İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı

ÜRETKEN YAPAY ZEKÂ ARAÇLARININ KULLANIMI -- 1 of 18 -- ŞUBAT 2026 -- 2 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 1 İÇİNDEKİLER 1. İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımına Genel Bakış / 4 2. Üretken Yapay Zekâ Araçlarının Kontrol Dışı Kullanımı (Gölge Yapay Zekâ) ve Ortaya Çıkardığı Riskler / 5 3. İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımına İlişkin Dikkate Alınabilecek Hususlar / 10 -- 3 of 18 -- -- 4 of 18 --

Kullanımına Genel Bakış / 4 2. Üretken Yapay Zekâ Araçlarının Kontrol Dışı Kullanımı (Gölge Yapay Zekâ) ve Ortaya Çıkardığı Riskler / 5 3. İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımına İlişkin Dikkate Alınabilecek Hususlar / 10 -- 3 of 18 -- -- 4 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 3 Üretken yapay zekâ sistemleri, son yıllarda farklı sektörlerde iş süreçlerinin yürütülme biçimini etkileyen teknolojik gelişmeler arasında önemli bir yer edinmiştir. Metin, görsel, ses, yazılım kodu ve benzeri içeriklerin oluşturul- masını mümkün kılan bu sistemlere dayalı olarak geliştirilen ve kullanıcıla- rın doğrudan etkileşime girdiği uygulama ve hizmetler; bilgiye erişim, içerik üretimi ve çeşitli destekleyici faaliyetler kapsamında iş yerlerinde giderek daha yaygın biçimde kullanılmaktadır. Kullanım kolaylığı ve kısa sürede çıktı üretebilme kapasitesi, bu tür üretken yapay zekâ araçlarının çalışanlar tarafından çeşitli işlevler doğrultusunda tercih edilmesini sağlamaktadır. İş yerlerinde üretken yapay zekâ araçlarının kullanımının artması, verim- lilik ve iş süreçlerini destekleyici imkânlar sunmakla birlikte, bu kullanı- mın niteliği ve kapsamı bakımından dikkate alınması gereken birtakım hususları da beraberinde getirmektedir. Özellikle bu araçların kullanımı- nın her zaman açık biçimde tanımlanmış bir kurumsal strateji, politika veya yönlendirme çerçevesi içerisinde gerçekleşmemesi ve çoğu durumda çalışanların günlük işlerini kolaylaştırmaya yönelik bireysel tercihler doğ- rultusunda şekillenmesi, üretken yapay zekâ araçlarının kurumsal düzeyde izlenmesi ve yönetilmesini zorlaştırabilmektedir. Bu doküman, “üçüncü taraflarca sunulan ve kamuya açık olarak erişilebi- len üretken yapay zekâ araçlarının” iş yerlerinde kullanımına ilişkin genel bir çerçeve sunmak amacıyla hazırlanmış olup şirket, kurum ve kuruluşlar nezdinde farkındalık oluşturmayı, olası risklere dikkat çekmeyi ve bilinçli kullanımı teşvik etmeyi hedeflemektedir.

len üretken yapay zekâ araçlarının” iş yerlerinde kullanımına ilişkin genel bir çerçeve sunmak amacıyla hazırlanmış olup şirket, kurum ve kuruluşlar nezdinde farkındalık oluşturmayı, olası risklere dikkat çekmeyi ve bilinçli kullanımı teşvik etmeyi hedeflemektedir. -- 5 of 18 --

