Pillar · güven katmanı · 15 dk okuma

KVKK Uyumlu Yapay Zeka: Türkiye'de AI Agent Kullanmanın Çerçevesi

Türkiye'de AI agent kullanmak için KVKK çerçevesinin yapısal çözümü. Yerel inference, maskeli eğitmen, audit chain — sözleşmesel önlem değil mimari güvence. Sağlık, hukuk, finans için.

Yazan · Ilura ekibi 10 Haziran 2026 tr-TR
En güvenli veri, makineden hiç çıkmamış olandır.

Kısa cevap

KVKK uyumlu yapay zeka, Kişisel Verilerin Korunması Kanunu (6698 sayılı) çerçevesinde — özellikle §6 (özel nitelikli kişisel veri) ve §9 (yurt dışı aktarımı) hükümlerine uyumlu — biçimde tasarlanmış AI sistemlerini ifade eder. Mimari güvence sözleşmesel önlemden farklıdır: yerel inference + maskeli eğitmen + audit chain üçlüsü kişisel veriyi yapısal olarak korur.

KVKK çerçevesi kısa özet

KVKK 2016’da yürürlüğe girdi. Üç ana sorumluluk getirir:

  1. Veri sorumlusu — kişisel veriyi işleyen tüzel kişi (genelde şirket). Aydınlatma yükümlülüğü, açık rıza yönetimi, veri sahibi haklarına yanıt.
  2. Veri işleyen — veri sorumlusu adına işleyen üçüncü taraf (cloud sağlayıcı, AI servis vb.). Sözleşme + güvenlik önlemleri.
  3. Veri sahibi — kişi (vatandaş). Erişim, düzeltme, silme, itiraz hakları.

AI sistemleri kişisel veri işlerse (müşteri datası, e-posta, çağrı kaydı) KVKK kapsamına girer. AI sağlayıcı genelde “veri işleyen”, AI’yi kullanan şirket “veri sorumlusu”.

KVKK §6 — Özel nitelikli kişisel veri

KVKK §6/1 doğrudan ifadeyle:

“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”KVKK 6698 sayılı Kanun, Madde 6

Bu veriler için ek koşullar:

  • Açık rıza veya
  • Kanunda öngörülmesi
  • Güvenlik önlemleri yüksek seviyede (şifreleme, erişim kontrolü, güvenlik denetimi)

ChatGPT/Claude/Gemini gibi bulut servislere özel nitelikli veri göndermek denetimli risk. Yerel inference bu sorunu mimaride çözer.

KVKK §9 — Yurt dışı aktarımı

KVKK 6698 sayılı kanun §9 doğrudan ifadeyle:

“Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.”KVKK 6698 sayılı Kanun, Madde 9

Açık rıza dışında yurt dışına aktarım için:

  1. Yeterlilik kararı (KVK Kurulu — şu an ABD için yok), veya
  2. Bağlayıcı şirket kuralları (BCR — şirket içi), veya
  3. Standart sözleşme hükümleri (SCC).

ChatGPT Plus/Team genelde SCC ile karşılanır; Enterprise daha sıkı çerçeve. Yerel inference için bu mekanizma gerekmez — veri makinen dışına çıkmaz.

Sözleşmesel önlem vs mimari güvence

KVKK uyumu için iki farklı yaklaşım:

Sözleşmesel önlem (geleneksel)

[Veri sorumlusu (sen)] ←[DPA + SCC]→ [Veri işleyen (OpenAI/Anthropic)]

                                  [ABD sunucu]
                                  (veri orada işlenir)

Sözleşme imzalanır (DPA = Data Processing Agreement, SCC = Standard Contractual Clauses). Veri yine ABD sunucusunda durur — sadece belge ile korunur.

Sınır:

  • Veri fiziksel olarak yurt dışında
  • KVK Kurulu denetiminde “yapısal” güvence değil
  • Sağlayıcı politika değişikliği durumunda kontrol senin elinden çıkar

Mimari güvence (yapısal)

[Veri sorumlusu (sen)]

[Yerel makine] → Yerel model (Llama 8B)

[Cevap]

Bulut çağrısı sıfır. Veri makinen dışına çıkmaz. KVK Kurulu denetiminde mimari kanıt: yurt dışı aktarımı gerçekleşmiyor.

Bu Ilura’nın temel mimari kararıdır — bugün Apple Intelligence ile cihaz-üstü olarak uygulanır.

