Yazar: Av. Ayşe Ece Acar | Nisan 2026 | Siber Güvenlik Hukuku
Yapay zekâ bir insanı yanlış tanıdığı için 108 gün hapiste kaldı! – Angela Lipps Vakası
Mart 2026’da ABD’de kamuoyuna yansıyan bir dava, yüz tanıma teknolojisinin hukuki sonuçlarını çarpıcı biçimde gözler önüne serdi. Tennessee’de yaşayan Angela Lipps, banka dolandırıcılığı şüphelisiyle yapay zekâ sisteminin eşleştirmesi sonucu tutuklandı. 108 gün cezaevinde kaldı. Soruşturma derinleştikçe sistemin yanıldığı ortaya çıktı. Soruşturmayı yürüten yetkililer, süreçte “yapay zekâya aşırı güvenildiğini ve yeterli insan denetimi yapılmadığını” kabul etti.
Bu dava bir istisna değil, giderek büyüyen bir sorunun somutlaşmış hali. Türkiye’de yüz tanıma sistemlerinin kullanım alanı genişlerken, bu sistemlerin hukuki çerçevesi henüz tam anlamıyla oturmuş değil. Peki bu alanda faaliyet gösteren ya da bu sistemleri kullanan kurumlar ne tür risklerle karşı karşıya?
Biyometrik Veri Neden “Özel Nitelikli” Sayılıyor?
KVKK’nın 6. maddesi uyarınca, bazı kişisel veriler “özel nitelikli” olarak tanımlanır ve bu kategoriye giren veriler üzerinde çok daha sıkı bir koruma rejimi uygulanır. Biyometrik veriler de KVKK kapsamında özel nitelikli veriler arasında yer almaktadır. Bunun sebebi hem bu verilerin çok fazla kişisel olması hem de bir parola yada adres gibi güncellenebilir olmaması.
Kanuni düzenlemeye göre bu verilerin işlenebilmesi için açık rıza ya da kanunda sınırlı sayıda sayılan belirli istisnaların varlığı zorunlu. Kamusal alanlarda kurulan yüz tanıma sistemlerinin bu eşiği nasıl karşıladığı ise hukuki açıdan tartışmalı olmaya devam ediyor. Kalabalık bir mekânda yürürken verildiği kabul edilen (!) “açık rıza”nın hukuki geçerliliği ise Avrupa’da olduğu gibi Türkiye’de de mahkemelerin önüne taşınabilecek bir sorun.
KVKK’nın Mart 2026 Rehberi: İnsan Denetimi Artık Zorunlu
Kişisel Verileri Koruma Kurumu, Mart 2026’da yayımladığı rehberde yapay zekâ sistemleriyle alınan kararlar için “anlamlı insan müdahalesi” şartını hukuki zorunluluk olarak belirledi. Bu düzenleme soyut bir tavsiye değil; ihlali doğrudan yaptırıma bağlayan somut bir yükümlülük.
Şöyle düşünün: Yüz tanıma sistemi bir kişiyi şüpheli olarak işaretledi. Bu eşleştirme, bir yetkili tarafından bağımsız biçimde değerlendirilmeden uygulamaya konulamaz. Yani “Sistem böyle sonuç verdi” açıklaması artık hukuki bir gerekçe sayılmıyor.
Angela Lipps davası da tam bu noktada anlam kazanıyor. Sistem eşleştirdi, yetkili kabul etti, insan denetimi yapılmadı. Türkiye’de kurulan herhangi bir yüz tanıma sisteminde aynı hata tekrarlanabilir ve bu sefer KVKK kapsamında da hesap sorulabilir. Buna ek olarak kişi ve kurumların cezai sorumluluğu da gündeme gelebilir.
Sorumluluk Zinciri: Kim Neyi Yanıtlıyor?
Hatalı bir yüz tanıma kararı sonucunda zarar ortaya çıktığında sorumluluk zinciri birden fazla halkadan oluşuyor. Sistemi geliştiren yazılım şirketi, tasarım hatası veya yetersiz eğitim verisi nedeniyle ürün sorumluluğu hukuku kapsamında hesap vermek zorunda kalabilir. Sistemi kullanan kurum ise gerekli insan denetimini sağlamadıysa ya da biyometrik veriyi hukuka aykırı işlediyse KVKK ve 7545 Sayılı Kanun kapsamında hem idari yaptırımla hem de tazminat talepleriyle karşılaşabilir. Yapay zekâ çıktısını sorgulamadan hayata geçirdiyse kararı doğrudan uygulayan yetkilinin de kişisel olarak hukuki ve cezai sorumluluğundan söz edilebilir.
