Emlakçı ChatGPT'ye Müşteri Verisi Yazınca: KVKK Riski

Bir Emlak Ofisinin AI Hatası: Müşteri Verisi Tek Tıkla Dışarı

İstanbul Beşiktaş'ta bir emlak danışmanı geçen ay yapay zekâya iş gördürmek istedi. Müşterisinin adını, telefonunu, bütçesini ve aradığı semti tek prompt halinde ChatGPT'ye yapıştırdı. Karşılığında parlak bir ilan açıklaması aldı.

O bilgi artık OpenAI'ın işleme havuzunda. Geri çekilemez. Müşteri haberdar değil. Aydınlatma metni imzalanmamış.

Bu senaryo Samsung Semiconductor'ın 2023 baharında yaşadığı üç ardışık veri sızıntısının emlak versiyonu. Aradaki tek fark şu: Samsung kurumsal politika ve hukuki danışmanlık altyapısına sahip bir teknoloji devi. Türkiye'deki ortalama emlak ofisinin böyle bir altyapısı yok.

KVKK 2025 sonu yayımladığı "15 Soruda Üretken Yapay Zekâ Rehberi" ile bu boşluğu kapatmaya çalışıyor. Saha gerçeği farklı; emlak ofislerinin önemli kısmı rehberin varlığından bile haberdar değil.

KVKK Üretken Yapay Zekâ Rehberi Tam Olarak Ne Söylüyor?

Kişisel Verileri Koruma Kurumu, 15 sorulu bir doküman yayımladı. Rehberin amacı şirketlere üretken yapay zekâ kullanımında uyulması gereken çerçeveyi çizmek.

Üç ana ilke öne çıkıyor. Birincisi şeffaflık: müşteriye verisinin AI sisteminde işlenebileceği açıkça bildirilmeli. İkincisi açık rıza: bu işleme için özel ve bilinçli onay alınmalı. Üçüncüsü veri minimizasyonu — AI'a sadece görevin gerektirdiği minimum kişisel veri gönderilmeli.

Kurumun ek dokümanı "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" başlığıyla yayımlandı. Bu metin daha pratik. Üçüncü taraf AI araçları (ChatGPT, Claude, Gemini gibi) iş yerlerinde kontrolsüz kullanılırsa veri sorumlusu firmanın sorumlu tutulacağını net şekilde söylüyor.

Emlak ofisi sahibi için bu durumun anlamı belirgin: çalışanın kişisel ChatGPT hesabıyla müşteri bilgisi paylaşması bile firmanın sorumluluğu altında değerlendirilir. Çalışan değil, firma sahibi cezayla muhatap olur.

Rehber dört uygulamayı doğrudan riskli olarak işaretliyor:

• Müşteriye ait kimlik, telefon, adres bilgisinin AI'a girilmesi

• Tapu, kimlik veya kira sözleşmesi gibi belgelerin AI ile özetletilmesi

• Çalışan tarafından kayıt dışı (gölge AI) araçların kullanımı

• Müşterinin haberi olmadan AI çıktısının resmi yazışmada kullanılması

Yaptırım tarafında iki cephe işliyor: KVKK'nın idari para cezası ve TCK kapsamında çalışan veya yöneticinin doğrudan hapis cezası. İki yaptırım birbirinden bağımsız uygulanır; biri diğerinin yerini almaz.

Emlakçının Sıkça Düştüğü 5 Tuzak

Sahada en sık karşılaşılan ihlaller belirli bir kalıba oturuyor. Aşağıdakiler somut, gerçek dünyadan örnekler.

Tuzak 1 — Müşteri telefonuyla AI'dan ilan metni
Danışman müşterinin adını, soyadını, gayrimenkul adresini ve iletişim bilgilerini ChatGPT'ye yazıp "ilan metni hazırla" istiyor. Veri üçüncü tarafa gitti. Aydınlatma metni imzalanmamışsa doğrudan ihlal başlamıştır.

Tuzak 2 — WhatsApp ekran görüntüsü çevirisi
Yabancı uyruklu alıcının WhatsApp mesajının ekran görüntüsünü AI'a "Türkçeleştir" diye yapıştırmak. Ekran görüntüsünde isim, telefon ve profil fotoğrafı vardır. Hepsi kişisel veri sayılır.

Tuzak 3 — Tapu fotoğrafı OCR'a verme
Tapunun fotoğrafını ChatGPT'nin görsel okuma özelliğine yüklemek; T.C. kimlik numarası, eş bilgileri ve ikametgâh adresi tek seferde dışarı çıkıyor. Bu özel nitelikli kişisel veri seviyesinde ağır bir ihlal.

