İçeriğe geç
Güvenlik, Etik ve Doğruluk Orta

AI ve Gizlilik: KVKK, GDPR Uyumlu Kullanım Rehberi

AI servislerinde kişisel veri: KVKK, GDPR, opt-out, self-hosted alternative. Pratik korunma.

YZ
Paylaş:
Gizlilik ve dijital güvenlik

AI = veri canavarı. Her prompt training data adayı. KVKK ve GDPR şart, korunma proaktif.

AI Servislerinin Veri Politikası

ServisDefaultOpt-outEnterprise
ChatGPT FreeTraining’e giderSettings-
ChatGPT PlusGitmez (30 gün retain)-Available
ChatGPT Enterprise0 retention-Default
Claude FreeGitmez (anti-CSAM filter)--
Claude ProGitmez-Available
GeminiTraining (default)SettingsWorkspace
DeepSeekÇin sunucu?-
Le ChatEU + GDPR-Available

KVKK Çerçevesi

KVKK madde 4 (genel ilkeler):
- Hukuka + dürüstlük
- Doğru + güncel
- Belirli amaç
- Sınırlı + ölçülü
- Gerekli süre

AI kullanımında uygulama:

Hangi veri 'kişisel'?
- Ad-soyad
- TCKN
- Adres
- Telefon
- Email
- IP adresi
- Biyometrik (yüz, ses, parmak izi)
- Sağlık bilgisi (hassas)
- Mali bilgi
- Konum verisi

AI'a verme = işleme
İşleme dayanağı şart:
- Açık rıza
- Sözleşme ifası
- Yasal yükümlülük
- Hayati menfaat
- Kamu yararı
- Meşru menfaat
"

GDPR (AB)

"GDPR esasları:

Veri sahip hakları:
- Erişim (Article 15)
- Düzeltme (16)
- Silme/unutulma (17)
- İşlemeyi kısıtla (18)
- Veri taşınabilirlik (20)
- İtiraz (21)
- Profillemeden korunma (22)

AI özel:
- Otomatik karar verme transparency
- Önemli etki = insan müdahale hakkı
- Algoritmik açıklama hakkı

Penalty:
- Major: €20M veya 4% revenue
- Minor: €10M veya 2%

DPA (Data Processing Agreement):
- AI servis kullanan şirket
- Sub-processor (OpenAI vb.)
- Data flow şeffaf
- Security measures listed
"

EU AI Act (2024+)

Detay: EU AI Act haberi

"EU AI Act + privacy:

High-risk AI (özel uygulamalar):
- HR / hiring
- Credit scoring
- Healthcare
- Insurance

Şartlar:
- Risk assessment
- Data governance
- Documentation
- Transparency
- Human oversight
- Accuracy + robustness

General Purpose AI:
- Transparency obligation
- Copyright respect
- Energy disclosure (large model)

Penalty:
- Up to €35M veya 7% revenue
"

Veri Sızdırma Risk

Senaryolar

"Risky kullanım:

❌ Müşteri verisi AI'a:
'Bu emaili kişiselleştir, müşteri Mehmet Yılmaz, TC: 12345678901'
→ KVKK ihlali

❌ İç bilgi paylaşımı:
'Yıl sonu mali rapor özeti çıkar' (rapor yapıştır)
→ Şirket iç bilgi sızdırma

❌ Çalışan veri:
'Bu performans değerlendirme yorumla' (real isim)
→ HR veri ihlali

❌ Sağlık verisi:
'Test sonucumu okur musun' (rapor yapıştır)
→ Sağlık veri (hassas KVKK)

❌ Şifre / token:
'Bu API key güvenli mi?'
→ Credential leak

✅ Safe:
- Anonimize ('müşteri X', 'şirket Y')
- Aggregate ('5 müşteri trend')
- Public info only
- Generic question
"

Detay: ChatGPT’ye Hangi Bilgi Yazılmamalı

Korunma Adımları

Bireysel

"Bireysel kullanıcı checklist:

ChatGPT (Plus tier):
1. Settings → Data Controls → 'Improve the model for everyone' OFF
2. Temporary chats kullan hassas için
3. Custom Instructions'da PII (TC, adres) yazma
4. Memory feature dikkatli

Claude:
- Default safer (no training)
- Memory + Projects: still your data

Gemini:
- Activity → Auto-delete (3 ay)
- Workspace: ayrı politika

Genel:
- Strong password
- 2FA
- Suspicious email reject
- Phishing check
"

Şirket

"Şirket için AI gizlilik framework:

1. Veri sınıflandırma:
   - Public (paylaşılabilir)
   - Internal
   - Confidential
   - Restricted (asla AI'a)

2. AI Kullanım Politikası:
   - Hangi tool izinli
   - Hangi veri tipi OK
   - Approval process (yeni tool)
   - Disclosure to customer

3. Technical controls:
   - DLP (Data Loss Prevention)
   - Enterprise plan (zero retention)
   - VPN + audit log
   - Single Sign-On

