Uyum · Rehber
DSGVO Uyumlu Yapay Zeka Ajanları — Gerçekten Neler Gerekiyor
DSGVO, AB vatandaşlarının kişisel verilerini işleyen her yapay zeka ajan platformu için geçerlidir, sağlayıcının nerede bulunduğuna bakılmaksızın. Uyum, "Uyumlu olduğumuza dair" bir rozetten daha fazlasıdır: her işleme faaliyeti için yasal bir dayanak, veri düzeyinde uygulanan veri sahibi hakları, müşteri ve sağlayıcı arasında imzalanmış bir AVV, kiracıya özel depolama, şeffaf model eğitim politikası ve denetleyici incelemeden geçebilecek denetim kayıtları gerektirir. Özellikle yapay zeka ajanları için, Madde 22 (otomatik kararlar) açık gereksinimler ekler: insan incelemesinin ne zaman gerekli olduğunu sağlayıcı değil, müşteri belirlemelidir.
Yapay Zeka Ajan Platformları İçin Yeniden Formüle Edilmiş DSGVO
DSGVO Madde 5'teki altı temel ilke, bir yapay zeka ajanı sağlayıcısı için ne anlama geldiklerine çevrildi.
Hukuka Uygunluk, Dürüstlük, Şeffaflık
Her işleme faaliyeti için, her eylemde kaydedilmiş yasal bir dayanak (rıza, sözleşme, meşru menfaat vb.) gerekir. Müşteriler, ajanların nasıl akıl yürüttüğü ve karar verdiği konusunda şeffaflık elde eder.
Amaç Sınırlaması
Bir ajan eylemi için toplanan veriler, yeni bir yasal dayanak olmaksızın başka bir amaç için kullanılamaz. "Verilerinizi ürün iyileştirme için kullanıyoruz" maddeleri yok.
Veri Minimasyonu
Ajanlar yalnızca belirli görev için ihtiyaç duydukları alanlara erişir. OAuth-2.0 minimum kapsamları bunu entegrasyon düzeyinde uygular.
Doğruluk
Çıktılar denetlenebilir; yanlış ajan çıktıları düzeltilebilir veya silinebilir. Denetim kaydı, her veri setinin her sürümünü izler.
Depolama Sınırlaması
Veri kategorisi başına müşteri tarafından yapılandırılabilir saklama. Ajan konuşma transkriptleri, çağrı kayıtları ve CRM olaylarının tümü yapılandırılabilir TTL'lere sahiptir.
Bütünlük ve Gizlilik
Beklemede (AES-256) ve aktarımda (TLS 1.3) şifreleme. Kiracı izolasyonu sadece mantıksal değil, kriptografiktir. SOC 2 Tip I Denetim hedefi 2026 Q3.
DSGVO Uyumunu Kanıtlayan 10 Teknik Uygulama
Bir sağlayıcı uyumluluk iddia edebilir. Bunlar, bir denetçi geldiğinde gösterecekleri uygulamalardır.
Eylem Başına Yasal Dayanak
Her ajan eylemi, yasal dayanağını (rıza, sözleşme, meşru menfaat, yasal yükümlülük) belgeler. İlgili kişi başına talep üzerine dışa aktarılabilir.
Veri Sahibi Erişim Dışa Aktarımı
Platformun belirli bir ilgili kişi hakkında tuttuğu her şeyin tek tıklamayla dışa aktarımı — CRM, e-postalar, çağrı transkriptleri, ajan tarafından oluşturulan çıktılar.
Kiracı Genelinde Silme
Silme, her ajan önbelleği ve paylaşılan veri grafiği üzerinden 30 gün içinde yayılır. "Yumuşak Silme" yok — silme kanıtı belgesiyle gerçek kaldırma.
Yapılandırılmış Dışa Aktarım
Tüm müşteri verilerinin, sadece kişisel verilerin değil, makine tarafından okunabilir dışa aktarımı (JSON, CSV). Standart şemalar aracılığıyla rakip platformlara yeniden aktarılabilir.
