Etken Yapay Zekada Türkiye ve Uluslararası Otorite Yaklaşımları 23 Mart 2026

A. KVKK Değerlendirmesi (Türkiye)
 

KVKK'nın "Etken Yapay Zeka (Agentic AI)" rehberi, Etken YZ'yi; hedef yönelimlilik, otonomi ve çevresel etkileşimin geleneksel yapay zekaya kıyasla daha belirgin olduğu bir yaklaşım olarak tanımlamaktadır. Sistemlerin işleyişi, YZ Aracıları (AI Agents) vasıtasıyla gerçekleştirilmekte olup görev kapsamının genişlediği durumlarda Çoklu YZ Aracısı Sistemleri devreye girebilmektedir.
 

KVKK Tarafından Belirlenen Başlıca Riskler
 

• Amaçla Sınırlılık ve Veri Minimizasyonu: Başlangıçta öngörülmeyen veri kümelerinin sürece dahil edilebilmesi, mevcut verilerin farklı görevler kapsamında yeniden kullanılabilmesi ve veri işleme kapsamlarının zaman içinde değişkenlik gösterebilmesi risk teşkil etmektedir.
   

• Hukuki Sebep Değerlendirmesi: Çok adımlı işleyiş yapısında, başlangıçta belirlenen hukuki sebebin geçerliliğinin sürekli olarak yeniden değerlendirilmesi ihtiyacı doğabilmektedir.
   

• Çıkarıma Dayalı ve Türetilmiş Veriler: Farklı kaynaklardan elde edilen verilerin ilişkilendirilmesi suretiyle hassas nitelikteki bilgilerin dolaylı olarak ortaya çıkarılması ve anonimleştirilmiş verilerin yeniden kişiyle ilişkilendirilebilir hale gelmesi riski bulunmaktadır.
   

• Şeffaflık ve Açıklanabilirlik: Çok bileşenli yapılarda karar zincirlerinin izlenebilirliğinde çeşitli zorluklar yaşanabilmekte ve "kara kutu" niteliği daha karmaşık bir görünüm kazanabilmektedir.
   

• Sorumluluk ve Hesap Verebilirlik: Geliştirici, yerleştirici ve diğer aktörler arasında rol ile sorumluluk dağılımının belirlenmesi güçleşebilmektedir.

• Veri Doğruluğu: Halüsinasyon kaynaklı hatalı bilgilerin zincirleme biçimde yayılması ve erken aşamadaki hataların sonraki adımlara taşınması riski söz konusu olabilmektedir.
   

• Güvenlik ve Sistem Dayanıklılığı: Saldırı yüzeyinin genişlemesi ve girdi manipülasyonu riskleri ortaya çıkabilmektedir.
   

KVKK Tarafından Önerilen Başlıca Tedbirler
 

• İnsan Gözetimi: Geliştirme, kullanıma alma ve kullanım sonrası aşamaların tamamında yeterli ve anlamlı insan katılımının sağlanması ve otonomi düzeyi ile insan gözetimi arasındaki dengenin uygun biçimde kurulması önerilmektedir.

• Tasarımdan İtibaren Mahremiyet: Tasarımdan itibaren mahremiyet (privacy by design) ve varsayılan olarak mahremiyet (privacy by default) yaklaşımlarının benimsenmesi ile mahremiyet artırıcı teknolojilerin (PETs) entegre edilmesi tavsiye edilmektedir.
   

• Risk Değerlendirmesi: Etken YZ sistemlerinin yaşam döngüsü boyunca ortaya çıkabilecek risklerin sistematik biçimde değerlendirilmesi ve uygun hallerde Veri Koruma Etki Değerlendirmesi (DPIA) yapılması önerilmektedir.
   

• Yönetişim ve Eğitim: Mevcut veri koruma ve yönetişim mekanizmalarının güncellenmesi ve ilgili personele yönelik bilinçlendirme ile eğitim faaliyetlerinin yürütülmesi önem taşımaktadır.

