Geleneksel yapay zekâ, yıllarca yalnızca verdiğimiz komutları yerine getiren, önceden tanımlanmış veri setleri ve kurallarla çalışan pasif bir "araç" konumundaydı. Ancak teknoloji dünyasında yaşanan son gelişmeler, bu pasif dönemin hızla geride kaldığını gösteriyor. Karşımızda artık sadece komut bekleyen bir yazılım değil; belirli hedeflere ulaşmak için çevresini algılayan, değişen koşullara göre planlarını güncelleyen ve sürekli insan yönlendirmesine ihtiyaç duymadan otonom eylemler başlatabilen sentetik bir "aktör", yani Etken Yapay Zekâ (Agentic AI) var.
Teknoloji dünyası bu yeni otonomiyi ve hızı devasa bir verimlilik devrimi olarak selamlarken, Kişisel Verileri Koruma Kurumu'nun (KVKK) Şubat 2026'da yayımladığı "Etken Yapay Zekâ" raporu (https://www.kvkk.gov.tr/Icerik/8683/etken-yapay-zeka-agentic-ai) tam da bu kırılma anında karşımıza çıkıyor. Kurumun yayınladığı bu doküman, aslında karşımızda artık "inisiyatif alabilen bir muhatap" olduğunun hukuki bir tespiti niteliğinde. Zira bu yeni aktör, sadece verilen görevi yapmakla kalmıyor, aynı zamanda kendi kendine yeni görevler icat edebiliyor ve sürece yeni veriler dâhil edebiliyor. KVKK'nın bu erken ve kritik müdahalesi, teknolojik gelişmenin hızı ile bireylerin mahremiyeti arasında kurulması gereken dengenin sarsıldığı bu dönemde, "insan merkezli yaklaşımı" korumak için çekilmiş son derece hayati bir tasarımsal pusula görevi görüyor.
Etken Yapay Zekâ (Agentic AI) | Kişisel Verileri Koruma Kurumu
Dinamik Amaca Karşı Statik Hukuk: "Açık Rıza" ve "Amaçla Sınırlılık" Ölüyor mu?
Hukukun, özellikle de kişisel verilerin korunması hukukunun en temel direği "öngörülebilirlik"tir. Mevcut düzende bir veriyi toplarken hangi amaçla işleyeceğinizi en baştan belirlersiniz ve bu sınırların dışına çıkamazsınız. Ancak KVKK'nın raporu, Etken Yapay Zekânın dinamik ve hedefe ulaşmak için kendi kendine yeni yollar çizen yapısının, geleneksel hukukun bu statik kurallarını nasıl zorladığını çarpıcı biçimde gözler önüne seriyor. Rapora göre, Etken Yapay Zekâ sistemleri görevlerin ilerleyişine bağlı olarak veri kullanımına ilişkin değerlendirmelerini kendi inisiyatifiyle güncelleyebiliyor ve baştan öngörülemeyen veri kümelerini sürece sonradan dâhil edebiliyor. Bu durum, sistemin ulaşılmak istenen amaç için başlangıçta gerekli olandan çok daha geniş kapsamlı veri kümelerine erişmesine yol açarak, hukukun o dokunulmaz "veri minimizasyonu" ve "amaçla sınırlılık" ilkelerini ciddi şekilde esnetme riski taşıyor.
Tam bu noktada sorulması gereken o büyük felsefi ve hukuki soru şu bence: Bir Etken Yapay Zekâ sisteminin üçüncü veya dördüncü adımda hedefe ulaşmak için hangi veriye ihtiyaç duyacağını sistemi yazan geliştiriciler bile baştan tam olarak kestiremiyorsa, kullanıcının en başta verdiği o "açık rıza" ne kadar geçerlidir?
