Yapay zeka artık her departmanda. Ancak çoğu şirket onu kullanırken hukuki riskini hiç haritalamıyor. Bu rehber, bir yöneticinin teknik ayrıntıya boğulmadan riski görmesini ve ilk aksiyonları almasını amaçlar.
EU AI Act nedir? Türk şirketleri neden etkileniyor?
EU AI Act, yapay zeka sistemlerini risk seviyesine göre düzenleyen AB regülasyonudur ve kademeli olarak yürürlüğe giriyor. Türk şirketleri için kritik nokta kuruluş yeri değil, sistemin/çıktının AB pazarında kullanılıp kullanılmadığıdır. Yaptırımlar ihlalin türüne göre ağırlaşır ve küresel ciro üzerinden hesaplanan yüksek para cezalarına kadar gidebilir (kesin oranlar için güncel mevzuatı ve danışmanınızı esas alın).
| AI Kullanımı | Risk Seviyesi | Tipik Yükümlülük |
|---|---|---|
| ChatGPT ile e-posta/metin yazma | Minimal | Özel yükümlülük yok |
| İçerik moderasyon / sohbet botu | Sınırlı | Şeffaflık bildirimi (AI olduğunu belirtme) |
| CV eleme / işe alım sistemi | Yüksek | Belgeleme, denetim, insan gözetimi |
| Müşteri kredi/risk skorlama | Yüksek | İnsan denetimi, açıklanabilirlik |
| Kamuya açık alanda canlı yüz tanıma | Kabul edilemez | Kural olarak yasak |
KVKK ve yapay zeka — 7 kritik kural
Shadow AI riskleri
Shadow AI, çalışanların şirket onayı olmadan kişisel AI hesaplarını iş için kullanmasıdır. Yaygın ama görünmez bir risktir.
Riskler
- Gizli şirket verisi üçüncü taraf sunuculara gidebilir.
- Fikri mülkiyet sızıntısı riski oluşur.
- Uyum/denetim kaydı oluşmaz (belgelenemez).
- IT güvenlik politikası baypas edilir.
Çözüm çerçevesi
- Yazılı AI Kullanım Politikası yayınlayın.
- Onaylı araç listesi belirleyin.
- Kurumsal lisans ile bireysel kullanımı ayırın.
- Çalışan farkındalık eğitimi verin.
Kurumsal prompt güvenliği
Promptlara müşteri/çalışan verisi yazmak en sık yapılan hatadır. Kişisel veriyi maskeleyin; gerçek isim, TC, telefon yerine takma kimlik kullanın.
Güvensiz
"Müşterimiz Ahmet Yılmaz (TC: 12345678901) hakkında şu bilgileri analiz et…"
Güvenli
"Müşteri profili [MÜŞTERİ-001] için şu anonim verileri analiz et…"
Ayrıca prompt injection (kötü niyetli girdinin modeli yönlendirmesi) riskine karşı, dışarıdan gelen metni körü körüne komut olarak işletmeyin; sistem talimatlarını kullanıcı girdisinden ayırın.
Telif hakları ve yapay zeka
AI ile üretilen içeriğin telif durumu ülkeye ve insan katkısının düzeyine göre değişir. Ticari kullanımda kullandığınız aracın lisans şartlarını okuyun; eğitim verisi kaynaklı riskler için ticari kullanıma uygun (ör. ticari lisanslı) araçları tercih edin ve kritik içerikte hukuki görüş alın.
Örnek senaryo: AB'ye ihracat yapan bir üretici (temsilî)
Aşağıdaki adımlar, AB alıcısı AI uyumunu sormaya başladığında bir şirketin izleyebileceği yöntemi gösterir (gerçek müşteri/sonuç değil):
- Kullanılan tüm AI araçlarının envanteri çıkarılır, risk kategorisine ayrılır.
- KVKK danışmanıyla DPA sözleşmeleri gözden geçirilir.
- Çalışanlar için AI Kullanım Politikası yayınlanır.
- Yüksek riskli süreçlere insan denetim katmanı eklenir.
