STK’lar İçin Yapay Zekâ Kullanım Politikası: Riskler, Kurallar ve Örnek Metin

Bir STK’nın yapay zekâ politikası, “çalışanlar yapay zekâ kullanabilir” veya “kullanamaz” demekten daha fazlasıdır. Politika; hangi araçların onaylı olduğunu, hangi verilerin sisteme girilemeyeceğini, hangi işlerin yalnız taslak düzeyinde yapılabileceğini, çıktıyı kimin doğrulayacağını ve bir hata ya da veri ihlalinde ne yapılacağını açıkça belirlemelidir. Özellikle üye, bağışçı, çalışan, gönüllü, çocuk ve yararlanıcı verileri işleyen kuruluşlarda kamusal bir üretken yapay zekâ aracına belge yüklemek, görünmeyen bir veri aktarımı ve gizlilik riski yaratabilir.

İçindekiler

1. Yapay zekâ kullanım politikası neden gerekir?
2. Kapsam ve temel kavramlar
3. Risk temelli kullanım sınıfları
4. İzin verilen kullanım alanları
5. Onay gerektiren ve yasak kullanımlar
6. Kişisel ve özel nitelikli veri
7. Çocuk, bağışçı ve yararlanıcı verileri
8. Gizli belgeler ve kurumsal sırlar
9. İnsan kontrolü ve nihai sorumluluk
10. Yanlış bilgi ve kaynak doğrulama
11. Telif hakları ve içerik sahipliği
12. Ayrımcılık, etik ve erişilebilirlik
13. Şeffaflık ve yapay zekâ kullanımının açıklanması
14. Tedarikçi ve araç değerlendirmesi
15. Erişim, kayıt ve denetim izi
16. Olay ve ihlal yönetimi
17. Eğitim ve periyodik gözden geçirme
18. Örnek yapay zekâ kullanım politikası
19. Sık yapılan hatalar
20. Uygulama kontrol listesi

Yapay zekâ kullanım politikası neden gerekir?

Çalışanlar ve gönüllüler, kurum resmî olarak araç satın almamış olsa bile ücretsiz sohbet uygulamaları, çeviri hizmetleri, toplantı özetleyicileri, görsel üreticiler ve tarayıcı eklentileri kullanabilir. Bu “gölge yapay zekâ” kullanımı; politika olmadığında kurumun veri akışını, hangi belgenin nereye yüklendiğini ve hangi çıktının karar süreçlerine girdiğini görünmez hâle getirir.

Politika şu amaçlara hizmet eder:

• verimli ve meşru kullanım alanlarını engellemeden sınırları belirler;
• kişisel veri ve gizli belge girişini kontrol eder;
• çalışan, gönüllü ve dış hizmet sağlayıcılar için ortak kural koyar;
• yapay zekâ çıktısının nihai karar olmadığını açıklar;
• yanlış, önyargılı veya uydurma içeriklerin yayımlanmasını önler;
• tedarikçi seçimi ve sözleşme kontrolünü standartlaştırır;
• olay, şikâyet ve veri ihlali hâlinde sorumluları belirler;
• kurul/yönetim organına ölçülebilir denetim izi sunar.

KVKK’nin 24 Kasım 2025’te yayımladığı “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi” ile Mart 2026 tarihli “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” dokümanı, üretken yapay zekâ yaşam döngüsünde hukuka uygunluk, şeffaflık, veri minimizasyonu, güvenlik ve sorumluluk gibi kişisel veri ilkelerinin uygulanması gerektiğini vurgular.

Kapsam ve temel kavramlar

Politika yalnız tam zamanlı çalışanları değil, aşağıdaki grupları kapsamalıdır:

• yönetim ve denetim organı üyeleri;
• çalışanlar ve stajyerler;
• gönüllüler;
• danışmanlar ve serbest çalışanlar;
• saha partnerleri;
• kurum adına sistem kullanan tedarikçiler.

Üretken yapay zekâ, kullanıcı girdisine göre metin, görsel, ses, video, kod veya başka içerik üreten sistemlerdir. Yapay zekâ destekli araç, görünür bir sohbet ekranı olmasa bile otomatik özetleme, sınıflandırma, öneri veya karar desteği sunabilir. Etken/otonom yapay zekâ, bir hedef doğrultusunda birden çok adımı planlayıp araç çağırabilen, dosya değiştirebilen veya işlem başlatabilen sistemleri ifade edebilir. Otonomi arttıkça yetki, hata ve denetim riski de büyür.

Girdi, kullanıcı tarafından yazılan talimat, yüklenen belge, görüntü veya bağlanan veri kaynağıdır. Çıktı, sistemin ürettiği içerik, tahmin, sınıflandırma ya da eylemdir. Girdi ve çıktıların her ikisi de kişisel veri, telif veya gizlilik riski taşıyabilir.

Risk temelli kullanım sınıfları

Tek bir yasak listesi hızla eskir. Daha sürdürülebilir yaklaşım, kullanım senaryolarını risk düzeyine göre sınıflandırmaktır.

Risk değerlendirmesinde şu sorular sorulur:

1. Kişiler üzerinde hak, hizmet veya itibar etkisi var mı?
2. Çocuk, sağlık, engellilik, yoksulluk, inanç veya üyelik verisi işleniyor mu?
3. Girdi gizli mi; çıktı kamuya açıklanacak mı?
4. Sistem bir kişiyi sınıflandırıyor, puanlıyor veya dışlıyor mu?
5. Hata fark edilmezse mali, hukuki ya da fiziksel zarar oluşur mu?
6. İnsan karar verici çıktıyı gerçekten sorgulayabilecek mi?
7. Tedarikçi veriyi model eğitimi veya başka amaçla kullanıyor mu?
8. Veri yurt dışına aktarılıyor mu?