Mimari güvence pratikte — üç katmanlı desen

İlk nesil (masaüstü) Ilura KVKK uyumunu üç katmanda inşa etmişti. Bu desen, hibrit AI sistemi tasarlayan herkes için bugün de ders niteliğinde:

Katman 1 — Yerel inference

Günlük iş yerel modelde (Llama 3.1 8B / Mistral 7B / Qwen 2.5 7B) çalışırdı:

Kullanıcı tuş → Native uygulama → Yerel model (RAM)
              → cevap → kullanıcı

Bulut çağrısı sıfır. Veri makine dışına çıkmaz.

Katman 2 — Maskeli bulut eğitmen

Haftalık eğitim seansında — kullanıcı onayıyla — bulut eğitmenine örnekler giderdi:

Yerel pod → Özetleme + PII maskeleme
          → Bulut eğitmen (Claude/Gemini/OpenAI)
          → LoRA adapter → yerel modele uygulama

Bulut eğitmenine giden tek şey: özetlenmiş + PII’leri maskelenmiş örnek. Maskeleme:

  • TC kimlik numarası → [TC]
  • Telefon → [TEL]
  • IBAN → [IBAN]
  • Email → [EMAIL]
  • Doğum tarihi → [DOĞUM]
  • Adres → [ADRES]

Regex + NER (Named Entity Recognition) iki katmanlı tespit. Eğitmen örneğin yapısını öğrenir; PII’yi görmez.

Katman 3 — Pod izolasyonu (özel nitelikli için)

KVKK §6 kapsamına giren işler için pod izolasyonu: agent o veriyi bulut eğitmenine hiç gönderemezdi. Yerel modelde kalır, eğitim seansında atlanırdı.

Pod ayarı örneği (ilk nesil):

[Sera (e-posta agent'ı)]
  Pod: genel
  Bulut eğitmenine git: ✓

[Lokman (sağlık agent'ı)]
  Pod: özel-nitelikli (§6)
  Bulut eğitmenine git: ✗ (her zaman yerel)

Bu üç katman = mimari güvence.

Bugünkü Ilura’da tablo daha sade. Apple Intelligence cihaz-üstü çalıştığı için katman 2 ve 3’e gerek kalmaz: eğitim verisi buluta gitmez, maskelenecek bir aktarım yoktur. Üç katmanın yerini tek yapısal güvence alır — veri iPhone’dan çıkmaz.

Audit chain — denetlenebilirlik

KVKK §12/1 yükümlülüğü açıkça ifade eder:

“Veri sorumlusu… kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”KVKK 6698 sayılı Kanun, Madde 12

Tedbirleri kanıtlamak da veri sorumlusunun yükümlülüğü. Audit chain deseni bu kanıtı otomatik üretir:

[Audit kayıt n]
  prev_hash: <hash_n-1>
  timestamp: 2026-05-02T14:23:11Z
  agent_id: sera
  action: send_email
  data_hash: <SHA-256 of email content>
  user_id: ahmet@firma.com
  decision: approved
  signature: <ECDSA imza>

[Audit kayıt n+1]
  prev_hash: <hash_n>
  ...

Her kayıt önceki kaydın hash’ini içerir → zincir. Bir kaydı sonradan değiştirmek imkansız (zincir kırılır). ECDSA imzası kayıt sahibini doğrular.

Böyle bir altyapıda denetim talebi geldiğinde rapor otomatik üretilir:

  • Tarih aralığı
  • Agent listesi
  • Veri kategorileri
  • Karar sayıları
  • İmza zinciri doğrulama raporu

Bu rapor KVKK denetiminde sunulur.

KVKK çerçeve paneli — ilk nesil Ilura örneği

İlk nesil Ilura’nın Girişimci planı bir KVKK çerçeve paneli içeriyordu. Kurumsal AI dağıtımında nelerin izlenmesi gerektiğini göstermesi açısından hâlâ öğretici:

1. Veri işleme envanteri

Hangi agent hangi kategori veriyi işliyordu:

AgentVeri kategorisiKVKK madde
SeraE-posta içeriği§5 (genel)
AtlasMüşteri iletişimi§5
LokmanSağlık verisi§6 (özel nitelikli)
NaciHukuki belge§5