KVKK raporunda bu tehlikenin altı net bir şekilde çiziliyor; amaç tanımlarının ve veri kullanım kapsamının sistemin işleyişi içerisinde değişkenlik göstermesi, veri işleme faaliyetlerinin dayandığı "işleme şartını" (hukuki sebebi) doğrudan tehlikeye atıyor. Yani başlangıçta hukuka son derece uygun bir şarta dayanarak işlenen verilerin, süreç ilerledikçe sistemin otonom kararlarıyla farklı amaçlarla ilişkilendirilmesi, o veri işleme faaliyetinin hukuki sebeple olan bağının tamamen kopmasına neden olabiliyor.
Bu tablo bize çok net bir mesaj veriyor: Yıllardır alışkın olduğumuz, uzun metinlerin altındaki "kabul ediyorum" kutucuğunu işaretleyerek alınan rıza modeli, agentic AI çağında çökmeye mahkûm. Görev kapsamı zaman içinde değişebilen ve sürece kendi kararıyla yeni veriler dâhil etme inisiyatifini elinde tutan dinamik bir aktöre karşı, en baştan statik metinlerle rıza almak artık sadece bir hukuki illüzyondan ibaret kalabilir.
"Aşçılar ve Şef" Metaforunun Karanlık Yüzü: Hesap Verebilirlik Çıkmazı
KVKK raporu, ajan tabanlı AI sistemlerinin karmaşık yapısını okuyucuya anlatabilmek için oldukça zarif ve akılda kalıcı bir metafor kullanıyor: Sistemi, bir restoranın genel işleyişini koordine eden ve bütüncül hedefe odaklanan "baş şef"e; sistemin içerisindeki yapay zeka ajanlarınıise mutfakta belirli ve dar kapsamlı görevleri yerine getiren "aşçılara" benzetiyor. Kâğıt üzerinde, birden fazla aşçının eş güdümle çalıştığı bu çoklu yapay zeka ajan sistemi, kusursuz bir verimlilik ziyafeti vadediyor. Ancak hukuki açıdan asıl mesele, o yemeğin "zehirli" çıkması durumunda, yani kişisel veriler ifşa olduğunda veya sistem hatalı bir karar aldığında başlıyor.
Mutfaktaki işler ters gittiğinde cezayı kime keseceğiz? Geleneksel yapay zekâda sorunun kaynağını bulmak görece daha kolayken, Agentic AI sistemlerinde literatürdeki meşhur "kara kutu" (black box) problemi çok daha karanlık ve katmanlı bir boyut kazanıyor. Zira birden fazla yapa zeka ajanını sürekli birbiriyle iletişim kurarak ara kararlar aldığı bu dinamik yapıda nihai bir kararın hangi aşçı (yapay zeka ajanı) tarafından, hangi veriye dayanılarak ve hangi süreç adımıyla alındığını tespit etmek adeta imkânsız hâle geliyor.
Hukukun en temel taşı olan "hesap verebilirlik", işte tam bu noktada devasa bir çıkmaza giriyor. Bir veri sızıntısı olduğunda veya bir birey sistemin otonom kararı yüzünden haksızlığa uğrayıp KVKK'nın kapısını çaldığında, yasal muhatap kim olacak? Sistemi en başta tasarlayan "geliştiriciler" (developers) mi, yoksa o sistemi satın alıp kendi operasyonlarına entegre eden "yerleştiriciler" (deployers) mi?. KVKK, veri işleme faaliyetlerinin farklı aktörler ve otonom araçlar arasında dağılmasının, ortada ihlal edilen bir hak varken hak taleplerinin kime iletileceği konusunda ciddi bir belirsizlik yarattığına dikkat çekiyor.
Bu tablo, şirketlerin uyum departmanları ve Veri Koruma Görevlileri için kelimenin tam anlamıyla bir operasyonel kâbus bence. Çünkü kurumlar; ortada mağduriyeti olan bir bireyin bulunduğu, ihlalin gerçekleştiğinin bilindiği, ancak hatayı hangi "sentetik aşçının" yaptığının bulunamadığı ve dolayısıyla hukuki sorumluluğun paylaştırılamadığı yepyeni bir "şeffaflık kriziyle" baş başa kalıyor.
