# KVKK Uyumlu Yapay Zeka Sohbet Botu Seçerken Nelere Dikkat Etmeli? > KVKK uyumlu yapay zeka sohbet botu seçerken nelere dikkat edilmeli? Veri işleme, sunucu konumu ve sözleşme şartlarını 2026 kriterlerine göre öğrenin. _Onur Candan — Kurucu & CEO · 2026-06-25 · https://palmate.ai/tr/blog/kvkk-uyumlu-yapay-zeka-sohbet-botu-secimi-2026_ Türkiye'deki işletmeler için bir yapay zeka sohbet botu seçmek artık yalnızca teknik bir karar değil. KVKK (Kişisel Verilerin Korunması Kanunu) kapsamındaki yükümlülükler, hangi aracı kullandığınızı doğrudan etkiliyor. Bu makale, KVKK uyumlu yapay zeka sohbet botu seçim sürecini baştan sona ele alıyor; hem ilk kez araştıranlar hem de mevcut çözümünü gözden geçirenler için somut ölçütler sunuyor. ## Öne Çıkanlar - KVKK uyumlu bir yapay zeka sohbet botu, kişisel verileri yalnızca açık rıza temelinde işlemeli ve Türkiye'de ya da yeterli koruma düzeyine sahip bir ülkede saklamalıdır. - Sağlayıcıyla imzalanan Veri İşleme Sözleşmesi (DPA); veri kategorileri, sunucu konumu, alt işleyenler, 72 saatlik ihlal bildirimi ve sözleşme sonunda veri silme yöntemini kapsamalıdır. - Sunucu konumu kritiktir: KVKK'nın 9. maddesi, yurt dışına veri aktarımını Kurul izni ya da açık rıza olmadan yasaklar; Türkiye'de veri merkezi seçeneği süreci basitleştirir. - TLS 1.2 ve üzeri, kullanıcı tetikli veri silme, erişim/log kayıtları, rıza zaman damgası ve arayüze entegre aydınlatma metni zorunlu asgari teknik özelliklerdir. - ISO 27001 sertifikası teknik güvenliğin göstergesidir ancak açık rıza, aydınlatma ve yurt içi aktarım gibi hukuki gereklilikleri tek başına karşılamaz. ## Temel Kavramlar: KVKK ve Yapay Zeka Sohbet Botu İlişkisi ### KVKK kapsamında yapay zeka sohbet botu nedir? KVKK kapsamında bir [yapay zeka sohbet botu](/tr/yapay-zeka-chatbot), kullanıcıdan ad, e-posta, telefon numarası veya alışveriş geçmişi gibi kişisel veri toplayan her sistem olarak kabul edilir. 6698 sayılı Kanun, bu tür verilerin toplanmasını, işlenmesini ve saklanmasını doğrudan düzenler. Botun yapay zeka tabanlı olması, uyumluluk yükümlülüğünü ortadan kaldırmaz; tam tersine, otomatik karar alma süreçleri devreye girdiğinde ek şeffaflık gereklilikleri doğar. ### Sohbet botu hangi kişisel verileri işleyebilir? Bir sohbet botu tipik olarak ad-soyad, iletişim bilgileri, sipariş geçmişi, IP adresi ve konuşma içeriklerini işler. Bunların tamamı KVKK'da kişisel veri olarak tanımlanır. Sağlık durumu veya finansal bilgi gibi özel nitelikli kişisel veri kategorisine giren bilgiler söz konusu olduğunda, kanun çok daha katı işleme koşulları arar; bu tür verilerin sohbet botu üzerinden toplanması ekstra hukuki dayanak gerektirir. ### Veri sorumlusu ile veri işleyen arasındaki fark nedir? Veri sorumlusu, kişisel verilerin işlenme amacını ve yöntemini belirleyen tüzel ya da gerçek kişidir; Türkiye'deki işletmeler bu konumdadır. Veri işleyen ise verileri veri sorumlusu adına işleyen taraftır; sohbet botu sağlayıcısı bu rolü üstlenir. Bu ayrım önemlidir çünkü sağlayıcıyla yapılacak sözleşme, veri işleyenin yükümlülüklerini açıkça düzenlemek zorundadır. ## Nasıl Çalışır: Uyumluluk Mekanizmaları ### Açık rıza mekanizması sohbet botunda nasıl kurulur? Sohbet botu, konuşmaya başlamadan önce kullanıcıya hangi verilerin neden toplandığını açıklayan bir aydınlatma metni sunmalı ve kullanıcının bu metni onayladığına dair kaydedilebilir bir rıza adımı içermelidir. Rıza; önceden işaretlenmiş kutular, belirsiz genel ifadeler veya hizmet kullanımına bağlı zorunlu onay biçiminde alınamaz. 