2. Aktarım raporu

Hangi haftalık eğitim seansında ne kadar (özetli + maskeli) örnek bulut eğitmenine gittiği izlenirdi:

Hafta 2026-04-25 → Claude Sonnet:
  Sera: 47 örnek (PII maskelenmiş)
  Atlas: 89 örnek (PII maskelenmiş)
  Lokman: 0 (pod izole — bulut'a gitmedi)
  Naci: 23 örnek (PII maskelenmiş)

3. Erişim politikaları

Her agent için role-based access tanımlanırdı:

  • Yönetici / Eğitici / Kullanıcı / Misafir

4. Veri sahibi self-service

KVKK §11 hak kullanım akışları paneldeydi:

  • Erişim talebi → veri katalog gösterimi
  • Düzeltme talebi → tercih profili güncellemesi
  • Silme talebi → veri silme akışı + audit imzalı kayıt
  • İtiraz → işleme durdurma

Bugünkü Ilura’da bu envanterin büyük kısmı yapısal olarak boşalır: agent kişiseldir, verisi iPhone’unda yaşar, buluta aktarım olmadığı için aktarım raporu tutulacak bir şey kalmaz.

Sektör örnekleri

Sağlık

Klinikteki Lokman anamnez ön-toplama yapar. Sağlık verisi KVKK §6 — özel nitelikli. Lokman’ın baktığı her şey cihaz-üstü işlenir; buluta hiç gönderilmez.

Hukuk

Hukuk bürosundaki Naci icra dosyalarını ön-inceler. Müvekkil verisi (KVKK §5) cihazda işlenir; sözleşme metinleri telefondan çıkmaz. Yargı vermez — avukata özetler.

Finans

Bankacılık (KAL kapsamı) için Türkiye sınırı içi data residency genelde istenir. Cihaz-üstü işleme bu şartı en sade haliyle karşılar: kişisel finansal veri işlenmek için cihaz dışına hiç çıkmaz (yurt dışı aktarımı yok).

Karşılaştırma — diğer AI sağlayıcılar

SağlayıcıKVKK §9KVKK §6Audit chain
ChatGPT PlusDPA + SCC (sözleşmesel)Yetersiz (Enterprise farklı)Yok
ChatGPT EnterpriseEU DC + SCCDPA + güvenlik addendumSınırlı
Claude ProDPA + SCCAynıYok
Gemini AdvancedDPA + SCCAynıYok
Microsoft CopilotEU tenant region + DPAEU regionMicrosoft Purview
Ilura (iOS)Cihaz-üstü işleme (yapısal)Veri cihazdan çıkmaz (yapısal)Gerekmez — sunucuda veri yok

Detay: Ilura vs Custom GPT · vs Claude Projects · vs Microsoft Copilot.

Yaygın yanılgılar

“DPA imzalandığı için her şey güvende.” DPA + SCC sözleşmesel önlem — KVK Kurulu denetiminde yapısal güvenceyle eşit değil. Hassas verinin fiziksel olarak yurt dışında bulunması bazı sektörlerde (sağlık, finans, kamu) ek mimari önlem gerektirir.

“Yerel AI = düşük performans.” Llama 3.1 8B / Qwen 2.5 7B çoğu üretken görevin %85-90’ında yeterli. Frontier model gerekirse hibrit yaklaşım (yerel inference + bulut eğitmen) ikisinin avantajını birleştirir.

“KVKK denetimi olmaz.” KVK Kurulu denetimleri 2024-2025’te artıyor. AI kullanan şirketlere özel inceleme başladı. Audit chain + denetim raporu her an sunulabilir kalmalı.

“Açık rıza her şeyi çözer.” KVKK §6 (özel nitelikli) için açık rıza yetmez — ek koşullar (kanunda öngörülme veya güvenlik önlemleri) zorunlu. Tek başına rıza müdafaa çürümüş olabilir.

Veri minimizasyonu nasıl uygulanır?

KVKK 4. madde işleme ilkelerinin omurgasıdır: kişisel veri belirli, açık ve meşru amaçlar için işlenir; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olur. Bu ilkenin agent karşılığı net: agent’a verilen veri sadece görev için gerekli olanla sınırlı kalır. Müşteri hizmetleri agent’ı sipariş numarasını görür, müşterinin TC kimlik numarasını görmez. Hukuki dosyayı özetleyen agent dosyanın gövdesini okur, müvekkilin doğum tarihini hash’ler.

