Bu hafta gündemin ağırlık merkezi yapay zekaya kaydı. Cumhurbaşkanı 13 Haziran'da 2026-2030 Türkiye Yapay Zeka Eylem Planı'nı açıkladı : dört eksen üzerine kurulu, "fark et, istifade et, üret ve yönet". Dördüncü eksen, "yönet", doğrudan düzenleyici çerçeve ve yönetişim demek. Aynı hafta, siber güvenlikte veri sızıntısına hapis cezası getiren kanun gündemde, KVKK aydınlatma ile açık rıza metinlerini ayırmayı zorunlu kıldı, idari para cezalarına itiraz rejimi değişti. Finansal suç cephesinde ise hem küresel veri hem de Türkiye'nin yeni "Dolunay" projesi aynı yönü gösteriyor. Ortak payda: düzenleyici beklenti hızlanıyor ve sorumluluk, operasyon ekibinden yönetim kuruluna taşınıyor.
2026-2030 Türkiye Yapay Zeka Eylem Planı bu tarihte Cumhurbaşkanı tarafından açıklandı. Dört eksenden biri olan "yönet" doğrudan düzenleyici çerçeve ve yönetişim. Kurumunuzun AI yönetişim çerçevesi, ulusal planla aynı dili konuşuyor mu?
→ Cumhurbaşkanlığı Dijital Dönüşüm Ofisi13 Haziran 2026'da Cumhurbaşkanı, 2026-2030 dönemini kapsayan Türkiye Yapay Zeka Eylem Planı'nı açıkladı. Plan dört temel eksen ve her eksende birbirini tamamlayan dört eylem üzerine kuruluyor: fark et (toplumsal farkındalık ve okuryazarlık), istifade et (kamudan sağlığa sektörel uygulama), üret (yerli model ve ekosistem) ve : kurumsal dünyayı doğrudan ilgilendiren eksen : yönet (düzenleyici çerçeve ve yönetişim).
Plan somut hedeflerle geldi: 81 ilde iki yılda 5 milyon vatandaşa AI okuryazarlığı eğitimi, 10 bin uzman ve 100 bin uygulama profesyoneli yetiştirme, kamu yatırımlarından AI projelerine en az %2 pay, ve altyapıda en az 10 milyar dolarlık özel sektör ağırlıklı kaynak. "Yönet" ekseni ise kullanıcı haklarını koruyan ve yatırımcıya öngörülebilirlik sağlayan bir düzenleyici çerçeve vaat ediyor. Kurumlar için kritik sinyal şu: AI yönetişimi bir "ileride bakarız" konusu olmaktan çıkıyor. Devlet bir alanı eksen düzeyinde "yönet" diye tanımladığında, regülatörün de aynı yöne bakması an meselesi. Bugün AI envanteri, kullanım politikası ve risk değerlendirmesi olmayan kurum, yarının düzenleyici beklentisine hazırlıksız yakalanır.
Kaynak: Cumhurbaşkanlığı · 2026-2030 Türkiye Yapay Zeka Eylem Planı, 13 Haziran 2026Devlet "yönetişim" dediğinde, bu er ya da geç bir denetim kriterine dönüşür. AI yönetişimini bugün kurumsal risk iştahına yazan kurum, yarın bir uyum yükümlülüğüyle karşılaştığında hazır olacak. Stratejiyi okuyup "bizi ilgilendirmez" diyen, aynı stratejinin denetim diline dönüşmesini bekleyecek.
Türkiye'nin siber güvenlik mevzuatı sertleşiyor. Gündemdeki düzenleme, siber uzayda veri sızıntısı sonucu kişisel veya kritik kamu hizmeti verilerini izinsiz erişime açan, paylaşan ya da satışa çıkaranlara hapis cezası öngörüyor. Daha dikkat çekici olan ikinci hüküm: gerçekte veri sızıntısı olmadığı halde "sızıntı olmuş gibi" algı oluşturarak kurumları hedef alanlara da ceza geliyor.
