KVKK Uyumlu AI Çağrı Merkezi Kurmak: 2026 Mersin Kontrol Listesi

Neden Şimdi? 2026'da KVKK Cezaları ve Çağrı Merkezi Denetimleri

Kişisel Verileri Koruma Kurulu, 2024-2026 döneminde çağrı merkezi denetimlerini belirgin şekilde sıkılaştırdı. Yayımlanan kurul kararları, sadece aydınlatma metni eksikliği nedeniyle uygulanan idari para cezalarının 300.000 TL bandına ulaştığını gösteriyor. Açık rıza alınmadan yapılan ses kaydı işleme faaliyetlerinde ceza tabanı 500.000 TL'den başlıyor; tekrar eden ihlallerde 1.000.000 TL'yi geçen yaptırımlar mevcut.

Yapay zeka destekli çağrı analizi, transkripsiyon ve özetleme bu denkleme yeni bir katman ekledi. Görüşme metni artık yalnızca ses dosyası olarak değil; OpenAI, Anthropic, Azure OpenAI gibi yurt dışı yerleşik veri işleyenler üzerinden geçen yapılandırılmış metin olarak da işleniyor. Bu durum, kurulun yurt dışı aktarım maddesini doğrudan çağrı merkezi operasyonlarının merkezine taşıdı.

Mersin'de faaliyet gösteren özel okullar, sağlık kuruluşları, mali müşavirler, oto servisler ve butik otellerin büyük çoğunluğu hâlâ 2018 yılında hazırlanmış aydınlatma metinleriyle çalışıyor. AI çağrı analizi devreye alındığı andan itibaren bu metinler yetersiz hâle geliyor; kurum eski uyumlu durumundan çıkıp, denetim hedefi konumuna geçiyor. 2026 ölçüt yılıdır: AI'ı operasyonuna dahil eden her kurum, KVKK uyumunu sıfırdan değerlendirmek zorundadır.

10 Maddelik 2026 Kontrol Listesi

1. Aydınlatma Metni Güncel mi?

Ne: KVKK m.10 gereği, kişisel veri işlenen her temas noktasında veri sahibine veri sorumlusunun kimliği, işleme amacı, hukuki sebep, aktarım yapılan üçüncü taraflar ve haklar bildirilmelidir. Nasıl: Aydınlatma metniniz "AI tabanlı transkripsiyon ve analiz" ifadesini açıkça içermelidir. "Ses kaydı alınmaktadır" ifadesi 2026 için yetersizdir. Metin; transkripsiyon, sentiment analizi, otomatik özetleme, eğitim verisi olarak kullanım, yurt dışında konumlu işleyenler maddelerini ayrı ayrı saymalıdır. Somut örnek: Mersin'de bir özel okulun kayıt hattındaki IVR anonsu — "Görüşmemiz hizmet kalitesi için kayıt altına alınmaktadır" cümlesi tek başına yeterli değildir. 2026 uyumlu versiyon: "Görüşmemiz; ses kaydı, metne dönüştürme, yapay zekâ destekli özetleme ve raporlama amaçlarıyla işlenmektedir. Detaylı aydınlatma metnine web sitesi üzerinden erişebilirsiniz."

2. Açık Rıza Akışı Var mı?

Ne: Aydınlatma metni bilgilendirme; açık rıza ise işlemenin hukuki sebebidir. AI tabanlı analiz çoğu zaman m.5/2 istisnalarına girmez — bu yüzden açık rıza zorunludur. Nasıl: İki katmanlı bir akış kurulmalıdır. (1) Geliş anında IVR — "AI destekli analiz için 1'e, sadece operatör görüşmesi için 2'ye basın." Bu seçim CDR'a kaydedilmeli, açık rıza tarihçesi tutulmalıdır. (2) Web ve form temas noktaları — KVKK aydınlatması ile ayrı bir kutucuk. Tek tıkla iki onay birleştirilemez; aksi durum kurul kararlarında "geçersiz rıza" sayılır. Somut örnek: Tarsus'ta bir diş hekimi kliniğinde randevu formundaki "KVKK metnini okudum ve onaylıyorum" tek kutucuğu uyumlu değildir. Doğrusu: (1) Aydınlatma metnini okudum — bilgilendirme kutusu; (2) Görüşmemin AI destekli sentiment ve özet analizine tabi tutulmasına açık rıza veriyorum — ikinci, ayrı kutu. İkinci kutu işaretlenmeden AI analizi tetiklenmemelidir.

