İş Yerlerinde Üretken Yapay Zekâ Kullanımı: Şirketler İçin Hukuki Riskler ve Öneriler 11 Mart 2026

Dokümanda "Üretken Yapay Zekâ" ("ÜYZ"); büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı komutlarına yanıt olarak metin, görsel, video, ses ya da yazılım kodu gibi farklı formatlarda içerikler üretebilen yapay zekâ sistemleri olarak tanımlanmaktadır. Bu araçlar; e-posta taslaklarının hazırlanması, metinlerin özetlenmesi, araştırma faaliyetlerinin desteklenmesi veya fikir geliştirme süreçleri gibi birçok iş sürecinde verimlilik sağlayabilmektedir. Bununla birlikte, bu teknolojilerin yaygın kullanımı özellikle üçüncü taraf platformlar aracılığıyla gerçekleştiğinde çeşitli hukuki ve kurumsal riskleri de beraberinde getirmektedir.
 

A. "Gölge Yapay Zekâ" ("Gölge YZ") Riski

Kurum, çalışanların üretken yapay zekâ araçlarını çalıştıkları şirketin bilgisi, onayı veya kontrolü dışında iş süreçlerinde kullanmasını "Gölge Yapay Zekâ" olarak tanımlamaktadır.

Gölge YZ kullanımı çoğu zaman çalışanların işlerini hızlandırma veya rutin görev yükünü azaltma amacıyla ortaya çıkmaktadır. Bununla birlikte, toplantı notları, şirket içi yazışmalar veya kurumsal verilere ilişkin bilgilerin harici üretken yapay zekâ platformlarına aktarılması, şirketler açısından önemli riskler doğurabilmektedir.
 

Kurum tarafından öne çıkarılan başlıca riskler aşağıda özetlenmektedir:
 

• Karar Kalitesi ve Doğruluğa İlişkin Riskler: ÜYZ araçları herhangi bir denetim veya kontrol sürecine tabi tutulmadan kullanıldığında, yanıltıcı veya tutarsız bilgiler üretebilmektedir.

• Fikri Mülkiyet ve Ticari Sırların Korunmasına İlişkin Riskler: Ürün bilgileri, iş stratejileri, ticari sırlar ve diğer gizli bilgilerin ÜYZ araçları ile paylaşılması; bu bilgilerin yapay zekâ modellerinin eğitiminde kullanılmasına, ifşa edilmesine veya üzerlerindeki kurumsal kontrolün zayıflamasına yol açarak fikri mülkiyet ihlali riskini artırabilmektedir.

• Kurumsal İtibar ve Güven Kaybına İlişkin Riskler: ÜYZ araçlarının gerçeklikle örtüşmeyen ancak ikna edici görünen hatalı çıktılar üretebilmesi, kurumsal süreçlerde telafisi güç hatalara ve itibar kaybına yol açabilmektedir.

• Bilgi Güvenliği ve Siber Güvenliğe İlişkin Riskler: Bu araçların kurumsal kontrol dışında kullanılması, zararlı yazılımlar ve yetkisiz erişim risklerini artırarak şirketlerin maruz kaldığı saldırı yüzeyini genişletebilmektedir.

• Kişisel Verilerin Korunmasına İlişkin Riskler: Kişisel verilerin kurumsal kontrol dışında ÜYZ araçlarıyla paylaşılması, Kişisel Verilerin Korunması Kanunu ("Kanun") kapsamında hukuka aykırı veri işleme ve veri ihlali risklerine yol açabilmektedir.
   

B. Şirketler Hangi Aksiyonları Alabilir?
 

Kurum, ÜYZ kullanımının tamamen yasaklanmasının hem pratik olmadığını hem de gölge yapay zekâ kullanımını teşvik edebileceğini belirtmektedir. Bu nedenle şirketlere, yasaklayıcı bir yaklaşım yerine yönlendirme, denge ve farkındalık temelli bir kurumsal politika oluşturulması tavsiye edilmektedir.
 

