Shadow AI: Çalışanlar ChatGPT’ye Şirket Verisi Yapıştırıyor — KOBİ‘ler İçin Eylem Planı
16.05.2026
10:48
Xen Bilişim
Geçen ay üç ayrı müşterimizde aynı senaryoyla karşılaştık: bir satış müdürü ChatGPT'ye fiyat listesini yapıştırıyor, bir muhasebeci aylık mizan tablosunu ücretsiz bir özetleme aracına yüklüyor, bir İK uzmanı performans değerlendirme notlarını Gemini'a okutuyor. Hiçbiri kötü niyetli değildi — sadece daha hızlı iş çıkarmak istiyorlardı. İşte tam olarak Shadow AI bu: BT departmanının haberi olmadan, kurumsal politika dışında yapılan üretken yapay zekâ kullanımı. Bu yazıda 2026 itibarıyla riskin neden patladığını, KVKK'nın Mart 2026 rehberinde ne dediğini ve KOBİ'lerin somut olarak ne yapması gerektiğini anlatıyorum.
Shadow AI Nedir ve Neden 2026'da Bir Krize Dönüştü?
Shadow AI, çalışanların şirket onayı olmadan tarayıcı sekmesinden veya kişisel hesaplardan eriştiği yapay zekâ araçlarının iş süreçlerinde kullanılması. ChatGPT'nin ücretsiz versiyonu, Gemini, Claude, DeepSeek, Perplexity, Notion AI — liste her hafta uzuyor. Sorun şu ki, bu araçların büyük çoğunluğu yapıştırılan veriyi model eğitiminde veya log analizinde kullanma hakkını kullanım şartlarında saklı tutuyor.
2026 ortalarında durum şu noktaya geldi:
%98 organizasyon, çalışanlarının onaysız AI aracı kullandığını raporluyor.
%67 beyaz yakalı çalışan iş yerinde AI kullanırken, sadece %18 şirketin yazılı AI politikası var.
%77 kullanıcı düzenli olarak kopyala-yapıştır yapıyor; bu yapıştırmaların %22'si kişisel veri (PII) veya ödeme bilgisi içeriyor.
IBM 2025 "Cost of a Data Breach" raporuna göre Shadow AI kaynaklı veri ihlalinin ortalama maliyeti 4,63 milyon dolar — sıradan veri ihlalinin 670 bin dolar üzerinde.
Bu rakamlar dünya çapında. Türkiye KOBİ pazarında durum daha mütevazı görünse de, KVKK'nın bir yıl içinde Shadow AI kaynaklı ihlaller için cezalara başlayacağını gösteren çok sayıda sinyal var.
KOBİ'lerde Hangi Veriler Sızıyor?
Saha deneyimimiz ve global anket verileri örtüşüyor. En sık sızdırılan veri tipleri:
Veri Tipi
Sızdıran Departman
Tipik Senaryo
Müşteri listesi / CRM ihracı
Satış, Pazarlama
"Bu müşterilere e-posta taslağı yaz"
Mali tablo, mizan, bütçe
Muhasebe, Finans
"Bu rakamları yorumla, anomali bul"
Sözleşme, NDA, ihale dökümanı
Hukuk, Satınalma
"Bu sözleşmeyi özetle, risk maddelerini çıkar"
Kaynak kodu, API anahtarı
Yazılım, BT
"Bu fonksiyonu optimize et" (anahtar dahil yapıştırılıyor)
Personel maaş ve performans verisi
İK
"Bu değerlendirmeleri özet rapora çevir"
Hasta / müvekkil bilgisi
Sağlık, Hukuk büroları
"Bu kayıttan rapor çıkar"
2023'teki Samsung vakası hâlâ ders niteliğinde: üç yarı iletken mühendisi tek bir ay içinde kaynak kodu, toplantı transkripti ve çip verim test sonuçlarını ChatGPT'ye yapıştırdı. Veri, OpenAI sunucularına gitti ve Samsung birkaç gün içinde tüm üretken AI araçlarını kurumsal cihazlarda yasakladı. KOBİ'ler için ders açık: bir mühendisin "sadece bir kez" yapıştırması bile yeterli.
KVKK Bu Konuda Ne Diyor?
Kişisel Verileri Koruma Kurumu, Mart 2026'da "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" rehberini yayımladı. Rehber özetle şu üç noktayı vurguluyor:
Veri sorumlusu sıfatı çalışanı değil, şirketi koruma altına almıyor. Çalışan ChatGPT'ye PII yapıştırırsa, KVKK ihlali işverenin sorumluluğudur.