3. Veri İşleyen Sözleşmesi (DPA) İmzalı mı?

Ne: KVKK m.12 gereği, veri sorumlusu (kurumunuz) ile veri işleyen (santral sağlayıcı, AI servisi, hosting) arasında yazılı bir Veri İşleme Sözleşmesi (DPA — Data Processing Agreement) bulunmalıdır. Nasıl: DPA; teknik tedbirleri, idari tedbirleri, alt-işleyen listesini, ihlal bildirim süresini ve denetim hakkını net şekilde tanımlamalıdır. Santral sağlayıcınızdan alınan tek sayfalık "gizlilik taahhüdü" yeterli değildir. Somut örnek: Çağrı merkezi platformu kullanıyorsanız sözleşmede şu maddelerin bulunması beklenir: (a) AES-256 at-rest şifreleme, (b) TLS 1.3 in-transit şifreleme, (c) 72 saatlik ihlal bildirim yükümlülüğü, (d) alt-işleyen olarak kullanılan AI sağlayıcılarının listesi (örn. OpenAI, Anthropic) ve bunların hangi ülkelerde veri işlediği, (e) sözleşme bitiminde 30 gün içinde verilerin silinmesi taahhüdü. 324 Ajans Bilgi Teknolojileri tarafından geliştirilen GalagoAI, DPA şablonunu kurumsal vaka kapsamında hazır olarak sağlar.

4. VERBİS Kaydı Yapıldı mı?

Ne: Belirli eşikleri aşan veri sorumluları Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt yaptırmalıdır. Eşikler 2024-2025 döneminde güncellendi: yıllık çalışan sayısı 50'den fazla veya yıllık mali bilanço toplamı 100 milyon TL'den fazla olan veri sorumluları kayıt yükümlüsüdür. Sağlık ve özel nitelikli veri işleyenler eşik aranmaksızın kayıt yaptırmalıdır. Nasıl: Kayıt yalnızca "VERBİS sicil numarası alma" değil; işleme envanteri çıkarmaktır. AI çağrı analizi devreye alındığında envanter güncellenir: ses kaydı, transkript metni, sentiment skoru, eğitim önerileri ayrı veri kategorileri olarak listelenir. Somut örnek: 6 şubeli bir kurs merkezinde envantere şu satırların eklenmesi gerekir: "Veli görüşmesi ses kaydı — saklama süresi 365 gün — alt-işleyen GalagoAI", "Görüşme transkripti — saklama süresi 730 gün — alt-işleyen GalagoAI", "AI sentiment skoru — saklama süresi 730 gün — yurt dışı aktarım: OpenAI ABD". Bu üç satır çoğu kurumun envanterinde eksiktir.

5. Ses Kayıtları Şifreli mi? (Hem At-Rest Hem In-Transit)

Ne: KVKK m.12 "veri güvenliğine ilişkin yükümlülükler" başlığı altında uygun teknik tedbirleri zorunlu kılar. Kurul kararlarında şifrelemenin somut bir teknik tedbir olduğu defalarca vurgulanmıştır. Nasıl: İki katman şart. At-rest (depolama): AES-256 disk veya dosya seviyesinde şifreleme. Standart Linux server'ında varsayılan değildir; LUKS veya dosya seviyesi GPG ile sağlanır. In-transit (aktarım): Tüm SIP trunk'lar SRTP, web arayüzü TLS 1.3, AI servislere giden API çağrıları HTTPS + sertifika doğrulama. Somut örnek: Bir oto servis, çağrı kayıtlarını paylaşımlı NAS'ta tutuyorsa ve NAS'a SMB üzerinden bağlanıyorsa hem at-rest hem in-transit şifreleme yoktur. Bu yapı 2026 denetiminde yetersiz teknik tedbir olarak işaretlenir.