İnsan İnceleme Geçidi
Yüksek riskli kararlar (eşik üzerindeki ödemeler, hesap askıya almalar, yüksek değerli sözleşme maddeleri) varsayılan olarak insan onayı gerektirir. Müşteri politikasına göre yapılandırılabilir.
Kiracı İzolasyonu
Veritabanı düzeyinden itibaren kriptografik kiracı izolasyonu. Müşteriler arasında paylaşılan vektör depoları, paylaşılan istem önbellekleri yok.
Alt İşleyici Listesiyle AVV
Müşteri ve sağlayıcı arasında imzalanmış AVV. Alt işleyici listesi (LLM sağlayıcıları dahil) yayınlanır ve sürümlendirilir. Müşteriler, itiraz süresi ile alt işleyici değişiklikleri hakkında bilgilendirilir.
Denetim Kaydı
Her ajan eyleminin değişmez denetim kaydı: zaman damgası, ajan kimliği, girdi, çıktı, güven, yasal dayanak, ilgili kişi tanımlayıcısı. Denetleyici makam için dışa aktarılabilir.
Şifreleme + Erişim Kontrolü
Beklemede AES-256, aktarımda TLS 1.3. İnsan operatörler için RBAC. İstek başına kimliği doğrulanmış ajanlar. Gizli anahtar rotasyonu planlı.
İhlal Süreci
Tespit → Önceliklendirme → Bilgi edinildikten sonra 72 saat içinde müşteri bildirimi. Betiklenmiş ve üç ayda bir tatbik edilir.
Yapay Zeka Ajanlarında Sık Görülen DSGVO Riskleri — ve Nasıl Azaltılır
Denetçilerin aradığı hata modları. Her riskin somut bir azaltma modeli vardır.
LLM sağlayıcıları, istemlerinizi modellerini eğitmek için kullanır.
Sadece müşteri içeriği üzerinde eğitim yapmama maddeleri imzalanmış sağlayıcıları kullanın. Bunu sadece pazarlama sayfasında değil, AVV'de doğrulayın.
Konuşma transkriptleri, kiracılar arasında paylaşılan bir vektör deposu aracılığıyla sızdırılır.
Kiracıya özel gömme talep edin. Sağlayıcıdan veritabanı düzenini göstermesini isteyin — paylaşılan koleksiyonlar kırmızı bayraktır.
Ajan günlükleri, gereklilikten daha uzun süre saklanan kişisel veriler içerir.
Veri kategorisi başına müşteri tarafından yapılandırılabilir günlük saklama. Düzenlenmemiş veriler için varsayılan 90 gün, GoBD/vergi ile ilgili veri setleri için sadece 10 yıl.
Telefon kayıtları açık rıza olmaksızın saklanır.
Çağrı ajanı, görüşmenin başında kaydı açıklar. Rıza, zaman damgası ve arayan kimliği ile denetim günlüğüne kaydedilir. Talep üzerine tek tıklamayla karartma.
AB dışındaki alt işleyiciler kişisel verileri işler.
Sadece AB veri ikametgahı seçeneği. ABD alt işleyicileri kullanılıyorsa, DPF (Veri Gizliliği Çerçevesi) veya doğrulanabilir Transfer Etki Değerlendirmesi ile Standart Sözleşme Maddeleri.
Ajan kararları, akıl yürütme şeffaf olmadığı için itiraz edilemez.
Her ajan kararı, akıl yürütme izini kaydeder. İlgili kişiler, Madde 15 talebi üzerine akıl yürütmeyi (açık metin olarak) alır.
Unutulmuş bir entegrasyon, iptalinizden sonra hala OAuth jetonlarına sahip.
İptal durumunda jeton iptali otomatiktir. Müşteri ayrıca kaynakta (Google/Microsoft hesap ayarları) tek tıklamayla iptal edebilir.
Sağlayıcı AVV'sinde Nelere Dikkat Etmelisiniz
AVV şablonunu satın almadan önce talep edin, işe alım sırasında değil. Bunlar en önemli maddelerdir.
