TPToolpazar

Yazılım Geliştirici

Yapay Zeka Güvenliği ve KVKK Rehberi

KVKK, AB AI Act, sektörel regülasyonlar (BDDK, SPK), prompt injection ve teknik güvenlik önlemleri — Türk ekipler için pratik AI hukuk rehberi.

Yapay zeka projelerinin hukukî, etik ve teknik güvenlik tarafı, Türkiye’deki ekipler için 2026’da artık opsiyonel değil. KVKK (6698 sayılı Kanun), AB AI Act’ın etkisi, sektörel regülasyonlar (BDDK, SPK, Sağlık Bakanlığı) ve son kullanıcı beklentileri bir arada baskı yapıyor. Bu rehber LLM kullanan bir ürün geliştirirken Türkiye’de uymanız gereken kuralları, pratik teknik önlemleri ve sık yapılan hataları anlatır. Hukukî tavsiye değil; karar vermeden önce avukatınıza danışın.

KVKK ve LLM: Ana Çerçeve

KVKK kapsamında kişisel veri, kişiyi tanımlayabilir veya tanımlanabilir kılan her bilgidir — ad, TC kimlik, e-posta, telefon, IP, sağlık ve finans verisi dahil. Bir LLM’e prompt olarak gönderdiğiniz herhangi bir kişisel veri işleniyor sayılır.

Pratik etkileri:

  • Veri sahibinden aydınlatma + açık rıza gerekir.
  • Veri yurt dışına aktarılıyorsa (OpenAI, Anthropic, Google’ın ABD/AB sunucuları) yeterli koruma şartı.
  • Veri sahibinin silme, düzeltme talepleri yerine getirilmeli.
  • Veri kaybı/sızıntı durumunda 72 saat içinde Kurum’a bildirim.

Yurt Dışı Aktarım: Üç Yol

  1. Yeterli koruma: KVK Kurumu’nun “yeterli korumaya sahip” ilan ettiği ülkeler. Listede AB üye ülkeleri var; ABD koşullu. OpenAI ve Anthropic’in AB veri merkezi seçenekleri kolay yol.
  2. Standart sözleşme + taahhüt: Veri işleyici (LLM sağlayıcısı) ile imzaladığınız “standart koruma taahhütleri”. Anthropic, OpenAI, Google bu sözleşmeleri kurumsal müşterilere imzalatır.
  3. Açık rıza: Veri sahibinden “ABD’deki X şirketinin sunucusunda işlenecek” bilgilendirmesi yaparak rıza alın. Riskli — kullanıcı geri çekebilir.

En sağlam yol: yerel açık model (Llama, Qwen, Mistral) çalıştırın. Veri makineyi terk etmez; yurt dışı aktarım sorunu hiç doğmaz.

Teknik Güvenlik Önlemleri

  • Maskeleme/Pseudonymization: TC kimlik, e-posta, telefon gibi alanları sözde-değerlerle değiştir, LLM’e gönder, dönüş’te orijinali geri koy.
  • Logs minimization: LLM API trafiğini loglama; loglarsan kişisel veri çıkar.
  • Rate limiting + auth: API endpoint’ini yetkisiz erişime kapatın. Brute-force / scraping önlemleri.
  • Prompt injection’a karşı: Kullanıcı girdisini sistem prompt’tan ayrı tut, hassas eylemler için zorunlu insan onayı, çıktıyı doğrulamadan kullanma.
  • Output filtering: PII, telif hakkı içeriği, zararlı dil için filtre. Açık kaynak araçlar: Lakera Guard, LLM Guard.
  • Audit trail: Hassas işlemleri (LLM kararına göre işlem yapılması) kayıt altına al — tarih, kullanıcı, karar.

AB AI Act'in Türkiye Yansıması

AB AI Act (Mart 2024 yürürlüğe girdi, kademeli uygulanıyor) direkt olarak Türkiye’ye uygulanmıyor. Ama:

  • AB’ye hizmet veren Türk şirketler için bağlayıcı.
  • Türk regülasyonu (KVKK, sektör otoriteleri) AI Act’ı referans alıyor; benzer düzenlemeler bekleniyor.
  • Risk-tabanlı yaklaşım: yüksek-riskli sistemler (sağlık tanı, kredi kararı, işe alım filtresi) ek belgelendirme gerektirir.