- AB alıcısına uyum belgesi/özeti iletilir.
Bu Derste Kullanabileceğiniz Promptlar
1 — AI Araç Envanteri & Risk
Şirketimizde kullanılan AI araçların hukuki riskini değerlendir. Araçlar: - [Araç 1]: [ne için, hangi veriye erişiyor] - [Araç 2]: [ne için, hangi veriye erişiyor] AB pazarında müşterimiz var: [Evet/Hayır] KVKK kapsamında kişisel veri işliyoruz: [Evet/Hayır] Her araç için: 1) EU AI Act risk kategorisi 2) KVKK yükümlülüğü 3) Acil yapılması gereken 1 aksiyon. (Bu hukuki tavsiye değildir notunu ekle.)
2 — AI Kullanım Politikası Taslağı
[Şirket adı] için dahili AI Kullanım Politikası taslağı hazırla. Sektör: [sektör], [çalışan sayısı] kişi. Onaylı AI araçları: [liste]. AB'ye iş yapıyor muyuz: [evet/hayır]. Kapsasın: 1) Onaylı/yasaklı araçlar 2) Kişisel veri kuralları 3) Gizli şirket bilgisi kuralları 4) İhlal prosedürü 5) Çalışan sorumluluğu. Dil: hukuki ama anlaşılır Türkçe, ~1 sayfa.
3 — KVKK Risk Taraması
AI kullanımımızın KVKK uyumunu değerlendir. - Topladığımız kişisel veriler: [liste] - Bu verileri gönderdiğimiz AI araçları: [liste] - Araçların sunucu konumu: [TR/AB/ABD/Diğer] - Çalışanların kişisel AI kullanım politikası: [var/yok] 1) KVKK ihlali riski taşıyan 3 alanı belirle 2) Olası yaptırımları açıkla 3) 30 günde yapılabilecek düzeltici aksiyonları listele. (Hukuki tavsiye olmadığını belirt.)
Sık sorulan sorular
Türk şirketleri EU AI Act'e uymak zorunda mı?
Şirketiniz AB pazarında bir AI sistemi sunuyorsa, AB'li müşterilere hizmet veriyorsa veya çıktısı AB'de kullanılıyorsa kapsama girebilirsiniz — sadece AB'de kurulu olmak şart değil. AB'ye ihracat yapan veya AB'li firmalarla çalışan Türk şirketleri için kritik soru: 'Sistemimiz/çıktımız AB'de mi kullanılıyor?' Yanıt evetse uyum yükümlülükleri gündeme gelir. Kesin kapsam için hukuk danışmanınıza başvurun.
KVKK kapsamında çalışan verisi AI'a gönderilebilir mi?
Dikkatli olmak gerekir. Çalışan kişisel verisini bir AI aracına işlemek için geçerli bir hukuki dayanak, aydınlatma yükümlülüğünün yerine getirilmesi ve gerektiğinde açık rıza gerekir. Mümkünse veriyi anonimleştirin; kurumsal/iş planları ve veri işleme sözleşmesi (DPA) kullanın. Otomatik kararlar için itiraz ve insan denetimi mekanizması bulundurun.
Shadow AI'ı nasıl önlerim?
Yasaklayarak değil, yönlendirerek. Çalışanlar AI'ı zaten kullanıyor; onlara onaylı, güvenli ve kurumsal araçlar sağlayın. Net bir AI Kullanım Politikası, onaylı araç listesi, hangi verilerin asla paylaşılmayacağına dair kurallar ve kısa bir farkındalık eğitimi shadow AI'ı büyük ölçüde ortadan kaldırır.
AI ile üretilen içeriğin telif hakkı var mı?
Bu, hızla gelişen ve ülkeye göre değişen bir alandır. Genel eğilim, tamamen otomatik üretilen içerikte telif korumasının tartışmalı olduğu, insan katkısının (yönlendirme, düzenleme, seçim) artmasının koruma şansını güçlendirdiği yönündedir. Ticari kullanımda aracın lisans şartlarını okuyun ve kritik içerikte hukuki görüş alın.