İzin verilen kullanım alanları

Aşağıdaki kullanımlar, kişisel/gizli veri içermemesi ve insan incelemesi koşuluyla çoğu STK’da düşük veya orta riskli olabilir:

• kamuya açık kaynaklar için araştırma soruları ve arama terimleri üretmek;
• boş toplantı gündemi, kontrol listesi veya proje planı taslağı hazırlamak;
• kurum tarafından hazırlanmış metni dil ve anlatım yönünden sadeleştirmek;
• kamuya açık metinleri özetlemek; kaynağı ayrıca okumak;
• farklı hedef kitleler için iletişim taslağı oluşturmak;
• anonimleştirilmiş/toplulaştırılmış verilerle tablo formülü veya analiz kodu taslağı üretmek;
• erişilebilirlik için alternatif metin veya sade dil taslağı hazırlamak;
• kurumun onaylı sözlüğüyle çeviri taslağı üretmek;
• fikir geliştirme, senaryo ve soru listesi oluşturmak;
• kişisel veri içermeyen yazılım kodunda test veya dokümantasyon desteği almak.

“İzin verilen” kullanım, çıktının otomatik doğru veya yayımlanabilir olduğu anlamına gelmez. Her çıktı, ilgili konu sahibi tarafından kontrol edilir.

Ön onay gerektiren kullanım alanları

Aşağıdaki kullanımlar için birim yöneticisi, veri koruma/bilgi güvenliği sorumlusu ve gerektiğinde hukuk/mali sorumlu onayı aranmalıdır:

• bağışçıya, kurumsal donöre veya kamu kurumuna gidecek nihai metin;
• hibe veya proje başvurusunun önemli teknik bölümleri;
• kamuya açıklanacak rapor, araştırma veya politika önerisi;
• çalışan performansı, işe alım veya gönüllü seçimi desteği;
• yararlanıcı başvurularını sınıflandırma veya önceliklendirme;
• sözleşme, tüzük, yönetmelik veya hukuki yazışma taslağı;
• mali tahmin, bütçe veya ödeme önerisi;
• fotoğraf, ses ve video üretimi/düzenlemesi;
• kurum sistemine bağlanan yapay zekâ asistanı;
• otomatik e-posta, CRM, dosya veya ödeme işlemi yapabilen etken sistem;
• çok sayıda kişinin verisini analiz eden özel model veya dış hizmet.

Onay, “aracı genel olarak kullanma” ile “belirli yüksek riskli senaryoyu kullanma” şeklinde iki katmanlı olabilir.

Yasak veya kabul edilemez kullanımlar

Kurum, en az aşağıdaki kullanım biçimlerini yasaklamalıdır:

• onaysız bir araca kimlik, iletişim, sağlık, üyelik, bağış, yardım başvurusu veya çalışan dosyası yüklemek;
• çocuk veya hassas yararlanıcı verisini genel amaçlı üretken yapay zekâya girmek;
• yapay zekâ çıktısını tek başına yardım kabul/ret, işe alma/işten çıkarma, üyelik, disiplin veya burs kararı yapmak;
• kişilerin inanç, sağlık, siyasi görüş, etnik köken, yoksulluk ya da davranışına ilişkin gizli profil üretmek;
• gerçek kişiyi taklit eden sahte ses, görüntü veya mesaj oluşturmak;
• bağışçıya veya kamuoyuna yapay zekâ üretimi olduğu gizlenen yanıltıcı tanıklık/vaka hikâyesi sunmak;
• telifli içeriği izin ve lisans kontrolü olmadan büyük ölçekte yeniden üretmek;
• güvenlik kontrollerini, erişim sınırlarını veya kurum kayıtlarını aşmak;
• kaynağı kontrol edilmemiş mevzuat, sağlık, mali veya saha güvenliği bilgisini yayımlamak;
• yapay zekâya otonom banka transferi, satın alma, sözleşme imzası veya erişim yetkisi verme;
• yönetici onayı olmadan kurum adına otomatik sosyal medya hesabı işletmek;
• sistem sağlayıcısının koşullarına aykırı veya hukuka aykırı veri toplamak.

Kişisel ve özel nitelikli veri girişi

Yapay zekâ aracı, girdi verisini yalnız anlık cevap üretmek için kullanmayabilir; saklayabilir, güvenlik incelemesine açabilir, alt hizmet sağlayıcılarla paylaşabilir veya sözleşmeye göre model geliştirmede kullanabilir. Bu nedenle “sohbete yazmak” da bir veri işleme ve muhtemel aktarım faaliyetidir.

Her kullanımda şu sıra izlenmelidir:

1. Kişisel veri kullanmadan amaç gerçekleştirilebilir mi?
2. Takma adlandırma veya anonimleştirme mümkün mü?
3. İşleme şartı ve amaç açık mı?
4. Veri minimizasyonu sağlandı mı?
5. Aracın kurumsal sözleşmesi ve veri kullanım ayarları incelendi mi?
6. Veri nerede saklanıyor, yurt dışına aktarılıyor mu?
7. Silme, erişim ve denetim imkânı var mı?
8. Çıktı yeni veya çıkarımsal kişisel veri üretiyor mu?

