Personel Verisi ile Yapay Zeka Eğitimi
Çalışan, Kendi Yerini Alacak Yapay Zekayı Eğitiyor: Meta'nın Gözetim Yazılımı, Hindistan Fabrika Kameraları ve İşçi Verisi Hukukunun Sınırları
TL;DR: Nisan 2026'nın son haftasında eş zamanlı gerçekleşen iki olay, işyerinde veri toplama ve yapay zeka eğitimi arasındaki gerilimi küresel gündemin merkezine taşıdı. Meta, "Model Capability Initiative" adını verdiği bir yazılımla ABD'deki çalışanların fare hareketlerini, tuş vuruşlarını ve ekran görüntülerini toplayarak AI ajanlarını eğitiyor. Aynı haftalar içinde viral hâle gelen videolar, Hindistan tekstil fabrikalarında çalışanların kafalarına monte edilmiş kameralarla el hareketlerini kayıt altına aldığını gösterdi. İki tablo; işveren-çalışan ilişkisindeki veri asimetrisini, "rızanın" güç dengesi bozulduğunda hukuki geçerliliğini ne ölçüde koruyacağı sorusunu ve çalışanın kendi emeğiyle kendi ikamesini üretmesinin hangi hukuki çerçevede değerlendirileceğini tartışmaya açtı. Türkiye'de KVKK m. 5-6 ve m. 12 kapsamında işveren, çalışan verisini AI eğitimine aktarmak için ya açık rıza almak ya da hukuki dayanak belirtmek ve teknik-idari tedbir yükümlülüğünü yerine getirmek durumundadır. AB'de ise GDPR, AB AI Yasası ve Aralık 2026 yürürlük tarihli yeni Ürün Sorumluluk Direktifi paralel yaptırım rejimleri oluşturmaktadır.
Yazar: Avukat Yusuf KILIÇKAN
Tarih: 3 Mayıs 2026
İki Tablo, Tek Gerçeklik
Reuters'ın 21 Nisan 2026'da ortaya koyduğu bilgiye göre Meta, ABD'deki çalışanlarına bu hafta gönderdiği bir iç memoda yeni bir izleme yazılımının kurulacağını duyurdu. Yazılım, "Model Capability Initiative" (MCI) adını taşıyor ve Meta Superintelligence Labs bünyesinde geliştiriliyor. Çalışanların iş bilgisayarlarına yüklenen bu araç; fare hareketlerini, tıklamaları, tuş vuruşlarını ve belirli aralıklarla ekran görüntülerini kaydediyor. Toplanan veri, Meta'nın beyaz yakalı görevleri özerk biçimde yerine getiren AI ajanları geliştirme hedefine hizmet ediyor. CNBC'nin ayrıca haberleştirdiğine göre izleme listesi Google, LinkedIn, Wikipedia, GitHub, Slack ve Atlassian gibi yüzlerce web sitesi ile uygulamayı kapsıyor; başlangıçta OpenAI ve Anthropic'in araçları da bu listede yer alıyordu.
Meta'nın söz konusu adımı, yalnızca teknik bir altyapı kararı değildir. Aynı dönemde şirket, AI altyapısına yönelik 115-135 milyar dolarlık harcama planı kapsamında Mayıs 2026'dan itibaren global iş gücünün yaklaşık yüzde yirmisini kapsayan çalışan tasfiyesine gidileceğini açıkladı. Bu eş zamanlılık, meşru bir soruyu gündeme getirdi: çalışanlar hem işlerini kaybetmeye hem de işlerini kaybetmelerine yol açacak sistemleri eğitmek için veri üretmeye mi zorlanıyor?
