Şirket Hukukunda AI: Uyum Rehberi

Üretken yapay zekâ artık her sektörde "pilot"tan çıkıp üretime geçti, ancak şirket-içi hukuk departmanları halen temkinli ilerliyor. Bu temkinin sebebi cehalet değil; veri güvenliği, KVKK uyumu ve maliyet gibi somut soru işaretleri.

2025'in son çeyreğinden itibaren yapılan uluslararası anketlerde dikkat çekici bir tablo ortaya çıktı: Şirket hukuk müşavirlerinin büyük bölümü yapay zekâya "evet" diyor, fakat departman olarak geniş ölçekli üretime geçenlerin oranı hâlâ azınlıkta. Türkiye'de durum daha da yavaş ilerliyor; çünkü buraya KVKK uyumu, veri yurt dışı transferi ve avukatın sır saklama yükümlülüğü gibi yerel düğümler de ekleniyor. Bu yazıda, şirket-içi hukuk departmanları için AI benimsemesini hızlandırmanın somut yolunu beraber çıkaracağız.

Türkiye ve Dünyada Şirket Hukuk Departmanlarının AI Tablosu

Global rakamlar AI'ın hukuk içinde artık "deneme" aşamasını geçtiğini gösteriyor. ACC/Everlaw'un kurumsal hukuk departmanları araştırmasına göre, aktif üretken AI kullanımı 2024'te %23 iken 2025'te %52'ye yükseldi. FTI Consulting ve Relativity'nin General Counsel raporunda ise üretken AI kullanan genel hukuk müşaviri oranı %44'ten %87'ye çıktı. Yani bir yıl içinde neredeyse iki katı.

Buna karşın aynı çalışmalar departman ölçeğinde geniş ölçekli üretime geçenlerin yalnızca %31'de kaldığını söylüyor. Yaklaşık üçte ikilik kesim hâlâ pilot programlarda. Stratejik netliğe sahip olanların oranı ise %22 gibi düşük bir seviyede.

Türkiye'de ise durum biraz daha karmaşık. Avukatlar genel-amaçlı AI araçlarını dilekçe taslağı ya da mevzuat özeti için bireysel olarak kullanıyor; fakat şirket hukuk departmanlarının kurumsal AI politikası oluşturma oranı oldukça düşük. Bunun temel sebebi, AI ile çalışmanın aynı anda hem teknolojik hem hukuki bir karar olması: Bir tarafta verimlilik kazancı, diğer tarafta KVKK Kurulu denetim riski.

Şirketlerin En Çok Çekindiği 4 Konu

Anketlerden çıkan engellerin ezici çoğunluğu dört başlık altında toplanıyor. Bu dört konuyu açıkça ele almadan önünüzdeki AI projesinin onay alması zor.

Veri güvenliği ve gizlilik: Katılımcıların %44'ü AI'ı benimsemenin önündeki birinci endişeyi "veri güvenliği" olarak belirtiyor. %46'sı veri mahremiyeti uyumunu en büyük bilgi güvenliği zorluğu sayıyor. Türkiye'de bu endişe, KVKK Kurulu'nun 2024-2026 arası yoğunlaşan AI ve SaaS denetimleriyle daha da büyüdü.
Doğruluk ve güvenilirlik: %43'lük kesim, AI'ın halüsinasyon (uydurma) yapmasından ve hatalı kaynak göstermesinden çekiniyor. Şirket avukatı için yanlış bir madde numarası ya da uydurma içtihat ciddi bir sorumluluk doğurur.
Maliyet: %40 oranında departman, kurumsal AI lisanslarının fiyatını "yatırım gerekçelendirmesi zor" buluyor. Özellikle global modellerin kullanıcı başına aylık ücretleri 30-50 USD bandında.
Eğitim ve değişim yönetimi: AI'a karşı direnç gösteren ekip oranı %35. Buna ek olarak şirketlerin %54'ünde hiçbir AI eğitimi verilmiyor, %43'ünde yazılı bir AI politikası yok.