İsim silmek her zaman anonimleştirme değildir. Yaş, ilçe, hastalık, aile yapısı ve olay ayrıntıları bir araya geldiğinde kişi yeniden belirlenebilir. Gerçek vaka yerine sentetik örnek kullanmak daha güvenli olabilir.

Özel nitelikli kişisel veriler — örneğin sağlık, inanç, dernek üyeliği, ceza mahkûmiyeti, biyometrik ve genetik veriler — için daha yüksek koruma gerekir. Onaylı özel bir kurumsal ortam, açık hukuki dayanak ve risk analizi bulunmadıkça bu veriler üretken yapay zekâya girilmemelidir.

Çocuk, bağışçı ve yararlanıcı verileri

Çocuklar

Çocukların kayıt, gelişim, eğitim, sağlık, fotoğraf, ses ve konum verileri yüksek risklidir. Bir çocuğun ödevini değerlendirme, davranışını puanlama veya destek ihtiyacını tahmin etme gibi kullanım, önyargı ve hatalı karar riski taşır. Çocuk verisi varsayılan olarak yapay zekâ kullanımının dışında tutulmalı; istisna ancak belgelenmiş gereklilik, güvenli sistem, veli/çocuk bilgilendirmesi, uygun hukuki dayanak ve insan denetimiyle değerlendirilmelidir.

Bağışçılar

Bağış miktarı, sıklığı ve kampanya tepkisinden kişilik, gelir veya “bağış yapma olasılığı” profili üretmek şeffaflık ve hukuka uygunluk incelemesi gerektirir. Bağışçı mesajı kişiselleştirilecekse kişi üzerinde baskı, hassasiyet istismarı ve ayrımcılık riskleri değerlendirilmelidir.

Yararlanıcılar

Yardım başvurularında gelir, sağlık, engellilik, aile, konum ve travma bilgileri bulunabilir. Yapay zekâ, eksik veri veya tarihsel önyargı nedeniyle en kırılgan kişileri yanlış sınıflandırabilir. Nihai uygunluk ve öncelik kararı otomatikleştirilmemeli; kriterler açık, itiraz yolu erişilebilir ve insan değerlendirmesi gerçek olmalıdır.

Gizli belgeler ve kurumsal sırlar

Aşağıdaki içerikler onaysız genel amaçlı yapay zekâ araçlarına yüklenmemelidir:

• yönetim kurulu kapalı gündemi ve taslak kararlar;
• henüz yayımlanmamış bütçe ve denetim bulguları;
• bağışçı veya tedarikçi sözleşmeleri;
• şifre, erişim anahtarı ve sistem mimarisi;
• soruşturma, disiplin, ihbar veya dava dosyası;
• yararlanıcı dağıtım listeleri;
• çalışan özlük ve ücret bilgileri;
• stratejik plan, teklif ve fiyatlandırma;
• başka kuruluşların gizlilik yükümlülüğü altındaki belgeleri.

Belgeyi “özetletmek için” yüklemek de ifşadır. Kurumsal araç kullanılsa bile erişim, saklama, model eğitimi, alt işleyen ve silme şartları sözleşmeyle doğrulanmalıdır.

İnsan kontrolü ve nihai sorumluluk

Yapay zekâ bir sorumluluk sahibi değildir. Nihai sorumluluk, çıktıyı kullanan ve onaylayan kişi ile kurumdadır. İnsan kontrolü yalnız “göz gezdirmek” değildir. Kontrol eden kişi:

• konu hakkında yeterli bilgiye sahip olmalı;
• çıktının hangi veriye dayandığını anlayabilmeli;
• alternatifleri değerlendirebilmeli;
• çıktıyı reddetme veya değiştirme yetkisine sahip olmalı;
• kararını yalnız sistem skoruyla gerekçelendirmemeli;
• kontrolü kayıt altına almalıdır.

Hukuki görüş, mali rapor, sağlık bilgisi, saha güvenliği talimatı veya yararlanıcı kararı için uzman incelemesi gerekir. Yapay zekâ yalnız taslak ve destek rolünde tutulmalıdır.

Yanlış bilgi ve halüsinasyon riski

Üretken yapay zekâ, akıcı fakat uydurma mevzuat maddesi, mahkeme kararı, istatistik, kaynak veya kurum adı üretebilir. Bu davranış genellikle “halüsinasyon” olarak adlandırılır. Akıcı dil doğruluk kanıtı değildir.

Doğrulama protokolü:

1. Her maddi iddia kaynak gerektiriyorsa kaynağa gidilir.
2. Mevzuat, resmî konsolide metinden kontrol edilir.
3. İstatistik, yayımlayan kurumun tarihli veri setinden doğrulanır.
4. Alıntı, özgün belgede kelimesi kelimesine incelenir.
5. Bağlantının gerçekten ilgili sayfaya gittiği kontrol edilir.
6. Tarih, para birimi, dönem ve coğrafya eşleştirilir.
7. Kaynak bulunamayan ifade kesin bilgi olarak yayımlanmaz.

Yapay zekânın verdiği URL veya karar numarası doğrudan kaynak listesine eklenmemelidir. İnsan doğrulaması yapılmadan “araştırma tamamlandı” sayılmaz.

