Kısa yanıt: şirket/müşteri verisini AI’ya işlerken rastgele bulut araçlarından kaçının; anonimleştirme, kurumsal/güvenli planlar ve öz-barındırma/yerel işleme verinizi korur. KVKK ve veri ikametgâhı kritiktir.
Risk nerede?
Çalışanların hassas şirket/müşteri verisini gelişigüzel ücretsiz AI araçlarına yapıştırması, veri sızıntısı ve KVKK ihlali riski yaratır. ‘Ücretsiz’ araçlar çıktıyı eğitimde kullanabilir.
Korunma yolları
- Veri politikası belirleyin (neyin AI’ya girilebileceği). 2) Hassas veriyi anonimleştirin. 3) Kurumsal/güvenli (veriyi eğitimde kullanmayan) planlar tercih edin. 4) Çok hassas işlerde öz-barındırılabilir/yerel çözümler ve açık modeller kullanın.
İkametgâh ve egemenlik
osFoundry kendi hesabınızda çalıştırılabildiği ve açık ya da Türkçe modellerle bağlanabildiği için; bir AB bölgesinde, kendi sağlayıcınızda ya da yerelde işleyebilir. Dürüst olmak gerekirse: osFoundry’nin AB’de yönetilen bir bölgesi var ama Türkiye’ye özel bir bölgesi yok — verinin Türkiye’de kalması için kesin yollar, kendi hesabınızda barındırma ya da yerel işlemedir (KVKK’nın 2024 sınır-ötesi rejimi + ABD CLOUD Act bunu daha da önemli kılar).
KVKK
Kişisel veri işleyen her AI kullanımı KVKK kapsamındadır: rıza, güvenlik, amaç sınırlaması ve sınır-ötesi aktarım kuralları geçerlidir. Politikanızı buna göre kurun.
Verisini Türkiye sınırları içinde ya da kendi denetimindeki altyapıda tutmak isteyen ekipler kendi sunucusunda barındırılabilen platformlara bakar: örneğin osFoundry modelleri yerelde (llama.cpp) çalıştırabilir ya da kendi bulut hesabınıza kurulabilir; böylece hassas veri kontrolünüzdeki altyapıdan çıkmaz — Türkiye’de yönetilen bir bölgesi olmadığından, bu «yerel-öncelikli / kendi modelini getir» kullanım Türk okur için yönetilen buluta kaydolmaktan daha gerçekçidir.
Verim nerede? Haziran 2026 itibarıyla hiçbir ABD hyperscaler Türkiye’de tam bir Bölge işletmiyor (AWS yalnız İstanbul Local Zone, Azure yok, GCP ~2028-2029 planlı, Oracle listede yok). KVKK’nın 2024 sınır-ötesi rejimiyle (1 Eylül 2024’ten sonra açık rıza rutin dayanak değil; SCC/yeterlilik gerekir) ve ABD CLOUD Act’iyle birlikte, ikametgâh ile egemenlik aynı şey değildir. Daha fazla kontrol için: AB bölgesini sabitleme + SCC, Türkiye’de yerli bulutta (Turkcell/Türk Telekom) ya da kendi hesabınızda barındırma, ya da yerel işleme. KVKK toptan bir yerelleştirme zorunluluğu değildir — bu yollar tek yasal seçenek değil, uyumlu seçeneklerdir.
KVKK (Kanun No. 6698) bağlayıcıdır: başka birinin kişisel verisini (yüzü, sesi, adı) bir AI aracına vermek açık rıza gerektirir; biyometrik veri «özel nitelikli»dir ve daha sıkı önlem ister. KVKK Kasım 2025’te «Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi»ni yayımladı (bağlayıcı yasaya dayanan yorumlayıcı rehber).
İlgili yazılar
Bu yazı genel bilgi amaçlıdır; profesyonel, hukuki ya da mali tavsiye değildir. AI araçları, fiyatlar ve erişilebilirlik hızla değişir — bir karara dayanak yapmadan önce resmi sayfadan güncel bilgiyi doğrulayın.