Yapay zeka sistemleri 2024 sonrasında Türkiye’deki şirketlerin günlük operasyonuna girdi: müşteri hizmetleri sohbet robotları, kredi skor motorları, otonom sürüş yardımcıları, üretken görsel araçları ve hekim destek modülleri ayrı ayrı farklı kanunların kesişiminde çalışmaktadır. Avrupa Birliği’nin 2024/1689 sayılı Yapay Zeka Tüzüğü (AI Act) 1 Ağustos 2024’te yürürlüğe girdi ve kademeli olarak uygulanmaya başladı; yasak uygulamalar 2 Şubat 2025’ten, genel amaçlı modeller 2 Ağustos 2025’ten, yüksek riskli sistemlerin büyük bölümü 2 Ağustos 2026’dan, geri kalan teknik harmonizasyon 2027 ortasından itibaren bağlayıcıdır. Türkiye Cumhuriyeti, Cumhurbaşkanlığı 2021/8 sayılı Genelge eki Ulusal Yapay Zeka Stratejisi 2021-2025 ve Mart 2024 tarihli güncellenmiş yol haritası ile paralel mevzuatın temellerini attı.

Alyar Hukuk & Danışmanlık, İstanbul Kartal merkezli bir hukuk bürosu olarak yapay zeka projelerinin ürün hukuku, veri yönetişimi, fikri mülkiyet, sözleşme tasarımı ve dava takibi başlıklarını birlikte yürütmektedir. Aşağıdaki rehber; tek tek mevzuat parçalarını bir araya getirerek geliştirici, dağıtıcı, kullanıcı ve etkilenen kişi açısından somut yükümlülük haritası sunmayı amaçlar.

Yapay Zeka Hukukunun Türkiye’deki Çerçevesi

Türkiye’de yapay zekaya özgü bir çerçeve kanun henüz Resmî Gazete’de yayımlanmış değildir. Buna karşın altmıştan fazla yatay ve dikey düzenleme, yapay zeka sistemlerini doğrudan etkileyecek hükümler içerir. Anayasa’nın 20. maddesi kişisel verilerin korunmasını temel hak olarak tanımlarken, 41. madde çocuğun yararı ilkesini, 56. madde sağlıklı yaşam hakkını, 167. madde piyasa denetimini güvence altına alır. Bu anayasal zemin üzerine 6698 sayılı Kişisel Verilerin Korunması Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Kanunu, 5846 sayılı Fikir ve Sanat Eserleri Kanunu, 6769 sayılı Sınai Mülkiyet Kanunu, 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 7223 sayılı Ürün Güvenliği ve Teknik Düzenlemeler Kanunu, 5237 sayılı Türk Ceza Kanunu ile 6098 sayılı Türk Borçlar Kanunu birikimli olarak yapay zeka uygulamalarına uygulanır.

Sektör bazında düşünüldüğünde Bankacılık Düzenleme ve Denetleme Kurumu’nun bilgi sistemleri yönetmelikleri, Sermaye Piyasası Kurulu’nun algoritmik işlem tebliğleri, Sağlık Bakanlığı’nın tıbbi cihaz ve klinik karar destek sistemi rehberleri, Milli Eğitim Bakanlığı’nın öğrenci verisi yönergeleri ve Karayolları Genel Müdürlüğü’nün otonom araç saha test izinleri aktif olarak işler. Avukat müdahalesi gereken nokta; her bir yapay zeka projesinin bu mevzuat katmanlarındaki yansımalarını proaktif biçimde ortaya çıkarmaktır.

Hangi Konular Yapay Zeka Hukuku Kapsamına Girer

Üretken yapay zeka çıktısı üzerine kurulu telif tartışmaları, otomatik karar veren bir kredi motorunun KVKK m.11 itirazları, görüntü tanıma sistemine dayalı bir güvenlik ihalesinin idare hukuku boyutu, sentetik ses kullanılarak oluşturulan dolandırıcılık dosyalarının ceza yargılaması, sürücü destek sisteminin trafik kazasındaki sorumluluğu, model lisans sözleşmesindeki teminat hükümleri ve sınır ötesi veri aktarımının uygunluk denetimi bu kapsama dahildir. Bir model çoğu zaman birden fazla mevzuata değil; en az dört-beş ayrı yasal rejime tabidir.

İlk Hukuki Görüşmede Hazırlanması Gereken Bilgi Seti

Görüşme öncesinde; modelin teknik özet sayfası, eğitim veri kaynakları listesi, üretici veya lisansör sözleşmeleri, kurum içi kullanım politikası, uygulamanın etkilediği kişi gruplarının haritası ve varsa şikâyet kayıtları derlenmelidir. Bu seti elinde tutan müvekkil, görüşme süresinde stratejik tartışmaya doğrudan girebilir; eksik bilgi durumunda toplantı saati teknik tarama ile tükenir.

AB Yapay Zeka Tüzüğü 2024/1689 — Risk Tabanlı Yaklaşım

AB Yapay Zeka Tüzüğü, dört kademeli bir risk piramidini benimser. Piramidin tepesinde 5. madde uyarınca kabul edilemez risk taşıyan ve bu nedenle yasaklanan uygulamalar bulunur. Hemen altında 6. madde ve Ek III uyarınca yüksek riskli sayılan, uyumluluk değerlendirmesi gerektiren sistemler yer alır. Üçüncü kademede 50. madde gereği şeffaflık yükümlülüğüne tabi sınırlı risk uygulamaları (sohbet botları, sentetik içerik üretimi, duygu tanıma) toplanır. Tabanda ise hiçbir özel yükümlülük olmayan asgari risk sistemleri yer alır.

Tüzük; topluluk dışı sağlayıcıları da kapsamasıyla coğrafi olarak geniştir. Türkiye merkezli bir geliştirici ürününü AB’deki bir kullanıcıya sunduğunda 2. madde gereği AI Act yükümlülüklerine girer. Bu nedenle ihracat odaklı yapay zeka projeleri için Türkiye mevzuatına ek olarak AI Act uyumu erkenden değerlendirilir.

Tüzüğün Uygulama Takvimi

5. madde yasakları 2 Şubat 2025’ten itibaren ulusal denetim otoriteleri tarafından zorlanmaktadır. 50. madde şeffaflık yükümlülükleri ile 99-100 madde idari yaptırım rejimi 2 Ağustos 2025’te uygulamaya alındı. 6. madde ile Ek III altındaki yüksek riskli sistemler 2 Ağustos 2026’da kapsamlı uyum dönemine geçti. Ürün güvenliği harmonizasyon çerçevesindeki yüksek riskli sistemler ile bazı GPAI yükümlülükleri 2 Ağustos 2027’ye kadar geçiş süresine sahiptir.

Yatırım Risklerinin Değerlendirilmesi

İdari para cezaları küresel cironun belirli yüzdelerine bağlıdır. 5. madde ihlalinde 35 milyon avro veya küresel cironun %7’si, yüksek riskli yükümlülük ihlalinde 15 milyon avro veya cironun %3’ü, otorite önünde yanlış bilgi verilmesinde 7,5 milyon avro veya cironun %1,5’i tavanları geçerlidir. Türkiye merkezli bir kuruluş AB pazarına satış yapıyorsa bu cezalar şirket bilançosunda doğrudan etkili gözükür.

Ulusal Yapay Zeka Stratejisi ve İkincil Mevzuat

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda Sanayi ve Teknoloji Bakanlığı tarafından hazırlanan strateji, altı temel öncelik etrafında biçimlendi. Bunlar nitelikli insan kaynağı yetiştirme, araştırma kapasitesinin artırılması, ekosistem kurulumu, kamu uygulamalarının hızlandırılması, yapısal veri altyapısının iyileştirilmesi ve uluslararası iş birliğinin güçlendirilmesi şeklinde sıralanır. 2025 sonrası dönemde stratejinin teşrii dayanağı olarak çerçeve kanun çalışmaları hızlandırılmıştır; mevcut taslakta AI Act paralel risk sınıflandırması, sandbox modeli ve denetim otoritesi tasarımı yer alır.

İkincil mevzuat bakımından Kişisel Verileri Koruma Kurulu’nun yapay zeka alanında yayımladığı 2021 ve 2024 tarihli ilke kararları, otomatik karar verme ve veri minimizasyonu boyutlarında pratik kılavuzluk sağlar. Sanayi ve Teknoloji Bakanlığı’nın 2023 tarihli Akıllı Üretim Sistemleri Tebliği, üretim hattı yapay zekası için sertifikasyon zeminini tanımlar. Sağlık Bakanlığı Türkiye İlaç ve Tıbbi Cihaz Kurumu’nun (TİTCK) klinik karar destek sistemi başvuru kılavuzu Ocak 2025’te güncellenmiştir.

Cumhurbaşkanlığı Genelgeleri ve Kamuda AI

2021/8 sayılı Genelge yanında 2023/12 sayılı Genelge, kamu kurumlarının yapay zeka projelerinde Dijital Dönüşüm Ofisi onayını ve veri kataloğu kaydını zorunlu kılar. Kamu projelerine teklif verecek özel sektör tedarikçileri için bu süreç teklif şartnamesinde aranan teknik yeterlilik kriterlerine yansır.

Yerel Yönetimlerin AI Pilotları

Büyükşehir belediyeleri akıllı trafik, çevresel sensör ve afet yönetimi projelerinde yapay zeka modellerini operasyona aldı. Bu pilotlarda 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu, 4734 sayılı Kamu İhale Kanunu ile 6698 sayılı KVKK ortak uygulanır; sözleşme hazırlığında özellikle veri sorumlusu ve veri işleyen ayrımı netleştirilir.

Yasaklanmış Yapay Zeka Uygulamaları

AI Act 5. madde altında bilinçaltı manipülasyon yoluyla zarar veren sistemler, çocuk veya engelli gibi savunmasız kişilerin zayıflıklarını sömüren uygulamalar, kamu kurumlarınca uygulanan toplumsal puanlama (social scoring), hedeflenmemiş yüz görüntüsü kazıma yoluyla biyometrik veri tabanı oluşturma, iş yerinde ve eğitim kurumlarında duygu tanıma sistemleri, ırk, siyasi görüş ve cinsel yönelim gibi hassas özellikleri çıkartan biyometrik kategorilendirme ile kanun uygulayıcılarınca gerçek zamanlı uzaktan biyometrik tanımlama (sınırlı istisnalar dışında) yasak kategoriye alınır. Türkiye mevzuatında doğrudan AI Act 5. madde paraleli bir hüküm henüz olmamakla birlikte, KVKK m.6 hassas veri rejimi, TCK m.135 (verileri hukuka aykırı kaydetme) ve Anayasa m.10 eşitlik ilkesi pratikte aynı sonucu doğurur.

Yasak kategorideki bir aracı pazarlamak Türkiye’de doğrudan ceza tehdidi yaratmasa bile, KVKK m.18 idari para cezalarını, KVKK Kurulu re’sen tedbir kararlarını ve TBK m.49 ile m.58 manevi tazminat davalarını tetikleyebilir. Avukatın görevi; pazarlanmadan önce ürünün AI Act 5. madde matrisinde nereye düştüğünü tespit etmek ve gerekiyorsa modeli yeniden tasarlatmaktır.