Hindistan cephesinde ise Nisan 2026'nın ikinci haftasında sosyal medyada viral hâle gelen videolar farklı ama yapısal açıdan benzer bir tablo ortaya koydu. Tirupur ve Bengaluru gibi tekstil üretim merkezlerinden yayılan görüntüler, dikiş makinelerinin başında çalışan işçilerin kafalarına monte edilmiş kameralar taşıdığını gösteriyordu. Kameralar, birinci şahıs bakış açısından el hareketlerini, kumaş işleme tekniklerini ve görev akışlarını kaydediyordu. Söz konusu görüntülerin gerçekten AI ya da robotik eğitim amacıyla kullanıldığına dair resmi bir doğrulama henüz mevcut değil; ancak sektör analistleri bu kurulumun "imitation learning" için veri toplamaya uygun bir düzenek olduğunu vurguladı. Micro1 gibi şirketlerin, insanların günlük manuel görevlerini kaydeden binlerce sözleşmeli çalışanı aylık 230-250 dolar ücretle 71 ülkede istihdam ettiği bilinmektedir.
Neden Bu Kadar Önemli: Veri Asimetrisi ve Güç Dengesi
İki tablo arasındaki en belirleyici ortak payda, veri asimetrisidir. Çalışan, ürettiği verinin neye dönüşeceğini tam olarak bilmiyor; işveren ise bu veriyi stratejik bir üretim faktörü olarak değerlendiriyor.
Meta'nın iç memosu çalışanlara "günlük işinizi yapmaya devam edin, modellerimizi geliştirmiş olursunuz" mesajını iletiyordu. Gizmodo'nun eleştirel yorumuyla bu tablo şöyle özetlendi: çalışanlar, ek ücret almadan model eğiticisi statüsüne alınıyor; bu iş tanımı değişikliği ise sözleşmesel herhangi bir güncelleme yapılmadan gerçekleşiyor.
Hindistan fabrikasındaki işçinin durumu ise çok daha kırılgandır. Ucuz emek ekonomisinin yapısal eşitsizliklerini taşıyan bir ortamda çalışan işçinin, verilerinin uzun vadeli kullanım amacını anlama kapasitesi ya da bu kullanıma itiraz etme gücü teorik bir hak olmaktan öteye geçemiyor.
Hukuki Çerçeve: Rıza, Amaç Sınırı ve Orantılılık
GDPR: İşçi Rızasının Geçerlilik Sorunu
GDPR m. 4/11, rızayı "özgürce verilmiş, belirli, bilgilendirilmiş ve açık" olarak tanımlamaktadır. Ancak çalışan-işveren ilişkisinde bu dört koşulun aynı anda sağlanması son derece güçtür.
Avrupalı Veri Koruma Kurulları ve GDPR kapsamında faaliyet yürüten ulusal otorite kararları defalarca şu ilkeyi teyit etmiştir: işveren-çalışan ilişkisindeki güç dengesizliği nedeniyle çalışanın işverenine verdiği rıza "özgür irade" ürünü sayılamaz. Bu otorite kararlarına göre Meta'nın AB'deki çalışanları için MCI uygulamasına dayanak olarak rızayı değil, meşru menfaat ya da sözleşmenin ifası gibi başka hukuki gerekçeleri sunması gerekmektedir. Her iki gerekçede de GDPR m. 5/1-c kapsamındaki veri minimizasyonu ve m. 5/1-b kapsamındaki amaç sınırlaması ilkelerine uyum zorunludur.
GDPR m. 5/1-c orantılılık ilkesi çerçevesinde tuş vuruşu kaydı ve ekran görüntüleri ciddi sorular doğurmaktadır. Norveç Veri Koruma Otoritesi, daha önce benzer bir çalışan izleme uygulamasını GDPR ihlali olarak karara bağlamıştır; bu emsal, Meta'nın AB operasyonları için doğrudan sorun teşkil etmektedir.
