Octo
Samsung Yasakladı, KVKK Rehber Yayınladı, AB Yasa Çıkardı: Kurumsal AI Kullanımında Yeni Kurallar
← Tüm yazılar
Analiz 7 Mayıs 2026

Samsung Yasakladı, KVKK Rehber Yayınladı, AB Yasa Çıkardı: Kurumsal AI Kullanımında Yeni Kurallar

Samsung mühendisleri ChatGPT’ye şirketin kaynak kodunu yapıştırdı. Sonuç: Samsung tüm yapay zeka araçlarını yasakladı. KVKK, “İş Yerlerinde Üretken Yapay Zeka Araçlarının Kullanımı” başlıklı resmi rehber yayınladı. AB, 2 Ağustos 2026’da yürürlüğe girecek AI Act ile yüksek riskli yapay zeka uygulamalarına sıkı kurallar getirdi. Ve TBMM’ye Ocak 2026’da yapay zeka ile kişisel veri koruma ilişkisini düzenleyen yeni bir kanun teklifi sunuldu.

Mesaj net: Yapay zekadan kaçamazsınız, ama nasıl kullandığınız artık hukuki bir sorumluluk.

Samsung Vakası: Bir Mühendis, Üç Satır Kod, Küresel Kriz

Samsung’un yarı iletken bölümünde çalışan mühendisler, 20 gün içinde üç ayrı veri ihlali gerçekleştirdi — hepsi ChatGPT üzerinden:

  • Bir mühendis, hata ayıklamak için şirketin kaynak kodunu ChatGPT’ye yapıştırdı.
  • Bir diğeri, şirket toplantısını kaydedip transkripsiyonu ChatGPT’ye yükledi.
  • Üçüncüsü, çip test süreçlerini optimize etmek için üretim verilerini girdi.

Samsung’un yanıtı sert oldu: Tüm generative AI araçlarının şirket cihazlarında kullanımını yasakladı. Kişisel cihazlarda bile şirket bilgisi girilmesi disiplin sürecine tabi tutuldu.

Ama asıl soru şu: Samsung’da olan, sizin şirketinizde de oluyor mu?

İK müdürünüz performans değerlendirmesini ChatGPT ile yazıyor olabilir. Hukuk departmanınız sözleşme taslağını Copilot’a yapıştırıyor olabilir. Satış ekibiniz müşteri listesini “hızlı analiz” için Gemini’ye yüklüyor olabilir.

Her birinde şirket verisi yurt dışı sunuculara aktarılıyor. Ve bu, artık sadece bir güvenlik sorunu değil — hukuki bir ihlal.

KVKK Ne Diyor? Resmi Rehber Yayınlandı

Kişisel Verileri Koruma Kurumu (KVKK), bu konuda sessiz kalmadı. İki kritik belge yayınladı:

1. “Üretken Yapay Zeka ve Kişisel Verilerin Korunması Rehberi”

KVKK’nın 15 soruda hazırladığı bu rehber, üretken yapay zeka sistemlerinin içerik üretim süreçlerini, yaşam döngüsünü ve risklerini 6698 sayılı Kanun kapsamında değerlendiriyor. Temel mesajlar:

  • AI araçlarına girilen kişisel veriler veri işleme kapsamındadır.
  • Bu veriler yurt dışı sunuculara aktarılıyorsa Madde 9 (yurt dışı aktarım) kuralları geçerlidir.
  • “Açık rıza” tek başına sürekli aktarımlar için yeterli güvence değildir.
  • Veri sorumlusu olarak şirket, çalışanlarının AI araçlarıyla paylaştığı verilerden sorumludur.

2. “İş Yerlerinde Üretken Yapay Zeka Araçlarının Kullanımı”

Bu belge doğrudan şirketleri hedef alıyor. KVKK, kuruluşlara şu uyarıları yapıyor:

  • Çalışanların hangi AI araçlarını kullandığını bilin ve denetleyin.
  • Hangi verilerin AI araçlarına girilebileceğine dair politika oluşturun.
  • AI araçlarının veri işleme süreçlerini KVKK kapsamında değerlendirin.
  • Yüksek riskli veri kategorilerinin (sağlık, finansal, çalışan performansı) AI araçlarıyla işlenmesinde ek güvenceler sağlayın.

3. “Etken Yapay Zeka (Agentic AI)” Raporu

KVKK, otonom karar alabilen AI sistemleri hakkında da bir değerlendirme yayınladı. Bu sistemlerin kişisel veri koruma açısından “anlamlı insan müdahalesi” (human-in-the-loop) gerektirdiğini vurguladı.

AB AI Act: 2 Ağustos 2026 — Geri Sayım

Avrupa Birliği, dünyanın ilk kapsamlı yapay zeka yasasını çıkardı. 2 Ağustos 2026’da yüksek riskli AI sistemleri için kurallar yürürlüğe giriyor.

Neleri kapsıyor:

  • İstihdam ve işe alım süreçlerinde kullanılan AI (CV tarama, performans değerlendirme)
  • Kredi kararlarında kullanılan AI
  • Eğitim alanında kullanılan AI
  • Kamu hizmetlerinde kullanılan AI

AB AI Act’in GDPR gibi ekstra-teritoryal etkisi var: AI sisteminiz AB’de kullanılıyorsa veya AB vatandaşlarını etkiliyorsa, şirketiniz nerede olursa olsun uymanız gerekiyor.

