Yapay Zekâ Tedarikçi Sözleşmeleri ve Kurumsal YZ Tedariki: Şirketler İçin Hukuki Rehber
YZ tedariki, sıradan bir yazılım tedariki değildir. YZ araçları benimseyen şirketler; YZ iş süreçlerine yerleşmeden önce tedarikçi koşullarını, veri kullanımını, gizliliği, fikrî mülkiyet sahipliğini, insan gözetimini, sorumluluğu, denetim haklarını, güvenliği, düzenleyici riski ve çıkış stratejisini incelemelidir.
Yapay zekâ şirketlere birçok kapıdan giriyor.
Bazı YZ araçları yönetim tarafından onaylanır; bazıları BT departmanlarınca getirilir; bazıları mevcut yazılıma gömülüdür; bazıları pazarlama ekiplerince, İK departmanlarınca, geliştiricilerce, müşteri hizmetleri ekiplerince, danışmanlarca veya üretken YZ araçlarını deneyen çalışanlarca kullanılır. Bu, yeni bir hukuki sorun yaratır: bir şirket, sözleşmeyi gerektiği gibi incelemeden YZ kullanıyor olabilir.
Risk teorik değildir. Bir YZ tedarikçisi; kişisel veri işleyebilir, istemleri saklayabilir, girdileri modelleri iyileştirmek için kullanabilir, sorumluluğunu sınırlayabilir, doğruluğu reddedebilir, çıktı mülkiyetini kısıtlayabilir, yabancı alt işleyiciler kullanabilir, askıya alma hakları saklı tutabilir, ürünü değiştirebilir, üçüncü taraf modelleri entegre edebilir veya müşterinin kullanıcı davranışı için geniş sorumluluk kabul etmesini isteyebilir. Sıradan yazılımda bu konular önemlidir; YZ'de merkezi hâle gelebilir.
Bu nedenle YZ tedariki, rutin bir abonelik satın alımı değil, stratejik bir hukuki süreç olarak ele alınmalıdır. Bu rehber, şirketlerin YZ araçlarını tedarik etmeden, devreye almadan veya ölçeklemeden önce neleri incelemesi gerektiğini açıklar.
1. YZ Tedariki Sıradan Yazılım Tedariki Değildir
Geleneksel yazılım tedariki çoğu zaman işlevsellik, lisans kapsamı, fiyat, hizmet seviyeleri, destek, güvenlik ve fesih üzerinde durur. YZ tedariki tüm bunları gerektirir, ama dahasını da. Şirket; YZ sisteminin hangi veriyi kullandığını, kişisel veri işlenip işlenmediğini, gizli bilgi girilip girilemeyeceğini, istemlerin ve çıktıların saklanıp saklanmadığını, müşteri verisinin model eğitiminde kullanılıp kullanılmadığını, çıktıların ticari kullanılıp kullanılamayacağını, tedarikçinin doğruluk taahhüdü verip vermediğini, aracın ihlal edici içerik üretip üretmeyeceğini, insan incelemesinin gerekip gerekmediğini, sistemin bireyleri etkileyip etkilemediğini, düzenleyici yükümlülüklerin uygulanıp uygulanmadığını, çıktı zarar verirse kimin sorumlu olduğunu ve şirketin sistemi düzenleyicilere, müşterilere veya yatırımcılara açıklayıp açıklayamayacağını anlamalıdır.
Temel fark, YZ sistemlerinin önceden tanımlı işlevleri yalnızca yürütmek yerine çıktı üretebilmesidir. Bu, hukuki sorumluluğun dağıtımını zorlaştırır. Bir şirket, bir YZ sözleşmesini sıradan ofis yazılımı satın alıyormuş gibi imzalamamalıdır.
2. Kullanım Senaryosuyla Başlayın
Sözleşmeyi incelemeden önce şirket kullanım senaryosunu tanımlamalıdır. Aynı YZ aracı, nasıl kullanıldığına göre farklı risk taşıyabilir. İç toplantı notlarını özetlemek için kullanılan bir YZ aracı; iş başvurusu eleme, kredi riski değerlendirme, tıbbi tedavi önerme, hukuki analiz destekleme, sigorta hasarı inceleme, müşteri tavsiyesi üretme, çalışan performansı izleme, çocuk verisi analiz etme, hassas sağlık bilgisi işleme, uyum kararlarını otomatikleştirme veya tüketicilerle doğrudan etkileşim için kullanılandan farklıdır.
Hukuki inceleme beş soruyla başlamalıdır: YZ sistemi ne yapacak? Hangi veriyi işleyecek? Çıktıya kim güvenecek? Ne ters gidebilir? Ve giderse kim sorumlu olacak? Net bir kullanım senaryosu olmadan sözleşme gerektiği gibi değerlendirilemez.