Pratik: yüksek-etkili karar veren AI sistemleri (insanı kabul/red kararı, sağlık tanısı) için baştan documentation, audit log, insan-onaylı geri-çekilme yolu kurun.

Sektörel Yükümlülükler

  • BDDK / Bankacılık: Müşteri verisi içeren LLM kullanımı bilgi sistemleri yönetmeliği kapsamında ek kontroller ister. Yerel kurulum, encryption-at-rest+transit, audit log gerekli.
  • SPK / Yatırım: AI tabanlı yatırım önerisi üreten ürünler “robo-advisor” çerçevesinde değerlendirilir; yetki belgesi gerekir.
  • Sağlık Bakanlığı: Tıbbi karar destek sistemlerinde “tıbbi cihaz” sınıflandırması olabilir; ürün belgelendirmesi.
  • e-Devlet: Kamu kurumlarına entegre AI projelerinde Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin yerli üretim teşvikleri ve veri lokalizasyon kuralları.

Kullanıcıyla Şeffaflık

  • Kullanıcıya AI ile etkileşim kurduğunu net belirtin (chatbot olduğunu gizleme).
  • AI kararının nasıl alındığını açıklayabilen mekanizma sunun (insan-okur tabanlı sebep gösterimi).
  • Otomatik karar reddi durumunda insan inceleme hakkı tanıyın (KVKK madde 11/g).
  • Çocuk ve hassas grupların korunması için ek tedbir (yaş kontrolü, ek aydınlatma).

Sık Sorulan Sorular

ChatGPT'ye müşteri TC kimlik yazsam KVKK ihlali mi?
Resmi cevap: rıza varsa ve aydınlatma yapıldıysa hayır; yoksa evet. Pratik: hiç yazmamak en güvenli yol. Maskeleme veya yerel model kullanın.
Açık model (Llama vs) kullansam KVKK için kolay mı?
Evet, anlamlı kolaylaşır. Veri makinenizi terk etmiyorsa yurt dışı aktarım hiç doğmaz; sadece iç işleme prosedürlerine uymanız yeterli.
AI Act Türkiye için bağlayıcı mı?
Doğrudan değil. Ancak AB pazarına satıyorsanız AB Act bağlayıcı. Türk regülasyonu da AB'yi referans alıp benzer düzenlemeler getiriyor.
Prompt injection ne kadar gerçek bir tehdit?
Çok gerçek. Tarayıcı agent'ı, e-posta okuyan AI, müşteri sohbeti — hepsi zayıf. Anthropic, Google, OpenAI ileri filtreler yayınlıyor; %100 koruma henüz yok. Hassas eylemler için her zaman insan onayı koyun.
AI ile üretilen içeriğin telifi kime ait?
Türkiye'de henüz net içtihat yok. Genel kanı: AI üretimi kendi başına telif konusu değil; insan müdahalesi yeterse insanın eseri sayılır. Ticari kullanımda kullandığınız LLM'in lisans/şartlarına bakın.
KVKK ihlali bana ne kazandırır?
İdarî para cezası 100 bin TL'den 2026'da 7-9 milyon TL'ye uzanır (yıllık ciro %4'üne kadar). Ayrıca yargı yolu, itibar kaybı, müşteri kaybı.
AI etiği için iç süreç nasıl kurulur?
AI Etik Kurulu (3-5 kişilik), düzenli risk değerlendirmesi (yeni özellik öncesi), kullanıcı şikayet kanalı, yıllık iç audit. ISO/IEC 42001 (AI yönetim sistemi) sertifikasyonu önümüzdeki yıllarda standart olacak.

İlgili rehberler

  • Ollama Yerel LLM Rehberi Ollama ile Llama, Qwen, DeepSeek, Mistral, Gemma modellerini kendi bilgisayarını
  • Meta Llama Rehberi Llama 4 sürümleri, donanım gereksinimleri, Ollama ile yerel kurulum, Türkçe perf
  • Agentik Yapay Zeka Rehberi Agent nedir, sohbet botundan farkı, kod/tarayıcı/araştırma agent türleri, MCP ve