6. Yurt Dışı Aktarım Açık Rızası Var mı? (OpenAI/Anthropic ABD)

Ne: KVKK m.9, kişisel verinin yurt dışına aktarılmasını açık rıza veya Kurul tarafından onaylanmış "yeterli koruma sağlayan" ülke listesi koşuluna bağlar. ABD bu listede yer almıyor. OpenAI, Anthropic, Google Gemini gibi AI sağlayıcıların büyük bölümü ABD merkezlidir. Nasıl: AI tabanlı analiz yapan her kurum, görüşme metninin yurt dışındaki AI sağlayıcılarına gönderileceğine dair ayrı, açık, ispatlanabilir rıza almak zorundadır. Genel KVKK rızası bunu kapsamaz. Somut örnek: Bir butik otelin online rezervasyon formunda "Tarafıma KVKK m.5'e göre kişisel verilerimin işlenmesine onay veriyorum" cümlesi yeterli değildir. Ek olarak: "Görüşme transkriptimin yapay zekâ analizi amacıyla ABD'de yerleşik OpenAI Inc. ve Anthropic PBC sağlayıcılarına aktarılmasına KVKK m.9 kapsamında açık rıza veriyorum" ifadesinin ayrı bir kutucukta alınması zorunludur.

7. Veri Saklama Süresi Belirli mi?

Ne: KVKK m.7, verilerin "işlenme amacının ortadan kalkması" durumunda silinmesini, yok edilmesini veya anonim hâle getirilmesini emreder. "Süresiz saklama" doğrudan ihlaldir. Nasıl: Kurumsal Saklama ve İmha Politikası yazılı olmalı, çağrı tipi bazında süreler belirlenmeli, sistem otomatik silmeyi tetiklemelidir.

• Ses kaydı (genel müşteri görüşmesi): 90-365 gün
• Transkript metni: 365-730 gün
• Sentiment/analiz skoru: 730 gün
• Şikâyet kayıtları (zamanaşımına tabi): 10 yıl
• Pazarlama amaçlı çağrılar: 6 ay

Somut örnek: Mali müşavirlik bürosu için saklama planı: müşteri görüşmesi 365 gün, vergi danışmanlığı içerikli görüşme 5 yıl (TTK + VUK saklama gereği), denetim ihtilaf kaydı 10 yıl. Bu süreler hem KVKK uyumu hem hukuki ispat için birlikte planlanmalıdır.

8. PII Maskeleme Aktif mi? (Log, Transkript, AI Prompt)

Ne: PII (Personally Identifiable Information — Kişiyi Tanımlayan Bilgi), gereksiz yerlerde tutuldukça veri ihlali riski katlanır. Loglarda, AI promptlarında, debug çıktılarında TC kimlik, kart numarası, IBAN gibi alanların otomatik maskelenmesi beklenir. Nasıl: Üç noktada maskeleme uygulanmalı. Sistem logları: TC kimlik (11 hane), telefon, IBAN, kart numarası regex bazlı maskelenir. AI prompt katmanı: Transkript AI'a gönderilmeden önce hassas alanlar [REDACTED] ile değiştirilir; analiz yine de doğru çalışır. Görüntülenen panel: Yetkisiz kullanıcılara TC kimliğin yalnızca son 4 hanesi (*******1234) gösterilir. Somut örnek: Bir sağlık kuruluşunda görüşme şu cümleyi içerebilir: "TC kimlik numaram 12345678901 ve doğum tarihim...". Maskeleme aktifse AI'a giden prompt şu hâle gelir: "TC kimlik numaram [TC_REDACTED] ve doğum tarihim [DATE_REDACTED]...". Bu, hem yurt dışı aktarımdaki veri yüzeyini hem ihlal anındaki riski azaltır.

