verilerin korunmasına ilişkin uyum programlarının hızla gelişen bu teknolojilerin ortaya çıkardığı riskleri yeterince ele aldığından emin olmak için bir başlangıç noktası teşkil ediyorKısa zamanda açık politikalar oluşturan, teknik önlemler uygulayan ve bilinçli bir iş gücü yetiştiren işletmeler; yasal yükümlülüklerini yerine getirirken ÜYZ’nin faydalarından en iyi şekilde yararlanabilecek konumda olacak.