len üretken yapay zekâ araçlarının” iş yerlerinde kullanımına ilişkin genel bir çerçeve sunmak amacıyla hazırlanmış olup şirket, kurum ve kuruluşlar nezdinde farkındalık oluşturmayı, olası risklere dikkat çekmeyi ve bilinçli kullanımı teşvik etmeyi hedeflemektedir. -- 5 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 4 1. İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımına Genel Bakış “Üretken Yapay Zekâ” (ÜYZ-Generative Artificial Intelligence); büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından sunulan is- tem veya komutlara (prompt) yanıt olarak metin, görsel, video, ses ya da yazılım kodu gibi farklı formatlarda içerikler üretebilen yapay zekâ (YZ) sistemlerini ifade etmektedir. Bu sistemler, mevcut veriler üzerinde ço- ğunlukla sınıflandırma veya tahmin gerçekleştirmeye yönelen geleneksel yaklaşımlardan farklı olarak, istatistiksel örüntülere dayanmak suretiyle insan tarafından üretilen içeriklere benzer nitelikte yeni içerikler oluştura- bilme kapasitesine sahiptir. Bu kapsamda, ÜYZ sistemlerine dayalı araçlar, iş süreçlerinin yürütülme biçiminde değişimlere yol açmakta ve farklı alanlarda yeni uygulama ve kullanım biçimlerinin geliştirilmesini mümkün kılmaktadır. Bu doğrultu- da müşteri hizmetleri, pazarlama ve reklamcılık, eğitim, sağlık, hukuk ve yazılım geliştirme gibi çeşitli alanlarda bu tür araçlardan fayda sağlan- maktadır. ÜYZ araçlarının yaygınlaşması ve erişilebilirliğin artması, çalışanların bu araçlardan iş süreçlerinde yararlanabilmelerini kolaylaştırmaktadır. İş yer- lerinde ÜYZ araçlarının kullanımı, belirli bir sektör veya meslek grubuyla sınırlı olmayıp, farklı uzmanlık alanlarında yürütülen iş süreçlerine destek sağlamak amacıyla tercih edilebilmektedir. Bu araçların farklı türde içe- rikleri işleyebilme ve kısa sürede çıktı üretebilme kapasitesi, günlük iş akışlarına çeşitli şekillerde dâhil edilmelerine olanak sağlamaktadır. Bu kapsamda e-posta ve metin taslaklarının hazırlanması, belgelerin özetlen- mesi ve içeriklerine ilişkin değerlendirmelerin yapılması, fikir geliştirme çalışmalarının desteklenmesi, toplantı notlarının oluşturulması ve araş- tırma faaliyetlerine katkı sağlanması gibi kullanım örnekleri söz konusu olmaktadır.

mesi ve içeriklerine ilişkin değerlendirmelerin yapılması, fikir geliştirme çalışmalarının desteklenmesi, toplantı notlarının oluşturulması ve araş- tırma faaliyetlerine katkı sağlanması gibi kullanım örnekleri söz konusu olmaktadır. -- 6 of 18 --

mesi ve içeriklerine ilişkin değerlendirmelerin yapılması, fikir geliştirme çalışmalarının desteklenmesi, toplantı notlarının oluşturulması ve araş- tırma faaliyetlerine katkı sağlanması gibi kullanım örnekleri söz konusu olmaktadır. -- 6 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 5 ÜYZ araçlarının sunduğu hız ve verimlilik imkânları, birçok kuruluşta bu araçların iş süreçlerinin çeşitli aşamalarında kullanılmasına zemin hazırla- maktadır. Tekrarlayan görevlerin otomatikleştirilmesi, iş süreçlerinin daha etkin şekilde yürütülmesi ve çalışanların daha yüksek katma değerli faa- liyetlere yönlendirilebilmesi, ÜYZ kullanımının yaygınlaşmasında etkili olan unsurlar arasında yer almaktadır. İş yerlerinde ÜYZ araçlarının kullanımı, çoğu durumda üçüncü taraflar- ca sunulan ve kamuya açık olarak erişilebilen bu tür araçlar üzerinden gerçekleşmektedir. Sohbet tabanlı ÜYZ uygulamaları, yazılım geliştirme süreçlerini destekleyen kodlama asistanları ile çeviri ve metin üretimine yönelik ÜYZ araçları, çalışanlar tarafından iş süreçlerini desteklemek amacıyla yaygın şekilde kullanılan uygulamalar arasında yer almaktadır. 2. Üretken Yapay Zekâ Araçlarının Kontrol Dışı Kullanımı (Gölge Yapay Zekâ) ve Ortaya Çıkardığı Riskler Genel olarak bakıldığında “Gölge YZ” (Shadow AI); kurum veya kuruluş bünyesinde ÜYZ araçlarının, söz konusu kurum veya kuruluşun bilgisi, onayı veya kurumsal kontrolü dışında çalışanlar tarafından iş süreçlerinde kullanılması durumunu ifade etmektedir. Bu tür kullanımlar çoğu zaman çalışanların bireysel inisiyatifiyle ortaya çıkmakta olup, mevcut kurum- sal bilişim altyapıları, yönetişim çerçeveleri ve denetim mekanizmaları kapsamında öngörülmeyen veya bu mekanizmalar tarafından yeterince izlenemeyen biçimlerde gerçekleşmektedir. Bu nedenle, hangi ÜYZ araç- larının hangi amaçlarla kullanıldığı, bu araçlara hangi veri türlerinin girdi olarak sunulduğu ve elde edilen çıktıların iş süreçlerinde nasıl değerlendi- rildiğine ilişkin kurumsal görünürlük ve denetim imkânları, yetkili birim- ler bakımından sınırlı kalabilmektedir.