B. ICO Değerlendirmesi (Birleşik Krallık)
 

ICO'nun 68 sayfalık "Tech Futures: Agentic AI" raporu (bkz. ayrıca ICO duyuru sayfası), resmi bir rehber niteliği taşımamakla birlikte düzenleyicinin öncelik alanlarını açık biçimde ortaya koymaktadır. ICO, etken YZ'yi; büyük dil modellerinin araçlar, bellek ve uyarlanabilir karar alma mekanizmalarıyla bütünleştirilerek açık uçlu görevleri sınırlı insan yönlendirmesiyle tamamlayabilen sistemler olarak tanımlamaktadır. ICO ayrıca YZ ve Veri Koruma Rehberi (Mart 2023, güncelleme altında) ile YZ ve Biyometri Stratejisi (Haziran 2025) kapsamında etken YZ'yi izlemeye devam etmektedir.
 

ICO Tarafından Öne Çıkarılan Hususlar
 

• Veri Sorumluluğu Zinciri: Etken YZ tedarik zincirinde, özellikle çok aktörlü ekosistemlerde veri sorumlusu ile veri işleyen rollerinin belirlenmesi zorlaşabilmektedir. ICO, YZ aracılarının hukuki kişiliği bulunmadığını ve kuruluşların uyumdan sorumlu olmaya devam ettiğini vurgulamaktadır.
   

• Ölçeklenmiş Otomasyon ve Otomatik Karar Alma: Karmaşık görevlerin hızla otomasyona kavuşturulması, UK GDPR Madde 22 kapsamındaki yükümlülükleri tetikleyebilecek niteliktedir.
   

• Özel Kategori Verilerin Çıkarım Yoluyla İşlenmesi: YZ aracılarının hassas verileri tesadüfen çıkarım yoluyla işleyebilmesi riski bulunmakta olup bu durum Article 6 hukuki sebebi ile Article 9 ek koşullarını gerektirmektedir.
   

• Senaryo Analizi: ICO, dört farklı gelecek senaryosu üzerinden etken YZ'nin olası gelişim yollarını ve risk profillerini değerlendirmektedir.

• İnovasyon Fırsatları: Veri korumaya uyumlu aracılar, mahremiyet yönetim aracıları ve bilgi yönetişimi aracıları gibi olumlu kullanım alanları da raporda ele alınmaktadır.

ICO'nun Kuruluşlara Yönelik Aksiyon Önerileri
 

• Etken zincirin her katmanında veri sorumlusu ve veri işleyen rolleri sözleşmesel olarak belirlenmelidir.
   

• DPIA şablonları, artan otonomi düzeyini ve özel kategori veri çıkarımını kapsayacak şekilde güncellenmelidir.
   

• Kritik karar noktalarında bilgi doğrulama mekanizmaları tesis edilmelidir.
   

• Özel kategori verilerin kasıtsız biçimde işlenmesini önleyecek teknik tedbirler uygulanmalıdır.

C. EDPS Değerlendirmesi (Avrupa Birliği)
 

EDPS, TechSonar 2025-2026 raporunda etken YZ'yi altı öne çıkan teknoloji trendinden biri olarak değerlendirmiş olup insanların giderek artan biçimde "YZ aracılarının çobanları" (shepherds of AI agents) rolünü üstleneceğini belirtmiştir. Raporun tam metnine buradan ulaşılabilir.
 

EDPS Tarafından Öne Çıkarılan Hususlar
 

• İnsan Otonomisinin Korunması: EDPS, YZ otonomisindeki artışın bireylerin bağımsız seçim yapma, eylemleri üzerinde kontrol sürdürme ve kararlarından sorumlu kalma kapasitelerini azaltmaması gerektiğini vurgulamaktadır.

• Kalıcı Bellek Riski: Görevler arasında ve sonrasında devam eden bellek yapısı, kişisel verilerin beklenmedik biçimde saklanması ve kullanılması riskini artırmaktadır.
   

• AB YZ Yasası Bağlantısı: EDPS, AB YZ Yasası kapsamındaki yetkin otorite sıfatıyla etken YZ'yi hem veri koruma hem de yapay zeka düzenlemesi perspektifinden değerlendirmektedir.
   

• Esnek Yönetişim Çerçevesi: Etken YZ'nin hızlı gelişimi ve gelecek kapasitelerinin öngörülmesindeki zorluk karşısında, esnek ve uyarlanabilir yönetişim çerçevelerinin oluşturulması zorunlu görülmektedir.

