sözlük girişi K · kvkk-uyumu 5 dk okuma

KVKK uyumu

Diğer adlandırmalar: KVKK , Türkiye veri koruma , kişisel veri yapay zeka

Yazan · Ilura ekibi Güncellendi · 30 Nisan 2026 Türkçe · tr-TR

KVKK kısaca

KVKK — Kişisel Verilerin Korunması Kanunu, Türkiye’nin 2016’da yürürlüğe giren temel veri koruma yasası. AB GDPR’ına paralel ama daha sade. Altı temel ilke:

  1. Hukuka ve dürüstlük kuralına uygunluk — meşru bir hukuki temele dayanma.
  2. Doğruluk — veriyi güncel tutma.
  3. Belirli, açık ve meşru amaç — niye işleniyor, nereye kadar.
  4. Ölçülülük — gereğinden fazlasını işlememe.
  5. Süre — gereken süre kadar saklama.
  6. Güncellik — yanlış veri varsa düzeltme.

Bunlar yapay zekâya da geçerlidir — yapay zekâ “özel düzenleme” değil.

Yapay zekânın KVKK’ya beş zorluğu

Yapay zekâ KVKK ile beş ana eksende çelişebilir:

  1. Veri minimizasyonu — LLM’lere “her şey gönder” eğilimi.
  2. Amaç sınırlaması — eğitim için toplanan veri çıkarımda da kullanılabilir mi?
  3. Saklama — model ağırlıklarına gömülen veri silinebilir mi?
  4. Yurt dışı aktarma — bulut LLM’leri çoğu zaman ABD/AB’de.
  5. Otomatik karar — KVKK m.11 → kullanıcının itiraz hakkı.

Bu zorluklar mimari kararla çözülmeli — politika ile değil.

Ilura’nın yerel-veri mimarisi

Ilura beş zorluğu yerel-veri-yerel-eğitim mimarisiyle çözer:

1) Veri minimizasyonu

Bellek senin makinende. Yerel model çoğu işlemi yerel yapar. Eğitmene sadece özet ve onaylanan örnekler gider — ham dosya değil.

2) Amaç sınırlaması

Tezgah her veri akışını işaretli tutar:

  • Eğitim akışı (eğitmene gider)
  • Sohbet akışı (sadece yerel)
  • Yedek akışı (şifreli, opsiyonel)

Karışık değil; her veri parçasının amacı belli.

3) Saklama süresi

Bellekte her kayıt için TTL (yaşam süresi) tanımlayabilirsin. Otomatik silme zamanlayıcısı çalışır. Manuel silme her zaman mümkün — çift onayla, kalıcı.

4) Yurt dışı aktarma

Eğitmen seçimini sen yaparsın. Ilura Avrupa veri merkezi olan provider’ları açıkça işaretler. Türkiye veri merkezi olan eğitmenler için Azure OpenAI hattı destekleniyor (Türkiye Bölgesi).

5) Otomatik karar

Ilura’da otomatik karar yok. Her risk-medium ve üzeri işlem kullanıcı onayı gerektirir. Bu KVKK m.11/g (otomatik kararlara itiraz hakkı) sorununu kaynağında çözer — otomatik karar zaten yok.

PII maskeleme

Eğitmen modele veri giderken PII maskeleme otomatik uygulanır:

  • TC kimlik no → TC[masked]
  • IBAN → TR-XX-***
  • Telefon → +90-***
  • Email → ***@domain.tr

Bu listeye kendi alanlarını ekleyebilirsin. Maskeleme yerelde yapılır; eğitmen ham veriyi hiç görmez.

Audit log — kanıt zinciri

Her bulut çağrısı, her tool eylemi, her bellek değişimi imzalı SHA-256 hash zinciri olarak kaydedilir:

event_id, timestamp, user_id, action,
data_categories, model, response_summary,
prev_hash, current_hash, signature

Bir kararın geriye dönük doğrulaması mümkündür. KVKK denetiminde “bu işlemin meşru hukuki temeli neydi?” sorusuna kanıtlanabilir cevap verir.

