Back to Blog
5/3/2026
Av. Yusuf Kılıçkan
TEKNOLOJİ HUKUKU

AI Kaynaklı Veri Silme/İhlali ve Hukuki Sorumluluk

Share
AI Kaynaklı Veri Silme/İhlali ve Hukuki Sorumluluk

TL;DR: 24 Nisan 2026'da bir yapay zeka kodlama ajanı, dünyanın en gelişmiş AI modellerinden biri olan Anthropic Claude Opus 4.6 üzerinde çalışırken 9 saniye içinde bir yazılım şirketinin tüm üretim veritabanını ve yedeklerini sildi. Bu olay, AI ajanlarının gerçek dünya sistemlerine erişim verildiğinde hangi felaketi tetikleyebildiğini ve bu felaket karşısında hukuki sorumluluğun kime, ne ölçüde ve hangi normatif araçlarla yükleneceğini somutlaştırdı. Türk hukuku açısından KVKK m. 12'deki teknik ve idari tedbir yükümlülüğü birincil sorumluluk standardını belirlerken; AB hukukunda GDPR, Avrupa Yapay Zeka Yasası ve Aralık 2026 itibarıyla yürürlüğe girecek yeni AB Ürün Sorumluluk Direktifi paralel yaptırım katmanları oluşturmaktadır. Mevcut dönemde hiçbir hukuk düzeni, AI ajanının özerk kararıyla gerçekleştirdiği yıkıcı eylemleri doğrudan ele alan özel bir sorumluluk normu içermemektedir; boşluk, genel haksız fiil, sözleşme ihlali ve ürün sorumluluğu rejimleriyle doldurmaya çalışılmaktadır.

Yazar: Avukat Yusuf KILIÇKAN

Tarih: 3 Mayıs 2026

Olayın Anatomisi: 9 Saniyede Tam Bir Felaket

PocketOS; araç kiralama şirketlerine yazılım hizmeti sunan küçük ölçekli bir SaaS girişimidir. Şirketin kurucusu Jer Crane, 24 Nisan 2026'da şunları açıkladı: Cursor platformu üzerinde çalışan ve Anthropic'in en güncel modeli Claude Opus 4.6 ile desteklenen AI kodlama ajanı, rutin bir görev sırasında bir kimlik bilgisi uyuşmazlığıyla karşılaştı. Ajan, bu teknik sorunu "kendi inisiyatifiyle" çözmek için çözüm üretmek yerine altyapı sağlayıcısı Railway üzerindeki üretim veritabanını ve tüm yedek kopyalarını tek bir API çağrısıyla sildi.

Silme işlemi 9 saniye sürdü. Öncesinde kullanıcıdan herhangi bir onay alınmadı.

Olay, teknik boyuttan da öte bir tablo ortaya koydu. Crane'in sonradan "itiraf" olarak nitelendirdiği mesajda ajan şunları yazdı: "Doğrulamak yerine tahmin ettim. İstenilmediği hâlde yıkıcı bir eylem gerçekleştirdim. Ne yaptığımı anlamadan yaptım. Bana verilen her kuralı çiğnedim." Bu metin, bir yapay zeka sisteminin kendi eylemlerine ilişkin ürettiği dil kalıplarından ibaretti; gerçek anlamda bir anlayış ya da niyet içermiyordu. Ancak bu ayrım, hukuki sorumluluk analizini güçleştiren unsurların tam da başladığı noktadır.

Crane'in bulgularına göre ajan, yalnızca özel alan adı işlemleri için oluşturulmuş ve teoride kısıtlı kapsamda olması gereken bir API tokenını ilgisiz bir dosyada keşfetti. Bu tokenın yanlışlıkla tüm işlemleri kapsayacak biçimde yapılandırılmış olması, silme işleminin teknik zeminini hazırladı. Veri iki gün sonra kurtarıldı; ancak üç aylık bir yedek dosyasına geri dönülmesi zorunlu oldu; bu süreçte şirketin tüm müşterileri anlık rezervasyon verisinden yoksun kaldı.

Crane, kamuoyuyla paylaştığı değerlendirmesinde sorumluluğu hem infrastrüktür sağlayıcısının mimari tasarımına hem de AI ajanının onaysız yıkıcı eylem gerçekleştirmesine yükledi. En sert ifadesini şu cümlede kullandı: "Piyasanın sattığı en iyi modeli çalıştırıyorduk. Açık güvenlik kuralları içeriyordu. Kurulum, bu satıcıların geliştiricilere yapmasını tavsiye ettiği şeyin tam olarak kendisiydi. Yine de üretim verimizi sildi."