9. Veri Sahibi Başvuru Kanalı Açık mı?

Ne: KVKK m.11 ile veri sahibine; verilerinin işlenip işlenmediğini öğrenme, silme talep etme, düzeltme talep etme, aktarıldığı üçüncü tarafları öğrenme hakkı tanınmıştır. Kurum bu başvurulara 30 gün içinde yanıt vermek zorundadır. Nasıl: Açık bir başvuru kanalı şarttır: web sitesinde /kvkk-basvuru veya /iletisim sayfası, KEP adresi (5070 sayılı yasa kapsamında ispat değeri en yüksek olanı), Standart Veri Sahibi Başvuru Formu (PDF, doldurulabilir), içeride başvuru takip log'u — başvuru tarihi, talep türü, yanıt tarihi. Somut örnek: Mersin'de bir kolejde veli, çocuğuna ait kayıt görüşmesinin silinmesini talep ederse; 30 gün içinde hem ses kaydı, hem transkript, hem AI analiz çıktısı, hem CDR satırı, hem yedeklerden silinmeli; silme aksiyonu tarih damgalı log'la kayda alınmalı; veliye yazılı yanıt verilmelidir.

10. İhlal Bildirim Prosedürü Var mı?

Ne: KVKK m.12/5, veri ihlali tespitinden itibaren en kısa sürede, en geç 72 saat içinde Kurul'a bildirim yapılmasını zorunlu kılar. Ayrıca etkilenen veri sahiplerine de bildirim yapılmalıdır. Nasıl: Yazılı bir "İhlal Müdahale Prosedürü" hazır olmalıdır. İhlal kaynağının izolasyonu (etkilenen sistem kapatılır); etki kapsamı çıkarılır (hangi veriler, kaç veri sahibi, hangi süre); KVKK Bildirim Formu doldurulur — 72 saatlik kronometre tespit anında başlar; etkilenen veri sahiplerine bireysel bildirim (e-posta, SMS, gerekirse iadeli taahhütlü posta); içeride kök neden analizi ve düzeltici aksiyon — yazılı raporla. Somut örnek: Çağrı sunucusuna yetkisiz erişim olduğu gece 23:00'te tespit edildiğinde; saat tam o anda kronometre başlar. Cuma akşamı tespit, pazartesi 23:00'a kadar Kurul'a bildirim — 72 saat. Hafta sonu mesai dışı diye gecikme kabul edilmez.

Sektörel İpuçları

Eğitim kurumları (özel okul, kolej, kurs): Veli görüşmelerinde sıklıkla öğrenci ismi, doğum tarihi ve okul bilgileri geçer. Bunlar 6698 sayılı yasa kapsamında özel nitelikli veri olmamakla birlikte, çocuğa ait kişisel veri olarak ayrı bir hassasiyet taşır. Aydınlatma metninde "küçüğe ait veri" maddesi ayrı bölümle ele alınmalıdır. Sektörel sayfa: galagoai.com/sektorler/egitim.

Sağlık kuruluşları (klinik, diş hekimi, fizik tedavi): Sağlık verisi KVKK m.6 kapsamında özel nitelikli kişisel veridir ve işlenmesi için ek koşullar gerekir. AI analizi yapılması durumunda alt-işleyenlerin de bu kategorideki verilere erişiminin sınırlandırılması zorunludur. Sağlık kurumlarında PII maskeleme standart değil, varsayılan olmalıdır.

Mali müşavir, hukuk bürosu: Mesleki sır yükümlülüğü (3568 sayılı yasa, Avukatlık Kanunu m.36) KVKK'nın üstünde ek bir yükümlülük katmanıdır. AI servisine giden transkriptler için "mesleki sırrı koruyan teknik tedbir" — örneğin tam PII maskeleme + mahkemece tanınan zero-retention sözleşmesi — gereklidir.

