Blog · Uyum

KVKK uyumlu yapay zekâ: veri güvenliği neden kritik?

Bir hukuk bürosu için müvekkil verisi yalnızca bir "kişisel veri" değil, aynı zamanda meslek sırrıdır. Yapay zeka seçerken bu ayrımı gözden kaçırmak pahalıya patlayabilir.

Ofis ortamında bir masada danışma yapan iki kadın

Bir avukat için müvekkil dosyası, sıradan bir belge değil; hem 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hem de Avukatlık Kanunu'nun m.36'da düzenlediği meslek sırrı kapsamındadır. Bu çifte yükümlülük, hukuk bürolarının yapay zeka araçlarını seçerken diğer sektörlerden çok daha dikkatli davranması gerektiği anlamına gelir.

Hukuk verisinin özel hassasiyeti

Bir dava dosyası; kimlik bilgileri, iletişim detayları, bazen sağlık veya ceza mahkûmiyeti gibi özel nitelikli veriler (KVKK m.6), müvekkilin ticari sırları ve stratejik yazışmalar içerebilir. Bu verinin sızması ya da yetkisiz erişime açılması, yalnızca bir KVKK ihlali değil, aynı zamanda avukatın mesleki sorumluluğunu doğrudan ilgilendiren bir olaydır.

Yurt dışı aktarım sorunu

Çoğu popüler yapay zeka aracı, verileri yurt dışındaki sunucularda işler ve bazen model eğitiminde kullanır. KVKK m.9, kişisel verilerin yurt dışına aktarımını sıkı şartlara bağlar; yeterli korumanın bulunmadığı ülkelere aktarım, açık rıza veya uygun güvenceler (standart sözleşme hükümleri gibi) olmadan mümkün değildir. Bir hukuk bürosunun, müvekkil onayı ve gerekli hukuki altyapı olmadan hassas dava verilerini yurt dışı sunuculara göndermesi, ciddi bir uyumsuzluk riski taşır.

"Bir hukuk yazılımını seçerken sorulması gereken ilk soru özellik listesi değil: 'Verim nerede duruyor?'"

Doğru mimari: maskeleme ve yerelleştirme

Riski azaltan yaklaşım, kimliklendirilebilir verinin hiçbir zaman Türkiye dışına çıkmamasıdır. Bu mimaride:

  • Orijinal belgeler ve kimlik verileri Türkiye'de, şifreli bir ortamda saklanır ve yurt dışına aktarılmaz.
  • Yapay zeka modeline yalnızca maskelenmiş metin gönderilir — isim, T.C. kimlik no, telefon gibi tanımlayıcılar geri döndürülebilir token'larla değiştirilir.
  • Model eğitiminde veri kullanılmaz — sorularınız ve belgeleriniz hiçbir yapay zeka modelinin eğitim verisine dahil edilmez.
  • Erişim kontrolü ve şifreleme — aktarımda TLS, saklamada AES-256 gibi endüstri standardı şifreleme ve hesap bazlı izolasyon uygulanır.

Hukuk bürosu için karşılaştırma tablosu

KriterRiskli yaklaşımGüvenli yaklaşım
Kimlik verisinin konumuYurt dışı sunucuTürkiye'de, şifreli kasa
Yapay zekaya giden veriHam, maskelenmemiş metinMaskelenmiş, kimliksizleştirilmiş metin
Model eğitimiBelirsiz / kullanılıyor olabilirAçıkça kullanılmıyor
Yurt dışı aktarım güvencesiYok veya belirsizKVKK m.9 kapsamında netleştirilmiş
Adalet terazisi tutan bir heykel
Meslek sırrı ve KVKK yükümlülüğü, hukuk büroları için çifte bir sorumluluk oluşturur.

Yapay zeka seçerken sorulması gereken beş soru

  1. Kimliklendirilebilir verilerim nerede saklanıyor?
  2. Yapay zeka modeline gönderilen metin maskeleniyor mu?
  3. Verilerim herhangi bir modelin eğitiminde kullanılıyor mu?
  4. Yurt dışına veri aktarımı varsa, hangi hukuki güvenceyle yapılıyor?
  5. Erişim kontrolü, şifreleme ve yetkilendirme nasıl uygulanıyor?

Kızılelma AI, bu mimariyi tam olarak uygular: kimliklendirilebilir veriler Türkiye'de kalır, yapay zeka yalnızca maskelenmiş metni işler ve hiçbir veri model eğitiminde kullanılmaz. Detaylar için güvenlik sayfamızı, resmi metin için KVKK Politikamızı inceleyebilirsiniz.

Müvekkil verisi Türkiye'de kalsın

Maskeleme mimarisiyle KVKK uyumlu, Türk hukukuna adanmış yapay zekâyı deneyin.

Ücretsiz Deneyin

Sık Sorulan Sorular

Hukuk bürolarında hangi veriler KVKK kapsamında özellikle hassastır?

Müvekkilin kimlik bilgileri, T.C. kimlik numarası, dava dosyaları, sağlık ve ceza mahkûmiyeti gibi özel nitelikli veriler, müvekkil yazışmaları ve yapay zeka asistanına yazılan sorular (promptlar) özellikle hassas kategorilerdir.

Yurt dışında barındırılan bir yapay zeka aracı KVKK'ya uygun olabilir mi?

KVKK m.9 uyarınca kişisel verilerin yurt dışına aktarımı sıkı şartlara tabidir. Kimliklendirilebilir verinin Türkiye dışına hiç çıkmadığı, yurt dışı işleme altyapısına yalnızca maskelenmiş (kimliksizleştirilmiş) verinin gönderildiği mimariler, bu riski önemli ölçüde azaltır.

Hukuk bürosu bir yapay zeka aracı seçerken hangi soruları sormalı?

Veriler nerede saklanıyor, kimlik bilgileri maskeleniyor mu, veriler yapay zeka model eğitiminde kullanılıyor mu, erişim kontrolü ve şifreleme nasıl uygulanıyor, KVKK m.9 kapsamında yurt dışı aktarım var mı ve varsa hangi güvencelerle yapılıyor — bu sorulara net cevap alınmadan bir araç seçilmemelidir.

İlgili Yazılar