Yapay Zekâ ve Hukuk: Kurumsal Yapılar İçin Güvenli ve Stratejik Bir Dönüşüm Alanı
Yapay zekâ teknolojileri, günümüzde yalnızca teknik ekiplerin veya Ar-Ge birimlerinin gündeminde yer alan bir konu olmaktan çıkmış; şirketlerin karar alma süreçlerini, günlük operasyonlarını ve uzun vadeli stratejilerini doğrudan etkileyen temel bir unsur hâline gelmiştir. Özellikle veri yoğun sektörlerde faaliyet gösteren kuruluşlar açısından yapay zekâ, operasyonel hız ve verimlilik sağlamanın ötesinde, rekabet gücünü belirleyen stratejik bir araç olarak konumlanmaktadır. Bu dönüşüm süreciyle paralel olarak, yapay zekânın hukuki boyutu da kurumsal gündemde giderek daha merkezi bir yer edinmektedir.
Yapay zekâ çoğu zaman hukuki riskler ve belirsizlikler üzerinden tartışılsa da, doğru bir hukuki çerçeve içerisinde ele alındığında şirketler için önemli fırsatlar barındıran bir alan sunmaktadır. Mevzuata uyumlu, şeffaf ve denetlenebilir şekilde kurgulanan yapay zekâ uygulamaları, hukuki güvenlikten ödün vermeden teknolojik gelişmelerden faydalanılmasına imkân tanımaktadır. Bu noktada hukukun rolü, teknolojik gelişimi sınırlayan bir unsur olmaktan ziyade, bu gelişimi güvenli ve sürdürülebilir bir zemine oturtan bir rehber niteliği taşımaktadır.
Kurumsal yapılarda yapay zekâ uygulamaları; sözleşme yönetimi, doküman inceleme, mevzuat takibi, uyum süreçleri ve iç denetim mekanizmaları gibi alanlarda destekleyici bir rol üstlenmektedir. Bu sistemler, hukuki değerlendirmeyi ikame eden bağımsız karar vericiler olarak değil; hukuk profesyonellerinin analiz kabiliyetini güçlendiren ve zaman yönetimini optimize eden araçlar olarak tasarlanmaktadır. Bu yaklaşım, hem hukuki sorumluluğun insan iradesinde kalmasını sağlamakta hem de karar alma süreçlerinde kontrol edilebilir bir yapı oluşturmaktadır.
Yapay zekânın hukuki değerlendirmesinde öne çıkan başlıklardan biri, kişisel verilerin korunması ve veri güvenliğidir. Yapay zekâ sistemlerinin büyük veri setleri üzerinden çalışması, veri işleme faaliyetlerinin amaçla sınırlı, ölçülü ve mevzuata uygun şekilde kurgulanmasını zorunlu kılmaktadır. Mevcut veri koruma mevzuatı, doğru teknik ve idari tedbirlerle desteklendiğinde, yapay zekâ uygulamalarının güvenli şekilde kullanılabilmesi için yeterli bir çerçeve sunacaktır.
Bir diğer önemli husus, yapay zekâ sistemlerinin şeffaflığı ve denetlenebilirliğidir. Kurumsal süreçlerde kullanılan yapay zekâ uygulamalarının karar destek mekanizması olarak yapılandırılması ve nihai kararın her zaman yetkili kişiler tarafından verilmesi, hukuki sorumluluk tartışmalarını büyük ölçüde sınırlandırmaktadır. Bu çerçevede yapay zekâ, bağımsız bir aktör değil; şirket politikaları ve insan gözetimi altında çalışan teknik bir araç olarak değerlendirilmektedir.
Uluslararası düzeyde yürütülen düzenleyici çalışmalar da bu yaklaşımı destekler niteliktedir. Özellikle Avrupa Birliği tarafından benimsenen risk bazlı düzenleme modeli, şirketlerin yenilikçi teknolojilerden uzak durmasını değil; bu teknolojileri öngörülebilir ve yönetilebilir bir hukuki zemin içerisinde kullanmasını hedeflemektedir. Bu gelişmeler, şirketlere yalnızca uyum yükümlülükleri değil, aynı zamanda uzun vadeli stratejik planlama açısından da yol gösterici bir perspektif sunmaktadır.
Bu noktada hukuk departmanlarının rolü, klasik anlamda yalnızca riskleri bertaraf eden bir birim olmanın ötesine geçmektedir. Hukuk birimlerinin teknoloji ve iş geliştirme ekipleriyle eşgüdüm içinde çalışarak yapay zekâ projelerine erken aşamada dâhil olması, hem uyum süreçlerinin etkin şekilde yönetilmesine hem de şirketin stratejik hedeflerine katkı sağlanmasına imkân tanımaktadır. Bu yaklaşım, hukukun engelleyici değil; değer yaratan bir fonksiyon olarak konumlanmasını da beraberinde getirmektedir.
