Düzenleyici ve Sektörel

Yapay Zekâ Hukuku

Türkiye'nin henüz yapay zekâya özgü bir kanunu yoktur; bu nedenle yapay zekâ riski mevcut veri koruma, fikri mülkiyet, tüketici ve sorumluluk kurallarıyla, üstüne de AB Yapay Zekâ Tüzüğü'nün ülke dışı etkisiyle yönetilir.

Yapay zekâ; finanstan sağlığa, perakendeden savunmaya ve tarıma kadar Türk iş dünyasının içine yerleşmiş durumda. Türkiye’de yürürlükte yapay zekâya özgü bir kanun yoktur. Bunun yerine yapay zekâya ilişkin hukuki sorular mevcut mevzuat üzerinden, giderek artan ölçüde de AB Yapay Zekâ Tüzüğü’nün ülke dışı etkisiyle yanıtlanır. Türkiye’de veya Türkiye’den yapay zekâ geliştiren ya da hayata geçiren her şirket için bu kuralların nasıl bir araya geldiğini kavramak esastır; çünkü tek bir “yapay zekâ kanunu”nun bulunmaması, yapay zekânın düzenlenmediği anlamına gelmez. Aksine, aynı anda birden çok rejim uygulanır ve bunları bir araya getirme yükü işletmenizin üzerindedir.

Türkiye’de Yapay Zekâyı Düzenleyen Hukuki Çerçeve

Bağımsız bir yapay zekâ kanunu bulunmadığından, mevcut çerçeveler kıyas yoluyla uygulanır. Uygulamada işin ağırlığını dört hukuk alanı taşır:

  • Veri koruma6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), eğitim verisi, profilleme ve otomatik karar alma dâhil kişisel veri işleyen her yapay zekâ sistemini düzenler.
  • Fikri mülkiyet — telif hakkı, patent ve ticari sır kuralları; modellerin, veri kümelerinin ve yapay zekâ çıktısının mülkiyetini belirler. Sınai haklar bakımından 6769 sayılı Sınai Mülkiyet Kanunu ve TÜRKPATENT nezdindeki tescil süreçleri devreye girer.
  • Tüketici ve ürün hukuku — yapay zekâ destekli bir ürün ayıplı olduğunda veya tüketiciyi yanılttığında 6502 sayılı Tüketicinin Korunması Hakkında Kanun ve ürün sorumluluğu ilkeleri uygulanır.
  • Sorumluluk6098 sayılı Türk Borçlar Kanunu (TBK), zararın paylaştırılmasında kullanılan sözleşmesel, haksız fiil ve kusursuz sorumluluk kurallarını sağlar.
ÇerçeveYapay zekâ bakımından düzenlediği alan
KVKK (6698 sayılı)Eğitim verisi, profilleme, otomatik kararlar, yurt dışına aktarım
Fikri mülkiyet hukukuModellerin, veri kümelerinin ve yapay zekâ çıktısının mülkiyeti
Tüketicinin Korunması Hakkında Kanun (6502 sayılı)Ayıplı veya yanıltıcı yapay zekâ destekli ürünler
Türk Borçlar Kanunu (6098 sayılı)Yapay zekâ kaynaklı zararda sözleşmesel, haksız fiil ve kusursuz sorumluluk talepleri
AB Yapay Zekâ TüzüğüÇıktısı AB’de kullanılan Türk sistemleri

Türkiye’nin politikası yapay zekânın benimsenmesini desteklemekte olup sektöre özgü düzenlemelerin zamanla gelişmesi beklenir. Şimdilik bankacılık, sağlık, otonom araçlar ve diğer sektörlerde yapay zekâya özgü bir rejim bulunmadığından genel kurallar ve düzenleyici kurum rehberliği geçerlidir. Pratikte bu şu demek: tek bir kontrol listesine bakıp kendinizi uyumlu ilan edemezsiniz. Tek bir yapay zekâ uygulaması aynı anda bir veri sorunu, bir fikri mülkiyet sorunu ve bir sorumluluk sorunu doğurabilir ve her biri kendi hukuk alanı içinde ayrı ayrı yanıtlanmalıdır.