Türkiye’de Pratikte Görülen Riskli Pilotlar

İşe alımda video mülakat üzerinden duygu okuma araçları, sınıf içi kamera ile öğrenci dikkat takibi yapan eğitim teknolojileri, müşteri çağrı merkezlerinde duygu skoru üreten sesli analiz modülleri ve banka şubelerinde kamera taraması yoluyla risk skorlaması üreten iç güvenlik sistemleri uygulamada karşılaşılan örneklerdir. Bunların her biri AI Act 5. madde, KVKK m.6 ve İş Kanunu m.18-19 gözetimi altında değerlendirilir.

Yasak Bulgu Tespit Edilirse Yapılacaklar

Yasak nitelikte bir uygulama tespit edildiğinde modelin operasyonel olarak durdurulması, etkilenen kişilere duyuru yapılması, KVKK Kuruluna re’sen veya istek üzerine bildirim, ilgili sektör otoritesine durum raporu, eğer iş yerinde ise sendika veya işçi temsilcileri ile bilgilendirme toplantısı ve hukuki danışmanın hazırladığı düzeltici eylem planı izlenir. Uygulamayı yeniden hizmete almak için bağımsız denetim raporu, Kurul görüşü ve kullanıcı bilgilendirme metni güncellenir.

Yüksek Riskli Sistemler ve Uyum Yükümlülükleri

AI Act Ek III, yüksek riskli sayılan sekiz alan listeler: biyometri, kritik altyapı, eğitim ve mesleki yetiştirme, istihdam ve İK, temel kamu ile özel hizmetlere erişim, kanun uygulama, göç ve sınır kontrolü, adalet ve demokratik süreçler. Bu kategorideki bir sistemi piyasaya süren sağlayıcı; risk yönetim sistemi (m.9), veri yönetişimi ve veri seti kalitesi (m.10), teknik dokümantasyon (m.11), kayıt tutma (m.12), şeffaflık ve kullanıcı bilgilendirmesi (m.13), insan gözetimi (m.14), doğruluk-sağlamlık-siber güvenlik (m.15), uygunluk değerlendirmesi ve CE işareti (m.43-44), olay raporlama (m.73), piyasaya sürüldükten sonraki izleme (m.72) ile EU veri tabanına kayıt (m.49) yükümlülüklerini eksiksiz yerine getirir.

Türkiye’deki sağlayıcılar bakımından Türk Akreditasyon Kurumu (TÜRKAK) işbirliği ve onaylanmış kuruluş kavramının yerelleştirilmesi gündemdedir. Aynı sistem hem Türkiye’de hem AB’de satışa sunulduğunda iki paralel uyum süreci yürütülür; ortak teknik dosya hazırlanması süreyi kısaltır.

Risk Yönetim Sistemi (RMS)

Risk yönetim sistemi; tasarım aşamasından çıkış sonrası izlemeye kadar süreklilik gerektiren bir döngüdür. Tehlikenin tanımlanması, etki analizi, risk değerlendirmesi, azaltma tedbirleri, kalan riskin iletişimi ve düzeltici aksiyon planı bu döngüyü oluşturur. Sözleşmesel olarak müşteri ve tedarikçi sorumluluk paylaşımı RMS dokümanı üzerinden netleştirilir.

Veri Yönetişimi ve Veri Seti Hijyeni

10. madde, yüksek riskli sistemlerin eğitim, doğrulama ve test verilerinin uygunluk, temsil edicilik ve hata yönetimi açısından dokümante edilmesini ister. Türkiye’de bu maddeye paralel olarak KVKK m.4 (doğru ve güncel olma ilkesi), m.5 (hukuka uygun işleme), Bilgi Teknolojileri ve İletişim Kurumu kararları ile veri seti yönetimi içiçe geçer. Veri seti içinde küçük bir kişisel veri kümesi dahi olsa veri sorumlusu sıfatı ile kayıt yapılır.

Genel Amaçlı Modeller (GPAI) ve Sistemik Risk

AI Act 51-55. maddeler, geniş kullanım alanlarına sahip büyük dil modelleri ve çok modlu sistemleri ayrı bir başlık altında düzenler. Her GPAI sağlayıcısı; teknik dokümantasyon, eğitim verisinin telif yönü için politika, alt akım sağlayıcıların kullanabileceği bilgi seti ve telif politikası özetini hazırlamalıdır. Modellerin eğitim hesaplama eşiği belirli bir seviyeyi aşıyorsa (10 üzeri 25 FLOPs eşiği) sistemik risk taşıyan model olarak ayrı yükümlülüklere tabi olur: model değerlendirmesi, sistemik risk değerlendirmesi, ciddi olay bildirimi ve siber güvenlik koruması.

Türkiye’deki yapay zeka şirketleri kendi büyük modellerini eğitiyor olabileceği gibi, çoğu zaman küresel modelleri lisanslayarak kullanır. İkinci durumda Türkiye merkezli kuruluş çoğunlukla “sağlayıcı” değil “alt akım sistem dağıtıcısı” konumundadır. Sözleşme hazırlığı esnasında modelin lisans şartları, yasak kullanımlar listesi, model güncellemelerinin geri etkili olup olmadığı ve telif tazminat hükümleri ayrı ayrı taranır.

GPAI Lisansında Kritik Sözleşme Maddeleri

Lisans sözleşmesinde özellikle şu hükümler kontrol edilir: çıktı kullanım hakkının ticari faaliyet için tanınması, model eğitim verisi telif riskinin tedarikçide kalması, modelin kullanıcı sorgularıyla yeniden eğitilmemesi, gizlilik sınıfı verilerin tedarikçi tarafına aktarılmaması, hizmet seviyesi (SLA) ve ihlal halinde sorumluluk üst sınırı. Bu maddelerin Türkçe sözleşmeye aktarılması yargılama dilinde hukuki etkiyi güçlendirir.

Açık Kaynak GPAI Kullanımı

Apache 2.0, MIT veya benzeri açık kaynak lisanslarla dağıtılan modeller için AI Act 53. madde, açık model istisnası getirir; ancak istisna, sistemik risk düzeyindeki modeller için geçerli değildir. Türkiye’de açık kaynak model kullanımı, yargısal pratikte 5846 FSEK m.38 ve TBK m.218 yorumuyla şekillenir.

Düzenleyici Test Ortamı (Regulatory Sandbox)

AI Act 57-63. maddeler, üye devletlerin denetim otoritelerine düzenleyici test ortamı kurma görevi verir. Türkiye tarafında benzer bir düzenleme henüz çerçeve niteliğinde bir kanunla tesis edilmemekle birlikte, BDDK’nın FinTech Yönetmeliği kapsamındaki mali test ortamı, BTK’nın 5G test alanı izinleri ve TİTCK’nın klinik araştırma izni mekanizmaları benzer işlev görür. Sandbox başvurusunda hazırlanması gereken belgeler; proje kavramsal tasarımı, etkilenen kişi grupları analizi, alternatif çözümler, çıkış stratejisi ve etik değerlendirme raporudur.

Sandbox süreci, mevzuat ihlali tehdidi olmadan ürünü kontrollü ortamda denemeye olanak verir. Avukat, başvuru sürecinde hem teknik raporun hukuki yansımalarını yazmak hem de denetim otoritesinin koşullu izninin operasyonel risklerini öngörmekle yükümlüdür.

Sandbox Çıkışı Sonrası Uyum

Test süreci tamamlandıktan sonra elde edilen veriler, deneyimler ve kullanıcı geri bildirimi tam pazara sürüm öncesi uygunluk değerlendirmesine zemin olur. Sandbox raporu, sonraki denetimlerde işbirliği belgesi olarak değerlendirilir; idari para cezası takdirinde lehe sonuç doğurabilir.

KVKK Boyutu — m.5, m.6, m.10, m.11, m.12 Çakışması

Yapay zeka sistemleri büyük ölçüde kişisel veri ile çalışır. Bu nedenle 6698 sayılı Kanun’un her bir maddesi bir AI projesinin farklı bir aşamasında devreye girer. Madde 4 ilkeler katmanını çizer; veri minimizasyonu, sınırlı süre saklama ve amaçla bağlılık modelin tasarımına gömülmelidir. Madde 5 genel veri işleme şartlarını sıralar; açık rıza, sözleşme şartı, hukuki yükümlülük, hak doğumu ve meşru menfaat dengesi her bir veri akış kanalı için ayrı yorumlanır. Madde 6 sağlık verisi, biyometrik veri, ırk ve siyasi görüş gibi özel nitelikli verileri yapay zeka modeline beslemek için ya açık rıza ya da kanunla öngörülmüş özel istisna arar. Madde 10 aydınlatma yükümlülüğü, modelin işlemenin amacını, hangi otomatik karar süreçlerine girdiğini ve veri aktarımının kapsamını ilgili kişiye bildirir. Madde 11 ilgili kişiye bilgi talep etme, düzeltme, silme, profilleme sonucuna itiraz ve zarara uğraması halinde tazminat hakları sağlar. Madde 12 veri güvenliği yükümlülüğünü tanımlar; yapay zeka modeli için bu, model çıktılarının istemeden hassas veri sızdırmaması ve eğitim verisi kümesinin saldırılara dayanıklı olması anlamına gelir.

2024’te yürürlüğe giren 7499 sayılı Kanun KVKK m.9 yurt dışına aktarım rejimini revize ederek yeterlilik kararı, standart sözleşme, bağlayıcı şirket kuralları ve geçici çözümler şeklinde Avrupa modeline yakınlaştırdı. Yapay zeka sağlayıcılarının çoğu AB veya ABD merkezli olduğundan bu yeni rejimin pratik etkisi büyüktür.

Veri Sorumlusu mu Veri İşleyen mi

Bir kurumun kendi modelini eğittiği durumlarda veri sorumlusu sıfatı doğal olarak kuruma ait olur. Üçüncü taraf model lisansla alındığında ise rolün değerlendirilmesi tek tek senaryolara dayanır: sağlayıcı sadece teknik altyapı sunuyor ise işleyen, modelin amacını ve veri akışını belirliyorsa müşterek veri sorumlusu olabilir. Bu ayrım veri işleyen sözleşmesi (m.12/3) ya da müşterek veri sorumluluğu protokolü hazırlamayı zorunlu kılar.

VERBİS Kayıt Yansımaları

Yıllık brüt geliri belirli eşiği aşan veri sorumluları, yapay zeka tabanlı işleme faaliyetlerini Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydeder. Faaliyet açıklamasında “otomatik karar verme”, “profilleme” ve “üretken model çıktısı” gibi ifadeler somutça yer alır.

Aydınlatma Yükümlülüğü ve Açık Rıza

Aydınlatma metni; basit ve anlaşılır dille yazılır, profillemenin sonuçlarını ve hangi çıktıların otomatik olarak üretildiğini açıklar. Sohbet robotu kullanan bir bankanın aydınlatma metni; modelin amacını, eğitim verisinin yapısını, veri saklama süresini, çağrı kayıtlarının modeli yeniden eğitmek için kullanılıp kullanılmayacağını ve müşterinin insan operatöre erişme hakkını duyurur. Bu metnin görüşmenin başında ekrana gelmesi ya da çağrı sırasında sözel bildirimi sağlanır.

Açık rıza; AI sistemine veri akıtmanın tek hukuki dayanak olduğu durumlarda alınır. Çoğu zaman meşru menfaat veya sözleşme şartı dayanağı yeterlidir; gereksiz açık rıza alınması ileride rıza geri çekildiğinde modelin işlevini kaybetmesine yol açar. Doğru hukuki dayanağın seçimi, modelin uzun vadeli sürdürülebilirliği için kritik öneme sahiptir.

