Yapay zekâyı sihirli bir kutu gibi düşünmektense artık hayatımızın ayrılmaz bir parçası hâline geldiğini kabul etmek gerekiyor, çünkü o artık gerçekten kararlarımızı, işlerimizi ve hatta ilişkilerimizi bilen görünmez bir ortak. Peki bu kadar güçlü bir araca bu kadar çok bilgi emanet ederken mahremiyeti gerçekten koruyabiliyor muyuz? Verilerimizi milyonlarca veriyi saniyeler içerisinde tarayabilen bir modelle paylaştığımızda onları koruyabilir miyiz? İşte bu yazımızda, yapay zekâ araçlarını kullanırken gizliliği nasıl koruyabileceğimize odaklanacağız.

Yapay zekâ araçlarının yaygınlaşmasıyla beraber pek çok hukukçunun aklındaki soru "Yapay zekâ araçlarını kullanarak avukat müvekkil gizliliğinin nasıl koruyacağız?" hâline geldi. Hukuk dünyasının yeni teknolojilere çekingenlikle yaklaştığı su götürmez bir gerçek. Bunun yanına bir de gizlilik problemi eklenince, pek çok hukukçu "O zaman yapay zekâ araçlarını hiç kullanmamak lâzım." sonucuna varma eğilimde oluyor. Ancak tıpkı e-posta, bulut depolama veya UYAP gibi her teknolojide olduğu gibi, yapay zekâ da doğru yöntemlerle kullanıldığında risk değil, stratejik bir avantaj haline gelir. Dolayısıyla asıl soru "yapay zekâ kullanmalı mıyız?" değil, "yapay zekâyı nasıl, hangi sınırlar içinde ve ne ölçüde güvenli kullanmalıyız?" sorusudur.

RİSK NEDİR, NE DEĞİLDİR?

Günümüzde rekabetin başlı başına bir aracı hâline gelmiş yapay zekâyı, "doğal bir tehlike" olarak görmektense yapay zekânın doğru kontrol edilmediği durumlarda ortaya çıkabilecek riskleri anlamak gerekmektedir. Yapay zekâ tek başına bir tehdit değildir; aksine, asıl tehdit, müvekkile ait hassas bir bilginin yanlış formatta, güvenilir olmayan üçüncü bir şirket ile paylaşılmasıdır.

International Association of Privacy Professionals (IAPP), riskin, teknolojinin kullanışsızlığından ve tehlikeliliğinden değil yanlış kullanımından ortaya çıktığını vurgulamaktadır. Dolayısıyla risk, yapay zekâya verilen bilginin niteliğinde başlar. ABA (American Bar Association) ve KVKK gibi düzenleyici kurumlar, yapay zekâyı "yasaklanması gereken yeni tehdit" değil, "uygun sınırlarla yönetilmesi gereken yeni pratik" olarak tanımlıyorlar. Çünkü risk, mutlak ya da kaçınılmaz değildir; bilakis ölçülebilir, azaltılabilir ve yönetilebilirdir. Örneğin anonimleştirme, amaç sınırlaması, prompt tasarımı ve kurumsal erişim protokolleri gibi çok basit ama güçlü yöntemlerle bu risk neredeyse sıfıra indirilebilir. Bu nedenle, bu noktada yapay zekânın tehlikeli olup olmadığını sorgulamaktan öte, onu nasıl bilinçli bir şekilde kullanacağımızın sorgulamasını yapmamız gerekiyor. Peki nasıl bilinçli kullanacağız bu yapay zekâyı? Bu kapsamda öncelikle Türk hukukunda ve Avrupa hukukunda yapay zekânın yerine odaklanacak, komut mühendisliği (prompt engineering)'den bahsedecek ve nihayet yapay zekâ sistemlerinin kendi içlerindeki önlemlerine ve sistem seçiminde dikkat edilmesi gerekenlere değineceğiz.