Kurumsal sözleşme (DPA)

Kurumsal kullanımda Ilura standart bir DPA — Data Processing Agreement sunar. Bu sözleşmede:

  • Veri Sorumlusu: kullanıcı şirket
  • Veri İşleyen: Ilura
  • İşlenen veriler: yalnızca açık rıza ile gönderilen örnekler
  • Saklama: müşterinin TTL kararı
  • Silme: kullanıcı kararı, kalıcı

Bu standart sözleşme iletişim sayfasından talep edilebilir.

Ilura ≠ KVKK uyum sertifikası

Ilura bir araçtır, sertifika değil. KVKK uyum sertifikası KVKK Kurumu (Kişisel Verileri Koruma Kurulu) tarafından verilir. Ilura sana uyum için gerekli teknik altyapıyı sunar; sertifikalandırma süreci kullanıcının kendi hukuk müşaviriyle yürütülür.

Yaygın yanılgılar

“Bulut yapay zekâ = otomatik KVKK ihlali.” — Hayır. KVKK uygun sözleşme + Yurt Dışı Aktarma temeli + şeffaflıkla bulut da uyumlu olabilir. Ama mimari yerel olduğunda belirsizlik kalkar.

“PII maskeleme yeterli.” — Tek başına değil. Maskeleme + audit log + amaç sınırlaması + saklama süresi birlikte uyumu kurar.

“KVKK sadece Türkiye için.” — Hayır. AB GDPR ile büyük örtüşme var; KVKK uyumlu bir mimari çoğu zaman GDPR’a da yakın.

Sıkça sorulanlar

KVKK yapay zekâya nasıl uygulanır?
Yapay zekâ ‘özel düzenleme’ değil; KVKK'nın altı temel ilkesi (hukuka uygunluk, doğruluk, amaç sınırlaması, ölçülülük, saklama süresi, güncelleme) yapay zekâya da uygulanır. Veriyi işleyen sistem fark etmez.
Ilura KVKK uyumunu nasıl iddia ediyor?
Politika değil mimari uyum. Yerel modelde veri makinende kalır (veri minimizasyonu); eğitmen modele sadece sen onayladığın örnekler gider (açık rıza); her bulut çağrısı audit log'a yazılır (sorumluluk); bellek dışa aktarılabilir (taşınabilirlik); silinebilir (hak).
Bulut yapay zekâ KVKK'ya aykırı mı?
Otomatik aykırı değil — sözleşmeli ve şeffaf yapılırsa uyumlu olabilir. Ama veri yurt dışına çıkıyorsa Yurt Dışına Aktarma için ek hukuki temel gerekir (KVKK m.9).
Ilura KVKK denetimine kanıt sağlıyor mu?
Audit log imzalı SHA-256 zinciri olarak saklanır. Bir kararın hangi veriyle, hangi modelle, ne zaman alındığı geriye dönük doğrulanabilir. Bu KVKK m.12 (veri güvenliği) için somut kanıt.
Kurumsal kullanımda ek bir gereklilik var mı?
Veri Sorumlusu sıfatı sende kalır. Ilura veri işleyen — ama veri görmüyor (yerel mimari). Sözleşme ekinde bu rol netleştirilmeli; Ilura standart bir DPA (data processing agreement) sunuyor.

İlgili terimler

Sıfır-güven
Hiçbir veri varsayılan olarak güvenilmez ilkesi. KVKK uyumlu Ilura mimarisinin temeli: yerel veri, açık eğitim onayı, taşınabilir bellek.
Yerel model
Senin makinende çalışan, dışarı veri çıkarmayan dil modeli. Ollama ile indirilir. Agent'ın bedeni — eğitmen modelin terbiye ettiği yer.
Eğitmen model
Yerel agent'ı eğiten bulut model. Claude, Gemini ya da ChatGPT'den biri olabilir. API anahtarınla bağlanır; veriyi gören tek bulut taraf budur.
Bellek
Agent'ın oturumlar arası taşıdığı, seni tanıyan kalıcı kayıt. Bağlam penceresi değil — yıllarca uzayan, taşınabilir, dışa aktarılabilir bir doku.
yanındayım ← Tüm sözlük