İlk nesil Ilura pratiğinde üç katmanlı uygulama vardı:

1. Pod izolasyonu — Her agent kendi pod’unda çalışırdı. Dosya sistemi erişimi (PolicyEngine üzerinden) sadece tanımlı dizinlerle sınırlıydı. Sera (e-posta agent’ı) müşteri dosyalarını okuyamaz; Lokman (sağlık agent’ı) HR klasörüne giremezdi. Kavram detayı: yerel veri yerleşimi.

2. Maskeleme katmanı — Eğitim seansında veya buluta örnek giderken, regex + NER iki aşamalı tarama yapılırdı:

  • TC kimlik (11 hane numerik, çek-doğrulama) → [TC] veya SHA-256 hash
  • IBAN (TR + 24 hane) → [IBAN]
  • E-posta → [EMAIL] veya domain-koruyan hash ([EMAIL]@firma.com)
  • Telefon, doğum tarihi, adres → analog placeholder

3. Veri silme süreçleri — KVKK §11 talebi geldiğinde self-service panel üç noktayı kovalardı: tercih profili (kişiyle ilgili öğrenilmiş tercihler ve karar kuralları), agent belleği, eğitim örneklerinden çıkan kalıplar. Üçü de retention policy ile ayrıca otomatik silinirdi. Silme imzalı audit chain kaydı bırakırdı — geri-tarihli silme kanıtı sunulamaz, ama silme yapıldığı kanıtlanabilirdi.

Pratik karar matrisi. Agent tanımında “veri kapsamı” alanı iyi pratiktir: agent hangi alanları görür, hangilerini hash görür, hangilerini hiç görmez. Müşteri hizmetleri agent’ı için tipik tanım: sipariş_no (görür), müşteri_adı (ilk-harf), TC (asla), IBAN (asla). Hukuki dosya agent’ı için: dosya_konusu (görür), müvekkil_adı (hash), dava_numarası (görür), nüfus_bilgileri (asla). Bugünkü Ilura’da bu sınırlar Playbook ile çizilir: agent neye bakacağını, neyi sormadan geçmeyeceğini senden öğrenir.

Veri minimizasyonu sözleşmede bir cümle değil, mimari bir disiplindir. KVKK Kurulu denetiminde “minimizasyon ilkesini nasıl uyguluyorsun?” sorusuna yanıt belge değil, agent tanımı ve erişim kayıtlarıdır.

Açık rıza, meşru menfaat ve sözleşme ilişkisi

KVKK §5 işleme şartları altı dayanak sayar; AI agent kullanımında üçü öne çıkar. Hangi durumda hangisi seçilir, agent davranışını doğrudan etkiler.

Açık rıza — pazarlama, gönüllü programlar, anketler. Veri sahibi bilinçli, özgür, belirli ve aydınlatılmış onay verir. Tek sorun: rıza geri çekilebilir; çekildiğinde işleme durur. Pazarlama agent’ı için uygun temel ama tek başına yeterli değil — KVKK §6 (özel nitelikli veri) için açık rıza dışında ek koşullar (kanunda öngörülme, güvenlik tedbirleri) zorunlu.

Meşru menfaat — dolandırıcılık tespit, ağ güvenliği, iç denetim. Veri sorumlusunun meşru menfaati ile veri sahibinin temel hak ve özgürlüklerinin denge testi yapılır (LIA — Legitimate Interest Assessment). Anomali tespit eden bir güvenlik agent’ı bu dayanakla çalışabilir. Ama denge testi belge altına alınmalı; denetimde sunulur.

Sözleşme ilişkisi — hizmet sunumu için zorunlu işleme. Bir CRM agent’ı müşterinin sipariş geçmişini görür çünkü siparişi tamamlamak için bu zorunludur. Banka agent’ı hesap bakiyesini gösterir çünkü hizmet sözleşmesi bunu gerektirir. Sözleşme ilişkisi en sağlam dayanaktır; rıza geri çekme riski yoktur.

İyi pratik: agent tanımına “hukuki dayanak” alanı eklemek. Agent her veri erişiminde kendi dayanağını bilir; erişim kayıtları bu bilgiyi taşır. Denetimde “hangi dayanakla, hangi veriye, hangi agent ulaştı” sorusuna kanıtla yanıt üretilir.

