Pillar · güven katmanı · 11 dk okuma

KVKK Uyumlu Yapay Zeka: Türkiye'de AI Agent Kullanmanın Çerçevesi

Türkiye'de AI agent kullanmak için KVKK çerçevesinin yapısal çözümü. Yerel inference, maskeli eğitmen, audit chain — sözleşmesel önlem değil mimari güvence. Sağlık, hukuk, finans için.

Yazan · Ilura ekibi 2 Mayıs 2026 tr-TR
En güvenli veri, makineden hiç çıkmamış olandır.

Kısa cevap

KVKK uyumlu yapay zeka, Kişisel Verilerin Korunması Kanunu (6698 sayılı) çerçevesinde — özellikle §6 (özel nitelikli kişisel veri) ve §9 (yurt dışı aktarımı) hükümlerine uyumlu — biçimde tasarlanmış AI sistemlerini ifade eder. Mimari güvence sözleşmesel önlemden farklıdır: yerel inference + maskeli eğitmen + audit chain üçlüsü kişisel veriyi yapısal olarak korur.

KVKK çerçevesi kısa özet

KVKK 2016’da yürürlüğe girdi. Üç ana sorumluluk getirir:

  1. Veri sorumlusu — kişisel veriyi işleyen tüzel kişi (genelde şirket). Aydınlatma yükümlülüğü, açık rıza yönetimi, veri sahibi haklarına yanıt.
  2. Veri işleyen — veri sorumlusu adına işleyen üçüncü taraf (cloud sağlayıcı, AI servis vb.). Sözleşme + güvenlik önlemleri.
  3. Veri sahibi — kişi (vatandaş). Erişim, düzeltme, silme, itiraz hakları.

AI sistemleri kişisel veri işlerse (müşteri datası, e-posta, çağrı kaydı) KVKK kapsamına girer. AI sağlayıcı genelde “veri işleyen”, AI’yi kullanan şirket “veri sorumlusu”.

KVKK §6 — Özel nitelikli kişisel veri

KVKK §6/1 doğrudan ifadeyle:

“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”KVKK 6698 sayılı Kanun, Madde 6

Bu veriler için ek koşullar:

  • Açık rıza veya
  • Kanunda öngörülmesi
  • Güvenlik önlemleri yüksek seviyede (şifreleme, erişim kontrolü, güvenlik denetimi)

ChatGPT/Claude/Gemini gibi bulut servislere özel nitelikli veri göndermek denetimli risk. Yerel inference bu sorunu mimaride çözer.

KVKK §9 — Yurt dışı aktarımı

KVKK 6698 sayılı kanun §9 doğrudan ifadeyle:

“Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.”KVKK 6698 sayılı Kanun, Madde 9

Açık rıza dışında yurt dışına aktarım için:

  1. Yeterlilik kararı (KVK Kurulu — şu an ABD için yok), veya
  2. Bağlayıcı şirket kuralları (BCR — şirket içi), veya
  3. Standart sözleşme hükümleri (SCC).

ChatGPT Plus/Team genelde SCC ile karşılanır; Enterprise daha sıkı çerçeve. Yerel inference için bu mekanizma gerekmez — veri makinen dışına çıkmaz.

Sözleşmesel önlem vs mimari güvence

KVKK uyumu için iki farklı yaklaşım:

Sözleşmesel önlem (geleneksel)

[Veri sorumlusu (sen)] ←[DPA + SCC]→ [Veri işleyen (OpenAI/Anthropic)]

                                  [ABD sunucu]
                                  (veri orada işlenir)

Sözleşme imzalanır (DPA = Data Processing Agreement, SCC = Standard Contractual Clauses). Veri yine ABD sunucusunda durur — sadece belge ile korunur.

Sınır:

  • Veri fiziksel olarak yurt dışında
  • KVK Kurulu denetiminde “yapısal” güvence değil
  • Sağlayıcı politika değişikliği durumunda kontrol senin elinden çıkar

Mimari güvence (yapısal)

[Veri sorumlusu (sen)]

[Yerel makine] → Yerel model (Llama 8B)

[Cevap]

Bulut çağrısı sıfır. Veri makinen dışına çıkmaz. KVK Kurulu denetiminde mimari kanıt: yurt dışı aktarımı gerçekleşmiyor.