2026 itibarıyla Kişisel Verileri Koruma Kurulu, açık rızanın ayrı, anlaşılır ve geri alınabilir olmasını asgari koşul olarak değerlendirmektedir. ### Sunucu konumu neden önemlidir? KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarılmasını Kurul'un izni veya ilgili kişinin açık rızası olmaksızın yasaklar. Sohbet botu sağlayıcısının sunucuları Türkiye dışında, örneğin Avrupa Birliği veya Amerika Birleşik Devletleri'nde bulunuyorsa, bu aktarım için hukuki dayanak oluşturulması gerekir. Sunucu konumunu sözleşmede açıkça teyit etmek, denetim süreçlerinde en çok sorulan sorulardan biridir. ### Veri işleme sözleşmesi hangi maddeleri içermelidir? KVKK uyumlu bir Veri İşleme Sözleşmesi en az şu unsurları kapsamalıdır: - İşlenen kişisel veri kategorileri ve işleme amacı - Verilerin saklanacağı ülke ve sunucu altyapısı - Alt işleyenler ve bu taraflara uygulanan kısıtlamalar - Veri ihlali durumunda bildirim süresi (KVKK 72 saat sınırı) - Sözleşme sona erdiğinde verilerin silinmesi veya iade edilmesi yöntemi Bu maddelerin eksik olduğu sözleşmeler, Kurul denetiminde idari yaptırım riskini artırır. ## Pratik Seçim: Hangi Özelliklere Bakılmalı? ### KVKK uyumlu sohbet botunda hangi teknik özellikler zorunludur? Bir sohbet botunun KVKK uyumluluğu için teknik olarak şu özelliklere sahip olması gerekir: - Uçtan uca şifreleme veya en azından aktarım katmanında TLS 1.2 ve üzeri - Kullanıcı tarafından tetiklenebilen veri silme işlevi - Konuşma geçmişine kimlerin eriştiğini gösteren erişim kayıtları - Rıza zaman damgası ve içeriğinin saklanması - Aydınlatma metninin bot arayüzüne entegre edilmesi Bu özelliklerin yokluğu, teknik uyumsuzluk gerekçesiyle idari para cezasına yol açabilir. ### Erişim kayıtları ve denetim izleri neden gereklidir? KVKK, veri sorumlularının kişisel veri işleme faaliyetlerini kayıt altında tutmasını zorunlu kılar. Sohbet botu bağlamında bu, hangi kullanıcının hangi verisinin ne zaman işlendiğini gösteren log kayıtları anlamına gelir. Kurul denetiminde bu kayıtlar 30 ila 90 gün içinde ibraz edilebilir durumda olmalıdır. Log kaydı olmayan bir sistemde ihlalin tespit edilmesi ve kanıtlanması da olanaksız hale gelir. ### Çocuklara yönelik hizmetlerde ek yükümlülükler var mı? 18 yaşın altındaki kullanıcılara hizmet veren platformlarda sohbet botunun rıza mekanizması, yasal temsilcinin onayını içerecek biçimde tasarlanmalıdır. Çocuğun kendi onayı KVKK kapsamında geçerli sayılmaz. [E-ticaret siteleri](/tr/e-ticaret-chatbot), oyun platformları veya eğitim hizmetleri sunan işletmeler bu konuyu sağlayıcıyla sözleşme aşamasında netleştirmelidir. ## Yaygın Hatalar ve Riskler ### Aydınlatma metni olmadan sohbet botu kullanmak ceza riski doğurur mu? Evet, doğurur. KVKK'nın 10. maddesi, veri sorumlusunun kişisel veri toplamadan önce aydınlatma yükümlülüğünü yerine getirmesini şart koşar. Bu yükümlülüğün ihlali 2026 itibarıyla 47.000 TL ile 1.000.000 TL arasında idari para cezası anlamına gelebilir. Sohbet botu arayüzünde aydınlatma metnine bağlantı vermek veya metni doğrudan göstermek bu riski ortadan kaldırır. ### Yurt dışı sunuculu bir bot kullanmak KVKK'yi