TÜRK HUKUKU KAPSAMINDA YAPAY ZEKÂNIN YERİ

Türkiye'de yapay zekâ hakkında bir yasal mevzuat bulunmamaktadır. Bununla beraber, E. 2/2234 sayılı yapay zekâ mevzuatı TBMM'de komisyon görüşmesi aşamasındadır ve bu mevzuata veri koruma ilkelerini entegre edecek olması öngörülmektedir. Örneğin yayımlanan düzenleyici taslaklarda "kişisel verileri işleyen tüm yapay zekâ sistemleri için KVKK uyumu" zorunluluğu getirilmekte, yüksek riskli uygulamalar için özel kayıt ve denetim şartları planlanmaktadır. Bu kapsamda kurumlar, yeni mevzuata uyum için yüksek riskli yapay zekâ projelerini tanımlayıp kayıt ettirmek, düzenli olarak risk değerlendirmeleri yapmak ve gerektiğinde yetkili mercilere raporlama yapmak gibi adımlar atmak zorunda kalabilirler.

Ayrıca, Kişisel Verileri Koruma Kanunu (KVKK), Türkiye'de tüm kurumların veri güvenliği ve gizliliği ile ilgili çerçeveyi belirler. Yapay zekâ uygulamaları da günümüz hukukunda KVKK kapsamında değerlendirilirler; bu nedenle kuruluşlar, KVKK kapsamında işledikleri kişisel verilerin işlenme amacını açıkça belirtmeli, veri minimizasyonu ilkesine uymalı ve yüksek riskli projelerde mahremiyet etki değerlendirmesi (DPIA) yapmalı, verileri anonimleştirmeli, çalışanların gizlilik eğitimlerine ve farkındalığa önem vermelidirler.

Mahremiyet Etki Değerlendirmesi (DPIA): Kişisel verinin işlenmesi sırasında, işlenen verinin kişi hak ve hürriyetlerine olası etkilerini değerlendiren ve riski azaltmaya yönelen sistemdir.

Veri Minimizasyonu ve Anonimleştirme: İşlenen veriler, sadece gerekli kadarla sınırlandırılmalı, mümkünse veriler anonim hâle getirilerek kullanılmalıdır.

Çalışan Eğitimi ve Farkındalık: Kurum içi eğitimlerle personel KVKK yükümlülükleri ve AI kullanımı konularında bilinçlendirilmeli, veri koruma kültürü geliştirilmelidir.

Ancak anonimleştirmenin tek başına bir "mucize" olmadığı; bağlamsal bilgilerle yeniden tanımlama riskinin devam edebildiği, uluslararası gizlilik doktrininde güçlü biçimde tartışılır. Bu nedenle yalnızca anonimleştirmeye güvenilmemli, bunun dışındaki önlemlere de dikkat edilmelidir.

Bunların başında:

Psödönimleştirme/Maskeleme: Kişiyi doğrudan tanımlayan veriler (isim, T.C. kimlik, plaka vb.) gerçek kişiyle ilişkilendirilemeyecek başka bir işaretleyiciyle (hash değeri, token vs.) değiştirilmelidir. Kişi hâlâ teorik olarak tanımlanabilir, fakat ek bir anahtara ulaşılmadıkça tanımlanamaz hâle gelir bu şekilde. Bu nedenle maskeleme tam bir anonimleştirme değildir geri döndürülebilir niteliktedir.

Erişim Kontrolü: Veriye her isteyenin erişememesi için, yetki seviyesine göre kademelendirilmiş erişim mekanizmasıdır.

Amaç Sınırı: KVKK ve GDPR (General Data Protection Regulation)'ın temel ilkesidir. Veri ancak belirli, açık ve meşru bir amaç için işlenebilir ve o amaç dışına taşınamaz.