larının hangi amaçlarla kullanıldığı, bu araçlara hangi veri türlerinin girdi olarak sunulduğu ve elde edilen çıktıların iş süreçlerinde nasıl değerlendi- rildiğine ilişkin kurumsal görünürlük ve denetim imkânları, yetkili birim- ler bakımından sınırlı kalabilmektedir. -- 7 of 18 --

larının hangi amaçlarla kullanıldığı, bu araçlara hangi veri türlerinin girdi olarak sunulduğu ve elde edilen çıktıların iş süreçlerinde nasıl değerlendi- rildiğine ilişkin kurumsal görünürlük ve denetim imkânları, yetkili birim- ler bakımından sınırlı kalabilmektedir. -- 7 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 6 Birçok kuruluş açısından Gölge YZ, yalnızca teorik veya geleceğe ilişkin bir risk alanı olmaktan çıkmış ve günlük iş akışları ile dijital çalışma or- tamları içerisinde karşılaşılan bir olgu hâline gelmiştir. ÜYZ araçlarının yaygınlaşmasıyla birlikte çalışanların bu araçları iş süreçlerine dâhil etme eğilimi artmakta ve bu kapsamda toplantı notları, iç yazışmalar, rapor tas- lakları, çalışanlara veya müşterilere ilişkin bilgiler ile kurumsal faaliyet- lere dair kamuya açık olmayan çeşitli veriler, üçüncü taraflarca sunulan ÜYZ araçları ile paylaşılabilmektedir. Bu kullanım örneklerinin önemli bir bölümü, çalışanlar tarafından günde- lik iş akışlarının doğal bir parçası olarak değerlendirilmekte ve verimli- lik artışı sağlayan pratik kullanım biçimleri olarak benimsenmektedir. Bu bağlamda, Gölge YZ kullanımının ortaya çıkmasında çalışanların zaman kazanma, rutin işleri azaltma ve çıktı kalitesini artırma yönündeki beklen- tilerinin etkisi bulunmaktadır. Bunun yanı sıra, ÜYZ araçlarının ücretsiz veya düşük maliyetli olması, kolay erişilebilir çözümler sunması ve teknik bilgi gereksinimi yüksek olmayan, kullanımı kolay bir arayüzde sunul- ması da bireysel kullanımın artmasına neden olan unsurlar arasında yer almaktadır. Kurumsal düzeyde ÜYZ kullanımına ilişkin politika ve yön- lendirmelerin bulunmaması veya bu çerçevenin yeterince açık olmaması da söz konusu eğilimi güçlendirebilmektedir. Gölge YZ olgusu, kuruluşların uzun süredir karşı karşıya kal- dığı “Gölge BT” (Shadow IT) uygulamalarıyla belirli ortak özellikler taşımaktadır. Genel olarak Gölge BT, kurum veya kuruluş bünyesinde iş amaçlı kullanılan ancak kurum veya kuruluş tarafından bilinmeyen, izlenmeyen veya kurumsal risk yönetimi süreçlerine dâhil olmayan bilişim varlıklarını ve hizmetleri ifade etmektedir. Bu kavram çalışanların kullandı- ğı cihazlarla sınırlı olmayıp kişisel bulut depolama hizmetleri

kuruluş bünyesinde iş amaçlı kullanılan ancak kurum veya kuruluş tarafından bilinmeyen, izlenmeyen veya kurumsal risk yönetimi süreçlerine dâhil olmayan bilişim varlıklarını ve hizmetleri ifade etmektedir. Bu kavram çalışanların kullandı- ğı cihazlarla sınırlı olmayıp kişisel bulut depolama hizmetleri -- 8 of 18 --