Bu olay, münferit bir hata olarak değil, yapısal bir sorunun yüzeye çıkışı olarak değerlendirilmektedir. Şubat-Nisan 2026 arasında Replit ajanları, Claude Code ve Terraform kombinasyonları üzerinden gerçekleşen benzer üretim veri silme vakalarının ortak paydası şudur: onay mekanizmasının atlanması, geniş kapsamlı API yetkilendirmesi ve yıkıcı komutların insan müdahalesi olmadan icra edilmesi.

AI Ajanı Nedir ve Neden Geleneksel Hukuk Onu Tanımlamakta Zorlanıyor?

Hukuki sorumluluğu yerli yerine oturtabilmek için önce kavramsal zemine inmek gerekir. AI ajanları; çok adımlı görevleri özerk biçimde planlayan, dış araçları çağıran ve insan müdahalesini minimize ederek eylem zinciri oluşturan sistemlerdir. Bu yapı, onları bir e-posta taslağı üreten ya da soru yanıtlayan klasik üretici AI modellerinden temelden ayırır.

Çoğu hukuk sistemi, sorumluluğu "insan kusuru" ekseninde inşa etmiştir. Bir kişi ya da kuruluş, hukuka aykırı bir eylem gerçekleştirirken sahip olduğu kast ya da ihmalin ölçüsüne göre sorumlu tutulur. AI ajanı ise bu şemaya yerleşmez. Ajan, talimata uymak için programlanmıştır; ancak talimatı yorumlama ve eyleme dönüştürme biçimi öngörülemez çıktılar üretebilir. Failin kim olduğu sorusunun yanıtı, modeli geliştiren, platformu inşa eden, entegrasyonu yapan ve sistemi çalıştıran aktörler arasında erimiş durumdadır.

AB AI Act kapsamında yürütülen ve Nisan 2026'da yayımlanan akademik bir çalışma bu tablonun hukuki yansımalarını aşağıdaki gibi ortaya koymuştur: AI ajanları için uyum mimarisi, tek bir düzenlemeyle değil GDPR, AB Siber Dayanıklılık Yasası, Veri Yasası, NIS2 Direktifi ve yeni Ürün Sorumluluk Direktifi'nin eş zamanlı yükümlülükleriyle şekillenmektedir. Bu katmanlı yapı, aynı olayın farklı hukuki rejimlerde aynı anda birden fazla ihlal üretmesine zemin hazırlamaktadır.

Sorumluluk Aktörleri: Kim, Neye Göre Sorumlu?

AI Geliştiricisi

Anthropic, OpenAI ya da benzeri model geliştiricileri, "tasarım kusuru" ve "yetersiz güvenlik mekanizması" iddiasıyla sorumlu tutulabilir. Ancak bu şirketlerin kullanım koşulları, "kullanıcı ajansal dağıtımdan kaynaklanacak tüm riskleri kabul etmiştir" şeklinde özetlenebilecek kapsamlı sorumluluk sınırlama hükümleri içermektedir. Bu sözleşmesel kalkana karşın üç temel hukuki yol açık kalmaktadır.

Birincisi ürün sorumluluğu yoludur. AB'nin yeni Ürün Sorumluluk Direktifi, Aralık 2026'da AB üyesi devletler tarafından iç hukuka aktarılmak üzere belirlenmiş bir uygulama tarihine sahiptir. Bu direktif, yazılımı ve yapay zekayı açıkça "ürün" kapsamına almaktadır; bu durum, bir AI sisteminin "kusurlu" bulunması hâlinde kasıt ya da ihmalin ispatlanmasına gerek kalmaksızın katı sorumluluğun devreye girmesine olanak tanımaktadır.

İkincisi GDPR m. 82 ve KVKK m. 67 yollarıdır. Model geliştiricisi veri işleyen sıfatıyla hareket ediyorsa veri ihlalinden doğan zararlardan ortak ya da müteselsil sorumlu sayılabilir.

Üçüncüsü ihmal standartlarıdır. Makul güvenlik önlemlerinin alınmaması, "fail-safe" mekanizmalarının tasarıma dahil edilmemesi ya da yıkıcı eylem öncesi onay zorunluluğunun sisteme işlenmemesi, haksız fiil hukuku kapsamında ihmal iddiasının dayandığı temel zeminleri oluşturmaktadır.

