TL;DR: AI kullanan KOBİ'ler KVKK (6698 sayılı) yükümlülüklerine tabi. Veri yurt dışına (OpenAI, Anthropic ABD) çıkıyorsa açık rıza şart. Aydınlatma metni, veri minimizasyonu, BTK kayıt ana yükümlülükler.
6 Temel KVKK Yükümlülüğü
1. Aydınlatma Metni
Web sitenizde, müşteri formlarında, WhatsApp chatbotunda kullanıcıyı şu konularda aydınlat:
- Veri sorumlusu kimliği
- Kişisel verilerin işlenme amacı
- Hangi yöntemle ve hukuki sebebi
- Aktarılacak yerler (AI sağlayıcı ABD'de)
- İlgili kişinin hakları (madde 11)
2. Açık Rıza
"Verilerinizin AI hizmet sağlayıcımıza (OpenAI, Anthropic) aktarılmasına onay veriyorum" checkbox + tarih kaydı.
3. Veri Minimizasyonu
AI'a sadece gerekli olan veriyi gönder. Hassas veri (TC, kart, sağlık, dini, etnik) AI'a kesinlikle gitmemeli.
4. Veri Sorumlusu Sicil Kaydı (BTK)
Belli ciro/personel eşiğini aşan firmalar VERBİS'e kayıt zorunlu. KOBİ muafiyetleri kontrol edin (kvkk.gov.tr/verbis).
5. İlgili Kişi Hakları
Müşteri talep ederse:
- Verisi işleniyor mu?
- Amaç nedir?
- Düzeltme/silme
- Üçüncü taraflara aktarım bilgisi
- İtiraz
30 gün içinde cevap zorunlu.
6. Veri Güvenliği
- API anahtarları şifreli saklama (Vault)
- Audit log (kim, ne zaman, hangi veri AI'a gitti)
- Yedekleme şifreli
- Erişim yetkilendirme (RBAC)
Hassas Veri Tablosu
| Veri | AI'a Gönderilebilir mi? |
|---|---|
| İsim, e-posta (genel iletişim) | Evet (açık rıza ile) |
| Telefon | Evet (açık rıza ile) |
| TC Kimlik No | HAYIR |
| Kredi kartı / IBAN | HAYIR |
| Sağlık verisi | HAYIR (özel nitelikli) |
| Dini, etnik, siyasi görüş | HAYIR |
| Sipariş geçmişi (anonim) | Evet |
| Şikayetler (anonimize) | Evet |
KVKK Uyumlu AI Mimari Önerisi
- Anonimizasyon katmanı: AI'a göndermeden önce TC, kart vb. maskele
- Türkiye proxy: Veri Türkiye sunucudan AB sunucuya, oradan AI'a
- Audit log: Hangi veri kime ne zaman gitti
- Veri saklama: 30-90 gün sonra otomatik sil
- Vendor çeşitliliği: Tek sağlayıcıya bağımlı kalma
Ceza Riski
KVKK ihlali cezaları (2026):
- Aydınlatma yükümlülüğüne aykırılık: 50.000 - 5.000.000 TL
- Açık rıza alınmaması: 70.000 - 5.000.000 TL
- Yurt dışına izinsiz aktarım: 100.000 - 5.000.000 TL
- VERBİS kayıt eksikliği: 80.000 - 5.000.000 TL
Ücretsiz Araçlar
- VERBİS kayıt sorgu — kvkk.gov.tr
- Aydınlatma metni şablonu — kvkk.gov.tr/SikSorulanlar
- Açık rıza metni jeneratörü — bkz. tabanlı online araçlar
SSS
Chatbot için açık rıza nasıl alınır?
İlk mesajda: "Bu chatbot AI destekli olup mesajlarınız OpenAI sunucularına gönderilir. Devam etmek için 'Kabul ediyorum' yazın." Cevap geldikten sonra hizmet başlar.
Türk modelleri (BİLGİ TÜBİTAK) kullanırsam KVKK kolaylaşır mı?
Evet. Veri Türkiye'de işlenir, yurt dışı aktarım yok. Tek dezavantaj: model kalitesi GPT-4o seviyesinde değil henüz.
WhatsApp chatbot için BTK kayıt gerekli mi?
Veri sorumlusu eşiğini aşıyorsanız evet (yıllık ciro 100M+, çalışan 50+). Eşik altındaysanız muaf.
İlgili
KVKK + AI — 2026 yasal çerçeve ve pratik uyum
Türkiye'de yapay zeka kullanan firmaların KVK Kurulu denetimlerinde sorulan sorular son 12 ayda belirgin şekilde değişti. 2026 itibarıyla AI projelerinde KVKK uyumu artık opsiyonel değil — denetlemenin merkezinde.
