MesJet
Demo iste
← Blog
Mevzuat23 Mayıs 20269 dk okuma

KVKK ve AI agent 2026: kişisel veri minimizasyonu, açık rıza ve yurtdışı aktarım

Türkiye'de chatbot ve AI agent operasyonu KVKK 6698 Sayılı Kanun çerçevesinde değerlendirilir. Madde 4 genel ilkeleri, Madde 5 işleme şartları, Madde 9 yurtdışı aktarım — agent kurulumunda her birinin pratik karşılığı nedir?

KVKK çerçevesinde AI agent neyi yapar, neyi yapmaz

KVKK 6698 Sayılı Kanun, kişisel verinin elde edilmesinden imhasına kadar tüm yaşam döngüsünü düzenler. Chatbot veya AI agent operasyonu doğası gereği veri toplar — müşteri adı, telefon, e-posta, sipariş geçmişi, lokasyon, hassas konularda sağlık ve finans verisi. Kanun bu işlemenin nasıl yapılacağını ve hangi şartlarda meşru sayılacağını belirler.

İşletmenin tipik soruları — ve mevzuatın kısa yanıtları:

  • 'Agent müşteri telefonunu kaydedebilir mi?' Evet, eğer açık rıza alınmışsa veya meşru menfaat (örn. sipariş takibi için telefon gerekli) ile orantılı ise.
  • 'Sohbet log'larını ne kadar saklayabilirim?' İşleme amacı için gerekli süre kadar — sınırsız değil. Genelde 6 ay - 2 yıl arası, sektör ve amaca göre.
  • 'OpenAI'a soru göndermek yurtdışı aktarım mı?' Evet, Türkiye dışındaki bir serverdaki LLM'e veri akışı Madde 9 kapsamına girer.
  • 'Açık rıza her sohbette tekrar alınmalı mı?' Hayır, geçerli açık rıza varsa tekrarlanmaz; ama amaç değişirse yeni rıza gerekir.

Madde 4: Genel ilkeler ve veri minimizasyonu

KVKK Madde 4, kişisel veri işlemenin temel ilkelerini düzenler:

1. Hukuka ve dürüstlük kurallarına uygun olma 2. Doğru ve gerektiğinde güncel olma 3. Belirli, açık ve meşru amaçlar için işlenme 4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma 5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

AI agent kurulumunda en sık ihlal edilen ilke dördüncü: 'sınırlı ve ölçülü'. Bir restoran rezervasyon agent'ı, müşterinin TC kimlik numarasını sormamalı; bir e-ticaret sipariş takip agent'ı, müşterinin doğum tarihini sormamalı (yaş doğrulama gerekmiyorsa). 'Belki ileride lazım olur' mantığıyla veri toplama Madde 4'ün açık ihlalidir.

Pratik uygulama: agent'ın her veri talebi için 'bu hangi işleme amacı için gerekli?' sorusu hazırlık aşamasında yanıtlanmalı; gerekçesi olmayan veri talebi prompt'tan çıkarılmalı.

Madde 5: İşleme şartları — açık rıza vs meşru menfaat

Kişisel veri işleme için Madde 5 altı meşru sebep tanımlar: kanunlarda açıkça öngörülmesi, sözleşmenin kurulması/ifası için zorunlu, hukuki yükümlülük, ilgili kişi tarafından alenileştirilme, hak tesisi/korunması için zorunlu, ve meşru menfaat (ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla). Bunların dışında ise açık rıza gerekir.

AI agent operasyonunda yaygın senaryolar:

  • Sözleşme ifası: Sipariş takibi için müşteri telefonunu işleme — sözleşmenin ifası için zorunlu, açık rıza şart değil.
  • Meşru menfaat: Memnuniyet anketi için iletişim — meşru menfaat çerçevesinde değerlendirilebilir ama müşteriye opt-out hakkı verilmeli.
  • Açık rıza: Pazarlama kampanyaları (WhatsApp marketing template), profilleme, üçüncü taraflarla veri paylaşımı — açık rıza zorunlu.

Açık rıza alınırken Madde 3 tanımına uyulmalı: 'belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza'. Agent'ın 'devam etmek için kabul ediyorum yazın' demesi yeterli değil — neyin ne amaçla kullanılacağı açıkça söylenmiş olmalı.