Tanım: AI Halüsinasyonu. Bir üretken AI modelinin, eğitim verisinde bulunmayan ya da doğru olmayan bilgiyi sanki kaynaklıymış gibi üretmesi. Hukukta sahte içtihat ya da olmayan madde üretimi şeklinde karşımıza çıkar; bu yüzden çıktıların avukat tarafından doğrulanması zorunludur.

KVKK'nın Üretken Yapay Zekâ Rehberi Ne Diyor?

Kişisel Verileri Koruma Kurumu, 2024'te yayınlanan "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi"nin ardından 2026'da iş yerlerinde üretken AI kullanımına ilişkin daha ayrıntılı yayınlar çıkardı. Bu metinler şirket hukuk departmanları için yol göstericidir.

Rehbere göre üç ana ilke öne çıkıyor:

Veri minimizasyonu: AI istemine (prompt) gerçekten gerekli olan verileri girmek. Müvekkil adı, T.C. kimlik numarası, sağlık verisi gibi unsurları maskeleyerek ya da takma adlandırarak işlemek.
Aydınlatma ve hukuki dayanak: Eğer AI aracı şirket çalışanlarının ya da müşterilerin kişisel verilerini işleyecekse, ayrı bir aydınlatma metni ve uygun hukuki dayanak (sözleşmenin ifası, meşru menfaat veya açık rıza) belirlenmeli.
Yurt dışı aktarım: KVKK'nın yeni düzenlemesi sonrası açık rıza artık istisnai bir yol; esas yöntem yeterlilik kararı ya da standart sözleşmeler. Aktarım gerçekleşirse 5 iş günü içinde Kurul'a bildirim yapılması gerekiyor.

Buna ek olarak Kurum, çalışanların kurumsal politika dışı ve yetkisiz AI kullanımının ("shadow AI") şirket için ciddi bir risk olduğunu vurguluyor. Bu noktada hukuk departmanı yalnızca uyum metni hazırlayan değil, teknoloji seçim sürecine baştan dahil olan bir aktör olmak zorunda.

Pilot'tan Üretime Geçiş: 5 Adımlık Yol Haritası

Departmanınız hâlâ "denemek mi yoksa beklemek mi" arasında ise, aşağıdaki beş adımlık çerçeve pilot programınızı somut bir üretim hattına dönüştürmenize yardımcı olur.

Düşük riskli kullanım senaryosuyla başlayın. Kişisel veri ya da sır içermeyen alanlar idealdir: Mevzuat değişikliği özetleme, içtihat tarama, sözleşme şablonunda dil-tarama, e-posta taslakları. Bu alanlardan elde edilen verim kazancı hem ekibin güvenini hem üst yönetimin desteğini kazanır.
Yazılı AI politikası oluşturun. Hangi araç onaylı, hangi veriler girilemez, çıktıların doğrulanma yükümlülüğü kimde, ihlal halinde hangi disiplin süreci işler? Bu sorulara net cevap veren 2-4 sayfalık bir politika ekibinizin pusulasıdır.
Eğitim takvimini kurun. AI eğitimi tek seferlik bir oryantasyon değil, yılda en az iki kez tekrarlanan bir program olmalı. KVKK Kurulu kararları, model yenilenmeleri ve halüsinasyon örnekleri canlı vakalarla aktarıldığında ekip içselleştirir.
Veri sınırlarını teknik araçlarla destekleyin. Tek başına "girmeyin" demek yetmez. DLP (veri kaybı önleme) çözümleri, prompt filtreleme, otomatik maskeleme katmanları teknik denetim kapısını işletir.
Ölçün ve raporlayın. Verimlilik kazancı (örneğin dilekçe taslağında dakika başına süre), hata oranı, kullanıcı memnuniyeti gibi metrikler aylık raporlanmalı. Bu metrikler bir sonraki bütçe görüşmesinde elinizdeki en güçlü argüman olur.