ihlal eder mi? Kendiliğinden ihlal oluşturmaz, ancak hukuki dayanak sağlanmadan kullanmak ihlaldir. Sağlayıcının sunucusu Türkiye dışındaysa, ya kullanıcının açık rızası alınmalı ya da Kurul'un belirlediği standart sözleşme hükümleri uygulanmalıdır. Bazı sağlayıcılar Türkiye'de veri merkezi alternatifleri sunmaktadır; bu seçenek süreci önemli ölçüde basitleştirir. ## İleri Düzey: Stratejik Değerlendirmeler ### Sohbet botu sağlayıcısının ISO 27001 sertifikası yeterli midir? ISO 27001, bilgi güvenliği yönetim sistemi standardıdır ve KVKK uyumluluğu için gerekli teknik önlemlerin bir bölümünü karşılar. Ancak bu sertifika KVKK uyumluluğunu tek başına garanti etmez. KVKK'nın getirdiği açık rıza, aydınlatma ve yurt içi aktarım gibi hukuki gereklilikler ISO kapsamının dışındadır. Sertifika, teknik güvenliğin bir göstergesidir; hukuki uyumluluğun belgesi değildir. ### KVKK uyumluluğunu doğrulamak için hangi sorular sorulmalı? Bir sohbet botu sağlayıcısını değerlendirirken şu soruları sormak, uyumluluk düzeyini hızla netleştirir: - Kullanıcı verileri hangi ülkedeki sunucularda saklanıyor? - Veri İşleme Sözleşmesi (DPA) imzalanabilir mi ve içeriği nedir? - Veri silme talepleri ne kadar sürede ve nasıl yerine getiriliyor? - Veri ihlali olması durumunda müşteri nasıl bilgilendiriliyor? - Alt işleyenler kimlerdir ve bu taraflarla imzalanmış sözleşmeler var mı? - Rıza kayıtları nasıl depolanıyor ve denetim sırasında ibraz edilebiliyor mu? Bu sorulara net yanıt veremeyen sağlayıcılarla çalışmak, işletmeyi Kurul denetimine karşı savunmasız bırakır. ## KVKK Uyumlu Bir Sohbet Botunu Hayata Geçirin KVKK uyumlu bir yapay zeka sohbet botu seçmek, hem teknik hem hukuki bir karar sürecidir. [Palmate](/tr/yapay-zeka-chatbot), KVKK %100 uyumlu veri koruma ve güvenlik ilkelerini ürün mimarisinin merkezine koyarak Türkiye'deki işletmelere sunuyor. [Ücretsiz demo talebinde bulunun](/tr/iletisim) ve uyumluluk gerekliliklerini karşılayan bir kurulumu 2 dakikadan kısa sürede başlatın. ## Sıkça Sorulan Sorular ### KVKK uyumlu yapay zeka sohbet botu nedir? KVKK uyumlu bir sohbet botu; kişisel verileri yalnızca açık rıza temelinde işleyen, verileri Türkiye'de veya yeterli korumaya sahip bir ülkede saklayan ve sağlayıcıyla imzalanmış bir Veri İşleme Sözleşmesine (DPA) dayanan sistemdir. ### Sohbet botu için sunucu konumu neden önemlidir? KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarılmasını Kurul izni veya açık rıza olmadan yasaklar; bu nedenle sunucu konumu sözleşmede açıkça teyit edilmelidir. Türkiye'de veri merkezi seçeneği süreci önemli ölçüde basitleştirir. ### Aydınlatma metni olmadan sohbet botu kullanmak ceza riski doğurur mu? Evet. Aydınlatma yükümlülüğünün ihlali 2026 itibarıyla 47.000 TL ile 1.000.000 TL arasında idari para cezasına yol açabilir; metni bot arayüzünde göstermek bu riski ortadan kaldırır. ### Veri İşleme Sözleşmesi (DPA) hangi maddeleri içermelidir? DPA; işlenen veri kategorilerini, verilerin saklandığı ülkeyi, alt işleyenleri, 72 saatlik ihlal bildirim süresini ve sözleşme sonunda verilerin silinmesi ya da iadesi yöntemini kapsamalıdır. ### ISO 27001 sertifikası KVKK uyumluluğu için yeterli midir? Hayır. ISO 27001 teknik güvenliğin göstergesidir ancak açık rıza, aydınlatma ve yurt içi aktarım gibi hukuki gereklilikleri tek başına karşılamaz.