kuruluş tarafından bilinmeyen, izlenmeyen veya kurumsal risk yönetimi süreçlerine dâhil olmayan bilişim varlıklarını ve hizmetleri ifade etmektedir. Bu kavram çalışanların kullandı- ğı cihazlarla sınırlı olmayıp kişisel bulut depolama hizmetleri -- 8 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 7 gibi harici bilişim çözümlerini de kapsamaktadır. Örneğin, ça- lışanların kurumsal verilere farklı bir konumdan erişebilmek amacıyla kurumsal açıdan hassas nitelik taşıyan bilgileri ki- şisel bulut hesaplarında saklaması, söz konusu hizmetlerin kuruluşun güvenlik ve risk yönetimi süreçleri dışında kalması nedeniyle, Gölge BT kapsamında değerlendirilmektedir. Gölge BT uygulamaları, çalışanların onaylanmış araç ve süreç- leri yetersiz görmesi veya pratik bulmaması gibi nedenlerle de ortaya çıkabilmekte ve işlerin tamamlanmasını kolaylaştırmak amacıyla resmi olmayan alternatiflerin tercih edilmesine yol açabilmektedir. Benzer bir dinamik Gölge YZ kullanımında da görülmekle birlikte Gölge YZ; özellikle ÜYZ araçlarının veri iş- leme, içerik üretimi ve iş süreçlerine yön veren karar mekaniz- malarına doğrudan etki edebilme kapasitesi nedeniyle farklı boyutlarda ele alınması gereken riskleri beraberinde getirmek- tedir. Bu bağlamda Gölge YZ, kontrol dışı bir teknolojik aracın kullanımından ibaret olmayıp, kullanılan verilerin niteliği, üreti- len çıktılar ve bu çıktıların iş süreçlerinde kullanılması hususları bakımından ilave riskler ortaya çıkarmaktadır. Gölge YZ kullanımının yaygınlaşması, kuruluşların risk yönetimini önem- li ölçüde zorlaştırmaktadır. Zira hangi ÜYZ araçlarının hangi amaçlarla kullanıldığı, bu araçlarla hangi veri türlerinin paylaşıldığı ve bu kullanı- mın hangi çerçevede gerçekleştiği gibi hususlara ilişkin yeterli görünürlük sağlanamadığı durumlarda, hukuki yükümlülüklere uyumun değerlendi- rilmesi ve olası ihlal durumlarında etkin bir müdahale gerçekleştirilmesi güçleşmektedir. Bu kapsamda, Gölge YZ kullanımının beraberinde getir- diği risklerden bazılarının şu şekilde belirtilmesi mümkündür:

sağlanamadığı durumlarda, hukuki yükümlülüklere uyumun değerlendi- rilmesi ve olası ihlal durumlarında etkin bir müdahale gerçekleştirilmesi güçleşmektedir. Bu kapsamda, Gölge YZ kullanımının beraberinde getir- diği risklerden bazılarının şu şekilde belirtilmesi mümkündür: -- 9 of 18 --

sağlanamadığı durumlarda, hukuki yükümlülüklere uyumun değerlendi- rilmesi ve olası ihlal durumlarında etkin bir müdahale gerçekleştirilmesi güçleşmektedir. Bu kapsamda, Gölge YZ kullanımının beraberinde getir- diği risklerden bazılarının şu şekilde belirtilmesi mümkündür: -- 9 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 8 ↘ Denetlenebilirlik ve hesap verebilirliğe ilişkin riskler: Kurumsal kayıt, izleme veya denetim mekanizmalarına tabi olmayan ÜYZ araç- ları kapsamında üretilen çıktılar bakımından, hangi verilerin hangi amaç ve kapsamda kullanıldığının ve belirli sonuçların hangi gerekçe- lerle ortaya çıktığının sonradan tespit edilmesi zorlaşabilmektedir. Bu durum, olay müdahalesi süreçlerinin etkin şekilde yürütülmesini ve mevzuata uygunluğun ortaya konulmasını güçleştirebilmektedir. ↘ Karar kalitesi ve doğruluğa ilişkin riskler: Kurumsal değerlendir- me ve doğrulama süreçlerine tabi tutulmadan kullanılan ÜYZ araçları hatalı, yanıltıcı veya tutarsız çıktılar üretebilmekte ve ön yargılı so- nuçlara yol açabilmektedir. Bu tür çıktılara dayanılarak alınan karar- lar, iş süreçlerinde hatalara neden olabilmekte ve kuruluşun hedefleri, kalite standartları veya etik ilkeleriyle uyumsuz sonuçlar ortaya çıka- rabilmektedir. ↘ Fikri mülkiyet ve ticari sırların korunmasına ilişkin riskler: Kay- nak kod, ürün tasarımları, iş stratejileri, ticari sır veya rekabet açısın- dan hassas nitelik taşıyan diğer gizli bilgilerin harici ÜYZ araçları ile paylaşılması, fikri mülkiyet haklarının ihlali ile bu tür bilgilerin açığa çıkması veya üzerindeki kurumsal kontrolün zayıflaması riskini bera- berinde getirebilmektedir. Bu tür bilgilerin üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen ÜYZ araçları ile paylaşılması duru- munda bu bilgiler, bazı durumlarda model geliştirme veya iyileştirme süreçlerinde kullanılabilmekte veya yetkisiz kişiler tarafından erişile- bilir hâle gelebilmektedir. ↘ Kurumsal itibar ve güven kaybına ilişkin riskler: Doğruluğu ve güvenilirliği teyit edilmemiş ÜYZ çıktılarının kullanılması, hatalı bil- gilendirme veya düşük kaliteli içerik üretimi yoluyla kuruluşun pay- daşlar nezdindeki güvenilirliğini zedeleyerek kurumsal itibar üzerinde olumsuz etkilere yol açabilmektedir.

