TBMM'nin Mart 2026'da yayımladığı 923 sayfalık AI komisyon raporu, avukatlar ve hukuk yazılımları için yeni uyum çerçevesini netleştiriyor. Pratik bir çeviri.

Türkiye Büyük Millet Meclisi Yapay Zekâ Araştırma Komisyonu, dört aylık bir mesai sonunda 923 sayfalık kapsamlı raporunu Mart 2026'da kamuoyuyla paylaştı. 28. Yasama Dönemi, 1. Yasama Yılı, 10. Tutanak Komisyonu raporu olarak yayımlanan ve 260 sıra sayısıyla TBMM kayıtlarına geçen bu çalışma; 13 oturum, 119 uzman dinleyişi, 48 bilgi notu, 3 saha ziyareti ve bir ulusal zirve ile derlenen, Türkiye'nin yapay zekâya bakışını şekillendiren en kapsamlı kurumsal politika belgelerinden biri.

Rapor; kamu yönetimi, sağlık, eğitim, savunma ve finansın yanında hukuk sektörüne de net bir yer ayırıyor. Avukatların AI araçlarını nasıl kullanması gerektiği, hukuk yazılımlarının hangi uyum kriterlerini sağlamak zorunda olduğu, KVKK'nın AI çağındaki yetersizlikleri ve veri ikamet (data residency) tartışmaları raporun en çok atıf alan başlıkları arasında. Bu yazıda raporu Türk avukatın gündelik pratiği açısından çevirip, somut çıkarımları altı ana başlıkta sunuyoruz.

Raporun Hukuk Sektörüne Mesajı: Üç Ana Tema

923 sayfalık metnin hukuk bölümünü üç temaya indirgemek mümkün: AI'nın hukuk pratiğine entegrasyonunun kaçınılmaz olduğunun teslim edilmesi; kullanımın mesleki sorumluluk çerçevesinde tutulması; ve yerel uyum altyapısının (KVKK + Avukatlık Kanunu) küresel AI dalgasıyla yeniden tasarlanması gerekliliği.

Raporun en çarpıcı tespitlerinden biri, mevcut Kişisel Verilerin Korunması Kanunu'nun (6698 sayılı) yapay zekâ çağı için yetersiz olduğunun açıkça dile getirilmesidir. Veri minimizasyonu, otomatik karar verme süreçlerine itiraz hakkı, profil çıkarma ve algoritmik şeffaflık başlıkları, mevcut KVKK metninde — AB'nin GDPR ve yeni AI Yasası ile karşılaştırıldığında — eksik veya zayıf kalmaktadır. Komisyon, bu boşluğu doldurmak için KVKK'nın güncellenmesi veya AI'a özel bir çerçeve kanun çıkarılması önerisini sunuyor.

İkinci ana tema GPU bağımlılığı meselesi: Türkiye'nin AI gelişimini sürdürebilmesi için donanım altyapısında stratejik bağımsızlığa ihtiyaç duyduğu vurgulanıyor. Bu, hukuk yazılımı satın alan büroları doğrudan ilgilendirmese de, yerli AI ekosisteminin kalkınma yol haritasını gösterdiği için orta vadeli tedarikçi tercihinizde önemli bir göstergedir.

Avukatlar İçin AI Kullanımının Hukuki Çerçevesi

Rapor, avukatların AI araçlarını 1136 sayılı Avukatlık Kanunu ve ilgili mevzuat çerçevesinde, mesleki etik kurallara saygı duyarak kullanmaları gerektiğini açıkça belirtir. Bu cümlenin pratik karşılığı yedi somut yükümlülüktür:

  • Müvekkili bilgilendirme: AI aracı kullanılıyorsa müvekkile açık ve doğru bilgilendirme yapılmalıdır. "ChatGPT'ye yazdırdım" cümlesi bir savunma değil, bir aydınlatma yükümlülüğüdür.
  • Sorumluluğun avukatta kalması: AI çıktısından doğan tüm sonuçlar, dosyayı imzalayan avukatın sorumluluğundadır. Aracın "halüsinasyonu" gerekçeyi geçersiz kılmaz.
  • Profesyonel muhakemenin korunması: Büyük dil modelleri (LLM'ler) avukatın mesleki yargısının, kaliteli hukuki analizinin ve muhakemesinin yerini almamalıdır.
  • Müvekkil gizliliğinin yönetimi: Müvekkil verisinin yabancı bulutlardaki AI sistemlerine yüklenmesi, doğrudan Avukatlık Kanunu'nun sır saklama yükümlülüğüne dokunabilir.
  • Kaynak doğrulama: AI tarafından üretilen içtihat, mevzuat veya kaynak referansı, kullanılmadan önce mutlaka birincil kaynaktan teyit edilmelidir.
  • Etik kuralları gözetme: Türkiye Barolar Birliği Meslek Kuralları ve baroların yerel kararları, AI kullanımında da geçerlidir.
  • Eğitim ve farkındalık: Avukatların yanı sıra büro çalışanları için de AI farkındalık eğitimi öneriliyor.
Tanım — Hallüsinasyon (AI): Büyük dil modellerinin, gerçekte var olmayan ancak ikna edici biçimde sunulan bilgi üretmesi olgusudur. Hukukta, var olmayan bir Yargıtay kararına atıf yapan AI çıktısının dosyaya konulması, başta Avukatlık Kanunu m.34 (mesleki özen) olmak üzere ciddi disiplin sonuçları doğurabilir.