Telif hakları ve içerik sahipliği

Yapay zekâ çıktısının serbestçe ve münhasıran kullanılabileceği varsayılmamalıdır. Riskler şunlardır:

• girdide izinsiz telifli metin veya görsel kullanılması;
• çıktının korunan bir esere önemli ölçüde benzemesi;
• stok görsel, marka, logo veya kişilik hakkı ihlali;
• aracın hizmet koşullarının kullanım hakkını sınırlaması;
• donör veya müşteri sözleşmesinin yapay zekâ kullanımını yasaklaması;
• yazar ve kaynak atfının kaybolması.

Kamuya açık içerikte kaynak, lisans ve benzerlik kontrolü yapılmalı; yapay zekâ tarafından üretilen görsel gerçek olayı belgeliyormuş gibi sunulmamalıdır. İnsan katkısı ve editoryal kayıt korunmalıdır.

Ayrımcılık, etik ve erişilebilirlik

Yapay zekâ geçmiş verilerdeki eşitsizlikleri yeniden üretebilir. Dil, bölge, engellilik, yaş, cinsiyet, inanç, etnik köken veya sosyoekonomik durum temelinde dolaylı ayrımcılık oluşabilir.

Yüksek etkili sistemlerde:

• karar kriterleri açıkça tanımlanmalı;
• temsil etmeyen veya hatalı veri seti kullanılmamalı;
• farklı gruplar için hata oranı incelenmeli;
• erişilebilir alternatif kanal sunulmalı;
• yalnız dijital/yapay zekâ kanalı zorunlu kılınmamalı;
• kişi karara itiraz edebilmeli ve insan incelemesi isteyebilmelidir.

Etik değerlendirme “yasal mı?” sorusuyla bitmez. Hassas bir yararlanıcı hikâyesini yapay zekâyla dramatikleştirmek hukuken mümkün görünse bile onur, rıza ve zarar vermeme ilkeleri bakımından uygun olmayabilir.

Şeffaflık

Kurum, yapay zekânın rolünü bağlama göre açıklamalıdır. Her yazım düzeltmesinde etiket zorunlu olmayabilir; ancak aşağıdaki hâllerde açıklama güçlü biçimde önerilir veya ilgili düzenlemeler/sözleşmeler nedeniyle gerekebilir:

• kişi yapay zekâ sohbet sistemiyle etkileşiyorsa;
• içerik önemli ölçüde sentetikse;
• gerçek olay veya kişiyi tasvir eden yapay görüntü/ses/video kullanılıyorsa;
• yapay zekâ değerlendirmesi kişi üzerinde önemli etki oluşturuyorsa;
• donör, ortak veya yayın politikası açıklama istiyorsa.

Örnek açıklama: “Bu metnin ilk taslağında üretken yapay zekâdan yararlanılmış; içerik, kaynaklar ve nihai ifade [kuruluş/birim] tarafından doğrulanıp onaylanmıştır.”

Avrupa Birliği Yapay Zekâ Tüzüğü, 1 Ağustos 2024’te yürürlüğe girmiştir ve bazı istisnalarla 2 Ağustos 2026’da genel olarak uygulanacaktır. Yasak uygulamalar ve yapay zekâ okuryazarlığı hükümleri 2 Şubat 2025’ten, genel amaçlı yapay zekâya ilişkin bazı hükümler 2 Ağustos 2025’ten beri uygulanmaktadır. Bu Tüzük Türkiye’deki her STK için doğrudan ve otomatik Türk mevzuatı değildir; ancak AB’de sunulan veya çıktısı AB’de kullanılan sistemler gibi sınır ötesi senaryolarda uygulanabilirlik ayrıca incelenmeli, iyi uygulama ölçütleri politika tasarımında değerlendirilebilir.

Tedarikçi ve araç değerlendirmesi

Bir aracın popüler veya ücretsiz olması kurumsal kullanım için uygun olduğu anlamına gelmez. Tedarikçi formunda en az şu alanlar bulunmalıdır:

Tedarikçinin “verinizi koruyoruz” beyanı tek başına yeterli değildir. Sözleşme, teknik ayar ve fiilî veri akışı birlikte incelenmelidir.

Erişim yetkileri, kayıt ve denetim izi

Onaylı yapay zekâ araçları kişisel kurumsal hesaplarla kullanılmalı; ortak hesap ve şifrelerden kaçınılmalıdır. Erişim rol ve ihtiyaç süresiyle sınırlandırılmalıdır.

Kayıt yaklaşımı riskle orantılı olmalıdır. Her düşük riskli istemi sonsuza kadar saklamak gereksiz olabilir; yüksek riskli kullanımlarda ise şu kayıtlar tutulabilir:

• kullanım amacı ve sorumlusu;
• araç/model ve sürüm/tarih;
• kullanılan veri kategorileri;
• risk ve onay formu;
• önemli istem/çıktı özeti veya güvenli referansı;
• kaynak doğrulama kaydı;
• insan incelemesi ve nihai karar;
• düzeltme, şikâyet veya olay.

Kayıtların kendisi kişisel veri ve gizli bilgi içerebileceğinden güvenli saklama ve silme süresi belirlenmelidir.

Olay ve ihlal bildirimi

Yapay zekâ olayı şunları kapsayabilir:

• kişisel/gizli belgenin yanlış araca yüklenmesi;
• yetkisiz kişinin sisteme erişmesi;
• zararlı veya ayrımcı karar önerisi;
• uydurma bilginin kamuya yayımlanması;
• telif/marka/kişilik hakkı şikâyeti;
• sahte görüntü veya kimliğe bürünme;
• aracın beklenmedik biçimde dosya, e-posta veya ödeme işlemi yapması;
• tedarikçinin veri ihlali bildirmesi.