KVKK: Türkiye'de İşveren Yükümlülükleri
KVKK m. 4, kişisel verilerin işlenme ilkelerini belirlemektedir: hukuka ve dürüstlük kurallarına uygunluk, doğruluk, belirli-açık-meşru amaç ve işlendikleri amaçla orantılı olma bunların başında gelir. İşveren, çalışanların fare hareketlerini ve tuş vuruşlarını kayıt altına almak istiyorsa KVKK m. 5 kapsamında hukuki dayanak belirtmek zorundadır. İş sözleşmesinin ifası m. 5/2-c kapsamında dayanak olarak ileri sürülebilir; ancak bu dayanağın AI eğitimi amacını kapsaması için iş sözleşmesinde açık bir hükmün bulunması ya da ayrıca aydınlatma yapılması gerekir. Açık rıza yoluna başvurulması hâlinde ise KVKK m. 4'teki "özgür irade" koşulunun iş ilişkisindeki güç dengesizliği bağlamında gerçek anlamda karşılanıp karşılanamayacağı kurul denetimine açık bir tartışma konusu olmaya devam etmektedir.
KVKK m. 12, teknik ve idari tedbir yükümlülüğü kapsamında toplanacak verinin güvenli bir ortamda işlenmesini, yetkisiz erişime karşı korunmasını ve veri işleme zincirinin açıkça belgelenmesini gerektirmektedir.
Hindistan DPDP Yasası: 2023 Reformunun Sınırları
Hindistan'ın 2023 tarihli Dijital Kişisel Veri Koruma Yasası, kişisel veri işlenmesinde açık rıza ve amaç sınırlaması ilkelerini benimsemiştir. DPDP Act m. 6, veri işleme amacının açıkça bildirilmesini zorunlu kılmaktadır; işçilere kameraların "AI eğitim verisi üretimi" amacıyla kullanıldığının söylenmemesi bu maddeyi doğrudan ihlal eder.
Bununla birlikte kanunun bazı istisna hükümleri, tekstil fabrikaları için potansiyel bir çıkış yolu sunmaktadır: iş güvenliği gerekçesine dayanan takipler ya da üretim optimizasyonu amacıyla toplanan veriler belirli koşullarda bu kapsamda değerlendirilebilir. Ancak bu istisnanın AI eğitimine uzanan veri kullanımını kapsayıp kapsamadığı tartışmalı bir hukuki sorundur.
Amaç Sınırı İhlali: En Kritik Hukuki Mesele
Her iki senaryoda da amaç sınırı ihlali merkezi bir hukuki sorun olarak öne çıkmaktadır. İşçinin iş sözleşmesine göre görevi "dikiş makinesi operatörlüğü"dür; bu görev kapsamında elle veri toplandığını söylemek mümkündür. Ancak söz konusu verinin robotik sistemleri eğitmek amacıyla kullanılması, sözleşmenin kapsamını açıkça aşar.
GDPR m. 5/1-b ve KVKK m. 4/2-c bu noktada örtüşür: veriler, toplandıkları amacın ötesinde başka bir amaçla işlenemez. Uyumluluk, bağlantılılık ve yeterli güvence üçlü testini geçemeyen bir amaç değişikliği; ya yeni rıza ya da yeni bir yasal dayanak zorunluluğunu doğurur.
Meta'nın durumu bu açıdan farklıdır ama sorun tamamen ortadan kalkmaz. MCI yazılımı çalışanlara önceden duyurulmuştur; ancak yazılımın istihdam sözleşmesinin kapsamına girip girmediği, amaç değişikliğinin gerekip gerekmediği ve bildirim ile rıza arasındaki farkın hukuki olarak nasıl tanımlandığı sorularını yanıtlamak, her ülkenin yerel mevzuatına göre farklı değerlendirme gerektirir.
