Kişisel Verileri Koruma Kurumu, 5 Mart 2026’da Türkiye’deki şirketlere önemli bir uyarı yaptı: Çalışanlarınız, kurumunuzun bilgisi olmadan yapay zekâ araçları kullanıyorsa bu durum ciddi bir KVKK riski doğuruyor.
Kurumun “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlıklı rehberinde özellikle vurgulanan kavram: Gölge Yapay Zekâ (Shadow AI).
Ve tam bu noktada, küresel ölçekte dikkat çeken bir dava bu riskin ne kadar gerçek olduğunu somut biçimde ortaya koydu.
Cursor ve Kimi: Gölge YZ’nin Şirket Boyutu
Popüler yapay zekâ destekli kod editörü Cursor, kullanıcılarda “kendi modelleri” izlenimi yaratırken sunduğu yeni modelin aslında Çinli yapay zekâ şirketi Moonshot AI tarafından geliştirilen Kimi olduğu kısa sürede ortaya çıktı. Kullanıcılar bunu şirketten değil, dışarıdan araştırmacıların tespitinden öğrendi.
Peki bu şirketler için ne anlam ifade ediyor?
Şöyle düşünün: Bir çalışanınız, kod yazmak veya belge hazırlamak için Cursor’ı kullanıyor. Cursor’ın hangi modeli çalıştırdığını bilmiyor, siz de bilmiyorsunuz. O model, Türkiye dışındaki bir ülkenin sunucularında verilerinizi işliyor. Bunu ne siz onayladınız ne de müşterilerinizi bu konuda bilgilendirdiniz.
KVKK açısından bu tablo, birden fazla ihlal riski barındırıyor.
KVKK’nın Gölge Yapay Zekâ Tanımı
KVKK rehberinde Gölge Yapay Zekâ şu şekilde tanımlanıyor: çalışanların kurumun bilgisi, onayı veya kurumsal denetimi olmaksızın üretken yapay zekâ araçlarını iş süreçlerine dahil etmesi.
Rehber, bu durumun neden bu kadar yaygınlaştığını da açıklıyor: araçların ücretsiz veya düşük maliyetli olması, teknik bilgi gerektirmemesi ve kurumsal politikaların henüz bu konuyu kapsamaması.
Bunun somut bir örneği şu: Bir çalışan müşteri şikâyetini çözmek için ChatGPT’ye kopyalıyor. Müşterinin adı, şikâyet detayları ve sipariş bilgileri artık o platformun sunucularında işlendi. Şirket KVKK kapsamında veri sorumlusu sıfatını taşımasına rağmen bu aktarımdan haberi yok, müşterisini de bilgilendirmedi.
Verileriniz Gerçekte Kime Aktarılıyor?
Cursor örneğine dönelim. Bir yazılım aracına abone oldunuz, aylık ödeme yapıyorsunuz ve aracın “kendi geliştirdiği” yapay zekâ modelini kullandığını düşünüyorsunuz. Oysa arka planda bambaşka bir ülkenin şirketine ait model çalışıyor.
Bu araç aracılığıyla işlenen veriler şunları içerebilir: şirketinize ait kaynak kodlar, müşteri veritabanı yapıları, henüz kamuoyuyla paylaşılmamış ürün planları, API anahtarları ve sistem mimarisi bilgileri.
KVKK’nın 9. maddesi uyarınca kişisel verilerin yurt dışına aktarımı belirli koşullara bağlıdır: ilgili ülkenin yeterli koruma sağlaması veya standart sözleşmelerin imzalanmış olması gerekir. Kullandığınız yapay zekâ aracının hangi ülkede veri işlediğini bilmiyorsanız bu yükümlülüğü yerine getirmeniz mümkün değildir.
Şeffaflık Yükümlülüğü ve 2026/347 Sayılı İlke Kararı
KVKK’nın şeffaflık ilkesi uyarınca veri sorumlusu, kişisel verilerin hangi amaçla işlendiğini, kimlerle paylaşıldığını ve yurt dışına aktarılıp aktarılmadığını açıkça bildirmek zorundadır.