3. YZ Tedarikçisinin Rolünü Belirleyin
Şirket, imzadan önce tedarikçinin rolünü belirlemelidir. Tedarikçi; bir model sağlayıcı, bir SaaS platformu, bir API sağlayıcı, bir sistem entegratörü, bir bayi, bir bulut sağlayıcı, bir veri işleyen, bağımsız bir veri sorumlusu, bir alt yüklenici, özel bir modelin geliştiricisi ya da kendi ürünü içine sarılmış üçüncü taraf bir modelin sağlayıcısı olabilir.
Bu önemlidir çünkü sorumluluk kontrole bağlıdır. Bir bayi temel modeli kontrol etmeyebilir; bir platform başka bir temel model sağlayıcısına dayanabilir; bir sistem entegratörü bir aracı yapılandırabilir ama sahibi olmayabilir; müşteriye dönük bir YZ tedarikçisi birkaç alt işleyici kullanabilir. Sözleşme zinciri görünür kılmalıdır. Bir şey ters giderse şirket; modelden, platformdan, veri işlemeden, entegrasyondan, güvenlikten ve destekten kimin sorumlu olduğunu bilmelidir.
4. YZ Tedarikçi Durum Tespiti
Şirketler imzadan önce YZ tedarikçi durum tespiti yapmalıdır. Bu, düşük riskli araçlar için gereğinden zahmetli olmamalı; ancak işletme açısından kritik veya hassas kullanım senaryoları için tedarikçi incelemesi şarttır. Şirket; temel modeli kimin sağladığını, aracın özel mi yoksa üçüncü taraf bir model üzerine mi kurulu olduğunu, verinin nerede barındırıldığını, müşteri verisinin eğitim için kullanılıp kullanılmadığını, eğitim kullanımının kapatılıp kapatılamayacağını, istemlerin ve çıktıların saklanıp saklanmadığını, kayıtların ne kadar tutulduğunu, hangi güvenlik sertifikalarının bulunduğunu, alt işleyicilerin listelenip listelenmediğini ve haber vermeden değişip değişemeyeceğini, tedarikçinin silme taleplerini destekleyip desteklemediğini, denetim veya bilgi haklarının mevcut olup olmadığını, sistemin önyargı veya doğruluk açısından test edilip edilmediğini, yüksek riskli ya da düzenlenmiş kullanım için dokümantasyon olup olmadığını, tedarikçinin olay müdahale prosedürleri olup olmadığını ve hizmet askıya alınır veya durdurulursa ne olacağını sormalıdır.
Tedarikçi durum tespiti güvensizlik değildir. Profesyonel tedariktir.
5. Veri Koruma Sözleşmesi
YZ aracı kişisel veri işliyorsa bir veri koruma sözleşmesi gerekebilir. Sözleşme; tarafların rollerini, işleme amacını, kişisel veri ve ilgili kişi kategorilerini, müşterinin talimatlarını, gizliliği, güvenlik tedbirlerini, alt işleyicileri, sınır ötesi aktarımları, ilgili kişi taleplerine yardımı, ihlal bildirimini, verinin silinmesi veya iadesini, denetimleri, saklamayı, eğitim kullanımını ve teknik ve idari tedbirleri ele almalıdır.
YZ özel zorluklar yaratır çünkü veri; istemlerde, yüklenen belgelerde, sohbet geçmişinde, gömmelerde (embeddings), kayıtlarda, ince ayar veri kümelerinde, analitikte ve çıktı kayıtlarında görünebilir. Sözleşme yalnızca "veri koruma hukuku uygulanır" dememeli; YZ sisteminin veriyi gerçekte nasıl işlediğini açıklamalıdır.
6. Müşteri Verisi ve Model Eğitimi
En önemli sorulardan biri, tedarikçinin müşteri verisini modelleri eğitmek veya iyileştirmek için kullanıp kullanamayacağıdır. Bu dikkatle incelenmelidir. Müşteri verisi; istemleri, yüklenen belgeleri, iç kayıtları, müşteri bilgilerini, çalışan verisini, ticari veriyi, gizli dosyaları, kodu, hukuki belgeleri, sağlık verisini, finansal veriyi, geri bildirimi ve çıktıları içerebilir.
Sözleşme, tedarikçinin bu materyalleri model eğitimi, ince ayar, hizmet iyileştirme, analitik, hata ayıklama, suistimal izleme, güvenlik veya ürün geliştirme için kullanıp kullanamayacağını belirtmelidir. Şirket verisinin eğitim için kullanılmasını istemiyorsa sözleşme bunu açıkça söylemelidir. Bir kurumsal YZ düzenlemesi, ideal olarak tüketici sınıfı bir YZ aracından daha güçlü kontroller sağlamalıdır.