Tedarik Zinciri Sorumluluğu: Marka Şirketlerin Yükümlülükleri
Hindistan fabrikalarındaki kamera uygulamasını sipariş eden ya da bu fabrikanın ürünlerini kullanan uluslararası giyim markalarının konumu ayrıca incelenmelidir. AB Kurumsal Sürdürülebilirlik Durum Tespiti Direktifi (CSDDD), tedarik zincirinde insan hakları ihlali riski taşıyan uygulamalara karşı büyük ölçekli AB şirketlerini durum tespiti yükümlülüğüne tabi kılmaktadır. İşçilerin bilgisi ve rızası dışında gerçekleştirilen veri toplama faaliyetlerinin CSDDD kapsamındaki insan hakları riski kategorisine girebileceği değerlendirilmektedir.
İngiltere'de Modern Kölelik Yasası da benzer bir çerçeve sunmaktadır: tedarik zincirinde zorla çalıştırma ya da eşdeğer sömürü oluşturan uygulamalar kapsamında AI eğitimi için zorunlu veri üretiminin de bu kapsama alınıp alınamayacağı henüz yanıt bekleyen bir hukuki sorudur.
Meta ve Hindistan Senaryolarının Hukuki Farkları
Meta senaryosunun lehte yönleri açısından değerlendirildiğinde: ücretli çalışanlar söz konusudur, bildirim yapılmıştır, yalnızca belirlenmiş iş uygulamaları kapsam dahilindedir ve Meta bu uygulamayı kamuoyuyla paylaşmıştır.
Aleyhte değerlendirilen yönler ise şunlardır: ek ücret ödenmiyor, AB operasyonlarında rızanın geçerliliği tartışmalı, amaç sınırı ihlali riski mevcut ve iş sözleşmelerinin kapsam değişikliği belirsiz.
Hindistan senaryosunda tablo çok daha karmaşıktır. Rıza durumu belirsizdir, uygulama amacının tam olarak çalışanlara iletilip iletilmediği netlik kazanmamıştır, ücret yapısı son derece düşüktür, DPDP Yasası'nın yaptırım kapasitesi henüz tam olarak test edilmemiştir ve sınır ötesi veri aktarım kuralları devreye girme potansiyeli taşımaktadır.
Sınır Ötesi Veri Aktarımı: Hindistan'dan AB'ye Uzanan Zincir
Hindistan'da toplanan hareket verilerinin ABD ya da AB'de robotik geliştirme amacıyla işlenmesi hâlinde GDPR Bölüm V devreye girer. Yeterlilik kararı bulunmayan bir ülkeden AB'ye veri transferi; standart sözleşme hükümleri, bağlayıcı kurumsal kurallar ya da diğer koruma mekanizmalarından birine dayanmak zorundadır. Bu mekanizmaların kurulmaması tek başına GDPR ihlali oluşturur; Hindistan'daki fabrika işletmecisinin ya da veri toplayan şirketin AB'de faaliyeti bulunmasa dahi GDPR'ın ülke dışı uygulama kuralları devreye girer.
Açıklanabilirlik ve İspat Güçlüğü
Hem Meta'nın AI ajanları hem de fabrika kameraları bağlamında ortak bir ispat sorunu karşımıza çıkmaktadır: çalışandan toplanan veriyle eğitilen modelin ardından yanlış ya da zararlı bir karar vermesi hâlinde bu kararın hangi eğitim verisinden kaynaklandığını belirlemek teknik açıdan son derece güçtür. "Kara kutu" problemi olarak da anılan bu durum, model açıklanabilirlik eksikliği nedeniyle kusur oranının belirlenmesini, dolayısıyla tazminat miktarının hesaplanmasını zorlaştırmaktadır.
AB AI Yasası'nın yüksek riskli sistemler için getirdiği teknik dokümantasyon ve insan denetimi yükümlülükleri, ilerleyen dönemde bu ispat güçlüğünü kısmen giderebilecek bir mekanizma sunmaktadır; ancak bu yükümlülüklerin tam anlamıyla yürürlüğe gireceği Ağustos 2026 tarihi henüz birkaç ay uzaktadır.