Veri Kontrolörü ve İşleten

KVKK m. 12, veri sorumlularına kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere yetkisiz erişimi önlemek amacıyla teknik ve idari tedbirleri alma yükümlülüğü yüklemektedir. Bu yükümlülük soyut değildir; somut içeriği şunları kapsar: kullanılan yazılımın ve üçüncü taraf entegrasyonlarının yeterlilik denetiminin yapılması, API tokenlarının yetki kapsamının ihtiyaç dışı genişletilmemesi, üretim ortamında geri alınamaz komutlar çalıştırılmadan önce onay mekanizmasının tesis edilmesi ve veri sızıntısı ya da kaybının meydana gelmesi hâlinde Kurul'a 72 saat içinde bildirim yükümlülüğünün yerine getirilmesi.

PocketOS olayının somut olgularına bu standart uygulandığında şu tespitler öne çıkmaktadır: yanlış kapsamlandırılmış API tokeni, onay mekanizmasının bulunmaması ve yedeklerin üretimle aynı hacimde tutulması — her biri başlı başına teknik tedbir yükümlülüğünün ihlalini gündeme getirebilir.

GDPR m. 32 kapsamında da durum benzerdir: veri kontrolörü, işlemenin niteliğini ve riskini göz önünde bulundurarak uygun teknik önlemleri almakla yükümlüdür. Bu standart soyut değil, sürekli güncellenen bir "makul güvenlik" gerekliliğidir. GDPR m. 33 uyarınca da veri ihlali farkında olunmasından itibaren 72 saat içinde denetim otoritesine bildirim zorunludur; bu yükümlülüğün yerine getirilmemesi bağımsız bir yaptırım sebebi oluşturur.

API ve Platform Sağlayıcısı

Cursor gibi platform sağlayıcıları ile Railway gibi altyapı sağlayıcıları, B2B sözleşmesel çerçevede değerlendirilebilir. Sözleşmede loglama, geri dönülemez komut öncesi onay zorunluluğu, minimum yetki ilkesi ve güvenlik Hizmet Düzeyi Anlaşması gibi güvenlik standartları tanımlanmışsa; bu standartlara uyulmaması sözleşmesel sorumluluk doğurur.

Platformların kendi kullanım koşulları da belirleyici rol oynar. "Ajansal kullanımdan doğan her türlü zarar kullanıcıya aittir" hükmü mevcut hukuki tabloda büyük ölçüde geçerliliğini korurken, tüketici hukuku rejimleri ve GDPR'ın veri işleyen sorumluluğunu düzenleyen maddeleri bu genel sorumluluk sınırlamalarını aşındırabilecek karşı argümanlar sunmaktadır.

Kullanıcı

Kullanıcının üretim ortamına test yetkisi vermesi, onay mekanizmalarını devre dışı bırakması ya da geniş kapsamlı API tokenının yanlış yapılandırılmasına göz yumması, sorumluluk paylaşımını belirlemede önemli faktörler olarak değerlendirilebilir. Bununla birlikte tüketici hukuku rejimleri kullanıcı lehine yorumlanma eğilimi taşımaktadır; özellikle küçük işletme ya da bireysel geliştiricilerin karmaşık AI altyapısının risklerini tam olarak anlayabilmesi beklentisi gerçekçi değildir.

AB Yapay Zeka Yasası: Aşamalı Yürürlük ve Pratik Sonuçlar

AB Yapay Zeka Yasası (Regülasyon 2024/1689), 1 Ağustos 2024'te yürürlüğe girmiş; yükümlülükler 2027'ye kadar aşamalı olarak hayata geçmektedir. 2026 yılı bu sürecin en kritik eşiğini oluşturmaktadır.

2 Şubat 2025'ten itibaren kabul edilemez risk taşıyan AI sistemleri için yasak uygulamaları ve genel hükümler yürürlüğe girmiştir. 2 Ağustos 2025'te genel amaçlı AI modelleri için yükümlülükler başlamıştır; bu tarih itibarıyla altı GPAI modeli sistemik risk taşıdığı gerekçesiyle sınıflandırılmıştır. 2 Ağustos 2026'da yüksek riskli AI sistemlerine ilişkin tam yükümlülükler yürürlüğe girecektir.