KVKK ve Yapay Zekâda Veri Uyumu

Türkiye’de yapay zekâ riskinin çoğu bir veri riskidir. KVKK uyarınca, bir yapay zekâ sisteminin kişisel veri işleyebilmesi için açık rıza ya da başka bir kanuni sebep şeklinde hukuka uygun bir işleme şartı gerekir. Başlıca yükümlülükler şunlardır:

  • Şeffaflık — veri sahiplerinin, verilerinin yapay zekâ sistemlerini nasıl beslediği konusunda açık ve erişilebilir bir dille aydınlatılması.
  • Veri minimizasyonu ve amaçla bağlılık — eğitim ve çıkarımın yalnızca belirli bir amaç için gerekli veriyle yürütülmesi.
  • Yurt dışına aktarım güvenceleri — model, tedarikçi veya bulut altyapısı yurt dışında olduğunda kritik önem taşır.
  • Otomatik kararda dikkat — hukuki ya da benzer ölçüde önemli sonuç doğuran kararlar özel bir titizlik gerektirir.

Somut olarak, kredi başvurularını puanlamak için bir yapay zekâ modeli kullanan bir bankacılık kuruluşu, müşterilerini profilleyen bir perakendeci veya özgeçmişleri algoritmayla eleyen bir insan kaynakları ekibi; hepsi kişisel veri işler ve hepsinin bu ödevleri yerine getirmesi gerekir. En güvenli tutum, uygulamaya geçmeden önce belgelenmiş bir veri koruma etki değerlendirmesi yürütmek, her işleme faaliyeti için hukuka uygunluk sebebinizin kaydını tutmak ve sistemin çıktılarına nasıl ulaştığını bir düzenleyiciye ya da veri sahibine sade bir dille açıklayabilmektir.

Yapay zekâ sisteminiz kişisel veriye dokunuyorsa, uyumu öncelikle bir veri koruma projesi, ikincil olarak bir “yapay zekâ projesi” gibi ele alın. Türkiye’de cezaya giden en hızlı yol yeni bir zarar teorisi değil, akıllı bir modelin içine gizlenmiş sıradan bir KVKK ihlalidir.


AB Yapay Zekâ Tüzüğü’nün Ülke Dışı Etkisi

Türkiye’de bir yapay zekâ kanunu olmasa da AB Yapay Zekâ Tüzüğü önemlidir. Tüzük, bir yapay zekâ sisteminin çıktısı AB içinde kullanıldığında AB dışında yer alan sağlayıcı ve uygulayıcılara uygulanır. AB’ye yapay zekâ ürünü satan ya da AB müşterilerine hizmet veren bir Türk şirket, AB’de yerleşik olmasa dahi tüzüğün risk temelli yükümlülüklerine tabi olabilir. Bu yükümlülükler yasak uygulamalardan yüksek riskli sistemler için sıkı ödevlere ve genel amaçlı ile üretken yapay zekâya yönelik şeffaflık kurallarına kadar uzanır.

Tüzük sistemleri kademelere ayırır. Kimi uygulamalar tamamen yasaktır. İstihdam, kredi veya temel hizmetlerde kullanılanlar gibi yüksek riskli sistemler en ağır ödevlerle karşılaşır: risk yönetimi, veri yönetişimi, insan gözetimi, kayıt tutma ve uygunluk değerlendirmesi. Genel amaçlı ve üretken sistemler ise içeriğin yapay zekâ tarafından üretildiğinin açıklanması dâhil şeffaflık yükümlülükleri taşır. Ürünlerinizi bu kademelere karşı erkenden konumlandırmak maliyetli sonradan düzeltmeleri önler; bu analiz, AB’deki bir müşteri uygunluk kanıtı istedikten sonra değil, tasarım aşamasında yapılmalıdır.

Bir Türk işletmesi için pratik ilk adım basittir: bir yapay zekâ sisteminin çıktısının bir AB kullanıcısına ulaşabileceği her ürün veya hizmeti listeleyin, ardından her birini tüzüğün kademelerine göre sınıflandırın. Sistemlerin çoğu asgari risk kategorisine girecek ve iyi bir belgelemeden fazlasını gerektirmeyecektir; ancak öne çıkan bir ürünün AB kuralları uyarınca yüksek riskli olduğunu geç fark etmek, erken sınıflandırmanın önüne geçebileceği pahalı bir yeniden tasarımı zorunlu kılabilir.

Yapay Zekâda Sorumluluğun Paylaştırılması

Bir yapay zekâ sistemi zarara yol açtığında sorumluluk geliştirici, işletmeci ve kullanıcı arasında, kimi zaman bir dağıtıcıyı da kapsayacak şekilde paylaşılır. Talepler genellikle şu temellere dayanır:

  • Sözleşme — geliştirici, işletmeci ve kullanıcılar arasındaki ilişkiler çoğunlukla sözleşmeseldir; iyi kurgulanmış maddeler ilk savunma hattıdır.
  • Ürün sorumluluğu — yapay zekâ destekli ürünün ayıplı sayıldığı hâller.
  • Haksız fiil — kusura dayalı talepler; ancak otonom bir sisteme kusur atfetmek zordur.
  • Mevzuata aykırılık — çoğunlukla veri koruma ya da fikri mülkiyet ihlalleri.