Avukat Yusuf KILIÇKAN
3 Mayıs 2026
Sıkça Sorulan Sorular (SSS)
1. Meta'nın MCI yazılımı ne kaydediyor ve bu neden hukuki sorun oluşturuyor?
Fare hareketleri, tuş vuruşları, tıklamalar ve belirli aralıklarla ekran görüntüleri kaydediliyor. Bu veri, AI ajanlarının bilgisayar kullanımını taklit etmesini öğretmek amacıyla kullanılıyor. Sorun, çalışanın iş sözleşmesinin kapsamı dışında ek bir işlev — veri kaynağı olmak — üstlendirilmesinin ayrı bir rızaya ya da sözleşme güncellemesine konu olup olmadığı; AB'de ise işveren-çalışan ilişkisindeki güç dengesizliği nedeniyle rızanın hukuki geçerliliğidir.
2. Hindistan fabrika kameralarının AI eğitimi amacıyla kullanıldığı doğrulandı mı?
Hayır. Birden fazla haber kaynağı bu amacı "spekülasyon" ya da "endüstri analisti yorumu" olarak nitelendirmiştir; resmi bir şirket ya da otorite açıklaması mevcut değildir. Bununla birlikte kurulumun imitation learning veri toplamaya uygun olduğu teknik olarak doğrudur. Hukuki değerlendirme bu belirsizliği de kapsamaktadır: amacın çalışanlara açıklanıp açıklanmadığı ve rızanın usulüne uygun alınıp alınmadığı soruları, doğrulanmış amaçtan bağımsız biçimde kendi başına hukuki sorun oluşturmaktadır.
3. Türkiye'de bir işveren çalışanının tuş vuruşlarını kaydedebilir mi?
KVKK m. 5 kapsamında hukuki dayanak bulunması ve m. 4 uyarınca orantılılık ilkesine uyulması kaydıyla mümkün olabilir. İş sözleşmesinin ifası veya meşru menfaat gerekçesi öne sürülebilir; ancak her iki gerekçede de aydınlatma yükümlülüğü ve veri minimizasyonu ilkesine uyum zorunludur. AI eğitimi amacıyla kullanım, orijinal işleme amacından farklı kabul edilirse yeni rıza ya da ek yasal dayanak gerekmektedir.
4. GDPR, işveren-çalışan ilişkisinde rızayı neden geçersiz sayabiliyor?
GDPR m. 7 ve Avrupalı Veri Koruma Kurulları'nın rehberlerine göre "özgürce verilen" rıza, gerçek bir seçenek sunan eşit güç ilişkisini gerektirir. İşveren-çalışan ilişkisinde ise ekonomik bağımlılık, işini kaybetme korkusu ve hiyerarşik baskı bu özgürlüğü fiilen ortadan kaldırmaktadır. Bu nedenle Avrupalı otoriteler, işyerinde veri işleme için rıza yerine meşru menfaat ya da sözleşmenin ifası gibi gerekçelerin kullanılmasını önermektedir.
5. Meta'nın 8.000 çalışanı işten çıkarması ile MCI yazılımı arasında hukuki bir bağ kurulabilir mi?
Doğrudan ve nedensellik içeren bir hukuki bağ kurulabilmesi için iki eylemin aynı kararın parçası olduğunun ya da veri toplama ile işten çıkarma süreçlerinin birbirine bağlı yürütüldüğünün ispatlanması gerekmektedir. Böyle bir bağın kurulması halinde bazı ülkelerde — özellikle sendika toplu pazarlık hakkı güçlü olan hukuk düzenlerinde — işçi koruma hükümleri devreye girebilir. ABD'de NLRB, gözetim araçlarının örgütlenme faaliyetleri üzerindeki etkisine ilişkin denetim yetkisine sahiptir.
6. Hindistan'dan toplanan veri AB'de kullanılırsa ne olur?
GDPR Bölüm V kapsamında Hindistan için yeterlilik kararı bulunmadığından standart sözleşme hükümleri ya da bağlayıcı kurumsal kurallar gibi uygun güvence mekanizmalarının kurulması zorunludur. Bu mekanizmalar sağlanmadan gerçekleştirilen veri transferi, veri aktarım kısıtlamaları kapsamında GDPR ihlali oluşturur ve denetim otoritesinin yaptırım yetkisini tetikler.
