Ajanda

KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN ETKEN YAPAY ZEKÂ (AGENTİC AI) REHBERİ YAYIMLANDI

13.03.2026

 

Kişisel Verileri Koruma Kurumu ("Kurum") tarafından hazırlanan "Etken Yapay Zekâ (Agentic AI)" başlıklı rehber ("Rehber"), 12 Mart 2026 tarihinde yayımlanmıştır. Rehber, belirli hedeflere ulaşmak amacıyla farklı düzeylerde otonom biçimde davranabilen ve etkileşimde bulunabilen Yapay Zekâ Aracılarından (“YZ Aracısı/Aracıları”) (AI Agents) oluşan Yapay Zekâ (“YZ”) sistemlerini ifade eden Etken Yapay Zekâ (“Etken YZ”) sistemlerine ilişkin genel bir değerlendirme sunmak ve bu sistemlerin yaşam döngüsü boyunca kişisel verilerin korunması açısından dikkate alınabilecek hususları genel hatlarıyla ele almak amacıyla hazırlanmıştır.

Etken YZ sistemleri, belirli hedeflere ulaşmak amacıyla çevresel koşulları değerlendirebilen, değişen durumlara uyum sağlayabilen ve farklı düzeylerde otonom biçimde eylem başlatabilen bütünleşik yapılardır. Etken YZ sistemleri henüz gelişim sürecinde olup farklı kullanım alanlarında farklı düzeylerde otonomi gösterebilir ve dış dünyada sonuç doğuran eylemlerle ilişkilidir. Bu sistemlerde insanların rolü çoğunlukla görevleri doğrudan yerine getirmekten ziyade sistem hedeflerini belirlemek, faaliyetleri izlemek ve gerektiğinde müdahale etmektir. Bu nedenle Etken YZ sistemlerinin tasarım ve kullanımında temel hak ve özgürlüklerle uyum gözetilmeli ve insan merkezli bir yaklaşım benimsenmelidir. Bu yaklaşım, teknolojik gelişmenin hız ve verimlilik hedefleri ile bireylerin mahremiyeti arasında denge kurmayı amaçlamaktadır.

Rehber, başta veri sorumluları olmak üzere tüm şirket, kurum ve kuruluşların, Etken YZ sistemlerinin kullanımı kapsamında kişisel verilerin korunmasına ilişkin farkındalık kazanmalarını ve bu sistemlerin kullanımından kaynaklanabilecek riskleri yönetebilmelerini amaçlamaktadır. Bu kapsamda Rehber Etken YZ sistemlerinin ne olduğu, bu sistemlerde YZ Aracılarının hangi işlevleri yerine getirdiği, potansiyel kullanım durumları, beraberinde getirebileceği riskler ve kişisel verilerin korunması bakımından dikkate alınabilecek hususlara yer vermektedir. Rehber’de öne çıkan hususlar aşağıdaki gibidir:

  • Etken YZ sistemlerinin farklı derecelerde otonom işleyiş sergileyebilen yapısı gereğince söz konusu sistemlerin kullanımında bireylerin rolü genellikle belirli görevlerin icrasından ziyade sistem hedeflerinin belirlenmesi, yürütülen faaliyetlerin izlenmesi ve gerektiğinde sürece müdahale edilmesi gibi işlevler etrafında şekillenmektedir.
  • Etken YZ sistemlerinin belirlenmiş hedef veya hedefler doğrultusunda yerine getirilmesi gereken görevleri tanımlayabilmekte, planlama süreçlerini yürütebilmekte ve değişen koşullar altında bir hedefe nasıl ulaşılacağına ilişkin değerlendirmelerde bulunarak sistem düzeyinde gerekli eylemleri belirleyip bu eylemleri koordine edebilmekte olduğu belirtilmiştir. Bu kapsamda söz konusu sistemler, eylemleri önem ve aciliyet düzeylerine göre önceliklendirebilmekte ve eş zamanlı olarak birden fazla faaliyetin yürütülmesini koordine edebilmektedir.
  • Rehber’de Etken YZ ile etken olmayan YZ sistemlerinin arasındaki ayrımı açıklayabilmek adına söz konusu sistemlerin kullanıldığı / kullanılmadığı kullanım senaryoları örneklendirilmiştir. Bu kapsamda, Etken YZ bakımından trafik koşullarını dikkate alarak teslimat rotalarını yeniden planlayan bir lojistik yönetim sistemi; etken olmayan YZ bakımından ise geçmiş işe alım verilerini kullanarak adayları belirli ölçütler doğrultusunda sıralayan bir özgeçmiş tarama aracı örneği verilmiştir.
  • Etken YZ sistemlerinin karar alma ve eylem süreçlerinin, “YZ Aracıları” olarak adlandırılan yazılımsal bileşenler aracılığıyla gerçekleştirilmekte olduğu açıklanmış olup literatürde kimi zaman “Etken YZ” ile “YZ Aracısı” kavramlarının birbirinin yerine kullanıldığı görülmekle birlikte, sistem düzeyindeki işleyişin ortaya konulabilmesi açısından, söz konusu kavramların birbirinden ayırt edilmesinin önem taşımakta olduğu ifade edilmiştir.
  • “YZ Aracısı” kavramının genel olarak çevresini algılayan, bu çevreye tepki veren ve belirlenen hedefler doğrultusunda eylemlerde bulunan otomatik bir etmen şeklinde tanımlanabileceği belirtilmiştir.
  • Görev kapsamının genişlediği, farklı uzmanlık alanlarının devreye girdiği ve birden fazla hedefin paralel şekilde yönetilmesinin gerekli olduğu durumlarda, tek bir YZ Aracısı’nın karar alma, planlama ve eylem yürütme kapasitesi yetersiz kalabilmekte olduğundan karmaşık hedeflerin gerçekleştirilmesine yönelik olarak birden fazla YZ Aracısının birlikte çalıştığı “Çoklu YZ Aracısı sistemlerinin” (Multi-agent systems) karşımıza çıkmakta olduğundan bahsedilmiştir. Bu sistemler, ortak görev ve hedeflerin gerçekleştirilmesi amacıyla birden fazla YZ Aracısının görev paylaşımı ve eş güdüm çerçevesinde, etkileşim içerisinde faaliyet gösterdiği yapılar olarak değerlendirilmektedir.
  • Etken YZ sistemlerinin (i) araştırma ve geliştirme süreçleri, (ii) müşteri destek süreçleri, (iii) finans ve yatırım süreçleri, (iv) sağlık alanında karar destek süreçleri ve (v) olay müdahalesi ve yönetim süreçlerinde nasıl ele alınabileceği örneklendirilmiştir.
  • Etken YZ sistemlerinin, farklı kullanım durumlarında çeşitli faydalar sunma potansiyeline sahip olmakla birlikte, söz konusu sistemlerin tasarlanmasına, yapılandırılmasına ve kullanılmasına ilişkin süreçlerde dikkate alınması gereken birtakım riskleri de beraberinde getirebilmekte olduğu belirtilmiştir.
