Strateji & Yönetim

Şirket İçi Yapay Zeka Kullanım Politikası Nasıl Yazılır? (Şablon)

Şirket içi yapay zeka kullanım politikası, çalışanların hangi araçları nasıl ve hangi verilerle kullanabileceğini yazılı kurallara bağlayan iç dokümandır. Kapsamdan yasaklı kullanıma, KVKK uyumundan eğitime kadar tüm başlıkları ve kopyalanabilir bir şablon iskeletini bu rehberde bulacaksınız.

Şirket içi yapay zeka (AI) kullanım politikası; çalışanların, yüklenicilerin ve yöneticilerin yapay zeka araçlarını hangi amaçlarla, hangi araçlarla ve hangi verilerle kullanabileceğini yazılı kurallara bağlayan iç dokümandır. Amacı, üretkenlik kazanımını korurken veri sızıntısı, KVKK ihlali ve hatalı çıktı risklerini önceden tanımlamaktır. Bu rehber, sıfırdan bir politika yazmak isteyen küçük ve orta ölçekli işletmeler için somut başlıkları, örnek madde formülasyonlarını ve kopyalanabilir bir şablon iskeletini adım adım sunar.

Kısaca
  • İyi bir yapay zeka politikası altı temel başlıktan oluşur: kapsam, izinli/yasaklı araçlar, asla girilmeyecek veriler, onay ve insan denetimi, sorumluluk ve ihlal bildirimi, eğitim. KVKK Madde 12 yazılı teknik ve idari tedbir zorunluluğu bu dokümanın hukuki dayanağıdır. Bir A4'lük iskeletle başlayın, kullandıkça olgunlaştırın.

Yapay zeka kullanım politikası tam olarak nedir?

Yapay zeka kullanım politikası, çalışanların ChatGPT, Copilot, Gemini gibi araçları işte kullanırken uymak zorunda olduğu kuralları tek bir belgede toplayan iç düzenlemedir. Yasak listesi değil; neyin serbest, neyin onaya tabi, neyin yasak olduğunu netleştiren bir karar çerçevesidir. Çalışan, tereddüt ettiği anda bu belgeye bakıp doğru davranışı bulabilmelidir.

Politika, sözlü uyarıların ve dağınık e-postaların yerini alır. Yazılı olması, hem çalışanın sorumluluğunu nesnelleştirir hem de bir denetim ya da ihlal durumunda şirketin gerekli özeni gösterdiğini kanıtlar. Yapay zekanın ne olduğunu temelden anlamak için yapay zeka nedir yazımız iyi bir başlangıç noktasıdır.

Politikanın hukuki dayanağı nedir, neden zorunludur?

Dayanak, 6698 sayılı Kanun'un veri güvenliğini düzenleyen 12. maddesidir: veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek için gerekli teknik ve idari tedbirleri almak zorundadır. Yazılı bir kullanım politikası, bu idari tedbirin somut karşılığıdır.

Kişisel Verileri Koruma Kurumu'nun "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" başlıklı dokümanı, şirketlerin hangi araçların, hangi amaçlarla, kimler tarafından ve hangi veri türleriyle kullanılabileceğini yazılı olarak belirlemesini açıkça önerir. Yani politika yazmak yalnızca iyi bir pratik değil, denetim makamının beklentisidir. Konunun risk boyutuna ayrı bir açıdan bakmak için ChatGPT, KVKK ve gölge yapay zeka yazımıza göz atabilirsiniz.

6 başlık
Sağlam politikanın iskeleti
Madde 12
KVKK yazılı tedbir dayanağı
1 sayfa
Yeterli bir başlangıç uzunluğu

Politikada hangi başlıklar mutlaka bulunmalı?

Sağlam bir politika altı çekirdek başlık üzerine kurulur: kapsam, izinli/yasaklı araçlar, asla girilmeyecek veriler, onay ve insan denetimi, sorumluluk ve ihlal bildirimi, eğitim. Bu başlıklar hem KVKK dokümanının çerçevesiyle hem de uluslararası kurumsal şablonlarla örtüşür; eksik bırakmak ileride boşluk yaratır.

Her başlığı tek tek açalım. Amaç, kopyala-yapıştır bir metin değil; kendi şirketinizin araç envanterine ve veri türlerine göre dolduracağınız bir iskelet kurmaktır.

1. Kapsam: politika kimi ve neyi bağlar?

Kapsam bölümü politikanın kime uygulandığını netleştirir: tam zamanlı çalışanlar, yarı zamanlılar, stajyerler, yükleniciler ve dış danışmanlar dahil. Cihaz tarafını da belirtin: şirket bilgisayarları, kişisel cihazlar (BYOD) ve mobil uygulamalar. Hangi araç türlerinin kapsandığını yazın: bağımsız sohbet botları, ofis yazılımına gömülü asistanlar ve otomasyon eklentileri.

