SON
DAKİKA
Narkotikten haftalık operasyon: 12 kişi tutuklandı
Talas'ta 2 Villa Parseli Daha Satışa Çıkyor
Kocasinan'da "Gönül Kazan" Projesi Ramazan Boyunca Devam Ediyor
Ramazan'ın yarısına kadar 30 bin kişi iftar çadırlarında iftarını açtı
Kayseri’de hafta içi hava sisli olacak
Yazarlar Tüm Yazıları
Hakan TOPUZOĞLU

Güncelleme mi, Risk mi?

Hakan TOPUZOĞLU

Yapay zekâ artık bir “trend” değil. Altyapı.

Yapay Zeka Araçları Güncelleniyor. Güç Artıyor. Peki Sorumluluk?

ChatGPT gibi büyük dil modelleri her güncellemede biraz daha hızlı, biraz daha entegre, biraz daha “hafızalı” hale geliyor. Kullanıcı deneyimi gelişiyor. İş süreçleri hızlanıyor. Verimlilik artıyor.

Fakat şu soruyu sormadan ilerlemek riskli:

Bu gelişim, veri güvenliği ve hukuki sorumluluk açısından ne anlama geliyor?

Çünkü yapay zekâ sistemleri büyüdükçe yalnızca kapasite artmıyor. İşlenen veri hacmi, veri çeşitliliği ve hukuki risk alanı da büyüyor.

Asıl Mesele: Performans Değil, Veri Ekosistemi

Yeni nesil güncellemeler üç temel alanda yoğunlaşıyor:

  • Daha uzun bağlam (context window)
  • Kalıcı hafıza özellikleri
  • Harici sistem entegrasyonları

Bu üç başlık teknik başarı gibi görünebilir. Ancak hukuki açıdan bakıldığında her biri yeni bir veri işleme katmanı demek.

Ve veri işliyorsanız, KVKK ve GDPR artık teknik değil, stratejik bir konu haline gelir.

KVKK ve GDPR Perspektifi: Nerede Duruyoruz?

1. Veri Sorumlusu Kim?

KVKK’ya göre “veri sorumlusu”, kişisel verilerin işleme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişidir.

GDPR’da da benzer şekilde “controller” kavramı vardır.

Peki ChatGPT’yi iş süreçlerinde kullanan bir şirket ne konumdadır?

  • Eğer çalışanlar müşteri verisini sisteme giriyorsa,
  • Eğer sözleşmeler, özgeçmişler, finansal tablolar yükleniyorsa,
  • Eğer sistem karar süreçlerinde kullanılıyorsa,

O şirket artık yalnızca kullanıcı değildir. Veri işleme zincirinin bir parçasıdır.

Bu noktada sorumluluk “platforma attım, bitti” diyerek devredilemez.

2. Açık Rıza ve Amaç Sınırı

KVKK’nın temel ilkelerinden biri:
Veriler, belirli, açık ve meşru amaçlarla işlenmelidir.

GDPR da “purpose limitation” ilkesini getirir. 

Purpose limitation (amaçla sınırlılık ilkesi), kişisel verilerin yalnızca toplandığı belirli ve meşru amaç için işlenmesi ve daha sonra bu amaçla uyumsuz şekilde kullanılmaması anlamına gelir.

Hem GDPR (Madde 5/1-b) hem de KVKK (Madde 4) bu ilkeyi temel veri koruma prensiplerinden biri olarak düzenler.

Bir şirket, müşterisinden aldığı veriyi yalnızca sözleşme yönetimi için topladıysa; bu veriyi yapay zekâ analizine sokması hukuki tartışma yaratabilir.

Özellikle:

  • Sağlık verileri
  • Finansal bilgiler
  • Biyometrik veriler
  • Çocuklara ait bilgiler

Bu alanlarda risk katlanarak artar.

3. Yurt Dışı Veri Aktarımı Meselesi

KVKK’da yurt dışına veri aktarımı özel şartlara bağlıdır.
GDPR ise Avrupa dışına veri transferini sıkı kurallara bağlar.

Yapay zekâ platformlarının sunucuları nerede?
Veri hangi ülkede işleniyor?
Alt işleyiciler kimler?