Açık rıza ve aydınlatma yükümlülüğü AI araçlarına aktarılan veriler için de geçerlidir. Müşterinizin verisini yurt dışındaki bir LLM'e yollamak, yurt dışına veri aktarımı sayılır ve ayrıca koruma kurulu kararı gerektirebilir.
Şirket içi yazılı politika ve eğitim zorunludur. Politikası olmayan şirket, ihlal halinde "gerekli teknik ve idari tedbiri almadı" sayılarak ceza limitinin üst bandında değerlendiriliyor.
2026 KVKK ceza üst sınırı 21,4 milyon TL'ye çıktı. Tek bir Shadow AI olayı için bu ceza yazılır mı? Yazılır — özellikle veri ihlal bildirimi 72 saat içinde yapılmazsa.
Microsoft 365 Copilot da Risk mi?
Evet, ne yazık ki kurumsal araçlar da kusursuz değil. 21 Ocak 2026'da Microsoft, 365 Copilot Chat'in "Work" sekmesinde bir kod hatası nedeniyle yaklaşık dört hafta boyunca sensitivity label (gizlilik etiketi) ile işaretlenmiş Outlook e-postalarını yanlış işlediğini kabul etti. Olay, sekiz ay içinde aynı türden ikinci hataydı ve etkilenen kurumlar arasında İngiltere'nin NHS'i de vardı.
Yani Copilot'a 5,4 milyar dolarlık abonelik geliriyle güvenen kurumlar bile %100 koruma altında değil. Bizim çıkarımımız: tek savunma katmanı yetmez. Sensitivity label + Microsoft Purview DLP + Defender for Cloud Apps üçlüsünü birlikte konuşlandırmak şart.
KOBİ'ler İçin 5 Adımlık Eylem Planı
Görünürlüğü kazan. Microsoft Defender for Cloud Apps veya Sophos Cloud Optix gibi bir cloud access security broker ile son 30 günde çalışanların hangi AI sitelerine eriştiğini raporla. Çoğu şirket için ilk rapor şok ediyor.
Yazılı AI Kullanım Politikası yayımla. Üç sayfayı geçmeyen, "ne yapılır / ne yapılmaz" listesi olan bir doküman yeterli. KVKK rehberinin Ek-A'sındaki örnek metni temel alabilirsiniz.
Onaylı kurumsal araç sağla. Çalışanlar yine de AI kullanacak — bunu inkâr etmek faydasız. Microsoft 365 Copilot (Business Premium üzerinde +30 USD/ay kullanıcı başı) veya ChatGPT Enterprise gibi kiracı verisini model eğitiminde kullanmayan bir araç verin.
Sensitivity label + Purview DLP konuşlandır. En kritik üç etiket: Genel / Dahili / Gizli. Gizli etiketli içerikler Copilot tarafından özetlenemez, dış AI'a yapıştırılamaz (endpoint DLP ile).
Çeyrekte bir 30 dakikalık eğitim. Gerçek vakalar (Samsung, NHS, KVKK uyarıları) anlatın. Slayt değil — sohbet formatı işe yarıyor.
Hangi Araçlar Hangi Sorunu Çözer?
İhtiyaç
Önerilen Çözüm
Aylık Yaklaşık Maliyet (kullanıcı)
AI trafiği görünürlüğü
Microsoft Defender for Cloud Apps
~5 USD (E5 ile dahil)
Veri etiketleme + Copilot DLP
Microsoft Purview (Business Premium + AI Add-on)
10-12 USD
Onaylı kurumsal AI
Microsoft 365 Copilot
30 USD
Endpoint DLP (kopyala-yapıştır engelleme)
Sophos / Intune Endpoint DLP
4-8 USD
Çalışan farkındalık eğitimi
KnowBe4 / Sophos Phish Threat
2-3 USD
20 kişilik bir KOBİ için aylık toplam yaklaşık 400-500 USD seviyesinde, yani çalışan başı 25 USD civarı. Tek bir KVKK ihlalinin maliyetiyle karşılaştırıldığında oran çok lehimize.
Sıkça Sorulan Sorular
ChatGPT'yi tamamen yasaklamak çözüm mü?