Örnek formülasyon: "Bu politika, [Şirket] adına yürütülen tüm işlerde, kurumsal veya kişisel cihaz fark etmeksizin, üretken yapay zeka araçlarının kullanımını kapsar."

2. İzinli ve yasaklı araçlar: beyaz liste mantığı

En etkili yaklaşım beyaz liste mantığıdır: serbest araçları tek tek sayın, listede olmayan her aracı varsayılan olarak onaya tabi kılın. Örneğin kurumsal lisanslı bir asistanı serbest, ücretsiz tüketici sürümlerini ise hassas veriyle kullanım için yasak ilan edebilirsiniz. Araç seçiminde fikir edinmek için ücretsiz yapay zeka araçları yazımız faydalı olacaktır.

Üç kademeli bir sınıflandırma çoğu KOBİ için yeterlidir: serbest, onaya tabi, yasaklı. Yeni bir aracın listeye eklenmesi için kimin onay vereceğini de buraya yazın; aksi halde gölge yapay zeka kaçınılmaz olur.

SERBEST

Kurumsal lisanslı araçlar

Hassas veri içermeyen günlük görevlerde serbestçe kullanılır

ONAYA TABİ

Listede olmayan yeni araçlar

Bilgi güvenliği sorumlusunun yazılı onayıyla denenir

YASAKLI

Doğrulanmamış eklentiler

Kurumsal veriyle hiçbir koşulda kullanılmaz

3. Asla girilmeyecek veriler: kırmızı çizgiler

Bu, politikanın kalbidir. Çalışanların kamuya açık yapay zeka araçlarına asla girmemesi gereken veri türlerini somut örneklerle listeleyin: müşteri kişisel verileri (ad, T.C. kimlik no, iletişim), çalışan özlük bilgileri, sağlık verileri, ücret ve finansal tablolar, sözleşmeler, kaynak kodu ve şirket parolaları. Soyut ifade yerine "şunu girmeyin" netliği şarttır.

KVKK, kişisel veri içeren komutların neden riskli olduğunun çalışanlara açıkça anlatılmasını ister. Pratik bir kural ekleyin: "Bir veriyi yapay zekaya yazmadan önce, onu bir e-postayla dış bir tedarikçiye gönderir miydiniz? Cevabınız hayırsa girmeyin."

4. Onay ve insan denetimi: çıktı ne zaman kontrol edilir?

Yapay zeka çıktısı asla son söz değildir. Politika, hangi durumlarda zorunlu insan denetimi gerektiğini tanımlamalı: dış yazışmalar, hukuki ve resmi belgeler, işe alım veya işten çıkarma kararları, finansal taahhütler ve müşteriye gidecek her içerik. Bu kararlarda çıktı bir taslaktır, karar değildir.

Çıktının doğruluğunun sorumluluğu daima onu kullanan çalışandadır. Daha iyi ve denetlenebilir çıktı almak için ekibinizi etkili prompt yazma konusunda eğitmek, hem kaliteyi hem güvenliği artırır.

5. Sorumluluk ve ihlal bildirimi

Her çalışanın bu politikadan sorumlu olduğunu, ihlallerin disiplin sürecine konu olabileceğini açıkça yazın. Daha önemlisi, yanlışlıkla veri paylaşımı gibi bir olay yaşandığında ne yapılacağını tanımlayın: kime, ne kadar sürede haber verilecek. Cezadan çok hızlı bildirimi teşvik eden bir ton, gerçek olayların gizlenmesini önler.

Veri işleyen konumundaki yapay zeka sağlayıcısıyla yazılı bir veri işleme sözleşmesi imzalanması da KVKK Madde 12 kapsamındaki denetim yükümlülüğünün bir parçasıdır; bu sorumluluğu kimin takip edeceğini belirtin.

6. Eğitim ve farkındalık

Yazılı politika tek başına davranış değiştirmez. KVKK, çalışanlara eğitim verilmesini ve kişisel veri içeren komutların risklerinin aktarılmasını ister. Yılda en az bir kez kısa bir farkındalık oturumu, yeni çalışanlara işe başlarken imzalatılan bir özet ve düzenli hatırlatmalar politikayı canlı tutar.

Pratik şablon iskeleti: kopyalayıp doldurun

Aşağıdaki iskelet, bir A4 sayfaya sığacak şekilde tasarlanmıştır; her başlığı kendi araç ve veri envanterinize göre doldurun. Mükemmel ama bitmeyen bir belge yerine, bugün yürürlüğe girecek yalın bir sürümle başlamak çok daha değerlidir.

