sözlük girişi K · kvkk-uyumu 5 dk okuma

KVKK uyumu

Diğer adlandırmalar: KVKK , Türkiye veri koruma , kişisel veri yapay zeka

Yazan · Ilura ekibi Güncellendi · 10 Haziran 2026 Türkçe · tr-TR

KVKK kısaca

KVKK — Kişisel Verilerin Korunması Kanunu, Türkiye’nin 2016’da yürürlüğe giren temel veri koruma yasası. AB GDPR’ına paralel ama daha sade. Altı temel ilke:

  1. Hukuka ve dürüstlük kuralına uygunluk — meşru bir hukuki temele dayanma.
  2. Doğruluk — veriyi güncel tutma.
  3. Belirli, açık ve meşru amaç — niye işleniyor, nereye kadar.
  4. Ölçülülük — gereğinden fazlasını işlememe.
  5. Süre — gereken süre kadar saklama.
  6. Güncellik — yanlış veri varsa düzeltme.

Bunlar yapay zekâya da geçerlidir — yapay zekâ “özel düzenleme” değil.

Yapay zekânın KVKK’ya beş zorluğu

Yapay zekâ KVKK ile beş ana eksende çelişebilir:

  1. Veri minimizasyonu — LLM’lere “her şey gönder” eğilimi.
  2. Amaç sınırlaması — eğitim için toplanan veri çıkarımda da kullanılabilir mi?
  3. Saklama — model ağırlıklarına gömülen veri silinebilir mi?
  4. Yurt dışı aktarma — bulut LLM’leri çoğu zaman ABD/AB’de.
  5. Otomatik karar — KVKK m.11 → kullanıcının itiraz hakkı.

Bu zorluklar mimari kararla çözülmeli — politika ile değil.

Ilura’nın cihaz-üstü mimarisi

Ilura beş zorluğu cihaz-üstü işleme ile çözer:

1) Veri minimizasyonu

Bellek senin iPhone’unda. Apple Intelligence işlemleri cihazda yapar; işlenmek üzere buluta giden kişisel veri yok. Agent da yalnız görevi için gerekeni görür — sınırlar tanımında ve Playbook’larında.

2) Amaç sınırlaması

Her erişim göreve bağlıdır: agent’ın neye bakacağı, neye asla dokunmayacağı tanımında yazılıdır. Karışık değil; her veri parçasının amacı belli.

3) Saklama süresi

Hafıza üzerinde son söz senin: yanlış kaydı düzeltirsin, istemediğini silersin. Manuel silme her zaman mümkün — çift onayla, kalıcı.

4) Yurt dışı aktarma

Yapısal cevap: kişisel veri işlenmek için cihazdan çıkmaz; yurt dışı aktarım gerçekleşmez. KVKK m.9’un mekanizmalarına (yeterlilik kararı, SCC, BCR) gerek kalmaz.

(İlk nesil Ilura’da bu eksen eğitmen seçimiyle yönetilirdi — Avrupa/Türkiye veri merkezli sağlayıcılar işaretlenir, eğitime giden örnekler PII maskelemesinden geçerdi: TC → TC[masked], IBAN → TR-XX-*** gibi. Cihaz-üstü dönemde maskelenecek bir aktarım yok.)

5) Otomatik karar

Ilura’da otomatik karar yok. Riskli işlem kullanıcı onayı gerektirir. Bu KVKK m.11/g (otomatik kararlara itiraz hakkı) sorununu kaynağında çözer — otomatik karar zaten yok.

Kanıt — mimarinin kendisi

İlk nesil Ilura denetim kanıtını imzalı SHA-256 hash zinciriyle üretirdi; her bulut çağrısı ve tool eylemi kayda geçerdi. Bugünkü cihaz-üstü mimaride en güçlü kanıt yapının kendisidir: Ilura’nın sunucusunda kişisel veri yoktur, “bu veri nereye gitti?” sorusunun cevabı baştan bellidir — hiçbir yere.

