Şirket içi yapay zeka (AI) kullanım politikası; çalışanların, yüklenicilerin ve yöneticilerin yapay zeka araçlarını hangi amaçlarla, hangi araçlarla ve hangi verilerle kullanabileceğini yazılı kurallara bağlayan iç dokümandır. Amacı, üretkenlik kazanımını korurken veri sızıntısı, KVKK ihlali ve hatalı çıktı risklerini önceden tanımlamaktır. Bu rehber, sıfırdan bir politika yazmak isteyen küçük ve orta ölçekli işletmeler için somut başlıkları, örnek madde formülasyonlarını ve kopyalanabilir bir şablon iskeletini adım adım sunar.
- İyi bir yapay zeka politikası altı temel başlıktan oluşur: kapsam, izinli/yasaklı araçlar, asla girilmeyecek veriler, onay ve insan denetimi, sorumluluk ve ihlal bildirimi, eğitim. KVKK Madde 12 yazılı teknik ve idari tedbir zorunluluğu bu dokümanın hukuki dayanağıdır. Bir A4'lük iskeletle başlayın, kullandıkça olgunlaştırın.
Yapay zeka kullanım politikası tam olarak nedir?
Yapay zeka kullanım politikası, çalışanların ChatGPT, Copilot, Gemini gibi araçları işte kullanırken uymak zorunda olduğu kuralları tek bir belgede toplayan iç düzenlemedir. Yasak listesi değil; neyin serbest, neyin onaya tabi, neyin yasak olduğunu netleştiren bir karar çerçevesidir. Çalışan, tereddüt ettiği anda bu belgeye bakıp doğru davranışı bulabilmelidir.
Politika, sözlü uyarıların ve dağınık e-postaların yerini alır. Yazılı olması, hem çalışanın sorumluluğunu nesnelleştirir hem de bir denetim ya da ihlal durumunda şirketin gerekli özeni gösterdiğini kanıtlar. Yapay zekanın ne olduğunu temelden anlamak için yapay zeka nedir yazımız iyi bir başlangıç noktasıdır.
Politikanın hukuki dayanağı nedir, neden zorunludur?
Dayanak, 6698 sayılı Kanun'un veri güvenliğini düzenleyen 12. maddesidir: veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek için gerekli teknik ve idari tedbirleri almak zorundadır. Yazılı bir kullanım politikası, bu idari tedbirin somut karşılığıdır.
Kişisel Verileri Koruma Kurumu'nun "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" başlıklı dokümanı, şirketlerin hangi araçların, hangi amaçlarla, kimler tarafından ve hangi veri türleriyle kullanılabileceğini yazılı olarak belirlemesini açıkça önerir. Yani politika yazmak yalnızca iyi bir pratik değil, denetim makamının beklentisidir. Konunun risk boyutuna ayrı bir açıdan bakmak için ChatGPT, KVKK ve gölge yapay zeka yazımıza göz atabilirsiniz.
Politikada hangi başlıklar mutlaka bulunmalı?
Sağlam bir politika altı çekirdek başlık üzerine kurulur: kapsam, izinli/yasaklı araçlar, asla girilmeyecek veriler, onay ve insan denetimi, sorumluluk ve ihlal bildirimi, eğitim. Bu başlıklar hem KVKK dokümanının çerçevesiyle hem de uluslararası kurumsal şablonlarla örtüşür; eksik bırakmak ileride boşluk yaratır.
Her başlığı tek tek açalım. Amaç, kopyala-yapıştır bir metin değil; kendi şirketinizin araç envanterine ve veri türlerine göre dolduracağınız bir iskelet kurmaktır.
1. Kapsam: politika kimi ve neyi bağlar?
Kapsam bölümü politikanın kime uygulandığını netleştirir: tam zamanlı çalışanlar, yarı zamanlılar, stajyerler, yükleniciler ve dış danışmanlar dahil. Cihaz tarafını da belirtin: şirket bilgisayarları, kişisel cihazlar (BYOD) ve mobil uygulamalar. Hangi araç türlerinin kapsandığını yazın: bağımsız sohbet botları, ofis yazılımına gömülü asistanlar ve otomasyon eklentileri.
Örnek formülasyon: "Bu politika, [Şirket] adına yürütülen tüm işlerde, kurumsal veya kişisel cihaz fark etmeksizin, üretken yapay zeka araçlarının kullanımını kapsar."
2. İzinli ve yasaklı araçlar: beyaz liste mantığı
En etkili yaklaşım beyaz liste mantığıdır: serbest araçları tek tek sayın, listede olmayan her aracı varsayılan olarak onaya tabi kılın. Örneğin kurumsal lisanslı bir asistanı serbest, ücretsiz tüketici sürümlerini ise hassas veriyle kullanım için yasak ilan edebilirsiniz. Araç seçiminde fikir edinmek için ücretsiz yapay zeka araçları yazımız faydalı olacaktır.
Üç kademeli bir sınıflandırma çoğu KOBİ için yeterlidir: serbest, onaya tabi, yasaklı. Yeni bir aracın listeye eklenmesi için kimin onay vereceğini de buraya yazın; aksi halde gölge yapay zeka kaçınılmaz olur.