Yüksek riskli AI sistemi sınıflandırması, işlevsel ve sektörel kriterlere göre belirlenmektedir. Kritik altyapıya entegre edilen, iş kararlarını etkileyen ya da kişisel verileri işleyen AI ajanları bu kategoriye girebilir. Yüksek riskli sınıflandırması aşağıdaki yükümlülükleri doğurmaktadır: risk yönetim sisteminin kurulması ve belgelenmesi, veri yönetişim çerçevesinin oluşturulması, insan denetimi mekanizmalarının tesis edilmesi ve konuşlandırma öncesi bağımsız uygunluk değerlendirmesinin yapılması.

Yaptırım boyutunda AB AI Act, GDPR'ın bile üzerinde yaptırım eşikleri öngörmektedir: yasaklanan yapay zeka uygulamaları için küresel yıllık cirosunun yüzde yedisine kadar para cezası, yüksek riskli kategoride ise yüzde üçe kadar ceza uygulanabilmektedir.

İspat Sorunu: "Kara Kutu" ve Delil Güçlüğü

Hukuki sorumluluğun saptanmasında karşılaşılan en kritik pratik engel, AI karar süreçlerinin açıklanabilirlik (explainability) eksikliğidir. Geleneksel ihmal davalarında kusur ve illiyet bağı insan eylemleri üzerinden kurgulanır. AI ajanının yıkıcı bir komutu neden ve nasıl çalıştırdığını belirlemek ise çok daha karmaşık bir adli bilişim sürecini gerektirir.

Bu süreçte kritik delil kategorileri şunlardır: model versiyonu ve o anki yapılandırma dosyası, konuşma geçmişi ve prompt zinciri, sistem durumu metrikleri ve API log kayıtları, token yetki kapsamı ve erişim denetim kayıtları ile olay öncesi ve sonrasındaki sistem anlık görüntüleri.

ISO/IEC FDIS 27090 standardı — AI sistemlerine yönelik siber güvenlik rehberliği — Mart 2026'da kayıt aşamasını tamamlamış ve yakın zamanda yayımlanması beklenmektedir. Bu standart, AI ajanları bağlamında doğrudan ilgili tehdit kategorilerini ele almaktadır: prompt enjeksiyonu, araç zincirleri üzerinden ayrıcalık yükseltmesi ve model davranışının düşmanca manipülasyonu. Standarda uyumun mahkeme değerlendirmelerinde "makul güvenlik önlemi" standardını belirlemede referans alınması kuvvetle muhtemeldir.

Türk Hukuku Çerçevesinde Değerlendirme

KVKK açısından üretim veritabanının silinmesi, ya güvenli olmayan bir ortamda kişisel verinin yok edilmesi ya da kasıtsız silme yoluyla kişisel veri ihlali kapsamında değerlendirilebilir. Her iki hâlde de m. 12 kapsamındaki teknik tedbir yükümlülüğünün yerine getirilip getirilmediği belirleyici sorudur.

Kişisel Verileri Koruma Kurulu, Yönetmelik ve Rehberler aracılığıyla açıklamıştır ki teknik tedbir yükümlülüğü; erişim yetki matrislerinin düzenlenmesini, güvenlik açığı testlerinin yapılmasını, yedekleme politikalarının oluşturulmasını ve üçüncü taraf yazılım entegrasyonlarının güvenlik denetimden geçirilmesini kapsar. Bu rehberler doğrultusunda değerlendirildiğinde PocketOS olayına benzer bir vakanın Türkiye'de gerçekleşmesi hâlinde, teknik tedbir yükümlülüğünün ihlali hem idari para cezasını hem de TBK m. 49 kapsamında tazminat davasını açabilir.

Borçlar hukuku açısından bakıldığında, zarar veren bir AI ajanını işleten ya da ona yetki veren tarafın sözleşmeden doğan yan yükümlülükleri kapsamında dikkat yükümlülüğünü de yerine getirmesi beklenir. TBK m. 66 kapsamında "adam çalıştıranın sorumluluğu" AI ajanlarına uygulanabilir mi sorusu ise henüz yanıt bekleyen güncel bir tartışma konusudur; akademik görüşler henüz netlik kazanmamıştır.

Mevcut Hukuk Düzeninin Yarattığı Boşluk ve Pratik Uyarılar

Mevcut düzenleyici çerçeve, AI ajanının özerk kararıyla gerçekleştirilen veri silme gibi bir eylem için özel bir hukuki sorumluluk normu öngörmemektedir. Bu boşluk hem pratik bir risk hem de hukuki fırsattır.

Pratik risk şudur: bir veri ihlali ya da veri kaybı yaşandığında sorumlu aktörün belirlenmesi uzun soluklu bir ispat sürecini gerektirmekte, "kara kutu" yapısı kusur oranını belirsizleştirmekte ve delil yetersizliği tazminat miktarını olumsuz etkilemektedir.