Sık Sorulan Sorular

Soru 1: AI çağrı analizi yapan bir santral kullanmak KVKK'ya aykırı mı?

Hayır, aksine; doğru kurgulandığında AI analizi KVKK uyumunu güçlendirir. Otomatik PII maskeleme, denetlenebilir audit log, otomatik silme tetikleyicileri, sistematik raporlama — bunların hiçbiri manuel operasyonda mümkün değildir. Uyumsuzluk AI'dan değil, AI'ı eski rıza ve sözleşme altyapısı üzerine bindirmekten doğar.

Soru 2: Ses kaydı için açık rıza alamadık, AI analizi yapamaz mıyız?

Açık rıza eksikse kaydın kendisi de hukuka aykırıdır. Önce kayıt için açık rıza akışı kurulur, sonra AI analizi için ikinci, ayrı açık rıza alınır. İki rızanın tek kutucukta birleştirilmesi KVKK Kurulu kararlarında geçersiz sayılmıştır. Yeni başvuranlardan rıza alınır, eski kayıtlar için ek bilgilendirme akışı tasarlanır.

Soru 3: OpenAI'a giden transkript için her aramada ayrı rıza mı almalıyım?

Hayır. Bir defa alınan açık rıza, kapsamı net şekilde tanımlanmışsa geçerliliğini sürdürür. Önemli olan rızanın "AI analizi", "yurt dışı aktarım" ve "ABD'de yerleşik sağlayıcı" maddelerini ayrı ayrı içermesi ve veri sahibine istediği zaman geri alma hakkı tanımasıdır. Geri alma anından itibaren analiz durdurulur.

Soru 4: Şirketim küçük, VERBİS'e kaydolmak zorunda mıyım?

50'den az çalışanlı ve yıllık mali bilanço toplamı 100 milyon TL'nin altındaki işletmeler eşik dışıdır — VERBİS kaydı zorunlu değildir. Ancak özel nitelikli veri işleyenler (sağlık kuruluşları, hukuk büroları gibi mesleki sır taşıyan kurumlar) eşik aranmaksızın kayıt yükümlüsüdür. Eşik dışı olmak diğer KVKK yükümlülüklerinden muafiyet anlamına gelmez.

Soru 5: KVKK denetimi sırasında ilk hangi belgeyi sorarlar?

KVK Kurulu denetimlerinde en sık talep edilen üç belge: (1) güncel aydınlatma metni, (2) imzalı veri işleme sözleşmeleri (DPA) ve (3) işleme envanteri. Bu üçü yoksa veya tutarsızsa denetim derinleşir; rıza tarihçesi, audit log'lar, retention politikası ve ihlal müdahale prosedürü istenir. İlk üçünün eksiksiz olması denetimin yüzeysel kalmasını sağlar.

Sonuç ve Sonraki Adım

KVKK uyumlu bir AI çağrı merkezi, ayrı ayrı çözülen 10 sorunun toplamı değil; tek bir mimarinin parçalarıdır. Aydınlatma metni, açık rıza akışı, DPA, VERBİS envanteri, şifreleme, retention, PII maskeleme, veri sahibi başvuru kanalı ve ihlal bildirim prosedürü — bu maddeler birbirine bağlıdır. Birinde eksik kalan kurum, diğer dokuzu eksiksiz yaptığında bile denetimde yetersiz sayılır.

Mersin'de KVKK uyumunu sıfırdan kurmak isteyen kurumlar için yapılandırılmış bir yol vardır: Mersin İlk 50 Kurumsal Partner programı kapsamında 10 öncü kuruma ayrılan kurumsal vaka, KVKK uyum altyapısının A'dan Z'ye kurulmasını içerir. Aydınlatma metni şablonu, DPA, VERBİS envanteri, retention politikası ve ihlal müdahale prosedürü partner paketinin standart parçasıdır.