İçeriğe geç
Intrvio logo

KVKK & Uyumluluk

KVKK Uyumlu Yapay Zeka Mülakatı: İşverenler için Pratik Rehber

Son güncelleme:

11 dkIntrvio Team

Yapay zekâ mülakatları Türkiye'de hızla yaygınlaşıyor; ancak işlenen veri hacmi ile KVKK yükümlülükleri arasındaki denge çoğunlukla göz ardı ediliyor. Ses kaydı, transkript, yüz ifadesi analizi ve otomatik puanlama — her biri farklı bir yasal çerçeve gerektiriyor.

Bu rehber işverenler için yazılmıştır: hangi verilerin işlendiği, hangi yasal dayanağın uygulandığı, aydınlatma metni nasıl hazırlanacağı, saklama süresi nasıl belirleneceği ve aday haklarının nasıl yönetileceği. Hukuki tavsiye içermez; hukuki inceleme için yetkili bir avukattan destek alınız.

Yapay zekâ mülakatında işlenen kişisel veri türleri

Sesli ya da görüntülü bir yapay zekâ mülakatı en az dört farklı veri kategorisini eş zamanlı işler:

  • Ses kaydı: Adayın konuşma sesi ham hâliyle kaydedilir; isim, aile bilgisi veya sağlık durumu gibi hassas içerik barındırabilir.
  • Konuşma transkripsiyonu: Ses, metne dönüştürülür ve arama, indeksleme ile LLM puanlamasında kullanılır.
  • Otomatik puanlar ve değerlendirme notları:Yanıtlar rubrik boyutlarına göre derecelendirilir. Bu notlar KVKK kapsamında “otomatik işlemeye dayalı karar” niteliği taşıyabilir.
  • Video görüntüsü (varsa): Kamera açıksa yüz görüntüsü işleniyor demektir. Üçüncü taraf bir araç bu görüntü üzerinden duygu, dikkat ya da stres analizi yapıyorsa biyometrik veri işleme boyutu devreye girer.

Ses kaydı tek başına kişisel veridir. Buna ek olarak ses tonu analizi veya yüz ifadesi tabanlı duygu analizi yapılan sistemlerde KVKK Madde 6'da yer alan özel nitelikli kişisel veri işleme rejimi uygulanır.[1][2]

Açık rıza mı, meşru menfaat mi?

İşe alım süreçlerinde KVKK Madde 5/2-f kapsamındaki meşru menfaat, standart ses kaydı ve transkripsiyon için kullanılabilir bir dayanak olabilir — koşulu: menfaat orantılı, sınırlı ve adaya önceden bildirilen bir süreç çerçevesinde kalmalıdır. Ancak uygulamada işe alım bağlamında menfaat dengesinin aday aleyhine bozulma riski yüksektir; bu nedenle pek çok hukuk pratiği açık rıza tercih etmektedir.

Duygu analizi veya yüz ifadesi tabanlı biyometrik işleme söz konusu olduğunda meşru menfaat yeterli değildir. KVKK Madde 6, açık rızaveya KVKK'nın tanıdığı diğer istisnai halleri zorunlu kılar. GDPR perspektifinden de Madde 9/2-a kapsamında açık rızanın en güvenli yasal dayanak olduğu kabul görmektedir.[4]

Rıza formunun dikkat etmesi gereken iki pratik nokta vardır: (1) Rıza, başvuru sürecinde reddetmenin adayı eleme riskiyle karşı karşıya bırakması nedeniyle özgür iradenin var olup olmadığı tartışmalıdır — aydınlatma metni adayın rıza vermesinin zorunlu olup olmadığını açıkça belirtmeli; (2) rıza tek bir satır değil, hangi verinin, ne amaçla, ne kadar süre işleneceğini gösteren katmanlı bir yapıda olmalıdır.

Aydınlatma yükümlülüğü: mülakata başlamadan önce

KVKK Madde 10 kapsamında işverenin mülakat öncesinde adayı en az şu konularda bilgilendirmesi gerekir:

  1. Veri sorumlusunun kimliği ve iletişim bilgileri
  2. Hangi verilerin işleneceği (ses kaydı, transkript, otomatik puanlama, varsa video)
  3. İşleme amacı (işe alım değerlendirmesi)
  4. Yasal dayanak
  5. Saklama süresi
  6. Veri aktarımı yapılıyorsa alıcı kategorileri (bulut sağlayıcı, alt işlemci)
  7. Aday hakları: erişim, düzeltme, silme, işlemeye itiraz, otomatik kararın yeniden değerlendirilmesini talep etme

Bu bilgilendirme mülakat başladıktan sonra değil, başlamadan önce yapılmalıdır. Sesli AI mülakat sistemlerinde bilgilendirme ve onay akışının görüşme başında otomatik olarak sunulması iyi pratik kabul görmektedir.

