İş Yerinde ChatGPT Kullanımı KVKK’ya Aykırı mı?

Son birkaç yılda ofis ortamında çok şey değişti. E-posta taslaklarını elle düzeltmek yerine ChatGPT’ye atıp birkaç saniyede sonuç alan çalışanlar; müşteri şikâyetlerini özetletip yöneticiye sunan ekipler; hatta özgeçmişleri yapay zekâya analiz ettiren insan kaynakları uzmanları… Bunların hiçbiri artık istisna değil, pek çok iş yerinin günlük gerçekliği. Üstelik büyük çoğunluğu resmi bir şirket politikası olmadan, tamamen bireysel inisiyatifle yapılıyor.

Tam da bu noktada akla gelen soru şu: İş yerinde ChatGPT kullanmak KVKK’ya aykırı mı? Kişisel Verileri Koruma Kurumu da konuyu gündemine aldı. Kurum, 5 Mart 2026 tarihinde yayımladığı “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlıklı dokümanda, üçüncü taraflarca sunulan ve kamuya açık üretken yapay zekâ araçlarının iş süreçlerinde kullanımına ilişkin risklere dikkat çekti ve kurumsal farkındalık oluşturmayı amaçlayan bir çerçeve sundu.

Hemen net bir cevap verelim: İş yerinde ChatGPT kullanmak tek başına KVKK’ya aykırı değildir. Ama sorun da zaten aracın kendisinde değil. Sorun; hangi verinin girildiğinde, kimin adına işlendiğinde, nereye aktarıldığında ve şirketin bu süreci yönetip yönetemediğinde. KVKK’nın hem Kasım 2025 tarihli “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi” hem de Şubat 2026 tarihli iş yeri odaklı dokümanı aynı şeyi söylüyor: Mesele yasak değil, yönetim meselesi.

Asıl Risk Nerede Başlıyor?

Çoğu zaman riskin kaynağı, çalışanın farkında bile olmadan kişisel veri paylaşmasıdır. Bir düşünün: Müşteriden gelen şikâyet mailini olduğu gibi ChatGPT’ye yapıştırıp “bunu profesyonelce yanıtla” dediğinizde, o mailin içinde ad, soyad, telefon numarası, belki T.C. kimlik numarası bile olabilir. Ya da insan kaynakları departmanında bir uzman, adayın özgeçmişini sisteme yükleyip “bu adaya uygun mülakat soruları hazırla” dediğinde; aslında bir kişinin eğitim geçmişini, iletişim bilgilerini ve kariyer verilerini üçüncü taraf bir sisteme aktarmış oluyor.

Bu tür senaryolarda çalışan genellikle kötü niyetli değildir; sadece işini hızlı yapma çabasındadır. Fakat KVKK açısından niyet değil, sonuç önemlidir. Sisteme girilen içerik sıradan bir not defterine yazılmış veri gibi değerlendirilemez. Verinin hangi altyapıda işlendiği, hangi ülkede saklandığı, ne kadar süre tutulduğu ve hizmet sağlayıcı tarafından hangi kapsamda kullanıldığı — bütün bunlar değerlendirilmeden yapılan kullanım, veri sorumlusu olan şirketin KVKK uyum riskini ciddi biçimde artırır.

KVKK’nın iş yeri odaklı dokümanında da bu noktaya açıkça değiniliyor. Kurum, çalışanların kurumun bilgisi veya onayı dışında üretken yapay zekâ araçlarını kullanmasını “gölge yapay zekâ” olarak nitelendiriyor ve bu durumun hangi araçların kullanıldığı, hangi verilerin paylaşıldığı konusunda kurumların yeterli denetime sahip olamamasına yol açtığını belirtiyor.

Yurt Dışına Veri Aktarımı: Göz Ardı Edilen Kritik Boyut

Konunun belki de en çok göz ardı edilen tarafı, yurt dışına veri aktarımı meselesidir. ChatGPT gibi araçların büyük çoğunluğunun sunucuları yurt dışında bulunuyor. Bir çalışan bu sisteme kişisel veri içeren herhangi bir metin girdiğinde, teknik olarak o veri sınır ötesine çıkmış sayılabilir. Bu durumda 6698 sayılı Kanun’un 9. maddesi kapsamındaki yurt dışına veri aktarımı hükümleri devreye girer.

Kişisel Verileri Koruma Kurumu’nun 2 Ocak 2025 tarihinde yayımladığı “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi”, bu konuda veri sorumlularına detaylı bir yol haritası sunuyor. Rehber; yeterli koruma bulunan ülkeler, standart sözleşmeler, bağlayıcı şirket kuralları ve açık rıza gibi mekanizmaları tek tek açıklıyor. Ayrıca Kurum, standart sözleşmenin geçerli imzalarla tamamlanması ve imzaların tamamlanmasından itibaren beş iş günü içinde Kuruma bildirilmesi gerektiğini de resmi duyurularında açıkça belirtmiş durumda.