7. Gizlilik ve Mesleki Sır
YZ araçları gizlilik riskleri yaratabilir; özellikle müvekkil dosyaları, yönetim kurulu materyalleri, hukuki belgeler, mali tablolar, kişisel veri, çalışan kayıtları, tıbbi bilgi, kaynak kodu, ticari sırlar, satın alma hedefleri, dava materyalleri, sigorta hasarları, fikrî mülkiyet veya stratejik planlarla çalışan şirketler için. Tedarikçi sözleşmesi, bilginin hassasiyetine yetecek kadar güçlü gizlilik yükümlülükleri içermelidir.
Mesleki hizmetler, hukuki hizmetler, finans, sigorta, sağlık, teknoloji ve danışmanlık alanlarındaki şirketler özellikle dikkatli olmalıdır. Şirket ayrıca, onaylı önlemler yoksa YZ araçlarına asla nelerin yüklenemeyeceğini içeride belirlemelidir. Sözleşmesel gizlilik ve iç YZ politikası birlikte çalışmalıdır.
8. Bilgi Güvenliği
YZ araçları güvenlik açısından incelenmelidir: aktarım sırasında ve durağan hâlde şifreleme, erişim kontrolleri, kimlik doğrulama, yönetici kontrolleri, kayıt tutma, veri ayrıştırma, açık yönetimi, sızma testi, olay müdahale, tedarikçi personeli ve alt yüklenici erişimi, yedekleme ve kurtarma, veri silme, güvenlik sertifikaları, müşteri bildirimi, denetim raporları, API güvenliği, hız sınırları ve suistimal önleme.
Güvenlik incelemesi riske uygun olmalıdır. Gizli olmayan pazarlama taslakları için kullanılan kamuya açık bir YZ yazma asistanı; tıbbi kayıtlar, finansal veri, çalışan izleme veya hukuki belgeler için kullanılan bir araçla aynı incelemeyi gerektirmeyebilir — ama şirket bu ayrımı bilinçli yapmalıdır.
9. Sınır Ötesi Aktarımlar ve Bulut Barındırma
YZ araçları çoğu zaman buluttadır ve veri birkaç yargı çevresinde barındırılabilir, erişilebilir veya işlenebilir. Bu, Türkiye, Kuzey Kıbrıs, Birleşik Krallık, Avrupa Birliği veya diğer sınır ötesi pazarlarda faaliyet gösteren şirketler için önemlidir. Sözleşme; barındırma konumunu, destek erişim konumlarını, alt işleyicileri, sınır ötesi aktarım mekanizmasını ve güvenceleri, devlet erişimi riskini, veri yerleşim seçeneklerini ve yedekleme ile felaket kurtarma konumlarını belirlemelidir.
Şirketler, hizmet yerel olarak satıldığı için verinin yerel kaldığını varsaymamalıdır. Bir kullanıcı platforma Türkiye'den erişiyorken veri Avrupa'da barındırılıyor, ABD merkezli bir model sağlayıcı üzerinden işleniyor ve küresel bir ekipçe destekleniyor olabilir. Bu yapı kabul edilebilir olabilir, ama anlaşılmalıdır.
10. Çıktı Mülkiyeti ve Ticari Kullanım
Şirketler kısmen çıktı istedikleri için YZ araçları tedarik eder — metin, kod, görsel, tasarım, rapor, çeviri, özet, öneri, analitik, iş planı, müşteri yanıtı, ürün açıklaması, hukuki veya uyum taslakları ve pazarlama materyalleri. Sözleşme, şirketin çıktıları ticari kullanıp kullanamayacağını ele almalıdır.
Temel sorular: çıktının sahibi kim, tedarikçi hak devrediyor mu yoksa saklı mı tutuyor, kullanımda hangi kısıtlar var, başka kullanıcılar için benzer çıktılar üretilebilir mi, çıktılar fikrî mülkiyet hukukuyla korunuyor mu, çıktıları incelemekten müşteri mi sorumlu, tedarikçi herhangi bir fikrî mülkiyet tazminatı sağlıyor mu ve bir çıktı üçüncü taraf haklarını ihlal ederse ne olur. Bir şirket, YZ üretimi çıktıyı yüksek değerli marka varlıkları, yazılım kodu, reklam kampanyaları, düzenlenmiş tavsiye veya müşteri teslimatları için inceleme olmadan kullanırken dikkatli olmalıdır. YZ çıktısı, hukuken ve ticari olarak doğrulanana kadar bir taslak olarak ele alınmalıdır.
11. Üçüncü Taraf Fikrî Mülkiyet Riski
YZ sistemleri, üçüncü taraf korumalı materyale benzeyen veya onu içeren içerik üretebilir; bu da telif hakkı, marka, ticari sır, veri tabanı hakları, yazılım lisansları, kişilik hakları, gizli bilgi veya tasarım haklarını içeren uyuşmazlıklar yaratabilir. Sözleşme; tedarikçinin ihlalsizliği garanti edip etmediğini, tazminat sağlayıp sağlamadığını, tazminatın kullanıcı istemlerini hariç tutup tutmadığını, talep tavanları olup olmadığını, bazı kullanım senaryolarının hariç tutulup tutulmadığını, müşterinin dokümantasyona uyması gerekip gerekmediğini, çıktı filtrelemesinin bulunup bulunmadığını ve tedarikçinin talepleri savunmada yardım edip etmediğini ele almalıdır.