Madde 9: Yurtdışı aktarım — 2024 yönetmeliği netleştirdi

AI agent operasyonu büyük olasılıkla yurtdışındaki bir LLM sağlayıcısına (OpenAI ABD, Anthropic ABD, Google ABD/AB) sohbet verisi gönderir. Bu Madde 9 kapsamında 'yurtdışına aktarım' sayılır.

2024'te yürürlüğe giren yönetmelik (Resmi Gazete 10 Temmuz 2024) ile mekanizma netleşti — eskinin 'yeterli koruma sağlayan ülkeler listesi yok' belirsizliği kalktı. Şu anki seçenekler:

  • Açık rıza: İlgili kişiden 'verilerimin yurtdışına aktarılmasına izin veriyorum' biçiminde özel rıza alma — chatbot için pratik değil, sürekli rıza sorgusu kullanıcıyı yorar.
  • Standart sözleşme: Kurul tarafından ilan edilen Standart Sözleşme şablonları ile veri sorumlusu + alıcı arasında imzalı sözleşme; Kurul'a beyan yükümlülüğü var.
  • Bağlayıcı kurumsal kurallar (BCR): Çok uluslu şirketler için uygulanabilir grup içi mekanizma.
  • Onaylı ülkeler: Kurul'un yeterli koruma sağladığını ilan ettiği ülkeler listesinde (AB üyesi ülkeler dahil olmak üzere) çoğu sağlayıcı altyapısı kullanılabilir.

MesJet kurulumlarında LLM sağlayıcısının AB merkezli infrastructure (örn. Azure OpenAI EU region, Anthropic EU) tercih edilmesi pratik bir tercihtir; bu hem KVKK hem AB GDPR için tek uyum çerçevesi sağlar.

Aydınlatma Yükümlülüğü ve veri sahibi hakları

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ agent'ın ilk mesajında veya sohbet başlangıcında veri sahibine şunları açıkça bildirmesini gerektirir:

  • Veri sorumlusunun kimliği (şirket adı)
  • İşleme amaçları
  • Aktarılabileceği taraflar (LLM sağlayıcı, BSP, vb.)
  • Toplama yöntemi ve hukuki sebep
  • Madde 11'de sayılan haklar (bilgi alma, düzeltme, silme, itiraz, vb.)

Aydınlatma metni anlaşılır, sade ve açık olmalı — küçük puntolu yasal jargon kabul edilmez. Pratik uygulama: agent ilk yanıtında kısa bir özet + tam metne link ('Detaylı aydınlatma metni için: ...') yeterlidir.

Veri sahibinin Madde 11 hakları (silme talebi, düzeltme talebi vb.) için agent içinde bir akış kurulmalı — kullanıcı 'verilerimi silin' yazdığında bu talebin DPO veya yetkili kişiye otomatik aktarılması ve 30 gün içinde yanıtlanması zorunlu.

Log saklama, retention ve audit

Sohbet log'ları KVKK Madde 7 kapsamında 'gerekli olan süreden fazla' saklanamaz. Pratik retention politikası:

  • Aktif operasyon: 90 gün — müşteri şikayet, iade, garanti gibi geri dönüşler için.
  • İstatistiksel analiz: Anonimize edilmiş (kişiyle ilişkilendirilemez hale getirilmiş) versiyonlar daha uzun saklanabilir.
  • Yasal yükümlülük: Vergi/ticari işlem kanıtı olarak gereken kayıtlar 10 yıla kadar saklanır (TTK).
  • Audit trail: Erişim log'ları (kim, ne zaman, hangi veriye eriştiği) en az 2 yıl tutulmalı — KVKK denetimi durumunda gösterilebilirlik için.

MesJet'in agent altyapısı bu retention politikasını otomatik uygular — kurulum sırasında müşteriye özel retention süreleri tanımlanır, sistem süresi dolan log'ları otomatik anonimize veya siler. Detaylı KVKK uyum çerçevesi için demo formu veya WhatsApp 0850 307 87 48.

Madde 4: Amaçla bağlı, sınırlı, ölçülü — agent gereksiz veri toplayamaz

Madde 9: Yurtdışı aktarım için 2024 yönetmeliği standart sözleşmeyi netleştirdi

Aydınlatma Yükümlülüğü Tebliği: ilk temasta net ve anlaşılır açıklama zorunlu

Özet çıkarımlar

  • Madde 4 veri minimizasyonu agent prompt tasarımının başında uygulanmalı
  • Sözleşme ifası ve meşru menfaat sebepleri varsa açık rıza şart değil
  • Yurtdışına LLM aktarımı için 2024 yönetmeliği Standart Sözleşme mekanizmasını netleştirdi
  • Log retention 90 gün-2 yıl arası tipik aralık; otomatik anonimleştirme uygulanmalı

Sıkça Sorulan Sorular

AI ve arama motorlarının doğrudan çekebileceği soru-cevap bloğu.