İlk müdahale adımları:

1. İşlem veya otomasyon durdurulur.
2. İlgili hesap/bağlantı gerekirse askıya alınır.
3. Kanıtlar silinmeden kayıt altına alınır.
4. Bilgi güvenliği, veri koruma ve yönetici temas noktası bilgilendirilir.
5. Etkilenen veri, kişi, sistem, ülke ve zaman aralığı belirlenir.
6. Tedarikçiden silme/erişim kayıtları istenir.
7. KVKK ihlali veya başka bildirim yükümlülüğü değerlendirilir.
8. Etkilenen kişilere verilecek bilgi ve düzeltici önlem planlanır.
9. Kök neden ve politika iyileştirmesi tamamlanır.

Kullanıcının hatayı gizlemesini teşvik eden cezalandırıcı kültür yerine hızlı bildirim ve öğrenme kültürü kurulmalıdır; kasıtlı veya tekrarlanan ihlaller ayrıca insan kaynakları/disiplin sürecinde değerlendirilir.

Eğitim sorumluluğu ve periyodik gözden geçirme

Politika yayımlamak tek başına yeterli değildir. Rol bazlı eğitim verilmelidir:

• tüm kullanıcılar: veri girişi, doğruluk, telif ve olay bildirimi;
• iletişim ekibi: sentetik medya ve şeffaflık;
• program ekibi: yararlanıcı ve çocuk verisi;
• insan kaynakları: işe alım ve çalışan kararları;
• mali işler: bütçe, dolandırıcılık ve otonom işlem sınırları;
• bilgi teknolojileri: tedarikçi, erişim, log ve entegrasyon;
• yöneticiler: risk kabulü ve hesap verebilirlik.

Araçlar, hizmet koşulları ve düzenlemeler hızlı değiştiği için politika en az altı ayda bir; ayrıca yeni araç, veri ihlali, yüksek riskli proje veya önemli mevzuat değişikliğinde gözden geçirilmelidir.

STK’lar için örnek yapay zekâ kullanım politikası metni

Uyarlama notu: Aşağıdaki taslak, her durumda doğrudan yürürlüğe konulacak hukuki belge değildir. Köşeli alanlar kuruluşun tüzüğü/vakıf senedi, faaliyetleri, veri envanteri, bilgi güvenliği ve insan kaynakları düzeniyle uyarlanmalıdır.

1. Amaç

Bu Politikanın amacı, [KURULUŞ ADI] bünyesinde yapay zekâ sistemlerinin hukuka uygun, güvenli, şeffaf, insan denetimli ve kuruluşun etik ilkeleriyle uyumlu kullanımına ilişkin kuralları belirlemektir.

2. Kapsam

Politika; yönetim ve denetim organı üyelerini, çalışanları, gönüllüleri, stajyerleri, danışmanları, saha partnerlerini ve kuruluş adına yapay zekâ kullanan hizmet sağlayıcıları kapsar. Kuruma ait cihaz ve hesapların yanında kurum işi için kişisel cihaz veya hesap üzerinden yapılan kullanım da kapsamdadır.

3. Tanımlar

• Yapay zekâ sistemi: Girdilerden tahmin, içerik, öneri veya karar üreten makine tabanlı sistem.
• Üretken yapay zekâ: Metin, görsel, ses, video, kod veya benzeri içerik üreten sistem.
• Onaylı araç: [YETKİLİ BİRİM] tarafından tedarikçi ve risk değerlendirmesi tamamlanmış araç.
• Yüksek riskli kullanım: Kişilerin hak, hizmet, istihdam, üyelik, yardım veya itibarı üzerinde önemli etkisi olabilecek kullanım.
• Gizli bilgi: Kamuya açık olmayan kurumsal, kişisel, mali, sözleşmesel veya güvenlik bilgisi.

4. Temel ilkeler

Yapay zekâ kullanımı şu ilkelere tabidir:

1. hukuka ve kuruluş amacına uygunluk;
2. veri minimizasyonu ve amaçla sınırlılık;
3. insan kontrolü ve hesap verebilirlik;
4. doğruluk ve kaynak doğrulama;
5. adalet, ayrımcılık yapmama ve zarar vermeme;
6. şeffaflık;
7. bilgi güvenliği ve gizlilik;
8. telif ve diğer üçüncü kişi haklarına saygı;
9. kayıt ve denetlenebilirlik;
10. çocukların ve kırılgan grupların üstün korunması.

5. Yönetişim ve sorumluluklar

• Yönetim organı: Politika ile yüksek riskli kullanım çerçevesini onaylar, kaynak ayırır ve gözetim yapar.
• [Yapay Zekâ/KVKK/Bilgi Güvenliği Sorumlusu]: Araç envanterini, risk değerlendirmelerini, eğitimleri ve olayları koordine eder.
• Birim yöneticisi: Kullanım ihtiyacını ve insan kontrolünü onaylar.
• Kullanıcı: Girdi ve çıktının hukuka/politikaya uygunluğundan, doğrulamadan ve olayı bildirmekten sorumludur.
• Tedarikçi: Sözleşmedeki güvenlik, gizlilik, olay bildirimi ve veri silme yükümlülüklerini yerine getirir.