Birçok YZ tedarikçi sözleşmesi çıktılara ilişkin sorumluluğu sınırlar. Bir şirket, üçüncü bir taraf ihlal iddia ederse tedarikçinin kendisini tam koruyacağını varsaymamalıdır.
12. Doğruluk, Halüsinasyon ve Güven
YZ sistemleri özgüvenli ama hatalı çıktılar üretebilir. Bu genelde halüsinasyon olarak tanımlanır, ama hukuken teknik bir meseleden fazlasıdır: yanlış kararlara, yanıltıcı beyanlara, ayıplı hizmetlere, mesleki ihmale, tüketici zararına veya sözleşme ihlaline yol açabilir. Sözleşme; tedarikçinin doğruluk taahhüdü verip vermediğini, çıktıların "olduğu gibi" sunulup sunulmadığını, insan incelemesinin gerekip gerekmediğini, aracın amaçlanan kullanıma uygun olup olmadığını, tedarikçinin düzenlenmiş veya mesleki kullanımı reddedip etmediğini, sistemin yalnızca yardım amaçlı olup olmadığını, çıktı kayıtlarının tutulup tutulmadığını ve hataların bildirilmesi gerekip gerekmediğini ele almalıdır.
Şirket, YZ çıktılarına ne zaman güvenilebileceğini ve insan incelemesinin ne zaman zorunlu olduğunu tanımlamalıdır. Yüksek riskli kararlarda YZ, görünmez bir karar verici hâline gelmemelidir.
13. İnsan Gözetimi
İnsan gözetimi hem sözleşmeye hem iç sürece yerleştirilmelidir. İlgili sorular: YZ çıktılarını kim inceliyor? İnceleme zorunlu mu isteğe bağlı mı? İnceleyenin hangi nitelikleri olmalı? İnceleyen sistemi geçersiz kılabilir mi? İnceleyene yeterli bilgi veriliyor mu? Çıktılar YZ üretimi olarak işaretleniyor mu? Bir üst makama iletim yolu var mı? Kararlar belgeleniyor mu? Ve etkilenen bireyler sonuçlara itiraz edebilir mi?
İnsan yalnızca YZ sistemini onaylıyorsa insan gözetimi anlamlı değildir. Düzenlenmiş veya hassas kullanım senaryolarında gözetim yapılandırılmış, kayıtlı ve denetlenebilir olmalıdır.
14. Sorumluluk Hükümleri
YZ sözleşmeleri çoğu zaman güçlü tedarikçi sorumluluk sınırlamaları içerir. Bir tedarikçi; hatalı çıktılar, veri kaybı, dolaylı kayıp, kâr kaybı, iş kesintisi, fikrî mülkiyet talepleri, düzenleyici cezalar, kullanıcı suistimali, üçüncü taraf model başarısızlığı, güvenlik olayları, beta özellikler, mesleki kullanım ve çıktılara dayanılarak alınan kararlar için sorumluluğu hariç tutabilir veya sınırlayabilir. Şirket, sorumluluk tavanının uygun olup olmadığını incelemelidir — düşük bir abonelik ücreti, riske kıyasla ticari olarak anlamsız bir tavanla gelebilir.
İşletme açısından kritik YZ için şirket; daha yüksek tavanlar; gizlilik ve veri koruma ihlalleri için sınırsız sorumluluk; fikrî mülkiyet tazminatı; güvenlik ihlali sorumluluğu; düzenleyici işbirliği; hizmet kredileri; fesih hakları; ve sigorta gereklilikleri müzakere etmeyi düşünmelidir. Risk kontrolü izlemelidir: tedarikçi modeli, güvenliği ve veri işlemeyi kontrol ediyorsa uygun sorumluluğu kabul etmelidir.
15. Tazminatlar
Tazminatlar YZ sözleşmelerinde özellikle önemlidir. Şirket; üçüncü taraf fikrî mülkiyet ihlali, tedarikçi kaynaklı veri koruma ihlali, gizlilik ihlali, güvenlik olayı, tedarikçi sistemi kaynaklı düzenleyici ihlal, tedarikçi beyanlarının ihlali, müşteri verisinin eğitim için izinsiz kullanımı, tedarikçi materyallerinden doğan talepler ve alt yüklenici fiillerinden doğan talepler için tazminata ihtiyacı olup olmadığını değerlendirmelidir. Tedarikçi de; hukuka aykırı girdi verisi, platformun suistimali, kabul edilebilir kullanım politikası ihlali, üçüncü taraf haklarının ihlali, yasak sektörlerde kullanım ve çıktıları inceleyememe için müşteri tazminatı isteyebilir.