Bu Ilura’nın temel mimari kararıdır.

Ilura’nın üç katmanlı mimari güvencesi

Ilura’da KVKK uyumu üç katmanda inşa edilir:

Katman 1 — Yerel inference

Günlük iş yerel modelde (Llama 3.1 8B / Mistral 7B / Qwen 2.5 7B):

Kullanıcı tuş → Native uygulama → Yerel model (RAM)
              → cevap → kullanıcı

Bulut çağrısı sıfır. Veri makinen dışına çıkmaz.

Katman 2 — Maskeli bulut eğitmen

Haftalık eğitim seansında — sen onaylarsın — bulut eğitmenine örnekler gider:

Yerel pod → Özetleme + PII maskeleme
          → Bulut eğitmen (Claude/Gemini/OpenAI)
          → LoRA adapter → yerel modele uygulama

Bulut eğitmenine giden tek şey: özetlenmiş + PII’leri maskelenmiş örnek. Maskeleme:

  • TC kimlik numarası → [TC]
  • Telefon → [TEL]
  • IBAN → [IBAN]
  • Email → [EMAIL]
  • Doğum tarihi → [DOĞUM]
  • Adres → [ADRES]

Regex + NER (Named Entity Recognition) iki katmanlı tespit. Eğitmen örneğin yapısını öğrenir; PII’yi görmez.

Katman 3 — Pod izolasyonu (özel nitelikli için)

KVKK §6 kapsamına giren işler için pod izolasyonu: agent o veriyi bulut eğitmenine hiç gönderemez. Yerel modelde kalır, eğitim seansında atlanır.

Tezgah’ta pod ayarı:

[Sera (e-posta agent'ı)]
  Pod: genel
  Bulut eğitmenine git: ✓

[Lokman (sağlık agent'ı)]
  Pod: özel-nitelikli (§6)
  Bulut eğitmenine git: ✗ (her zaman yerel)

Bu üç katman = mimari güvence.

Audit chain — denetlenebilirlik

KVKK §12/1 yükümlülüğü açıkça ifade eder:

“Veri sorumlusu… kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”KVKK 6698 sayılı Kanun, Madde 12

Tedbirleri kanıtlamak da veri sorumlusunun yükümlülüğü. Tezgah audit chain bu kanıtı otomatik üretir:

Tezgah audit chain bu kanıtı otomatik üretir:

[Audit kayıt n]
  prev_hash: <hash_n-1>
  timestamp: 2026-05-02T14:23:11Z
  agent_id: sera
  action: send_email
  data_hash: <SHA-256 of email content>
  user_id: ahmet@firma.com
  decision: approved
  signature: <ECDSA imza>

[Audit kayıt n+1]
  prev_hash: <hash_n>
  ...

Her kayıt önceki kaydın hash’ini içerir → zincir. Bir kaydı sonradan değiştirmek imkansız (zincir kırılır). ECDSA imzası kayıt sahibini doğrular.

Denetim talebinde Tezgah Girişimci panelinden rapor üretilir:

  • Tarih aralığı
  • Agent listesi
  • Veri kategorileri
  • Karar sayıları
  • İmza zinciri doğrulama raporu

Bu rapor KVKK denetiminde sunulur.