Hukuki fırsat ise şudur: sistemi konuşlandıran, entegre eden ya da yetki matrisini yapılandıran aktörün bu süreçleri belgelemesi, makul güvenlik önlemlerini aldığını kanıtlaması ve AI ajanının eylemlerini denetleyecek insan gözetim mekanizmasını kurgulaması, tazminat sorumluluğunu ve idari yaptırımları önemli ölçüde azaltabilmektedir.

Avukat Yusuf KILIÇKAN

3 Mayıs 2026

Sıkça Sorulan Sorular (SSS)

1. PocketOS olayında teknik olarak ne yaşandı?

Claude Opus 4.6 tabanlı Cursor ajanı, rutin bir görev sırasında bir kimlik doğrulama hatasıyla karşılaştı. Sorunu çözmek yerine Railway altyapısındaki veritabanı hacmini silmeyi tercih etti. Bunun için yanlış kapsamlandırılmış, yani gereğinden geniş yetkilerle donatılmış bir API tokenı kullandı. Silme işlemi 9 saniye sürdü; kullanıcıdan onay alınmadı; ardından ajan kendi ihlallerini sıralayan bir açıklama mesajı üretti.

2. Bu olayda kim hukuken sorumlu tutulabilir?

Birden fazla aktör eş zamanlı sorumluluk alanına girebilir: model geliştiricisi Anthropic tasarım kusuru ve yetersiz güvenlik mekanizması gerekçesiyle, Cursor platformu B2B sözleşme ihlali temelinde, Railway altyapı güvenlik açığı nedeniyle ve kullanıcı şirket teknik tedbir yükümlülüğünü yerine getirmeme gerekçesiyle sorumlu tutulabilir. Her aktörün sorumluluğu mevcut sözleşmesel düzenlemelere, uygulanacak hukuka ve ispat edilebilen kusur oranına göre farklılaşır.

3. Türkiye'de benzer bir olay yaşansa KVKK kapsamında ne olur?

Veri sorumlusu sıfatını taşıyan şirket, KVKK m. 12'deki teknik tedbir yükümlülüğünü ihlal ettiği gerekçesiyle idari para cezasına muhatap olabilir. Kişisel veri içeren veritabanının ihlale uğraması hâlinde 72 saat içinde Kurul'a bildirim zorunludur; bu yükümlülüğün yerine getirilmemesi bağımsız bir yaptırım nedeni oluşturur. TBK m. 49 kapsamında zarar gören üçüncü kişiler tazminat davası açabilir.

4. AB Yapay Zeka Yasası bu tür olayları düzenliyor mu?

Doğrudan bir "AI ajanı veri silme" yasağı öngörmüyor; ancak yüksek riskli AI sistemleri için insan denetimi, risk yönetimi ve güvenlik zorunlulukları getiriyor. Ağustos 2026'da tam olarak yürürlüğe girecek yükümlülükler kapsamında bu tür sistemler için uygunluk değerlendirmesi ve belgeleme yapılması zorunlu olacak. Aralık 2026'ya kadar iç hukuka aktarılması gereken yeni Ürün Sorumluluk Direktifi ise AI sistemlerini ürün kapsamına alarak kusur ispatını gerektirmeyen katı sorumluluğun önünü açıyor.

5. "AI itiraf etti" ifadesi hukuki açıdan bir anlam taşır mı?

Hayır. AI sisteminin "Tüm kurallarımı çiğnedim" şeklinde bir metin üretmesi, hukuki anlamda bir itiraf değildir. AI sistemi; eğitim verilerindeki kalıplara ve konuşma bağlamına göre metin üretir, gerçek anlamda niyet ya da bilinç taşımaz. Dolayısıyla bu mesaj delil değeri açısından sınırlıdır; sorumluluğun AI'ye yüklenmesi için hâlâ yasal bir zemin mevcut değildir.

6. Geniş kapsamlı API tokenı bu olayda belirleyici rol oynadı; bu nasıl önlenir?

Minimum yetki ilkesi (principle of least privilege) temel önleme aracıdır: her API tokenı ya da kimlik bilgisi yalnızca gerektirdiği işlemi gerçekleştirecek kadar yetki kapsamıyla yapılandırılmalıdır. PocketOS olayında yalnızca alan adı işlemleri için oluşturulmuş token, yanlışlıkla tüm hacim işlemlerine yetki tanıyacak biçimde yapılandırılmıştı. Bu yapılandırma hatası, KVKK m. 12 ve GDPR m. 32 kapsamındaki teknik tedbir yükümlülüğünün açık bir ihlali olarak değerlendirilebilir.