6. Onaylı araçlar

Kurum işi için yalnız [ONAYLI ARAÇ LİSTESİ/PORTALI] üzerinde bulunan araçlar kullanılabilir. Yeni araç talebi; amaç, veri, kullanıcı, entegrasyon, ülke/aktarım, maliyet ve risk bilgisiyle [BİRİM]e iletilir. Ücretsiz kişisel hesaplar gizli veya kişisel veri içeren kurum işinde kullanılamaz.

7. Veri sınıfları ve girdi kuralları

• Kamuya açık veri: Onaylı araçta kullanılabilir; kaynak ve telif kontrol edilir.
• Kurum içi veri: Yalnız kurumsal sözleşme ve görev gereği erişimle kullanılabilir.
• Gizli veri: Önceden yazılı onay ve güvenli özel ortam olmadan kullanılamaz.
• Kişisel veri: Hukuki şart, aydınlatma, minimizasyon ve araç değerlendirmesi olmadan girilemez.
• Özel nitelikli veri ve çocuk verisi: Kural olarak girilemez; istisna için yazılı yüksek risk onayı ve özel güvenlik tedbiri gerekir.

Kullanıcı, isim silmenin tek başına anonimleştirme olmadığını dikkate alır. Mümkünse sentetik, anonim veya toplulaştırılmış veri kullanılır.

8. İzin verilen kullanımlar

Kişisel/gizli veri içermemek ve insan incelemesi yapmak koşuluyla:

• taslak, fikir, soru, gündem ve kontrol listesi oluşturma;
• kamuya açık içeriği özetleme ve sadeleştirme;
• çeviri ve erişilebilirlik taslağı;
• anonim verilerle analiz/kod desteği;
• eğitim ve beyin fırtınası;
• kurumsal metinlerde dil düzeltme

yapılabilir.

9. Ön onay gerektiren kullanımlar

Aşağıdaki kullanımlar [ONAY MERCİİ]nin yazılı onayına tabidir:

• yararlanıcı, çalışan, gönüllü, üye veya bağışçıyı sınıflandırma;
• işe alım, performans, disiplin, burs veya yardım karar desteği;
• hukuki/mali/sağlık/saha güvenliği çıktısı;
• kamuya açıklanacak sentetik görsel, ses veya video;
• kurumsal veri tabanı, e-posta, CRM, dosya veya ödeme sistemi entegrasyonu;
• otomatik eylem yapabilen etken yapay zekâ;
• özel model eğitimi veya ince ayar.

10. Yasak kullanımlar

• Onaysız araca kişisel, özel nitelikli veya gizli veri girmek.
• Yapay zekâyı tek başına kişi üzerinde önemli karar verici yapmak.
• Ayrımcı, manipülatif veya gizli profil oluşturmak.
• Gerçek kişiyi aldatıcı biçimde taklit etmek.
• Kaynağı doğrulanmamış bilgiyi kurum adına yayımlamak.
• Telif, marka, kişilik veya sözleşme hakkını ihlal etmek.
• Güvenlik kontrolünü aşmak veya yetkisiz veri toplamak.
• Otonom ödeme, sözleşme, satın alma veya hesap yetkisi vermek.

11. İnsan incelemesi

Her çıktı, konu bilgisine sahip yetkili kişi tarafından doğrulanır. Yapay zekâ çıktısı nihai hukuki görüş, mali onay, sağlık tavsiyesi, yardım/burs kararı, işe alma/çıkarma kararı veya yönetim organı kararı yerine geçmez. Kontrol eden kişi çıktıyı reddetme ve değiştirme yetkisine sahiptir.

12. Kaynak doğrulama

Mevzuat, istatistik, alıntı, tarih, kurum adı ve maddi iddialar özgün ve güvenilir kaynaktan doğrulanır. Yapay zekânın verdiği bağlantı, karar numarası veya atıf kontrol edilmeden kullanılamaz. Doğrulanamayan bilgi kesin ifade olarak yayımlanmaz.

13. Telif ve içerik kullanımı

Kullanıcı, girdinin kullanım hakkını ve çıktının üçüncü kişi haklarını kontrol eder. Lisanssız eserler topluca yüklenemez. Yapay zekâ görseli gerçek olay belgesi gibi sunulamaz. Yayın öncesi benzerlik, marka, kişilik hakkı ve gerekli atıf kontrolü yapılır.

14. Ayrımcılık ve erişilebilirlik

Kişileri etkileyen kullanımda veri ve sonuçlar önyargı bakımından test edilir. Yalnız yapay zekâ/dijital kanala bağlı hizmet sunulmaz; erişilebilir insan kanalı ve itiraz yolu korunur. Çocuk ve kırılgan grupların onuru, mahremiyeti ve üstün yararı gözetilir.

15. Şeffaflık

Kişi doğrudan yapay zekâ sistemiyle etkileşiyorsa bu durum anlaşılır biçimde açıklanır. Önemli ölçüde sentetik veya yanıltılma riski bulunan içerik uygun şekilde etiketlenir. Yapay zekâ destekli önemli değerlendirmelerde aracın rolü ve insan incelemesi kayıt altına alınır.

16. Tedarikçi yönetimi

Tedarikçi seçimi öncesinde veri kullanımı, saklama, aktarım, alt işleyenler, güvenlik, erişim, silme, fikrî haklar, olay bildirimi ve sözleşme sona erme koşulları incelenir. Değerlendirme [SÜRE] aralıklarla ve önemli sürüm/koşul değişikliğinde yenilenir.

