ChatGPT ve Google Gemini Gibi Üretken Yapay Zekâ Araçlarının İş Yerlerinde Kullanımı
Giriş
Üretken yapay zekâ (generative AI) teknolojileri, özellikle ChatGPT, Microsoft Copilot ve Google Gemini gibi araçların yaygınlaşmasıyla birlikte, iş dünyasında kısa sürede dönüştürücü bir etki yaratmıştır. Mevcut verilerdeki örüntülerden hareketle insan üretimine benzer, özgün çıktılar oluşturması nedeniyle metin üretiminden veri analizine, yazılım ve müzik geliştirmeden müşteri iletişimine kadar uzanan geniş bir kullanım alanı, bu teknolojileri yalnızca destekleyici araçlar olmaktan çıkararak iş süreçlerinin ayrılmaz bir parçası hâline getirmiştir. Nitekim son dönemde yapılan araştırmalar, ChatGPT'nin piyasaya çıkışından iki yıl sonra kaydedilen genel benimseme ve kullanım oranlarının, 1981'de IBM PC'nin lansmanından üç yıl sonra ulaşılan oranların neredeyse iki katına denk geldiğini göstermektedir.[1]
Söz konusu araçların iş yerinde en yaygın kullanım alanlarına bakıldığında, yazı yazma, bilgi arama ve ayrıntılı talimat edinme öne çıkan işlevler olarak karşımıza çıkmaktadır. Bu işlevlerin kullanımının çalışan verimliliğini arttırdığı, karar alma süreçlerini ve bilgiye erişimi hızlandırdığı çok açıktır.[2] Ne var ki bu tablonun bir de görünmez yüzü vardır. Üretken yapay zekâ (ÜYZ) araçlarının iş yerlerinde kullanım hızı, yönetim kapasitesini açıkça geride bırakmaktadır. Çalışanların bireysel inisiyatifleriyle veya üyelikleriyle bu araçları günlük iş akışlarına entegre etmeleri, bir yandan operasyonel verimlilik sağlarken diğer yandan veri güvenliği, gizlilik ve sorumluluk gibi alanlarda yeni riskleri doğurmaktadır. Literatürde "gölge yapay zekâ" (shadow AI)[3] olarak adlandırılan bu olgu; bilgi teknolojileri biriminin ya da üst yönetimin onayı veya bilgisi olmaksızın araçların benimsenmesi anlamına gelmekte ve kurumsal denetim mekanizmaları için ciddi bir açık oluşturmaktadır. Dolayısıyla bu durum, işverenler açısından yalnızca teknolojik bir dönüşüm meselesi olmaktan çıkarak aynı zamanda yönetişim, uyum ve risk yönetimi perspektifinden ele alınması gereken önemli bir konu haline gelmektedir.
Bu bağlamda Kişisel Verileri Koruma Kurumu (Kurum) tarafından hazırlanan “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” dokümanı[4] (Rehber), özellikle üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen ÜYZ araçlarının iş yerlerinde kullanımına ilişkin genel bir çerçeve sunmak amacıyla hazırlanmış olup şirketler nezdinde farkındalık oluşturmayı, olası risklere dikkat çekmeyi ve bilinçli kullanımı teşvik etmeyi hedeflemektedir.
Bu makalede, söz konusu dokümanın ortaya koyduğu çerçeve özetlenmekte; iş yerlerinde ÜYZ kullanımının doğurduğu temel risk alanları, yönetim ve denetim ihtiyaçları ele alınmakta ve en nihayetinde şirketler bakımından uygulanabilir politika ve uyum önerileri geliştirilmektedir.
Kurum’un Rehber’i Neleri Düzenliyor?
Mart 2026'da Kurum tarafından yayımlanan Rehber’de öncelikle, ÜYZ sistemlerinin niteliği ve iş süreçlerine etkisi açıklanmakta; bu araçların metin üretimi, e-posta yazımı, rapor oluşturma, araştırma, özetleme, çeviri yapma, yazılım geliştirme ve karar destek gibi çok çeşitli alanlarda çalışanlar tarafından aktif biçimde kullanıldığı vurgulanmaktadır. Bu kullanımın başta müşteri hizmetleri, pazarlama ve reklamcılık, eğitim, sağlık, hukuk ve yazılım geliştirme olmak üzere çeşitli alanlarda yaygın olduğu ve hatta organizasyonların tüm fonksiyonlarına yayıldığına dikkat çekilmektedir.