Hayır, deneyimimiz aksini gösteriyor. Yasak getiren şirketlerde Shadow AI kullanımı azalmıyor, sadece görünmez hale geliyor. Çözüm: onaylı alternatif + politika + DLP. Yasak son çare olmalı.
Küçük şirketim için Purview pahalı değil mi?
Business Premium aboneliğinde temel sensitivity label, DLP ve Defender for Endpoint zaten var. 25 kullanıcının altındaki şirketlerde aylık 22 USD/kullanıcı maliyetle başlanabilir. Copilot add-on ayrı tutulur.
Çalışanım NDA imzaladı, sorumluluğu o almaz mı?
KVKK açısından veri sorumlusu şirkettir; çalışana iç rücu hakkınız vardır ama Kurum cezası size kesilir. Mahkemede "personeli eğittik ve teknik tedbir aldık" diyebilmek için politika + log + DLP üçü birlikte olmalı.
Ücretsiz Copilot Chat (Bing) güvenli mi?
Microsoft Entra hesabıyla giriş yapılırsa Enterprise Data Protection devreye girer, prompt'lar eğitimde kullanılmaz. Ama bu sadece web arayüzü için geçerli; mobil ve üçüncü taraf entegrasyonlarda durum farklı olabilir. Politikanızı net yazmadan güvende sayılmazsınız.
Sonuç: AI'ı Yasaklamayın, Yönetin
20 yıllık BT danışmanlığı deneyimimde gördüğüm en hızlı yayılan teknoloji üretken yapay zekâ. Yasaklamak işe yaramıyor, görmezden gelmek riski büyütüyor. Doğru yaklaşım: görünürlük + onaylı araç + politika + DLP + eğitim. Bunlardan birini eksik bırakırsanız zincir kırılıyor.
Xen Bilişim olarak KOBİ'lere 2-3 haftalık bir AI Hazırlık Değerlendirmesi sunuyoruz: mevcut Shadow AI trafiğinizi raporluyor, Microsoft 365 lisans planınıza uygun en hızlı önlemleri öneriyor ve politikanızı KVKK Mart 2026 rehberine göre yazıyoruz. İletişime geçin — bir saatlik ücretsiz ön görüşmede mevcut durumunuzu birlikte değerlendirelim.
Bu Yazıyı Paylaş
Bu yazıyı paylaşın
Başlık, özet ve hashtagler panoya kopyalanır, paylaş penceresi açılır — yapıştırın (Cmd/Ctrl+V) ve gönderin.
Geçen ay üç ayrı müşterimizde aynı senaryoyla karşılaştık: bir satış müdürü ChatGPT'ye fiyat listesini yapıştırıyor, bir muhasebeci aylık mizan tablosunu ücretsiz bir özetleme aracına yüklüyor, bir İK uzmanı performans değerlendirme notlarını Gemini'a okutuyor. Hiçbiri kötü niyetli değildi — sadece daha hızlı iş çıkarmak istiyorlardı. İşte tam olarak Shadow AI bu: BT departmanının haberi olmadan, kurumsal politika dışında yapılan üretken yapay zekâ kullanımı. Bu yazıda 2026 itibarıyla riskin neden patladığını, KVKK'nın Mart 2026 rehberinde ne dediğini ve KOBİ'lerin somut olarak ne yapması gerektiğini anlatıyorum.
Shadow AI Nedir ve Neden 2026'da Bir Krize Dönüştü?
Shadow AI, çalışanların şirket onayı olmadan tarayıcı sekmesinden veya kişisel hesaplardan eriştiği yapay zekâ araçlarının iş süreçlerinde kullanılması. ChatGPT'nin ücretsiz versiyonu, Gemini, Claude, DeepSeek, Perplexity, Notion AI — liste her hafta uzuyor. Sorun şu ki, bu araçların büyük çoğunluğu yapıştırılan veriyi model eğitiminde veya log analizinde kullanma hakkını kullanım şartlarında saklı tutuyor.
2026 ortalarında durum şu noktaya geldi:
%98 organizasyon, çalışanlarının onaysız AI aracı kullandığını raporluyor.
%67 beyaz yakalı çalışan iş yerinde AI kullanırken, sadece %18 şirketin yazılı AI politikası var.
%77 kullanıcı düzenli olarak kopyala-yapıştır yapıyor; bu yapıştırmaların %22'si kişisel veri (PII) veya ödeme bilgisi içeriyor.