Çocuk Verisi ve Aydınlatma

Çocuğun verisi söz konusuysa aydınlatma metni, ebeveyn ya da yasal temsilciye okunaklı şekilde sunulur ve TMK m.342 ile Anayasa m.41 birlikte değerlendirilir. Eğitim teknolojilerinde kullanılan yapay zeka araçları için MEB rehberleri ek bilgi katmanı oluşturur.

Çağrı Merkezinde Sesli Aydınlatma

Çağrı başlangıcında “Bu görüşme dijital asistanımız tarafından kaydedilecek ve hizmet kalitemizi artırmak için yapay zeka destekli sistemlerle analiz edilebilecektir” gibi açık ve özlü ifadeler kullanılır. Görüşmenin ortasında modelin devreye girip girmediği müşteriye haber verilir.

Otomatik Karar Verme ve İtiraz Hakkı

KVKK m.11/1-(g) ilgili kişiye, otomatik sistemler aracılığıyla kendisine yönelik sonuç doğuran bir karara itiraz etme hakkı verir. Tüzük ile karşılaştırıldığında AB GDPR m.22’nin paralel hükmü vardır; AB AI Act 14. madde insan gözetimini operasyonel zorunluluk olarak tanımlar. Türk uygulamasında bir kredi başvurusunun reddi, sigorta priminin yapay zeka skoruna göre belirlenmesi, işe alımda elenme veya bir devlet teşvikinin algoritma kararıyla geri çevrilmesi durumlarında otomatik karar itirazı somut olarak gündeme gelir.

İtiraz başvurusu önce veri sorumlusuna iletilir; 30 gün içinde yanıt alınmazsa veya talep reddedilirse Kişisel Verileri Koruma Kuruluna şikâyet edilir. Eş zamanlı olarak idari yargıda iptal davası ya da hukuk mahkemesinde tazminat davası açılması mümkündür.

İnsan Gözetimi Modeli

Otomatik karar süreçlerinde insan gözetimi tasarımı; karara karşı sürpriz bir biçimde sonradan eklenmek yerine süreç başından itibaren tasarımın parçası kılınır. Karar yetkisinin son aşamada gerçek bir insan tarafından onaylanması, ön kontrol katmanlarının insan tarafından test edilmesi ve modelin güven aralığını insan operatörün anlayabileceği şekilde göstermesi insan gözetimini somutlaştırır.

Karar Açıklaması Hakkı

İlgili kişiye sadece “model şu sonuca vardı” demek yetmez. Hangi temel veri parametrelerinin sonuca etki ettiği, modelin kendine güven seviyesi, alternatif sonuca ulaşmak için ne tür ek veri gerekebileceği gibi açıklamalar erişilebilir biçimde sunulur. Bu açıklama sözlü değil yazılı kanaldır; e-posta, KEP veya hesap üzerinden mesaj kanalı tercih edilir.

Yurt Dışına Veri Aktarımı (m.9 — 7499 Değişikliği)

2024’te 7499 sayılı Kanun ile değiştirilen 6698 m.9, yurt dışı aktarımı için dört aşamalı bir tercih hiyerarşisi tanımlar: yeterlilik kararı bulunan ülkeler, uygun güvencelerin sağlanması (standart sözleşme, bağlayıcı şirket kuralları, taahhütname), istisnai haller (açık rıza, sözleşme zorunluluğu, kamu yararı) ve arızi aktarım. Yapay zeka modellerini bulut tabanlı çalıştıran kuruluşların büyük çoğunluğu Standart Sözleşme rejimine girer; 10 Temmuz 2024 tarihli Tebliğ ile yayınlanan standart sözleşme metinleri Kurul siciline kaydedilmek zorundadır.

Standart sözleşmeyi imzalayan veri aktaran ve veri alan tarafların; veri kategorisi listesi, aktarım amacı, saklama süresi, veri özneleri kategorisi, alıcı tarafın kullanacağı teknik tedbirler ve sertifikalar listesini eklemesi gerekir. Bu eklerin eksik veya kötü hazırlanması Kurul incelemelerinde sözleşmenin geçersizliği yorumuna yol açabilir.

Bulut AI Sağlayıcıları

Microsoft Azure OpenAI, Amazon Bedrock, Google Vertex AI ve benzeri bulut AI sağlayıcıları Türkiye merkezli müşterileriyle kuracakları ilişkide standart sözleşmenin ek metinlerini tedarik eder. Müvekkilin avukatı, ek metinlerin Tebliğ’in sözleşme tipine uygunluğunu kontrol eder; gerekiyorsa müzakerede ek güvenceler ister.

Veri İkametgâhı (Data Residency) Tercihi

Bazı sağlayıcılar Türkiye veya AB veri merkezi tercih edilebilen yapılandırma sunar. Bu tercih hem KVKK aktarım yükümlülüğünü hem de gizlilik kurallarını basitleştirir. Sözleşme tasarımında veri ikametgâhı taahhüdü açıkça yazılır.

Veri İhlali Bildirimi ve 72 Saat Kuralı

Yapay zeka sistemlerinin model çıktısı, log dosyaları veya eğitim veri seti üzerinde gerçekleşen yetkisiz erişim, sızıntı veya değiştirme olayları KVKK m.12/5 anlamında veri ihlalidir. İhlalin öğrenilmesinden itibaren en geç 72 saat içinde Kurula bildirim yapılır; etkilenen ilgili kişilere de “uygun en kısa sürede” bilgi verilir. KVKK Kurulu’nun Veri İhlali Bildirim Yönergesi formatına uygun başvuru, bildirimin geçerliliği için aranır.

Yapay zeka modeline özgü ihlal türleri arasında prompt injection saldırısı sonucu modelin gizli verileri ifşa etmesi, eğitim setine atılan zehirli verilerin sonraki çıktıları manipüle etmesi, model çalma saldırısı (model inversion / extraction) ve membership inference saldırıları sayılabilir. Bu ihlallerin teknik tespitinin avukat tarafından bilen bir bilirkişiyle ortak değerlendirilmesi gerekir.

İhlal Müdahale Planı

İhlal müdahale planı; tespit, sınıflandırma, kontrol altına alma, kanıt toplama, bildirim, müşteri iletişimi ve düzeltme aşamalarına bölünür. Avukat müdahale planında özellikle bildirim sürelerinin kontrolünü, idari para cezasını yumuşatacak işbirliği belgelerinin hazırlanmasını ve gerekirse ceza yargılamasında müşteki sıfatıyla başvuruyu koordine eder.

Tazminat Davaları Doğurabilir

Veri ihlalinin maddi veya manevi zarara yol açması durumunda KVKK m.14 ve TBK m.49 uyarınca tazminat davası açılabilir. Toplu davalar bakımından 6100 sayılı Hukuk Muhakemeleri Kanunu m.113 topluluk davası rejimi ve tüketici örgütlerinin temsil yetkisi belirleyici rol oynar.

5846 FSEK ve AI ile Üretilen Eser Tartışması

Türk fikri hukuk doktrini, eseri “sahibinin hususiyetini taşıyan her nevi fikir ve sanat mahsulü” olarak tanımlar (5846 m.1/B). Bu tanım insanı eser sahibi olarak konumlandırır; saf yapay zeka çıktısının doğrudan eser sayılıp sayılmayacağı tartışmalıdır. Üretken modeli kullanırken kullanıcı tarafından girilen prompt yaratıcı, seçim ve iterasyon emeği taşıyorsa “düzenleyen sahip” yorumu yapılabilir. Salt rastgele çıktılar ise kamuya açık alan (public domain) yorumuna yakındır.

5846 m.5 işlenme eser kavramı, mevcut bir eser üzerinde bağımsız bir yaratıcı katkıyla yeni bir eserin doğmasına olanak verir. Yapay zeka ile yeniden işlemede asıl eser sahibinin izninin aranması zorunludur (m.21-22). Markaların logo, müzik ve görsel materyallerinde AI ile üretilmiş türev eser izni özellikle dikkat ister.

AI Çıktısının Marka Olarak Tescili

Bir AI tarafından üretilen logo veya görsel marka olarak Türk Patent ve Marka Kurumu’na tescil ettirilebilir. Burada eser sahipliği ile marka sahipliği farklı kavramlar olduğundan, başvuran 6769 SMK m.7 hükmüne göre şirket veya gerçek kişi olarak başvuruyu kendi adına yapar. Üçüncü taraf telif iddialarına karşı koruma sağlamak için kullanım belgeleri saklanır.

Müzik ve Ses Üretimi

AI tabanlı müzik üretiminde 5846 m.80 bağlantılı haklar (icracı, fonogram yapımcısı, yayın kuruluşu) gündeme gelir. Üretken model özünde veri setindeki sanatçıları kopyalıyorsa bu eylem; haklı bir lisans bulunmadığı sürece izinsiz çoğaltma sayılır.

Eğitim Verisinde Telif, Veri Madenciliği, Veri Setleri

Eğitim setine alınan içerik üzerinden modelin parametrelerinin oluşturulması, hukuken çoğaltma anlamına gelir. AB DSM Direktifi 3-4. madde paralelinde Türkiye’de 5846 m.38 bilimsel araştırma ve özel kullanım istisnası dar yorumlanır. Ticari amaçlı yapay zeka eğitiminde eser sahibinden lisans alınması esastır. Model eğitiminde kullanılan veri setlerinin kaynağı, lisans tipi ve tarihi şeffaf biçimde dokümante edilir.

Bazı veri setleri Creative Commons lisansları altında dağıtılır; CC BY 4.0 ticari kullanıma izin verir, CC BY-NC ticari kullanımı yasaklar, CC BY-SA türev eserin aynı lisansla yayınlanmasını ister. Bu detaylar atlandığında sonradan model eğitiminin tamamen ihlal sayılması ve modelin geri çekilmesi zorunluluğu doğabilir.

Web Kazıma (Scraping) ve Hukuki Sınır

Web sitesinden otomatik içerik kazıma işlemi 5237 TCK m.243-244 erişim ve sistem engelleme suçlarına, 5846 FSEK çoğaltma haklarına ve 5651 hizmet sağlayıcı kullanım koşullarına dokunabilir. Sitenin robots.txt dosyası, terms of service metni ve API erişim kuralları taranmadan kazıma yapılması ciddi hukuki risk yaratır.

Sentetik Veri Üretimi

Eğitim setinin etik veya hukuki engelle dolu olduğu hallerde sentetik veri üretimi alternatif olarak değerlendirilir. Sentetik verinin gerçek bireylerden ayırt edilemeyecek şekilde gerçekçi olması, KVKK m.4 anonimleştirme ilkesini yine de devreye sokabilir. Bağımsız test, model çıktısının yeniden tanımlanabilirlik riskini ölçer.

6769 SMK ve AI Patent Buluşları

Sınai Mülkiyet Kanunu m.82, patentlenebilir buluşları yenilik, buluş basamağı ve sanayiye uygulanabilirlik kriterlerine bağlar. Bir yapay zeka mimarisinin kendisi (ör. yeni bir transformer varyantı) patent başvurusuna konu olabilir; sıradan bir uygulamanın AI ile otomatikleştirilmesi ise buluş basamağı bakımından zayıf bulunabilir. EPO kararlarının paralelinde Türk Patent ve Marka Kurumu da yapay zeka unsuru ile insan unsurunun katkısını tartışır.