güvenilirliği teyit edilmemiş ÜYZ çıktılarının kullanılması, hatalı bil- gilendirme veya düşük kaliteli içerik üretimi yoluyla kuruluşun pay- daşlar nezdindeki güvenilirliğini zedeleyerek kurumsal itibar üzerinde olumsuz etkilere yol açabilmektedir. -- 10 of 18 --

güvenilirliği teyit edilmemiş ÜYZ çıktılarının kullanılması, hatalı bil- gilendirme veya düşük kaliteli içerik üretimi yoluyla kuruluşun pay- daşlar nezdindeki güvenilirliğini zedeleyerek kurumsal itibar üzerinde olumsuz etkilere yol açabilmektedir. -- 10 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 9 ↘ Bilgi güvenliği ve siber güvenliğe ilişkin riskler: Kurumsal kontrol dışında kullanılan ÜYZ araçları, güvenli olmayan uygulama program- lama arayüzleri, kişisel cihazlar veya yönetilmeyen entegrasyonlar aracılığıyla kurumların saldırı yüzeyini genişletebilmektedir. Bu tür kullanım biçimleri, zararlı yazılımlara maruz kalma, yetkisiz erişim, veri kaybı ve kurumsal sistemlerin bütünlüğünü etkileyebilecek siber güvenlik risklerini artırabilmektedir. ↘ Kişisel verilerin korunmasına ilişkin riskler: Kurumsal kontrol dı- şında kullanılan ÜYZ araçları ile kişisel verilerin paylaşılması, veri ih- lali riskini artırabilmektedir. Bu tür kullanımlar, kişisel verilerin huku- ka aykırı şekilde işlenmesi, yetkisiz kişilerce erişilebilir hâle gelmesi veya amaç dışı kullanılması gibi sonuçlara yol açabilmektedir. Bunun yanı sıra, kullanıcıların komutlar aracılığıyla paylaştıkları kişisel veri- lerin veya kurumsal düzeyde hassas nitelik taşıyan bilgilerin üretilen çıktılara yansıması ve bu çıktılar üzerinden üçüncü kişiler tarafından erişilebilir hâle gelmesi riski de dikkate alınması gereken önemli bir güvenlik sorunu olarak ortaya çıkmaktadır. 6698 sayılı Kanun, teknolojiden bağımsız olarak kişisel veri- lerin işlendiği her durumda geçerli olan genel bir hukuki çer- çeve ortaya koymakta olup, ÜYZ sistemleri aracılığıyla ger- çekleştirilen kişisel veri işleme faaliyetleri de bu kapsamda değerlendirilmektedir. Bu çerçevede, ÜYZ sistemlerine dayalı araçların kullanımında kişisel verilerin korunmasına ilişkin mevzuatta yer alan düzenlemelere riayet edilmesi önem ta- şımaktadır. Bu doğrultuda; ÜYZ sistemlerinin kişisel verilerin korunma- sı bağlamındaki etkilerinin değerlendirilmesi, bu sistemlerin

değerlendirilmektedir. Bu çerçevede, ÜYZ sistemlerine dayalı araçların kullanımında kişisel verilerin korunmasına ilişkin mevzuatta yer alan düzenlemelere riayet edilmesi önem ta- şımaktadır. Bu doğrultuda; ÜYZ sistemlerinin kişisel verilerin korunma- sı bağlamındaki etkilerinin değerlendirilmesi, bu sistemlerin -- 11 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 10 geliştirilmesi ile kullanılmasında bireylerin mahremiyetine saygılı bir yaklaşımın teşvik edilmesi ve ÜYZ sistemlerinin ya- şam döngüsü boyunca gerçekleştirilen kişisel veri işleme fa- aliyetleri bakımından veri sorumlusu niteliğini haiz aktörlere yol gösterilmesi amacıyla Kurum tarafından hazırlanmış olan “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)”nın dikkate alınmasında fayda görülmektedir. 3. İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımına İlişkin Dikkate Alınabilecek Hususlar ÜYZ araçlarından iş süreçlerinde giderek daha yaygın biçimde fayda sağlanması, bu araçların kullanımına ilişkin kurumsal yaklaşım ve uygu- lamaların gözden geçirilmesini gerekli kılmaktadır. Bu çerçevede ÜYZ araçlarının sunduğu hız ve verimlilik imkânları karşısında, bu araçların kullanımının tamamen yasaklanmasına dayalı yaklaşımların, uygulama- da gerçekçi sonuçlar doğurmayacağı düşünülmektedir. Zira yasaklayıcı yaklaşımlar, çalışanların ÜYZ araçlarını kurumsal kontrol ve görünürlük dışında kullanmasına zemin hazırlayarak kontrol dışı kullanım biçimlerini teşvik edebilecektir. Bu çerçevede, iş yerlerinde ÜYZ araçlarının kullanımına ilişkin olarak yasaklayıcı yaklaşımlardan ziyade yönlendirme, denge ve farkındalık te- melli yaklaşımların benimsenmesi önem taşımaktadır. ÜYZ araçlarının güvenli ve sorumlu biçimde kullanılmasını destekleyen, çalışanlar nez- dinde farkındalık oluşturmayı hedefleyen ve kurumsal riskleri gözeten bu tür bir yaklaşım, kontrol dışı kullanım biçimlerinin azaltılmasına katkı sunacaktır. -- 12 of 18 --

