24 Kasım 2025'te KVKK'nın yayımladığı 64 sayfalık Üretken Yapay Zekâ Rehberi, avukatlık bürolarında ChatGPT veya Microsoft Copilot kullananlar için somut uyum yükümlülükleri tanımlıyor. Bu rehberi uygulamadan müvekkil verisi girilen her AI sorgusu KVKK ihlali riski taşıyabilir.

ChatGPT'ye yada başka herhangi bir AI oturumuna dilekçe taslağı hazırlattığınızda ya da Copilot ile duruşma özetini çıkardığınızda, müvekkile ait adlar, TC kimlik numaraları ve hukuki dosya detayları OpenAI'nin yada diğer sağlayıcının ABD'deki sunucularına aktarılıyor. Kişisel Verileri Koruma Kurumu bu gerçeği hukuki bir çerçeveye oturtmak için 24 Kasım 2025 tarihinde Yayın No: 113 ile Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi'ni (ÜYZ Rehberi) yayımladı. 64 sayfalık bu rehber avukatlık bürolarına beş somut yükümlülük getiriyor; rehber yayımlandığına göre "bilmiyordum" savunması artık geçerliliğini yitiriyor.

AI Araçları Neden Yurt Dışı Veri Transferi Sayılıyor?

6698 Sayılı KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarılmasını özel koşullara bağlıyor. KVKK ÜYZ Rehberi bu koşulları şöyle netleştiriyor: sunucuları yurt dışında bulunan herhangi bir AI sistemine müvekkil verisi girişi, Madde 9 kapsamında uluslararası veri transferi sayılıyor.

Yurt dışı veri aktarımı (KVKK Madde 9): Kişisel verilerin Türkiye sınırları dışındaki bir altyapıya — sunucu, bulut ortamı veya API — iletilmesidir. AI sistemlerine girilen sorgular ve müvekkil bilgileri de bu kapsama girer; farkında olmasanız da aktarım gerçekleşmiş sayılır.

Yasal transfer için iki seçenek var:

  1. Yeterlilik kararı: KVKK Kurulu'nun ilgili ülke için yeterli veri koruma sağladığını tescil eden kararı.
  2. Uygun güvence: Hizmet sağlayıcıyla imzalanan standart sözleşme (Data Processing Agreement / DPA) veya bağlayıcı şirket kuralları.

Büyük AI sağlayıcıları için standart sözleşme genellikle kurumsal lisans düzeyinde sunuluyor. DPA imzalanmadan müvekkil verisi gönderilmesi yasal dayanak oluşturmuyor; avukat bu durumda veri sorumlusu sıfatıyla doğrudan sorumlu tutuluyor.

KVKK ÜYZ Rehberinin Getirdiği 5 Yükümlülük

Rehber, avukatlık bürolarına şu beş yükümlülüğü doğrudan yüklemektedir:

  • Şeffaf aydınlatma: Müvekkile, büroda AI sistemi kullanıldığı ve bunun yurt dışı veri transferi içerdiği açıkça bildirilmeli.
  • Her işlem adımı için hukuki dayanak: Rehber, AI ile veri işlemenin her aşamasını (sorgu gönderme, çıktı alma, sonuç saklama) ayrı bir KVKK işlem faaliyeti sayıyor; her biri için kanundaki işleme şartlarından biri gerekiyor.
  • Standart sözleşme (DPA): Yeterlilik kararı bulunmayan ülkelerdeki AI sağlayıcıları için uygun güvence belgesi imzalanmalı.
  • Veri sahibi haklarının korunması: Müvekkil, AI ile ilgili işlemler hakkında bilgi talep edebilir; bu taleplere 30 gün içinde yanıt verilmeli.
  • Teknik güvenlik tedbirleri: AI sorgularında kullanılan kanallar KVKK Madde 12 kapsamında asgari güvenlik standartlarını karşılamalı.

Aydınlatma Metninize Eklenecek 3 Zorunlu Madde

Rehber, AI araçlarını kullanan veri sorumlularının mevcut KVKK aydınlatma metnine en az üç ek madde eklemesini öngörüyor:

  1. AI sisteminin kullanıldığına dair açık beyan ve hangi amaçla kullanıldığı (örn. "Dilekçe hazırlamak amacıyla [OpenAI / Microsoft] altyapısına veri aktarımı yapılmaktadır").
  2. Aktarımın hukuki dayanağı: standart sözleşme veya açık rıza.
  3. Yurt dışı aktarım yapılan ülke veya sağlayıcı bilgisi.