Ses kaydı ile biyometrik veri ayrımı

Sesli bir mülakatta ses kaydı kişisel veridir, ancak biyometrik veri değildir — ses yalnızca konuşma içeriğini aktarmak için kullanılıyorsa. Biyometrik veri sınırı şu durumda aşılır: ses tonu, perde veya diğer akustik özellikler kullanılarak kişiyi biyolojik olarak tanımlamak veya biyometriden duygu/stres/sağlık durumu çıkarımı yapmak.[2]

Pratik kural: araç, konuşmanın içeriğini değil biyolojik özelliklerini analiz ediyorsa biyometrik veri işleme rejimine girilir. Bu çizgi önemlidir çünkü biyometrik veri işleme için KVKK daha yüksek bir çıta belirlemekte, daha kısıtlı yasal dayanak ve güçlendirilmiş güvenlik tedbirleri gerektirmektedir.

Duygu analizi yapan araçların ek riskine ayrıca dikkat çekmek gerekir: Avrupa Veri Koruma Kurulu, yüz ifadesinden duygu çıkarımını yüksek riskli veri işleme olarak değerlendirmekte, kullanımını yalnızca zorunluluk ve orantılılık koşullarını karşıladığında meşru bulmaktadır.[5] Türkiye'de KVKK Kurulu da benzer bir temkinli tutum benimsemektedir.

Saklama süreleri

KVKK'nın saklama ilkesi (Madde 4/2-ç) açıktır: veri, işlenme amacının gerektirdiği süre kadar saklanır, sonrasında silinir veya anonimleştirilir. İşe alım bağlamında pratik çerçeve:

  • Temel süre: İlgili kadro için işe alım kararının kesinleşmesi ve aday itiraz sürelerinin kapanması.
  • AB AI Yasası alt sınırı:Ağustos 2026 itibarıyla yüksek riskli AI sistemleri için Madde 26(6) asgari 6 aylık log saklama yükümlülüğü getiriyor.[3] AB'de faaliyet gösteren işverenler için bu alt sınırın dikkate alınması gerekiyor.
  • Üst sınır: Genel bir kural olarak 1 yılı aşan saklama süreleri için orantılılık gerekçesinin somutlaştırılması gerekir.

Saklama süresi aydınlatma metninde net biçimde belirtilmeli; seçilen sürenin gerekçesi iç dokümantasyona işlenmelidir.

Aday hakları: erişim ve silme

KVKK Madde 11 kapsamında adayın şu hakları bulunmaktadır:

  • Hangi kişisel verilerin işlendiğini öğrenme
  • İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında aktarılan üçüncü kişileri öğrenme
  • Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
  • Veri silinmesini veya yok edilmesini isteme
  • Otomatik sistemler aracılığıyla analiz edilerek aleyhe sonuç doğuran bir kararın yeniden incelenmesini isteme (Madde 11/e) — yapay zekâ puanlamasında kritik bir hak
  • Kanuna aykırı işleme nedeniyle zararın tazminini talep etme

Adayın silme talebini işleme alacak bir sürecin önceden kurulmuş olması, ilgili kişinin başvuru kanallarının aydınlatma metninde belirtilmesi ve 30 günlük yanıt süresine uyulması KVKK Madde 13 kapsamında zorunludur.

AB AI Yasası Ağustos 2026 yükümlülükleriyle kesişim

AB AI Yasası (Regulation 2024/1689) Ağustos 2026'dan itibaren işe alımda kullanılan AI sistemlerini “yüksek riskli” olarak sınıflandırmakta ve deployer (işveren) için şu yükümlülükleri getirmektedir:[3]

  • Şeffaf aday bildirimi: Adayın yüksek riskli bir AI sistemiyle değerlendirileceği hakkında önceden bilgilendirilmesi.
  • İnsan gözetimi: Nihai karar bir insanın değerlendirmesiyle desteklenmelidir; tamamen otomatik işe alma kararları yüksek riskli statüdedir.
  • Temel haklar etki değerlendirmesi (FRIA): Kamu kurumları ve belirli özel sektör kuruluşları için zorunlu.
  • Log tutma (Madde 26/6): Asgari 6 ay; adayın kararın açıklanmasını talep edebileceği bir mekanizmanın varlığı.