KVKK ve AI: Uyum Yükümlülüklerinin Yeni Yüzü

Komisyon raporunun en çok ses getiren bölümlerinden biri, KVKK'nın AI çağındaki yetersizliklerine ilişkin tespitlerdir. Rapor, dört kritik boşluğun altını çiziyor:

  1. Otomatik karar verme süreçlerine itiraz hakkı: GDPR madde 22'nin Türk hukukunda doğrudan karşılığı yoktur. Bir AI'ın sizi kredi başvurusunda reddetmesine, sigorta priminizi belirlemesine veya iş başvurunuzu elemesine karşı itiraz mekanizması zayıftır.
  2. Profil çıkarma şeffaflığı: Müvekkiliniz veya rakip taraf hakkında AI tabanlı bir profil oluşturulduğunda, ilgili kişinin hangi verilerin kullanıldığını bilme hakkı netleştirilmemiştir.
  3. Sentetik veri: Eğitim amacıyla üretilen sentetik veri, kişisel veri sayılır mı? Mevcut KVKK bu soruya doğrudan yanıt vermez.
  4. Deepfake ve sentetik medya: Bir kişinin görüntü veya sesinin AI ile üretilmesi durumunda hangi koruma rejiminin uygulanacağı belirsizdir.

Avukatlar için somut sonuç: müvekkilinize KVKK kapsamında danışmanlık verirken artık yalnızca mevcut metni değil, "AI temelli işlemler" kategorisindeki gri alanları da ele almak zorundasınız. Bu, sözleşmelerde AI kullanım maddesi, gizlilik politikalarında otomatik karar verme bölümü ve veri işleme envanterinde AI sistemleri için ayrı kayıt anlamına gelir.

Hallüsinasyon, Veri Yanlılığı ve Müvekkil Gizliliği

Rapor, AI hukuk araçlarının üç temel risk eksenini ön plana çıkarıyor:

  • Bilgi yanlışları (hallüsinasyon): Var olmayan bir Yargıtay kararına atıf yapmak, sahte mevzuat numarası vermek, eski/değiştirilmiş bir hükmü güncel sanmak — bunların her biri dosyada doğrudan zarar yaratabilir.
  • Veri yanlılığı (bias): Modelin eğitildiği veri seti adil yargılanma ilkesini zedeleyecek önyargılar barındırabilir. Yargıyla ilgili AI çıktılarında bu özellikle hassastır.
  • Gizli verilerden öğrenme: Müvekkilinizin verisini halka açık bir AI'a yüklediğinizde, bu veri modelin eğitiminde kullanılabilir; tam tersi yöndeki taahhütlere rağmen veri ihlali riskleri sıfırlanmaz.

Pratik öneri olarak rapor; kurumsal AI çözümlerinde veri ikametinin (data residency) Türkiye sınırları içinde olmasını, AI risk denetimlerinin (AI Risk Audits) düzenli yapılmasını, yayın öncesi otomatik içerik tanıma sistemleri ile ihlal tespitinin entegre edilmesini ve insan denetiminin (human-in-the-loop) her kritik adımda zorunlu tutulmasını öne çıkarıyor.

Veri İkameti: Müvekkilinizin Verisi Nerede?

Veri ikameti (data residency), AI çağının yeni stratejik kavramı. Müvekkilinizin verisinin fiziksel olarak hangi ülkede tutulduğu — sadece bir IT detayı değil, KVKK, Avukatlık Kanunu ve uluslararası adli yardımlaşma açısından somut bir hukuki konudur.

Komisyon raporu, kamu kurumları ve düzenlenmiş sektörler (finans, sağlık, hukuk, savunma) için verinin Türkiye sınırları içinde işlenmesi gerekliliğini vurguluyor. Hukuk büroları açısından bu, üç pratik soruya yanıt aramak demek:

  1. Kullandığım büro yazılımı verileri hangi ülkedeki sunucularda saklıyor?
  2. AI özelliklerinde işlenen müvekkil verisi yurt dışına aktarılıyor mu? Aktarılıyorsa KVKK madde 9 koşulları sağlanıyor mu?
  3. Tedarikçim bir veri ihlali yaşadığında bana zamanında bildirim yapacak hukuki taahhüde sahip miyim?

Yerli bir SaaS'a geçen büroların önemli bir avantajı, "verileriniz Türkiye'de" cümlesini müvekkillerine net bir şekilde söyleyebilmesidir. Bu, özellikle ihale teklifleri, hassas dosya kabulü ve kurumsal müvekkil ilişkilerinde belirgin bir güven unsurudur.

