KVKK Üretken Yapay Zekâ (ÜYZ) Temelleri Rehberi

Edux Academy

Sun, 07 Dec 2025

Üretken Yapay Zekâ (ÜYZ) Temelleri

• Tanım ve Farkı: ÜYZ, büyük veri kümeleri üzerinde eğitilen ve kullanıcı girdilerine (istem/komut) yanıt olarak metin, görsel, video, ses veya yazılım kodu gibi farklı formatlarda yeni içerikler üretebilen bir Yapay Zekâ türünü ifade eder. Geleneksel YZ'nin aksine, ÜYZ tamamen yeni çıktılar oluşturma kapasitesine sahiptir.

• İçerik Üretimi: ÜYZ sistemlerinin temelinde, geniş veri kümeleriyle eğitilmiş "temel modeller" (foundation models) yer alır. Metin üretiminde Büyük Dil Modelleri (LLM) ve GPT gibi yapılar öne çıkarken , görsel üretiminde ise VAE ve GAN gibi yöntemler kullanılır.

• Yaşam Döngüsü: Bir ÜYZ modelinin yaşam döngüsü; modelin amacının belirlenmesi, verilerin toplanması ve ön işlenmesi, modelin eğitilmesi ve ince ayarının yapılması, değerlendirilmesi/izlenmesi ve son olarak yerleştirilmesi/geri bildirim sağlanması aşamalarından oluşur. Bu süreçte, eğitim verileri genellikle web kazıma yöntemleriyle kamuya açık kaynaklardan elde edilir.

• Kullanım Alanları: ÜYZ, müşteri hizmetleri, sağlık (teşhis/ilaç keşfi), eğitim, pazarlama, kültürel endüstriler/sanat, yazılım geliştirme, arama/bilgiye erişim ve hukuk gibi birçok alanda yenilikçi çözümler sunmaktadır.

⚠️ ÜYZ Kullanımının Temel Riskleri
ÜYZ, önemli avantajlar sunsa da, sorumlu kullanım için dikkate alınması gereken riskleri de beraberinde getirir. Başlıca riskler şunlardır:

• "Halüsinasyonlar" ve Tutarsız Çıktılar: ÜYZ modelleri, eğitildikleri veriler üzerinden istatistiksel olarak en olası çıktıları ürettiği için, gerçeklikle örtüşmeyen ancak ikna edici görünen hatalı ("halüsinasyon") içerikler üretebilir.

• Ön Yargı ve Yanlı Çıktılar: Eğitim verilerinde var olan ön yargılar, sistem çıktılarında yansıtılabilir ve pekiştirilebilir, bu da ayrımcı veya saldırgan içeriklere yol açabilir.

• Verilerin Gizliliği ve Güvenliği: ÜYZ; oltalama e-postaları veya sahte kimlikler oluşturmak için kötüye kullanılabilir. Ayrıca, eğitim verilerindeki kişisel verilerin model çıktılarına yansıtılması, veri sızıntılarına ve gizlilik ihlallerine neden olabilir.

• Deep Fake ve Manipülatif İçerikler: Son derece gerçekçi sahte görsel, ses ve video içerikleri oluşturularak, kimlik sahteciliği veya itibar zedelenmesi gibi kötüye kullanımlar için risk oluşturur.

⚖️ KVKK Kapsamında Değerlendirme
Kişisel Veri İşleme ve Veri Sorumlusu/İşleyeni

• Kişisel Veri İşleme: ÜYZ sistemleri veri odaklı işler ve yaşam döngülerinin tüm aşamalarında (eğitim verileri, girdi verileri, çıktı verileri) kişisel veri işleme faaliyeti gerçekleşebilir. Model kişisel veriyi özellikle hedeflemese veya girdiler kişisel veri içermese dahi, çıktı aşamasında kişisel veri üretilmesi durumunda KVKK hükümleri uygulanır.

• Anonim Veriler: Yalnızca anonim veya anonimleştirilmiş verilerin kullanıldığı süreçler kural olarak KVKK kapsamı dışındadır.

• Veri Sorumlusu / Veri İşleyen: ÜYZ sistemlerinin karmaşık yapısı nedeniyle, veri sorumlusu ve veri işleyen rolünün tespiti güçtür. Esas olan, kişisel verilerin işlenmesine ilişkin amaç ve vasıtaların kim tarafından belirlendiğidir. Sözleşmesel ifadelerden ziyade, tarafların faaliyetler üzerindeki fiili kontrolü ve karar alma yetkisi belirleyicidir.

Genel İlkelere Uygunluk (KVKK m.4)
ÜYZ sistemlerinde işlenen kişisel veriler, Kanun'un 4. maddesindeki ilkelere uygun olmalıdır:

• Hukuka ve Dürüstlük Kurallarına Uygun Olma: Sistemlerin, ilgili kişilerin makul beklentileriyle çelişmeyecek şekilde yürütülmesi, algoritmik ön yargılardan kaçınılması ve şeffaflık sağlanması esastır.

• Doğru ve Gerektiğinde Güncel Olma: Modelin güvenilirliği için eğitim verilerinin kalitesi, doğruluğu ve güncelliği kritik öneme sahiptir. "Halüsinasyon" gibi yanıltıcı çıktılardan kaçınmak için denetim mekanizmaları kurulmalıdır.

