DEV Community

Cover image for KVKK ve Yabancı AI Servisleri: Şirketler İçin Gizli Bir Risk
Bahador Raghibizadeh
Bahador Raghibizadeh

Posted on

KVKK ve Yabancı AI Servisleri: Şirketler İçin Gizli Bir Risk

Giriş

Türkiye'deki yazılım şirketleri gün geçtikçe daha fazla yapay zeka aracı kullanıyor. ChatGPT, Claude, Gemini gibi servisler artık müşteri hizmetlerinden veri analizine kadar birçok alanda kullanılıyor.

Ama burada çoğu şirketin fark etmediği bir sorun var. Bu servislere gönderilen veri, Türkiye dışına çıkıyor ve bu, KVKK kapsamında ciddi bir yükümlülük doğuruyor.

Bu yazıda KVKK'nın yurt dışına veri aktarımı konusundaki güncel kurallarını, bu kuralların yapay zeka kullanımını nasıl etkilediğini, ve bu sorunu teknik olarak nasıl çözebileceğinizi anlatacağım.

KVKK Nedir, Kısaca

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016 yılından beri yürürlükte olan ve kişisel verilerin işlenmesinde temel hak ve özgürlükleri korumayı amaçlayan bir düzenleme.

Kanun, gerçek kişilere ait kimliği belirli veya belirlenebilir her türlü bilgiyi kişisel veri olarak tanımlıyor. İsim, TC kimlik no, telefon, e-posta, adres, hatta bazı durumlarda IP adresi bile bu kapsama giriyor.

2024'teki Kritik Değişiklik: Yurt Dışına Veri Aktarımı

KVKK'nın ilk halinde, yurt dışına veri aktarımı için pratikte tek güvenilir yol açık rıza idi, çünkü Kişisel Verileri Koruma Kurulu sekiz yıl boyunca hiçbir ülkeyi güvenli ülke olarak ilan etmedi. Bu da şirketleri, her an geri alınabilen ve ticari sürekliliği riske atan açık rıza mekanizmasına bağımlı bıraktı.

12 Mart 2024'te yürürlüğe giren 7499 sayılı Kanun ile bu tablo değişti. Artık yurt dışına veri aktarımı üç aşamalı bir sistemle değerlendiriliyor (GDPR'ın 44-49. maddelerine benzer bir yapı). Yeterlilik kararı, uygun güvencelerin sağlanması, veya istisnai durumlar üzerinden.

Ama pratikte şu değişmedi. Eğer bir yabancı AI servisine (ChatGPT, Claude, Gemini vb.) kişisel veri içeren bir prompt gönderiyorsanız, bu veri Türkiye dışına aktarılmış oluyor ve KVKK'nın bu maddeleri devreye giriyor.

Peki Şirketler Ne Yapıyor?

Gördüğüm kadarıyla üç yaygın yaklaşım var.

Görmezden gelmek en yaygın ama en riskli seçenek. Denetim veya şikayet durumunda ciddi idari para cezalarıyla karşılaşma riski var.

Yapay zekayı hiç kullanmamak güvenli ama rekabet gücünü kaybettiren bir seçenek.

Manuel olarak veri temizlemek, yani prompt'lardan elle isim, TC kimlik gibi bilgileri çıkarmak, ölçeklenemez ve hataya açık bir yöntem.

Teknik Bir Çözüm: Veriyi Kaynağında Maskelemek

Bunun daha sürdürülebilir bir yolu var. Kişisel veriyi, yapay zekaya göndermeden önce, kendi sunucunuzda maskelemek.

Fikir basit. Şirketin sunucusunda çalışan bir servis, metni tarar, kişisel verileri tespit eder, bunları anlamsız token'larla değiştirir ({{NAME_1}}, {{TC_1}} gibi), ve sadece maskelenmiş metni yapay zeka servisine gönderir. Yanıt döndüğünde, token'lar tekrar gerçek değerlerle değiştirilir. Bu adım da yine şirketin kendi sunucusunda gerçekleşir.

Bu yaklaşımı uygulamak için TurkPII adında bir API geliştirdim. Nasıl çalıştığına dair basit bir örnek:


curl -X POST http://localhost:8080/mask \
  -H "Content-Type: application/json" \
  -d '{
    "text": "Ahmet Yılmaz, TC: 10203040506, tel: 0532 123 45 67",
    "options": {
      "detect": ["NAME", "TC", "PHONE"],
      "ner": true
    }
  }'
Enter fullscreen mode Exit fullscreen mode

Yanıt:

{
  "masked": "{{NAME_1}}, TC: {{TC_1}}, tel: {{PHONE_1}}",
  "tokens": {
    "NAME_1": "Ahmet Yılmaz",
    "TC_1": "10203040506",
    "PHONE_1": "0532 123 45 67"
  },
  "summary": {
    "total_detected": 3,
    "ner_enabled": true
  }
}
Enter fullscreen mode Exit fullscreen mode

Bu maskelenmiş metni artık güvenle ChatGPT'ye, Claude'a, veya herhangi bir yurt dışı servise gönderebilirsiniz, çünkü içinde hiçbir tanımlayıcı kişisel veri yok.

Neden Sadece Regex Yetmiyor

İlk bakışta bu bir regex problemi gibi görünebilir. TC kimlik 11 haneli bir sayı, IBAN belirli bir formatta, e-posta @ işareti içeriyor. Ama Türkçe metinlerde işler daha karmaşık.

İsimler regex ile yakalanamaz, context ve NLP gerektirir. OCR ile taranmış belgelerde karakterler bozulur, örneğin Ahm3t Y1lmaz gibi. Aynı veri onlarca farklı formatta gelebilir, TC boşluklu, tireli, unicode escaped şekilde yazılmış olabilir. Log dosyaları, JSON, SQL sorguları, WhatsApp mesajları hepsi farklı yapıdadır.

Bu yüzden TurkPII üç katmanlı bir mimari kullanıyor. Regex yapısal veriler için, Türkçe NER modeli isim tespiti için, ve bağlam analizi false positive'leri elemek için.

Sonuç

KVKK'nın 2024'teki güncellemesi, yurt dışına veri aktarımı konusunda daha net bir çerçeve sundu. Ama bu, şirketlerin sorumluluğunu azaltmadı, sadece netleştirdi. Yapay zeka araçlarını kullanmaya devam edeceğiz, bu kaçınılmaz. Asıl soru, bunu KVKK'ya uygun şekilde nasıl yapacağımız.

Bu konuda çalışan bir geliştiriciyseniz veya şirketinizde benzer bir sorunla uğraşıyorsanız, yorumlarda veya mesaj yoluyla konuşabiliriz.

TurkPII: turkpii.com

Not: Bu yazı genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. KVKK uyumluluğu konusunda kesin adımlar için bir hukuk danışmanına başvurmanızı öneririm.

Top comments (0)