Çakışan dayanaklar. Bir e-posta agent’ı hem sözleşme ilişkisi (servis sunumu) hem meşru menfaat (dolandırıcılık tespit) altında çalışabilir. KVKK §5 birden fazla dayanağı yasaklamaz; en sağlam olanı önceliklendirmek tavsiye edilir. Sözleşme ilişkisi varsa onu birinci dayanak olarak göster; meşru menfaat ikincil destek katmanı olur.

Açık rıza tuzakları. Pratiğin sık ihlal noktası: rıza formunun tek tıkla “Hepsini kabul et” butonuyla geçilmesi. KVKK Kurulu kararlarında bu yapı bağlayıcı kabul edilmez. Aydınlatma ayrı, rıza ayrı; her işleme amacı için granular tercih sunulmalı.

Detay: Türkiye’de AI agent kullanımı.

Sektörel KVKK örnekleri

Sektör değiştikçe KVKK katmanı değişir; agent mimarisi de buna göre kurulur.

Finans. Bankacılık (KAL kapsamı) ve fintek için iki katman birden çalışır: KVKK + Bankacılık Kanunu. Kredi puanı hesaplayan bir agent kişisel finansal veri (KVKK §5) ve potansiyel olarak özel nitelikli veri (örneğin sağlık raporu kredi başvurusunda) işler. Yurt dışı aktarımı yasaklanır (KAL §1 — Türkiye sınırı içi data residency). Yerel inference + TR bulut runtime kombinasyonu yapısal cevap. BDDK denetiminde kredi puanlama algoritması açıklanabilirlik şartı taşır — agent kararının “neye göre” verildiği LIME/SHAP benzeri çıktıyla kanıtlanmalı. Detaylı sektörel rehber: finans AI agent.

Hukuk. İcra dosyası, müvekkil iletişimi, dava metni — meslek sırrı + KVKK çift katmanı. Avukat-müvekkil ilişkisi 1136 sayılı Avukatlık Kanunu §36 ile korunur; bu sır bulut sağlayıcıyla paylaşılamaz. Naci gibi bir hukuk agent’ı cihaz-üstü çalışır; müvekkil dosyaları telefonda işlenir, buluta gönderilmez. Erişim kayıtları meslek sırrı denetiminde dayanak olur. Daha fazla: hukuk AI agent.

İK. CV taraması ve aday değerlendirme — özellikle hassas. CV içinde özel nitelikli veri (sağlık durumu, dini inanç, sendika üyeliği) sıkça yer alır; çoğu zaman aday istemeden paylaşır. İK agent’ının ilk işi PII + özel nitelikli veri taraması yapıp uyarı vermesidir: “Bu CV’de sağlık durumu beyanı tespit ettim — KVKK §6 kapsamı, ek açık rıza gerek.” Otomatik karar (sıralama, eleme) için KVKK §11/g (otomatik işleme reddi) hak kullanımı bilgilendirme şart. AB AI Act paralel düzenlemesinde işe alım yüksek-risk sistem olarak sınıflandırıldı; Türkiye AI yasası taslağı da benzer çerçeve öngörüyor. Detay: İK AI agent.

Sağlık. Hasta dosyası, anamnez, tıbbi görüntü — KVKK §6 ana eksen. Hasta hakları ve sağlık verisinin gizliliği için cihaz-üstü işleme şart. Lokman gibi bir sağlık agent’ı buluta veri göndermez; öğrenme cihazdaki kalıcı hafızayla sürer. KAL benzeri sağlık veri yerleşimi düzenlemeleri (Sağlık Bakanlığı kararnameleri) bu mimariyi pekiştirir.

Kamu. Devlet kurumlarında AI agent kullanımı KVKK + Sayıştay denetimi + Devlet Sırrı Kanunu üçgeninde değerlendirilir. Vatandaş veri tabanına erişen herhangi bir agent yerel runtime + audit chain + erişim onay zinciri kombinasyonunu gerektirir. Yurt dışı bulut tek başına savunulamaz. Türk e-Devlet entegrasyonlarında veri yerleşimi TR-region şartı genelde sözleşme ile dayatılır.

Audit chain ne işe yarar?