Tazminatlar dengeli ve kontrole bağlı olmalıdır. Bir müşteri, yalnızca tedarikçinin sistemiyle yaratılan riskler için sorumluluk kabul etmemelidir.
16. Kabul Edilebilir Kullanım Politikaları
YZ tedarikçileri çoğu zaman kabul edilebilir kullanım politikaları ekler; bunlar yasa dışı faaliyet, ayrımcılık, biyometrik kimlik tespiti, gözetim, silah, aldatma, düzenlenmiş tavsiye, yüksek riskli kararlar, tıbbi veya hukuki tavsiye, kredi puanlaması, istihdam kararları, siyasi ikna, çocukla ilgili işleme, kazıma, otomatik spam veya zararlı içerik için kullanımı yasaklayabilir. Şirket bunları dikkatle incelemelidir.
Bir işletme, bir YZ aracını farkında olmadan tedarikçinin kabul edilebilir kullanım politikasını ihlal eden şekilde kullanabilir; bu da askıya alma, fesih, erişim kaybı veya destek reddiyle sonuçlanabilir. Şirketin amaçlanan kullanımı kısıtlı bir alana yakınsa devreye almadan önce yazılı açıklama alınmalıdır.
17. Hizmet Seviyeleri ve İş Sürekliliği
YZ araçları operasyonel olarak önemli hâle gelebilir. Bir şirket YZ'yi müşteri hizmetlerine, belge incelemesine, kodlamaya, lojistiğe, uyuma veya analitiğe entegre ederse kesinti işi etkileyebilir. Sözleşme; çalışma süresi taahhütlerini, bakım pencerelerini, destek yanıt sürelerini, olay ciddiyet seviyelerini, yedekleme prosedürlerini, felaket kurtarmayı, API erişilebilirliğini, hız sınırlarını, model erişilebilirliğini, modellerdeki değişiklikleri, özelliklerin kullanımdan kaldırılmasını, hizmet kredilerini ve tekrarlanan başarısızlıkta feshi ele almalıdır.
Şirket ayrıca, YZ hizmeti kullanılamaz hâle gelirse faaliyetini sürdürüp sürdüremeyeceğini sormalıdır. YZ tedariki iş sürekliliği planlamasını içermelidir.
18. Model Değişiklikleri ve Ürün Değişiklikleri
YZ sistemleri değişir. Tedarikçi; modelleri güncelleyebilir, özellikleri kaldırabilir, güvenlik filtrelerini değiştirebilir, çıktı davranışını değiştirebilir, fiyatlandırmayı değiştirebilir, API sınırlarını değiştirebilir, yeni alt işleyiciler ekleyebilir veya bazı işlevleri durdurabilir — ve bu değişiklikler müşterinin işini etkileyebilir. Sözleşme; önemli değişikliklerin bildirimini, değişiklikleri reddetme yeteneğini, sürüm kontrolünü, dokümantasyon güncellemelerini, büyük değişikliklerden önce testi, geriye dönük uyumluluğu, müşteri fesih haklarını, veri dışa aktarımını ve geçiş yardımını ele almalıdır.
Düşük riskli kullanım için model değişiklikleri kabul edilebilir olabilir. Düzenlenmiş, gömülü veya müşteriye dönük YZ için kontrolsüz değişiklikler hukuki ve operasyonel risk yaratabilir.
19. Denetim Hakları ve Dokümantasyon
Şirketler; müşterileri, yatırımcıları, düzenleyicileri veya iç yönetişimi tatmin etmek için dokümantasyona ihtiyaç duyabilir. Sözleşme, tedarikçinin güvenlik dokümantasyonu, veri işleme bilgisi, model dokümantasyonu, risk değerlendirmeleri, denetim raporları, uyum sertifikaları, alt işleyici listeleri, olay geçmişi, önyargı testi bilgisi, uygunsa AB YZ Yasası ile ilgili dokümantasyon, teknik şartnameler ve değişiklik kayıtları sağlayıp sağlamadığını değerlendirmelidir.
Büyük YZ tedarikçilerinden tam denetim hakları mevcut olmayabilir, ama şirket riski değerlendirmek için yine de yeterli bilgi aramalıdır. YZ tedarik zincirini açıklayamayan bir müşteri; durum tespitinde, düzenleyici incelemede veya davada zorlanabilir.