Kurumsal lisanslı araçlar
Hassas veri içermeyen günlük görevlerde serbestçe kullanılır
Listede olmayan yeni araçlar
Bilgi güvenliği sorumlusunun yazılı onayıyla denenir
Doğrulanmamış eklentiler
Kurumsal veriyle hiçbir koşulda kullanılmaz
3. Asla girilmeyecek veriler: kırmızı çizgiler
Bu, politikanın kalbidir. Çalışanların kamuya açık yapay zeka araçlarına asla girmemesi gereken veri türlerini somut örneklerle listeleyin: müşteri kişisel verileri (ad, T.C. kimlik no, iletişim), çalışan özlük bilgileri, sağlık verileri, ücret ve finansal tablolar, sözleşmeler, kaynak kodu ve şirket parolaları. Soyut ifade yerine "şunu girmeyin" netliği şarttır.
KVKK, kişisel veri içeren komutların neden riskli olduğunun çalışanlara açıkça anlatılmasını ister. Pratik bir kural ekleyin: "Bir veriyi yapay zekaya yazmadan önce, onu bir e-postayla dış bir tedarikçiye gönderir miydiniz? Cevabınız hayırsa girmeyin."
4. Onay ve insan denetimi: çıktı ne zaman kontrol edilir?
Yapay zeka çıktısı asla son söz değildir. Politika, hangi durumlarda zorunlu insan denetimi gerektiğini tanımlamalı: dış yazışmalar, hukuki ve resmi belgeler, işe alım veya işten çıkarma kararları, finansal taahhütler ve müşteriye gidecek her içerik. Bu kararlarda çıktı bir taslaktır, karar değildir.
Çıktının doğruluğunun sorumluluğu daima onu kullanan çalışandadır. Daha iyi ve denetlenebilir çıktı almak için ekibinizi etkili prompt yazma konusunda eğitmek, hem kaliteyi hem güvenliği artırır.
5. Sorumluluk ve ihlal bildirimi
Her çalışanın bu politikadan sorumlu olduğunu, ihlallerin disiplin sürecine konu olabileceğini açıkça yazın. Daha önemlisi, yanlışlıkla veri paylaşımı gibi bir olay yaşandığında ne yapılacağını tanımlayın: kime, ne kadar sürede haber verilecek. Cezadan çok hızlı bildirimi teşvik eden bir ton, gerçek olayların gizlenmesini önler.
Veri işleyen konumundaki yapay zeka sağlayıcısıyla yazılı bir veri işleme sözleşmesi imzalanması da KVKK Madde 12 kapsamındaki denetim yükümlülüğünün bir parçasıdır; bu sorumluluğu kimin takip edeceğini belirtin.
6. Eğitim ve farkındalık
Yazılı politika tek başına davranış değiştirmez. KVKK, çalışanlara eğitim verilmesini ve kişisel veri içeren komutların risklerinin aktarılmasını ister. Yılda en az bir kez kısa bir farkındalık oturumu, yeni çalışanlara işe başlarken imzalatılan bir özet ve düzenli hatırlatmalar politikayı canlı tutar.
Pratik şablon iskeleti: kopyalayıp doldurun
Aşağıdaki iskelet, bir A4 sayfaya sığacak şekilde tasarlanmıştır; her başlığı kendi araç ve veri envanterinize göre doldurun. Mükemmel ama bitmeyen bir belge yerine, bugün yürürlüğe girecek yalın bir sürümle başlamak çok daha değerlidir.
1. Amaç ve kapsam
Politikanın hedefi ve kimi bağladığı tek paragrafta yazılır
2. Tanımlar
Üretken yapay zeka, hassas veri ve gölge yapay zeka kısaca tanımlanır
3. İzinli/yasaklı araçlar
Serbest, onaya tabi ve yasaklı araçlar listelenir
4. Veri kuralları
Asla girilmeyecek veri türleri somut örneklerle sayılır
5. İnsan denetimi
Zorunlu kontrol gerektiren karar türleri belirtilir
6. Sorumluluk ve bildirim
İhlal sonuçları ve olay bildirim adımı yazılır
7. Eğitim ve yürürlük
Eğitim sıklığı, onay makamı ve revizyon tarihi eklenir
İskeleti doldurduktan sonra üst yönetim onayıyla yürürlüğe alın, tüm çalışanlara duyurun ve altı ayda bir gözden geçirin. Politikanızı daha geniş bir dönüşüm planının parçası yapmak istiyorsanız KOBİ'ler için yapay zeka rehberi pillar içeriğimiz bütünsel bir yol haritası sunar; uygulamada destek için yapay zeka çözümleri hizmetimize başvurabilirsiniz.
En sık yapılan hatalar nelerdir?
En yaygın hata, politikayı bir yasak listesine indirgemektir; bu, çalışanları araçları gizlice kullanmaya iter ve gölge yapay zeka doğurur. İkinci hata, hiç kimsenin okumadığı 20 sayfalık hukuki bir metin yazmaktır. Üçüncüsü, politikayı bir kez yazıp rafa kaldırmaktır.
Çözüm; kısa, somut, örnekli ve yaşayan bir belge tutmaktır. Araç envanteri değiştikçe listeyi güncelleyin, gerçek olaylardan ders çıkararak maddeleri olgunlaştırın. İyi bir politika, çalışanın "acaba bunu yapay zekaya yazabilir miyim?" sorusuna saniyeler içinde cevap verebildiği belgedir.