Yapay zeka projelerinin Türkiye'de uygulanmasının önündeki en büyük engel teknik kapasite değil — KVKK uyumu konusundaki belirsizliktir. Kurumlar AI'ın faydalarını biliyor ancak "verilerimiz KVKK'ya uygun mu işlenir?" sorusunun cevabını bulmadan ilerleyemiyorlar. Bu yazıda, Yazılım Koçu olarak 50+ projede uyguladığımız KVKK uyumlu AI mimarisi çerçevesini detaylı sunuyoruz.
KVKK 6698 Sayılı Kanun ve AI Sistemleri
KVKK (Kişisel Verilerin Korunması Kanunu), kişisel verilerin işlenmesinde uyulması gereken kuralları belirler. AI sistemleri çoğunlukla kişisel veri işlediği için (müşteri verileri, çalışan bilgileri, davranışsal veri) doğrudan kapsama girer. Temel ilkeler: hukuka uygunluk, dürüstlük, doğruluk, belirli amaç, ölçülülük, sınırlı süre.
AI bağlamında en kritik maddeler: Madde 4 (genel ilkeler), Madde 5 (işleme şartları — açık rıza veya 6 istisnaî hâl), Madde 11 (veri sahibi hakları), Madde 12 (veri güvenliği).
Mimari Tasarım Kararları
1. On-Premise vs Bulut Tercihi
En kritik mimari karar. KVKK doğrudan bulut yasaklamıyor — ancak verilerin nerede saklandığı, kim tarafından erişilebildiği ve hangi yargı bölgesine tabi olduğu önemli.
**On-Premise:** Verileriniz kendi sunucunuzda. KVKK uyum riski minimum. Maliyet: yüksek başlangıç (donanım + işletim), orta operasyonel. Performans yönetimi tamamen sizde.
**AB Bulut (AWS Frankfurt, GCP europe-west3):** GDPR-native bölge, KVKK adequacy onaylı. SCC (Standard Contractual Clauses) + DPA (Data Processing Agreement) imzalı. Çoğu kurumsal proje için yeterli.
**Türkiye Bulut (AWS İstanbul, lokal sağlayıcılar):** En yüksek KVKK uyum. Veri Türkiye sınırlarında. Hassas sektörler (sağlık, kamu, finans) için tercih.
**ABD/Asya Bulut (varsayılan):** KVKK risk yüksek, açık rıza + ek hukuki koruma gerektirir. Çoğu kurumsal kullanım için önerilmez.
2. Veri Minimizasyonu
AI eğitimi için ihtiyaç duyulan minimum veriyi belirleyip, fazlasını sisteme dahil etmeyin. Üç katmanlı yaklaşım:
**Veri toplama katmanı:** Sadece gerekli alanlar toplanır (örn. müşteri segmentasyonu için TC kimlik gerekmez, segment kategorisi yeterli).
**Veri saklama katmanı:** Saklama süresi sınırlı (regülatif minimum + iş gereksinimi). Otomatik silme/anonimleştirme.
**Veri işleme katmanı:** Model eğitimi sırasında kişisel tanımlayıcılar (PII) ayrılır, sadece davranış verisi ile eğitilir.
3. Anonimleştirme ve Pseudonymization
KVKK Madde 28: anonim hâle getirilmiş verilerin kapsam dışı olması. Etkili anonimleştirme teknikleri:
Açık Kaynak vs Kapalı Model Tercihi
KVKK perspektifinden kritik karar. Kapalı modeller (Claude, GPT, Gemini) veriyi sağlayıcının sunucusunda işler — bu, açık rıza + DPA imzası + veri yerleşkesi belirleme gerektirir. Çoğu kurumsal projede pratik değildir.
**Açık kaynak modeller (Llama, Mistral, Qwen)** open weights ile dağıtılır — modeli kendi sunucunuzda çalıştırırsınız, veri kurum dışına çıkmaz. Yazılım Koçu KVKK projelerinde açık kaynak modeller varsayılan tercihtir.