Audit chain, ilk nesil Ilura’nın denetim omurgasıydı; kavram bugün de denetlenebilir AI tasarımının temel desenidir. Her agent kararı şu yapıyla bir kayda dönüşür: önceki kaydın SHA-256 hash’i + kayıt alanları (timestamp, agent_id, action, data_hash, decision) + ECDSA P-256 imza. Her yeni kayıt, önceki kaydı kriptografik olarak çapalar. Geri-tarihli müdahale matematiksel olarak imkansızdır: ortadaki bir kaydı değiştirmek sonraki tüm kayıtların hash’lerini bozar; hash’i yeniden hesaplamak için ECDSA özel anahtarı gerekir; ama o anahtar yerel keychain’de durur, audit zincirine erişimi yoktur.

Üç pratik fayda:

1. Veri ihlali bildirimi (KVKK §12). İhlal tespit edildiğinde 72 saat içinde KVK Kurul’a bildirim zorunlu. Audit chain’den son N gün taranır: hangi agent, hangi veriyi, hangi karar zincirinde işledi. Etkilenen kişisel veriler tespit edilir, ihlalin kapsamı sayısal kanıtla raporlanır — manuel log toplamaya gerek kalmaz.

2. Öz-denetim — agent kendi tarihini okur. İlk nesil Ilura audit chain’i agent’a okutmaya izin verirdi (sadece kendi kararlarını). “Geçen hafta hangi e-postayı yanlış göndermiştim?” sorusuna agent imzalı kayıttan bakıp yanıtlardı. Aynı fikir bugünkü Ilura’da kalıcı hafızayla yaşar: agent kendi onay/red geçmişini bilir, yanlışını hatırlar.

3. Mahkeme delili olarak kabul edilebilirlik. ECDSA P-256 imzalı, hash zincirli kayıt e-imza standartlarıyla uyumlu (5070 sayılı Elektronik İmza Kanunu çerçevesinde değerlendirilir). KVK Kurul denetiminde, tahkim sürecinde veya hukuki uyuşmazlıkta kanıt olarak sunulur. Hash zinciri integrity’si yargı bilirkişisi tarafından doğrulanabilir.

Retention politikası. Audit kayıtları tipik olarak 7 yıl saklanır (KVKK genel zaman aşımı; KAL kapsamı için 10 yıl). Süre dolduğunda otomatik silme akışı tetiklenir; silme yine imzalı kayıt bırakır (chain bozulmaz, eski kayıtlar arşive taşınır + plaintext alanları null’lanır, hash bütünlüğü korunur).

Audit chain’i agent’a okutmak. İlk nesil Ilura’nın özgün katmanıydı: agent kendi geçmişini denetlemek için audit chain’i kısıtlı yetkiyle okuyabilirdi. “Geçen ay e-postaların yüzde kaçında onayım gerekti?” sorusu agent tarafından sayısal yanıtla karşılanırdı. Bu öz-denetim fikri bugünkü üründe kalıcı hafıza üzerinden sürer.

Detay: doğrulamalı mimari.

Sona

KVKK çerçevesinde yapay zeka kullanmanın yapısal cevabı: mimari güvence — sözleşmesel önlemden öte, kanıtlanabilir uyumluluk. Bugünkü Ilura bu felsefenin en sade halini uygular: Apple Intelligence cihaz-üstü çalışır, kişisel veri işlenmek için iPhone’dan çıkmaz. Sağlık, hukuk, finans gibi denetlenen sektörlerde bu yapısal güvence varsayılandır.

Türkiye’de AI kullanmak hem mümkün hem güvenli — doğru çerçeveyle.