- ✓Açık "Eğitim Yok" maddesi: Müşteri içerikleri, vazgeçme (opt-out) küçük yazısı olmaksızın modelleri eğitmek için asla kullanılmaz.
- ✓Alt işleyici listesi ekli, sürümlendirilmiş ve değişikliklerden önce bildirim süresi (minimum 30 gün).
- ✓İlgili kişi talepleri için zaman çizelgeleri: Madde 15 bilgi edinme 30 gün içinde, Madde 17 silme 30 gün içinde (aşağı akış işlemci kademesi dahil).
- ✓Denetim Hakları: Müşteri, sağlayıcının güvenlik kontrollerini yıllık olarak veya gerektiğinde daha sık denetleyebilir.
- ✓İhlal Bildirimi: Sağlayıcının bilgi edinmesi ile müşteri bildirimi arasında 48 saat (DSGVO'nun 72 saatlik resmi bildiriminden daha katı).
- ✓Veri İkametgahı Taahhüdü: verilerin nerede depolandığı, işlendiği, güvence altına alındığı — yazılı olarak, "tipik olarak AB" değil.
- ✓Fesih Durumunda İade ve Silme: Veriler taşınabilir biçimde 30 gün içinde iade edilir; silme kanıtı 60 gün içinde düzenlenir.
- ✓Sorumluluk Üst Sınırı Netliği: özellikle veri koruma ihlalleri için, genel sorumluluk üst sınırından ayrı.
- ✓Uygulanacak Hukuk ve Yargı Yeri: ideal olarak müşterinin AB üye devleti, sağlayıcının kendi yargı yeri değil.
Yapay Zeka Ajanı Alıcıları İçin DSGVO Kontrol Listesi — 12 Madde
Bunu yazdırın. Sözleşmeden önce sağlayıcıya gönderin. Eğer bir yanıt "Üzerinde çalışıyoruz" ise, satın almayı erteleyin.
Veri İşleme Sözleşmesi
Sağlayıcı, müşteri başına müzakere edilmeden, standart olarak DSGVO uyumlu bir AVV imzalar mı?
Sözleşmesel Eğitim Yok
"Müşteri içerikleri üzerinde asla eğitim yapmayız" ifadesi sadece web sitesinde değil, AVV'nin kendisinde mi yazıyor?
Kiracı İzolasyonu
Kiracı izolasyonu kriptografik mi (müşteri başına ayrı şifreleme anahtarları) yoksa sadece mantıksal bölümleme mi?
Alt İşleyici Şeffaflığı
Sürüm geçmişi olan herkese açık bir alt işleyici listesi var mı? LLM sağlayıcısı listede mi?
Veri İkametgahı
Müşteri verileri nerede depolanır, işlenir ve güvence altına alınır? Sadece AB bir seçenek mi?
Bilgi Edinme Hakkı Dışa Aktarımı
Yönetici arayüzünden tam bir Madde 15 dışa aktarımını tetikleyebilir misiniz, yoksa bir destek bileti mi gerekiyor?
Silme Kademesi
Silme, 30 gün içinde tüm ajan önbelleklerine, vektör depolarına ve alt işleyicilere yayılır mı?
Madde 22 İnsan İncelemesi
Hangi ajan kararlarının insan onayı gerektirdiğini yapılandırabilir misiniz? Yıkıcı eylemler için varsayılan olarak onay.
Denetim Kaydı Dışa Aktarımı
Denetim kaydı, denetleyici makam talepleri için kullanılabilir bir formatta (JSON, CSV) dışa aktarılabilir mi?
İhlal Bildirim Zamanlaması
Sağlayıcı, bir ihlalden haberdar olduktan sonra 48-72 saat içinde sizi bilgilendirmeyi taahhüt eder mi?
Telefon Görüşmesi Rızası
Sesli ajanlar kullanılıyorsa, platform yargı bölgesine özgü rıza kurallarını (DE/AT/CH'de iki taraflı) ele alıyor mu?