Masum Bir "Halüsinasyon" mu, Yoksa Kalıcı Bir Veri Kirliliği mi?
Üretken yapay zekâ modellerinin zaman zaman gerçeklikle hiçbir ilgisi olmayan, ancak son derece makul ve ikna edici görünen uydurma metinler üretmesine "halüsinasyon" adını veriliyor. Geleneksel yapay zeka kullanımında bu durum genellikle kullanıcının fark edip düzelttiği, hatta zaman zaman gülüp geçtiği masum bir teknik hata olarak görülür. Ancak KVKK'nın raporu, agentic AI mimarisinde bu "halüsinasyonların" ne kadar yıkıcı ve kalıcı bir veri kirliliğine dönüşebileceğini sarsıcı bir biçimde ortaya koyuyor.
Meseleye sadece bir yazılım hatası olarak değil, hukukun "verilerin doğruluğu ve güncelliği" ilkesi üzerinden bakmalıyız. Ajan tabanlı AI sistemlerinde görevler çok adımlı bir iş akışıyla birbirine bağlıdır ve bir yapa zeka ajanının ürettiği çıktı, otomatik olarak bir sonraki ajanın "girdisi" yani "gerçekliği" kabul edebilir..
Diyelim ki sistemdeki birinci aşçı, bir müşteri hakkında risk analizi yaparken halüsinasyon gördü ve o kişiye ait olmayan hayali bir finansal pürüz ya da sağlık riski uydurdu. KVKK'nın tam da dikkat çektiği tehlike burada başlıyor: Bu uydurma bilgi, sistemin iç mekanizmalarına gerçek bir veriymiş gibi aktarılır, mevcut kişisel verilerle harmanlanır ve sistemin alacağı nihai otonom kararın temel dayanağı hâline gelir. Erken aşamalarda ortaya çıkan ve aslında çok küçük olan bu "halüsinasyon", insan onayı olmadan zincirleme bir şekilde sistemin kılcallarına yayılarak büyür.
Şirketler ve hukukçular için bu tablonun meali şu özetle: Artık karşınızda sadece "yanlış cevap veren bir sohbet botu" değil; müşterinizin veya çalışanınızın kişisel veri setini kendi ürettiği yalanlarla sessizce ve geri dönülemez biçimde zehirleyen bir sistem var. Yapay zekanın "halüsinasyonu" yüzünden bir kredi başvurusu reddedilen, bir işe alım sürecinde haksız yere elenen veya yanlış bir tıbbi değerlendirmeye maruz kalan bireylerin başlatacağı hukuki süreçler, şirketler için devasa tazminat riskleri doğuracaktır. Etken yapay zeka çağında halüsinasyon, artık düzeltilecek bir kod hatası değil; sistemik ve hukuki bir zehirlenme olarak karşımızda duruyor.
KVKK'nın "İnsanı Döngüde Tutma" Talebi Ne Kadar Gerçekçi?
KVKK, agentic AI sistemlerinin giderek artan otonomisi karşısında iplerin tamamen kopmasını engellemek adına son derece net bir savunma hattı kuruyor: "İnsan merkezli yaklaşım" ve "yeterli ve anlamlı insan katılımı veya gözetimi". Kurum, sistemin insanlar tarafından belirlenen hedeflere, etik ilkelere ve hukuki sınırlara sadık kalabilmesi için insanın karar alma süreçlerindeki kontrol imkânının korunması gerektiğini vurguluyor. Kâğıt üzerinde ve hukuki düzlemde bu talep son derece haklı ve gereklidir. Ancak işin teknolojik ve ticari gerçekliğine baktığımızda, çok derin bir çelişkiyle karşı karşıya kalıyoruz.