20. Tedarikçi Sözleşmelerinde AB YZ Yasası Riski
AB YZ Yasası, rollerine ve YZ sisteminin risk seviyesine göre farklı aktörler için yükümlülükler yaratır. AB dışındaki bir şirket bile; YZ sistemleri, YZ destekli hizmetleri veya çıktıları AB pazarlarına sunuyorsa YZ Yasası riskini değerlendirmesi gerekebilir. Bu nedenle YZ tedarikçi sözleşmeleri; YZ sisteminin yüksek riskli olup olmayabileceğini, şirketin sağlayıcı mı yoksa devreye alan mı olduğunu, tedarikçinin gerekli dokümantasyonu sağlayıp sağlamadığını, insan gözetimi araçlarının mevcut olup olmadığını, kayıtların tutulup tutulmadığını, kullanım talimatlarının sağlanıp sağlanmadığını, risk yönetimi bilgisinin mevcut olup olmadığını, tedarikçinin uyum taleplerine işbirliği yapıp yapmadığını ve aracın amaçlanan AB'ye dönük kullanıma uygun olup olmadığını değerlendirmelidir.
YZ Yasası doğrudan uygulanmadığı yerlerde bile, sınır ötesi tedarikte ticari bir standart hâline gelebilir. Uluslararası müşteriler, tedarikçi durum tespitinin parçası olarak YZ yönetişimi dokümantasyonu bekleyebilir.
21. Sektöre Özgü Tedarik
YZ tedariki bazı sektörlerde daha sıkı olmalıdır — sağlık, finans, sigorta, istihdam, eğitim, hukuki hizmetler, gayrimenkul, ulaşım, siber güvenlik, kamu sektörü, kritik altyapı, çocuk hizmetleri ve tüketiciye dönük platformlar. Bu sektörlerde sözleşme, sektöre özgü yükümlülükleri ele almalıdır.
Örneğin sağlık YZ'si klinik, mahremiyet ve güvenlik incelemesi gerektirebilir; finansal YZ açıklanabilirlik, adillik ve denetim izleri gerektirebilir; sigorta YZ'si risk değerlendirmesini, hasarları ve ayrımcılık riskini etkileyebilir; istihdam YZ'si şeffaflık ve önyargı değerlendirmesi gerektirebilir; hukuki YZ gizlilik ve mesleki inceleme gerektirebilir; ve eğitim YZ'si reşit olmayanları ve hassas öğrenci verisini içerebilir. Genel YZ koşulları, düzenlenmiş kullanım senaryoları için nadiren yeterlidir.
22. İç YZ Tedarik Politikası
Şirketler; YZ araçlarını kimin onaylayabileceğini, hangi araçların yasak olduğunu, hukuki, veri koruma, güvenlik ve yönetim incelemesinin ne zaman gerektiğini, bir tedarikçi anketinin ne zaman gerektiğini, insan gözetiminin ne zaman zorunlu olduğunu, hangi verinin yüklenemeyeceğini, çalışanların YZ olaylarını nasıl bildireceğini, sözleşmelerin nasıl saklandığını ve YZ envanterine kimin sahip olduğunu tanımlayan bir iç YZ tedarik politikası benimsemelidir.
İç politika olmadan YZ tedariki parçalanır — farklı departmanlar farklı araçlar alabilir, tutarsız koşulları kabul edebilir ve gizli risk yaratabilir. Merkezî bir YZ tedarik süreci yeniliği durdurmak zorunda değildir; sorumlu benimsemeye izin verirken şirketi korur.
23. Gölge YZ ve Çalışan Kullanımı
Çalışanlar, yönetim bilmeden YZ araçlarını kullanabilir — en sık görülen risklerden biri. Örnekler arasında müvekkil belgelerini kamuya açık YZ araçlarına yüklemek, sözleşmeleri YZ ile özetlemek, bilinmeyen lisans riskli kod üretmek, müşteri yanıtlarını YZ ile yazmak, gizli belgeleri çevirmek, çalışan verisini analiz etmek, fikrî mülkiyet durumu belirsiz pazarlama içeriği oluşturmak ve şirket işi için kişisel hesaplar kullanmak vardır.
Şirket gölge YZ'yi doğrudan ele almalıdır. Gerçekçi bir politika; onaylı araçları belirlemeli, bazı veri girdilerini yasaklamalı, gizlilik kurallarını açıklamalı, insan incelemesini gerektirmeli, eğitim sağlamalı, bir bildirim kanalı oluşturmalı, gerçekçi olmayan toptan yasaklardan kaçınmalı ve çalışanlara güvenli alternatifler vermelidir. Çalışanlar genelde daha hızlı çalışmalarına yardımcı olduğu için YZ kullanır — hukuki çözüm reddetmek değil, kontrollü benimsemedir.
24. Çıkış Stratejisi ve Veri İadesi
Şirketler, YZ tedarikçi ilişkisinin sonunu imzadan önce düşünmelidir. Sözleşme; fesih haklarını, veri dışa aktarımını, çıktı dışa aktarımını, müşteri verisinin silinmesini, silme sertifikalarını, geçiş yardımını, gizliliğin devamını, çıktıların kullanımının sürmesini, bir tasfiye dönemini, mümkün olduğunda eğitim veri kümelerinden çıkarılmayı, hesap kapatmayı, tedarikçinin kayıtları saklamasını ve alt yüklenici silmesini ele almalıdır.