AI Çözümü Seçerken Sormanız Gereken 6 Soru

Pazarda farklı çözümler var; ancak şirket-içi hukuk departmanı için "iyi AI" şu altı soruda netleşir:

Veri nerede tutuluyor? Türkiye'deki sunucu mu, AB mi, ABD mi? Yurt dışı aktarım gerekiyorsa hangi yeterlilik kararına dayanıyor?
İstemleriniz modeli eğitiyor mu? "No-training" garantisi sözleşmede yazılı mı?
Kullanıcı ve erişim logları görüntülenebiliyor mu? KVKK denetiminde "kim ne sorgulamış" izini sürebilmelisiniz.
Türk mevzuatı için ne kadar bilgi var? Sistemin altyapısında Türk Kanunları, Resmî Gazete ve Yargıtay-Danıştay kararları indekslenmiş mi?
Vakalarınızla nasıl entegre oluyor? Sistemde tutulan müvekkil, dava, sözleşme verisi AI ile güvenli biçimde konuşabiliyor mu, yoksa kopyala-yapıştır mı çalışıyorsunuz?
Destek ve sözleşme şartları: SLA, veri silme talebi, denetim hakkı, fiyat artış sınırı sözleşmede ne diyor?

İçeride Geliştirmek mi, Dışarıdan Almak mı?

AI yatırımında departmanların önündeki en temel stratejik tercih, kendi modelini içeride eğitmek ile hazır kurumsal bir hizmeti satın almak arasında. İkisinin de bedeli ve faydası farklı; doğru tercih, departmanınızın büyüklüğüne, veri hacmine ve regülasyon profiline göre değişiyor.

İçeride geliştirme seçeneği, modelin tamamen kurum altyapısında çalışmasına ve verinin departman sınırından çıkmamasına izin verir. KVKK uyumu ve sır saklama açısından en güçlü çerçeve budur. Ancak gerçek maliyet sadece donanım değil; veri etiketleme, sürekli iyileştirme, güvenlik ekibi ve yıllık bakım kalemleriyle birlikte yıllık altı haneli bütçeye rahatlıkla ulaşır. Bu yol, yalnızca veri hacmi ve regülasyon yükü çok yüksek kurumlar için anlamlıdır.

Kurumsal SaaS hizmeti almak çoğu departman için en akılcı seçenek. Burada kritik nokta sözleşmeyi doğru yazmaktır: Veri yerleşimi, "no-training" garantisi, log erişimi, denetim hakkı, fiyat artış sınırı, çıkış hâlinde veri taşınabilirliği gibi maddeler tek tek kontrol edilmelidir. Doğru SaaS, hem maliyet hem hız hem güvenlik açısından genelde iç geliştirmeyi geçer.

Üçüncü bir hibrit seçenek de gündemde: Yerel bir altyapı sağlayıcısının kapalı sistemi üzerinden, dış model API'lerini denetimli biçimde tüketmek. Bu yaklaşım, küresel modellerin gücünü yerel kontrol katmanıyla buluşturur. Hangi yolu seçerseniz seçin, üç temel madde sözleşmede kesinlikle olmalı: Verinin işlendiği coğrafya, eğitim için kullanılmayacağına dair taahhüt ve denetlenebilir erişim logları.

Sıkça Sorulan Sorular

Şirket avukatı olarak ChatGPT'ye sözleşme yapıştırırsam KVKK ihlali olur mu?

Sözleşmede kişisel veri (kimlik, adres, sağlık vb.) varsa ve aracın kullanım koşulları "promptu eğitim için kullanabilirim" diyorsa, evet, bu yurt dışı aktarım ve veri minimizasyonu ihlali oluşturabilir. Kurumsal sürüm ve yazılı veri işleyen sözleşmesi olan, "no-training" garantisi veren araçları tercih edin.

Departmanımda hâlâ AI politikası yok, hemen ne yapmalıyım?