Bu yükümlülükler KVKK ile örtüşmekte, zaman zaman daha katı bir çıta belirlemektedir. Hem Türkiye hem AB ile bağlantılı işe alım yapan işverenler için iki çerçeveyi birlikte yönetmek gerekiyor.

Intrvio'nun yaklaşımı

Intrvio'da mülakat başlamadan önce GAIA bir bilgilendirme ve onay akışı sunar: adaya hangi verilerin kaydedileceği, ne amaçla kullanıldığı ve haklarının neler olduğu sesli ve yazılı biçimde iletilir. Veri saklama AB bölgesi sunucularında gerçekleşir; biyometrik analiz özelliği platforma dahil değildir. Alt işlemci listesine /tr/subprocessors, aday haklarına /tr/candidate-notice ve AB AI Yasası uyum belgelerine /tr/eu-ai-act-compliance sayfasından ulaşabilirsiniz.

Pratik kontrol listesi

  1. Mülakat aracı bileşenlerini listeleyin: ses kaydı, transkripsiyon, otomatik puanlama, video, duygu/biyometrik analiz — her biri için yasal dayanağı belirleyin.
  2. Biyometrik analiz (duygu, yüz, ses tonu) varsa açık rıza zorunlu; yok ise meşru menfaat değerlendirmesi yapın ve belgelendirin.
  3. Aydınlatma metnini mülakat başlamadan önce sunun; onay akışını sistemde kayıt altına alın.
  4. Saklama süresini aydınlatma metninde belirtin (örn. “işe alım kararından itibaren 6 ay”); süresi dolan verileri otomatik silecek veya anonimleştirecek bir süreç kurun.
  5. Aday erişim ve silme taleplerini karşılayacak bir kanal açın; 30 günlük yanıt süresini takip edin.
  6. AB AI Yasası kapsamındaysanız (AB'de iş başvurusu alan veya AB merkezli şirketler) FRIA gereksinimini değerlendirin; log saklama politikanızı 6 ay alt sınırıyla hizalayın.
  7. Alt işlemcilerinizle (bulut altyapı, ASR hizmet sağlayıcı) KVKK uyumlu veri işleme sözleşmeleri imzalaın; yurt dışı aktarım söz konusuysa Kurul'un belirlediği güvencelerden birini kullanın.

Not: Bu yazı bilgilendirme amacıyla hazırlanmıştır ve hukuki tavsiye niteliği taşımaz. KVKK uyumluluğu ve AB AI Yasası yükümlülükleri için yetkili bir hukuk danışmanından destek almanız önerilir.

Sıkça sorulan sorular

Kaynaklar

  1. [1]KVKK Resmi Web Sitesi — 6698 sayılı Kişisel Verilerin Korunması Kanunu tam metni. https://www.kvkk.gov.tr/Icerik/6649/6698-Sayili-Kanun
  2. [2]KVKK — Biyometrik Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu (Eylül 2022). https://www.kvkk.gov.tr/Icerik/7311/Biyometrik-Verilere-Iliskin-Kamuoyu-Duyurusu
  3. [3]Avrupa Parlamentosu — AB Yapay Zeka Yasası (Regulation 2024/1689), Madde 26 ve Ek VII. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689
  4. [4]GDPR Madde 9 — Özel nitelikli kişisel verilerin işlenmesi (biyometrik veriler dahil). https://gdpr-info.eu/art-9-gdpr/
  5. [5]Avrupa Veri Koruma Kurulu — Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052022-use-facial-recognition-technology-area-law_en

İlgili kaynaklar

Devamını okuyun

Pillar →

AB AI Yasası Uyumluluğu

İşe alım AI'sı için Ağustos 2026 deployer yükümlülükleri — FRIA, log tutma ve aday bildirimi.

Blog →

İşe Alımda AB AI Yasası: Ağustos 2026'da Ne Değişiyor

FRIA, Madde 26 log tutma ve 90 günlük hazırlık listesi.

Platform →

AI Mülakat Platformu

Intrvio'nun KVKK ve AB AI Yasası uyumlu gerçek zamanlı sesli AI mülakatçı platformu.

Intrvio platformu

KVKK ve AB AI Yasası uyumlu yapay zekâ mülakat altyapısı.

GAIA, mülakat başında aydınlatma ve onay akışını otomatik olarak sunar; veriler AB bölgesi sunucularında saklanır.

Demoyu deneyinAB AI Yasası uyumluluk sayfası