Buluşçunun gerçek kişi olması zorunluluğu nedeniyle bir AI sistemi başvuruda buluşçu olarak gösterilemez. Bu tartışma DABUS davalarıyla küresel boyut kazandı; Türkiye’de henüz kesinleşmiş emsal bulunmamakla birlikte, başvuru sürecinde insan buluşçu beyanı esastır.

Faydalı Model Tercihi

Yapay zeka temelli ürünlerde patentin uzun süreli incelemesi yerine 6769 SMK m.142 faydalı model rejimi tercih edilebilir. Faydalı model sadece yenilik ve sanayiye uygulanabilirlik şartlarını arar; buluş basamağı şartı yoktur. Süresi 10 yıldır.

Patent Lisans ve Çapraz Lisans

Patentli AI ürünleri arasında çapraz lisans anlaşmaları, özellikle büyük teknoloji şirketleri arasında yaygındır. Yerel ölçekli bir KOBİ için tek yanlı lisansın getirisi ve satıcı yan kısıtların rekabet hukuku boyutu (4054 RKHK m.4) ayrıca incelenir.

AI Üretimi Logo, Marka Başvurusu ve Trade Dress

Üretken AI ile yaratılan markalar Türk Patent ve Marka Kurumu’na 6769 SMK m.4 anlamında ayırt edici işaret olarak başvuru sahibi adına tescil edilebilir. Burada başvuru sahibi şirket; üretim aracını araç olarak gördüğünden başvuruda hukuki engel doğmaz. Daha sonra üçüncü kişiler tarafından “AI’nın benzerini üretmesi” iddiası gündeme gelirse 6769 m.6 hükümsüzlük sebepleri tartışılır.

Trade dress (mağaza dekoru, ürün ambalajı görsel kimliği) AI tarafından oluşturulduğunda ayırt ediciliğin tespiti somut piyasa koşullarına bakılarak yapılır. Sektörde ‘temel görsel kalıpların’ sıkça çıktığı durumlarda ayırt edicilik düşük bulunabilir.

Marka İhlal Tespitinde AI

Marka avukatları, sahte ürün izleme süreçlerinde görüntü tanıma modellerinden yararlanmaktadır. Bu modellerin tespit ettiği ihlaller dava konusu yapılırken model çıktısı tek başına delil olmaz; dijital adli inceleme raporu, sosyal medya ekran görüntüsü ve noter tespit tutanağı zincirleme delil sunar.

Domain ve AI

Domain alımında AI tabanlı çakışma tarama araçları, başvuruyu hızlandırır. Marka sahibi domain ihlali iddiasında .tr alan adı uyuşmazlık çözüm mekanizması (TRABİS UÇHS) ya da WIPO’nun UDRP usulü prosedürlere başvurabilir.

Ticari Sır, Model Ağırlığı ve Tersine Mühendislik Yasağı

Bir yapay zeka modelinin parametre ağırlıkları, eğitim metodolojisi, hiperparametre seçimi ve veri seti hijyeni kombinasyonu ticari sır kapsamına girer. 6102 sayılı TTK m.55 haksız rekabet hükümleri, 5237 TCK m.239 ticari sır ifşası suçu ve 6098 TBK m.49 ile m.58 manevi tazminat davaları, bu sırrın hukuki korumasını birlikte sağlar. Çalışan sözleşmesinde gizlilik ve rekabet etmeme hükümleri AI mühendisi rolüne özgüleştirilir.

Tersine mühendislik bakımından 5846 FSEK m.38/B yazılım için sınırlı izin verir; ancak model ağırlıklarına yönelik tersine mühendislik (model extraction) bu istisnanın dışında kalır. Lisans sözleşmesinde tersine mühendislik yasağı, ihlale özel cezai şart ve mahkeme yetkisi maddeleri sıkı yazılır.

Çalışan Geçişlerinde Sızma Riski

AI ekibi içindeki transferlerde çalışanın taşıdığı belge, model snapshot ve eğitim verisi parçaları en yüksek risk taşır. Çıkış mülakatında sıkı bir veri imha protokolü, donanım iadesi tutanağı ve sözlü mahremiyet hatırlatması yapılır.

Üçüncü Taraf Audit Sözleşmesi

Bağımsız denetçinin model ağırlığını incelediği audit sözleşmesinde “ulaşılan bilginin aynı şekilde gizlilikle korunması” maddesi ve denetim sonrası yedek silme protokolü yazılı olarak saklanır.

Yapay Zeka Sorumluluk Rejimi (TBK m.49, m.65, m.66)

Yapay zeka tarafından verilen yanlış kararın zarara yol açması halinde sorumluluğun temelini Türk Borçlar Kanunu kurar. TBK m.49 haksız fiil sorumluluğu kusur esasına dayanır; tasarımcı, geliştirici, dağıtıcı veya kullanıcının ihmali ya da kasıtlı eylemi ispatlandığında zararın tazmini gündeme gelir. TBK m.65 adam çalıştıran sıfatıyla işverenin objektif sorumluluğunu, TBK m.66 tehlike sorumluluğunu, TBK m.71 eşya sorumluluğunu açıklar. Yapay zeka sistemine “eşya” denip denmeyeceği teori bakımından tartışmalı olsa da güncel doktrin, yüksek tehlike içeren sistemlerin sorumluluk rejimini m.71’e yaklaştırmaktadır.

Birden fazla aktörün katkısı olduğunda TBK m.61 müteselsil sorumluluk rejimi uygulanır. Ürünü kullanan müvekkil tek bir tarafı dava edebilir ya da tüm zincirin müşterek tazminat sorumluluğunu birleştirebilir.

AB Yapay Zeka Sorumluluk Direktifi

Avrupa Komisyonu Eylül 2022’de teklif ettiği AI Liability Directive ile delil engelinin kullanıcı lehine yumuşatılmasını önerdi. 2024’te Komisyon teklifi revize ederek geri çekti; konunun yenilenmiş Ürün Sorumluluk Direktifi (2024/2853) ile birlikte ele alınması gündeme geldi. Türkiye’de paralel düzenleme tartışmaları akademik düzeyde sürmektedir.

Tüketici Sözleşmelerindeki Sorumluluk Sınırı

6502 TKHK m.11 ayıplı mal hükümleri, AI’nin gömülü olduğu fiziksel ürünlerde tüketicinin onarım, iade veya ücret iadesi seçimini sağlar. Tüketici sözleşmelerinde sorumluluk üst sınırı koyan hükümler, TKHK m.5 haksız şart denetimine takılır.

Geliştirici, Dağıtıcı ve Kullanıcı Sorumluluk Zinciri

AI Act 16-25. maddeler ve Türkiye’deki sözleşmesel pratiğin birleşiminde sorumluluk zinciri şu şekilde kurgulanır: geliştirici (provider) modelin tasarımı, eğitimi, sertifikasyonu ve sürüm yönetiminden sorumludur. İthalatçı AB veya Türkiye dışından gelen ürünün uyumluluk dosyası ve etiketlemesini onaylar. Dağıtıcı (distributor) ürünün tedarik zincirini yönetir ve ek bir uyumluluk değerlendirmesi yapmaksızın ürünü piyasaya iletir. Kullanıcı (deployer) ürünü amacına uygun ve geliştirici talimatlarına uygun kullanır; insan gözetimi gereken yerlerde gözetim kadrosu kurar.

Kullanıcı, geliştirici talimatlarının dışına çıkarsa veya kendi başına kayda değer değişiklik yaparsa AI Act 25. madde gereği “yeni geliştirici” sayılabilir. Bu, sorumluluk yükünün zincirin son halkasına kaydığı bir noktadır ve sözleşmede özellikle yazılı olarak hatırlatılır.

İhalede Sorumluluk Paylaşımı

Kamu ihalelerinde tedarikçi şirketin yapay zeka çözümünü idareye teslim ettiği projelerde idare, kullanıcı sıfatıyla insan gözetimi yükümlülüğü altına girer. Sözleşmede teknik destek ve eğitim hükümleri, taraf rollerini şeffaflaştırır.

Şirket İçi Politika Şart

Çalışanların ChatGPT, Claude, Gemini gibi kamuya açık modelleri iş amaçlı kullanması, gizlilik ve telif riskleri getirir. Şirket içi politika; veri sınıflandırma, izin verilen modeller, kayıt zorunluluğu ve yasaklanmış kullanım senaryolarını yazılı kurallarla tanımlar.

Ürün Güvenliği Çerçevesi (7223 Sayılı Kanun)

7223 sayılı Ürün Güvenliği ve Teknik Düzenlemeler Kanunu Mayıs 2021’de yürürlüğe girerek AB Ürün Güvenliği Çerçevesi’ne paralel ulusal sistem kurdu. Yapay zeka entegre fiziksel ürünler (akıllı oyuncak, sürücü destek paneli, robotlu ev aleti) bu kanunun kapsamına girer. Üretici, ithalatçı ve dağıtıcının yükümlülükleri, uygunluk değerlendirme prosedürleri, piyasa gözetim ve idari yaptırımlar bu kanunda düzenlenir.

Yapay zeka unsurunun ürünün güvenlik kritik özelliği olması durumunda, üretici uygun teknik dosyada modelin güvenlik testlerini, eğitim verisi açıklamasını ve hata oranı raporunu sunmak zorundadır. Eksik dosyada idari para cezası, ürünün toplatılması, satışın durdurulması ve hatta cezai sorumluluk gündeme gelir.

CE İşareti ve Türkiye Pratiği

AB iç pazarına satışı planlanan ürünler için CE işareti zorunludur. Türkiye’de iç pazara satışta CE işareti zorunlu olmasa bile, sektörde güven göstergesi olarak yaygındır. AI Act yüksek risk kategorisindeki sistemler için CE işareti, uygunluk değerlendirme prosedürünü tamamladığını gösterir.

Geri Çağırma Operasyonu

Yüksek riskli yapay zeka ürünü modelden gelen ciddi olay nedeniyle geri çağırılırsa Ticaret Bakanlığı sicil veri tabanına kayıt yapılır. Geri çağırma duyurusu, etkilenen müşterilere uygun kanaldan iletilir; finansal yanı için sigorta poliçesi devreye girer.

Deepfake — TCK m.134, m.226, m.267 Kesişimi

Deepfake; üretken yapay zeka ile hazırlanmış sahte ses, görüntü veya video içeriklerinin gerçekmiş gibi sunulmasıdır. Türk Ceza Kanunu sistematiğinde tek bir başlık altında toplanmış değildir; kullanım amacına ve hedefine göre birden fazla suç tipi devreye girer. Kişinin özel hayatına ait bir görüntünün izinsiz işlenmesi TCK m.134 özel hayatın gizliliğini ihlal suçunu, müstehcen içeriğin üretilmesi TCK m.226 müstehcenlik suçunu, kişiyi suçlu gösterecek sahte içerik TCK m.267 iftira suçunu, kişinin tanınabilir görüntüsünün ekonomik amaçla kullanılması TCK m.135-136 kişisel veri kayıt ve aktarma suçlarını oluşturabilir.

2024 yılında yürürlüğe giren 7253 sayılı Kanun teklifi süreciyle dezenformasyon suçu (TCK m.217/A) gündeme geldi. Yapay zeka ile üretilmiş, halkın yanılmasına neden olan içerikler bu madde kapsamında ayrı bir ceza tehdidi yaratmaktadır.

