AI ve Gizlilik: KVKK, GDPR Uyumlu Kullanım Rehberi
AI servislerinde kişisel veri: KVKK, GDPR, opt-out, self-hosted alternative. Pratik korunma.
AI = veri canavarı. Her prompt training data adayı. KVKK ve GDPR şart, korunma proaktif.
AI Servislerinin Veri Politikası
| Servis | Default | Opt-out | Enterprise |
|---|---|---|---|
| ChatGPT Free | Training’e gider | Settings | - |
| ChatGPT Plus | Gitmez (30 gün retain) | - | Available |
| ChatGPT Enterprise | 0 retention | - | Default |
| Claude Free | Gitmez (anti-CSAM filter) | - | - |
| Claude Pro | Gitmez | - | Available |
| Gemini | Training (default) | Settings | Workspace |
| DeepSeek | Çin sunucu | ? | - |
| Le Chat | EU + GDPR | - | Available |
KVKK Çerçevesi
KVKK madde 4 (genel ilkeler):
- Hukuka + dürüstlük
- Doğru + güncel
- Belirli amaç
- Sınırlı + ölçülü
- Gerekli süre
AI kullanımında uygulama:
Hangi veri 'kişisel'?
- Ad-soyad
- TCKN
- Adres
- Telefon
- Email
- IP adresi
- Biyometrik (yüz, ses, parmak izi)
- Sağlık bilgisi (hassas)
- Mali bilgi
- Konum verisi
AI'a verme = işleme
İşleme dayanağı şart:
- Açık rıza
- Sözleşme ifası
- Yasal yükümlülük
- Hayati menfaat
- Kamu yararı
- Meşru menfaat
"
GDPR (AB)
"GDPR esasları:
Veri sahip hakları:
- Erişim (Article 15)
- Düzeltme (16)
- Silme/unutulma (17)
- İşlemeyi kısıtla (18)
- Veri taşınabilirlik (20)
- İtiraz (21)
- Profillemeden korunma (22)
AI özel:
- Otomatik karar verme transparency
- Önemli etki = insan müdahale hakkı
- Algoritmik açıklama hakkı
Penalty:
- Major: €20M veya 4% revenue
- Minor: €10M veya 2%
DPA (Data Processing Agreement):
- AI servis kullanan şirket
- Sub-processor (OpenAI vb.)
- Data flow şeffaf
- Security measures listed
"
EU AI Act (2024+)
Detay: EU AI Act haberi
"EU AI Act + privacy:
High-risk AI (özel uygulamalar):
- HR / hiring
- Credit scoring
- Healthcare
- Insurance
Şartlar:
- Risk assessment
- Data governance
- Documentation
- Transparency
- Human oversight
- Accuracy + robustness
General Purpose AI:
- Transparency obligation
- Copyright respect
- Energy disclosure (large model)
Penalty:
- Up to €35M veya 7% revenue
"
Veri Sızdırma Risk
Senaryolar
"Risky kullanım:
❌ Müşteri verisi AI'a:
'Bu emaili kişiselleştir, müşteri Mehmet Yılmaz, TC: 12345678901'
→ KVKK ihlali
❌ İç bilgi paylaşımı:
'Yıl sonu mali rapor özeti çıkar' (rapor yapıştır)
→ Şirket iç bilgi sızdırma
❌ Çalışan veri:
'Bu performans değerlendirme yorumla' (real isim)
→ HR veri ihlali
❌ Sağlık verisi:
'Test sonucumu okur musun' (rapor yapıştır)
→ Sağlık veri (hassas KVKK)
❌ Şifre / token:
'Bu API key güvenli mi?'
→ Credential leak
✅ Safe:
- Anonimize ('müşteri X', 'şirket Y')
- Aggregate ('5 müşteri trend')
- Public info only
- Generic question
"
Detay: ChatGPT’ye Hangi Bilgi Yazılmamalı
Korunma Adımları
Bireysel
"Bireysel kullanıcı checklist:
ChatGPT (Plus tier):
1. Settings → Data Controls → 'Improve the model for everyone' OFF
2. Temporary chats kullan hassas için
3. Custom Instructions'da PII (TC, adres) yazma
4. Memory feature dikkatli
Claude:
- Default safer (no training)
- Memory + Projects: still your data
Gemini:
- Activity → Auto-delete (3 ay)
- Workspace: ayrı politika
Genel:
- Strong password
- 2FA
- Suspicious email reject
- Phishing check
"
Şirket
"Şirket için AI gizlilik framework:
1. Veri sınıflandırma:
- Public (paylaşılabilir)
- Internal
- Confidential
- Restricted (asla AI'a)
2. AI Kullanım Politikası:
- Hangi tool izinli
- Hangi veri tipi OK
- Approval process (yeni tool)
- Disclosure to customer
3. Technical controls:
- DLP (Data Loss Prevention)
- Enterprise plan (zero retention)
- VPN + audit log
- Single Sign-On
4. Training:
- Employee aware
- Mock incidents
- Annual refresh
5. DPA + KVKK:
- Vendor agreement
- Sub-processor list
- Breach notification
"
Self-Hosted Alternatif
"Open source LLM stack:
Hardware:
- M2 Max / M3 Pro Mac (32GB+)
- RTX 4090 PC