Yönetim kurulu açısından mesele yalnızca ceza değil, sorumluluğun yönü. Kritik altyapıların korunmasında görevinin gereklerine aykırı hareket ederek veri ihlaline sebebiyet verenler de kapsamda. Bu, siber güvenliği "IT'nin işi" olmaktan çıkarıp, gözetim sorumluluğu taşıyan üst yönetimin doğrudan gündemine taşıyor.
Kaynak: Siber Güvenlik Kanunu · TBMM Teklif MetniCeza maddesi bir kurumu korumaz : kurulan kontrol korur. "Sızıntı algısı" suçunun bile tanımlanması, itibar saldırılarının artık bir hukuki gerçeklik olduğunu gösteriyor. Bir kurumun en pahalı açığı, çoğu zaman teknik değil: kriz anında kimin neyi açıklayacağına dair belirsizliktir.
Sayı 02'de KVKK'nın "açık rıza her şeyi meşrulaştırmaz" mesajını işlemiştik. Bu hafta aynı çizginin somut bir uygulama kuralı netleşti: 2026/347 sayılı İlke Kararı ile aydınlatma metni ve açık rıza metninin iç içe sunulması hukuka aykırı sayılıyor. İki metin nitelik olarak farklı : biri bilgilendirme yükümlülüğü, diğeri bir irade beyanı : ve artık ayrı ayrı düzenlenip sunulmaları gerekiyor.
Kurul'un hukuka aykırı saydığı uygulamalar tanıdık: çok uzun ve karmaşık metinler, aydınlatma yapıldığına dair "okudum-anladım" onayı alınması, iki metnin tek bir form içinde birleştirilmesi. Bu, her kurumun web sitesi, İK onboarding süreci ve müşteri sözleşmelerindeki standart metinleri doğrudan etkiliyor.
Kaynak: KVKK · İlke Kararı 2026/347 · Aydınlatma ve Açık Rıza Metni AyrımıEMEA'da bankaların %61'i, Temmuz 2027 öncesinde yeni işlem izleme araçlarına yatırım yapmayı planlıyor. Finansal suçla mücadele artık bir uyum gideri değil, bir teknoloji ve yönetişim dönüşümü.
→ pwc.com.tr · 2026 EMEA AML Araştırması (40 ülke, 531 kurum)Finansal suç cephesinde iki sinyal aynı yöne işaret ediyor. Küresel tarafta PwC'nin 40 ülke ve 531 finansal kuruluşu kapsayan 2026 EMEA AML Araştırması, AML dönüşümünün artık "daha fazla kontrol eklemek" değil, veri kalitesi, teknoloji altyapısı ve operasyonel kapasitenin birlikte ele alınması meselesi olduğunu ortaya koyuyor. EMEA kurumlarının üçte biri önümüzdeki yıllarda AML maliyetlerinde %10-30 artış bekliyor; yarısından fazlası uyum baskısının operasyonel aksaklık yaratacağını öngörüyor.
Türkiye tarafında ise "Dolunay" projesi gündemde: Emniyet, Jandarma, MASAK, BTK, BDDK ve savcılıkları tek bir dijital çatı altında, yapay zeka destekli bir kalkanda birleştirmeyi hedefleyen bir yapı. Mesaj açık: denetim mercileri verilerini birleştiriyor. Kurumların KYC, CDD ve şüpheli işlem süreçlerindeki dağınık, düşük kaliteli verisi : artık çok daha görünür bir risk.
Kaynak: PwC 2026 EMEA AML Araştırması · Dolunay Projesi (İçişleri Bakanlığı açıklaması)Regülatör verisini birleştirdiğinde, kurumun veri kalitesi bir uyum maliyeti olmaktan çıkıp bir maruziyet kalemine dönüşür. PwC'nin EMEA bulgusu Türkiye için de geçerli: AML'nin asıl sorunu kural eksikliği değil, kurumların kendi verisini tanımaması. Temiz olmayan müşteri verisi, en pahalı denetim bulgusudur.