Şirketler, agentic AI sistemlerine tam olarak insanı süreçten çıkarmak, operasyonel darboğazları aşmak ve maliyetleri düşürmek için milyonlarca dolarlık yatırımlar yapıyor.Yani agentic AI’ın varoluş amacı, sürekli insan yönlendirmesine ihtiyaç duymadan, hedefe giden yolda otonom kararlar alabilmek. Eğer karmaşık bir görevde birbiriyle haberleşen sentetik "aşçılarımızın" her yeni veri talebinde veya her ara kararında bir insanın ekrana bakıp "onaylıyorum" tuşuna basmasını bekleyeceksek, bu teknolojinin geleneksel otomasyondan ne farkı kalır?
Bu çelişkiyi KVKK raporunda yer alan "akıllı şehir" örneği üzerinden okumak çok daha çarpıcı. Raporda, "Araçtan Her Şeye" (V2X) iletişimi sayesinde trafik akışının gerçek zamanlı olarak agentic AI tarafından yönetildiği bir senaryo anlatılıyor. Bir kaza anında yapay zeka ajanları milisaniyeler içinde trafiği yeniden yönlendiriyor, sinyal zamanlarını ayarlıyor ve acil durum hizmetlerini koordine ediyor; üstelik kurumun kendi ifadesiyle tüm bunlar "asgari düzeyde insan müdahalesiyle" gerçekleştiriliyor. Şimdi soralım: Milisaniyeler içinde veri işleyen ve anlık kararlar alan bu devasa yapının neresine "anlamlı bir insan gözetimi" yerleştirebilirsiniz?
İşte tam bu noktada, regülatörlerin "güvenlik ve mahremiyet" talebi ile iş dünyasının "hız ve otonomi" arzusu şiddetli bir şekilde çarpışıyor. Şirketlerin uyum yöneticileri ve hukukçuları için önümüzdeki dönemin en büyük kabusu, ajan tabanlı AI sistemlerini insan gözetimiyle "yavaşlatmak" ile KVKK cezaları riskini almak arasında bir tercih yapmak zorunda kalmaları olacak bence. İnsanı her kararda döngüde tutmak (human-in-the-loop) teknolojik olarak agentic AI’ın doğasına aykırıyken, insanı döngüden tamamen çıkarmak hukuken mayınlı bir tarlaya girmek anlamına geliyor.
Regülasyonu Bir 'Fren' Değil, 'Tasarımsal Bir Pusula' Olarak Görmek
Ajan tabanlı AI sistemlerinin getirdiği benzeri görülmemiş otonomi ve hız, hukukun statik doğasıyla tarihin en büyük sınavlarından birini veriyor. Ancak KVKK'nın yayımladığı bu raporu, yenilikçiliğin önüne çekilmiş bir "yasaklar silsilesi" veya teknolojik gelişmeyi durduracak bir "fren" olarak okumak büyük bir yanılgı olur. Aksine bu doküman, iplerin koptuğu bir teknoloji çağında sürdürülebilir ve güvenilir sistemler inşa edebilmek için elimize verilmiş hayati bir "tasarımsal pusula".
Kurumun raporda özellikle altını çizdiği "tasarımdan itibaren mahremiyet" (privacy by design) ve "varsayılan olarak mahremiyet" (privacy by default) kavramları, artık uzun uyum metinlerinde geçen sıradan hukuki terimler değil, doğrudan sistemin mimarisini belirleyen ticari birer beka meselesi halini alıyor. Şirketler, ajan tabanlı AI sistemlerini henüz kodlama aşamasındayken mahremiyet artırıcı teknolojilerle donatarak bu riskleri en baştan yönetmek zorunda. Agenti AI sistemlerine özgü yapısal zorluklar, veri koruma düzenlemelerinden kaçmak için bir mazeret olamaz. Aksine, sistemlerin risk temelli bir yaklaşımla tasarlanması ve veri yönetişimi uygulamalarının teknik sınırlamalarla birleştirilmesi, sadece regülasyonlara uyumu sağlamakla kalmayacak, aynı zamanda bireylerin ve toplumun bu otonom sistemlere duyduğu "güveni" de tesis edecektir.