Hukuk Davaları

Deepfake mağduru eş zamanlı olarak hukuk mahkemesinde TBK m.49 ile m.58 manevi tazminat davası açabilir. Mahkemeden tedbir talebiyle içeriğin yayından kaldırılması istenir; 5651 sayılı Kanun m.9 erişim engeli prosedürü sulh ceza hâkimliğine başvuru ile işletilir.

Dijital Delil Yönetimi

Deepfake davalarında en kritik nokta dijital delildir. İçeriğin URL’si, hash değeri, ekran görüntüsü, üretildiği platform ve metadata bilgileri noter ya da bilirkişi marifetiyle kayıt altına alınır. Adli bilişim raporu, üretken model parmak izi ve kaynak izleme analizi içerir.

Sentetik İçerik Etiketleme ve İzlenebilirlik

AI Act 50. madde sentetik içerik üreten sağlayıcıların çıktıyı makine okunabilir biçimde etiketlemesini ister. Türkiye’de 5651 sayılı Kanun ve RTÜK Yönetmeliği yayınlarda yapay zeka kullanımı bilgisinin görünür biçimde verilmesini gündeme getirmektedir. C2PA (Coalition for Content Provenance and Authenticity) standardı, içerik üzerinde dijital imza ve geçiş tarihi gibi metadata sağlar; bu standardın yerel benimsenmesi 2026 itibarıyla pilot ölçekte başlamıştır.

Görsel veya videoda görünür “AI ile üretildi” rozeti, ses içeriklerinde sözel uyarı veya altyazı, basın ürünlerinde künye notu etiketleme yöntemleri arasında sayılır. Etiketleme yapmamak kullanıcıyı yanıltırsa Ticari Reklam Yönetmeliği ile birlikte değerlendirilir.

Watermark ve Filigran Teknolojileri

Sağlayıcılar görünmez filigran (steganografik watermark) yöntemleriyle çıktıyı sonradan tespit edilebilir hale getirir. Mahkemede bu izlerin çözümü için bilirkişi raporu kullanılır. Sahte içerik tespitinde watermark kontrolü, dava sürecinde teknik delildir.

Platformların İçerik Modelasyon Yükümlülüğü

5651 sayılı Kanun m.4 ve sosyal ağ sağlayıcılara getirilen ek yükümlülükler kapsamında platformlar, sentetik içerik bildirimi mekanizması kurarak şikâyet kanalı oluşturmak zorundadır. Türkiye temsilcisinin atanması, içerik kaldırma süresi (24-48 saat) ve şeffaflık raporları bu yükümlülüğün parçasıdır.

Algoritmik Ayrımcılık ve Eşitlik İlkesi

Anayasa m.10 eşitlik ilkesi, idarenin tasarrufları kadar özel sektörün de hizmet sunarken ayrımcılık yapmasını sınırlar. 6701 sayılı Türkiye İnsan Hakları ve Eşitlik Kurumu Kanunu m.3 ayrımcılık yasağını cinsiyet, etnik köken, din, yaş, engellilik ve diğer hassas kategorilerde tanımlar. Yapay zeka modelinin geliştirilme aşamasında eğitim verisinin temsil dengesi sağlanmazsa model çıktısında istem dışı önyargı oluşur. Bu önyargı somut bir hizmetin reddi, fiyat farklılaştırması ya da iş başvurusunda eleme şeklinde tezahür ettiğinde 6701 sayılı Kanun kapsamında şikâyet hakkı doğar.

İdare hukukunda algoritmik karar, idari işlem niteliğinde olabileceği için 2577 sayılı İdari Yargılama Usulü Kanunu kapsamında iptal davasına konu olur. Model çıktısının gerekçesi yetersiz görüldüğünde idarenin eylemine karşı dava açılır.

Bias Audit Süreci

Bağımsız denetim firması model çıktılarını farklı demografik gruplar üzerinde test eder; demographic parity, equalized odds gibi adalet metriklerini ölçer. Rapor, geliştiriciye ve denetim otoritesine sunulur. Türkiye’de Türk Akreditasyon Kurumu bu denetim faaliyetinin akreditasyon zeminini kademeli olarak inşa etmektedir.

Düzeltici Eylem

Bias tespiti sonrasında model yeniden eğitilir, eğitim verisinin temsili dengelenir, eşik değerleri ayarlanır ve etkilenen kişilere telafi sunulur. Sürecin yazılı bir aksiyon planı çerçevesinde yürütülmesi, sonradan açılacak davalarda işverenin lehine değerlendirme oluşturur.

İş Hukukunda AI Tabanlı Karar ve Otomasyon Kaynaklı Fesih

İş başvurusunun yapay zeka algoritması ile elenmesi, çalışanın performansının otomatik sistemlerle değerlendirilmesi ve otomasyon nedeniyle pozisyonun kapanması iş hukukunda farklı sorunlara yol açar. 4857 sayılı İş Kanunu m.18-19 geçerli ve haklı sebep ayrımı, otomasyon kaynaklı fesihte teknik gereklilik ile sözleşmesel sürdürülebilirlik dengesini ister. İşveren; modelin önerdiği fesih kararını insan kararı olarak gözden geçirip belgelemek zorundadır. Aksi halde sırf algoritma çıktısına dayanan fesih, işe iade davasında geçersiz sayılabilir.

İşçi sağlığı ve güvenliği bakımından 6331 sayılı İş Sağlığı ve Güvenliği Kanunu m.4 kapsamında yapay zekanın izleme amaçlı kullanımı işverene risk değerlendirmesi yükümlülüğü doğurur. Kamera kaydı ve davranış analitiği aracı kullanılması KVKK m.5/2-(f) meşru menfaat dengesi içerisinde yorumlanır.

Sendika Müzakeresi

Toplu iş sözleşmesinde otomasyon ve AI kullanımı maddeleri, sendika ile müzakere edilen alandır. Toplu işten çıkarmada 4857 m.29 prosedürü uygulanır; İŞKUR’a 30 gün önceden bildirim, danışma toplantıları ve alternatif iş arama yükümlülüğü gözetilir.

Yeniden Yetkilendirme Eğitimi

Otomasyon nedeniyle istihdamı sona eren çalışanlar için yeniden mesleki eğitim, İŞKUR ile koordineli yapılan teşvikli kurslar ve dijital beceri programları uygulanır. Sözleşmesel olarak işveren bu eğitimleri sunmayı taahhüt etmişse, taahhüdün ifa edilmemesi tazminat doğurur.

Sağlık Hukukunda AI ve Tıbbi Cihaz Çerçevesi

Yapay zeka destekli tanı, görüntüleme, tedavi planlama ve hasta takip sistemleri Tıbbi Cihaz Yönetmeliği (Resmî Gazete 2 Haziran 2021) kapsamında değerlendirilir. AB MDR 2017/745 ve IVDR 2017/746 çerçevesi paralel uygulanır. AI destekli yazılımlar Class IIa veya üzeri sınıflandırmaya girdiğinde Onaylanmış Kuruluş incelemesinden geçer.

Hekim malpraktis dosyalarında AI önerisinin kullanılması, 1219 sayılı Tababet Kanunu m.13 ve TCK m.85 taksirle ölüme veya yaralamaya neden olma çerçevesinde değerlendirilir. AI modelinin önerisi hekimi sorumluluğun dışına çıkarmaz; tıbbi karar son tahlilde hekimindir.

Klinik Karar Destek Sistemi (CDSS)

CDSS yazılımları için TİTCK başvurusu, klinik valid asyon raporu, eğitim verisi açıklaması ve risk yönetimi planı zorunludur. Hastanenin satın alma kararında bu belgelerin ön kontrolü yapılır.

Hasta Aydınlatması

Hasta Hakları Yönetmeliği uyarınca hasta, kendisine uygulanacak yöntemler hakkında bilgilendirilir. AI destekli karar süreçleri varsa bu durum onam metninde açıklanır; tedaviye onay vermeme hakkı saklı tutulur.

Otonom ve Yarı Otonom Araçlar — KTK ve Karayolları

Otonom sürüş seviyesi 0’dan 5’e kadar SAE J3016 ölçeğinde tanımlanır. Türkiye’de 2918 sayılı Karayolları Trafik Kanunu m.85 işletenin sorumluluk rejimi kusur sorumluluğunu sertleştirir; otonom seviyenin yükseldiği oranda sürücü iradesinden bağımsız zararların değerlendirilmesinde tehlike sorumluluğu öne çıkar. Saha testi sırasında Karayolları Genel Müdürlüğü’nden saha izni, BTK’dan iletişim altyapısı izni ve yerel mülki amirinden onay alınması gerekir.

Otonom araç üreticilerinin sigorta poliçesi, klasik trafik sigortasını aşan kapsam gerektirir. Üretici sorumluluk sigortası ve siber sorumluluk sigortası birleşik biçimde tasarlanır.

Veri Kayıt Cihazı

Otonom araç veri kayıt cihazı (EDR), kazadan önceki saniyelerin sensör girdisini ve karar zincirini kaydeder. Adli soruşturmada bu kayıt belirleyici delil olur. Veri kaydının üretici sunucusuna yapılması durumunda KVKK m.9 yurt dışına aktarım rejimi devreye girer.

Trafik Cezası ve Otonom

Otonom sürüş sırasında trafik kuralının ihlal edilmesi halinde idari para cezası kim adına düzenlenir sorusu güncel pratikte şoföre, işletene ya da üreticiye göre değişebilmektedir. KGM ve İçişleri Bakanlığı koordinasyonunda hazırlanan kılavuz çalışmaları sürmektedir.

Finansal Hizmetlerde Algoritmik Karar (SPK ve BDDK)

Sermaye Piyasası Kurulu’nun III-37.1 sayılı Algoritmik İşlemler Tebliği, borsada yüksek frekanslı işlem yapan algoritmaların kayıt yükümlülüğünü, risk testlerini ve devre kesici tedbirlerini düzenler. Robo advisor (otomatik yatırım danışmanlığı) hizmetleri III-55.1 sayılı Yatırım Hizmetleri Tebliği kapsamında yatırım hizmeti sayılır; lisanssız sunum 6362 sayılı SPKn m.107 yetkisiz işlem suçunu doğurur.

Bankacılık Düzenleme ve Denetleme Kurumu’nun Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği (15 Mart 2020), bankaların kredi puanlama, dolandırıcılık önleme ve müşteri profilleme amacıyla kullandığı algoritmaların güvenlik ve denetim çerçevesini çizer. Üçüncü taraf model kullanımı durumunda outsource yönetim politikası BDDK denetimine sunulur.

Dijital Bankacılık ve Robo

5411 sayılı Bankacılık Kanunu m.76/A ve şubesiz dijital banka çerçevesi, AI tabanlı süreçlerin yoğun olduğu yeni bir alandır. Müşteri kabul süreçlerinde KKB skoruyla birlikte modelin önerisi, kredi kararına dayanak yapılır. İtiraz hakkı sağlanması ve insan müdahalesi sözleşme şartı olarak düzenlenir.

MASAK ve AI Tabanlı Şüpheli İşlem Tespiti

5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve MASAK Yönergesi gereği finansal kuruluşlar şüpheli işlem bildirimi yapar. AI tabanlı tespit modelleri, alarm üretimini hızlandırır; ancak son nezarete giden kararı uyum görevlisi alır. Modelin alarm eşikleri ve false positive oranları periyodik denetlenir.