7. Amaç sınırı ihlali neden bu kadar önemli?
GDPR m. 5/1-b ve KVKK m. 4/2-c uyarınca kişisel veriler yalnızca toplandıkları amaç doğrultusunda işlenebilir. "Dikiş makinesi operatörlüğü" görevi kapsamında toplanan el hareketi verisi, robotik eğitim amacıyla kullanılırsa bu verinin ilk işlenme amacıyla uyumlu olup olmadığı denetlenmek zorundadır. Uyumsuzluk tespit edilmesi hâlinde yeni rıza ya da yeni yasal dayanak zorunlu olur.
8. AB CSDDD Direktifi bu olaylara nasıl uygulanır?
CSDDD, büyük ölçekli AB şirketlerinin tedarik zincirinde insan hakları ihlallerini tespit etmek ve önlemek için durum tespiti yapmasını zorunlu kılmaktadır. Hindistan'daki fabrikalardan ürün alan ya da bu fabrikalar üzerinden veri toplayan AB merkezli şirketler, çalışanların bilgisi ve rızası dışında gerçekleştirilen veri toplama faaliyetlerinin insan hakları riski kategorisine girip girmediğini değerlendirmekle yükümlü olabilir.
9. Çalışan kendi verisi üzerinde herhangi bir hakka sahip mi?
GDPR ve KVKK kapsamında çalışan veri sahibi sıfatını taşır; erişim hakkı, silme hakkı, itiraz hakkı ve veri taşınabilirliği hakkı başlıca haklardandır. Ancak bu hakların işyerinde pratik olarak kullanılması — özellikle iş ilişkisi devam ederken — genellikle güçtür. Çalışanın bu haklarını kullandığı gerekçesiyle maruz kaldığı olumsuz muamele ise ayrıca hukuki yaptırıma konu olabilir.
10. Bu tür veri toplama uygulamalarına karşı işçilerin başvurabileceği yollar neler?
KVKK kapsamında Kişisel Verileri Koruma Kurulu'na şikâyet, GDPR kapsamında ulusal veri koruma otoritesine başvuru ve iş mahkemesinde sözleşme ihlali ya da ücret alacağı davası temel yollardır. Sendikalı işyerlerinde toplu iş sözleşmesi müzakeresi de bu konuları gündeme taşıyabilecek bir mekanizma sunmaktadır. AB'de ise CSDDD kapsamında maruz kalan işçilere sivil sorumluluk davası açma imkânı tanınmaktadır.
Yazar Hakkında
Avukat Yusuf KILIÇKAN, dijital hukuk, yapay zeka hukuku ve tüketici hukuku alanlarında faaliyet gösteren bir hukuk bürosunun kurucusudur. Veri toplama uyuşmazlıkları, KVKK uyum süreçleri, AI eğitim verisi sorumluluğu ve çalışan gizliliği ihlalleri konularında müvekkillere hukuki danışmanlık ve dava takibi hizmeti sunmaktadır. Hukuki yazılarına yusufkilickan.av.tr adresinden ulaşabilirsiniz.
Yasal Uyarı
Bu makale yalnızca genel bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımamaktadır. İşyerinde çalışan verisi toplama uygulamalarının hukuki değerlendirmesi; ülkeye, sektöre ve somut iş sözleşmesinin içeriğine göre önemli farklılıklar göstermektedir. GDPR, KVKK ve AB AI Yasası uygulama takvimi hızla geliştiğinden bu alanda düzenli güncel takip önerilmektedir. Somut hukuki durumunuz için mutlaka alanında uzman bir teknoloji veya yapay zeka hukuku avukatından destek almanız tavsiye edilir.