AVRUPA HUKUKUNDA YAPAY ZEKÂNIN YERİ

Günümüz Avrupa Birliği hukukunda da yürürlüğe girmiş bir yapay zekâ mevzuatı yoktur. Fakat yine Türkiye'de olduğu gibi buna ilişkin ilk ve kapsamlı bir düzenleme Avrupa Konseyi tarafından tasarlanmaktadır. Yalnızca güvenlik ve şeffaflık açısından değil, gizlilik ve veri koruma boyutu bakımından da GDPR kadar önemli bir çerçeve kurması planlanan EU AI Act, özellikle yüksek riskli yapay zekâ sistemleri (örneğin kredi skorlama, işe alım sistemleri, biyometrik tanıma, sağlık uygulamaları gibi) için kişisel verilerin işlenmesine ilişkin çok katı önkoşullar getirecek.

EU AI Act'in getirmesi planlanan en kapsamlı ve yeni düzenlemeleri ise geliştiricilere "tasarım aşamasında gizlilik (privacy by design)" zorunluluğu getirmesi ve de biyometrik veri işleyen ya da bireyleri izleyebilen sistemlere özel yasak ve sınırlamalardır.

GDPR (General Data Protection Regulation) (Genel Veri Güvenliği Regülasyonu), Avrupa Birliği'nin kişisel verilerin korunmasına ilişkin en kapsamlı ve katı düzenlemesidir. 2018 yılında yürürlüğe giren GDPR, hem AB vatandaşlarının verilerini işleyen tüm Avrupa içi şirketler için hem de AB dışındaki şirketlerin AB'li bireylerle işlem yaptığı durumlarda uygulanır.

GDPR'ın amacı, bireylerin kişisel verileri üzerindeki kontrolünü güçlendirmek ve şirketlerin bu verileri nasıl topladığını, işlediğini, sakladığını daha şeffaf, güvenli ve sınırlandırılmış bir şekilde yönetmesini zorunlu kılmaktır. Bu kapsamda bireylere veriye erişim hakkı, veriyi sildirme hakkı ("unutulma hakkı"), veri taşınabilirliği hakkı gibi güçlü haklar tanır. Kurumlar ise veri işleme için açık ve özgür iradeye dayalı rıza alma, veri minimizasyonu, amaçla sınırlılık, güvenli saklama gibi ilkelere uymak zorundadır. GDPR'ın kurallarına uyulmaması durumunda şirketlere cirosunun %4'üne kadar çıkan ağır para cezaları uygulanması öngörülmektedir.

PROMPT ENGINEERING İLE YAPAY ZEKÂNIN GÜVENLİ KULLANIMI

Prompt engineering (komut mühendisliği), yapay zekâ ve LLM (large language models/büyük dil modelleri) sistemlerinden en iyi sonuçları elde etmek için doğru komutları (prompt) tasarlama sürecidir. Yapay zekâdan doğru ve güvenli sonuçlar almak için prompt engineering yaklaşımları önem taşır. Etkili bir prompt, modelin ne yapmasının istenildiğini açıkça anlatabilir. Prompt engineering, yalnızca daha iyi sonuç almak için değil aynı zamanda hangi bilginin yapay zekâya açıklanıp hangisinin gizli kalacağını belirleme gücü olduğu için, doğrudan gizlilik koruma stratejisinin de bir parçasıdır.

International Association of Privacy Professionals (IAPP) bu şekilde tasarlanmış prompt'ları "ethical prompt design" (etik komut dizaynı) olarak adlandırır. Yani yapay zekâya veri vermek yerine, bağlamı temsil ederek rol ve amaç tanımlamak hem gizlilik riskini azaltır hem de çok daha tutarlı sonuç üretir. Bu nedenle prompt engineering artık yalnızca teknik bir beceri değil, avukatlar için meslek etiğinin yeni uzantısı hâline gelmiştir.