KVKK çerçeve paneli — Girişimci planında

Tezgah Girişimci (€49.99/ay) KVKK çerçeve paneli içerir:

1. Veri işleme envanteri

Hangi agent hangi kategori veriyi işliyor:

AgentVeri kategorisiKVKK madde
SeraE-posta içeriği§5 (genel)
AtlasMüşteri iletişimi§5
LokmanSağlık verisi§6 (özel nitelikli)
NaciHukuki belge§5

2. Aktarım raporu

Hangi haftalık eğitim seansında ne kadar (özetli + maskeli) örnek bulut eğitmenine gitti:

Hafta 2026-04-25 → Claude Sonnet:
  Sera: 47 örnek (PII maskelenmiş)
  Atlas: 89 örnek (PII maskelenmiş)
  Lokman: 0 (pod izole — bulut'a gitmedi)
  Naci: 23 örnek (PII maskelenmiş)

3. Erişim politikaları

Her agent için role-based access:

  • Yönetici / Eğitici / Kullanıcı / Misafir

4. Veri sahibi self-service

KVKK §11 hak kullanımı:

  • Erişim talebi → veri katalog gösterimi
  • Düzeltme talebi → bayesian profil güncellemesi
  • Silme talebi → veri silme akışı + audit imzalı kayıt
  • İtiraz → işleme durdurma

Sektör örnekleri

Sağlık

Klinikteki Lokman anamnez ön-toplama yapar. Sağlık verisi KVKK §6 — özel nitelikli. Lokman pod izole; bulut eğitmenine hiç gönderilmez. Yerel modelde kalır, audit chain’de imzalı.

Hukuk

Hukuk bürosundaki Naci icra dosyalarını ön-inceler. Müvekkil verisi (KVKK §5) maskelenir; sözleşme metinleri içeriği eğitmene göndermeden yerel’de işlenir. Yargı vermez — avukata özetler.

Finans

Bankacılık (KAL kapsamı) için Türkiye sınırı içi data residency genelde istenir. Tezgah’ın yerel-öncelikli mimarisi + opsiyonel TR bulut runtime KAL §1 ile uyumlu (yurt dışı aktarımı yok).

Karşılaştırma — diğer AI sağlayıcılar

SağlayıcıKVKK §9KVKK §6Audit chain
ChatGPT PlusDPA + SCC (sözleşmesel)Yetersiz (Enterprise farklı)Yok
ChatGPT EnterpriseEU DC + SCCDPA + güvenlik addendumSınırlı
Claude ProDPA + SCCAynıYok
Gemini AdvancedDPA + SCCAynıYok
Microsoft CopilotEU tenant region + DPAEU regionMicrosoft Purview
IluraYerel inference (yapısal)Pod izolasyon (yapısal)SHA-256 + ECDSA

Detay: Ilura vs Custom GPT · vs Claude Projects · vs Microsoft Copilot.

Yaygın yanılgılar

“DPA imzalandığı için her şey güvende.” DPA + SCC sözleşmesel önlem — KVK Kurulu denetiminde yapısal güvenceyle eşit değil. Hassas verinin fiziksel olarak yurt dışında bulunması bazı sektörlerde (sağlık, finans, kamu) ek mimari önlem gerektirir.

“Yerel AI = düşük performans.” Llama 3.1 8B / Qwen 2.5 7B çoğu üretken görevin %85-90’ında yeterli. Frontier model gerekirse hibrit yaklaşım (yerel inference + bulut eğitmen) ikisinin avantajını birleştirir.

“KVKK denetimi olmaz.” KVK Kurulu denetimleri 2024-2025’te artıyor. AI kullanan şirketlere özel inceleme başladı. Audit chain + denetim raporu her an sunulabilir kalmalı.

“Açık rıza her şeyi çözer.” KVKK §6 (özel nitelikli) için açık rıza yetmez — ek koşullar (kanunda öngörülme veya güvenlik önlemleri) zorunlu. Tek başına rıza müdafaa çürümüş olabilir.

Sona

KVKK çerçevesinde yapay zeka kullanmanın yapısal cevabı: mimari güvence. Yerel inference + maskeli eğitmen + audit chain üçlüsü sözleşmesel önlemden öte kanıtlanabilir uyumluluk sunar. Sağlık, hukuk, finans gibi denetlenen sektörlerde Ilura bu mimariyi default sunar.

Türkiye’de AI kullanmak hem mümkün hem güvenli — doğru çerçeveyle.