Eğitim Sektöründe Öğrenci Verisi ve Adaptif Öğrenme

Adaptif öğrenme platformları öğrencinin ilerlemesini takip ederek kişisel eğitim yolu önerir. Bu süreçte 6698 KVKK m.6 özel nitelikli veri (öğrencinin sağlık durumu, etnik köken bilgisi) işlenebilirse açık rıza şarttır. MEB’in 2023/12 sayılı Yönergesi öğrenci verisinin yurt dışına aktarımı ve üçüncü taraf kullanımı için onay süreçleri tanımlar.

Çocuğun yararı ilkesi (Anayasa m.41 ve TMK m.339) bu sektörde her hukuki kararın merkezindedir. Velinin onayı, ek tedbirlerle birleşir; çocuğun onam yeteneği yaşa uygun düzeye yaklaştığında ek bilgilendirme yapılır.

Sınav Gözetiminde AI

Online sınavlarda kameralı gözetim ve davranış analitiği uygulamaları AI Act 5. madde duygu tanıma yasağı ile çakışabilir. Türkiye’de eğitim kurumları bu araçları kullanmadan önce gerekçeli risk analizi hazırlamalıdır.

Ödev Üretiminde AI

Öğrencilerin ödev hazırlığında üretken modelleri kullanması üniversitelerin akademik dürüstlük yönetmeliklerine konu olur. Dürüstlük metni ve atıf gerekliliği, hukuki olarak öğrenci sözleşmesinin parçasıdır.

Adalet Sisteminde AI Kullanımı ve UYAP Entegrasyonu

Adalet Bakanlığı UYAP (Ulusal Yargı Ağı Bilişim Sistemi) içinde belge sınıflandırma, dilekçe taslağı, içtihat tarama ve duruşma transkripti gibi modüller pilot çalışmalarda kullanılmıştır. Hâkimin karar verme yetkisinin yerine geçmemesi kuralı bu uygulamaların temel kırmızı çizgisidir. AİHM Magyar Helsinki Bizottsága v. Hungary kararının (Application no. 18030/11) ışığında kamuoyu denetimi ile birleşen şeffaflık ilkesi yapay zeka tabanlı yargı uygulamaları için de geçerlidir.

İçtihat Tarama Modelleri

Yargıtay ve Danıştay içtihatlarını semantik olarak tarayan modeller, hukuki araştırmayı hızlandırır. Bu modellerin halisinasyon ürettiği tespit edilen içtihatlar dilekçeye girmeden önce mevzuat.adalet.gov.tr/ictihat üzerinden teyide alınır.

Adli Bilişim Yapay Zekası

Cep telefonu inceleme, log analizi ve görüntü iyileştirme alanlarında kolluk birimleri AI araçlarını kullanır. Bu çıktılar mahkemede delil olarak sunulduğunda CMK m.134 inceleme prosedürü uygulanır; bilirkişi tarafından doğrulama esastır.

Yapay Zeka ile İşlenen Suçlar — TCK m.158, m.244, m.245

Yapay zeka ile işlenen dolandırıcılık dosyalarında en sık başvurulan hüküm TCK m.158 nitelikli dolandırıcılıktır. Sentetik ses ile şirket içi para transferi (CEO fraud) sahneleri, deepfake video ile sahte randevu kurgusu, AI tabanlı sahte kimlik belgeleri bu kapsama girer. TCK m.244 sistemi engelleme ve bozma ile m.245 banka veya kredi kartlarının kötüye kullanılması suçları ile birleşik iddianame yaygındır.

İdari adresleri yanıltarak resmi belge düzenleme amacıyla AI kullanımı, TCK m.204 resmi belgede sahtecilik suçunu, sahte sosyal medya hesabı oluşturup kişiyi hedef alma TCK m.136 verilerin hukuka aykırı verilmesi suçunu doğurabilir. Soruşturma evresinde adli bilişim raporu, IP eşleştirmesi ve sosyal mühendislik analizi, suçun ispatına temel teşkil eder.

Şikâyet ve Müşteki

Mağdur, kolluk veya savcılığa şikâyetin yanı sıra sosyal medya platformlarına içerik kaldırma talebi iletir. Avukat bu süreçte hem ceza yargılamasını hem 5651 erişim engeli prosedürünü hem de kişilik hakları davasını koordine eder.

Yardım ve İştirak

AI modeli geliştirenin, modelin suçta kullanılacağını bilerek dağıtması TCK m.39 yardım sorumluluğuna yol açabilir. Gri alanların azaltılması için kullanım koşullarında ve teslim öncesi due diligence süreçlerinde düzenli uyumluluk taraması yapılır.

AI Sözleşmeleri — Lisans, SaaS ve API Modelleri

Yapay zeka çözümlerinin üç temel ticarileştirme modeli vardır: tek seferlik lisans, SaaS aboneliği ve API erişimi. Her bir model farklı sözleşme yapılandırması gerektirir. Lisans sözleşmesinde kapsam tanımı, alt lisans yetkisi, kullanıcı sayısı ve kurumsal sınırlar belirlenir. SaaS sözleşmesinde hizmet seviyesi (SLA), uptime taahhüdü, veri saklama süresi ve göç (exit) prosedürü öne çıkar. API sözleşmesinde rate limit, çağrı bazlı ücretlendirme, yanıt süresi ve hata kotası düzenlenir.

Yapay zeka sözleşmesinde standart Borçlar Kanunu hükümlerinin üstüne özel maddeler eklenir: çıktı sahipliği (kullanıcı mı sağlayıcı mı), çıktının üçüncü taraf eserine benzemesi halinde tazminat (IP indemnity), eğitim verisinin müşteri sorgularıyla beslenmemesi, modelin sürüm değişikliklerinde geri etkili etki, halüsinasyon riski uyarısı ve prompt engineering iş ürününün sahipliği gibi.

Mücbir Sebep ve Model Geri Çekilmesi

Bir modelin sağlayıcı tarafından sebebe bağlı olarak (örn. yasal ihlal iddiası) hizmetten kaldırılması, sözleşmenin müşteri tarafında ifa imkânsızlığına yol açabilir. Mücbir sebep maddesinde bu senaryonun tanımlanması, alternatif sağlayıcı geçişi ve geri ödeme prosedürü düzenlenir.

Türk Hukuku Tahkim Tercihi

Sınır ötesi sözleşmelerde tahkim merkezi olarak ICC Paris, LCIA Londra veya İstanbul Tahkim Merkezi (ISTAC) seçimi yapılabilir. Türk müvekkil için ISTAC, dil ve maliyet avantajı sunar. Yetki ve uygulanacak hukuk maddeleri açıkça yazılır.

Model Tedarik, Eğitim Verisi ve Üçüncü Taraf Sözleşmeleri

Yapay zeka projesinde sağlayıcı tek bir tedarikçi değildir. Model üreticisi, eğitim verisi tedarikçisi, etiketleme firması, bulut altyapı sağlayıcısı, MLOps platformu ve değerlendirme audit firmaları paralel sözleşmesel ilişki içinde çalışır. Avukat, bu zincirin tamamında veri akışını izlemek ve sorumluluğu paylaştırmak zorundadır.

Etiketleme firması ile imzalanan sözleşmede; etiketçi çalışan başına gizlilik taahhüdü, etiketleme metodolojisi, kalite kontrol oranı, alt yüklenici kullanım yasağı ve veri imha protokolü kayıt altına alınır. Etiketleme firmasının sınır ötesi olması durumunda yine KVKK m.9 prosedürü uygulanır.

Bulut Sağlayıcı Sözleşmesi

Bulut altyapı sözleşmesinde veri ikametgâhı, müşteri yönetimli anahtar (CMK), şifreleme standardı, denetim raporları (SOC 2, ISO 27001), yedekleme prosedürü ve felaketten kurtarma (DR) süreleri yazılı olarak düzenlenir.

Açık Kaynak Politikası

AI projeleri büyük ölçüde açık kaynak kütüphanelere bağımlıdır. PyTorch, TensorFlow, Hugging Face Transformers gibi temel kütüphanelerin lisanslarına uygunluk kontrolü, üst seviye sözleşme ile birleşik takip edilir. Lisans incelemesi yazılım malzemesi listesi (SBOM) üzerinden yapılır.

Açıklanabilirlik (XAI), Bağımsız Denetim ve Sertifikasyon

Açıklanabilirlik (Explainable AI), modelin kararının gerekçesini insanın anlayabileceği biçimde sunmasıdır. AI Act 13. madde, yüksek riskli sistemlerin açıklanabilirlik düzeyini sağlayıcı yükümlülüğüne bağlar. Türkiye’de KVKK m.10 aydınlatma yükümlülüğü ve m.11 itiraz hakkı, açıklanabilirliğin pratik karşılığını üretir. SHAP, LIME, integrated gradients gibi yöntemler model çıktısının özniteliklere katkısını gösterir.

Bağımsız denetim ve sertifikasyon, şirketlere proaktif uyumluluk sağlar. ISO/IEC 42001 (AI yönetim sistemi), ISO/IEC 23894 (AI risk yönetimi), ISO/IEC 25012 (veri kalitesi) gibi standartlar şirket içi süreçleri standartlaştırır. Türk Akreditasyon Kurumu bu standartların yerel akreditasyon altyapısını oluşturma çalışmalarını sürdürür.

Audit Raporunun Hukuki Etkisi

Bağımsız denetçi raporu, ileride açılabilecek davalarda işverenin gerekli özeni gösterdiğini ispatlayan bir belge olarak sunulur. Düzenli (yılda bir veya altı ayda bir) yapılan audit raporları sigorta poliçesinde de prim avantajı yaratabilir.

Bug Bounty ve AI Red Teaming

Modelin güvenliğini test etmek için bug bounty programları ve red teaming çalışmaları yürütülür. Bu çalışmalarda yetkilendirilmiş test yapan üçüncü taraflar ile ayrı bir sözleşme imzalanır; safe harbor maddeleri yazılır.

Çocukların Yapay Zeka Sistemlerinden Korunması

Birleşmiş Milletler Çocuk Hakları Sözleşmesi’nin 16. maddesi çocuğun özel hayatına ve onuruna yönelik keyfi müdahaleyi yasaklar. UNICEF’in “Yapay Zeka ve Çocuk” politika rehberi, çocukların verisinin AI projelerine girişinde güçlendirilmiş koruma talep eder. Türkiye’de 5395 sayılı Çocuk Koruma Kanunu, MEB Yönetmelikleri ve Anayasa m.41 birlikte değerlendirildiğinde, çocuk verisi ile çalışan modellerin tasarım aşamasında çocuk koruma değerlendirmesi yapılması beklenir.

Oyun, eğitim ve sosyal medya uygulamalarında çocuğun yaşına uygun olmayan içeriğin AI tarafından üretilmesi ya da çocuğun avatar olarak deepfake’e dönüştürülmesi ciddi ceza ve hukuk sorumluluğu doğurur. TCK m.103 cinsel istismar suçu ve TCK m.226/3 müstehcen yayım suçu doğrudan tetiklenebilir.

Yaş Doğrulama

Online platformlar yaş doğrulama mekanizması kurarak çocuk hesaplarını ayırt etmek zorundadır. AI tabanlı yaş tahmin sistemleri biyometrik veri işlediğinde KVKK m.6 hassas veri rejimi tetiklenir; istisnai gerekçe gösterilir.

Veli Onayı

13 yaşın altındaki kullanıcılar için açık veli onayı standart pratiktir. Veli onayı süreci tek tıkla geçilen bir kutucuk değil, doğrulanabilir prosedürle (kimlik kontrolü, ek e-posta onayı) yürütülür.