güvenli ve sorumlu biçimde kullanılmasını destekleyen, çalışanlar nez- dinde farkındalık oluşturmayı hedefleyen ve kurumsal riskleri gözeten bu tür bir yaklaşım, kontrol dışı kullanım biçimlerinin azaltılmasına katkı sunacaktır. -- 12 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 11 Bu doğrultuda, iş yerlerinde ÜYZ araçlarının kullanılmasında şirket, ku- rum ve kuruluşlar tarafından dikkate alınabilecek genel hususlar aşağıda ele alınmaktadır: ↘ ÜYZ araçlarının iş süreçlerinde kullanımına ilişkin olarak, doğru ve uygun kullanımın sınırlarını ortaya koyan açık bir kurumsal politika veya yönlendirme çerçevesinin oluşturulması önem taşımaktadır. Bu bağlamda; kurumsal faaliyetler kapsamında kullanılabilecek ÜYZ araçları, bu araçların kullanılabileceği faaliyetler, söz konusu ola- bilecek amaçlar ve kullanım koşulları, ÜYZ araçlarına girdi olarak sunulabilecek bilgi türleri, üretilen çıktılara ilişkin kullanım esasları, verilerin gizliliği ve güvenliğine ilişkin hususlar, risklerin ele alınma- sına yönelik benimsenen yaklaşımlar ve çalışanlara yönelik eğitim ve farkındalık faaliyetleri gibi hususlara ilişkin çerçevenin ortaya ko- nulması, kullanımın daha öngörülebilir ve kontrollü bir zeminde ele alınmasına katkı sağlayacaktır. Bu tür bir çerçeve, çalışanların ÜYZ araçlarını hangi sınırlar ve amaçlar doğrultusunda kullanabilecekleri- ne ilişkin ortak bir anlayışın oluşmasını desteklerken, kullanım koşul- larının netleştirilmesi yoluyla kontrol dışı kullanımdan kaynaklanabi- lecek risklerin azaltılmasına da imkân tanıyacaktır. Kurumsal politika veya yönlendirmelerin somut bir çerçeve olarak sunulması, kuruluş içerisinde duyurulması ve çalışanlar tarafından erişilebilir kılınması da ÜYZ araçlarının kullanımına ilişkin yaklaşımın açık ve yönetilebi- lir biçimde ortaya konulmasını destekleyecektir. Üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen ÜYZ araçlarının kullanımına ilişkin politika veya yönlendirme- ler bakımından, tüm kuruluşlar için geçerli tek tip bir yak- laşım bulunmamakta olup, kullanım örneklerinin kapsamı ve sınırları farklılık gösterebilmektedir.

Üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen ÜYZ araçlarının kullanımına ilişkin politika veya yönlendirme- ler bakımından, tüm kuruluşlar için geçerli tek tip bir yak- laşım bulunmamakta olup, kullanım örneklerinin kapsamı ve sınırları farklılık gösterebilmektedir. -- 13 of 18 --