İspat yükü, otonom sistemlerde kusurun atfedilmesi ve uygulanacak özen standardı konularında belirsizlikler sürmektedir. Bir davacı, şeffaf olmayan bir modelin zararlı çıktıyı tam olarak nasıl ürettiğini ispatlamakta zorlanabilir ve mahkemelerin dayanacağı içtihat sınırlıdır. Bu sorular mevzuat veya içtihatla netleşene kadar sorumluluğun gerçekte belirlendiği yer sözleşmedir.

Bir mahkemenin yapay zekâ sorumluluğunu sizin için çözeceğini varsaymayın. Sözleşmeleriniz, model yanıldığında riski kimin taşıyacağı konusunda sessizse, soruyu ortadan kaldırmış değil, yalnızca aleyhinize yanıtlanmasına bırakmış olursunuz.

Yapay Zekâ Hukuki Riskinin Yönetimi

İşletmeler, herhangi bir uyuşmazlık doğmadan çok önce risklerini azaltabilir:

  • Belgeleme — sistemin nasıl kurulduğunu, test edildiğini ve doğrulandığını kayıt altına alarak, ihtilaf hâlinde girdi ve çıktıların doğruluğunu ve bütünlüğünü kanıtlayabilmek.
  • Denetim ve korumalar — çıktıları izlemek, kullanıcı kötüye kullanımını sınırlamak ve yüksek etkili kararlarda bir insanın müdahale edebilmesini sağlamak.
  • Yönetişim — etik, şeffaf ve hesap verebilir yapay zekâ kullanımına ilişkin iç politikalar benimsemek ve yapay zekâ riskinin kurum içindeki sahipliğini net biçimde atamak.
  • Sözleşmeler — her tedarikçi ve müşteri ilişkisinde sorumluluğu, fikri hakları ve tazminat taahhütlerini açıkça paylaştırmak.
  • Sigorta — hata, önyargı veya ayrımcılık için özel sorumluluk teminatını değerlendirmek.

Bir arada ele alındığında bu önlemler yalnızca sorumluluğu azaltmakla kalmaz. Savunulabilir bir kararı kanıtlanabilir bir karara dönüştüren yazılı izi size kazandırır; bu da çoğu zaman bir uyuşmazlığı hızla çözmekle onu yıllarca dava etmek arasındaki farktır.

Lex Lata Nasıl Yardımcı Olur

Ekibimiz, yapay zekânın tüm yaşam döngüsü boyunca Türk ve yabancı müvekkillere danışmanlık verir:

  • Yapay zekâ yönetişimi ve KVKK uyumu — politikalar, veri koruma etki değerlendirmeleri ve gizlilik güvenceleri.
  • Fikri mülkiyet — modellerin, veri kümelerinin ve yapay zekâ çıktısının korunması ve uyuşmazlık doğmadan mülkiyetin belirlenmesi.
  • AB Yapay Zekâ Tüzüğü’ne hazırlık — sistemlerin sınıflandırılması ve AB’ye yönelik ürünlerde uyum boşluklarının kapatılması.
  • Sözleşmeler ve lisanslama — riski paylaştıran geliştirme, veri paylaşımı ve hizmet sözleşmelerinin hazırlanması.
  • Sorumluluk ve uyuşmazlık çözümü — risk değerlendirmesi ve yapay zekâ kaynaklı uyuşmazlıklarda müvekkillerin temsili.

Türkiye’de yapay zekâ düzenlemesi gelişmeye devam edecek olup uyumu baştan içine yerleştiren işletmeler, tepkisel davranmak zorunda kalanlara kıyasla çok daha ucuza uyum sağlayacaktır. Müvekkillerimizin uyumlu kalmasına, sorumluluğu kontrol etmesine ve yapay zekâyı güvenle hayata geçirmesine yardımcı oluyoruz. Yapay zekâ projenizi görüşmek için Lex Lata ile iletişime geçin.

Bir yapay zekâ uyum projesi nasıl işler

  1. 01

    Yapay zekâ envanteri

    Her yapay zekâ kullanım senaryosunu, dokunduğu verileri ve çıktıların nerede kullanıldığını çıkarırız.

  2. 02

    KVKK uyum denetimi

    Her işleme faaliyeti için hukuka uygun bir sebep doğrular, gerektiğinde etki değerlendirmelerini belgeleriz.

