Yapay zeka teknolojileri, 2026 yılı itibarıyla iş dünyasının ayrılmaz bir parçası haline gelmiş durumda. Ancak bu hızlı adaptasyon, beraberinde “Gölge Yapay Zeka” (Shadow AI) gibi ciddi riskleri de getiriyor. Kişisel Verileri Koruma Kurumu (Kurum), 5 Mart 2026 tarihinde yayımladığı “İş Yerlerinde Üretken Yapay Zeka Araçlarının Kullanımı” dokümanı ile bu dijital dönüşümün hukuki sınırlarını ve şirketlerin uyması gereken yeni kuralları belirledi.

“Gölge Yapay Zeka” Tehdidi ve Şirketlerin Sorumluluğu

Kurum, iş yerlerinde çalışanların kurumsal onay veya kontrol dışında kendi inisiyatifleriyle kullandıkları Üretken Yapay Zeka (ÜYZ) araçlarını “Gölge Yapay Zeka” olarak tanımlamaktadır. Çalışanlar genellikle e-posta taslakları hazırlamak, belgeleri özetlemek veya kod yazımı için bu araçlara başvurmaktadır. Ancak bu kontrolsüz kullanım; ticari sırların ifşasından kişisel verilerin hukuka aykırı işlenmesine kadar geniş bir risk yelpazesi barındırmaktadır.

Hukuki Statü: Kurum İçi Yapay Zeka Politikası Zorunluluğu Kurum, ÜYZ araçlarının tamamen yasaklanmasının gerçekçi olmadığını, bunun yerine kontrol ve farkındalık temelli bir yaklaşımın benimsenmesi gerektiğini vurgulamaktadır. Bu kapsamda veri sorumlularının “Kurum İçi Yapay Zeka Politikası” oluşturması artık bir tercih değil, hukuki uyumun temel bir parçasıdır.

Hukuk Danışmanları İçin KVKK Uyum Stratejileri

25 yıllık bilişim hukuku birikimim ve 700’den fazla bilirkişi raporu analizim doğrultusunda, şirketlerin bu yeni döneme adaptasyonu için şu adımları atması kritik önem taşımaktadır:

• Sınırların Belirlenmesi: Hangi ÜYZ araçlarının hangi iş süreçlerinde kullanılabileceği ve bu araçlara hangi tür verilerin aktarılabileceği net bir şekilde tanımlanmalıdır.
• Veri Anonimleştirme: Kişisel veriler, özellikle de sağlık, finans ve hukuk gibi hassas nitelikli bilgiler yapay zeka araçlarıyla paylaşılmamalı; paylaşılması zorunlu hallerde ise mutlaka anonimleştirilmelidir.
• İnsan Denetimi (Human-in-the-Loop): “Otomasyon ön yargısı” riskine karşı, yapay zeka çıktılarının doğruluğu mutlaka bir insan denetiminden geçirilmeden iş süreçlerine dahil edilmemelidir.
• Erişim ve Güvenlik Tedbirleri: Çalışanların sadece kurumca onaylanmış platformlara, kurumsal cihazlar üzerinden ve rol temelli yetkilerle erişmesi sağlanmalıdır.

Yatırımcı Avukat Gözüyle: Yapay zekayı yasaklamak şirketleri rekabetin gerisinde bırakırken, kontrolsüz kullanım ise bir sabah “milli güvenlik sorunu” veya “ticari sır ifşası” kriziyle uyanmanıza neden olabilir. Akıllı bir hukuk danışmanlığı, bu teknolojiyi engellemek yerine güvenli bir limana demirlemeyi sağlar.

---

SORU – CEVAP

1. “Gölge Yapay Zeka” kullanımı şirketler için ne tür hukuki riskler taşır? Çalışanların bireysel inisiyatifiyle kullanılan bu araçlar, verilerin yetkisiz kişilerin erişimine açılmasına, ticari sırların yapay zeka modellerinin eğitiminde kullanılmasına ve denetlenebilirlik sorunlarına yol açarak şirketin ağır KVKK yaptırımlarıyla karşılaşmasına neden olabilir.

2. KVKK, iş yerlerinde yapay zeka kullanımının yasaklanmasını mı öneriyor? Hayır. Kurum, yasaklayıcı yaklaşımların verimsiz olduğunu ve kontrol dışı kullanımı tetiklediğini belirterek; bunun yerine kurumsal politikalar, yönlendirme ve farkındalık temelli bir yönetişim modelini önermektedir.

3. Bir şirketin yapay zeka politikasında en az neler yer almalıdır? Politikada hangi araçların kullanılabileceği, kullanım amaçları, veri gizliliği kuralları, aktarılabilecek veri türleri, çıktıların doğrulanma süreçleri ve çalışanların alması gereken eğitimler yer almalıdır.

4. Yapay zeka çıktılarının hatalı olmasından kim sorumludur? Hukuki olarak “Veri Sorumlusu” sıfatıyla şirket sorumludur. Bu nedenle, çıktıların doğruluğu sorgulanmadan nihai kararlara dayanak yapılmaması ve insan denetimi altında değerlendirilmesi önerilir.

5. Bir hukuk danışmanı olarak AI uyum sürecinde ilk tavsiyeniz nedir? 25 yıllık tecrübemle tavsiyem; önce mevcut kullanımın röntgenini çekmek ve derhal “Kurum İçi Yapay Zeka Politikası” hazırlayarak çalışan eğitimlerine başlamaktır. Kontrol edilmeyen teknoloji, teknoloji değildir.

---

KAYNAKLAR

1. T.C. Kişisel Verileri Koruma Kurumu (KVKK) – İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı Dokümanı
2. [şüpheli bağlantı kaldırıldı]
3. European Data Protection Board (EDPB) – AI and Data Protection Guidance
4. Mevzuat Bilgi Sistemi – Bilişim Hukuku İle İlgili Düzenlemeler
5. Ankara Barosu – Bilişim Hukuku Komisyonu Raporları ve Yayınları

---

ETİKETLER

YapayZeka, KVKK, GölgeYapayZeka, VeriKoruması, BilişimHukuku, ÖzgürEralp, HukukDanışmanı, KurumsalUyum, VeriGüvenliği, DijitalDönüşüm