KVKK Kurulu Mart 2026’da yapay zeka uygulamaları için bekleneni netleştiren rehberliğini yayınladı. Doküman EU AI Act’in risk-tabanlı yaklaşımıyla büyük ölçüde örtüşüyor; ancak Türkiye’ye özgü açık rıza yorumları, sınır ötesi veri aktarımı ve sektörel istisnalar bakımından kendi izini bırakıyor. Pratik bir bakışla, yapay zeka projelerinizi 2026’nın ikinci yarısına hazırlayan beş başlık.
1) Risk seviyesi sınıflandırması
EU AI Act dört seviyeli (yasak, yüksek, sınırlı, minimum risk) sınıflandırmayı netleştirdi. KVKK rehberi aynı kategorilere göndermede bulunuyor ve özellikle işe alım, kredi skorlama, sağlık triajı, kamuya açık alanlarda biyometrik tanıma uygulamalarını “yüksek risk” olarak işaretliyor. Bu kategoride etki değerlendirmesi (DPIA) ve iz kayıt zorunlu.
2) Açık rıza ve LLM bağlamı
LLM tabanlı asistanlara müşteri verisi göndermek 2025’te gri alandı; 2026’da net: müşterinin kişisel verisi LLM sağlayıcısına gönderilecekse açık rıza şart. Üstüne, açık rıza “genel AI kullanımı için” verilemez; spesifik amaç (örn. “destek talebinizin özetlenmesi”) belirtilmeli. Kurum içi modelleri (on-premise / VPC) tercih etmek bu yükü azaltıyor.
3) Otomatik karar verme ve itiraz hakkı
KVKK 11. madde zaten bireye “tamamen otomatik sistemlerle alınmış aleyhine karara itiraz hakkı” veriyordu; rehberlikle birlikte bu hak somutlaştı. Otomatik karar üreten bir model varsa: kararın gerekçesinin makul açıklanabilirlikte sunulması, insan denetiminin kanıtlanabilir olması ve itiraz akışının kullanıcıya görünür olması bekleniyor.
4) Eğitim verisi ve hak kaynağı
Bir modeli eğitirken kullandığınız verinin yasal kaynağını belgeleyebiliyor olmanız gerekli. Açık veri / lisanslı veri / sözleşmesel veri / rıza ile alınmış veri olarak ayrım yapılmalı. Telif konusu metin/görsel için 2026 itibarıyla AB ve Türk düzenlemelerinin yakınsaması kuvvetli bir trend; üretici AI çıktılarının kaynak izlenebilirliği zaman içinde standart olacak.
5) Pratik uyum kontrol listesi
- DPIA tamamlandı mı? (yüksek risk projeleri için zorunlu)
- Veri envanterinde modelin eğittiği ve sorguladığı veri seti net mi?
- Açık rıza metinleri amacı spesifik mi, “AI ile” değil?
- LLM sağlayıcısıyla DPA + sub-processor listesi + ülke belgelendi mi?
- Otomatik karar mekanizmasında insan denetim noktası var mı?
- Audit log: kim, hangi veriyi, hangi modele, ne zaman gönderdi?
- Çıktıda PII redaction katmanı çalışıyor mu?