  • Bahsi geçen risklerin büyük ölçüde genel olarak YZ sistemleri bağlamında ele alınan risklerle örtüşmekte olup Etken YZ sistemlerinin hedef yönelimli, çok adımlı ve farklı düzeylerde otonom işleyişe imkan tanıyan yapısal özelliklerinin söz konusu risklerin ortaya çıkma biçimini ve olası etkilerini daha karmaşık hale getirebilmekte olduğu açıklanmıştır.
  • Etken YZ sistemlerinin üstlendiği görevlerin niteliği ve ortaya çıkabilecek riskler dikkate alınarak uygun açıklanabilirlik düzeyinin sağlanmasına yönelik yaklaşımların benimsenmesi gerektiği vurgulanmıştır. Sistem davranışlarının izlenebilirliğini artıracak mekanizmalarla desteklenmesi, olası uyumsuzlukların ve istenmeyen sonuçların erken aşamada tespit edilmesini kolaylaştırabilecektir.
  • Etken YZ sistemlerinin geliştirilmesi ve uygulamaya alınması süreçlerinin, görevlerin niteliğine bağlı olarak farklı kaynaklardan elde edilen verilerin bir arada değerlendirilmesini ve çok adımlı iş akışları kapsamında işlenmesini gerektirebileceği belirtilmiştir. Bu süreçlerde kullanılan veri kümelerinin kişisel verileri de içerebileceği ve bu durumun, kişisel verilerin gizliliği ve güvenliği bakımından sistem düzeyinde dikkate alınması gereken riskleri doğurabileceği ifade edilmiştir.
  • Etken YZ sistemlerinde kişisel veriler, sistemin hedeflerini gerçekleştirmesi için işlenmekte olduğundan verilerin hangi amaçlarla işlendiğinin ve bu amaçlarla bağlantılı olarak hangi veri türlerinden yararlanıldığının belirlenmesinin önemi vurgulanmıştır. Veri işleme süreçleri, sistemin özelliklerine göre farklı riskler doğurabilecek olup bu kapsamda amaçla sınırlılık ile veri minimizasyonu ilkeleri dikkate alınmalıdır.
  • Etken YZ sistemlerinin çok adımlı yapısı nedeniyle veri işleme faaliyetlerinin sistemin farklı aşamalarında ve farklı görevler kapsamında gerçekleşebileceği belirtilmiştir. Birden fazla YZ aracısının birlikte çalıştığı yapılarda veri işleme faaliyetlerinin dağınık bir yapı kazanabileceği ve bu nedenle değerlendirmelerin tek tek işlemler yerine sistemin bütüncül işleyişi dikkate alınarak yapılması gerektiği ifade edilmiştir. Ayrıca sistemlerin zaman içinde yeni veri kümelerini sürece dahil edebileceği veya mevcut verileri farklı görevler kapsamında yeniden kullanabileceği belirtilmiştir.
  • Etken YZ sistemlerinin süreç içinde hangi verilere ihtiyaç duyduğunu yeniden belirleyebilmesinin, gerekli olandan daha geniş veri kümelerine erişilmesine yol açabileceği belirtilmiştir. Bu durumun veri işleme faaliyetlerinin öngörülebilirliğini azaltabileceği ve veri kullanımının amaçlarla uyumunun izlenmesini zorlaştırabileceği ifade edilmiştir. Bu nedenle veri ihtiyacının belirlenmesi ve veri kullanımının sınırlandırılmasının önem taşıdığı belirtilmiştir. Amaç tanımlarının ve veri kullanımının kapsamının sistemin işleyişi içerisinde değişkenlik gösterebilmesinin, veri işleme faaliyetlerinin hangi işleme şartına (hukuki sebebe) dayandığına ilişkin değerlendirmeleri de doğrudan etkileyebileceği açıklanmıştır.
  • Sistemin ilerleyen aşamalarında ortaya çıkan ve başlangıçta öngörülmeyen veri kullanımlarının, veri işleme faaliyetlerinin hangi işleme şartına dayandığının ve bu işleme şartının söz konusu kullanımlar bakımından geçerliliğini koruyup korumadığının yeniden değerlendirilmesini gerekli kılabileceği belirtilmiştir. Bu durumun, Etken YZ sistemlerinin kullanımında, başlangıçta hukuka uygun şekilde yürütüldüğü değerlendirilen bir veri işleme faaliyetinin, süreç ilerledikçe farklı amaçlarla ilişkilendirilmesi veya daha geniş kapsamlı veri kümelerini içerecek şekilde genişlemesi sonucunda, söz konusu veri işleme faaliyetinin hukuki sebep ile olan bağının ortadan kalkması riskini gündeme getirebileceği açıklanmıştır.