İlk hafta "yasaklı veriler" listesi ve onaylı araçlar listesi içeren 1 sayfalık geçici talimat duyurun. Ardından 30 gün içinde uyum birimiyle birlikte detaylı politikayı tamamlayın. Bu boşluk dönemi en yüksek shadow AI riskidir.

AI çıktısını dilekçe ya da mütalaaya doğrudan kopyalayabilir miyim?

Hayır. Hem mesleki sorumluluk hem KVKK rehberinin "insan denetimi" ilkesi açısından her çıktı sorumlu avukat tarafından kontrol edilmeli ve doğrulanmalıdır. Yargıya sahte içtihatla başvuran avukatların yaptırımla karşılaştığı örnekler dünya literatürüne girdi.

Türk mahkeme kararları için AI ne kadar güvenilir?

Genel-amaçlı modeller Türk içtihatında halüsinasyona açıktır. Karar metnine doğrudan erişen, kaynak göstererek özetleyen, halüsinasyon olasılığını düşüren özel altyapılar tercih edilmelidir. Çıktının her atıfını orijinal karar metniyle karşılaştırın.

Küçük şirket hukuk departmanı için bu kadar yatırım orantılı mı?

Tek kişilik bir hukuk departmanı bile yılda yüzlerce saatini araştırma, taslak ve özetlemeye ayırır. Doğru kurgulanmış bir AI yatırımı 6-12 ay içinde yatırımı geri döndürür; politikayı baştan kurmak ise sonradan düzeltmekten çok daha ucuzdur.

"Shadow AI" tam olarak neyi tanımlıyor?

Çalışanların kurumsal onayı olmayan, bireysel hesaplarla genel-amaçlı AI araçlarını iş süreçlerinde kullanmasıdır. Hukuk departmanı için en büyük tehdit kaynağıdır çünkü gizlilik ve KVKK uyumunu görünmez biçimde kırar.

Departman İçi Eğitim Programı Nasıl Kurulur?

Politika ve teknoloji ne kadar güçlü olursa olsun, ekibinizi yetiştirmeden gerçek dönüşüm gelmez. Eğitim programı tek seferlik bir oryantasyon değil; yılda en az iki kez tekrarlanan, vaka temelli ve ölçülen bir süreç olmalıdır. Önerilen yapı altı modülden oluşur: AI'a giriş ve temel kavramlar, KVKK ve sır saklama yükümlülüğü, halüsinasyon ve doğrulama pratiği, prompt tasarım örnekleri, kötü senaryolar ve müdahale, son olarak ölçüm ve geri bildirim. Her modül 45-60 dakikadır ve gerçek dosya örnekleriyle desteklenmelidir. Modüller sonunda kısa bir kavrama ölçümü yapmak hem ekibin gelişimini görmenizi hem de denetim hazırlığınızı güçlendirir. Eğitim sonuçlarının yıllık iç raporda yer alması, üst yönetimin programa olan desteğini de süreklileştirir.

Sonuç

Şirket hukuk departmanları için yapay zekâ artık "yapsak mı" değil, "nasıl güvenle yapacağız" sorusu. Sektör verileri benimsemenin hızla arttığını gösteriyor; ancak departmanların büyük kısmı pilot aşamasında takılıyor. Bu takılma teknolojik değil, çerçeve eksikliğinden kaynaklanıyor: Yazılı politika, eğitim, ölçüm ve veri sınırları belirlenmediğinde tüm kazanım riske dönüşüyor.

Doğru yaklaşım, AI'ı şirket içi vaka ve dava yönetimi süreçlerinizin omurgasıyla bütünleşik biçimde konumlamak; veri sınırlarını teknolojik olarak korumak ve KVKK rehberini sözleşme aşamasında karşı tarafa hatırlatmak. Hukuk Bilgi Sistemi bu yaklaşımı temel alarak Türk hukuk pratiğine uygun, kurum verisinin sınırlarını koruyan ve şirket-içi süreçleri uçtan uca yönetebileceğiniz bir altyapı sunmak için tasarlandı.