Üçüncü taraflarca sunulan ve kamuya açık olarak erişilebilen ÜYZ araçlarının kullanımına ilişkin politika veya yönlendirme- ler bakımından, tüm kuruluşlar için geçerli tek tip bir yak- laşım bulunmamakta olup, kullanım örneklerinin kapsamı ve sınırları farklılık gösterebilmektedir. -- 13 of 18 -- İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 12 Bu çerçevede, bazı kuruluşlar tarafından oluşturulan politika veya yönlendirmelerde; kişisel verileri, ticari sırları veya kurum- sal açıdan hassas nitelik taşıyan bilgileri içermemesi koşuluyla, kamuya açık olarak erişilebilen ÜYZ araçlarının fikir geliştirme çalışmalarının desteklenmesi, metinlerin dilsel açıdan gözden geçirilerek ifade biçimlerinin iyileştirilmesi ya da belirli bir konu hakkında internet ortamında bulunan içeriklerin özetlenmesi gibi amaçlarla kullanımına yer verilebilmektedir. Buna karşılık, müşteri dosyaları, insan kaynakları verileri, iç yazışmalar gibi kişisel veri içerebilecek ya da kurumsal açıdan hassas nitelik taşıyabilecek bilgilerin ÜYZ araçları ile paylaşılmasını içeren kullanım biçimlerinin, politika veya yönlendirmelerde uygun bulunmaması da söz konusu olabilmektedir. ↘ ÜYZ araçlarının iş süreçlerinde kullanımı kapsamında, çalışanların bu araçlarla etkileşim sırasında kurumsal açıdan hassas nitelik taşı- yan bilgiler ile kişisel veriler bakımından dikkatli bir yaklaşım be- nimsemeleri önem taşımaktadır. Zira kurumsal açıdan hassas nitelik taşıyan bilgilerin üçüncü taraflarca sunulan ÜYZ araçları ile paylaşıl- ması, bu bilgilerin kurumsal kontrol mekanizmaları dışında işlenme- sine yol açabilmektedir. Bunun yanı sıra, kullanıcılar tarafından ÜYZ araçlarına girdi olarak sunulan komutlar aracılığıyla kişisel veriler de işlenebildiğinden, bu süreçlerde kişisel verilerin korunmasına iliş- kin hususların ayrıca gözetilmesi önem arz etmektedir. Bu kapsamda hangi tür verilerin toplandığı, bu verilerin hangi amaçlarla işlendiği, kimlerle paylaşıldığı ve ne kadar süreyle saklandığı gibi hususlarda yeterli bilgiye sahip olunmasında ve buna yönelik olarak ilgili ay- dınlatma metinleri ile gizlilik politikalarının dikkatle incelenmesin- de yarar bulunmaktadır. Diğer yandan, kişiyi doğrudan veya dolaylı

kimlerle paylaşıldığı ve ne kadar süreyle saklandığı gibi hususlarda yeterli bilgiye sahip olunmasında ve buna yönelik olarak ilgili ay- dınlatma metinleri ile gizlilik politikalarının dikkatle incelenmesin- de yarar bulunmaktadır. Diğer yandan, kişiyi doğrudan veya dolaylı -- 14 of 18 --

13 olarak tanımlamaya elverişli kişisel verilerin ya da üçüncü kişilere ait bilgilerin bu araçlarla paylaşılması da kişisel verilerin korunması ba- kımından birtakım riskler meydana getirmektedir. Bu çerçevede, ÜYZ araçlarıyla etkileşim sırasında mümkün olduğunca anonimleştirilmiş, genelleştirilmiş ve soyut ifadelerin tercih edilmesi faydalı olacaktır. Örneğin, belirli kişi adları, tarih, konum veya benzeri ayırt edici un- surlar içeren ayrıntılar yerine daha genel anlatımların kullanılmasının, kişisel verilerin korunması bakımından daha ihtiyatlı bir yaklaşım ol- duğu değerlendirilmektedir. Özellikle sağlık verileri, finansal bilgiler, hukuki süreçlere ilişkin bilgiler ve benzeri hassas nitelikteki bilgiler söz konusu olduğunda, ÜYZ araçlarının kullanımında daha temkinli bir yaklaşım benimsenmesinin önem taşıdığı da göz önünde bulundu- rulmalıdır. ↘ ÜYZ araçları tarafından üretilen çıktılara aşırı güven duyulması ve insan yargısının geri planda kalması riski, iş süreçleri bakımından dikkatle değerlendirilmesi gereken hususlar arasında yer almaktadır. Literatürde “otomasyon ön yargısı” (automation bias) olarak da ifade edilen bu durum, kullanıcıların otomatik sistemler tarafından üretilen çıktıları yeterli sorgulama ve değerlendirmeye tabi tutmaksızın doğru kabul etmesi ve kendi muhakeme süreçlerini ikincil hâle getirmesi so- nucunu doğurmaktadır. Buna ek olarak, ÜYZ araçları tarafından üre- tilen ve gerçeklikle örtüşmeyen ancak biçimsel olarak tutarlı ve ikna edici görünen içerikler (halüsinasyonlar), yanlış veya yanıltıcı bilgile- rin fark edilmeden iş süreçlerine dâhil edilmesine yol açabilmektedir. Bu tür çıktılar, kurumsal karar alma süreçlerinde hatalı değerlendir- melere neden olabilmektedir. Bu çerçevede, ÜYZ araçları tarafından üretilen çıktılara nihai kararların dayanağı olarak yaklaşılmaması, bu çıktıların insan denetimi ve değerlendirmesi altında, destekleyici unsurlar olarak ele alınması önem taşımaktadır.