  • Özel nitelikli kişisel verilerin işlenmesinden kaynaklanabilecek risklerin, Etken YZ sistemlerinin işleyişi ve kullanım durumu dikkate alınarak değerlendirilmesinin ve bu riskleri azaltmaya yönelik uygun tedbirlerin hayata geçirilmesinin önemi vurgulanmıştır.
  • Etken YZ sistemlerinde çıkarıma dayalı ve türetilmiş veri kullanımının kişisel verilerin korunması açısından potansiyel riskler barındırdığı belirtilmiştir. Farklı veri kaynaklarından elde edilen verilerin analiz edilmesi ve birleştirilmesi sonucunda, başlangıçta kişisel veri niteliği taşımayan veya sınırlı bilgi içeren verilerden bireyler hakkında daha ayrıntılı ya da hassas bilgilerin dolaylı olarak ortaya çıkarılabileceği ifade edilmiştir. Ayrıca farklı veri setlerinin ilişkilendirilmesiyle anonim olduğu varsayılan verilerin bireylerle ilişkilendirilebilir hâle gelebileceği ve bu durumun bireyler hakkında kapsamlı profiller oluşturulmasına yol açabileceği belirtilmiştir.
  • Yukarıda sayılan durumların yanı sıra Etken YZ sistemlerinin kullanımında kişisel verilerin işlenmesine ilişkin (i) şeffaflık ve açıklanabilirlik, (ii) sorumluluk ve hesap verebilirlik, (iii) kişisel verilerin doğruluğunun sağlanması, (iv) güvenlik ve sistem dayanıklılığı, (v) sistem davranışlarının insanlar tarafından belirlenen amaçlar ve hukuki çerçevelerle uyumu alanlarındaki risklere de değinilmiştir.
  • Etken YZ sistemlerinde kişisel verilerin korunmasına ilişkin olarak dikkate alınabilecek hususların, sistemlerin otonomi düzeyi, kullanım durumu ve ilgili diğer faktörlere göre değişebilecek risklerin belirlenmesi ve uygun tedbirlerle yönetilmesi ihtiyacı ile ilişkili olduğu belirtilmiştir. Bu kapsamda risk temelli bir yaklaşımın benimsenmesinin, bireyler, ilgili kuruluşlar ve toplum bakımından ortaya çıkabilecek olası etkilerin dikkate alınmasının ve sistemlerin zaman içerisinde değişebilen risk profillerine uyum sağlayabilecek mekanizmalarla desteklenmesinin gerekliliği hatırlatılmıştır.
  • Etken YZ sistemleri bağlamında kişisel verilerin korunması bakımından dikkate alınabilecek hususlar (i) sistemlerin kullanımında insan merkezli bir yaklaşımın benimsenmesi, yeterli ve anlamlı insan katılımı veya gözetiminin sağlanması, (ii) uygun açıklanabilirlik ve şeffaflık düzeyinin sağlanmasına yönelik yaklaşımların benimsenmesi, (iii) Etken YZ sistemleri kapsamında ortaya konulan çıktılara dayanak oluşturulan kişisel verilerin doğruluğunun sağlanması, (iv) Etken YZ sistemlerinin geliştirilmesi ve kullanımı sürecinde yer alan aktörlerin rollerinin açık bir şekilde tanımlanması, (v) “tasarımdan itibaren mahremiyet” (privacy by design) ve “varsayılan olarak mahremiyet” (privacy by default) yaklaşımlarının sistematik biçimde dikkate alınması, (vi) Etken YZ sistemlerinin yaşam döngüsü boyunca ortaya çıkabilecek risklerin sistematik biçimde ele alınmasını sağlayacak risk değerlendirme mekanizmalarının benimsenmesi, (vii) mevcut veri koruma ve yönetişim mekanizmalarının, Etken YZ sistemlerinin yapısal özellikleri dikkate alınarak gözden geçirilmesi olarak belirtilmiştir.

Rehber'e buradan ulaşabilirsiniz.

 

NAZALI VERGI & HUKUK

info@nazali.com

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.