Çıkış, YZ sistemi operasyonlara gömülü hâle geldiğinde özellikle önemlidir. Bir şirket; veriyi geri alma, delili koruma ve güvenle geçiş yapma yeteneği olmadan bir tedarikçiye kilitlenmemelidir.
25. YZ Sözleşmesi Tehlike İşaretleri
Şirketler, tedarikçi koşullarının şunları öngördüğü durumlarda dikkatli olmalıdır: müşteri verisi net bir devre dışı bırakma olmadan eğitim için kullanılabilir; tedarikçi girdileri ve çıktıları kullanmak için geniş haklara sahip; sorumluluk neredeyse tamamen hariç tutulmuş; fikrî mülkiyet tazminatı sağlanmıyor; gizlilik yükümlülükleri zayıf; veri silme belirsiz; alt işleyiciler haber vermeden değişebilir; sınır ötesi aktarımlar açıklanmamış; güvenlik taahhütleri belirsiz; tedarikçi tüm doğruluk sorumluluğunu reddediyor; çıktılar ticari kullanılamaz; hizmet geniş biçimde askıya alınabilir; kabul edilebilir kullanım politikası fazla geniş veya belirsiz; destek veya olay müdahale sağlanmıyor; anlamlı bildirim olmadan tek taraflı değişikliklere izin veriliyor; uygulanacak hukuk ve yargı yeri uygunsuz; veya kurumsal kullanım tüketici sınıfı koşullara dayanıyor.
Bir tehlike işareti her zaman sözleşmenin imzalanamayacağı anlamına gelmez. Riskin anlaşılması, müzakere edilmesi veya içeride yönetilmesi gerektiği anlamına gelir.
26. Pratik Bir YZ Tedarik Kontrol Listesi
Bir YZ aracı tedarik etmeden önce şirketler şunları sormalıdır: Amaçlanan kullanım senaryosu nedir ve araç dahili mi müşteriye dönük mü? Kişisel veri veya gizli bilgi işliyor mu? Müşteri verisi model eğitiminde kullanılabilir mi? Veri nerede barındırılıyor ve alt işleyiciler ile sınır ötesi aktarımlar söz konusu mu, hukuka uygun mu? Girdilerin ve çıktıların sahibi kim ve çıktılar ticari kullanılabilir mi? Fikrî mülkiyet ihlali koruması var mı? Doğruluk sınırları net mi ve insan incelemesi gerekiyor mu? Sorumluluk tavanları kabul edilebilir mi ve tazminatlar dengeli mi? Güvenlik dokümantasyonu yeterli mi ve denetim veya bilgi hakları mevcut mu? Araç düzenlenmiş bir sektörde mi kullanılıyor ve AB YZ Yasası riski doğabilir mi? Bir iç YZ politikası var mı, çalışanlar eğitildi mi ve gölge YZ kontrol ediliyor mu? Hizmet askıya alınırsa ne olur ve çıkışta veri iade veya silinebilir mi? Ve hukuki, veri koruma ve güvenlik incelemesi tamamlandı mı?
Yanıtlar daha sonra tedarik kararını biçimlendirmelidir — imzalamak, müzakere etmek, kullanım senaryosunu kısıtlamak veya reddetmek.
Sıkça Sorulan Sorular
YZ tedarikçi sözleşmeleri sıradan yazılım sözleşmelerinden neden farklıdır?
YZ araçları hassas veri işleyebilir, öngörülemeyen çıktılar üretebilir, müşteri verisini model iyileştirmede kullanabilir, fikrî mülkiyet riski yaratabilir, bireyleri etkileyebilir ve karmaşık alt yüklenici zincirlerine dayanabilir. Bu konular sıradan yazılım tedarikinden daha yakın bir hukuki inceleme gerektirir.
Bir YZ tedarikçisi şirket verimizi modelini eğitmek için kullanabilir mi?
Bu, tedarikçi koşullarına bağlıdır. Şirketler; istemlerin, yüklenen belgelerin, çıktıların veya geri bildirimlerin eğitim ya da hizmet iyileştirmesi için kullanılıp kullanılamayacağını ve devre dışı bırakma ya da kurumsal korumaların mevcut olup olmadığını incelemelidir.
YZ üretimi çıktıların sahibi kimdir?
Mülkiyet; YZ aracının koşullarına, uygulanacak hukuka ve çıktının niteliğine bağlıdır. Şirketler, sözleşmeyi incelemeden çıktılara sahip olduklarını veya ticari kullanabileceklerini varsaymamalıdır.
YZ tedarikinde başlıca hukuki riskler nelerdir?