D. AEPD Değerlendirmesi (İspanya)
 

AEPD'nin 71 sayfalık "Kişisel Verilerin Korunması Perspektifinden Etken Yapay Zeka" rehberi, bir veri koruma otoritesi tarafından etken YZ konusunda yayımlanan en kapsamlı dokümanlardan biri olarak öne çıkmaktadır. Rehber, mevcut GDPR yükümlülüklerinin etken YZ uygulamalarına nasıl uygulanacağını somut senaryolar aracılığıyla açıklamaktadır.
 

AEPD Tarafından Öne Çıkarılan Hususlar
 

• Dört Güvenlik Açığı Kategorisi: AEPD, etken YZ'ye özgü güvenlik açıklarını şu şekilde sınıflandırmaktadır: (i) Çevreyle etkileşim - dahili ve harici veri kaynaklarına erişim; (ii) Hizmet entegrasyonu - çoklu servis bağlantısı; (iii) Bellek yapısı - çalışma belleği ile yönetim belleği; (iv) Otonomi - tekrarlanamayan davranışlar.
   

• BYOAgentic Riski: Kullanıcıların yeterli gözetim mekanizması bulunmaksızın kendi aracılarını oluşturması, gölge yapay zeka kullanımının etken versiyonu olarak değerlendirilmektedir.
   

• "2 Kuralı" Risk Analizi: AEPD, otomatik karar alma riski için üç unsurlu bir analiz öngörmektedir: kontrolsüz bilgi işleme, hassas veriye erişim ve dış ortamda eylem yetkisi. Bu unsurlardan ikisinin bir arada bulunması halinde yüksek risk değerlendirmesi yapılmaktadır.

• Tehdit Sınıflandırması: Tehditler; yetkili işlemeden kaynaklananlar (hedef uyumsuzluğu, gölge sızıntı, otomasyon ön yargısı ve kullanıcı profilleme) ile yetkisiz işlemeden kaynaklananlar (prompt enjeksiyonu, bellek zehirlenmesi, sıfır tıklama saldırıları ve veri sızdırma) olmak üzere iki ana grupta ele alınmaktadır.
   

• Güvenilirlik Yanılsaması: Verimli ve tutarlı görünen ancak davranışı yeterince anlaşılamamış aracılara güvenilmesi önemli bir risk olarak değerlendirilmektedir.
   

AEPD Tarafından Önerilen Somut Tedbirler
 

• Uygun yönetişim çerçevesi ve kurumsal politikaların oluşturulması gerekmektedir.
   

• Kanıta dayalı değerlendirme ve sözleşmesel kontrol mekanizmalarının hayata geçirilmesi önerilmektedir.

• Açıklanabilirlik mekanizmalarının tesis edilmesi ve bellek kontrolünün bölümleme, koruma ve yaşam döngüsü yönetimi yoluyla sağlanması tavsiye edilmektedir.

• Veri minimizasyonu ilkesinin erişim politikaları, filtreleme ve anonimleştirme yoluyla uygulanması önerilmektedir.

E. Şirketlere Yönelik Bütünsel Öneriler

Tüm otoritelerin değerlendirmeleri ışığında, şirketlerin aşağıdaki hususları değerlendirmesi önerilmektedir:
 

Yönetişim ve Sorumluluk

• Etken YZ tedarik zincirinde veri sorumlusu ve veri işleyen rolleri açık biçimde belirlenmelidir (ICO, AEPD).
   

• Geliştirici, yerleştirici ve diğer aktörler arasındaki sorumluluklar sözleşmesel olarak tanımlanmalıdır (KVKK, AEPD).
   

• BYOAgentic (gölge etken YZ) riskine karşı kurumsal politikalar oluşturulmalıdır (AEPD).

İnsan Gözetimi

• Geliştirme, kullanıma alma ve kullanım sonrası aşamaların tamamında anlamlı insan gözetimi sağlanmalıdır (KVKK).

• Otonomi düzeyi ile insan gözetimi arasındaki denge uygun biçimde kurulmalıdır (KVKK, EDPS).

• Kritik karar noktalarında bilgi doğrulama mekanizmaları tesis edilmelidir (ICO).