Angela Lipps’in avukatları hâlihazırda tazminat davası açmaya hazırlanıyor. Türkiye’de benzer bir durumda başvurulabilecek hukuki yolların ve sorumluluk sınırlarının bugünden netleştirilmesi, hem hukuki öngörülebilirlik açısından hem de kurumların işleyişi ve kişilerin güvenliği açısından stratejik bir zorunluluk.
7545 Sayılı Siber Güvenlik Kanunu: İkinci Bir Uyum Katmanı
Türkiye’nin ilk siber güvenlik mevzuatı olan 7545 Sayılı Kanun, yapay zekâ destekli sistemleri de kapsıyor. Kritik altyapılarda kullanılan yüz tanıma sistemleri siber güvenlik denetimine tabi. Veri ihlali yaşanırsa 72 saat içinde bildirim zorunlu. Biyometrik veri içeren sistemlerde yetkisiz erişim, ağırlaştırılmış yaptırımlarla sonuçlanabiliyor. Dolayısıyla yüz tanıma sistemlerini kullanan kurumlar, KVKK ve Siber Güvenlik Kanunu kapsamında eş zamanlı iki uyum yükümlülüğü altında. Bu iki kanunun kesişim noktalarını yönetmek, giderek daha kritik bir konu haline geliyor.
Kurumunuz Bu Sistemleri Kullanıyorsa yüz tanıma veya biyometrik kimlik doğrulama sistemleri kullanan kurumların şu soruları yanıtlamış olması gerekiyor:
- Bu sistemi kullanmak için hukuki dayanak ne?
- Açık rıza mı, yoksa kanunda sayılan bir istisna mı?
- Sistemin ürettiği sonuç, uygulamaya konulmadan önce bağımsız bir yetkili tarafından değerlendiriliyor mu?
- Kullanılan biyometrik veriler KVKK’nın gerektirdiği güvenlik tedbirleriyle korunuyor mu?
- Veri ihlali yaşanırsa 72 saatlik bildirim yükümlülüğünü yerine getirecek bir süreç mevcut mu?
Bu sorulardan herhangi birine yanıt verilemiyor ya da yanıt belirsiz kalıyorsa sistemin KVKK ve Siber Güvenlik Kanunu kapsamında yeniden değerlendirilmesi ve uyum sürecinin tamamlanması gerekiyor.
Sonuç
Yapay zekâ destekli yüz tanıma sistemleri, doğru kurgulandığında güçlü bir araç. Ancak “sistem böyle çıktı verdi” mantığı artık ne hukuki ne de etik açıdan savunulabilir durumda. KVKK’nın insan denetimi yükümlülüğüne ilişkin kararı ve 7545 Sayılı Siber Güvenlik Kanunu, bu alandaki sorumluluğun sınırlarını bugünden çizmeye başladı.
Biyometrik veri işleyen sistemlerin KVKK ve Siber Güvenlik Kanunu kapsamında değerlendirilmesi, kurumsal sorumluluk zincirinin netleştirilmesi ve uyum sürecinin planlanması konularında alanında uzman bir avukattan hukuki yardım almak, bu riskleri zamanında yönetmenin en sağlıklı yolu.
Yasal Uyarı ve Bilgilendirme Notu
Bu makale yalnızca genel bilgilendirme ve farkındalık amacıyla hazırlanmıştır; hukuki tavsiye, görüş veya
danışmanlık hizmeti niteliği taşımamaktadır. Her somut olay kendi koşulları ve güncel mevzuat çerçevesinde
ayrıca değerlendirilmelidir. Makale içeriğine dayanılarak alınan kararlardan doğabilecek sonuçlardan ACR
Legal ve Av. Ayşe Ece Acar sorumlu tutulamaz.
© 2026 ACR Legal | Av. Ayşe Ece Acar — ayseeceacar.av.tr. Tüm hakları saklıdır. Bu makalenin tamamı
veya bir bölümü, kaynak gösterilse dahi izinsiz çoğaltılamaz, yayımlanamaz veya ticari amaçla
kullanılamaz.