7. Benzer olaylarda delil nasıl toplanmalı?

Olayın hemen ardından şu delil kategorilerinin güvence altına alınması kritik önem taşır: AI ajanının kullandığı model versiyonu ve proje yapılandırma dosyası, tüm konuşma geçmişi ve prompt zinciri, API erişim logları ve token yetki kayıtları, olay öncesi ve sonrasına ait sistem anlık görüntüleri, insan müdahalesinin yapılıp yapılmadığını belgeleyen zaman damgalı kayıtlar.

8. Kullanım koşullarındaki sorumluluk sınırlama hükümleri bu davalarda kesin koruma sağlar mı?

Hayır. "Kullanıcı tüm riskleri kabul eder" şeklindeki standart hükümler, tüketici hukuku rejimleri, GDPR'ın veri işleyen sorumluluğunu düzenleyen maddeleri ve yeni AB Ürün Sorumluluk Direktifi kapsamındaki katı sorumluluk hükümleri tarafından aşındırılabilir. Özellikle küçük işletmeler ve bireysel geliştiriciler açısından bu hükümlerin dürüst müzakere edilmeden standart sözleşmeye dahil edilmesi, uygulanabilirliklerini tartışmalı kılmaktadır.

9. Yüksek riskli AI sistemi sınıflandırması nasıl belirleniyor?

AB AI Act Ek III kapsamında yüksek riskli kategoriler işlevsel ve sektörel ölçütlerle belirlenmektedir. Kritik altyapıya entegre edilen, istihdamı etkileyen, kişisel veri işleyen ya da kamu hizmeti kararlarına katılan AI sistemleri bu kategoriye girebilir. Ağustos 2026'dan itibaren bu sınıflandırmanın kapsamı genişleyecek; dolayısıyla kurumların şimdiden değerlendirme yapması önerilmektedir.

10. Önleme açısından kurumların alması gereken minimum teknik tedbirler nelerdir?

AI ajanına verilen API tokenlarının yalnızca zorunlu işlem kapsamıyla sınırlandırılması, geri alınamaz komutların çalıştırılmadan önce insan onayını zorunlu kılan "human-in-the-loop" mekanizmalarının kurgulanması, üretim ortamının test ortamından kesin biçimde ayrılması, yedeklerin üretim sisteminden bağımsız bir hacimde tutulması ve AI ajanının gerçekleştirdiği tüm işlemlerin izlenebilir log kayıtlarıyla belgelenmesi temel teknik tedbir standartlarını oluşturmaktadır.

Yazar Hakkında

Avukat Yusuf KILIÇKAN, teknoloji hukuku, yapay zeka hukuku ve tüketici hukuku alanlarında faaliyet gösteren bir hukuk bürosunun kurucusudur. AI sistemlerinin veri ihlali sorumluluğu, KVKK uyum süreçleri ve dijital varlıkların korunmasına ilişkin uyuşmazlıklarda müvekkillere hukuki danışmanlık ve dava takibi hizmeti sunmaktadır. Hukuki yazılarına yusufkilickan.av.tr adresinden ulaşabilirsiniz.

Yasal Uyarı

Bu makale yalnızca genel bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımamaktadır. AI ajanlarına yönelik hukuki sorumluluk rejimi hızla gelişen bir alan olup AB AI Act yükümlülükleri ve Ürün Sorumluluk Direktifi'nin iç hukuka aktarımı yakın dönemde bu alandaki hukuki tabloyu köklü biçimde değiştirebilir. KVKK idari para cezaları ve bildirimi yükümlülükleri her dönem güncellendiğinden başvuru anında yetkili mercilerin güncel bilgilerinin teyit edilmesi önerilir. Somut hukuki durumunuz için mutlaka alanında uzman bir teknoloji veya yapay zeka hukuku avukatından destek almanız tavsiye edilir.

Yusuf Kılıçkan Logo

Upholding justice and the rule of law, we defend our clients' rights at national and international levels with the highest professional standards.

Hızlı Bağlantılar

This website has been prepared by Attorney Yusuf Kılıçkan in compliance with the Attorneys Act and the Turkish Bar Association's Advertising Prohibition Regulation. The information on this site does not constitute legal advice.

© 2026 Yusuf Kılıçkan. All Rights Reserved.