2024 reformuyla başlayıp 2026'da yerleşen bir değişiklik, yönetim kurulunun cezaya bakışını değiştiriyor: KVKK idari para cezalarına itirazlar artık Sulh Ceza Hakimliklerine değil, İdare Mahkemelerine yapılıyor. Dava açma süresi kararın tebliğinden itibaren 60 gün ve : kritik nokta : dava açmak cezanın tahsilatını kendiliğinden durdurmuyor. Tahsilatı durdurmak için mahkemeden ayrıca "yürütmenin durdurulması" talep edilmesi gerekiyor.
2026 yeniden değerleme oranıyla artan cezalar ve istinaf sınırının düşüklüğü, neredeyse her cezanın üst mahkeme denetimine açık olduğu anlamına geliyor. Yani KVKK uyumu artık bir "itibar projesi" değil, doğrudan bir finansal risk yönetimi konusu : ödenmeyen bir cezanın faiziyle birlikte bilançoya yansıması, dava sürecinde bile devam edebilir.
Kaynak: 6698 sayılı KVKK · İtiraz Rejimi Değişikliği (İdare Mahkemeleri)AI araçları bireysel ve kontrolsüz kullanılıyor. Kurumsal envanter, politika ve farkındalık yok.
Bir sorun ya da haber çıkınca harekete geçiliyor. Politika taslakları var ama uygulanmıyor.
AI envanteri çıkarıldı. KVKK uyumu ve risk değerlendirme süreci başladı. Shadow AI haritalanıyor.
AI yönetişim çerçevesi aktif. Üst yönetim raporlaması ve denetim döngüsü işliyor.
AI riski kurumsal risk iştahına entegre. Kurul seviyesinde izleme. Ulusal eylem planı ve AB AI Act ile hizalı.
PwC 2026 EMEA AML Araştırması'na 40 ülkeden katılan finansal kuruluş sayısı : sahadaki tabloyu ortaya koyan en geniş bölgesel çalışmalardan biri.
Kaynak · PwC EMEA AML Survey 2026AB'deki finansal kuruluşların yalnızca üçte biri, Temmuz 2027 itibarıyla AB AML Paketi'ne hazır olmayı bekliyor.
Kaynak · PwC EMEA AML Survey 2026Eylem planı kapsamında 81 ilde, iki yılda AI okuryazarlığı eğitimi verilmesi hedeflenen vatandaş sayısı : "fark et" ekseninin somut hedefi.
Kaynak · Türkiye AI Eylem Planı 2026-2030Veri merkezi, bulut ve AI altyapısında harekete geçirilmesi hedeflenen, özel sektör ağırlıklı asgari kaynak : "yönet" ekseninin altyapı taahhüdü.
Kaynak · Türkiye AI Eylem Planı 2026-2030Nedir? Web sitelerinde, İK formlarında ve sözleşmelerde aydınlatma metni ile açık rıza metninin tek bir blokta, çoğu zaman "okudum, kabul ediyorum" kutucuğuyla birleştirilmesi. 2026/347 İlke Kararı bunu açıkça hukuka aykırı sayıyor.
Kurumsal etki: Bu ihlal "görünür" : denetçi ya da şikâyetçi, kurumun web sitesine bakarak tespit edebilir. Yani diğer birçok KVKK riskinin aksine, ispatı kolay ve yaygın. Neredeyse her kurumun mevcut metinleri bu riski taşıyor.
Temel gerçek: Aydınlatma bir yükümlülük, rıza bir irade beyanıdır. İkisini birleştirmek, rızayı sakatlar ve aydınlatmayı geçersiz kılar : tek bir tasarım hatası, iki ayrı ihlal üretir.