AI Sistemlerine Yönelik Siber Risk ve Saldırı Yüzeyi

Yapay zeka sistemleri klasik bilgi güvenliği saldırılarına ek olarak ML’e özgü tehditlere maruz kalır. Adversarial attack (girdi manipülasyonu), data poisoning (eğitim verisi zehirleme), model extraction (parametre çalma), prompt injection (komut enjeksiyonu) ve membership inference (eğitim verisi sızıntısı) bu kategorinin başlıcalarıdır. ENISA “Securing Machine Learning Algorithms” raporu ve NIST AI Risk Management Framework yerel pratikte rehber olarak kullanılır.

Saldırı durumunda olay müdahale süreci hem KVKK m.12 ihlal bildirimi hem de hizmet sözleşmesindeki SLA ihlali rejimi devreye girer. Adli bilişim ekibinin hızla çağrılması ve yedeklerin korunması müdahalenin temelidir.

Sıfır Gün Açıkları

Üretken AI sistemlerinde keşfedilen yeni güvenlik açıkları (sıfır gün) hızla yamanmalıdır. CVE numarası verilen açıkların takibi, CVSS skoruna göre önceliklendirme ve müşterilere bildirim politikası sözleşme zemininde yazılı olarak yönetilir.

Modeli Hedefleyen Fidye Saldırısı

Model ağırlıklarını şifreleyen fidye yazılım saldırıları artmaktadır. Veri koruması için soğuk yedek (offline backup) tutulması, model versiyon kontrolü ve düzenli kurtarma denemeleri savunma derinliğini artırır.

AI Tabanlı Reklam, Hedefleme ve Ticari Reklam Yönetmeliği

Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği reklam içeriğinde dürüstlük ve aldatıcı olmama ilkesini belirler. AI tarafından üretilmiş reklamlarda sentetik içerik etiketi gerekirken, AI tabanlı reklamların aşırı kişiselleştirme ile manipülatif olması da haksız ticari uygulama olarak değerlendirilir. Reklam Kurulu son yıllarda dark pattern içeren tasarımlara yoğunlaşan kararlar üretmektedir.

AI ile üretilen ürün görselleri, gerçek üründen önemli ölçüde farklıysa tüketici 6502 TKHK m.61 yanıltıcı reklam ve m.8 ayıplı mal hükümleri ile hak arar. Uygulamada Reklam Kurulu para cezası ve durdurma kararını bir arada uygular.

Davranışsal Reklam ve Çerez

Davranışsal hedefleme için kullanılan kullanıcı profilleme süreci 6698 KVKK kapsamında değerlendirilir; çerez politikası ve ilk taraf veri yönetimi şeffaflıkla sunulur. KVKK Kurulu’nun çerez rehberi 2022’de yayımlanmıştır.

Kişiselleştirilmiş Fiyat

Aynı ürünün farklı kullanıcılara farklı fiyatla sunulması (price personalization), TKHK m.61 ve Anayasa m.10 eşitlik ilkesi açısından risklidir. Avrupa Omnibus Direktifi (2019/2161) bu konuda şeffaflık yükümlülüğü getirmiştir.

Influencer Pazarlamada Yapay Zeka Karakter ve Avatar Kullanımı

Sanal etkileyiciler (virtual influencer) AI ile yaratılmış sanal karakterler aracılığıyla marka iletişimi yürütür. Bu karakterlerin “sanal kişi” olduğu açıkça belirtilmediğinde tüketici Reklam Yönetmeliği m.7 dürüstlük ilkesi ihlal edilir. Sözleşmeli influencer programlarında karakterin telif hakkı, marka ile ilişkisi ve gelirin paylaşımı yazılı olarak düzenlenir.

Gerçek bir influencer’ın görüntüsünün AI ile manipüle edilerek izinsiz reklam içeriği oluşturulması TCK m.134 ve KVKK m.135 ile birleşik suç oluşturur. Mağdur influencer hem ceza hem hukuk yargılamasını başlatabilir.

Sponsorluk Açıklaması

AI karakter aracılığıyla yapılan reklamda sponsorluk açıklamasının açıkça yapılması zorunludur. “Reklam”, “İşbirliği” gibi etiketler içeriğin görünür yerinde kullanılır.

Sözleşmesel Çıkış

Sanal etkileyici sözleşmesinde markanın karakteri devralma seçeneği, karakterin emekliliği ve yaratıcı ekibin değişikliği halinde işbirliğinin sürdürülmesi maddeleri düzenlenir.

Sektör Uyum Notu: Fintech ve Kredi Skor Modelleri

Bireysel kredi skor motoru kullanan fintech şirketleri, BDDK ve KKB rehberleri çerçevesinde modelin doğruluk testlerini, ayrımcılık önleme tedbirlerini ve karar açıklamasını sağlamakla yükümlüdür. KKB Findeks skoruyla ilişkilendirilen üçüncü taraf modeller; veri kalitesi, kaynak güvenilirliği ve denetim izi bakımından düzenli izlenir.

Müşteri kredi başvurusunun reddi halinde itiraz mekanizması; müşteriye sözlü olarak değil, yazılı kanaldan iletilir ve 30 gün içinde değerlendirilir. KVKK Kuruluna şikâyet ihtimali her zaman saklıdır.

Suistimal Önleme (Fraud Detection)

AI tabanlı dolandırıcılık önleme modelleri yanlış pozitif (false positive) verirse müşterinin işlemi haksız olarak engellenebilir. Bu durumda hizmet eksikliği nedeniyle TBK m.112 sözleşmenin gereği gibi ifa edilmemesi tartışılır.

Algoritmik İşlemde Devre Kesici

Borsada algoritmik işlem yapan kurum, BIST devre kesici tetikleyicilerine paralel iç kontrol mekanizması kurar. Yanlış kalibrasyon nedeniyle piyasa istikrarına zarar veren uygulamalar SPKn m.107 manipülasyon suçu zemininde değerlendirilir.

Sektör Uyum Notu: İK Otomasyonu ve İşe Alım Algoritmaları

İK otomasyon araçları CV tarama, video mülakat değerlendirme ve performans analitiği yapar. AI Act Ek III altında istihdam ve İK uygulamaları yüksek risk kategorisindedir. Türkiye uygulamasında 4857 İş Kanunu m.5 ayrımcılık yasağı ve 6701 sayılı Eşitlik Kurumu Kanunu zorunlu uyumluluk yapı taşıdır.

İşe alım sürecinde algoritma sonucuna göre eleme yapılan adaylara, süreç hakkında bilgi sağlanır ve şikâyet kanalı kurulur. Süreç şeffaflığı, ileride açılabilecek tazminat davasında işverenin lehine değerlendirilir.

Performans Yönetimi

Çalışan performansının AI ile sürekli izlenmesi, TBK m.417 işçinin kişiliğini koruma yükümlülüğü ile çakışır. Aşırı izleme, mobbing iddiasına da zemin olabilir; işveren bu nedenle minimum müdahale ilkesini benimser.

Uzaktan Çalışma ve İzleme

Uzaktan çalışan personelin ekran görüntüsü ve klavye tuşlamasını izleyen AI araçları KVKK ve İş Kanunu denetimine girer. Yazılı politikalar ve şeffaf bilgilendirme zorunludur.

Uluslararası Etik Çerçeveler — UNESCO 2021, OECD, Avrupa Konseyi

UNESCO’nun Kasım 2021’de kabul ettiği Yapay Zeka Etiği Tavsiyesi, üye devletlerin AI politika ve mevzuatına etik prensiplerin yerleşmesini hedefler. OECD AI İlkeleri (Mayıs 2019, güncellenmiş 2024) insan merkezli tasarım, şeffaflık, sağlamlık ve hesap verebilirlik gibi yatay prensipleri tanımlar. Avrupa Konseyi’nin 2024’te imzaya açtığı Çerçeve Sözleşme (Convention on Artificial Intelligence) 17 Mayıs 2024’te kabul edildi; insan hakları, demokrasi ve hukuk devleti üçgeninde AI sistemlerine ilişkin bağlayıcı uluslararası standartlar getirir.

Türkiye bu sözleşmeyi imzalayan ülkeler arasında yer aldı. Onay ve iç hukuka aktarım sürecinde TBMM tartışmaları beklenmektedir; iç hukuk normuna dönüşüm sonrası Türkiye’deki AI sağlayıcılarının ek raporlama yükümlülükleri doğacaktır.

Sürdürülebilir AI

Modellerin enerji tüketimi ve karbon ayak izi, AB Yeşil Mutabakat ve Türkiye’nin İklim Değişikliği Eylem Planı çerçevesinde dikkate alınır. Veri merkezi seçimi, model eğitiminin enerji verimliliği ve sürdürülebilirlik raporu büyük müşteri ihalelerinde puanlama kriteri olabilir.

İnsan Hakları Etki Değerlendirmesi (HRIA)

Yüksek riskli AI projelerinde HRIA, sistemin uygulanmasının insan hakları üzerindeki olası etkilerini sistematik olarak değerlendirir. Bağımsız teknik kuruluşlardan alınan görüş, projenin meşruiyetini güçlendirir.

AI Olaylarında Bilirkişilik ve Adli Bilişim

Yargılamada yapay zeka tabanlı bir hukuki sorun gündeme geldiğinde mahkeme genellikle bilirkişiye başvurur. CMK m.62 ve HMK m.266 hükümleri bilirkişi atama prosedürünü düzenler. Bilirkişinin yapay zeka mimarisi, model eğitimi ve değerlendirme metrikleri konusunda yeterliliği aranır. Adalet Bakanlığı Bilirkişilik Daire Başkanlığı listesinde “yapay zeka” alt başlığı henüz oluşturulmamış olsa da bilişim ve veri analitiği alt alanlarına başvurulur.

Avukat olarak müvekkilin teknik anlatımının mahkemece doğru biçimde anlaşılması için bilirkişi toplantısına katılmak, özel mütalaa ile karşı görüş sunmak ve teknik dosyanın açıklamasını dilekçe diline çevirmek görevin parçasıdır.

Karşı Bilirkişilik

Tarafların kendi uzmanlarından aldığı raporlar (özel mütalaa) HMK m.293 kapsamında mahkemece dikkate alınır; bilirkişi raporundan ayrı bir kanıt türü değil, hâkimin değerlendirmesinde yardımcı belge olarak işlev görür.

Adli Bilişim Hattı

AI saldırı mağduru bir kuruluş, adli bilişim ekibini hızla devreye alarak log kayıtlarını, model snapshot’larını ve kayıt sistemini yedekler. Yedeklerin hash değerleri ile mühürlenmesi, sonradan delil tartışmasını önler.

İstanbul Yargı Çevresi ve Pratik Notlar

İstanbul Anadolu ve Çağlayan adliyelerinde bilişim suçları, fikri mülkiyet ihtisas ve tüketici mahkemeleri yapay zeka davalarının ana adresleridir. Anadolu Adliyesi 2. Bilişim ve Sanayi Mahkemesi, Çağlayan 1-3. Fikri ve Sınai Haklar Hukuk Mahkemeleri ile Tüketici Mahkemeleri Ana Karagümrük binasında hizmet verir. Acil tedbir taleplerinde nöbetçi sulh ceza hâkimliği, KVKK Kurulu için Ankara merkez başvuru tek mercidir.

