Yapay zeka araçları; metin, görsel, kod ve karar önerisi üretiminde günlük iş akışının parçası haline geldi. Bu hız, önemli bir soruyu çoğu zaman gölgede bırakıyor: üretilen çıktı bir zarara yol açarsa sorumluluk kimde? "Aracı ben yapmadım, sadece kullandım" düşüncesi yaygın; ancak hukuken yanıltıcıdır. Yapay zeka hukuku, tam da bu sorumluluk ilişkilerinin — geliştirici, sağlayıcı ve kullanıcı arasındaki dağılımın — netleştirilmesiyle ilgilenir.

Üstelik bu sorular yalnızca teknoloji şirketlerini ilgilendirmiyor. Müşteri e-postalarını taslak haline getiren bir emlak ofisi, ürün görsellerini üretken araçlarla hazırlayan bir e-ticaret girişimi ya da sözleşme özetleri çıkaran bir muhasebe bürosu; farkında olsun ya da olmasın, aynı sorumluluk sorularının muhatabıdır. Aracın küçük ya da ücretsiz olması, doğurduğu hukuki sonucu küçültmez.
Çıktıyı kullanan, sonucun da muhatabıdır
Genel ilke şudur: bir aracın ürettiği içeriği kendi iş ve işlemlerinde kullanan kişi ya da işletme, o içeriğin doğurduğu sonuçlardan üçüncü kişilere karşı kural olarak kendisi sorumludur. Müşterisine yapay zekanın ürettiği hatalı teknik bilgiyle yanıt veren bir firma, "bunu araç yazdı" diyerek sorumluluktan kurtulamaz. Aracın sağlayıcısına karşı ileri sürülebilecek talepler ayrı bir konudur ve büyük ölçüde taraflar arasındaki sözleşmeye, kullanım koşullarına bağlıdır.
Hatalı çıktının doğurabileceği zarar türleri
Riskler soyut değildir. Yanlış bilgi içeren bir rapor müşteriyi hatalı yatırıma yönlendirebilir ve ticari zarara yol açabilir. Gerçek bir kişi hakkında üretilmiş asılsız ifadeler kişilik haklarını ihlal edebilir. Otomatik üretilen bir görselin gerçek bir kişiye benzemesi ya da bir markayı çağrıştırması ayrı uyuşmazlık başlıkları doğurur. İşe alım, kredi veya fiyatlama gibi süreçlerde kullanılan modellerin belirli grupları sistematik biçimde dezavantajlı bırakması, ayrımcılık tartışmalarını gündeme getirir. Bu örneklerin ortak noktası, zararın "yapay zeka hatası" olarak değil, onu kullanan sürecin hatası olarak hukuk düzenine yansımasıdır.
Telif ve içerik üretimi boyutu
Üretken modeller büyük veri kümeleriyle eğitilir ve çıktının mevcut eserlere benzeşmesi ihtimali her zaman vardır. Bir içeriğin yapay zeka ile üretilmiş olması, üçüncü kişilerin fikri haklarını ihlal etmediği anlamına gelmez; benzer şekilde, üretilen her çıktının kullanıcı lehine tam bir eser koruması sağlayacağı da söylenemez. Ticari kullanımlarda çıktının özgünlüğünün gözden geçirilmesi, kaynak ve benzerlik kontrolü yapılması, kullanılan aracın lisans koşullarının okunması gerekir. "Aracın kullanım şartları" çoğu işletmenin hiç okumadığı, ancak uyuşmazlık halinde ilk bakılan metindir.
Kişisel veriler ve KVKK boyutu
Uygulamadaki en yaygın risklerden biri, çalışanların müşteri bilgilerini, sözleşmeleri veya kimlik verilerini üçüncü taraf yapay zeka araçlarına girmesidir. Bu davranış, kişisel verilerin üçüncü kişilere ve çoğu zaman yurt dışına aktarılması anlamına gelebilir. 6698 sayılı Kişisel Verilerin Korunması Kanunu; işlemenin hukuka uygun bir sebebe dayanmasını, ilgili kişilerin aydınlatılmasını ve veri güvenliğinin sağlanmasını gerektirir. Ayrıca ilgili kişilerin, verilerinin otomatik sistemler aracılığıyla analiz edilmesi sonucu aleyhlerine bir sonuç doğmasına itiraz etme hakkı da kanunda düzenlenmiştir. Yapay zeka kullanımı planlanırken hangi veri kategorilerinin bu araçlara girilebileceği baştan belirlenmelidir; en güvenli yaklaşım, kişisel veriyi mümkün olduğunca hiç girmemektir.
