KVKK uyumlu bir yapay zekâ projesi, “AI çalışıyor” demekten çok daha fazlasını gerektirir. Bu yazı, POC aşamasından üretime kadar uzanan yolda KVKK Kurul kararlarıyla ve AB AI Act ile hizalı 7 aşamayı somut adımlarla anlatıyor.
Neden Sıradan Bir Yazılım Projesi Değil
Yapay zekâ projeleri klasik yazılım projelerinden üç noktada ayrılır: (1) eğitim/bağlam verisi kişisel veri içeren bir veri işleme faaliyetidir, (2) modelin kararı kişiyi etkileyebilir (KVKK madde 11/g — otomatik karar verme), (3) açıklanabilirlik ve denetim izi yasal bir yükümlülüktür. Bu üç eksen birlikte projenin baştan tasarlanmasını şart koşar.
7 Aşamalı Checklist
1. Aşama: Veri Envanteri ve DPIA
AI projesi için kullanılacak tüm veri kaynaklarını kategorize edin: kişisel veri / özel nitelikli / anonim. Veri Koruma Etki Değerlendirmesi (DPIA) zorunlu mu kontrol edin — KVKK Rehberi gereği yüksek risk faaliyetlerde şarttır. Çıktı: 5 sayfalık DPIA raporu, veri akış diyagramı.
2. Aşama: Hukuki Dayanak ve Aydınlatma
Veri işleme için hukuki dayanak (rıza / sözleşmenin ifası / meşru menfaat) net olmalı. AI eğitiminin meşru menfaat kapsamında olup olmadığı dengelenmeli. Aydınlatma metnine “yapay zekâ ile karar destek” ifadesi eklenir, açık rıza gerekiyorsa ayrı bir onay akışı kurulur.
3. Aşama: Mimari Tasarım (Privacy by Design)
Veri minimizasyonu, end-to-end şifreleme, role-based erişim, denetim izi, federasyon/edge-AI seçenekleri tasarım aşamasında karara bağlanır. Embedding ve vektör veritabanı için ayrı erişim politikası tanımlanır.
4. Aşama: POC Geliştirme + İlk Etik Kontrol
4-8 hafta süren POC döneminde tarafsızlık (fairness), açıklanabilirlik ve sağlamlık testleri yapılır. Cross-demographic test setleri kullanılarak bias tespiti yapılır. Çıktı: model kartı, etik etki raporu.
5. Aşama: Güvenlik Sıkılaştırmasi
OWASP LLM Top 10 çerçevesinde tüm risk kategorileri kontrol edilir. Prompt enjeksiyonu, hassas veri sızıntısı, model abuse senaryoları kırmızı-takım testleriyle simüle edilir. PII redaktasyon, output validation, rate limiting devreye alınır.
6. Aşama: Üretime Geçiş ve Yönetişim
Production deploy sırasında model envanteri, sürüm geçmişi, denetim izi, alarm sistemi (drift, performans, maliyet anomalisi) kurulur. KVKK İrtibat Kişisi süreç içine dahil edilir. AI Governance Framework dokümanı yayınlanır.
7. Aşama: Sürekli İzleme ve Yeniden Değerlendirme
Üretimde aylık model performans + bias raporu, çeyreklik DPIA güncellemesi, yıllık tam KVKK denetimi. Yeni veri kaynağı eklendiğinde aydınlatma metni güncellenir.
Kontrol Edilecek 12 Madde
- DPIA tamamlandı ve veri sorumlusu tarafından onaylandı
- Aydınlatma metni AI faaliyetini açıkça belirtiyor
- Açık rıza akışı (gerekiyorsa) ayrı tutulmuş
- Veri minimizasyon ilkesi tüm pipeline’da uygulanıyor
- PII tespit ve redaktasyon katmanı aktif
- Bias ve fairness testleri belgelenmiş
- Model kartı (model card) yayınlandı
- Açıklanabilirlik (SHAP/LIME) raporu mevcut
- Denetim izi (kim, ne, ne zaman) tutuluyor
- AI Governance Framework dokümanı imzalandı
- İrtibat Kişisi sürece dahil
- Yeniden değerlendirme takvimi (en az yıllık) belirlendi
Yatırım Getirisi Nasıl Korunur
KVKK uyumsuzluğunun maliyeti, projenin maliyetinin üzerine çıkabilir. 2025’te KVKK Kurulu kararlarındaki idari para cezası ortalamasının 1,8 milyon TL’ye yaklaştığı düşünüldüğünde, “uyum maliyeti” değil “uyumsuzluk kaçınma yatırımı” olarak konumlandırmak gerekir.