Elektronik Para Kuruluşları Açısından Yapay Zekâ Uygulamaları
Elektronik para kuruluşları bakımından yapay zekâ teknolojilerinin kullanımı, genel kurumsal yapılara kıyasla çok daha hassas bir hukuki zeminde gerçekleşmektedir. Zira bu kuruluşlar, finansal sistemin güvenliği, müşteri varlıklarının korunması ve kara para ile mücadele gibi alanlarda sıkı bir düzenleyici denetime tabidir. Bu çerçevede yapay zekâ, elektronik para kuruluşları için yalnızca operasyonel verimlilik sağlayan bir araç değil; aynı zamanda uyum süreçlerinin merkezinde yer alan stratejik bir bileşen hâline gelmiştir.
Ödeme hizmetleri, müşteri tanıma (KYC), müşteri işlemlerinin izlenmesi, dolandırıcılıkla mücadele ve şüpheli işlem bildirimleri gibi alanlarda yapay zekâ tabanlı sistemlerin yaygınlaşması, elektronik para kuruluşlarına önemli avantajlar sunmaktadır. Büyük hacimli işlem verilerinin gerçek zamanlı analiz edilmesi, olağan dışı işlem kalıplarının tespiti ve risk bazlı müşteri profillemesi gibi fonksiyonlar, insan gücüyle yürütülmesi güç süreçlerin daha etkin şekilde yönetilmesine imkân tanımaktadır.
Bununla birlikte, elektronik para kuruluşlarının faaliyetlerinin 6493 sayılı Kanun ve ilgili ikincil mevzuat kapsamında sıkı kurallara tabi olması, yapay zekâ uygulamalarının tasarım ve kullanım aşamalarında hukuki değerlendirmeyi zorunlu kılmaktadır. Özellikle yapay zekâ destekli işlem izleme ve risk skorlama sistemlerinin, nihai değerlendirme ve raporlama aşamalarında mutlaka insan gözetimi altında çalıştırılması, hukuki sorumluluğun sınırlarının korunması açısından kritik öneme sahiptir.
Bu bağlamda yapay zekânın, otomatik karar alma mekanizması olarak değil; karar destek sistemi olarak konumlandırılması büyük önem taşımaktadır. Müşteri hesaplarının askıya alınması, işlemlerin reddedilmesi, limitlerin düşürülmesi veya şüpheli işlem bildirimi yapılması gibi hukuki ve fiilî sonuç doğuran süreçlerde, yapay zekâ çıktılarının yetkili kişiler tarafından değerlendirilmesi gerekmektedir. Bu yaklaşım, elektronik para kuruluşlarının hem idari yaptırımlar hem de müşteri uyuşmazlıkları bakımından karşılaşabileceği riskleri önemli ölçüde azaltmaktadır.
Kişisel Veri Koruma ve Finansal Veri Güvenliği Boyutu
Elektronik para kuruluşlarının işlediği verilerin niteliği dikkate alındığında, yapay zekâ uygulamalarıyla bağlantılı kişisel veri koruma yükümlülükleri daha da hassas bir hâl almaktadır. Kimlik bilgileri, işlem geçmişleri, ödeme alışkanlıkları ve finansal davranış verileri, kişisel veri koruma hukuku açısından yüksek riskli veri kategorileri arasında yer almaktadır. Bu verilerin yapay zekâ sistemleri aracılığıyla işlenmesi, veri minimizasyonu, amaçla sınırlılık ve ölçülülük ilkelerinin titizlikle uygulanmasını gerektirmektedir.
Yapay zekâ sistemlerinin eğitimi, test edilmesi ve işletilmesi süreçlerinde üçüncü taraf teknoloji sağlayıcılarla kurulan ilişkiler de elektronik para kuruluşları açısından ayrı bir hukuki değerlendirme alanı oluşturmaktadır. Bu kapsamda veri işleyen konumundaki hizmet sağlayıcılarla yapılan sözleşmelerde, veri güvenliği, gizlilik, alt yüklenici kullanımı, denetim hakkı ve veri ihlali bildirim yükümlülüklerinin açık ve bağlayıcı şekilde düzenlenmesi önem arz etmektedir. Bu hususlar, hem 6698 sayılı Kanun hem de sektörel düzenlemeler bakımından uyumun sağlanmasında belirleyici rol oynamaktadır.
Düzenleyici Otoriteler ve Risk Bazlı Yaklaşım
Ulusal ve uluslararası düzeyde benimsenen risk bazlı düzenleme anlayışı, elektronik para kuruluşlarının yapay zekâ kullanımına da doğrudan yansımaktadır. Bu yaklaşım, yapay zekâ teknolojilerinin tamamen yasaklanmasını veya sınırsız şekilde kullanılmasını değil; risk seviyesine göre şeffaf, izlenebilir ve kontrol edilebilir bir yapı içerisinde uygulanmasını esas almaktadır. Avrupa Birliği Yapay Zekâ Tüzüğü (AI Act) ile benimsenen bu model, özellikle finansal hizmetler alanında faaliyet gösteren kuruluşlar için yol gösterici niteliktedir.