İşletmeler için iç politika ihtiyacı
Kurumsal risk, çoğu zaman kötü niyetten değil belirsizlikten doğar. Hangi araçların kullanılabileceği, hangi veri türlerinin kesinlikle girilemeyeceği, hangi çıktıların insan onayı olmadan müşteriye gidemeyeceği ve kullanımın nasıl kayıt altına alınacağı yazılı bir iç politikaya bağlanmalıdır. "İnsan denetimi" (çıktının yetkili bir kişi tarafından kontrolü) özellikle hukuki, mali ve sağlıkla ilgili içeriklerde vazgeçilmez bir güvencedir.
Sözleşmelerde yapay zeka hükümleri
İki yönlü düşünmek gerekir. Tedarikçi tarafında: kullanılan yapay zeka hizmetinin sağlayıcısıyla yapılan sözleşmede verinin nerede işlendiği, model eğitiminde kullanılıp kullanılmadığı, gizlilik ve sorumluluk sınırları netleştirilmelidir. Müşteri tarafında: hizmet üretiminde yapay zekadan yararlanılıyorsa bunun sözleşmede açıkça belirtilmesi, çıktıların doğrulanma usulünün ve sorumluluk paylaşımının yazılması ileride çıkacak "bunu bize insan mı hazırladı?" tartışmalarını baştan önler. Otomatik karar süreçleri kullanılıyorsa, karara itiraz ve insan incelemesi mekanizması da tanımlanmalıdır.
Üç kısa örnekle risklerin somutlaşması
Birinci örnek: bir e-ticaret sitesinin müşteri hizmetleri sohbet robotu, iade süresi konusunda gerçekte olmayan bir hak tanımlasın. Müşteri bu beyana güvenerek işlem yaptığında, işletmenin "robot yanlış söylemiş" savunması dinlenmez; beyan, işletmenin beyanı sayılır. İkinci örnek: bir ajans, kampanya görselini üretken bir araçla hazırlasın ve görseldeki yüz gerçek bir kişiye belirgin biçimde benzesin. Kişilik hakları tartışması, görselin nasıl üretildiğinden bağımsız olarak ajansın ve reklam verenin kapısını çalar. Üçüncü örnek: bir şirketin işe alım ön elemesinde kullandığı model, belirli bir gruba ait adayları sistematik olarak elesin. Sonuç, "algoritma böyle skorladı" açıklamasıyla değil, işverenin eşit davranma yükümlülüğü çerçevesinde değerlendirilir. Üç örneğin ortak dersi aynıdır: çıktı üzerindeki kontrol kimdeyse, risk de ondadır.
Kurum içi politika için kontrol listesi
- Onaylı araç listesi: hangi yapay zeka hizmetleri, hangi amaçlarla kullanılabilir?
- Veri sınırları: kişisel veri, müşteri sırrı ve ticari sır hangi koşulda girilebilir, hangileri asla girilemez?
- İnsan onayı: hangi çıktılar kontrol edilmeden müşteriye, kamuya veya resmî mercilere gidemez?
- Kayıt: kritik süreçlerde hangi aracın, ne zaman, hangi girdiyle kullanıldığı nasıl belgelenecek?
- Eğitim: çalışanlar riskler ve kurallar konusunda hangi aralıklarla bilgilendirilecek?
- İhlal prosedürü: yanlış veri girişi veya hatalı çıktı fark edildiğinde kim, hangi adımları atacak?
Bu başlıkların bir sayfalık bir politika metnine dönüştürülmesi bile, kurumsal riskin önemli bölümünü görünür ve yönetilebilir hale getirir.
Dikkat edilmesi gereken noktalar
Yapay zeka hizmetlerinin kullanım koşulları tek taraflı olarak güncellenebilmektedir; kritik süreçlerde kullanılan araçların koşullarındaki değişikliklerin takip edilmesi gerekir. Ücretsiz sürümler ile kurumsal sürümler arasında, verilerin model eğitiminde kullanılması bakımından önemli farklar bulunabilir; işletme verisiyle çalışılacaksa bu ayrım sözleşme düzeyinde netleştirilmelidir. Son olarak, bu alandaki düzenlemeler dünyada ve Türkiye'de hızla gelişmektedir; bugün kurulan yapının belirli aralıklarla gözden geçirilmesi, yapay zeka hukuku alanındaki değişikliklere uyumun sürdürülmesi açısından gereklidir.
Yapay zeka hukuku neden giderek önem kazanıyor?
Bu alanın büyümesi bir moda değil, zorunluluk. Yapay zeka araçları sözleşme taslaklarından müşteri iletişimine, üretim planlamasından işe alıma kadar karar süreçlerinin içine yerleşiyor; buna paralel olarak dünyada ve Türkiye'de düzenleyici çerçeve hızla şekilleniyor. Kişisel verilerin korunması otoritelerinin rehber ve kararları, sektörel düzenlemeler ve uluslararası mevzuat gelişmeleri, işletmelerin "sonra bakarız" diyebileceği alanı her geçen gün daraltıyor. Yapay zeka hukuku; teknolojinin işleyişini, veri koruma kurallarını ve klasik sorumluluk ilkelerini aynı masada değerlendirmeyi gerektirdiği için, bu araçları yoğun kullanan her ölçekten işletmenin gündeminde kalıcı bir başlık haline gelmiş durumda.