Bu sorular artık teknik değil; uyum (compliance) soruları.

Özellikle Türkiye’de faaliyet gösteren şirketler için, “veri yurt dışına aktarılıyor mu?” sorusu kritik.

Ve çoğu kurum bu sorunun net cevabını bilmiyor.

Gerçek Risk: Teknoloji Değil, Bilinçsiz Kullanım

ChatGPT’nin güncellenmesi tek başına bir tehdit değil.

Risk şu noktada başlıyor:

  • Çalışanların kontrolsüz veri yüklemesi
  • Şirket içi politikanın olmaması
  • Hassas verinin masum bir “özet çıkar” talebiyle sisteme girilmesi
  • Kişisel ve kurumsal hesapların karışması

Bugün birçok veri ihlali, hacker saldırısından değil; iyi niyetli ama bilinçsiz kullanım hatasından kaynaklanıyor.

Hafıza Özelliği: Konfor mu, İz mi?

Yeni sürümler kullanıcı tercihlerini ve bazı bilgileri hatırlayabiliyor.

Bu harika bir deneyim sunuyor.

Ama şu soruların net cevabı olmadan rahat olmamalıyız:

  • Bu veriler ne kadar süre tutuluyor?
  • Silme talebi nasıl işliyor?
  • Veri minimizasyonu gerçekten uygulanıyor mu?
  • Model eğitimi ile kullanıcı verisi arasındaki sınır nerede?

GDPR’ın “right to be forgotten” (unutulma hakkı) ilkesi burada kritik.

Silme talebi teknik olarak mümkün mü?
Yoksa yalnızca arayüzden görünmez mi oluyor?

Bu ayrım hukuki açıdan hayati.

Şirketler İçin Stratejik Uyarı

Yapay zekâ kullanımı artık IT departmanının konusu değil. Bu;

  • Hukuk biriminin,
  • Bilgi güvenliği ekibinin,
  • Yönetim kurulunun

gündem maddesi olmalı.

Kurumsal ölçekte yapılması gerekenler:

  • AI kullanım politikası oluşturmak
  • Hassas veri kategorilerini net tanımlamak
  • Çalışanlara eğitim vermek
  • Gerekirse kurumsal, kapalı sistem çözümlerine yönelmek
  • Veri işleme envanterini güncellemek

Aksi halde regülasyon geldiğinde değil, ihlal yaşandığında öğreniriz.

Sonuç: Güç Artıyor. Peki Kontrol?

Yapay zekâ sistemleri güçleniyor.
Bağlam kapasitesi artıyor.
Karar destek mekanizmalarına entegre oluyor.

Bu kaçınılmaz.

Ancak her teknolojik sıçrama, güç dengesini değiştirir.

Sorulması gereken soru şu:

Yapay zekâ mı daha hızlı gelişiyor,
yoksa regülasyon ve kurumsal bilinç mi geride kalıyor?

KVKK ve GDPR bize bir çerçeve sunuyor.
Ama çerçeve tek başına yeterli değil.

Asıl mesele şu:

Yapay zekâyı verimlilik aracı mı yapacağız,
yoksa kontrolsüz veri akışının kapısını mı aralayacağız?

Teknoloji ilerliyor.
Sorumluluk da ilerlemeli.

Aksi halde mesele “güncelleme” değil,
“hesap verme” olur.

 

Yorumlar 1
Göktürk KADIOĞLU 03 Mart 2026 18:30

Harika bir yazı olmuş bu konuda 2 yıldır Etik Temelli Vicdani Zeka üzerine çalışıyorum. etvz.com.tr

Yazarın Diğer Yazıları

Veri Merkezleri Vurulursa!

04 Mart 2026 12:23

Güncelleme mi, Risk mi?

03 Mart 2026 10:00

Ofisten Buluta: Yapay Zekânın Kurumsal Dönüşüme Etkisi

23 Şubat 2026 09:49

Dijitalde Kazanan Markaların Ortak Sırrı

13 Şubat 2026 09:58

Deprem Yıkmaz: Kontrolsüz Sistemler Yıkar

06 Şubat 2026 09:01