Kaynaklar

Sıkça sorulanlar

ChatGPT KVKK uyumlu mu?
Genel iş için Plus/Team ChatGPT sözleşmesel önlem (DPA + SCC) ile karşılanabilir. Ama veri ABD sunucusunda durur — KVKK §9 yurt dışı aktarımı sözleşmesel mekanizmayla kabul ediliyor; KAL kapsamı veya KVKK §6 (özel nitelikli) için yetersiz kalabilir. Enterprise SLA daha sertdir.
Yerel inference ne demek KVKK için?
Modelin senin makinende çalıştığı durumda kişisel veri makinen dışına hiç çıkmaz. KVKK §9 (yurt dışı aktarım) gerçekleşmez — yapısal güvence. Bu Ilura'nın temel mimari kararıdır.
PII maskeleme nasıl çalışır?
Hibrit kurgularda buluta örnek giderken kişisel veri (TC kimlik, telefon, IBAN, doğum tarihi, email) regex + NER ile otomatik tespit edilir ve placeholder'larla değiştirilir. İlk nesil Ilura bu tekniği kullanırdı; bugünkü Ilura'da veri zaten cihazdan çıkmadığı için maskelemeye gerek kalmaz.
Audit chain neye yarar?
Her agent kararı SHA-256 hash zincirine eklenir + ECDSA imzalanır. Sonradan değiştirilemez. KVKK denetiminde 'şu işlem yapıldı, kim onayladı, ne zaman' sorularına kanıt zinciri sunulur. Veri Aydınlatma metni ile uyumu denetlenebilir.
KVKK §6 (özel nitelikli) için yeterli mi?
Sağlık, biyometrik, ceza ya da güvenlik tedbirleri ile ilgili veriler özel niteliklidir. Bunlar için açık rıza + güvenlik önlemleri zorunlu. Cihaz-üstü işleme özel nitelikli veriyi hiç dışarı göndermez — Ilura'da Apple Intelligence cihazda çalışır. KVKK §6 yapısal uyumu mimaride.
KVKK denetimi durumunda ne yapacağım?
Cihaz-üstü mimaride denetimin ana sorusu sadeleşir: kişisel veri işlenmek için cihaz dışına çıkmaz, yurt dışı aktarım envanteri boştur. Aydınlatma, rıza ve envanter süreçleri veri sorumlusunun kendi tarafında yönetilir — AI katmanı için yapısal kanıt mimarinin kendisidir.
Veri sahibi 'sil' deyince ne olur?
Ilura'da agent'ın hafızası senin iPhone'unda — silme kontrolü tamamen sende ve çift onaylıdır. Şirket süreçlerindeki KVKK §11 hak kullanımı (erişim, düzeltme, silme, itiraz) veri sorumlusunun kendi sistemlerinde yönetilir.
KVKK ihlali olursa ne olur?
Cihaz-üstü mimaride kişisel verin bir sağlayıcı sunucusunda durmaz — ihlal yüzeyi yapısal olarak küçülür. KVKK §12'nin 72 saatlik bildirim yükümlülüğü, veri sorumlusunun kendi sistemlerindeki ihlaller için geçerliliğini korur.
Hangi sektörde yerel inference KVKK için zorunlu?
Sağlık (özel nitelikli veri — KVKK 6. madde), hukuk (gizlilik), finans (ticari sır + kişisel finansal veri). Bulut inference açık rıza ile mümkün ama yerel çalışma savunulabilir tercih.
Veri minimizasyonu agent için ne demek?
Agent görev için gerekli olmayan veriyi görmez. Pod izolasyonu ile dosya erişimi sınırlı, maskeleme ile TC/IBAN/e-posta hash'lenir. KVKK 4. madde 'gerektiği kadar' ilkesinin ürün karşılığı.

Devam etmek için

Doğrulamalı Mimari AI: Yapay Zekayı Güvenli Çalıştırmanın Temeli
Doğrulamalı (zero-trust) yapay zekada her işlem politika denetiminden geçer, kayda yazılır, yüksek riskte çift teyitle yetkilendirilir. Ilura'nın taşıyıcı kolonu.
Yerel Çalışan Yapay Zeka Nedir?
Yerel yapay zeka, bulut sunucuya değil — kendi cihazına çalışır. Veri makinen dışına çıkmaz, gecikme düşer, KVKK çerçevesi rahattır. Açık kaynak modeller, hibrit yaklaşımlar, ne zaman seçilir.
Yerel Veri Yerleşimi: Türkiye Sınırı İçinde AI Verisi
Yerel veri yerleşimi (data residency), kişisel verinin coğrafi olarak nerede saklandığı/işlendiği. KVKK §9 ve KAL kapsamında — kim ne saklar, nereye gider.
AI Veri Gizliliği
AI sistemlerinde veri gizliliği — verinin nerede işlendiği, kim eriştiği, kim sakladığı, KVKK çerçevesinde nasıl korunduğu. Temel kavramlar ve pratik.
Ilura — Türkiye'nin İlk Dijital Çalışan Tezgâhı
Ilura, kişisel AI agent'ını iPhone'unda yetiştirdiğin uygulama. Apple Intelligence ile cihaz-üstü çalışır, KVKK uyumlu — verin iPhone'undan çıkmaz. App Store'da.
yanındayım ← Tüm kavramlar