4. Training:
   - Employee aware
   - Mock incidents
   - Annual refresh

5. DPA + KVKK:
   - Vendor agreement
   - Sub-processor list
   - Breach notification
"

Self-Hosted Alternatif

"Open source LLM stack:

Hardware:
- M2 Max / M3 Pro Mac (32GB+)
- RTX 4090 PC
- A100 / H100 sunucu (enterprise)

Stack:
1. Ollama (model serving)
2. Open WebUI (interface)
3. Llama 3.3 70B, Mistral, Qwen
4. Embedding (BGE)
5. Vector DB (Chroma, Qdrant)
6. RAG framework (LangChain)

Avantaj:
- Veri makineden çıkmaz
- Tam kontrol
- Maliyet (zaten elektrik)

Dezavantaj:
- Cloud model kalitesinden düşük
- Setup zaman
- Maintenance

Use case:
- Hassas iç data
- Regulated industry
- Avukat / muhasebeci
- Healthcare
"

Detay: Hugging Face, Ücretsiz Alternatifler

AB Veri Merkezi

"GDPR compliant cloud AI:

EU-based servers:
- Mistral AI (FR)
- Aleph Alpha (DE)
- Anthropic EU (some)
- OpenAI Frankfurt region
- Azure EU regions

Veri orada kalır:
- Sub-processor visible
- Cross-border transfer kontrol
- Schrems II uyumu (ABD transfer hassas)
- SCC (Standard Contractual Clauses)
"

DPA Anlaşması

"AI servis ile DPA örnek başlıkları:

1. Veri tipi (kim, hangi PII)
2. Veri süresi (retention)
3. Veri lokasyonu (AB / dünya)
4. Sub-processor list
5. Security measures (encryption, access control)
6. Breach notification (24 saat)
7. Audit rights
8. Data subject request handling
9. Sub-processor change notification
10. Termination + data deletion

Hangi AI'da DPA mevcut:
- OpenAI Enterprise: ✅
- Anthropic Enterprise: ✅
- Google Workspace: ✅
- Microsoft Azure OpenAI: ✅
- Free / Plus tier: ❌ (kişisel kullanım dışı)
"

Çocuk Verisi

"Çocuk için ekstra koruma:

KVKK:
- 13 yaş altı: açık rıza ebeveyn
- Hassas veri = ekstra security

GDPR:
- Article 8: 16 yaş altı parental consent (TR farkı: 13)
- COPPA (ABD): 13

AI tool çocuk için:
- Education-grade
- No training on data
- Parental dashboard
- Age verification

Anti-pattern:
- Çocuk yüzü AI'a (Reface, deepfake risk)
- Çocuk konuşma kayıt
- Online sosyal AI (Character.AI 13+)
"

Detay: Anne-Baba Rehberi

İhlal Bildirimi

"Breach notification:

KVKK:
- 72 saat içinde Kuruma
- Veri sahiplerine 'gecikmeksizin'
- Genel format: kvkk.gov.tr

GDPR:
- 72 saat içinde DPA'ya
- Yüksek risk = veri sahibine de
- Detail rapor

İçerik:
- Olay tarihi
- Etkilenen veri (tip + sayı)
- Olası sonuç
- Alınan tedbir
- İletişim noktası

AI breach örneği:
- Şirket çalışanı müşteri DB ChatGPT'ye yapıştırdı
- ChatGPT'de log var
- Müşteri etkileme: olasılık
- Bildirim + iyileştirici aksiyon
"

Hak Talepleri

"Data subject hakkı talep:

Veri sorma:
- AI servisten 'hangi verim var?'
- ChatGPT export tool
- Google takeout
- Anthropic email request

Silme talebi:
- Account deletion (genel)
- Specific data deletion (modern privacy regulation)
- Vendor onaylı sertifika

Düzeltme:
- Incorrect data corrected
- Profile update

Cevap süresi:
- KVKK: 30 gün
- GDPR: 1 ay (+2 extension)
- Ücretsiz (1. talep)
"

Yaygın Hatalar

  1. Free tier’la hassas veri: Training risk
  2. DPA atlamak şirket: Vendor liability
  3. Anonimize görsel: Yüz hala identifies
  4. Çocuk için yetişkin AI: Hassas
  5. Training opt-out bilmemek: Default = açık
  6. Self-hosted ihmal: Çoğu hassas için OK
  7. KVKK 72 saat ignore: Penalty

Sonraki Adımlar

Özet

AI + gizlilik = proaktif koruma. Veri sınıflandır + sadece OK = AI’a, kalanı self-host. Şirket: DPA + Enterprise tier + politika. Anahtar: free tier hassas için yasak, opt-out ayarla, KVKK / GDPR uyum şart.

Paylaş:

Yapay zeka dünyasından haberdar olun

Haftalık özet bültenimize abone olun, en yeni rehberler ve araç incelemeleri direkt e-postanıza gelsin.

İstediğiniz zaman abonelikten çıkabilirsiniz.