17. Erişim ve kayıt

Kurumsal hesaplar kişiye özeldir; çok faktörlü doğrulama uygulanır. Yetki görevle sınırlı tutulur ve ayrılan kullanıcının erişimi kapatılır. Orta/yüksek riskli kullanım için amaç, araç, tarih, veri kategorisi, onay, insan kontrolü ve sonuç kaydı [SAKLAMA SÜRESİ] boyunca güvenli biçimde tutulur.

18. Olay bildirimi

Yanlış veri yükleme, gizli bilgi ifşası, zararlı çıktı, sahte içerik, telif şikâyeti, yetkisiz erişim veya beklenmedik otomatik eylem derhâl [OLAY İLETİŞİM KANALI]na bildirilir. Kullanıcı kanıtları silmez, işlemi durdurur ve yetkili ekibin talimatını izler. Gerekli hukuki/KVKK bildirimleri yetkili ekip tarafından değerlendirilir.

19. Eğitim

Kullanıcılar erişim verilmeden önce temel yapay zekâ okuryazarlığı, veri koruma, doğrulama, telif ve olay bildirim eğitimini tamamlar. Yüksek riskli rol sahiplerine ek eğitim verilir.

20. Uyum ve gözden geçirme

Politikaya aykırı kullanım erişimin sınırlandırılması, eğitim, düzeltici işlem ve ilgili iç mevzuat çerçevesinde değerlendirilir. Politika en az altı ayda bir; yeni araç, önemli olay veya mevzuat değişikliğinde daha erken gözden geçirilir.

Yürürlük tarihi: [TARİH]
Politika sahibi: [BİRİM]
Onaylayan organ ve karar: [ORGAN / TARİH / KARAR NO]
Bir sonraki gözden geçirme: [TARİH]

Sık Yapılan Hatalar

1. Yalnız bir araç adı yazarak politika hazırladığını sanmak.
2. Ücretsiz kişisel hesaplarla kurum belgesi işlemek.
3. İsimleri silince verinin anonim olduğunu varsaymak.
4. Çocuk veya yararlanıcı dosyasını “özetleme” amacıyla yüklemek.
5. Akıcı çıktıyı kaynak kontrolü olmadan doğru kabul etmek.
6. Yapay zekâya nihai yardım, işe alım veya disiplin kararı verdirmek.
7. İnsan kontrolünü yalnız biçimsel imzaya indirgemek.
8. Tedarikçinin eğitim, saklama ve yurt dışı aktarım koşullarını okumamak.
9. Yapay görseli gerçek saha fotoğrafı gibi yayımlamak.
10. Yapay zekâ kullanımını gizleyerek bağışçı veya yararlanıcıyı yanıltmak.
11. Tüm istem ve çıktıları sınırsız saklamak.
12. Olay bildiren kullanıcıyı suçlayarak hataların gizlenmesine yol açmak.
13. AB Yapay Zekâ Tüzüğünü her Türk STK için doğrudan Türk mevzuatı gibi sunmak.
14. Politikayı eğitim, araç envanteri ve yetki kontrolleri olmadan yayımlamak.

Uygulama Kontrol Listesi

• Kurumda kullanılan resmî ve gölge yapay zekâ araçları envantere alındı.
• Politikanın kapsamına çalışan, gönüllü, yönetici ve tedarikçiler dâhil edildi.
• Düşük, orta, yüksek risk ve yasak kullanım sınıfları tanımlandı.
• Onaylı araç listesi ve yeni araç başvuru süreci kuruldu.
• Kişisel, özel nitelikli, çocuk ve gizli veri giriş kuralları yazıldı.
• Yararlanıcı, işe alım, üyelik ve mali kararlar için insan kontrolü güvenceye alındı.
• Kaynak doğrulama ve yayın öncesi onay sorumlusu belirlendi.
• Telif, marka, kişilik hakkı ve sentetik içerik kontrolü eklendi.
• Ayrımcılık, erişilebilirlik ve itiraz mekanizması değerlendirildi.
• Şeffaflık/etiketleme senaryoları tanımlandı.
• Tedarikçi formu; veri kullanımı, aktarım, güvenlik ve silmeyi kapsıyor.
• Kurumsal hesap, çok faktörlü doğrulama ve rol bazlı yetki uygulanıyor.
• Orta/yüksek riskli kullanım için kayıt ve saklama süresi belirlendi.
• Yapay zekâ olayı ve KVKK ihlali eskalasyon akışı hazırlandı.
• Rol bazlı eğitim tamamlanmadan erişim verilmiyor.
• Politika için altı aylık veya risk temelli gözden geçirme tarihi belirlendi.

11. SIK SORULAN SORULAR

STK çalışanları ücretsiz yapay zekâ araçlarını kullanabilir mi?

Yalnız kurum politikasının izin verdiği düşük riskli işler ve kişisel/gizli veri içermeyen içerikler için kullanılabilir. Kurum işi için onaylı kurumsal araç tercih edilmeli; hizmet koşulları kontrol edilmelidir.

Bir belgeden isimleri silmek yapay zekâya yüklemek için yeterli mi?

Her zaman değil. Olay, yaş, bölge, sağlık ve aile ayrıntıları kişiyi yeniden belirlenebilir kılabilir. Anonimleştirme riski değerlendirilmeli; mümkünse sentetik veya toplulaştırılmış veri kullanılmalıdır.

Yapay zekâ yardım başvurularını puanlayabilir mi?

Teknik olarak mümkün olsa da yüksek risklidir. Kriter, veri, ayrımcılık ve açıklanabilirlik analizi yapılmadan kullanılmamalı; nihai karar otomatik verilmemeli ve gerçek insan incelemesi/itiraz yolu bulunmalıdır.