Kaynaklar

Sıkça sorulanlar

ChatGPT KVKK uyumlu mu?
Genel iş için Plus/Team ChatGPT sözleşmesel önlem (DPA + SCC) ile karşılanabilir. Ama veri ABD sunucusunda durur — KVKK §9 yurt dışı aktarımı sözleşmesel mekanizmayla kabul ediliyor; KAL kapsamı veya KVKK §6 (özel nitelikli) için yetersiz kalabilir. Enterprise SLA daha sertdir.
Yerel inference ne demek KVKK için?
Modelin senin makinende çalıştığı durumda kişisel veri makinen dışına hiç çıkmaz. KVKK §9 (yurt dışı aktarım) gerçekleşmez — yapısal güvence. Bu Ilura'nın temel mimari kararıdır.
PII maskeleme nasıl çalışır?
Tezgah haftalık eğitim seansında bulut eğitmenine örnek gönderirken kişisel veriyi (TC kimlik, telefon, IBAN, doğum tarihi, email) regex + NER ile otomatik tespit eder ve placeholder'larla değiştirir. Eğitmen örneğin yapısını öğrenir, PII'yi görmez.
Audit chain neye yarar?
Her agent kararı SHA-256 hash zincirine eklenir + ECDSA imzalanır. Sonradan değiştirilemez. KVKK denetiminde 'şu işlem yapıldı, kim onayladı, ne zaman' sorularına kanıt zinciri sunulur. Veri Aydınlatma metni ile uyumu denetlenebilir.
KVKK §6 (özel nitelikli) için yeterli mi?
Sağlık, biyometrik, ceza ya da güvenlik tedbirleri ile ilgili veriler özel niteliklidir. Bunlar için açık rıza + güvenlik önlemleri zorunlu. Ilura'da pod izolasyonu özel nitelikli veriyi bulut eğitmenine hiç göndermez — yerel modelde kalır. KVKK §6 yapısal uyumu mimaride.
KVKK denetimi durumunda ne yapacağım?
Tezgah Girişimci planı KVKK çerçeve paneli sunar: veri işleme envanteri, audit chain raporu, aktarım raporu, erişim politikaları. Denetimde bu raporlar otomatik üretilir — Excel'le manuel hazırlanmaya gerek yok.
Veri sahibi 'sil' deyince ne olur?
KVKK §11 hak kullanımı için Tezgah self-service paneli: veri sahibi başvuru → otomatik veri katalog gösterimi → silme akışı. Audit chain'de silme imzalı kayıt edilir. Bayesian profil + bellek + LoRA adapter'dan o kişinin verisi silinir.

Devam etmek için

Doğrulamalı Mimari AI: Yapay Zekayı Güvenli Çalıştırmanın Temeli
Doğrulamalı (zero-trust) yapay zekada her işlem politika motorundan geçer, audit zincirine yazılır, biometrik onayla yetkilendirilir. Ilura'nın taşıyıcı kolonu.
Yerel Çalışan Yapay Zeka Nedir?
Yerel yapay zeka, bulut sunucuya değil — kendi cihazına çalışır. Veri makinen dışına çıkmaz, gecikme düşer, KVKK çerçevesi rahattır. Açık kaynak modeller, hibrit yaklaşımlar, ne zaman seçilir.
Yerel Veri Yerleşimi: Türkiye Sınırı İçinde AI Verisi
Yerel veri yerleşimi (data residency), kişisel verinin coğrafi olarak nerede saklandığı/işlendiği. KVKK §9 ve KAL kapsamında — kim ne saklar, nereye gider.
AI Veri Gizliliği
AI sistemlerinde veri gizliliği — verinin nerede işlendiği, kim eriştiği, kim sakladığı, KVKK çerçevesinde nasıl korunduğu. Temel kavramlar ve pratik.
Ilura — Türkiye'nin İlk Dijital Çalışan Tezgâhı
Ilura, kişisel AI agent'ını yetiştirip ekibinle paylaşmanın yolu. Türkiye'de barındırılan, KVKK uyumlu, doğrulamalı mimaride. Üç soruyla başla.
yanındayım ← Tüm kavramlar