SİSTEMSEL ÖNLEMLER

Günümüzde var olan pek çok yapay zekâ aracı onlara girilen verileri işleyerek bu verilerle öğrenme gerçekleştirir ve sistemlerini geliştirirler. ChatGPT ve Gemini gibi kamuya açık yapay zekâ araçları, kendileriyle paylaşılan verileri modelin öğrenimine kullanmak amacıyla işlemeye ve öğrenim döngüsüne dahil etmeye devam ettikleri için gizli verilerin saklanması açısından güvenilir bir ortam sunmazlar. Buna rağmen, yapay zekâ kullanımında riski bertaraf edebilmek için ortaya çıkmış ve farklı şirketler tarafından kullanılan bazı sistemler vardır. Bunlardan en önemlileri:

Sensitivity Labels (Hassasiyet Etkileri) ve Veri İçi Koruma: Özellikle kurumsal verilerin korunmasında en temel katmanlardan biri olan sensitivity labels (hassasiyet etiketleri), veriyi dosya seviyesinde sınıflandırıp otomatik koruma uygulayan bir sistemdir. Sistem; Word, Excel, PowerPoint, Outlook, Teams gibi uygulamalarda içerik görüntülenirken kullanıcıya hem açıkça etiketi gösterir hem de arka planda şifreleme ve erişim hakları gibi teknik önlemler uygular. AI modelleri, bu etiketlere saygı duyar ve sadece kullanıcının zaten erişim yetkisi olduğu verileri geri döndürebilir. EXTRACT izni verilmediyse içerik özetlenemez, yalnızca referans linki sunulabilir.

Veri Sızıntısını Önleme (DLP, Data Loss Prevention): DLP, hassas verilerin kazara veya bilinçli olarak şirket dışına çıkmasını engelleyen otomatik bir güvenlik çerçevesidir. Kullanıcı, üçüncü taraf AI sitelerine kredi kartı, hasta verisi veya gizli iş dokümanı göndermek istediğinde sistem otomatik olarak devreye girer: kullanıcıyı uyarabilir, işlemi tamamen engelleyebilir ya da kullanıcıdan işlemin nedenini açıklayan bir "justification" isteyebilir. Bu politika sadece içerik değil, davranış bağlamını da analiz eder, örneğin gece 03:00'te, bilinmeyen bir cihazdan yapılan "veri yapıştırma" girişimini çok daha riskli sayabilir.

Hatta, Microsoft 365 ekosisteminde DLP çok daha gelişmiş konumdadır. Sistem, sadece internet tarayıcısı seviyesinde engelleme yapmakla yetinmez, aynı zamanda Copilot'un belirli hassasiyet düzeyindeki dosyaları özetlemesini tamamen yasaklar, ancak bağlantıyı göstermesine izin vermek gibi "akıllı" kararlar uygular. Böylece yapay zekâ kullanılırken veri işlemesi tamamen durmaz, kontrollü şekilde yönlendirilir.

Insider Risk Management (Kurum İçi Risk Yönetimi): IRM, kurum içi kullanıcıların yapay zekâ araçlarıyla gerçekleştirebileceği potansiyel riskli davranışları (örneğin korumalı bir belgeye farklı rollerde erişmeye çalışma, sistematik veri toplama eğilimleri) machine learning (makine öğrenimi) ile analiz eden bir sistemdir. Bu sistem yalnızca olayı değil, davranışın bağlamını inceler. Örneğin işten ayrılan bir çalışanın işten ayrılma bildirimi verdikten sonra verilere olağandışı erişim yapmaya başlaması veya mesai dışı saatlerde aniden çok fazla korumalı dokümana mı bakılması sistemin radarına takılır. Sistem, bütün bu sinyalleri insan göremeyecek kadar erken aşamada otomatik fark eder.

Data Classification (Veri Sınıflandırma): Data Classification, veriyi yalnızca "dosya adı" veya "etiket" üzerinden değil, içeriğin kendisine bakarak otomatik anlamlandıran bir zekâ katmanıdır. Sistem, ister kullanıcı Word'e yazsın, isterse yapay zekâ aracına prompt olarak göndersin TCKN, kart numarası, proje kod adı, gizli sözleşme metni gibi verileri anında tanıyabilir. Bu sistemler genelde standart duyarlı veri tanımları (Sensitive Info Types) ile çalışır ama istenirse ilgili kurumun kendi dokümanlarından öğrenen "trainable classifier" modelleriyle özel veri türlerini de yakalayabilirler.

