AI tedarik sözleşmesi yalnızca fiyat ve lisans belgesi olmamalı; amaçlanan kullanım, performans sınırı, veri rolleri, eğitim için veri kullanımı, alt sağlayıcılar, güvenlik, fikri haklar, insan denetimi, değişiklik, olay bildirimi, denetim ve çıkış planını birlikte düzenlemelidir. Standart bulut sözleşmeleri erişim, ücret ve hizmet kesintisini düzenleyebilir; fakat modelin nasıl değiştiği, müşteri verisinin eğitime girip girmediği veya çıktının hangi amaçta kullanılabileceği açık kalabilir.

AI hizmetinde bu boşluklar doğrudan ürün ve mevzuat riskine dönüşür. İyi sözleşme bütün riski karşı tarafa atan uzun metin değildir.

Tarafların gerçekten kontrol edebildiği alanları, bilgi akışını ve sorun çıktığında ne yapılacağını uygulanabilir biçimde belirler.

Amaçlanan kullanım ve yasak kullanım yazılmalı

Sözleşme, sistemin hangi iş süreçlerinde ve hangi kullanıcı grupları tarafından kullanılacağını açıkça tanımlamalıdır. Amaçlanan kullanım, Avrupa Birliği Yapay Zekâ Tüzüğü (AI Act) risk sınıflandırması, performans beklentisi ve kullanıcıya verilecek talimatlar bakımından temel bir veridir.

Sözleşme ekinde açıkça gösterilecek başlıca noktalar şunlardır:

  • İzinli kullanım senaryoları
  • Sisteme girilmemesi gereken veriler
  • Yüksek etkili karar süreçleri
  • Kullanıcı ve sağlayıcı rolleri
  • Ürün değişiklikleri için onay düzeni

Bu ek, ürünün fiilî kullanım sınırını görünür kılar.

Toplantı özeti için alınan aracın daha sonra aday elemede kullanılması, ilk tedarik incelemesini geçersiz kılabilir. Genel 'her amaçla kullanım' izni, yüksek etkili yeni kullanımların otomatik olarak uygun olduğu anlamına gelmez.

Veri rolleri ve model eğitimi ayrılmalı

Tarafların veri sorumlusu veya veri işleyen rolü, kişisel veri işleme amaç ve araçlarını fiilen kimin belirlediğine göre analiz edilmelidir. Müşteri girdilerinin hizmet sunumu için işlenmesi ile sağlayıcının modeli geliştirmek için kendi amacıyla kullanması ayrı faaliyetlerdir. Veri kategorileri, amaçlar, saklama, silme, eğitim tercihi, alt işleyenler ve aktarım mekanizması ek tabloda gösterilmelidir.

'Hizmeti iyileştirme' başlığı altında bütün müşteri konuşmalarının eğitime alınması, rol ve amaç bakımından ayrıca açıklanmalıdır. Sözleşmede 'veri işleyen' yazması, sağlayıcının fiilen bağımsız amaç belirlediği süreci değiştirmez.

Performans vaadi ölçülebilir olmalı

AI sisteminin doğruluk, kullanılabilirlik ve yanıt süresi gibi vaatleri kullanım bağlamına uygun ölçütlerle tanımlanmalıdır.

Kabul testi, veri seti, hata kategorisi, tolerans, insan kontrolü ve düzeltme süresi sözleşmede ilişkilendirilmelidir.

Sözleşmede üstlenilen edimin hiç veya gereği gibi ifa edilmemesi, Türk Borçlar Kanunu kapsamında giderim sorumluluğunu gündeme getirebilir. 'Yüksek doğruluk' ifadesi, test verisi, kabul eşiği ve istisna senaryosu olmadan uyuşmazlıkta sınırlı açıklık sağlar. Model çıktısının olasılıksal olması, sağlayıcının verdiği bütün somut taahhütleri etkisiz hâle getirmez.

Fikri hak ve üçüncü kişi iddiaları düzenlenmeli

Sözleşme; girdiler, özel veri setleri, model uyarlamaları, çıktılar, dokümantasyon ve geri bildirim üzerindeki hakları ayrı ayrı ele almalıdır. Platformun çıktı kullanım izni, üçüncü kişilerin telif veya kişilik hakkı iddialarını otomatik olarak ortadan kaldırmaz. Hak sahipliği, lisans kapsamı, ihlal bildirimi, savunma iş birliği ve tazmin mekanizması ayrı maddelerde kurulmalıdır.

Müşterinin gizli ürün çizimini yükleyip yeni tasarım üretmesi ile sağlayıcının genel model çıktısı aynı hak zincirine sahip değildir. 'Tüm haklar müşteriye aittir' cümlesi, sağlayıcının devredemeyeceği üçüncü kişi haklarını güvenceye almaz.

Değişiklik, olay ve çıkış planı unutulmamalı

AI hizmeti model sürümü, alt sağlayıcı veya veri politikası değiştiğinde sözleşmenin başlangıcındaki risk profili değişebilir. Önemli değişiklik bildirimi, güvenlik olayı, hizmet sonu veri iadesi ve silme kanıtı sözleşmenin yaşam döngüsü hükümleridir.

Bildirim süresi, yeniden test, askıya alma, veri taşınabilirliği, silme ve geçiş desteği çıkış planında gösterilmelidir.

Sağlayıcının haber vermeden modeli değiştirmesi ve müşterinin regüle süreçte aynı test sonuçlarına güvenmesi, operasyonel ve hukuki boşluk yaratır. Her küçük bakım işlemi için onay aranması gerekmez; önemli değişikliğin eşiği ve etkisi önceden tanımlanmalıdır.

Sözleşme kurulurken son kontrol

AI tedarik sözleşmesinin değeri, riskleri uzun bir sorumluluk reddiyle karşı tarafa itmesinde değil sistem değiştikçe çalışacak bilgi, kontrol ve müdahale düzeni kurmasındadır. Amaçlanan kullanım ve veri akışı sözleşmenin diğer maddelerini belirler.

Bu makale sözleşme mimarisini verir; hizmet kesintisi ve hatalı çıktı sorumluluğu ayrı sayfalarda daha dar incelenmiştir.

Aktörler arasındaki genel dağılım için sorumluluğun aktörler arasında dağılımı yazımız bütünleyici bir çerçeve sunar.

Bu içerik genel bilgilendirme amaçlıdır; her dosyanın koşulları farklıdır ve somut durum ayrıca değerlendirilmelidir. Son hukuki kontrol: 12 Temmuz 2026. Konuyla ilgili destek için iletişim sayfamızı kullanabilirsiniz.

Kaynaklar ve hukuki dayanaklar
  1. 6098 sayılı Türk Borçlar Kanunu — https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6098.pdf
  2. 6698 sayılı Kişisel Verilerin Korunması Kanunu — https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
  3. Yurt Dışına Aktarım — https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim
  4. 5846 sayılı Fikir ve Sanat Eserleri Kanunu — https://teftis.ktb.gov.tr/TR-14214/5846-sayili-fikir-ve-sanat-eserleri-kanunu.html
  5. AI Act — European Commission — https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

Bağlantılar resmî kaynaklara gider. Son hukuki kontrol: 12 Temmuz 2026.