  1. 1. Amaç ve kapsam

    Politikanın hedefi ve kimi bağladığı tek paragrafta yazılır

  2. 2. Tanımlar

    Üretken yapay zeka, hassas veri ve gölge yapay zeka kısaca tanımlanır

  3. 3. İzinli/yasaklı araçlar

    Serbest, onaya tabi ve yasaklı araçlar listelenir

  4. 4. Veri kuralları

    Asla girilmeyecek veri türleri somut örneklerle sayılır

  5. 5. İnsan denetimi

    Zorunlu kontrol gerektiren karar türleri belirtilir

  6. 6. Sorumluluk ve bildirim

    İhlal sonuçları ve olay bildirim adımı yazılır

  7. 7. Eğitim ve yürürlük

    Eğitim sıklığı, onay makamı ve revizyon tarihi eklenir

İskeleti doldurduktan sonra üst yönetim onayıyla yürürlüğe alın, tüm çalışanlara duyurun ve altı ayda bir gözden geçirin. Politikanızı daha geniş bir dönüşüm planının parçası yapmak istiyorsanız KOBİ'ler için yapay zeka rehberi pillar içeriğimiz bütünsel bir yol haritası sunar; uygulamada destek için yapay zeka çözümleri hizmetimize başvurabilirsiniz.

En sık yapılan hatalar nelerdir?

En yaygın hata, politikayı bir yasak listesine indirgemektir; bu, çalışanları araçları gizlice kullanmaya iter ve gölge yapay zeka doğurur. İkinci hata, hiç kimsenin okumadığı 20 sayfalık hukuki bir metin yazmaktır. Üçüncüsü, politikayı bir kez yazıp rafa kaldırmaktır.

Çözüm; kısa, somut, örnekli ve yaşayan bir belge tutmaktır. Araç envanteri değiştikçe listeyi güncelleyin, gerçek olaylardan ders çıkararak maddeleri olgunlaştırın. İyi bir politika, çalışanın "acaba bunu yapay zekaya yazabilir miyim?" sorusuna saniyeler içinde cevap verebildiği belgedir.

Sık sorulan sorular

Şirket içi yapay zeka politikası kaç sayfa olmalı?

Başlangıç için bir A4 sayfa yeterlidir. Kapsam, izinli araçlar, yasak veriler, denetim, sorumluluk ve eğitim başlıklarını kısa ve somut tutun. Uzun hukuki metinler okunmaz; kullandıkça olgunlaştırın.

Yapay zeka politikası yazmak KVKK açısından zorunlu mu?

KVKK Madde 12, veri sorumlusunun gerekli teknik ve idari tedbirleri almasını zorunlu kılar. Kişisel Verileri Koruma Kurumu da iş yerlerinde araç ve kullanım kurallarının yazılı belirlenmesini önerir. Yazılı politika bu idari tedbirin somut karşılığıdır.

Çalışanlar yapay zekaya hangi verileri asla girmemeli?

Müşteri kişisel verileri, çalışan özlük ve sağlık bilgileri, ücret ve finansal tablolar, sözleşmeler, kaynak kodu ve parolalar kamuya açık araçlara asla girilmemelidir. Pratik kural: dışarıya e-postayla gönderemeyeceğiniz veriyi yapay zekaya da yazmayın.

Politikayı kim hazırlamalı ve onaylamalı?

Taslağı bilgi güvenliği veya KVKK sorumlusu hazırlar; KOBİ'lerde bu rolü genellikle yönetici üstlenir. Yürürlük için üst yönetim onayı şarttır. Yeni araç ekleme onayını verecek kişiyi de politikada açıkça belirtin.

Politika ne sıklıkla güncellenmeli?

En az altı ayda bir gözden geçirin. Araç envanteri, yasal düzenlemeler ve yaşanan olaylar hızla değiştiği için politika yaşayan bir belge olmalıdır. Her güncellemede revizyon tarihini ve onaylayanı not edin.

Yasaklayıcı bir politika gölge yapay zekayı önler mi?

Hayır, tersine teşvik eder. Sadece yasaklamak çalışanları araçları gizlice kullanmaya iter. Bunun yerine serbest, onaya tabi ve yasaklı şeklinde üç kademeli, somut ve eğitimle desteklenen bir çerçeve kurun.

Uygulamaya geçin

Bu yaklaşımı işletmenizde uygulayalım

TecnoNest ekibiyle bu makaledeki yaklaşımı işletmenize özel pratiğe dökün. Ücretsiz keşif görüşmesi, 48 saat içinde dönüş.

Ücretsiz keşif görüşmesi