Pratik not: Kurumunuzda yapay zeka kullanılıyorsa tek sayfalık bir kullanım politikası bile fark yaratır: izinli araçlar, girilmesi yasak veri türleri (kişisel veri, ticari sır), zorunlu insan onayı ve hata bildirim kanalı. Bu dört başlık, olası bir uyuşmazlıkta ilk sorulan sorulardır.
Sık yapılan hatalar
- Çıktıyı doğrulamadan doğrudan müşteriye veya kamuya sunmak.
- Müşteri ve çalışan verilerini herkese açık araçlara girmek.
- Kullanılan aracın lisans ve kullanım koşullarını hiç okumamak.
- Yapay zeka kullanımını sözleşmelerde ve iç politikada hiç düzenlememek.
- Tüm sorumluluğun araç sağlayıcısında olduğunu varsaymak.
Sonuç
Yapay zeka, doğru kurgulandığında ciddi verimlilik sağlayan; başıboş bırakıldığında ise veri, telif ve sorumluluk riskleri üreten bir teknolojidir. Kullanım kurallarının, veri sınırlarının ve sözleşme hükümlerinin önceden tasarlanması, sorun çıktıktan sonra yürütülecek uyuşmazlıklardan çok daha az maliyetlidir. Yapay zeka hukuku alanı hızla geliştiğinden, kurulacak yapının mevzuat ve uygulamadaki güncel gelişmeler ışığında bir avukatla birlikte gözden geçirilmesi isabetli olur.
Dosyanızla ilgili değerlendirme için yapay zeka hukuku hizmet sayfasını inceleyebilirsiniz.
Yapay zeka çıktısında insan denetimi: "son kontrol" ilkesi
Yapay zeka araçlarının iş süreçlerine girmesiyle birlikte, sorumluluğun dağıtımında öne çıkan pratik ilke insan denetimidir. Bir metnin, kodun, görselin ya da kararın son hâlini kim onaylıyorsa, hukuki sonuçların ilk muhatabı da odur. Bu nedenle kurumların "yapay zeka üretti" savunmasına yaslanmak yerine, çıktının kullanılmadan önce hangi süzgeçten geçtiğini belgeleyebilmesi gerekir.
"Son kontrol" ilkesinin uygulaması sanıldığından basittir: hangi işlerde yapay zeka kullanılabileceği, çıktının kim tarafından ve hangi ölçütlerle doğrulanacağı, hatalı çıktının nasıl raporlanacağı yazılı hâle getirilir. Müşteriye giden her içerikte insan onayı aranması; hukuki, mali ve sağlıkla ilgili içerikler gibi riskli alanlarda ek doğrulama basamağı eklenmesi, olası bir uyuşmazlıkta kurumun özenli davrandığını gösterir.
Aynı ilke sözleşmelere de yansıtılmalıdır: hizmet alan taraf, sağlayıcıdan çıktının niteliğine ilişkin hangi taahhütleri aldığını; hizmet veren taraf ise sorumluluğunun hangi noktada sona erdiğini açıkça yazmalıdır. Sessiz kalan sözleşme, uyuşmazlık gününde iki taraf için de sürpriz üretir.
Sık sorulan sorular
Yapay zekanın ürettiği hatalı bilgiden kim sorumlu olur?
Üçüncü kişilere karşı kural olarak çıktıyı kullanan kişi veya işletme sorumludur. Araç sağlayıcısına yönelik talepler ise sözleşme ve kullanım koşullarına göre ayrıca değerlendirilir.
Yapay zeka ile ürettiğim içerik telif ihlali olabilir mi?
Olabilir. Çıktının mevcut eserlere benzeşmesi ihtimali vardır; ticari kullanımdan önce özgünlük ve benzerlik kontrolü yapılmalı, aracın lisans koşulları incelenmelidir.
Müşteri bilgilerini yapay zeka aracına girmem sorun olur mu?
Kişisel veri içeren bilgiler bakımından KVKK yükümlülüklerini gündeme getirir; hukuka uygunluk sebebi, aydınlatma ve güvenlik şartları sağlanmadan bu tür veri girişi yapılmamalıdır.
İşletmemde yapay zeka politikası neden gerekli?
Hangi aracın, hangi veriyle, hangi onay sürecinden geçerek kullanılacağını netleştirir; çalışan kaynaklı veri sızıntısı ve hatalı çıktı risklerini kurumsal düzeyde azaltır.
Otomatik karar sistemlerine itiraz mümkün mü?
Kişilerin, verilerinin otomatik sistemlerle analiz edilmesi sonucu aleyhlerine çıkan sonuçlara itiraz hakkı kanunda tanınmıştır; bu nedenle süreçlerde insan incelemesi mekanizması öngörülmelidir.