AI projelerinde kişisel veri kullanımı — temel ilkeler
1. Açık rıza (explicit consent)
Kişisel veri AI'ya gönderilecekse, veri sahibinin bu işleme açıkça onay vermiş olması gerekiyor. "Hizmetlerimizi geliştirmek için verilerinizi işliyoruz" tipi genel ifadeler yetersiz. AI kullanımı specifik olarak belirtilmeli.
2. Amaç sınırlaması
Veri sadece toplanma amacı için kullanılabilir. Müşteri hizmetleri için toplanan veri pazarlama AI'sına gönderilemez (ek rıza olmadan).
3. Veri minimizasyonu
AI'ya sadece gerekli minimum veri gönderilmeli. Tüm müşteri profili değil, sadece ilgili alan. Bu hem KVKK uyumu hem güvenlik.
4. Veri saklama süresi
AI çağrılarının log'ları ne kadar süre saklanacak? KVK'ya gerektiğinde gösterilebilecek ama makul süre içinde silinecek. Tipik: 1-2 yıl.
5. Veri sahibi hakları
Erişim, silme, taşınabilirlik hakları AI projelerinde de geçerli. Bir müşteri "verilerimi sil" derse, AI log'larından da silinmesi gerekiyor.
OpenAI ve Anthropic ile DPA (Data Processing Agreement)
AI API kullanıyorsanız, sağlayıcıyla DPA imzalı olmak zorunludur. Hem OpenAI hem Anthropic standart DPA şablonları sunuyor.
Önemli DPA maddeleri:
- Eğitime gitmeme garantisi. API üzerinden gönderilen verinin modeli eğitmek için kullanılmadığı sözleşmeyle teyit.
- Veri yerelleştirme (mümkünse). OpenAI'ın AB veri merkezi opsiyonu var (extra ücretli). Anthropic AWS Bedrock üzerinden bölge seçimi.
- Alt yüklenici listesi. Sağlayıcının kullandığı third-party'ler.
- Veri ihlali bildirim süresi. 72 saat içinde bildirim.
- Audit hakları. Sağlayıcının uyumluluğunu denetleme hakkı.
Türkiye veri merkezi seçenekleri
KVKK uyumu için Türkiye'de veri saklama tercih ediliyor:
- Microsoft Azure OpenAI - Türkiye region. 2024'te açıldı. GPT-4 ve diğer modelleri Türkiye'de barındırma seçeneği.
- AWS Bedrock - İstanbul region. Claude ve diğer modelleri AWS İstanbul üzerinden çalıştırma.
- On-premise / private cloud. Açık kaynak modeller (Llama, Mistral) kendi sunucularınızda. Maximum kontrol ama operasyon maliyeti yüksek.
Aydınlatma metni şablonu — AI kullanımı için
Web sitenizdeki KVKK aydınlatma metnine AI kullanımı için spesifik bölüm eklenmeli:
"Hizmetlerimizin bir kısmında yapay zeka tabanlı araçlar (OpenAI ChatGPT, Anthropic Claude vb.) kullanılmaktadır. Kişisel verileriniz bu araçlara minimum gerekli ölçüde, anonymize edilmiş halde ve sadece hizmet sunma amacıyla gönderilmektedir. Veri yerelleştirme prensiplerimize göre Türkiye sınırları içinde işlenmesi mümkün olan veriler Türkiye veri merkezlerinde işlenir. Hizmet sağlayıcılarımızla imzalı DPA (Veri İşleme Sözleşmesi) bulunmaktadır."
Sektörel ek mevzuat
- Bankacılık (BDDK). Bulut hizmeti kullanımı ek izinler gerektiriyor. AI projeleri için BDDK bildirimi.
- Sağlık (Sağlık Bakanlığı + KVKK). Hasta verisi özel kategoride; ek koruma. Tıbbi cihaz olarak değerlendirilebilecek AI uygulamaları için ek izinler.
- Eğitim (MEB). Öğrenci verisi koruma için ek standartlar.
- Kamu ihaleleri. Yapay zeka kullanan tedarikçilerden ek sertifikasyon beklenebiliyor.
Sıkça yapılan hatalar
- DPA imzalamadan API kullanma. İlk denetimde ceza konusu.
- Müşteri verisini AI'ya tam profil olarak gönderme. Veri minimizasyonu ihlali.
- Aydınlatma metni güncellememe. Yeni AI use-case eklendiğinde metin güncel kalmıyor.
- Audit log tutmama. KVK gerektiğinde hangi veri AI'ya ne için gitti bilmiyoruz.
- Çalışanların kendi başına ChatGPT kullanması. Çalışan müşteri verisini personal ChatGPT hesabına yapıştırıyor — büyük ihlal riski.
- Yurtdışı transfer için ek izinler almama. AI sağlayıcının sunucusu AB veya ABD'de ise yurtdışı transfer ek koşul gerektirebiliyor.