Eylem planının "yönet" ekseni düzenleyici çerçeveye işaret ederken, kurumunuzun ilk adımı bir AI envanteri olmalı. Her departman için şu beş soruyu sorun: (1) Hangi AI araçları kullanılıyor : onaylı ve onaysız (Shadow AI) dahil? (2) Bu araçlara hangi kurumsal/kişisel veri giriliyor? (3) Aracın verisi nerede, hangi ülkede işleniyor? (4) Aracın çıktısı bir karar sürecini (işe alım, kredi, fiyatlama) etkiliyor mu? (5) Bu kullanımın hukuki dayanağı ve bir sorumlusu var mı? Bu beş yanıt, kurumunuzun AI risk haritasının temelidir : ve regülatör sorduğunda hazır cevabınız olur.
→ Bu beş soruyu doldurulabilir bir kontrol listesi olarak indirin (Sayı 03 eki)
Eylem planının "üret" ekseni, vatandaşların ve kurumların değer üretmesini sağlayacak yerli yapay zeka modellerinin geliştirilmesini hedefliyor; bu kapsamda Oğuz, Kıpçak ve Karluk dillerini kapsayan bir Türk dilleri büyük dil modeli gündemde. Devletin yerli model ve yurt içi veri işleme vurgusu, kurumsal dünyaya doğrudan bir sinyal: yurt dışı AI servislerine kritik veri akışı, yalnızca bir KVKK sorunu değil, giderek stratejik bir bağımlılık meselesi.
Türk kurumlarının çoğu bugün ChatGPT, Gemini ya da Copilot gibi araçlara, verinin nereye gittiğini sorgulamadan kurumsal bilgi giriyor. Plan yerli üretimi ve "yönet" eksenindeki düzenleyici çerçeveyi olgunlaştırdıkça, bu kullanım hem uyum hem de tedarik riski açısından mercek altına girecek.
İç denetçiler için pratik not: Bir sonraki denetim planına "Kurumsal AI Kullanımı ve Veri Yerleşimi" başlığını ekleyin. Hangi verinin hangi yurt dışı modele aktığını bilmeyen kurum, taşıdığı bağımlılık ve uyum riskini de bilemez.
Dört eksen: fark et, istifade et, üret, yönet. "Yönet" ekseni kurumsal AI yönetişiminin yön referansı : iletisim.gov.tr
Aydınlatma ve açık rıza metinlerinin ayrı sunulmasını zorunlu kılan karar. Her kurumun dijital temas noktasını etkiler : kvkk.gov.tr
40 ülke, 531 finansal kuruluş. AML dönüşümünün veri ve teknoloji boyutunu ortaya koyan bölgesel referans : pwc.com.tr
Veri sızıntısı ve "sızıntı algısı" suçlarını düzenleyen teklif. Kritik altyapı ve gözetim sorumluluğu için temel okuma : turkishlawblog.com
Cezalara itirazın İdare Mahkemesine taşınması ve "yürütmenin durdurulması" inceliği. Uyumun finansal boyutu için kritik analiz.
Bu sayıyla birlikte hazırladığımız "Kurumsal AI Envanteri : 5 Soruluk Kontrol Listesi"ni indirip yönetim kurulunuzla ve iç denetim ekibinizle paylaşın. Bir gelişmeyi okumakla, onu kurumunuzda uygulanabilir bir araca çevirmek arasındaki fark budur.
Bu hafta beş ayrı gelişme aynı şeyi söyledi: yapay zeka, siber güvenlik ve veri yönetişimi artık ayrı başlıklar değil, tek bir gözetim sorumluluğunun parçaları. Devlet yeni AI eylem planını dört eksen üzerine kurup "yönet"i ayrı bir eksen yaparken, kurumların da kendi yönetişimini "ileride" değil bugün kurması gerekiyor. The Governance, bu gelişmeleri haber olarak değil, kararlarınızı etkileyen birer gündem maddesi olarak ele alır. Sorular için her zaman açığım.