Kurumsal kullanımda roller

Cihaz-üstü mimaride rol dağılımı sadeleşir:

  • Veri Sorumlusu: kullanıcı şirket (kendi süreçleri için)
  • Ilura: kişisel veri görmez — cihaz-üstü işleme
  • Çalışanın agent’ı: kişisel cihazında, kişisel hafızasıyla
  • Silme: kullanıcı kararı, çift onaylı, kalıcı

Bu standart sözleşme iletişim sayfasından talep edilebilir.

Ilura ≠ KVKK uyum sertifikası

Ilura bir araçtır, sertifika değil. KVKK uyum sertifikası KVKK Kurumu (Kişisel Verileri Koruma Kurulu) tarafından verilir. Ilura sana uyum için gerekli teknik altyapıyı sunar; sertifikalandırma süreci kullanıcının kendi hukuk müşaviriyle yürütülür.

Yaygın yanılgılar

“Bulut yapay zekâ = otomatik KVKK ihlali.” — Hayır. KVKK uygun sözleşme + Yurt Dışı Aktarma temeli + şeffaflıkla bulut da uyumlu olabilir. Ama mimari yerel olduğunda belirsizlik kalkar.

“PII maskeleme yeterli.” — Tek başına değil. Maskeleme + audit log + amaç sınırlaması + saklama süresi birlikte uyumu kurar.

“KVKK sadece Türkiye için.” — Hayır. AB GDPR ile büyük örtüşme var; KVKK uyumlu bir mimari çoğu zaman GDPR’a da yakın.

Sıkça sorulanlar

KVKK yapay zekâya nasıl uygulanır?
Yapay zekâ ‘özel düzenleme’ değil; KVKK'nın altı temel ilkesi (hukuka uygunluk, doğruluk, amaç sınırlaması, ölçülülük, saklama süresi, güncelleme) yapay zekâya da uygulanır. Veriyi işleyen sistem fark etmez.
Ilura KVKK uyumunu nasıl iddia ediyor?
Politika değil mimari uyum. Apple Intelligence cihaz-üstü çalışır — kişisel veri işlenmek için iPhone'dan çıkmaz (veri minimizasyonu + yurt dışı aktarım yok); riskli eylem onaysız akmaz (açık rıza); onay/red geçmişi hafızada izlenir (sorumluluk); bellek görülebilir ve silinebilir (hak).
Bulut yapay zekâ KVKK'ya aykırı mı?
Otomatik aykırı değil — sözleşmeli ve şeffaf yapılırsa uyumlu olabilir. Ama veri yurt dışına çıkıyorsa Yurt Dışına Aktarma için ek hukuki temel gerekir (KVKK m.9).
Ilura KVKK denetimine kanıt sağlıyor mu?
En güçlü kanıt mimarinin kendisi: kişisel veri Ilura sunucusunda durmaz, işlenmek için cihazdan çıkmaz. Yurt dışı aktarım envanteri yapısal olarak boştur — denetimin en zor sorusu baştan cevaplıdır.
Kurumsal kullanımda ek bir gereklilik var mı?
Veri Sorumlusu sıfatı şirkette kalır. Ilura cihaz-üstü mimaride kişisel veri görmez; şirketin aydınlatma ve rıza süreçleri kendi sistemleri için yürür. Kişisel cihazda (BYOD) kullanım bu rolü sadeleştirir.

İlgili terimler

Doğrulamalı
Hiçbir veri varsayılan olarak güvenilmez ilkesi. KVKK uyumlu Ilura mimarisinin temeli: cihaz-üstü veri, açık onay, kullanıcıya ait bellek.
Yerel model
Senin makinende çalışan, dışarı veri çıkarmayan dil modeli. Ollama ile indirilir. Agent'ın bedeni — eğitmen modelin terbiye ettiği yer.
Eğitmen model
Öğrenci/eğitmen kurgusunda yerel modeli eğiten bulut model. İlk nesil Ilura'nın çekirdek kavramıydı; bugünkü Ilura cihaz-üstü öğrenir, eğitmen gerekmez.
Bellek
Agent'ın oturumlar arası taşıdığı, seni tanıyan kalıcı kayıt. Bağlam penceresi değil — yıllarca uzayan, cihazında yaşayan bir doku.
yanındayım ← Tüm sözlük