KVKK uyumlu AI otomasyon: işletmelerin bilmesi gerekenler

AI otomasyon ve KVKK: çakışan üç nokta

Not: Bu makale hukuki tavsiye değildir; bilgilendirme amaçlıdır. Uyum için avukat desteği alın.

KVKK, 6698 sayılı Kanun'un madde 8 ve 9'u altında kişisel verilerin işlenmesi için açık hukuki dayanak ve amaç sınırlılığı şartı arar. AI otomasyon sistemleri üç noktada bu şartlarla çakışır.

Birincisi, amaç kayması: Müşteri destek süreçleri için toplanan veriler, aynı pipeline üzerinde pazarlama modellerini eğitmek amacıyla kullanılıyorsa bu bir ihlaldir. AI sistemleri veriyi kolaylıkla bir amacın ötesine taşır; her kullanım amacı ayrı belgelenmelidir.

İkincisi, otomatik karar verme: GDPR madde 22 ve KVKK'daki karşılığı, bir kişiyi önemli ölçüde etkileyen tamamen otomatik kararları sınırlar. Kredi puanlama, başvuru reddi veya fiyat ayrımlaştırması bu kapsamdadır; insan denetimi mekanizması zorunludur.

Üçüncüsü, üçüncü taraf işlemciler: Bulut AI sağlayıcıları, API üzerinden çalışan LLM'ler veya otomasyon platformları birer "veri işleyen" (data processor) konumundadır. KVKK madde 8 uyarınca yazılı veri işleme sözleşmesi (DPA) şarttır. GDPR ile uyumlu ancak KVKK denetimine tabi olmayan sağlayıcılarla çalışırken özellikle dikkatli olunmalıdır.

Veri minimizasyonu: "azı çoktur" prensibi

Veri minimizasyonu, hem KVKK'nın hem de GDPR'ın temel ilkelerinden biridir: yalnızca amaca ulaşmak için zorunlu olan veriyi toplayın ve saklayın. AI otomasyon projelerinde bu ilke çok kolay ihlal edilir.

Tipik senaryo: bir e-ticaret şirketi sipariş takibi için müşteri konumunu gerçek zamanlı olarak işleyen bir AI sistemi kuruyor. Ancak sistem zamanla müşterinin tarayıcı geçmişi, arama sorgularını da işlemeye başlıyor — çünkü model "daha iyi tahmin yapıyor." Bu, minimizasyon ihlalidir. AI sistemi ne kadar çok veriyle beslenseydi o kadar iyi çalışır; ama KVKK bunu izin vermez.

Praktik kural: her veri alanı için şu soruyu sorun: "Bu veri olmadan otomasyon görevi başarısız olur muydu?" Cevap hayırsa, o veriyi kaldırın. Ayrıca saklama süreleri: kişisel veri, amacın ortadan kalkmasının ardından silinmeli ya da anonimleştirilmelidir. AI loglarındaki ham kişisel veri genellikle 30-90 gün sonra anonimleştirilmelidir. Bu süreyi otomatik tetikleyicilerle sisteme gömün; manuel süreçlere güvenmeyin.

Pratik kontrol listesi

Aşağıdaki kontrol listesi, KVKK kapsamında AI otomasyon projesine başlamadan önce gözden geçirilmesi gereken temel noktaları özetler. Hukuki tavsiye değildir.

1. Hukuki dayanak teyidi: İşlediğiniz her kişisel veri kategorisi için KVKK madde 5-6 kapsamında açık rıza, sözleşme ya da meşru menfaat tabanı belirleyin. Çıktıyı belgeye dönüştürün.

2. DPIA gereksinim testi: GDPR madde 35 ve KVKK'daki karşılığı uyarınca; büyük ölçekli işleme, hassas veri veya otomatik profilleme söz konusuysa Veri Koruma Etki Değerlendirmesi (DPIA) zorunludur. AI Act yüksek riskli sistem tanımı da bu kriteri tetikler.

3. Veri işleme sözleşmeleri (DPA): Kullandığınız her AI sağlayıcısı için imzalı DPA olduğunu doğrulayın. Sağlayıcının veriyi Türkiye dışına aktarıp aktarmadığını sorun; yurt dışı aktarım KVKK madde 9 kapsamında ek onay gerektirir.

4. Saklama süresi otomasyonu: Her veri kategorisi için saklama süresi politikasını yazıya dökün ve otomatik silme/anonimleştirme tetikleyicilerini sisteme gömün.

5. Erişim ve günlük denetimi: Kim hangi kişisel veriye ne zaman erişti? AI sistemlerinde bu log genellikle eksik kalır. Her 90 günde bir erişim günlüklerini gözden geçirin.

Bu beş adım, büyük bir hukuk bürosu veya dedike bir DPO olmadan çalışan KOBİ'ler için uygulanabilir minimum başlangıç noktasını oluşturur.