Rehber’in en can alıcı kısmı şüphesiz "gölge yapay zekâ" (Gölge YZ) olgusunun ve bu olgunun kurumlar açısından doğurduğu risklerin ele alındığı ikinci bölümdür. Gölge YZ; şirketin bilgisi, onayı veya kurumsal kontrolü dışında çalışanlar tarafından yapay zeka araçlarının iş süreçlerine dahil edilmesi olarak tanımlanmakta ve bunun artık teorik değil, günlük iş akışında karşılaşılan somut bir gerçeklik olduğu vurgulanmaktadır. Rehber bu tabloyu yalnızca çalışan tercihine bağlamamakta; araçların ücretsiz ya da düşük maliyetli olması, teknik bilgi gerektirmemesi ve kullanım kolaylığının yanı sıra kurumsal politika boşluğunun da bu eğilimi doğrudan beslediğini kabul etmektedir.
Benzer bir dinamiğin daha uzun süredir "gölge BT" (Shadow IT) adıyla bilinen olgu kapsamında da gözlemlendiğini hatırlatan doküman, Gölge YZ'yı Gölge BT'den daha katmanlı bir sorun olarak değerlendirmektedir: Zira ÜYZ araçları yalnızca veri depolamakla kalmamakta, verileri işlemekte, içerik üretmekte ve iş süreçlerine yön veren karar mekanizmalarını doğrudan etkileme riski taşımaktadır. Ayrıca hangi yapay zeka araçlarının hangi amaçlarla kullanıldığı ve bu araçlarla hangi veri türlerinin paylaşıldığı gibi konularda yeterli denetim sağlanamadığı durumlarda kurumsal risk yönetimi de önemli ölçüde zorlaşmaktadır. Bu kapsamda Rehber Gölge YZ kullanımının şirketler açısından yarattığı bazı riskleri aşağıdaki şekilde özetlemektedir:
Gölge YZ Kullanımının Yarattığı Riskler
Risk kataloğu bakımından Rehber altı temel başlık ortaya koymaktadır: (i) denetlenebilirlik ve hesap verebilirlik, (ii) karar kalitesi ve doğruluk, (iii) fikri mülkiyet ve ticari sırların korunması, (iv) kurumsal itibar ve güven, (v) bilgi güvenliği ile siber güvenlik ve (vi) kişisel verilerin korunması.
- Denetlenebilirlik ve hesap verebilirlik riski: ÜYZ araçlarının kurumsal kayıt ve denetim mekanizmaları dışında kullanılması, hangi verilerin hangi amaçlarla işlendiğinin tespitini zorlaştırmakta; bu durum hem uyum süreçlerini hem de ihlal anında müdahaleyi güçleştirmektedir.
- Karar kalitesi ve doğruluk riski: Doğrulama süreçlerinden geçmeyen ÜYZ çıktıları hatalı, yanıltıcı veya önyargılı olabilmekte; bu çıktılara dayanılarak alınan kararlar iş süreçlerinde ciddi hatalara yol açabilmektedir. Bu durum, şirketin kalite standartları veya etik ilkeleriyle uyumsuz sonuçlar doğurma riski taşımaktadır.
- Fikri mülkiyet ve ticari sır riski: Kaynak kod, ürün tasarımları, iş stratejileri ve ticari sır niteliğindeki bilgilerin harici ÜYZ araçlarına aktarılması, bu bilgilerin açığa çıkması veya yetkisiz kişilerce erişilebilir hâle gelmesi riskini doğurmaktadır.
- Kurumsal itibar ve güven kaybı riski: Doğruluğu teyit edilmemiş ÜYZ çıktılarının kullanılması, hatalı bilgilendirme ya da düşük kaliteli içerik üretimi yoluyla kuruluşun paydaşlar nezdindeki güvenilirliğini zedeleyebilmektedir.
- Bilgi ve siber güvenlik riski: Kurumsal kontrol dışındaki ÜYZ araçları, güvenli olmayan arayüzler, kişisel cihazlar veya yönetilmeyen entegrasyonlar üzerinden kurumların saldırı yüzeyini genişletmekte; yetkisiz erişim, veri kaybı ve zararlı yazılım risklerini artırmaktadır.
- Kişisel verilerin korunmasına ilişkin riskler: Kontrol dışı ÜYZ kullanımı kişisel verilerin hukuka aykırı işlenmesine, yetkisiz erişime veya amaç dışı kullanımına zemin hazırlayabilmektedir. Kullanıcıların komutlar aracılığıyla ilettiği kişisel verilerin ya da kurumsal açıdan hassas bilgilerin üretilen çıktılara yansıyarak üçüncü kişilere ulaşması da bu risk kapsamında değerlendirilebilir.
Kişisel veriler açısından Rehber, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) teknolojiden bağımsız olarak kişisel verilerin işlendiği her durumda geçerli genel bir hukuki çerçeve ortaya koyduğunu ve ÜYZ araçları aracılığıyla gerçekleştirilen işlemlerde KVKK ilke ve kuralları ile yükümlülüklerine uyulması gerektiğini önemle vurgulamaktadır.