Elektronik para kuruluşları açısından bu yaklaşım, teknolojik yenilik ile düzenleyici uyum arasında dengeli bir yapı kurulmasına imkân tanımaktadır. Hukuk ve uyum birimlerinin yapay zekâ projelerine erken aşamada dâhil olması; iç politika ve prosedürlerin oluşturulması, risk değerlendirmelerinin yapılması ve iç denetim mekanizmalarının güçlendirilmesi bakımından kritik öneme sahiptir. Ayrıca çalışan farkındalığının artırılması ve yapay zekâ sistemlerinin kullanımına ilişkin açık iç rehberlerin oluşturulması, düzenleyici otoriteler nezdinde öngörülebilir ve sürdürülebilir bir uyum politikasının tesis edilmesine katkı sağlamaktadır.
AI Act Kapsamında “Yüksek Riskli Yapay Zekâ Sistemleri” ve Elektronik Para Kuruluşları
AB Yapay Zekâ Tüzüğü (Regulation (EU) 2024/1689 – AI Act), yapay zekâ sistemlerini “yasaklanan”, “yüksek riskli”, “sınırlı riskli” ve “asgari riskli” olmak üzere risk bazlı bir sınıflandırmaya tabi tutmaktadır. Bu yaklaşımın temel amacı, yapay zekâ kullanımının yenilikçi yönlerini korurken, bireylerin temel hakları ve piyasa güvenliği üzerinde yaratabileceği olumsuz etkileri önleyici ve denetleyici bir çerçeve oluşturmaktır.
AI Act’e göre bir yapay zekâ sisteminin yüksek riskli olarak nitelendirilmesi, sistemin teknik karmaşıklığından ziyade kullanım amacı ve doğurduğu sonuçlar ile ilişkilidir. Bu kapsamda, bir yapay zekâ sisteminin kişilerin temel haklarını, ekonomik özgürlüklerini veya hukuki statülerini doğrudan etkileyen karar süreçlerinde kullanılması, yüksek risk değerlendirmesinin temel kriterlerinden biri olarak öne çıkmaktadır.
Tüzüğün Ek I ve Ek III’ünde yer verilen sektörler ve kullanım alanları incelendiğinde; finansal hizmetler, kredi değerlendirme mekanizmaları, ödeme sistemleri ve kullanıcıların ekonomik davranışlarını etkileyen otomatik karar alma süreçlerinin, yüksek riskli sistemler bakımından özel olarak düzenlendiği görülmektedir. Bu durum, finansal piyasalarda kullanılan yapay zekâ uygulamalarının, yalnızca teknolojik bir araç değil, aynı zamanda hukuki sonuç doğuran bir karar mekanizması olarak ele alındığını göstermektedir.
Bu çerçevede, Türkiye’de faaliyet gösteren elektronik para kuruluşları tarafından kullanılan yapay zekâ sistemleri; müşteri kabulü, işlem izleme, risk skorlama, dolandırıcılık tespiti veya limit belirleme gibi alanlarda kullanıldıkları ölçüde, AI Act’te öngörülen yüksek riskli yapay zekâ sistemleri rejimi ile fiilî ve dolaylı bir temas hâlindedir. Bu nedenle söz konusu sistemlerin hukuka uygunluğu, yalnızca 6493 sayılı Kanun, ikincil düzenlemeler ve veri koruma mevzuatıyla sınırlı olarak değil; AB ile iş ilişkileri, hizmet ihracı ve uyum beklentileri çerçevesinde AI Act’in öngördüğü yönetişim, şeffaflık ve risk yönetimi ilkeleri dikkate alınarak değerlendirilmelidir.
Değerlendirme
Sonuç olarak, elektronik para kuruluşları bakımından yapay zekâ, yalnızca teknolojik bir yenilik değil; hukuki, operasyonel ve stratejik boyutları bulunan bütüncül bir dönüşüm alanıdır. Doğru hukuki çerçeve, etkin insan gözetimi ve şeffaf süreçlerle desteklenen yapay zekâ uygulamaları, bu kuruluşlar için düzenleyici uyumdan ödün vermeden rekabet avantajı yaratma potansiyeli taşımaktadır. Yapay zekâyı proaktif şekilde yöneten elektronik para kuruluşları, bu teknolojiyi bir risk unsuru olarak değil; kurumsal değer üreten ve sürdürülebilir büyümeyi destekleyen bir araç olarak konumlandırabilecektir.
_________________________________________________________________________
- 6698 sayılı Kişisel Verilerin Korunması Kanunu
Resmî Gazete, 07.04.2016 tarih ve 29677 sayılı. - 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun
Resmî Gazete, 27.06.2013 tarih ve 28690 sayılı. - Kişisel Verileri Koruma Kurumu,
Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler - ÖZEKES Muhammet, “Dijital Çağda Yargılama, Adalete Erişim ve Yargılama İlkelerine Genel Bakış”, Dijital Çağda Medeni Yargı, Ankara: Adalet Yayınevi, 2022,
- European Union,
Regulation (EU) 2024/1689 – Artificial Intelligence Act (AI Act).
Turkish