Tuzak 4 — Eski müşteri listesi analizi
Excel'deki 200 kişilik müşteri kayıt dosyasını AI'a yapıştırıp "hangi müşteri yatırımcı profilinde" diye sormak. Listenin tamamı izinsiz aktarılmış olur. KVKK Madde 6 doğrudan ihlal edilir.

Tuzak 5 — Çalışan eğitimi yokluğu
Ofis sahibi politikayı yazmamış, çalışana eğitim vermemiş. Çalışan iyi niyetle AI kullanmaya devam ediyor. Ceza geldiğinde çalışan değil, veri sorumlusu sıfatıyla firma sahibi muhatap kalır.

Beş tuzağın ortak noktası şu: hepsi iyi niyetli "verim artırma" denemeleri. KVKK ise niyet değil eylem üzerinden ceza keser. Kasıt aranmaz, sonuç bakılır.

2026 Türkiye Cezaları: Sayılarla Risk

Mevzuat iki cepheden vuruyor.

KVKK Madde 18 — İdari para cezası
Veri ihlali tespit edilirse veri sorumlusu firmaya 2026 tarifesinde altı haneli rakamlardan başlayıp milyonları bulabilen idari para cezası uygulanır. Ceza miktarı ihlalin niteliği, etkilenen kişi sayısı ve ihlalin süresine göre belirlenir.

TCK Madde 135 — Kişisel verileri kaydetme suçu
Kişisel verileri hukuka aykırı kaydeden kişi 1 ile 3 yıl arasında hapis cezasıyla yargılanır. AI'a izinsiz veri girilmesi yargı içtihadında bu kapsamda değerlendirilebilir. Suçlu konumdaki kişi çalışan veya ofis sahibi olur.

TCK Madde 136 — Verileri başkasına verme
Üçüncü tarafa hukuka aykırı veri aktaran kişi 2 ila 4 yıl arasında hapis cezasıyla yargılanır. ChatGPT'ye yapıştırılan veri "üçüncü tarafa aktarım" sayıldığı için savcılığın doğrudan bu maddeyi işletmesi mümkün.

KVKK son yıllık raporlarında üçüncü taraf yazılım ve bulut servis kaynaklı ihlal şikâyetlerinde belirgin artış raporladı. Eğilim açık: AI kaynaklı ihlaller hızla büyüyor.

Tek danışmanlı bir ofiste bile riski göz ardı etmek artık makul değil. En alt seviye idari para cezası küçük ofisin yıllık komisyon gelirinin önemli kısmını eritebilir. Hapis cezası tehlikesi ise çalışan ve ofis sahibinin sicilini doğrudan etkiler.

Güvenli AI Kullanım Rehberi: 6 Adım

Riskten kaçınmak için sade ve uygulanabilir altı adım.

1 — Anonimleştirme alışkanlığı
Müşteri adı yerine "Müşteri X", telefon yerine "[telefon]" yaz. Spesifik rakam yerine yaklaşık aralık ver. Bu tek alışkanlık veri ihlali riskinin önemli kısmını ortadan kaldırır.

2 — Aydınlatma metnine AI maddesi
Müşterinin imzaladığı aydınlatma metnine "verileriniz üretken yapay zekâ destekli analiz araçlarında işlenebilir" maddesi ekle. Açık rıza alınmadan AI'a kişisel veri girme.

3 — Çalışana yazılı politika
Tek sayfalık bir "AI Kullanım Politikası" hazırla. Hangi tür veriler AI'a girilmez, hangi araçlar onaylı, hangi durumda kişisel ChatGPT yasak — net şekilde yaz. Çalışana imzalat.

4 — Şirket içi AI altyapısı tercih et
Müşteri verilerinin şirket dışına çıkmadığı, kapalı sistemde çalışan AI araçlarını kullan. Kurumsal lisanslı sürümler (ChatGPT Enterprise, Claude for Work) eğitim için veri kullanmama garantisi sözleşmesel olarak verir.

5 — Veri envanteri çıkar
Hangi müşteriden hangi veriyi topladın, nerede sakladın, hangi sürede silinecek? KVKK denetiminde ilk istenen belge bu. Excel tablosu yeterli, karmaşık yazılım gerekmiyor.