Nitekim bu yaklaşım, Kasım 2025’te yine aynı konuda Kurum tarafından yayınlanan 15 Soruda Rehber[5] ile de tamamlanmaktadır. Söz konusu rehber konuyu çok daha ayrıntılı biçimde ele almakta; Gölge YZ kullanımının iş yerleri açısından yarattığı risklerin yalnızca veri ihlali ile sınırlı kalmadığını; hukuki işleme şartlarının sağlanamaması, şeffaflık eksikliği, yurt dışına veri aktarımı, model eğitimi için kullanılan veri setlerinin kaynağı ve doğruluğu gibi çok boyutlu uyum sorunlarını da gündeme getirdiğini ifade etmektedir. Ayrıca rehberde “halüsinasyon”, “deepfake” ve algoritmik önyargı gibi risklere de yer verilerek, üretken yapay zekâ çıktılarının güvenilirliğinin sorgulanması gerektiğinin üzerinde durulmaktadır.
Şirketler Açısından Uygulanabilir Politika ve Uyum Önerileri
ÜYZ kullanımının yaygınlaşması ve yukarıda kısaca özetlenen riskleri barındırması, şirketlerin bu teknolojilere yaklaşımını yeniden tanımlamasını zorunlu kılmaktadır. Ancak bu araçların sunduğu hız ve verimlilik karşısında kullanımın tamamen yasaklanmasına dayalı yaklaşımlar pratikte etkili ve gerçekçi olmayacak; aksine çalışanları bu araçları denetim dışında kullanmaya yönlendirerek kontrolsüz kullanımı artırabilecektir. Dolayısıyla şirketlerin, yasaklamak yerine yönlendiren, sınır çizen ve farkındalık oluşturan bir yaklaşım benimsemesi son derece önemlidir. Bu kapsamda, şirketler bakımından beş temel eylem alanı öne çıkmaktadır:
- Kurumsal politika çerçevesinin oluşturulması: Öncelikle her kuruluş ÜYZ kullanımına ilişkin açık ve erişilebilir bir iç politika hazırlamalıdır. Bu politika; hangi araçların kullanılabileceğini, hangi amaçlarla kullanılacağını, hangi veri türlerinin bu araçlara girilebileceğini ve üretilen çıktının nasıl değerlendirileceğini net şekilde ortaya koymalıdır. Özellikle kişisel veriler, ticari sırlar ve kurumsal hassas bilgiler bakımından “kırmızı çizgilerin” açıkça belirlenmesi, kontrolsüz kullanımın önüne geçilmesi açısından kritik önemdedir. Bu noktada tek tip bir modelden ziyade, şirketin faaliyet alanına ve risk profiline uygun bir yaklaşım benimsenmelidir.
- Kişisel veriler ve hassas bilgilerin korunması: Çalışanların ÜYZ araçlarıyla etkileşim sırasında hangi bilgileri paylaşabileceği ve hangi bilgilerin kesinlikle paylaşılmaması gerektiği konusunda bilinçlendirilmesi şarttır. Özellikle kişisel veriler bakımından anonimleştirme, genelleştirme ve veri minimizasyonu gibi ilkelerin uygulanması önem taşımaktadır. Aynı zamanda kullanılan araçların veri işleme süreçleri, saklama süreleri ve üçüncü taraflarla veri paylaşımı gibi hususların da değerlendirilmesi gereklidir.
- Veri güvenliğine ilişkin tedbirler: Kurumsal düzeyde ÜYZ kullanımının yönetilebilmesi için erişim ve güvenlik kontrollerinin de devreye alınması gerekmektedir. Bu kapsamda çalışanların yalnızca şirket tarafından kullanım koşulları tanımlanmış araçlara erişebilmesini sağlayan yaklaşımlar, kontrol dışı kullanımın önlenmesine katkı sunacaktır. Harici platformlara ağ erişimin sınırlandırılması, ÜYZ araçlarına erişimin yalnızca kurumsal cihazlar üzerinden gerçekleştirilmesinin sağlanması ve bu araçları hangi çalışan gruplarının kullanabileceğini belirleyen rol temelli yaklaşımların benimsenmesi bu tedbirlere örnek olarak sayılabilir.
- Farkındalık, eğitim ve geri bildirim mekanizmaları: Eğitimler, rehberler ve düzenli bilgilendirmeler yoluyla çalışanların hem riskler hem de doğru kullanım yöntemleri konusunda bilinçlendirilmesi; aynı zamanda geri bildirim mekanizmaları ile sahadaki uygulamaların izlenmesi de önem taşımaktadır. Bu sayede şirketler ÜYZ kullanımına dair kurguladığı kurumsal çerçevenin sürdürülebilir olmasını sağlayabilecektir.
