Gölge yapay zeka (AI) (shadow AI), çalışanların bilgi işlem biriminin onayı ve denetimi olmadan ChatGPT, Gemini veya Copilot gibi halka açık üretken yapay zeka araçlarını iş süreçlerinde kullanmasıdır. Bir muhasebecinin müşteri faturasını özetletmek için ChatGPT'ye yapıştırması ya da bir mühendisin üretim verisini analiz ettirmesi, çoğu zaman iyi niyetli ama denetimsiz bir veri aktarımıdır. Sorun, bu verinin işletmenin kontrolünden çıkıp üçüncü taraf bir sunucuya gitmesi ve Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında işletmeyi sorumlu kılmasıdır.
- Gölge yapay zeka, onaysız ve denetimsiz araç kullanımıyla kurumsal veriyi dışarı taşır.
- KVKK 24 Kasım 2025'te üretken yapay zeka için resmi bir uyum rehberi yayımladı.
- Veri sorumlusu sıfatıyla yasal sorumluluk çalışanın değil, işletmenin üzerindedir.
- Yasaklamak değil, güvenli bir kullanım politikası kurmak gerçekçi çözümdür.
- Anonimleştirme, erişim kontrolü ve çalışan eğitimi ilk savunma hattıdır.
Gölge yapay zeka tam olarak nedir?
Gölge yapay zeka, kurumun resmi politikası dışında, izinsiz kullanılan yapay zeka araçlarını tanımlar. Çalışan kötü niyetli değildir; sadece işini hızlandırmak ister. Ancak girdiği metin, halka açık modellerin büyük kısmında saklanabilir veya model eğitimi için kullanılabilir. Böylece veri, işletmenin duvarları dışına sessizce sızar.
Bu davranış yaygındır çünkü araçlar ücretsiz, hızlı ve erişilebilirdir. Microsoft ve LinkedIn'in 31 ülkede 31.000 kişiyle yaptığı 2024 Work Trend Index araştırmasına göre yapay zeka kullanan çalışanların yüzde 78'i kendi araçlarını işe taşıyor; bu oran küçük ve orta ölçekli işletmelerde yüzde 80'e çıkıyor. Yani gölge yapay zeka istisna değil, varsayılan davranış haline gelmiştir.
Kaynak: Microsoft & LinkedIn, 2024 Work Trend Index (31 ülke, 31.000 katılımcı).
ChatGPT'ye veri girmek neden KVKK riski yaratır?
Çünkü kişisel veriyi halka açık bir modele girdiğinizde, KVKK gözünde bir "veri işleme" ve çoğu zaman yurt dışına "veri aktarımı" gerçekleşmiş olur. Müşteri adı, telefonu veya sağlık bilgisi içeren bir metni ChatGPT'ye yapıştırmak, açık rıza ve aydınlatma yükümlülüğü doğurabilir; bu yükümlülüğü yerine getirmeyen işletme idari yaptırımla karşılaşabilir.
İşin kritik noktası sorumluluğun kimde olduğudur. KVKK rehberine göre veri sorumlusu, kişisel verinin neden ve nasıl işleneceğine dair temel kararı verendir. Çalışan ChatGPT'ye veri girse bile, o aracı iş için kullanmasına zemin hazırlayan işletme veri sorumlusu sayılır. Yani fatura otomasyonu gibi süreçlerde olduğu üzere, yapay zeka kullanımında da yasal yük büyük ölçüde işletmenin omuzlarındadır. Bu mantığı yapay zekanın günlük hayattan örneklerle ne olduğunu anlatan yazımızda daha temelden inceleyebilirsiniz.
KVKK üretken yapay zeka için ne diyor?
Kişisel Verileri Koruma Kurumu, 24 Kasım 2025 tarihinde "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)" başlıklı resmi bir belge yayımladı. Rehber, veri sorumlularına yol göstermek için hazırlandı ve gölge yapay zeka tartışmasını artık varsayımdan çıkarıp somut bir uyum çerçevesine bağladı.
Rehber; yurt dışına veri aktarımı, açık rızanın geçerlilik şartları, ilgili kişi haklarının kullanımı ve genel ilkelerin üretken sistemlerde nasıl uygulanacağı gibi başlıkları ele alıyor. Teknik tedbirler arasında anonimleştirme, erişim kontrolü, log yönetimi ve eğitim veri setlerinin minimize edilmesi önceliklendiriliyor. Ayrıca açık rızanın geçerli olması için yapay zekanın kullanıldığının, verinin hangi amaçla işleneceğinin ve çıktının niteliğinin kullanıcıya açıkça bildirilmesi gerektiği vurgulanıyor.
Nisan 2023
Samsung'da mühendisler yarı iletken kaynak kodunu ve toplantı notlarını ChatGPT'ye girdi; 20 gün içinde üç ayrı sızıntı yaşandı.