Bu güncelleme hem yeni hem de mevcut müvekkil sözleşmelerine yansıtılmalı. Özellikle devam eden davalarda müvekkil verisinin AI'ya girildiği ama aydınlatma metninin güncellenmediği durumlarda Madde 18 kapsamında yaptırım riski doğabiliyor.

Yarın Yapmanız Gereken 5 Adım

KVKK ÜYZ Rehberi yayımlandığına göre uyum ertelenecek bir seçenek değil. İşte bürolar için pratik yol haritası:

  1. Kullandığınız AI araçlarını listeleyin: ChatGPT, Copilot, Gemini veya başka bir servise müvekkil verisi girip girmediğinizi tespit edin.
  2. Standart sözleşme (DPA) imzalayın: Her sağlayıcının kurumsal DPA belgesi, genellikle hesap yönetim panelinden onaylanabiliyor. Bireysel kullanım hesapları bu sözleşmeyi genellikle desteklemiyor.
  3. KVKK aydınlatma metninizi güncelleyin: AI kullanımı ve yurt dışı aktarım bilgisini metne ekleyin.
  4. VERBİS envanterinizi güncelleyin: AI sorgularını yeni bir işleme faaliyeti olarak kaydedin ve işleme amacını netleştirin.
  5. Büro içi kural koyun: Çalışanların AI sorgularına müvekkile ait TC kimlik numarası ve dava dosyası numarası gibi doğrudan tanımlayıcılar girmemesini sağlayın; anonim takma ad kullanımını standart hale getirin.

Bu adımları sistematik bir iş akışına bağlamak, özellikle birden fazla avukatın aynı büro hesabından AI araçlarına eriştiği durumlarda kritik önem taşıyor. KVKK 2026'nın avukatlık bürolarına genel etkileri için önceki yazımıza göz atabilirsiniz.

AI araçlarının getirdiği uyum yükümlülüklerini takip etmek, birden fazla avukat çalıştıran bürolarda sistematik bir yaklaşım gerektiriyor. Hukuk Bilgi Sistemi (HBS), büronuzun veri işleme ve müvekkil yönetimi süreçlerini KVKK uyumlu bir çerçevede yönetmek için tasarlanmış yerli bir çözümdür.

Sıkça Sorulan Sorular

ChatGPT'ye müvekkil adı veya TC kimlik numarası girmek KVKK ihlali midir?

Bireysel kullanım hesabıyla müvekkile ait kişisel veri girişi, standart sözleşme (DPA) olmaksızın yurt dışına veri aktarımı sayılır ve KVKK Madde 9'u ihlal eder. Kurumsal hesapta DPA imzalanırsa yasal dayanak oluşur.

KVKK'nın ÜYZ Rehberi ne zaman yürürlüğe girdi?

Rehber, 24 Kasım 2025 tarihinde Kişisel Verileri Koruma Kurumu'nun resmi internet sitesinde yayımlandı (Yayın No: 113). Yayım tarihinden itibaren uyum yükümlülüğü başlamış sayılıyor.

Microsoft 365 Copilot için ayrıca bir sözleşme imzalamak gerekiyor mu?

Evet. Microsoft'un Data Protection Addendum'u (DPA), Microsoft 365 Business veya Enterprise lisansı kapsamındaki admin merkezi üzerinden kabul edilebiliyor. Ücretsiz deneme hesapları bu sözleşmeyi desteklemiyor.

Müvekkil verisini yurt dışı AI'ya göndermek yerine ne yapabilirim?

Alternatifler: (1) DPA imzaladıktan sonra anonim takma ad kullanın — TC kimlik numarası yerine "Müvekkil A". (2) Yalnızca şablon ve kanun metinlerine AI uygulayın; müvekkile özgü verileri girmeyin. (3) Yurt içi sunucuda çalışan yerel AI çözümleri değerlendirin.

VERBİS kaydım var; AI kullanımını bildirmezsem ne olur?

VERBİS'te kayıtlı işleme faaliyetleri dışına çıkmak KVKK Madde 16 kapsamında eksik kayıt sayılır. AI sorgulamaları yeni bir işleme faaliyeti oluşturduğundan envanterin güncellenmesi zorunlu; aksi hâlde Madde 18 kapsamında yaptırım uygulanabilir.