Dolayısıyla “Çalışan sadece bir metin düzeltmesi için ChatGPT kullandı” cümlesi, hukuki açıdan düşünüldüğünde her zaman masum bir ifade olmayabilir. O metnin içinde bir kişiye ait herhangi bir bilgi varsa, tablo tamamen değişir.

Sadece KVKK Meselesi Değil: Ticari Sırlar ve Sadakat Yükümlülüğü

Meseleyi yalnızca kişisel verilerin korunması çerçevesinden okumak da eksik kalır. Müşteri şikâyet kaydını olduğu gibi sisteme yapıştırmak, personel değerlendirme notlarını özetletmek, bir sözleşme taslağını analiz ettirmek ya da fiyatlandırma stratejilerini yapay zekâya danışmak — bunların hepsi aynı zamanda ticari sır kapsamına girebilir. KVKK’nın Mart 2026 dokümanında da ticari sır niteliğindeki bilgilerin veya rekabet açısından hassas verilerin harici yapay zekâ araçlarıyla paylaşılmasının fikri mülkiyet açısından risk oluşturabileceğine dikkat çekiliyor.

Bunun yanında çalışanın işverene karşı sadakat yükümlülüğü de göz önünde bulundurulmalı. İş Kanunu ve Borçlar Kanunu çerçevesinde çalışan, işverenin meşru menfaatlerini korumakla yükümlüdür. Şirket içi bilgilerin kontrolsüz biçimde dış platformlara aktarılması, bu yükümlülüğün ihlali anlamına gelebilir. Kısacası, iş yerinde ChatGPT kullanımı konusu yalnızca bir teknoloji tercihi değil; aynı zamanda veri koruma, bilgi güvenliği ve kurumsal yönetişim meselesidir.

Pratik Senaryolar: Hangi Kullanım Riskli, Hangisi Değil?

Konuyu biraz daha somutlaştıralım. Aşağıdaki örnekler, iş yerinde ChatGPT kullanımının hangi durumda sorun yaratabileceğini, hangi durumda nispeten güvenli sayılabileceğini gösteriyor:

Riskli Kullanım Örnekleri

•Müşteri adı, telefon numarası ve şikâyet detayını içeren bir kaydı olduğu gibi sisteme yapıştırıp “bunu özetle” demek.

•Bir adayın özgeçmişini ChatGPT’ye yükleyip mülakat soruları hazırlatmak.

•Personel performans değerlendirme notlarını yapay zekâya özetletmek.

•Sözleşme taslaklarını, içinde taraf bilgileri varken, sisteme girerek incelettirmek.

•İç yazışmaları, disiplin tutanaklarını veya sağlık verisi içeren belgeleri yapay zekâya vermek.

Nispeten Düşük Riskli Kullanım Örnekleri

•Genel bir e-posta taslağı yazdırmak (içinde kişisel veri olmadan).

•Bir blog yazısı veya pazarlama metni için fikir almak.

•“Excel’de XLOOKUP nasıl kullanılır?” gibi teknik sorular sormak.

•Genel bir sunum taslağı oluşturmak (hassas bilgi içermeden).

Arada çok ince bir çizgi var: “ne sorduğun” değil, “ne girdiğin” belirleyici. Aynı soru, içine kişisel veri koyduğunuzda riskli; koymadığınızda güvenli olabilir.

Gölge Yapay Zekâ (Shadow AI) Nedir ve Neden Tehlikeli?

KVKK’nın Şubat 2026 tarihli dokümanında öne çıkan kavramlardan biri “gölge yapay zekâ” (Shadow AI). Bu kavram, çalışanların kurumun bilgisi, onayı veya denetimi dışında üretken yapay zekâ araçlarını iş süreçlerinde kullanmasını ifade ediyor. Bir bakıma, yıllar önce BT dünyasında konuşulan “gölge BT” (Shadow IT) kavramının yapay zekâya uyarlanmış hali.

Neden tehlikeli? Çünkü şirket, hangi çalışanın hangi araca ne tür veri girdiğini bilmiyor. Dolayısıyla veri sızıntısı yaşansa bile bunun kaynağını tespit etmek neredeyse imkânsız hale geliyor. Ayrıca kurumsal değerlendirme süreçlerinden geçmeden kullanılan sistemlerin hatalı veya yanıltıcı sonuçlar üretebileceği ve bunun da yanlış kararlar alınmasına yol açabileceği de ayrı bir risk alanı.

KVKK’nın dokümanı, yasak koymanın bu sorunu çözmediğini de açıkça ifade ediyor. Yasaklayıcı yaklaşımlar uygulamada gerçekçi sonuç vermeyebilir ve çalışanları kontrol dışı kullanıma itebilir. Bu nedenle önerilen yaklaşım, yasak yerine yönlendirme ve denge temelli bir model.