OpenAI API'sini Türkiye'den çağırmak Madde 9 ihlali mi?
Hayır — ihlal değil ama uyum çerçevesi gerektirir. Standart Sözleşme, açık rıza veya onaylı ülke mekanizmalarından biriyle Madde 9 yükümlülüğü karşılanır. OpenAI'nin AB DPA'sı imzalı ise bu çerçevenin parçası olabilir.
Chatbot müşteri sağlık verisi topluyorsa ne yapmalıyım?
Sağlık verisi Madde 6 özel nitelikli kişisel veri kategorisinde — açık rıza zorunlu ve ek güvenlik tedbirleri (şifreleme, erişim sınırlandırma) gerekli. Klinik veya sağlık kuruluşu kurulumunda bu çerçeve özel olarak hazırlanır.
Müşteri 'verilerimi silin' derse ne yapmalıyım?
Madde 11 kapsamında veri sahibi başvurusu sayılır. 30 gün içinde yanıt verilmeli; talep haklıysa veri silinmeli, silinemeyen kayıtlar için (yasal yükümlülük gereği) gerekçe yazılı bildirilmeli.
VERBIS kaydı agent operasyonu için zorunlu mu?
Veri Sorumluları Sicili (VERBIS) kaydı şirket bazında yapılır — agent operasyonu yeni bir işleme faaliyeti yaratıyorsa, sicil bildirimine eklenmelidir. Yıllık ciro ve çalışan eşiklerinin altındaki KOBİ'ler VERBIS'ten muaf olabilir.

Kaynakça

Bu yazı aşağıdaki uluslararası kaynaklardan sentezlenip Türkiye bağlamına uyarlanmıştır.

  1. 6698 Sayılı Kişisel Verilerin Korunması Kanunu. T.C. Mevzuat Bilgi Sistemi. https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
  2. Kişisel Verileri Koruma Kurulu — Karar ve Yönetmelikler. Kişisel Verileri Koruma Kurumu. https://www.kvkk.gov.tr/
  3. Yurtdışına Aktarım Yönetmeliği 2024. Kişisel Verileri Koruma Kurumu. https://www.kvkk.gov.tr/Icerik/7884/Yurt-Disina-Aktarima-Iliskin-Yonetmelik
  4. EDPB Guidelines on data transfers. European Data Protection Board. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines_en
  5. Aydınlatma Yükümlülüğü Tebliği. Kişisel Verileri Koruma Kurumu. https://www.kvkk.gov.tr/Icerik/4170/Aydinlatma-Yukumlulugunun-Yerine-Getirilmesinde-Uyulacak-Usul-ve-Esaslar-Hakkinda-Teblig
#KVKK#Kişisel Veri#Açık Rıza#Yurtdışı Aktarım#Chatbot Uyum

Sizin sürecinizde nasıl çalışır?

15 dakikalık demo görüşmesinde sizin verilerinizle canlı bir kurulum gösterelim.

Demo isteWhatsApp'tan yaz

0850 307 87 48

Devam edin

İlgili yazılar

AI Agent

WhatsApp AI Agent Nedir, Nasıl Kurulur? (Business API vs Web Otomasyon)

WhatsApp AI agent, gelen müşteri mesajlarını yapay zekâ ile anlayıp yanıtlayan, gerektiğinde insana devreden bir asistandır. Resmi Business API ile tarayıcı tabanlı web otomasyonu arasındaki temel farkı, kurulum adımlarını ve opt-in ile 24 saat penceresi kurallarını adım adım anlatıyoruz.

05 Haziran 2026·10 dk
WhatsApp

WhatsApp AI Agent Maliyeti 2026: Meta API Ücretleri + Abonelik Hesabı

Bir WhatsApp AI agent'ın aylık maliyeti iki ayrı kalemden oluşur: Meta'nın konuşma/mesaj bazlı ücretleri ve platform abonelik bedeli. 2026'daki per-message modelini, mesaj kategorilerini ve service window kullanarak maliyeti nasıl düşüreceğinizi adım adım hesaplıyoruz.

05 Haziran 2026·10 dk