Bu yükümlülük, 24 Mart 2026’da Resmî Gazete’de yayımlanan 2026/347 sayılı İlke Kararı ile daha da netleşti. Kurul; muğlak ifadeler içeren metinleri, kopyalanan şablon belgeleri ve gerçek veri işleme süreçlerini yansıtmayan aydınlatma metinlerini hukuka aykırı saymaktadır.
Cursor örneğindeki asıl soru tam olarak bu: Kullanıcılar verilerinin Kimi modeli üzerinden işlendiğini biliyor muydu? Hizmet sözleşmesi ve aydınlatma metni bu aktarımı açıkça kapsıyor muydu? Eğer hayır ise bu durum KVKK’nın 10. maddesi kapsamında aydınlatma yükümlülüğünün ihlali anlamına gelebilir.
Tüketici Hukuku Boyutu
Mesele yalnızca kişisel veri korumasıyla sınırlı değil. Bir hizmet sunan şirketin, sunduğu hizmetin temel bileşenleri hakkında kullanıcıyı yanıltması 6502 sayılı Tüketicinin Korunması Hakkında Kanun kapsamında da değerlendirilebilir.
Hangi modelin kullanıldığını bilmeden yapay zekâ aracına abone olan ve ödeme yapan bir kullanıcı, aldığı hizmetin niteliği konusunda yanıltılmış mıdır? Bu soru, ilerleyen dönemde Türk mahkemelerinin gündemine girebilecek niteliktedir.
Şirketiniz Ne Yapmalı?
KVKK rehberi, şirketlere somut adımlar öneriyor. Yapay zekâ araçlarının kullanımına dair kurumsal politika oluşturulması, hangi araçların onaylı olduğunun belirlenmesi ve çalışanların bu konuda bilinçlendirilmesi artık bir iyi niyet göstergesi değil, hukuki bir zorunluluk.
Eğer iş süreçlerinizde yapay zekâ araçları kullanıyorsanız şu soruları sormadan devam etmeyin:
Bu araç verilerimi hangi sunucularda işliyor? Hangi üçüncü taraf modeli kullanıyor ve bu bana açıklandı mı? Kişisel veri veya ticari sır niteliğindeki bilgiler bu araçlara aktarılıyor mu? Yurt dışı aktarım için gerekli hukuki dayanak mevcut mu? Çalışanlarım hangi yapay zekâ araçlarını kullanıyor ve benim haberim var mı?
Sonuç
KVKK’nın Gölge Yapay Zekâ uyarısı ile Cursor ve Kimi davası, aynı sorunun iki farklı yüzünü gösteriyor: Yapay zekâ araçlarının şeffaflık sorunu artık düzenleyici otoritelerin de radarında.
Şirketinizin kullandığı yapay zekâ araçlarını KVKK kapsamında değerlendirmek ister misiniz? ACR Legal olarak bu süreçte yanınızdayız.
Yasal Uyarı ve Bilgilendirme Notu
Bu makale yalnızca genel bilgilendirme ve farkındalık amacıyla hazırlanmıştır; hukuki tavsiye, görüş veya danışmanlık hizmeti niteliği taşımamaktadır. Her somut olay kendi koşulları ve güncel mevzuat çerçevesinde ayrıca değerlendirilmelidir. Makale içeriğine dayanılarak alınan kararlardan doğabilecek sonuçlardan ACR Legal ve Av. Ayşe Ece Acar sorumlu tutulamaz.
© 2026 ACR Legal | Av. Ayşe Ece Acar — ayseeceacar.av.tr. Tüm hakları saklıdır. Bu makalenin tamamı veya bir bölümü, kaynak gösterilse dahi izinsiz çoğaltılamaz, yayımlanamaz veya ticari amaçla kullanılamaz.