Mayıs 2023
Samsung, üretken yapay zeka araçlarını şirket cihazlarında geçici olarak yasakladı ve kendi iç aracını geliştirmeye başladı.
Kasım 2025
KVKK, üretken yapay zeka için resmi uyum rehberini yayımladı ve sorumluluk çerçevesini netleştirdi.
Bir veri sızıntısı işletmeye neye mal olur?
Doğrudan para cezası tek maliyet değildir; itibar kaybı, müşteri güveninin sarsılması ve rekabet avantajının elden gitmesi çoğu zaman daha ağırdır. Halka açık bir araca giren bir tasarım dosyası ya da müşteri listesi geri çağrılamaz; veri bir kez dışarı çıktığında kontrolü tamamen kaybolur.
En bilinen örnek Samsung'dur. Nisan 2023'te şirketin yarı iletken bölümündeki mühendisler, hata kontrolü ve toplantı özeti için hassas kaynak kodunu ve iç notları ChatGPT'ye girdi. TechCrunch ve CNBC'nin aktardığına göre yalnızca 20 gün içinde üç ayrı olay yaşandı ve Samsung, Mayıs 2023'te üretken yapay zeka araçlarını şirket cihazlarında yasakladı. Bu vaka, niyetin iyi olmasının riski azaltmadığını gösterir.
Tümüyle engelle
Çalışanlar aracı kişisel cihazlarında gizlice kullanmaya devam eder; gölge yapay zeka derinleşir ve görünürlük tamamen kaybolur.
Politika ile çerçevele
Onaylı araçlar, net kurallar ve eğitim ile risk kontrol altına alınır; verimlilik kazancı korunurken veri dışarı sızmaz.
İşletmem güvenli kullanım politikasını nasıl kurar?
Önce hangi verinin asla dışarı çıkmaması gerektiğini tanımlar, sonra onaylı araçları ve net kuralları belirlersiniz. Amaç yapay zekayı yasaklamak değil, denetimli bir alana taşımaktır; çünkü tümden yasak, kullanımı sadece görünmez kılar.
Pratik bir başlangıç için şu adımları izleyebilirsiniz: veri sınıflandırması yapın (genel, dahili, gizli); gizli veriyi hiçbir halka açık araca girmemeyi kurala bağlayın; mümkünse kurumsal sürümleri (örneğin veri saklamayan iş hesapları) tercih edin; ve düzenli kısa eğitimlerle çalışanları bilgilendirin. Anonimleştirme burada güçlü bir araçtır: metinden isim, telefon ve adres gibi tanımlayıcıları çıkarmak, hem verimi korur hem riski düşürür.
Politikayı tek sayfalık, anlaşılır bir "yapay zeka kullanım kuralları" belgesine indirgeyin. Çalışanlar 20 sayfalık prosedürü okumaz; "şu üç veri türünü asla yapıştırma" gibi net bir liste ise akılda kalır ve uygulanır.
Doğru kullanım, doğru soru sormakla başlar. Verimliliği artırırken veriyi korumanın yolu için etkili prompt yazma rehberimiz işe yarar bir kaynaktır; yapay zekaya neyi vermeden sonuç alabileceğinizi öğrenmek riski baştan azaltır.
Konya'daki işletmeler için bu neden öncelikli?
Konya'nın güçlü sanayi ve KOBİ dokusu, gölge yapay zekanın en hızlı yayıldığı zemindir; çünkü küçük ekipler, kurumsal bir bilgi işlem denetimi olmadan hızlı çözümlere yönelir. Üretim verisi, müşteri listeleri ve tedarikçi bilgileri rekabetin kalbidir ve bunların korunması doğrudan iş sürekliliğiyle ilgilidir.
İyi haber şu: yapay zekayı güvenle kullanmak büyük bütçe değil, doğru bir başlangıç stratejisi ister. KOBİ'ler için 5 adımda yapay zekaya başlangıç yazımız bu yolculuğun ilk adımlarını, Konya sanayisinde yapay zeka kullanım alanları yazımız ise yerel uygulama örneklerini sunar. Politikanızı kurarken ve doğru aracı seçerken yön bulmak isterseniz, KOBİ'ler için yapay zeka rehberimiz bütüncül bir çerçeve sağlar; kuruma özel bir uyum ve kullanım mimarisi için ise yapay zeka çözümleri hizmetimizden destek alabilirsiniz.
Özetle gölge yapay zeka, görmezden gelinebilecek bir teknik ayrıntı değil; KVKK'nın 2025 rehberiyle birlikte somut bir yasal ve ticari risktir. Onu yöneten işletme hem verisini korur hem de yapay zekanın verimlilik kazancını güvenle elinde tutar.