- A100 / H100 sunucu (enterprise)
Stack:
1. Ollama (model serving)
2. Open WebUI (interface)
3. Llama 3.3 70B, Mistral, Qwen
4. Embedding (BGE)
5. Vector DB (Chroma, Qdrant)
6. RAG framework (LangChain)
Avantaj:
- Veri makineden çıkmaz
- Tam kontrol
- Maliyet (zaten elektrik)
Dezavantaj:
- Cloud model kalitesinden düşük
- Setup zaman
- Maintenance
Use case:
- Hassas iç data
- Regulated industry
- Avukat / muhasebeci
- Healthcare
"
Detay: Hugging Face, Ücretsiz Alternatifler
AB Veri Merkezi
"GDPR compliant cloud AI:
EU-based servers:
- Mistral AI (FR)
- Aleph Alpha (DE)
- Anthropic EU (some)
- OpenAI Frankfurt region
- Azure EU regions
Veri orada kalır:
- Sub-processor visible
- Cross-border transfer kontrol
- Schrems II uyumu (ABD transfer hassas)
- SCC (Standard Contractual Clauses)
"
DPA Anlaşması
"AI servis ile DPA örnek başlıkları:
1. Veri tipi (kim, hangi PII)
2. Veri süresi (retention)
3. Veri lokasyonu (AB / dünya)
4. Sub-processor list
5. Security measures (encryption, access control)
6. Breach notification (24 saat)
7. Audit rights
8. Data subject request handling
9. Sub-processor change notification
10. Termination + data deletion
Hangi AI'da DPA mevcut:
- OpenAI Enterprise: ✅
- Anthropic Enterprise: ✅
- Google Workspace: ✅
- Microsoft Azure OpenAI: ✅
- Free / Plus tier: ❌ (kişisel kullanım dışı)
"
Çocuk Verisi
"Çocuk için ekstra koruma:
KVKK:
- 13 yaş altı: açık rıza ebeveyn
- Hassas veri = ekstra security
GDPR:
- Article 8: 16 yaş altı parental consent (TR farkı: 13)
- COPPA (ABD): 13
AI tool çocuk için:
- Education-grade
- No training on data
- Parental dashboard
- Age verification
Anti-pattern:
- Çocuk yüzü AI'a (Reface, deepfake risk)
- Çocuk konuşma kayıt
- Online sosyal AI (Character.AI 13+)
"
Detay: Anne-Baba Rehberi
İhlal Bildirimi
"Breach notification:
KVKK:
- 72 saat içinde Kuruma
- Veri sahiplerine 'gecikmeksizin'
- Genel format: kvkk.gov.tr
GDPR:
- 72 saat içinde DPA'ya
- Yüksek risk = veri sahibine de
- Detail rapor
İçerik:
- Olay tarihi
- Etkilenen veri (tip + sayı)
- Olası sonuç
- Alınan tedbir
- İletişim noktası
AI breach örneği:
- Şirket çalışanı müşteri DB ChatGPT'ye yapıştırdı
- ChatGPT'de log var
- Müşteri etkileme: olasılık
- Bildirim + iyileştirici aksiyon
"
Hak Talepleri
"Data subject hakkı talep:
Veri sorma:
- AI servisten 'hangi verim var?'
- ChatGPT export tool
- Google takeout
- Anthropic email request
Silme talebi:
- Account deletion (genel)
- Specific data deletion (modern privacy regulation)
- Vendor onaylı sertifika
Düzeltme:
- Incorrect data corrected
- Profile update
Cevap süresi:
- KVKK: 30 gün
- GDPR: 1 ay (+2 extension)
- Ücretsiz (1. talep)
"
Yaygın Hatalar
- Free tier’la hassas veri: Training risk
- DPA atlamak şirket: Vendor liability
- Anonimize görsel: Yüz hala identifies
- Çocuk için yetişkin AI: Hassas
- Training opt-out bilmemek: Default = açık
- Self-hosted ihmal: Çoğu hassas için OK
- KVKK 72 saat ignore: Penalty
Sonraki Adımlar
Özet
AI + gizlilik = proaktif koruma. Veri sınıflandır + sadece OK = AI’a, kalanı self-host. Şirket: DPA + Enterprise tier + politika. Anahtar: free tier hassas için yasak, opt-out ayarla, KVKK / GDPR uyum şart.
Yapay zeka dünyasından haberdar olun
Haftalık özet bültenimize abone olun, en yeni rehberler ve araç incelemeleri direkt e-postanıza gelsin.
İstediğiniz zaman abonelikten çıkabilirsiniz.
Benzer Rehberler

AI Deepfake Tespiti: Sahte Video ve Sesleri Anlama
Deepfake nedir, nasıl tanırız, korunma yolları, C2PA, yasal düzenlemeler, eğitim.

ChatGPT'ye Hangi Bilgiler Yazılmamalı? Veri Gizliliği ve KVKK Rehberi
ChatGPT, Claude ve diğer yapay zeka araçlarına vermemeniz gereken hassas bilgiler, KVKK riskleri ve güvenli kullanım için pratik öneriler.

AI Bağımlılığı: Sağlıklı Kullanım ve Sınırlar
AI bağımlılığı belirtileri, dijital iyilik, çocuk + yetişkin sınırları, terapi ne zaman.