Bu doğrultuda şirketlerin değerlendirebileceği başlıca aksiyonlar şunlardır:
 

• Kurumsal Kullanım Politikası Oluşturulması: Şirketler, hangi ÜYZ araçlarının hangi faaliyetlerde kullanılabileceğini, bu araçlara hangi veri türlerinin girilebileceğini ve kullanım sınırlarını açık şekilde belirleyen bir politika oluşturmalıdır.
   

• Hassas Bilgiler ve Kişisel Veriler Konusunda Dikkatli Yaklaşım: Kurumsal açıdan hassas nitelik taşıyan bilgiler ile kişisel veriler, ÜYZ araçlarıyla paylaşılırken temkinli olunmalı ve ilgili araçların gizlilik politikaları dikkatle incelenmelidir. Araçlarla etkileşim sırasında özel isimler veya belirleyici ifadeler yerine anonimleştirilmiş, genelleştirilmiş ve soyut ifadelerin tercih edilmesi önerilmektedir.

• Çıktılara Aşırı Güvenin (Otomasyon Ön Yargısı) Önlenmesi: Sistem çıktılarının sorgulanmadan doğru kabul edilmesi ve gerçeği yansıtmayan ancak ikna edici görünen "halüsinasyon" içeriklerinin iş süreçlerine dâhil edilmesi engellenmelidir. ÜYZ araçlarından elde edilen veriler nihai kurumsal kararların dayanağı olarak kullanılmamalı; insan denetimi ve değerlendirmesi altında destekleyici unsurlar olarak ele alınmalıdır.

• Veri Güvenliği ve Erişim Kontrolü Tedbirlerinin Alınması: Çalışanların yalnızca şirket tarafından onaylanmış ve kullanım koşulları belirlenmiş araçları kullanması sağlanmalıdır. Bu kapsamda ağ düzeyinde erişim kısıtlamaları, cihaz sınırlamaları (örneğin yalnızca kurumsal cihazlardan erişim) ve görev temelli erişim yaklaşımları değerlendirilebilir.

• Çalışan Farkındalığının Artırılması ve Geri Bildirim Mekanizmalarının Oluşturulması: Şirket tarafından oluşturulan politikalar düzenli olarak güncellenmeli ve çalışanlarla paylaşılmalıdır. Ayrıca olası riskler ve dikkat edilmesi gereken hususlar hakkında eğitim faaliyetleri yürütülmeli, çalışanların deneyimlerini ve karşılaştıkları sorunları paylaşabilecekleri geri bildirim mekanizmaları oluşturulmalıdır. Bu yaklaşım, kurumsal farkındalığın artırılmasına ve iyileştirme alanlarının tespit edilmesine katkı sağlayacaktır.
   

C. Sonuç

Üretken yapay zekâ araçları iş süreçlerinde önemli verimlilik ve hız avantajları sunmakla birlikte, bu teknolojilerin özellikle Gölge YZ kullanımı şeklinde ortaya çıkması, şirketler açısından veri güvenliği, ticari sırların korunması ve kişisel verilerin işlenmesi bakımından ciddi hukuki ve operasyonel riskler doğurabilmektedir.

Bu nedenle şirketlerin üretken yapay zekâ kullanımını yalnızca teknolojik bir verimlilik aracı olarak değil, aynı zamanda kurumsal risk yönetimi ve veri koruma perspektifiyle ele alması önem arz etmektedir. Bu kapsamda açık ve uygulanabilir kurumsal politikaların oluşturulması, hassas veri paylaşımına yönelik sınırların belirlenmesi, erişim ve kontrol mekanizmalarının güçlendirilmesi ve çalışan farkındalığının artırılması büyük önem taşımaktadır.
 

Bu yönde alınacak önleyici ve yönlendirici tedbirler, üretken yapay zekâ teknolojilerinin sunduğu fırsatlardan güvenli şekilde yararlanılmasına katkı sağlayacak ve şirketlerin olası hukuki ve itibari risklerle karşılaşma ihtimalini önemli ölçüde azaltacaktır.