AI Risk Denetimi: Büronuz Hazır mı? 7 Adımlı Kontrol Listesi

Komisyon raporunun ruhuna uygun olarak büronuzu AI çağına hazırlamak için aşağıdaki 7 adımı yapılacaklar listenize alabilirsiniz:

  1. AI envanteri: Büronuzda hangi AI araçları kullanılıyor? ChatGPT, çeviri araçları, dilekçe asistanları, OCR — tümünü listeleyin.
  2. Veri sınıflandırması: Hangi tür müvekkil verisi hangi araca giriyor? Özel nitelikli veri kullanıldığı durumlar ayrı bir kategoride değerlendirilmelidir.
  3. İç politika yazımı: "AI Kullanım Politikası" başlıklı bir iç düzenleme; hangi araçların onaylı, hangi verilerin yasak olduğunu belirler.
  4. Müvekkil aydınlatma metni güncellemesi: Aydınlatma metninize AI kullanımı paragrafı ekleyin.
  5. Sözleşmesel düzenlemeler: Müvekkil sözleşmelerinde AI kullanım maddesi; tedarikçi sözleşmelerinde veri ikameti ve ihlal bildirim taahhüdü.
  6. Personel eğitimi: Stajyer ve sekretere AI kullanımının do/don't listesini öğretin; özellikle "halka açık AI'a müvekkil ismi yazmamak" kuralını altını çizin.
  7. Çeyreklik denetim: Her üç ayda bir AI kullanım envanterinizi gözden geçirin; yeni araçlar onay sürecinden geçsin.

TBMM raporu net bir gerçeği işaret ediyor: AI artık opsiyonel bir verimlilik aracı değil, mesleki sorumluluğun yeni bir cephesi. Erken hareket eden büro hem rekabette önde olur hem de denetim ve disiplin risklerini kaynağında yönetir. Yerli ve KVKK uyumlu altyapılar tercih etmek, hem raporun ruhuna hem de avukatlık mesleğinin sır saklama geleneğine uygun bir konumlandırmadır.

Sıkça Sorulan Sorular

TBMM AI Komisyon Raporu avukatlar için bağlayıcı mı?

Rapor, yasal bağlayıcılığı olan bir norm değildir; ancak yasama döneminde çıkarılacak kanun ve yönetmeliklerin yol haritası niteliği taşır. Avukatların bugünden raporda işaret edilen ilkelere (müvekkili aydınlatma, mesleki muhakemeyi koruma, veri ikameti) uyumlu çalışmaya başlaması, yakında çıkması beklenen düzenlemelere hazır olmalarını sağlar.

ChatGPT'ye müvekkilim hakkında soru sorabilir miyim?

Halka açık AI servislerine müvekkil kimliği, dava numarası veya hassas vakaya özgü detayları yazmak risklidir; çünkü bu veri model eğitiminde kullanılabilir ve Avukatlık Kanunu'ndaki sır saklama yükümlülüğüne dokunur. Anonimleştirilmiş ve genelleştirilmiş soru sormak daha güvenlidir; ideal olan ise KVKK uyumlu, veri ikameti Türkiye'de olan kurumsal AI çözümleri kullanmaktır.

AI çıktısında yanlış içtihat olduğu fark edildi; sorumluluk kimde?

Sorumluluk dosyayı imzalayan avukattadır. AI bir araçtır; raporun da net bir biçimde söylediği gibi mesleki muhakeme aracın yerini almaz. Tüm AI çıktıları kullanılmadan önce birincil kaynaktan (Resmi Gazete, kararlar.uyap.gov.tr, mevzuat.gov.tr) teyit edilmelidir.

Müvekkilime AI kullandığımı bildirmek zorunda mıyım?

Rapor net biçimde aydınlatma yükümlülüğüne işaret ediyor. Müvekkilinize aydınlatma metninizde veya vekâletname kabul aşamasında AI araçları kullanabileceğinizi, verilerin nasıl işleneceğini ve risklere yönelik tedbirlerinizi açıkça bildirmeniz önerilir.

Veri ikameti tam olarak ne demek ve neden önemli?

Veri ikameti (data residency), verinin fiziksel olarak hangi ülkenin sunucularında işlendiği ve saklandığını ifade eder. Türkiye'de tutulan veri, KVKK kapsamında yurt içi işlem sayılır ve madde 9 uyarınca yurt dışı aktarım izin prosedürlerine tabi değildir. Müvekkil verisi açısından bu, hem yasal süreçleri hem güveni doğrudan etkiler.

AI Risk Denetimi (AI Risk Audit) için belirli bir standart var mı?

Türkiye'de henüz zorunlu bir standart yoktur; ancak ISO/IEC 42001 (Yapay Zekâ Yönetim Sistemleri) ve NIST AI Risk Management Framework uluslararası referans olarak kullanılabilir. Komisyon raporu, ulusal düzeyde benzer bir çerçeve oluşturulmasını öneriyor; önümüzdeki dönemde KVKK veya Bilgi Teknolojileri ve İletişim Kurumu kaynaklı bir kılavuz beklenebilir.