Şirketler Ne Yapmalı? Adım Adım Uyum Rehberi

Şirketler açısından doğru yaklaşım, yapay zekâyı yasaklamak değil; kuralları net bir şekilde belirlemektir. Peki bu pratikte nasıl yapılır?

1. Kurumsal Yapay Zekâ Kullanım Politikası Hazırlayın

Hangi yapay zekâ araçlarının kullanılabileceğini, hangi birimlerin kullanabileceğini ve kullanımın hangi koşullara bağlı olduğunu açıkça tanımlayın. KVKK da bu konuda kurumsal strateji, politika veya yönlendirme çerçevesi içinde hareket edilmesinin önemini vurguluyor.

2. Veri Kategorilerine Göre Kırmızı Çizgiler Belirleyin

Çalışanlara çok net sınırlamalar getirin. Yapay zekâ araçlarına kesinlikle girilmemesi gereken veri türleri şunlardır: Müşteri adı ve iletişim bilgileri, T.C. kimlik numarası, sağlık verileri, finansal bilgiler, özlük bilgileri, sözleşme taslakları, iç yazışmalar, performans değerlendirmeleri ve ticari sır niteliğindeki her türlü içerik. Bu listeyi yazılı hale getirip tüm çalışanlara tebliğ edin.

3. Çalışan Eğitimleri Düzenleyin

Politika yazmış olmak tek başına yeterli değil; çalışanların bu riskleri gerçekten anlaması gerekir. Pratik örneklerle desteklenmiş eğitimler verin. “Neyi girmemem gerekir?” sorusunu her çalışanın cevaplayabilmesi lazım. KVKK’nın dokümanında da çalışanların bu araçların riskleri ve doğru kullanımı konusunda bilgilendirilmesinin önemine değiniliyor.

4. Yurt Dışına Veri Aktarımını Değerlendirin

Kullandığınız yapay zekâ aracının sunucuları nerede? Hizmet sağlayıcıyla arada bir veri işleme sözleşmesi var mı? Gerekiyorsa standart sözleşme ya da başka bir uygun aktarım mekanizması kurulmuş mu? Bu soruları cevaplamadan yapılan kullanım, özellikle orta ve büyük ölçekli şirketlerde önemli bir uyum açığı yaratabilir.

5. Teknik ve İdari Tedbirler Alın

Çalışanların sisteme kişisel veri girmesini engelleyecek teknik önlemler düşünün. DLP (önleme) çözümleri, erişim kontrolleri, log yönetimi ve düzenli denetimler bu bağlamda öne çıkan araçlardır. Ayrıca yapay zekâ kullanımına ilişkin olay kayıtlarının tutulması, olası bir ihlal durumunda hesap verebilirlik açısından kritik önem taşır.

6. KVKK Uyum Sürecinizi Güncelleyin

Mevcut KVKK uyum süreciniz muhtemelen yapay zekâ araçlarını kapsamıyor. Veri envanterinizi, kişisel veri işleme faaliyetlerinizi ve aydınlatma metinlerinizi bu yeni teknolojiye göre gözden geçirin. KVKK’nın Üretken Yapay Zekâ Rehberi, veri koruma etki değerlendirmesi yapılmasını da öneriyor. Özellikle yüksek riskli sayılabilecek işleme faaliyetleri için bu adımı atlamamak gerekir.

Sonuç: Soru “Yasak mı?” Değil, “Yönetilebiliyor mu?”

Toparlayacak olursak: İş yerinde ChatGPT kullanımı otomatik olarak KVKK’ya aykırı değildir. Ama çalışanların bu araçlara kişisel veri, özel nitelikli veri, müşteri bilgisi veya şirket sırrı niteliğinde içerik girmesi; gerekli hukuki ve teknik önlemler alınmadan kullanım yapılması; yurt dışına veri aktarımı boyutunun göz ardı edilmesi — bunların her biri ciddi riskler doğurabilir.

KVKK’nın hem Kasım 2025 tarihli Üretken Yapay Zekâ Rehberi hem de Şubat 2026 tarihli iş yeri dokümanı, aynı temel mesajı veriyor: Bu araçları yasaklamak değil, yönetmek gerekiyor. Farkındalık, ölçülülük, risk değerlendirmesi ve uygun koruma mekanizmaları — Kurum’un vurguladığı dört anahtar kavram bunlar.

En sağlıklı yol, şirket içinde açık bir yapay zekâ kullanım politikası hazırlamak, çalışan eğitimleri vermek, veri kategorilerine göre kullanım sınırlarını belirlemek ve KVKK uyum sürecinizi bu yeni teknolojiye göre güncellemektir. Kısacası soracak doğru soru “ChatGPT yasak mı?” değil; “Şirketiniz ChatGPT kullanımını hukuka uygun biçimde yönetebiliyor mu?” olmalıdır.