Türkiye için ne anlama geliyor? AB ile ticaret yapan, AB vatandaşı çalıştıran veya AB pazarına hizmet veren her Türk şirketi bu yasadan etkilenecek. Ve TBMM’ye sunulan kanun teklifi, Türkiye’nin de benzer bir düzenleme yolunda olduğunu gösteriyor.

Peki AI Kullanmayalım mı? Hayır!

Sorunu doğru çerçeveleyelim: Sorun yapay zeka kullanmak değil, veriyi kontrolsüz şekilde yurt dışına göndermek.

ChatGPT’ye müşteri listesi yapıştırmak ile kendi altyapınızda çalışan bir AI motoru kullanmak arasında dağlar kadar fark var.

Kontrollü AI Kullanımının 5 İlkesi

1. Veri sınıflandırması yapın. Hangi veriler AI araçlarıyla işlenebilir, hangileri kesinlikle işlenemez? Kişisel veri, ticari sır, finansal bilgi, sağlık verisi — her kategorinin kuralı farklı.

2. Onaylı araç listesi oluşturun. Çalışanlarınızın hangi AI araçlarını kullanabileceğini belirleyin. “Herkes istediği aracı kullansın” politikası KVKK riski demektir.

3. Veri yurt dışına çıkmasın. AI işleme mümkünse Türkiye’deki sunucularda yapılmalı. On-premise veya yerel bulut seçenekleri değerlendirin.

4. İzlenebilirlik sağlayın. Kim, hangi veriyi, hangi AI aracıyla işledi? Denetim izi (audit trail) tutulmalı.

5. Çalışan eğitimi verin. Samsung vakası gösteriyor ki en büyük risk teknoloji değil, farkındalık eksikliği. Çalışanlarınıza “ChatGPT’ye ne yazıp ne yazamayacaklarını” öğretin.

Kurumsal AI: Doğru Yaklaşım

Yapay zekayı yasaklamak çözüm değil — çünkü yasaklarsanız çalışanlar kişisel cihazlarından kullanmaya devam eder, bu daha büyük risk.

Doğru yaklaşım: AI’ı kendi kontrol ettiğiniz altyapıda çalıştırmak.

İdeal bir kurumsal AI kullanımı şöyle görünür:

  • AI motoru veriyi yerel sunucularda işler — yurt dışına veri çıkmaz.
  • On-premise kurulum seçeneği vardır — hassas sektörler (finans, savunma, sağlık, kamu) için.
  • Rol bazlı erişim kontrolü ile kimin hangi veriyi AI ile işleyebileceği belirlenir.
  • Denetim izi tutulur — KVKK denetiminde kanıt olarak sunulabilir.
  • Low-code iş akışları ile AI destekli süreçler kodlama bilmeden tasarlanır.
  • Mevcut sistemlerle entegre çalışır — ERP, CRM, İK yazılımınızla konuşur.

2026 İdari Para Cezaları: Rakamlar

KVKK’nın 2026 yılı güncel ceza tavanları:

  • Aydınlatma yükümlülüğü ihlali: 106.890 TL — 1.783.168 TL
  • Veri güvenliği ihlali: 356.303 TL — 17.831.685 TL
  • Kurul kararına aykırılık: 445.381 TL — 17.831.685 TL

Bir çalışanın ChatGPT’ye yapıştırdığı müşteri listesi, şirketinize 17 milyon TL’ye kadar idari para cezası getirebilir.

Sonuç: AI’dan Kaçmayın, AI’ı Sahiplenin

Samsung AI’ı yasakladı — bu kısa vadeli bir refleks. Uzun vadede kaybettiren bir strateji.

KVKK rehber yayınladı — “kullanmayın” demedi, “bilinçli kullanın” dedi.

AB yasa çıkardı — AI’ı durdurmak için değil, güvenli kullanımı standartlaştırmak için.

Doğru soru “AI kullanalım mı?” değil. Doğru soru: “AI’ı verilerimizi koruyarak, kendi altyapımızda, KVKK uyumlu şekilde nasıl kullanalım?”

Cevap: Veri Türkiye’de kalsın. On-premise seçeneği olsun. Denetim izi tutulsun. Ve çalışanlarınız güvenle kullansın.

Octo’nun yapay zeka modülü, topluluk etkileşim skorlarını ve üye davranış analizlerini yerel altyapıda işler. On-premise kurulum ile verileriniz hiçbir zaman yurt dışına çıkmaz. Low-code iş akışı motoru ile AI destekli süreçlerinizi kodlama bilmeden tasarlayabilirsiniz.

KVKK uyumlu kurumsal AI çözümü için: getocto.com/tr/iletisim

Kaynaklar:

  • KVKK, “Üretken Yapay Zeka ve Kişisel Verilerin Korunması Rehberi” — kvkk.gov.tr
  • KVKK, “İş Yerlerinde Üretken Yapay Zeka Araçlarının Kullanımı” — kvkk.gov.tr
  • KVKK, “Etken Yapay Zeka (Agentic AI)” — kvkk.gov.tr
  • AB AI Act (Regulation EU 2024/1689) — digital-strategy.ec.europa.eu
  • Samsung ChatGPT veri sızıntısı — Bloomberg, TechCrunch, CNBC
  • 2026 KVKK idari para cezaları — nesilteknoloji.com