IBM 2025 "Cost of a Data Breach" raporuna göre Shadow AI kaynaklı veri ihlalinin ortalama maliyeti 4,63 milyon dolar — sıradan veri ihlalinin 670 bin dolar üzerinde.
Bu rakamlar dünya çapında. Türkiye KOBİ pazarında durum daha mütevazı görünse de, KVKK'nın bir yıl içinde Shadow AI kaynaklı ihlaller için cezalara başlayacağını gösteren çok sayıda sinyal var.
KOBİ'lerde Hangi Veriler Sızıyor?
Saha deneyimimiz ve global anket verileri örtüşüyor. En sık sızdırılan veri tipleri:
Veri Tipi
Sızdıran Departman
Tipik Senaryo
Müşteri listesi / CRM ihracı
Satış, Pazarlama
"Bu müşterilere e-posta taslağı yaz"
Mali tablo, mizan, bütçe
Muhasebe, Finans
"Bu rakamları yorumla, anomali bul"
Sözleşme, NDA, ihale dökümanı
Hukuk, Satınalma
"Bu sözleşmeyi özetle, risk maddelerini çıkar"
Kaynak kodu, API anahtarı
Yazılım, BT
"Bu fonksiyonu optimize et" (anahtar dahil yapıştırılıyor)
Personel maaş ve performans verisi
İK
"Bu değerlendirmeleri özet rapora çevir"
Hasta / müvekkil bilgisi
Sağlık, Hukuk büroları
"Bu kayıttan rapor çıkar"
2023'teki Samsung vakası hâlâ ders niteliğinde: üç yarı iletken mühendisi tek bir ay içinde kaynak kodu, toplantı transkripti ve çip verim test sonuçlarını ChatGPT'ye yapıştırdı. Veri, OpenAI sunucularına gitti ve Samsung birkaç gün içinde tüm üretken AI araçlarını kurumsal cihazlarda yasakladı. KOBİ'ler için ders açık: bir mühendisin "sadece bir kez" yapıştırması bile yeterli.
KVKK Bu Konuda Ne Diyor?
Kişisel Verileri Koruma Kurumu, Mart 2026'da "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" rehberini yayımladı. Rehber özetle şu üç noktayı vurguluyor:
Veri sorumlusu sıfatı çalışanı değil, şirketi koruma altına almıyor. Çalışan ChatGPT'ye PII yapıştırırsa, KVKK ihlali işverenin sorumluluğudur.
Açık rıza ve aydınlatma yükümlülüğü AI araçlarına aktarılan veriler için de geçerlidir. Müşterinizin verisini yurt dışındaki bir LLM'e yollamak, yurt dışına veri aktarımı sayılır ve ayrıca koruma kurulu kararı gerektirebilir.
Şirket içi yazılı politika ve eğitim zorunludur. Politikası olmayan şirket, ihlal halinde "gerekli teknik ve idari tedbiri almadı" sayılarak ceza limitinin üst bandında değerlendiriliyor.
2026 KVKK ceza üst sınırı 21,4 milyon TL'ye çıktı. Tek bir Shadow AI olayı için bu ceza yazılır mı? Yazılır — özellikle veri ihlal bildirimi 72 saat içinde yapılmazsa.
Microsoft 365 Copilot da Risk mi?
Evet, ne yazık ki kurumsal araçlar da kusursuz değil. 21 Ocak 2026'da Microsoft, 365 Copilot Chat'in "Work" sekmesinde bir kod hatası nedeniyle yaklaşık dört hafta boyunca sensitivity label (gizlilik etiketi) ile işaretlenmiş Outlook e-postalarını yanlış işlediğini kabul etti. Olay, sekiz ay içinde aynı türden ikinci hataydı ve etkilenen kurumlar arasında İngiltere'nin NHS'i de vardı.
Yani Copilot'a 5,4 milyar dolarlık abonelik geliriyle güvenen kurumlar bile %100 koruma altında değil. Bizim çıkarımımız: tek savunma katmanı yetmez. Sensitivity label + Microsoft Purview DLP + Defender for Cloud Apps üçlüsünü birlikte konuşlandırmak şart.
KOBİ'ler İçin 5 Adımlık Eylem Planı
Görünürlüğü kazan. Microsoft Defender for Cloud Apps veya Sophos Cloud Optix gibi bir cloud access security broker ile son 30 günde çalışanların hangi AI sitelerine eriştiğini raporla. Çoğu şirket için ilk rapor şok ediyor.