Çıkış Planı
İptal ettiğinizde, silme kanıtı içeren belgelenmiş bir iade ve silme süreci var mı?
Sıkça Sorulan Sorular
Bir yapay zeka ajan platformu, DSGVO'ya göre veri sorumlusu mu yoksa veri işleyen mi?+
Hemen hemen tüm KOBİ senaryolarında, müşteri veri sorumlusu ve yapay zeka ajan platformu veri işleyendir. Platform, müşterinin talimatlarına göre çalışır, verileri müşterinin kiracısında işler ve işleme amaçlarını belirlemez.
Madde 22 (otomatik kararlar) yapay zeka ajanlarını yasaklar mı?+
Hayır. Madde 22, hukuki veya benzer şekilde önemli etkileri olan kararlarda ilgili kişilerin insan incelemesi hakkına sahip olmasını gerektirir. Yapay zeka ajan platformları, karar türü başına yapılandırılabilir insan onay geçitleri sunarak uyumlu hale gelir. Müşteriler (veri sorumluları), hangi kararların insan incelemesinden geçeceğini yapılandırır.
DSGVO kapsamında ABD merkezli bir yapay zeka ajan platformu kullanabilir miyim?+
Evet, eğer sağlayıcı AB-ABD Veri Gizliliği Çerçevesi altında faaliyet gösteriyorsa veya geçerli Transfer Etki Değerlendirmesi ile Standart Sözleşme Maddeleri kullanıyorsa. İmzalamadan önce DPF sertifikasyonunu veya SCC dokümantasyonunu sorun. AB merkezli sağlayıcıları tercih etmek bunu basitleştirir.
Yapay zeka ajanları, DSGVO'ya ek olarak AB Yapay Zeka Yasası kapsamına girer mi?+
Evet. AB Yapay Zeka Yasası, DSGVO'ya şeffaflık, risk sınıflandırması ve insan denetimi gereksinimleri ekler. Çoğu iş yapay zeka ajanı "yüksek risk" değil, "sınırlı risk" kategorisine girer (yapay zeka kullanımı hakkında şeffaflık gereklidir). Sesli ajanlar ayrıca, kullanıcının yapay zeka ile konuştuğunu açıklama gerektiren şeffaflık kuralları kapsamına girer.
Yapay zeka ajanı alıcıları için en büyük DSGVO risk faktörü nedir?+
Eğitim maddeleri. Birçok sağlayıcı, model iyileştirme için özellik başına varsayılan olarak vazgeçme (opt-out) seçeneğine sahiptir, bu da birçok kullanıcısı olan KOBİ'ler için pratik olarak uygulanamaz. AVV'de sözleşmesel olarak "Eğitim Yok" standardında ısrar edin.
DSGVO kapsamında çağrı kayıtları her zaman rıza gerektirir mi?+
Avusturya, Almanya ve İsviçre'de: evet, her iki taraf da kayıttan önce rıza göstermelidir. Diğer AB üye devletlerinde rıza kuralları değişir. Uyumlu bir sesli ajan platformu, görüşmenin başında kaydı açıklar ve rızayı denetim günlüğüne kaydeder — bu, tüm yargı bölgelerinde bu şekilde çalışır.
Ajan denetim günlüklerini ne kadar süre saklamalıyım?+
Düzenlenmemiş iş verileri için: Müşteri seçimi, varsayılan 90 gün. Vergiyle ilgili eylemler (faturalar, ödemeler) için: GoBD (DE) / RGS (AT) kapsamında 10 yıl. Uyum ajanı, vergi dışı verileri gereğinden uzun süre saklamamanız için ikisini ayırır.
AVV'yi Satın Almadan Önce Edinin
Uyum ekibimizle 30 dakikalık bir oturum rezervasyonu yapın. Tam AVV'yi, alt işleyici listesini gözden geçirecek ve 12 kontrol listesi sorusunun her birini protokole uygun olarak yanıtlayacağız.