- İnsan denetimi: ÜYZ çıktılarının nihai kararların yerine geçmesi değil, karar süreçlerini destekleyen bir araç olarak konumlandırılması gerekir. Hatalı, yanıltıcı veya “ikna edici ama yanlış” (halüsinatif) çıktılar riskine karşı, içeriklerin doğruluk ve bağlam açısından kontrol edilmesini esas alan bir yaklaşım benimsenmelidir.
Sonuç
ÜYZ araçları, iş dünyasında geri dönüşü olmayan bir dönüşümü başlatmış durumdadır. ChatGPT, Microsoft Copilot ve Google Gemini gibi uygulamaların kurumsal iş akışlarına hızla entegre olduğu bu süreçte asıl tehlike, teknolojinin kendisinden değil yönetilmemesinden kaynaklanmaktadır. Bu nedenle şirketlerin yaklaşımı yasaklayıcı değil; açık kurallar, etkin denetim mekanizmaları ve güçlü bir kurumsal farkındalık kültürü üzerine kurulu olmalıdır. ÜYZ kullanımının kurumsal politika, veri koruma ilkeleri ve insan denetimi ile desteklenmesi, hem risklerin yönetilmesini hem de bu teknolojinin sunduğu fırsatlardan sürdürülebilir ve güvenli şekilde yararlanılmasını mümkün kılacaktır.
- “The State of Generative AI Adoption in 2025”, Federal Reserve Bank of St. Louis, https://www.stlouisfed.org/on-the-economy/2025/nov/state-generative-ai-adoption-2025 , (Erişim Tarihi: 29.03.2026); “Workplace Adoption of Generative AI”, National Bureau of Economic Research, https://www.nber.org/digest/202412/workplace-adoption-generative-ai?page=1&perPage=50 , (Erişim Tarihi: 29.03.2026).
- Ibid.
- “What is shadow AI?”, IBM, https://www.ibm.com/think/topics/shadow-ai , (Erişim Tarihi: 29.03.2026).
- “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı”, Kişisel Verileri Koruma Kurumu, 05.03.2026, https://www.kvkk.gov.tr/Icerik/8674/is-yerlerinde-uretken-yapay-zeka-araclarinin-kullanimi , (Erişim Tarihi: 29.03.2026).
- “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)”, Kişisel Verileri Koruma Kurumu, 24.11.2025, https://www.kvkk.gov.tr/Icerik/8547/uretken-yapay-zeka-ve-kisisel-verilerin-korunmasi-rehberi-15-soruda , (Erişim Tarihi: 29.03.2026).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Avrupa Veri Koruma Kurulu ("Kurul"), yapay zekâ modelleri bağlamında kişisel verilerin işlenmesiyle ilgili temel veri koruma endişelerini ele alan 28/2024 sayılı Görüşü yayınladı. İrlanda Veri Koruma Otoritesi’nin Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) madde 64(2) kapsamındaki talebine bir yanıt...
Teknolojinin gelişmesiyle birlikte yapay zekâ (“AI”), tahkim süreçlerine entegre olarak verimlilik sağlama potansiyeli sunar. Uygulayıcılar, yapay zekânın sunduğu fırsatları değerlendirirken, aynı zamanda bu teknolojinin sınırlarını ve risklerini de göz önünde bulundurur...
Yapay Zekâ Çerçeve Sözleşmesi (Çerçeve Sözleşme), Avrupa Konseyi tarafından önerilen ve yakın zamanda imzaya açılan uluslararası bir anlaşmadır . Anılan sözleşme, yapay zekâ sistemlerinin tüm yaşam döngüsünü düzenleyen ilk uluslararası sözleşmedir. Çerçeve Sözleşme, yapay zekâ sistemlerinin insan hakları...
"Brüksel Etkisi", Avrupa Birliği ("AB") düzenlemelerinin küresel olarak standartları etkilemesi veya belirlemesi olgusunu ifade etmektedir. Nitekim AB önemli bir pazar niteliğinde olduğundan, küresel düzeyde faaliyet gösteren şirketler genellikle birden fazla, farklı yerel yasalara uymak yerine tüm faaliyetlerinde AB...
Anayasa Mahkemesi (“AYM”), 10 Ocak 2024 tarihli ve 32425 sayılı Resmî Gazete’de yayımlanan 11.10.2023 tarihli ve 2020/76 E., 2023/172 K. sayılı kararı ile (“Karar”) 7253 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da...
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Bilgi Teknolojileri ve İletişim Kurulu (“BTK”) 28.03.2023 tarihli ve 2023/DK-İD/119 sayılı kararı ile Sosyal Ağ Sağlayıcı Usul ve Esasları’nı (“Usul ve Esaslar”) kabul etti. Anılan karar, 01.04.2023 tarihli Resmî Gazete’de yayımlandı ve yayımı tarihinde yürürlüğe girdi. 5651 sayılı İnternet Ortamında Yapılan Yayınların...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...