Kişisel Verileri Koruma Kurumu, 5 Mart 2026 tarihinde yayınladığı ‘İşyerlerinde Üretken Yapay Zeka Araçlarının Kullanımı’ başlıklı doküman (Rehber) ile üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen üretken yapay zeka araçlarının işyerlerinde kullanımına ilişkin olası veri koruma risklerine dikkat çekmeyi ve kurumlar nezdinde bilinçli kullanım konusunda farkındalık oluşturmayı amaçlıyor.
1. İşyerlerinde yapay zeka kullanımı: Neden kurumsal farkındalık artık bir zorunluluk?
Dijital dönüşümün hız kazandığı günümüzde, üretken yapay zeka teknolojileri kurumsal iş akışlarının ayrılmaz bir parçası hâline gelmeye başladı. Çalışanların metin oluşturma, belge özetleme, çeviri, kodlama desteği ve araştırma gibi pek çok farklı amaçla bu araçlara başvurması, iş dünyasında yeni bir dönemin kapılarını aralıyor. Ne var ki bu hızlı benimseme süreci, beraberinde göz ardı edilemeyecek riskleri de getiriyor. Kurum tarafından yayınlanan rehber, tam da bu noktada kuruluşlara yol gösterici bir çerçeve sunmayı amaçlıyor.
2. Gölge yapay zeka: Görünmeyen tehdit
Rehberin özellikle dikkat çektiği kavramlardan biri, ‘gölge yapay zeka’ olgusudur. Bu kavram, çalışanların kurumun bilgisi veya denetimi dışında üretken yapay zeka araçlarını iş süreçlerinde kullanmasını ifade ediyor. Bilgi teknolojileri alanında uzun süredir bilinen ‘Gölge BT’ kavramının bir uzantısı olarak değerlendirilebilecek bu olgu, yapay zekanın veri işleme kapasitesi ve karar süreçlerine doğrudan etki edebilme gücü nedeniyle çok daha geniş kapsamlı sonuçlar doğurabilir.
Bir çalışanın toplantı notlarını, müşteri bilgilerini veya iç yazışmaları kamuya açık bir yapay zeka aracına aktarması, ilk bakışta zararsız bir verimlilik adımı gibi görünebilir. Ancak bu eylem; kurumsal gizliliğin zedelenmesinden kişisel verilerin hukuka aykırı biçimde işlenmesine, fikri mülkiyet haklarının tehlikeye girmesinden siber güvenlik açıklarının oluşmasına kadar uzanan bir risk zincirine kapı aralayabilir.
3. Hangi riskler öne çıkıyor?
Rehber, gölge yapay zeka kullanımından kaynaklanan riskleri birden fazla boyutuyla ele alıyor:
Kişisel verilerin korunması açısından en belirgin tehlike, çalışanların farkında olmaksızın kişisel veri niteliğindeki bilgileri üçüncü taraf platformlarla paylaşmasıdır. Bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülüklerin ihlal edilmesi sonucunu doğurabilir. Girdi olarak sunulan verilerin model eğitim süreçlerinde kullanılma ihtimali ya da üretilen çıktılar aracılığıyla üçüncü kişilerce erişilebilir hâle gelmesi, bu riskin boyutunu daha da genişletiyor.
Bilgi güvenliği ve siber güvenlik perspektifinden bakıldığında, kurumsal denetim dışında kalan yapay zeka araçları, yönetilmeyen uygulama programlama arayüzleri ve kişisel cihazlar üzerinden kuruluşların saldırı yüzeyini genişletebilir. Yetkisiz erişim, veri sızıntısı ve zararlı yazılımlara maruz kalma gibi tehditler, bu bağlamda ciddiye alınması gereken unsurlardır.
Karar alma süreçlerinin kalitesi bakımından ise ‘otomasyon ön yargısı’ olarak adlandırılan olgu ön plana çıkıyor. Yapay zeka tarafından üretilen çıktıların biçimsel tutarlılığı ve ikna edici görünümü, kullanıcıları bu çıktıları yeterince sorgulamadan kabul etmeye yönlendirebilir. Gerçeklikle örtüşmeyen ancak inandırıcı biçimde sunulan içerikler - yaygın adıyla ‘halüsinasyonlar’ — hatalı bilgilerin kurumsal süreçlere sızmasına neden olabilir.