Başlıca riskler; veri koruma, gizlilik, fikrî mülkiyet ihlali, hatalı çıktılar, tedarikçi sorumluluk sınırları, sınır ötesi aktarımlar, güvenlik, gölge YZ, düzenlenmiş sektör riski, AB YZ Yasası ilgisi ve belirsiz çıkış haklarıdır.
Şirketlerin iç YZ politikası olmalı mı?
Evet. İç YZ politikası; çalışan kullanımını, onaylı araçları, yasak girdileri, insan incelemesini, gizliliği, veri korumayı, tedarik onayını ve olay bildirimini kontrol etmeye yardımcı olur.
AB YZ Yasası uyumu AB dışında da ilgili mi?
YZ sistemleri, çıktıları veya YZ destekli hizmetler AB pazarına sunuluyorsa ya da AB müşterilerince kullanılıyorsa ilgili olabilir. Ayrıca uluslararası tedarikte ticari beklentileri de etkileyebilir.
YZ sözleşmeleri insan gözetimi hükümleri içermeli mi?
Hassas veya yüksek etkili kullanım senaryolarında evet. Sözleşme ve iç süreç; insan incelemesinin ne zaman gerektiğini ve çıktıları doğrulamaktan kimin sorumlu olduğunu açıkça belirtmelidir.
Şirketler bir YZ tedarikçi sözleşmesini imzalamadan önce ne yapmalı?
Kullanım senaryosunu tanımlamalı; tedarikçi durum tespiti yapmalı; veri işlemeyi, gizliliği, fikrî mülkiyeti, sorumluluğu, güvenliği, sınır ötesi aktarımları, kabul edilebilir kullanımı, denetim haklarını, düzenleyici riski ve çıkış düzenlemelerini incelemelidir.
Sonuç
YZ tedariki yönetim kurulu seviyesinde bir hukuki mesele hâline geliyor. Tedarikçi koşullarını incelemeden YZ benimseyen bir şirket; veri koruma riski, gizlilik ihlalleri, fikrî mülkiyet talepleri, hatalı çıktılar, çalışan suistimali, düzenleyici inceleme, müşteri şikâyetleri ve operasyonel bağımlılığa maruz kalabilir.
En güçlü yaklaşım YZ'den kaçınmak değildir — YZ'yi disiplinle tedarik etmektir. Şirketler; sistemi anlamalı, sözleşmeyi incelemeli, veriyi kontrol etmeli, insan gözetimini tanımlamalı, sorumluluğu dağıtmalı, delili korumalı, çalışanları eğitmeli ve çıkışı planlamalıdır. YZ ancak onu destekleyen hukuki yapı riski taşıyacak kadar güçlüyse değer yaratabilir.
Terziolu & Partners Nasıl Yardımcı Olabilir
Terziolu & Partners; işletmelere, yatırımcılara, girişimcilere ve özel müvekkillere Türkiye, Kuzey Kıbrıs ve sınır ötesi hukuki konularda danışmanlık verir. Çalışmalarımız; YZ tedarikçi sözleşmelerinin incelenmesini; kurumsal YZ tedariki konusunda danışmanlığı; YZ tedarikçi durum tespiti kontrol listelerinin hazırlanmasını; YZ SaaS ve müşteri koşullarının hazırlanmasını; iç YZ tedarik politikalarının hazırlanmasını; YZ ile ilgili veri koruma konularında danışmanlığı; gizlilik ve eğitim-verisi risklerinin incelenmesini; YZ çıktı mülkiyeti ve fikrî mülkiyet riski konusunda danışmanlığı; AB YZ Yasası ile ilgili sözleşmesel riskin değerlendirilmesini; yatırım ve devralmalarda YZ ile ilgili hukuki durum tespitine desteği; ve gerektiğinde teknik, veri koruma ve yabancı danışmanlarla koordinasyonu içerebilir.
Bir YZ tedarikçi sözleşmesi, kurumsal YZ tedariki veya YZ yönetişimi meselesi için ekibimizle görüşün.
Bu makale yalnızca genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. YZ tedariki ve tedarikçi sözleşmesi riskleri; YZ sistemine, tedarikçi koşullarına, işlenen veriye, sektöre, yargı çevresine, sözleşmesel yapıya, düzenleyici riske, müşteri tabanına, amaçlanan kullanıma ve danışmanlığın zamanlamasına göre değişebilir. Bu yayına dayanılarak hiçbir işlem yapılmamalı veya yapılmaktan kaçınılmamalıdır. Bir YZ sistemini tedarik etmeden, devreye almadan, entegre etmeden veya ona dayanmadan önce konuya özgü hukuki, teknik, veri koruma, siber güvenlik ve ticari danışmanlık alınmalıdır. Terziolu & Partners'a bir talebin iletilmesi, vekâlet ilişkisi yazılı olarak resmen kabul edilmedikçe avukat–müvekkil ilişkisi doğurmaz.