Çalışanın yetkisiz veri girişi kişisel sorumluluk doğurabilecek olsa da kurumun veri sorumlusu sıfatı, erişim sınırı, eğitim, onaylı araç, denetim ve ihlal yönetimi yükümlülükleri kendiliğinden ortadan kalkmaz; her aktörün fiili ayrı incelenir. Bir çalışanın müşteri sözleşmesini kişisel AI hesabına yüklemesi çoğu zaman 'kolaylık için yapılan tek seferlik işlem' olarak görülür.
Oysa dosyada kişisel veri, ticari sır ve müvekkil ya da müşteri gizliliği aynı anda bulunabilir. Sorumluluğu yalnızca çalışana bırakmak da yalnızca kuruma yüklemek de eksiktir.
Yetki, talimat, teknik engel, bilgilendirme ve sağlayıcının veriyi ne yaptığı birlikte değerlendirilmelidir.
Kurum veri sorumlusu rolünü kaybetmez
Tüzel kişilerde kişisel veri işleme amaç ve araçlarını belirleyen şirket, kural olarak veri sorumlusudur; çalışan şirketin iç organizasyonu içinde işlem yapar. Çalışanın kurala aykırı davranması, şirketin veri güvenliğine ilişkin teknik ve idari tedbir yükümlülüğünü otomatik olarak sona erdirmez. Yetkilendirme, eğitim, log, onaylı araç ve makul denetim tedbirleri olay tarihindeki hâliyle incelenmelidir.
Satış ekibine müşteri dosyalarına tam erişim verip hiçbir AI politikası oluşturmayan şirket, olayı yalnızca bireysel hata olarak açıklamakta zorlanabilir. Bu durum, kurumun her çalışan fiilinden kusursuz ve sınırsız sorumlu olduğu anlamına da gelmez.
Çalışanın fiili ayrıca değerlendirilir
Çalışan, kendisine verilen yetki ve talimatın dışına çıkarak kişisel veri veya ticari sırrı üçüncü bir sisteme aktarabilir. Fiilin niteliğine göre iş sözleşmesi, gizlilik yükümlülüğü, zarar sorumluluğu ve bazı durumlarda ceza hukuku hükümleri gündeme gelebilir.
Olay kaydı alınırken çalışanın amacı, yüklediği veri, hesabın türü, sağlayıcı ayarları ve silme imkânı tarafsız biçimde tespit edilmelidir.
Yasak açıkça bildirilmiş ve güvenli kurumsal araç sağlanmışken veriyi kişisel hesabına yükleyen çalışan ile hiçbir kural görmeyen çalışan aynı durumda değildir. Disiplin sonucu, yalnızca olayın gerçekleşmesine değil kusur, talimat, veri niteliği ve iş ilişkisinin bütününe göre belirlenir.
Sağlayıcının veriyi kullanma biçimi önemlidir
AI sağlayıcısı veriyi yalnızca şirket adına işleyebilir veya kendi ürün geliştirme amacı için ek kararlar alabilir. Veri sorumlusu–veri işleyen ayrımı, sağlayıcının sözleşmedeki adından çok amaç ve araçları fiilen belirleme düzeyine göre yapılır. Hesap türü, saklama, eğitim kullanımı, alt işlemci, veri konumu ve silme talebi belgelenmelidir.
Kurumsal planda model eğitimi kapalıyken kişisel ücretsiz hesapta konuşmaların iyileştirme için kullanılabilmesi farklı veri akışları yaratabilir. Sağlayıcının veri işleyen olması, şirketin sağlayıcıyı seçme ve denetleme sorumluluğunu ortadan kaldırmaz.
Olay, veri ihlali incelemesine dönüşebilir
Kişisel verinin yetkisiz bir yapay zekâ hizmetine yüklenmesi, veri güvenliği olayı olarak derhâl incelenmelidir.
Olay zamanı, veri kategorisi, kişi sayısı, alıcı, dış aktarım, silme kanıtı, model eğitiminde kullanım ihtimali ve alınan sınırlama tedbirleri kayda alınmalıdır.
Ancak her iç politika ihlali otomatik olarak Kurula bildirilecek kişisel veri ihlali değildir. KVKK m. 12/5 bakımından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilip edilmediği, dış erişim, sağlayıcının kullanım biçimi ve olayın etkisi belirlenmelidir. Bildirim yükümlülüğünün doğduğu sonucuna varılırsa veri sorumlusu, Kurulun 2019/10 sayılı kararı uyarınca öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yapmalıdır. Etkilenen kişilere yapılacak bildirim de makul olan en kısa sürede gerçekleştirilir.
Önleme yalnızca eğitimle sağlanmaz
Çalışana yılda bir kez uyarı göndermek, yüksek riskli veriler için erişim ve teknik kontrol tasarımının yerine geçmez. Veri güvenliği tedbirleri; politika, rol bazlı erişim, onaylı araç, veri kaybı önleme, eğitim ve olay bildirimi gibi katmanlardan oluşur. Güvenli alternatif, anlaşılır kural, erişim sınırı ve hızlı soru kanalı birlikte kurulmalıdır. Teknik engel de işin yapılmasını imkânsız hâle getirip çalışanı gölge araca yöneltecek biçimde tasarlanmamalıdır.
Sağlık veya ceza dosyası verisinin genel amaçlı siteye yüklenmesini teknik olarak engelleyebilen kurumun yalnızca e-posta uyarısına dayanması yetersiz kalabilir.
Veri olayı hakkında kısa sorular
Şirket AI kullanımını yasakladıysa sorumluluğu biter mi?
Hayır. Yasak önemli bir tedbir olabilir; fakat erişim, eğitim, güvenli alternatif, makul denetim ve olay yönetimi gibi diğer yükümlülükler de incelenir.
Her yetkisiz yükleme Kurula bildirilir mi?
Otomatik bir cevap verilemez. Olayın kişisel veri ihlali niteliği, etkisi, veri kategorisi, erişim ve risk düzeyi somut olarak değerlendirilmelidir.
Olay yönetiminde sorumluluk dağılımı
Yetkisiz AI kullanımında sorumluluk tek bir aktöre indirgenemez. Kurumun organizasyon ve güvenlik tedbirleri, çalışanın talimata aykırı fiili ve sağlayıcının veriyi nasıl işlediği ayrı ayrı ortaya konulmalıdır.
En etkili önleme modeli, çalışanı yalnızca yasaklamak yerine güvenli ve işlevsel kurumsal alternatif sunmaktır.
Aktörler arasındaki genel dağılım için yapay zekâ kullanımında hukuki sorumluluk yazımız bütünleyici bir çerçeve sunar.
Bu içerik genel bilgilendirme amaçlıdır; her dosyanın koşulları farklıdır ve somut durum ayrıca değerlendirilmelidir. Son hukuki kontrol: 12 Temmuz 2026. Konuyla ilgili destek için iletişim sayfamızı kullanabilirsiniz.