çıktılarının doğruluk, uygunluk ve bağlam açısından gözden geçiril- mesini esas alan yaklaşımların benimsenmesi ve bu kapsamda ön yar- gılı veya ayrımcı sonuçlar doğurabilecek içeriklere karşı temkinli bir

-- 15 of 18 --

14 değerlendirme sürecinin öngörülmesi, dikkate alınabilecek hususlar arasında yer almaktadır. ↘ ÜYZ araçlarının iş süreçlerinde kullanımının yönetilebilmesi bakı- mından, veri güvenliği ve erişim kontrolüne ilişkin tedbirlerin değer- lendirilmesi önem taşımaktadır. Bu kapsamda, çalışanların yalnızca kuruluş tarafından belirlenen ve kullanım koşulları tanımlanmış ÜYZ araçlarına erişebilmesini sağlayan yaklaşımların benimsenmesi, kont- rol dışı kullanım biçimlerinin azaltılmasına katkı sunabilecektir. Bu doğrultuda, ÜYZ araçları ile paylaşılması uygun görülmeyen bilgi tür- lerine ilişkin çerçevenin netleştirilmesi ve bu araçlara erişimin görev ve ihtiyaç temelli bir yaklaşımla ele alınması, kullanımın daha ön- görülebilir bir zeminde değerlendirilmesini destekleyecektir. Ayrıca, harici platformlara erişimin ağ düzeyinde sınırlandırılmasına yönelik kontrollerin değerlendirilmesi, ÜYZ araçlarına erişimin hangi cihazlar üzerinden gerçekleştirilebileceğinin belirlenmesi (örneğin, yalnızca kurumsal cihazlar aracılığıyla) ve bu araçları hangi çalışan grupları- nın hangi kapsamda kullanabileceğine ilişkin rol temelli yaklaşımların benimsenmesi gibi uygulamalar da risklerin yönetilmesi bakımından tamamlayıcı niteliktedir. ↘ ÜYZ araçlarının iş süreçlerinde güvenli biçimde kullanılabilmesi ba- kımından, çalışanlar nezdinde farkındalık oluşturulması önemli bir husus olarak değerlendirilmektedir. Bu kapsamda, ÜYZ araçlarının kullanımına ilişkin olarak oluşturulan politika veya yönlendirmelerin kuruluş içerisinde duyurulması, çalışanların bu belgelere kolaylıkla erişebilmesinin sağlanması ve politika güncellemeleri hakkında za- manında bilgilendirilmesi önem taşımaktadır.

araçlarının genel kullanım amaçları, ortaya çıkabilecek riskler ve dikkat edilmesi gereken hususlar hakkında çalışanlara yönelik bilgi- lendirme ve eğitim faaliyetlerinin yürütülmesi, söz konusu araçların kullanımından kaynaklanabilecek teknik ve hukuki risklere ilişkin farkındalık oluşturulmasına katkı sağlayacaktır. Bu tür faaliyetler,

İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı 15 çalışanların ÜYZ araçları tarafından üretilen çıktılara sorgulayıcı ve eleştirel bir bakış açısıyla yaklaşmalarını ve insan değerlendirmesi- nin önemini gözetmelerini destekleyecektir. Ayrıca, çalışanların ÜYZ araçlarının kullanımına ilişkin deneyimlerini ve karşılaştıkları sorun- ları paylaşabilecekleri geri bildirim mekanizmalarının oluşturulması, uygulamada ortaya çıkabilecek risklerin ve iyileştirme alanlarının tespit edilmesine imkân tanıyacaktır. Bu yaklaşım, politika ve uygu- lamaların gerektiğinde gözden geçirilmesine katkı sunabileceği gibi kuruluş bünyesinde etik ve sorumlu ÜYZ kullanımına yönelik kurum- sal kültürün gelişmesini de destekleyecektir. Bu kapsamda genel olarak değerlendirildiğinde, ÜYZ araçlarının iş yerle- rinde kullanımına ilişkin yaklaşımın, ortaya çıkabilecek riskler gözetilerek ve hukuki yükümlülükler dikkate alınarak ele alınması önem taşımaktadır. Bu çerçevede, ÜYZ araçlarının kullanımının etik ve sorumlu bir zeminde ele alınması, bu araçların sunduğu hız ve verimlilik imkânlarının sürdü- rülebilir şekilde değerlendirilmesine fayda sağlayacaktır. Bu doğrultuda benimsenecek bütüncül bir yaklaşım, ÜYZ araçlarının iş yerlerinde ön- görülebilir ve sorumlu biçimde kullanılmasını desteklerken, kontrol dışı kullanımdan kaynaklanabilecek risklerin önüne geçilmesine de katkı su- nacaktır. -- 17 of 18 -- Nasuh Akar Mh. 1407. Sk. No:4 06520 Çankaya/Ankara Tel: 0312 216 50 00 www.kvkk.gov.tr -- 18 of 18 --