Yazılı AI Kullanım Politikası yayımla. Üç sayfayı geçmeyen, "ne yapılır / ne yapılmaz" listesi olan bir doküman yeterli. KVKK rehberinin Ek-A'sındaki örnek metni temel alabilirsiniz.
Onaylı kurumsal araç sağla. Çalışanlar yine de AI kullanacak — bunu inkâr etmek faydasız. Microsoft 365 Copilot (Business Premium üzerinde +30 USD/ay kullanıcı başı) veya ChatGPT Enterprise gibi kiracı verisini model eğitiminde kullanmayan bir araç verin.
Sensitivity label + Purview DLP konuşlandır. En kritik üç etiket: Genel / Dahili / Gizli. Gizli etiketli içerikler Copilot tarafından özetlenemez, dış AI'a yapıştırılamaz (endpoint DLP ile).
Çeyrekte bir 30 dakikalık eğitim. Gerçek vakalar (Samsung, NHS, KVKK uyarıları) anlatın. Slayt değil — sohbet formatı işe yarıyor.
Hangi Araçlar Hangi Sorunu Çözer?
İhtiyaç
Önerilen Çözüm
Aylık Yaklaşık Maliyet (kullanıcı)
AI trafiği görünürlüğü
Microsoft Defender for Cloud Apps
~5 USD (E5 ile dahil)
Veri etiketleme + Copilot DLP
Microsoft Purview (Business Premium + AI Add-on)
10-12 USD
Onaylı kurumsal AI
Microsoft 365 Copilot
30 USD
Endpoint DLP (kopyala-yapıştır engelleme)
Sophos / Intune Endpoint DLP
4-8 USD
Çalışan farkındalık eğitimi
KnowBe4 / Sophos Phish Threat
2-3 USD
20 kişilik bir KOBİ için aylık toplam yaklaşık 400-500 USD seviyesinde, yani çalışan başı 25 USD civarı. Tek bir KVKK ihlalinin maliyetiyle karşılaştırıldığında oran çok lehimize.
Sıkça Sorulan Sorular
ChatGPT'yi tamamen yasaklamak çözüm mü?
Hayır, deneyimimiz aksini gösteriyor. Yasak getiren şirketlerde Shadow AI kullanımı azalmıyor, sadece görünmez hale geliyor. Çözüm: onaylı alternatif + politika + DLP. Yasak son çare olmalı.
Küçük şirketim için Purview pahalı değil mi?
Business Premium aboneliğinde temel sensitivity label, DLP ve Defender for Endpoint zaten var. 25 kullanıcının altındaki şirketlerde aylık 22 USD/kullanıcı maliyetle başlanabilir. Copilot add-on ayrı tutulur.
Çalışanım NDA imzaladı, sorumluluğu o almaz mı?
KVKK açısından veri sorumlusu şirkettir; çalışana iç rücu hakkınız vardır ama Kurum cezası size kesilir. Mahkemede "personeli eğittik ve teknik tedbir aldık" diyebilmek için politika + log + DLP üçü birlikte olmalı.
Ücretsiz Copilot Chat (Bing) güvenli mi?
Microsoft Entra hesabıyla giriş yapılırsa Enterprise Data Protection devreye girer, prompt'lar eğitimde kullanılmaz. Ama bu sadece web arayüzü için geçerli; mobil ve üçüncü taraf entegrasyonlarda durum farklı olabilir. Politikanızı net yazmadan güvende sayılmazsınız.
Sonuç: AI'ı Yasaklamayın, Yönetin
20 yıllık BT danışmanlığı deneyimimde gördüğüm en hızlı yayılan teknoloji üretken yapay zekâ. Yasaklamak işe yaramıyor, görmezden gelmek riski büyütüyor. Doğru yaklaşım: görünürlük + onaylı araç + politika + DLP + eğitim. Bunlardan birini eksik bırakırsanız zincir kırılıyor.
Xen Bilişim olarak KOBİ'lere 2-3 haftalık bir AI Hazırlık Değerlendirmesi sunuyoruz: mevcut Shadow AI trafiğinizi raporluyor, Microsoft 365 lisans planınıza uygun en hızlı önlemleri öneriyor ve politikanızı KVKK Mart 2026 rehberine göre yazıyoruz. İletişime geçin — bir saatlik ücretsiz ön görüşmede mevcut durumunuzu birlikte değerlendirelim.
Telefon : 0850 259 5949