• Belirli, Açık ve Meşru Amaçlar İçin İşlenme / Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Veri işleme amaçları muğlak olmamalı, her bir aşama için spesifik ve gerekçelendirilebilir amaçlar belirlenmelidir. Veri minimizasyonu ilkesi gereği, modelin performansını artırmak amacıyla geniş kapsamlı ve belirsiz veri toplamaktan kaçınılmalıdır.

• Gerekli Süre Kadar Muhafaza Edilme: İşleme amacının ortadan kalktığı durumlarda veriler silinmeli, yok edilmeli ya da anonim hâle getirilmelidir. Eğitim verileri için makul, açık ve gerekçelendirilebilir saklama süreleri belirlenmelidir.

Kişisel Verilerin İşlenme Şartları (Hukuki Sebep)
ÜYZ sistemleri aracılığıyla kişisel veri işleme faaliyetlerinde, Kanun'un 5. veya 6. maddesinde belirtilen işleme şartlarından en az birine dayanılması zorunludur.

• Açık Rıza: İşleme faaliyetinin açık rıza dışındaki şartlardan birine dayanması mümkün iken, ayrıca açık rıza alınması aldatıcı olacağından kaçınılmalıdır. Açık rıza alınırken YZ kullanıldığının ve işlemenin niteliği ile olası etkilerinin açıkça belirtilmesi gereklidir.

• Sözleşmenin Kurulması veya İfası: İşleme, doğrudan sözleşmenin kurulması veya ifasıyla ilgili olmalıdır; örneğin, bir sohbet botunun girdiyi işlemesi gibi. Modelin geliştirilmesi gibi doğrudan ilgili olmayan ek faaliyetler için bu şarta dayanılamaz.

• Verinin İlgili Kişi Tarafından Alenileştirilmesi: Alenileştirilmiş veriler, ilgili kişinin alenileştirme iradesiyle uyumlu amaçlar için işlenebilir. Sosyal medya paylaşımının doğrudan ÜYZ eğitimi için kullanılması, kural olarak bu iradenin sınırlarını aşar.

• Meşru Menfaat: İki aşamalı denge testi yapılmalıdır: Veri sorumlusunun meşru menfaatinin varlığı ve bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi. Alenileştirilmiş verilerin meşru menfaate dayanılarak işlenmesi, denge testinde dikkate alınabilecek bir unsurdur, ancak ilgili kişi için olumsuz sonuç doğuracaksa (örneğin, deep fake model geliştirme) bu şarta dayanılamaz.

???? Güvenlik ve Şeffaflık

• Şeffaflık ve Aydınlatma: Veri sorumluları, Kanun'un 10. maddesi uyarınca aydınlatma yükümlülüğünü yerine getirmelidir. ÜYZ sistemlerinin eğitimi ve geliştirilmesine yönelik kullanımlar için ayrı ve açıkça aydınlatma yapılması önemlidir. Kullanıcıyla doğrudan etkileşim kuran sistemler, YZ temelli olduklarını açıkça belirtmelidir.

• İlgili Kişi Hakları: Kanun'un 11. maddesindeki haklar (bilgi edinme, düzeltme, silme/yok etme, itiraz) ÜYZ sistemleri için de geçerlidir. Özellikle otomatik sistemler vasıtasıyla analiz sonucu aleyhte bir sonuç ortaya çıkmasına itiraz etme hakkı (m.11/1-g) kritiktir. Hakların etkin kullanımı için "tasarımdan itibaren mahremiyet" (privacy by design) ve "varsayılan olarak mahremiyet" (privacy by default) yaklaşımları benimsenmelidir.

• Veri Güvenliği: Veri sorumluları, Kanun'un 12. maddesi uyarınca gerekli teknik ve idari tedbirleri almalıdır. Ek olarak, veri koruma etki değerlendirmesi yapılması, mahremiyet artırıcı teknolojilerin entegre edilmesi ve modeli ters çevirme saldırıları (model inversion attacks) gibi YZ'ye özgü zafiyetlere karşı teknik kontrollerin entegre edilmesi tavsiye edilmektedir.

????‍????‍????‍???? Bireylerin ve Ebeveynlerin Dikkat Etmesi Gerekenler

• Bireyler İçin: Bireyler, ÜYZ uygulamalarını kullanırken kişiyi doğrudan tanımlayan (ad-soyad, kimlik bilgisi vb.) ve üçüncü kişilere ait kişisel verileri paylaşmaktan kaçınmalıdır. Mümkün olduğunca anonimleştirilmiş ve genelleştirilmiş ifadeler tercih edilmeli ve uygulamanın aydınlatma metinleri ile gizlilik politikaları dikkatle incelenmelidir.

• Ebeveynler İçin: Ebeveynler, çocukların kullandığı ÜYZ platformlarının yaşa uygunluğunu kontrol etmeli ve deep fake teknolojilerinin riskleri hakkında çocukları bilinçlendirmelidir. Çocuklara kişisel verilerin korunması, etik kullanım ve dijital araçların her zaman doğru/tarafsız içerik üretmeyebileceği konusunda yaşlarına uygun açıklamalar yapılmalıdır.