Fikri mülkiyet ve ticari sırların korunması açısından ise kaynak kodların, ürün tasarımlarının, iş stratejilerinin veya rekabet avantajı sağlayan diğer gizli bilgilerin harici yapay zeka platformlarıyla paylaşılması, bu bilgiler üzerindeki kurumsal kontrolün zayıflamasına ve telafisi güç kayıplara yol açabilir.
4. Yasaklamak yerine yönlendirmek
Üretken yapay zeka araçlarının kullanımının tümüyle yasaklanmasına dayalı yaklaşımlar gerçekçi sonuçlar doğurmaz. Yasaklayıcı politikalar, çalışanları bu araçlardan uzaklaştırmak yerine kullanımı kurumsal görünürlük alanının tamamen dışına iter ve gölge yapay zeka olgusunu daha da derinleştirir.
Bu nedenle doküman, yasaklama yerine yönlendirme, denge ve farkındalık temelli bir yaklaşımın benimsenmesini öneriyor. Bu yaklaşımın temel bileşenleri şu şekilde özetlenebilir:
Öncelikle, kuruluşların hangi yapay zeka araçlarının hangi amaçlarla ve hangi koşullar altında kullanılabileceğini açıkça ortaya koyan kurumsal bir politika veya yönlendirme çerçevesi oluşturması gerekir. Bu çerçeve; kullanılabilecek araçları, bu araçlara girdi olarak sunulabilecek bilgi türlerini, üretilen çıktıların değerlendirilme esaslarını ve veri güvenliğine ilişkin kuralları kapsayacak biçimde tasarlanmalı.
İkinci olarak, çalışanların yapay zeka araçlarıyla etkileşim sırasında kişisel veriler ve kurumsal açıdan hassas bilgiler konusunda ihtiyatlı davranmaları sağlanmalı. Mümkün olduğunca anonimleştirilmiş, genelleştirilmiş ve soyut ifadelerin tercih edilmesi; belirli kişi adları, tarihler veya ayırt edici unsurlar yerine genel anlatımların kullanılması, bu ihtiyatın somut yansımalarıdır.
Üçüncü olarak, veri güvenliği ve erişim kontrolüne ilişkin teknik tedbirler değerlendirilmeli. Yalnızca kuruluş tarafından onaylanmış araçlara erişim izni verilmesi, harici platformlara ağ düzeyinde sınırlama getirilmesi ve rol temelli erişim yaklaşımlarının benimsenmesi, kontrol dışı kullanımın azaltılmasında etkili adımlar olacaktır.
Son olarak, çalışan farkındalığının sürekli biçimde güçlendirilmesi gerekir. Eğitim programları, bilgilendirme faaliyetleri ve geri bildirim mekanizmaları aracılığıyla çalışanların yapay zeka çıktılarına eleştirel bir bakış açısıyla yaklaşmaları desteklenmeli ve kuruluş bünyesinde etik ve sorumlu kullanıma yönelik bir kültürün yerleşmesi sağlanmalı.
5. Sonuç: Bilinçli kullanım, sürdürülebilir fayda
Üretken yapay zeka araçları, doğru yönetildiğinde kurumsal verimliliği önemli ölçüde artırma potansiyeline sahiptir. Ancak bu potansiyelin sürdürülebilir bir faydaya dönüşebilmesi, kullanımın bilinçli, kontrollü ve hukuki yükümlülüklerle uyumlu bir zeminde gerçekleşmesine bağlıdır. Rehber, kuruluşlara tam da bu dengeyi kurabilmeleri için kapsamlı bir yol haritası sunuyor. Yapay zekanın iş dünyasındaki varlığının giderek derinleşeceği önümüzdeki dönemde, bugünden atılacak kurumsal adımların belirleyici bir öneme sahip olacaktır.