**Hibrit yaklaşım:** Hassas veriler açık kaynak modelde işlenir, hassas olmayan görevler (örn. genel sohbet, içerik üretimi) için kapalı modeller müşteri onayı ile kullanılabilir.
DPO (Data Protection Officer) Süreci
KVKK kapsamında belirli kurumlar DPO atamak zorundadır. AI projeleri DPO ile koordineli yürütülmelidir:
**Proje başında:** DPO'ya proje kapsamı + işlenecek veri türü + amaç bildirilir. DPO görüşü alınır.
**Tasarım fazında:** Data Protection Impact Assessment (DPIA) hazırlanır. Riskler belirlenir, azaltma önlemleri tanımlanır.
**Uygulama fazında:** Veri işleme süreçleri belgelenir. Audit log altyapısı kurulur.
**Operasyon fazında:** Düzenli denetim, veri sahibi talepleri yönetimi, ihlal bildirimi süreçleri.
VERBİS Kayıt Süreci
KVKK 16. maddesi gereği veri sorumluları (belirli kriterleri sağlayan kurumlar) VERBİS'e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırmalıdır. AI projesi yeni veri işleme süreçleri yaratıyorsa, VERBİS kaydı güncellenmelidir.
Yazılım Koçu projelerinde VERBİS güncelleme süreci standart kontrol listesindedir: yeni veri kategorisi varsa, yeni amaç varsa, yeni saklama süresi varsa, yeni alıcı grubu varsa güncelleme yapılır.
Veri Sahibi Hakları (KVKK Madde 11)
AI sistemleri veri sahibi haklarını otomatik karşılayabilmelidir:
Sektör Bazlı KVKK Pratikleri
**Sağlık:** Hasta verisi özel koruma kategorisi. On-premise zorunlu (tercihen), HİMSS + ISO 27001 uyumlu mimari. Sağlık Bakanlığı yönetmelikleri (KKTC entegrasyonu).
**Finans:** BDDK 2024 AI Risk Yönetimi Rehberi uyumu. Model risk yönetimi, açıklanabilirlik, fairness audit zorunlu. KKB entegrasyonu için sertifikasyon süreci.
**E-Ticaret:** Müşteri davranış verisi yoğun. Çerez politikası + açık rıza zorunlu. Çocuk verisi (18 yaş altı) özel koruma — ebeveyn onayı.
**İK:** Çalışan verisi hassas. CV tarama AI sistemleri için bias kontrolü, açık rıza, kararın insan onayı zorunlu.
**Eğitim:** Öğrenci verisi (özellikle K-12) en hassas. Ebeveyn onayı zorunlu, veri saklama süresi minimum.
Yaygın KVKK Hataları
**Hata 1: "Verilerimi yurtdışı AI servisi kullanıyorum ama açık rıza aldım"** — Açık rıza yetmez. Veri transferi için ek korumalar (SCC, BCR) gerekli.
**Hata 2: "Anonim veri ile çalışıyorum"** — Çoğu "anonimleştirme" yetersiz. k-anonymity, differential privacy gibi matematiksel garantili yöntemler tercih edilmeli.
**Hata 3: "Veri saklama süresi belirsiz"** — KVKK belirli süre zorunlu. Otomatik silme/anonimleştirme kuralları altyapıda olmalı.
**Hata 4: "Model audit log'u tutmuyoruz"** — Hangi karar hangi veri ile alındı izlenebilir olmalı. Veri sahibi talepleri için kritik.
Sonuç
KVKK uyumlu AI mimarisi karmaşık görünür ama doğru çerçeveyle yönetilebilir. Yazılım Koçu olarak tüm AI projelerimizde KVKK uyumu varsayılan tasarım kararıdır — "ekstra özellik" değildir. Açık kaynak modeller + on-premise/AB veri yerleşkesi + DPO koordinasyonu + VERBİS güncelleme + audit log standart bileşenlerimizdir. KVKK uyumlu AI projesi için Keşif görüşmesi yapın; size özel uyum yol haritası birlikte çıkaralım.