  3. 03

    AB Tüzüğü sınıflandırması

    AB'ye yönelik sistemleri, tasarım kararları geri alınamaz hâle gelmeden tüzüğün risk kademelerine göre konumlandırırız.

  4. 04

    Sözleşme ve yönetişim katmanı

    Sorumluluk, fikri haklar ve gözetim açıkça paylaştırılacak şekilde sözleşmeleri ve iç politikaları hazırlar veya revize ederiz.

  5. 05

    İzleme ve uyarlama

    Türk ve AB kuralları geliştikçe belgeleme, korumalar ve sözleşmeleri onlarla uyumlu tutarız.

Sıkça sorulan sorular

Türkiye'de yapay zekâya özgü bir kanun var mı?

Hayır. Yürürlükte yapay zekâya özel bir kanun bulunmuyor. Yapay zekâ kaynaklı uyuşmazlıklar mevcut çerçeveler üzerinden çözülür; başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 6098 sayılı Türk Borçlar Kanunu (TBK), 6502 sayılı Tüketicinin Korunması Hakkında Kanun ve fikri mülkiyet mevzuatı gelir. Bankacılık, sağlık gibi düzenlenmiş alanlarda sektör düzenleyicileri de yapay zekânın kullanımını biçimlendiren rehberlik yayımlayabilir.

AB Yapay Zekâ Tüzüğü Türk şirketleri için geçerli mi?

Geçerli olabilir. AB Yapay Zekâ Tüzüğü, bir yapay zekâ sisteminin çıktısı AB içinde kullanıldığında AB dışındaki sağlayıcı ve uygulayıcıları da kapsar. AB'ye ürün veya hizmet satan ya da AB müşterilerine hizmet veren Türk firmalar, AB'de yerleşik olmasalar dahi tüzüğün risk temelli yükümlülüklerine tabi olabilir. Uyumsuzluk ciddi idari para cezalarına yol açabildiğinden, AB'ye yönelik ürünler tüzüğün kademelerine göre erkenden konumlandırılmalıdır.

Türkiye'de yapay zekâ zarar verdiğinde kim sorumludur?

Sorumluluk; geliştirici, işletmeci ve kullanıcı arasında sözleşme, ürün sorumluluğu ve haksız fiil ilkeleri uyarınca dağıtılır. TBK ve Tüketicinin Korunması Hakkında Kanun çerçevesinde, makul özeni göstermeyen ya da ayıplı ürünü piyasaya süren taraf sorumlu tutulur. Otonom sistemlerde hukuk henüz oturmadığından, sorumluluğu önceden paylaştıran sözleşmeler uygulamada belirleyicidir.

Türk hukukunda yapay zekâyı kişisel veriyle eğitebilir miyiz?

Yalnızca KVKK kapsamında hukuka uygun bir işleme şartı varsa. Açık rıza veya başka bir kanuni sebep, veri sahibine karşı şeffaflık, veri minimizasyonu ve model ya da altyapının yurt dışında bulunduğu hâllerde yurt dışına aktarım güvenceleri gerekir. Hukuki sonuç doğuran ya da benzer ölçüde önemli otomatik kararlar özel bir dikkat ve çoğunlukla belgelenmiş bir etki değerlendirmesi gerektirir.

Yapay zekâ hizmet sözleşmesi nasıl kurgulanmalı?

Sorumluluğu net paylaştırın: kabul edilebilir kullanım, veri mülkiyeti ve işleme rolleri, doğruluk ve performans standartları, tazminat taahhütleri, sorumluluk üst sınırları ile denetim ve belgeleme yükümlülükleri tanımlanmalıdır. Model güncellemeleri, çıktılardaki fikri haklar ve eğitim verisinin gizliliğine ilişkin hükümler de eklenmelidir. Bugün yapay zekâ riskini kontrol etmenin başlıca aracı iyi kurgulanmış sözleşmelerdir.

Yapay zekânın ürettiği çıktının mülkiyeti kime aittir?

Mülkiyet kendiliğinden doğmaz; sözleşmelerinize ve genel fikri mülkiyet ilkelerine bağlıdır. Türk telif hukuku insan eser sahipliği ekseninde kurulduğundan, tamamen makine tarafından üretilen çıktı standart korumadan yararlanamayabilir. Uygulamada modellerin, veri kümelerinin ve çıktıların mülkiyeti ile lisansı ilgili geliştirme, veri paylaşımı veya hizmet sözleşmesinde açıkça düzenlenmelidir.