Şeffaflık ve Açıklanabilirlik

• Sistem bileşenleri arasındaki etkileşimler izlenebilir kılınmalı ve koruyucu kontrol mekanizmaları oluşturulmalıdır (KVKK, ICO).

• Şeffaflık bildirimleri etken YZ kullanım senaryolarına uygun hale getirilmelidir (ICO, AEPD).
   

Veri Koruma Etki Değerlendirmesi
 

• DPIA süreçleri, artan otonomi düzeyini, çoklu aracı yapılarını ve özel kategori veri çıkarımını kapsayacak şekilde güncellenmelidir (ICO, KVKK).
   

• Otomatik karar alma riski, AEPD'nin "2 Kuralı" metodolojisi ile analiz edilmelidir (AEPD).

Güvenlik ve Bellek Yönetimi

• Özel kategori verilerin kasıtsız biçimde işlenmesini önleyici teknik tedbirler uygulanmalıdır (ICO).

• Aracı bellek yapıları içindeki kişisel veriler haritalanmalı ve çalışma ile yönetim belleği ayrımı gözetilmelidir (AEPD, EDPS).

• Prompt enjeksiyonu ve bellek zehirlenmesi gibi tehditlere karşı savunma mekanizmaları kurulmalıdır (AEPD).

Mahremiyet ve Tasarım
 

• Tasarımdan itibaren mahremiyet ve varsayılan olarak mahremiyet ilkeleri sistemlere entegre edilmeli; mahremiyet artırıcı teknolojilerden (PETs) yararlanılmalıdır (KVKK, AEPD).
   

Eğitim ve Düzenleyici Takip

• Etken YZ ve kişisel veri koruma konusunda ilgili personele yönelik eğitim faaliyetleri yürütülmelidir (KVKK).

• Uluslararası düzenleyici gelişmeler ve istişare süreçleri yakından takip edilmelidir (ICO, AEPD).
   

F. Sonuç

KVKK, ICO, EDPS ve AEPD'nin değerlendirmeleri ortak bir temel mesaj ortaya koymaktadır: Etken YZ sistemlerinin yapısal karmaşıklığı ve artan otonomisi, kişisel verilerin korunmasına ilişkin yükümlülükleri ortadan kaldırmamakta; aksine bu yükümlülüklerin etkin biçimde yerine getirilmesini daha karmaşık ve kritik bir hale getirmektedir.
 

Şirketlerin, etken YZ'yi yalnızca teknolojik bir verimlilik aracı olarak değil, aynı zamanda kurumsal risk yönetimi ve kişisel veri koruma perspektifinden ele alması büyük önem taşımaktadır. Bu doğrultuda alınacak önleyici ve yönlendirici tedbirler, etken YZ'nin sunduğu fırsatlardan güvenli biçimde yararlanılmasına katkı sağlayacak ve şirketlerin olası hukuki ile itibari risklerle karşılaşma ihtimalini önemli ölçüde azaltacaktır.

Kaynakça / Sources

• KVKK: "Etken Yapay Zeka (Agentic AI)", Şubat 2026  [Erişim / Access]
• ICO: "Tech Futures: Agentic AI" Rapor (PDF), 8 Ocak 2026  [Erişim / Access]
• ICO: "Tech Futures: Agentic AI" Duyuru Sayfası, 8 Ocak 2026  [Erişim / Access]
• ICO: Guidance on AI and Data Protection (Mart 2023, güncelleme altında)  [Erişim / Access]
• ICO: AI and Biometrics Strategy, Haziran 2025  [Erişim / Access]
• ICO: AI and Biometrics Strategy - Plan of Action 2025/26  [Erişim / Access]
• ICO: Artificial Intelligence - Ana Sayfa  [Erişim / Access]
• EDPS: TechSonar 2025-2026: Agentic AI  [Erişim / Access]
• EDPS: TechSonar 2025-2026 Tam Rapor (PDF), Kasım 2025  [Erişim / Access]
• AEPD: "Agentic AI from the Perspective of Data Protection" (PDF), 18 Şubat 2026  [Erişim / Access]
• CIPL: "Agentic AI: Fostering Responsible and Beneficial Development", Kasım 2025  [Erişim / Access]
• WEF: "AI Agents in Action: Foundations for Evaluation and Governance", 2025  [Erişim / Access]