Yapay zekâ tarafından yazılan metni kaynak göstermeden yayımlayabilir miyiz?

Metnin maddi iddiaları ve kaynakları özgün belgelerden doğrulanmalıdır. Yapay zekâ kullanımı önemli ölçüdeyse veya okuyucuyu yanıltma riski varsa şeffaflık açıklaması yapılmalıdır.

Yapay zekâ çıktısı telifsiz midir?

Otomatik olarak değil. Girdinin lisansı, çıktının mevcut esere benzerliği, aracın sözleşmesi, marka ve kişilik hakları incelenmelidir.

Kurum içi ücretli yapay zekâ aracı kullanmak KVKK riskini ortadan kaldırır mı?

Hayır. Ücretli/kurumsal plan güvenlik özellikleri sunabilir; fakat işleme şartı, minimizasyon, saklama, alt işleyen ve yurt dışı aktarım incelemesi yine gerekir.

AB Yapay Zekâ Tüzüğü Türkiye’deki STK’lar için zorunlu mu?

Her Türk STK için otomatik olarak uygulanmaz. AB pazarına sunulan sistem, AB’de kullanım veya çıktının AB’de etkisi gibi bağlantılar varsa kapsam analizi gerekir; ayrıca iyi uygulama ölçütü olarak değerlendirilebilir.

Yapay zekâya yanlışlıkla kişisel veri yüklenirse ne yapılmalı?

Kullanım durdurulmalı, olay derhâl kurum temas noktasına bildirilmeli, kanıtlar korunmalı ve tedarikçiden silme/erişim bilgisi istenmelidir. KVKK veri ihlali bildirimi gerekip gerekmediği hızla değerlendirilmelidir.

12. İÇ BAĞLANTI ÖNERİLERİ

• “yapay zekâ araçlarında kişisel veri ve yurt dışı aktarım” → Derneklerde KVKK Yükümlülükleri
• “bağışçı verilerinin otomatik analizinde dikkat edilecekler” → Bağış ve Aidat Takibi
• “öğrenci ve çocuk verilerinde yapay zekâ sınırları” → Kur’an Kurslarında Öğrenci ve Veli Yönetimi
• “yararlanıcı verileri ve saha raporlarında yapay zekâ kullanımı” → Yurt Dışı Yardım Operasyonlarında Raporlama
• “yapay zekâ destekli kurul taslaklarının onay süreci” → Yönetim Kurulu Karar Örnekleri
• “kurum politikaları ve yetki matrisinin oluşturulması” → STK360 Kurumsal Yönetişim
• “STK’lara yönelik güvenli yapay zekâ kullanım senaryoları” → STK360 Yapay Zekâ Destekli Araçlar
• “dijital araç envanteri ve tedarikçi değerlendirmesi” → STK360 Yazılım ve Dijital Dönüşüm

13. CTA

Kurumunuzdaki gerçek yapay zekâ kullanımını, veri sınıflarını ve karar süreçlerini haritalayarak örnek politikayı faaliyetlerinize uyarlamak için STK360 ile bir yapay zekâ yönetişim çalışması başlatabilirsiniz.

14. ÖNEMLİ NOT

Bu içerik genel bilgilendirme amacıyla hazırlanmıştır. Kuruluşunuzun veri envanteri, çocuk veya yararlanıcılarla çalışması, kullandığı araçlar, yurt dışı veri akışları, sözleşmeleri ve özel faaliyet alanı farklı yükümlülükler doğurabilir. Örnek politika, yönetim organı ve hukuk/KVKK/bilgi güvenliği sorumlularınca uyarlanmadan doğrudan yürürlüğe konulacak nihai belge değildir.

15. SON GÜNCELLEME TARİHİ

24 Haziran 2026

16. BAŞLICA RESMÎ KAYNAKLAR

1. Kişisel Verileri Koruma Kurumu
   Rehber: Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda) — 24.11.2025
   Bağlantı: https://www.kvkk.gov.tr/Icerik/8547/uretken-yapay-zeka-ve-kisisel-verilerin-korunmasi-rehberi-15-soruda
   Erişim: 24.06.2026

2. Kişisel Verileri Koruma Kurumu
   Doküman: İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı — 05.03.2026
   Bağlantı: https://www.kvkk.gov.tr/Icerik/8674/is-yerlerinde-uretken-yapay-zeka-araclarinin-kullanimi
   Erişim: 24.06.2026

3. Mevzuat Bilgi Sistemi — 6698 sayılı Kişisel Verilerin Korunması Kanunu
   Belge: Kişisel Verilerin Korunması Kanunu
   Bağlantı: https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
   Erişim: 24.06.2026

4. Avrupa Komisyonu — Shaping Europe’s Digital Future
   Sayfa: AI Act — Regulatory Framework and Application Timeline
   Bağlantı: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
   Erişim: 24.06.2026

5. EUR-Lex — Avrupa Birliği Resmî Mevzuatı
   Belge: Regulation (EU) 2024/1689 — Artificial Intelligence Act
   Bağlantı: https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
   Erişim: 24.06.2026

6. Avrupa Komisyonu — Shaping Europe’s Digital Future
   Sayfa: Navigating the AI Act — Application Dates and Obligations
   Bağlantı: https://digital-strategy.ec.europa.eu/en/faqs/navigating-ai-act
   Erişim: 24.06.2026