Uyumluluk & Denetim (Audit): Kurum içi işlemlerin ve yapay zekâ işlemlerinin kim tarafından, ne zaman ve hangi amaçla yapıldığı kayıt altına alan bir sistemdir. Bu kayıtlar yalnızca yapay zekâya verilen komutları değil aynı zamanda referans verilen dosyaları da kayıt altına alarak dosyanın hangi hassasiyet etiketine sahip olduğunu ve hangi hesap üzerinden yapıldığını da depolar. Bu veriler, uyumluluk denetiminde (KVKK veya GDPR denetiminde) kullanılabileceği gibi olası bir ihlal halinde soruşturmaya delil olarak da kullanılabilirler.

Özellikle Microsoft 365 ekosistemi kullanan sistemler, yapay zekâ süreçlerini sensitivity labels, DLP, IRM, data classification ve audit gibi kurum içi veri koruma mekanizmalarıyla zaten otomatik olarak koruma altına almış olurlar. Bu mekanizmalar, verinin yalnızca dışarı çıkmasını engellemekle kalmaz, yapay zekâya gönderilen içeriklerin bile etiketine göre şifrelenmesini, gerektiğinde özetlenmesinin bile yasaklanmasını, hatta sadece erişim yetkisi olan kullanıcıların görüntüleyebilmesini garanti eder.

Ancak ChatGPT veya Gemini gibi genel internet amaçlı yapay zekâ araçları bu kurumsal koruma katmanlarını barındırmadığı için, kullanıcı bu sistemlere içerik gönderdiği anda artık verinin görünürlüğü üzerinde kontrolünü yitirme riski taşır. Bu nedenle, müvekkil verilerinin işlendiği ve gizlilik önceliğinin olduğu senaryolarda, ChatGPT veya Gemini gibi kamuya açık modeller yerine Microsoft gibi güvenilir sistem içi mekanizmalar sunan altyapılara gömülü yapay zekâ araçlarını tercih etmek, yalnızca güvenli değil, aynı zamanda sürdürülebilir bir kullanım sağlarlar.

Kamuya açık kaynakların riskini bertaraf etmek amacıyla Türk hukuku için özelleştirilmiş bir yapay zekâ asistanı olan ve Microsoft alt yapısını kullandığı için sayılan sistemleri zaten içerisinde barındıran Leagle'ı kullanmak, hem vekil-müvekkil gizliliğini güvence altına alırken hem de yapay zekânın araçlarını risk almadan kullanmayı sağlar.

SONUÇ

Sonuç olarak, her türlü yapay zekâ aracının kullanımı gizliliği sağlar denilemez. Ancak uygun yapay zekâ araçlarının doğru programlarla ve uygun şekilde kullanılması, artık kaçınılmaz hâle gelen yapay zekâ teknolojisinden vazgeçmeden hem rekabetten geri kalmamanın hem de gizliliği korumanın yegâne yoludur. Bu noktada hem bu araçları kullanırken verileri anonimleştirmeye, maskelemeye ve erişim sınırlandırılmasına dikkat edilmesi gerekirken aynı zamanda paylaşılan verileri sisteminde barındırarak öğrenme sürecine dahil etmeyen yapay zekâ araçlarından ziyade sistemsel korumalarla verilerin güvenliğini sağlayan altyapılarla oluşturulmuş sistemleri kullanmayı tercih etmek önemlidir. Bu sayede, bir avukat, hem vekil müvekkil gizliliğini korumaya devam edebilir hem de yapay zekâ araçlarını kullanarak işlerini daha verimli hâle getirebilir.