6 — Sızıntı protokolü hazırla
Veri ihlali olursa 72 saat içinde KVKK'ya bildirim zorunlu. Hazır prosedürün varsa ceza ölçüsü ciddi şekilde düşer; yoksa katlanarak artar.

Bu altı adımı bir hafta içinde uygulayabilirsin. Hukuk danışmanı tutmaya ihtiyaç yok. KVKK'nın resmi rehberi yeterli kaynak sağlıyor; eklemen gereken sadece ofise özel uyarlamalar.

Emlak Ofisleri için Kapalı Sistem AI

Üçüncü taraf AI araçları emlak ofisi için her zaman risk taşır. Müşteri verisi şirket dışına çıkmadan AI gücünden yararlanmanın iki yolu var: kurumsal lisanslı genel AI veya emlak sektörüne özel kapalı sistem.

İkincisi avantajlı çünkü emlak terminolojisini, Türkiye mevzuatını ve sektör senaryolarını biliyor. Genel ChatGPT'ye sürekli rehber prompt yazmak yerine AI'ın hazır olarak bildiği versiyonu kullanmak verim sağlar.

EmlakCRMx'in akıllı asistanı bu mantıkla tasarlandı. Müşteri verisi sistemden çıkmadan iş gören bir altyapı: portföy eşleştirme, ilan metni üretimi, müşteri profil analizi tek panelde çalışır. Veri OpenAI'a, Google'a ya da başka üçüncü tarafa gitmez.

Sistem KVKK uyumlu olarak yapılandırıldı. Veri envanteri otomatik tutulur, aydınlatma metni şablonu hazır gelir, çalışan eğitim modülü dahili. Tek danışmanlı ofislerden kurumsal yapılara kadar aynı altyapıyı kullanır.

Üretken yapay zekâ emlak ofisinde kaçınılması gereken bir araç değil; doğru kurguyla emlakçının zamanını ikiye katlayan bir varlık. Açık ChatGPT'ye müşteri verisi yapıştırmak ile kapalı sistem üzerinden aynı verimi almak arasındaki tek fark KVKK uyumudur. 2026 itibarıyla bu fark giderek pahalıya patlıyor.

Sık Sorulan Sorular

ChatGPT'ye sadece müşteri telefon numarasını yapıştırmak KVKK ihlali sayılır mı?

Evet. KVKK kapsamında telefon numarası kişisel veridir; tek başına bile ihlal sayılır. Müşteriden açık rıza alınmamışsa ve aydınlatma metninde AI'a aktarım maddesi yoksa veri sorumlusu firma cezayla karşılaşır. Numarayı yapıştırırken niyetin masum olması fark yaratmaz; KVKK kasıt değil eylem üzerinden ceza keser. 2025 sonu yayımlanan rehber bu noktayı açıkça vurguluyor. Risk almak yerine numarayı "[müşteri telefonu]" yer tutucusuyla değiştirmek beş saniye sürer; ihlal riskini sıfıra indirir.

ChatGPT Plus aboneliği KVKK için yeterli güvence sağlar mı?

Hayır. ChatGPT Plus tüketici sürümüdür; veriler eğitim havuzuna girebilir. Sadece "ChatGPT Enterprise" ve "Team" abonelikleri eğitim verisi olarak kullanmama garantisini sözleşmesel düzeyde verir. Bu garantiyi resmî hesap sözleşmesinde görmen gerekir. Ofis sahibi sadece "abonelik var" demekle uyumlu sayılmaz; veri işleme sözleşmesi imzalanmalı, transfer mekanizması kontrol edilmeli. KVKK'nın "İş Yerlerinde ÜYZ Kullanımı" dokümanı bu konuyu net biçimde anlatıyor; abonelik tipi denetimde mutlaka sorulan ilk üç sorudan biri.

Çalışanım kişisel ChatGPT hesabıyla iş yapıyorsa kim sorumlu?

Veri sorumlusu sıfatıyla firma sahibi sorumludur. Çalışan kişisel hesabını işle ilgili amaçlarla kullansa da işveren denetim yükümlülüğünü yerine getirmemiş sayılır. Ceza önce firmaya gelir; firma çalışana rücu edebilir ama bu iç hukuk meselesi. KVKK son dönemde benzer vakalarda firmaya idari ceza, çalışan hakkında ise savcılığa suç duyurusu eşzamanlı yapıldığı örnekler raporladı. Yazılı politika ve eğitim olmazsa sorumluluğu çalışanla paylaşmak imkânsız. Tek koruma yazılı belge ve imzalı politikadır.