Alyar Hukuk & Danışmanlık Kartal merkezli olarak Anadolu yakasında yapay zeka projelerine sözleşme tasarımı, KVKK uyum denetimi, Reklam Kurulu sav, Tüketici Hakem Heyeti süreçleri ve ceza yargılaması alanlarında destek vermektedir. Fiziksel görüşme tercih edilen müvekkiller için Cevizli mahallesindeki ofis, online görüşme tercih edilenler için Microsoft Teams üzerinden randevu kanalları kullanılır.

Acil Müdahale

Veri ihlali, deepfake yayılımı, marka taklidi ya da hesap çalınması gibi acil olaylarda 24-48 saat içinde teknik delil toplama ve hukuki başvuru prosedürü işletilir. Acil hat ofisin çalışma saatlerine bağlı olarak randevu sistemi üzerinden işler.

Belge Hazırlığı

İlk görüşme öncesinde müvekkil; modelin teknik özet sayfası, eğitim verisi listesi, sözleşme örnekleri, varsa ihlal ekran görüntüsü ve yazışma kayıtlarını klasör halinde getirir. Kapsamlı dosya, görüşmede stratejik kararların verilmesini hızlandırır.

Şirketlerin Sıkça Yaptığı 7 Hata

Birinci hata; AI projesini sadece yazılım ekibinin yürüttüğü bir teknoloji girişimi sanmak. Hukuk ve uyum ekipleri proje başlangıcına dahil edilmediğinde geri dönüş maliyetleri çok yüksek olur. İkinci hata; üretken model kullanım koşullarını okumadan kurumsal aboneliğe geçmek. Çoğu modelin hizmet şartı, müşterinin sorgularını eğitim için kullanmaya izin verir; bu detay gözden kaçırıldığında ticari sır kaybı meydana gelir. Üçüncü hata; aydınlatma metnini eski veriyi otomatik karar metniyle harmanlamadan kopyalayıp yapıştırmak. KVKK Kurulunun ihlal kararlarında bu hata sıklıkla cezalandırılır.

Dördüncü hata; yurt dışı bulut sağlayıcısıyla standart sözleşme imzalamadan veri akışını başlatmak. Beşinci hata; insan gözetimi adı altında sembolik bir onay mekanizması kurmak. Altıncı hata; açıklama hakkını sözleşme şartı ile reddedildiğini sanmak; KVKK m.11 kanunî hak olduğu için sözleşme ile sınırlandırılamaz. Yedinci hata; model bias testini bir kez yapıp arşivlemek; modelin sürekli güncellendiği ortamda bias testleri periyodik tekrarlanır.

Dört Kurgusal Senaryo (Eğitim Amaçlı)

Aşağıdaki senaryolar tamamen kurgusaldır; gerçek bir kişi, dosya veya kuruluşla benzerlik tesadüfidir. Eğitim amaçlı hazırlanmıştır.

Senaryo 1 — CEO Sahte Sesli Talimat

Orta ölçekli bir lojistik firmasının muhasebe müdürü, CEO’nun sesine son derece benzeyen bir sesli mesaj alır. Mesajda acil bir gümrük tahsilatı için Lüksemburg’daki bir hesaba yedi haneli bir transfer talimatı verilmektedir. Müdür talimatı doğrulamadan transferi yapar. Olay sonradan üretken AI ile kurgulanmış bir ses (deepfake voice cloning) olarak ortaya çıkar. Hukuki süreçte TCK m.158/1-(f) bilişim sistemleri kullanılarak işlenen nitelikli dolandırıcılık ile m.245 banka kartlarının kötüye kullanılması suçları gündeme gelir. Hukuk yargılamasında firma işverenden TBK m.66 işveren sorumluluğu temelinde tazminat talebinde bulunulur; iç prosedür eksiklikleri tartışılır. Müşterinin sigorta poliçesinde siber dolandırıcılık teminatı varsa zarar tazmini bu yoldan da takip edilir.

Senaryo 2 — Sosyal Medyada Sentetik Görüntü

Bir tanınan akademisyenin yüzü, üretken modeller kullanılarak yetişkin içerik kompozisyonuna eklenir ve kısa süre içinde sosyal medyada yayılır. Mağdur akademisyen 5651 sayılı Kanun m.9 hükmüne göre sulh ceza hâkimliğine erişim engeli talebinde bulunur. Eş zamanlı olarak savcılığa TCK m.134, m.226 ve m.267 dayanaklı şikâyet dilekçesi verilir. Hukuk yargısında TBK m.49 ve m.58 uyarınca manevi tazminat davası açılır. Platformlardan tutanak talep edilir; içeriğin yayılma kanalları ve hesap sahipleri tespit edilerek dava genişletilir.

Senaryo 3 — Kredi Algoritmasının Ayrımcı Çıktısı

Bir fintech kuruluşu, bireysel kredi skor motorunda kullandığı AI modelinin belirli bir bölgedeki müşterileri sürekli olarak reddettiğini fark eder. Bağımsız bias audit raporu modelin eğitim verisindeki coğrafi temsil eksikliğini ortaya koyar. Müşterilerden biri KVKK m.11/1-(g) hakkıyla itiraz eder; itiraz reddedildiğinde Kurula şikâyet eder. Aynı zamanda 6701 sayılı Eşitlik Kurumu Kanunu çerçevesinde TİHEK’e başvuru yapılır. Şirket düzeltici eylem planı hazırlayarak modeli yeniden eğitir, etkilenen başvurulara yeniden değerlendirme imkânı sunar.

Senaryo 4 — Tıbbi Karar Destek Sisteminde Hatalı Öneri

Bir özel hastane, görüntüleme analizinde AI destekli karar sistemini operasyona alır. Sistem yanlış pozitif rapor üretir; gereksiz biyopsi alınan hasta tıbbi malpraktis davası açar. Yargılamada hekim, AI önerisini yalnızca yardımcı bilgi olarak kullandığını ancak son kararı kendisinin verdiğini ileri sürer. CMK m.62 ile bilirkişi incelemesi yapılır; sistemin doğruluk oranı, hastanenin satın alma sözleşmesi ve hekimin onam belgesi paralel incelenir. Hastanenin satıcısı ile imzaladığı sözleşmedeki ürün sorumluluğu maddesi rücu davasında belirleyici olur.

Hukuk Ücreti ve Hizmet Modelleri

Avukatlık ücreti, 1136 sayılı Avukatlık Kanunu m.163 ve devamı uyarınca avukat ile müvekkil arasında serbestçe kararlaştırılır. Türkiye Barolar Birliği’nin yıllık olarak yayımladığı Avukatlık Asgari Ücret Tarifesi (AAÜT) alt sınırı belirler. Yapay zeka hukuku gibi teknik yoğunluklu alanlarda saatlik faturalama, projeye dayalı sabit ücret, retainer (aylık danışmanlık ücreti) ve başarıya bağlı prim modelleri birlikte kullanılır. Başarıya bağlı ücret, davanın değerinin %25’ini geçemez (Avukatlık K. m.164/4).

Hizmet modelleri arasında AI Uyumluluk Paketi (KVKK + AI Act + Sözleşme Seti), Veri İhlali Acil Müdahale, Reklam Kurulu Savunma, Deepfake Cevap Paketi, Sözleşme Müzakeresi ve Eğitim Programı (kurum içi seminer) sayılabilir. Müvekkilin ihtiyaç düzeyine göre paket içeriği özelleştirilir.

İlk Görüşme

İlk görüşme bedelsiz olarak yapılır; problemin hukuki çerçevesi, çözüm seçenekleri ve tahmini iş yükü değerlendirilir. Görüşme online ya da Kartal ofiste gerçekleşebilir.

Sık Sorulan Sorular

İlgili İçerikler

Konunun farklı boyutlarında daha derinleşmek için aşağıdaki rehberleri inceleyebilirsiniz:

• Bilişim Hukuku Avukatı — kapsamlı ana rehber
• AI Act Türkiye 2026 Uyum Rehberi
• Yapay Zeka Hukuku Türkiye 2026 — Genel Tablo
• Türkiye’de Yapay Zeka Düzenlemesi
• KVKK ve Yapay Zeka Uyum Rehberi
• Yapay Zeka ve İş Hukuku — Otomasyon Kaynaklı Fesih
• Yapay Zeka Telif Hakkı 2026
• Yapay Zeka Patent Hukuku
• Yapay Zeka Suçları
• Sesli/Görüntülü Dolandırıcılık Davası
• Yapay Zeka Sahte İçerik Hukuku
• Deepfake Suç Rehberi (TCK 134, 267, 226 ve KVKK)
• Deepfake ve AI Üretimli Reklam Sorumluluğu
• Deepfake Sosyal Medya Yaptırımları
• Deepfake Kişilik Hakları İhlali
• KVKK Çerez Politikası 2026
• Yurt Dışına Veri Aktarımı (KVKK m.9)
• KVKK Veri İhlali Bildirim Zorunluluğu
• Açık Rıza Metni Hazırlama Rehberi
• KVKK Başvuru Rehberi
• Fikri Mülkiyet Hukuku
• Marka Hukuku
• Bilişim Avukatı (yan rehber)
• Influencer Hukuku
• Influencer KVKK Veri Yükümlülükleri
• E-Ticaret Hukuku Avukatı
• Banka ve Finans Hukuku
• Sağlık Hukuku
• Arabuluculuk Hukuku
• Av. Bilal ALYAR — Hakkımızda

Yararlanılabilecek Resmi Kaynaklar

• Mevzuat Bilgi Sistemi (mevzuat.gov.tr)
• Kişisel Verileri Koruma Kurumu (kvkk.gov.tr)
• Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
• Sanayi ve Teknoloji Bakanlığı
• Türkiye İlaç ve Tıbbi Cihaz Kurumu (TİTCK)
• Bankacılık Düzenleme ve Denetleme Kurumu
• Sermaye Piyasası Kurulu
• Türk Patent ve Marka Kurumu

Av. Bilal ALYAR
İstanbul Barosu — Sicil No: 54965 · Alyar Hukuk & Danışmanlık · Cevizli Mah. Enderun Sok. No:10C D:58, 34865 Kartal/İstanbul · 0545 199 25 25 · info@bilalalyar.av.tr
Yapay zeka hukuku, KVKK uyum, fikri mülkiyet, sözleşme tasarımı ve dijital risk yönetimi alanlarında danışmanlık ve dava takibi yürütür. Kripto, fintech, sağlık teknolojisi ve influencer endüstrilerinde deneyimli bir hukuk ekibiyle çalışır.

Resmi Kaynaklar

• Mevzuat Bilgi Sistemi (mevzuat.gov.tr)
• Yargıtay Karar Arama (karararama.yargitay.gov.tr)
• UYAP Vatandaş Portalı (uyap.gov.tr)
• İstanbul Barosu (istanbulbarosu.org.tr)
• T.C. Adalet Bakanlığı (adalet.gov.tr)
• Türkiye Barolar Birliği (barobirlik.org.tr)

Hazırlayan Hukuku

Av. Bilal ALYAR — İstanbul Barosu Sicil No: 54965

Marmara Üniversitesi Hukuk Fakültesi mezunu (2015). Aile hukuku, ceza hukuku, kripto para hukuku, bilişim hukuku, şirketler hukuku ve vergi hukuku alanlarında faaliyet göstermektedir.

Bu içerik yalnızca genel bilgilendirme amaçlıdır; somut hukuki görüş ya da avukat-müvekkil ilişkisi oluşturmaz. Her dosya kendine özgü koşullar içerdiğinden, hukuki sorunlarınız için bir avukata danışmanız önerilir.

İletişim | Hakkımızda