KVKK Uyumlu AI Telefon Sistemi Nasıl Kurulur? (2026 Rehberi)

Yapay zeka destekli telefon sistemleri işletmelere büyük avantaj sağlıyor — ama bu sistemler çağrı kaydı, ses verisi, müşteri bilgisi ve transkripsiyon gibi kişisel verileri işliyor. Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bu verilerin toplanması, saklanması ve işlenmesini sıkı kurallara bağlıyor.

KVKK'ya uyumsuz bir AI telefon sistemi, işletmeyi milyonlarca TL idari para cezasına ve itibar kaybına maruz bırakabilir. Bu rehberde AI telefon sisteminizi KVKK uyumlu kurmanın adımlarını, teknik gereklilikleri ve pratik çözümleri anlatıyoruz.

KVKK Nedir ve AI Telefon Sistemlerini Nasıl Etkiler?

KVKK, kişisel verilerin işlenmesini düzenleyen temel yasadır. Bir AI telefon sistemi aşağıdaki kişisel verileri işler:

• Ses kaydı — Müşterinin sesi biyometrik veri kategorisinde değerlendirilebilir, bu özel nitelikli kişisel veridir.
• Transkripsiyon — Çağrı metninde ad, TC, adres, sağlık bilgisi gibi kişisel veriler bulunabilir.
• Telefon numarası — Arayan ve aranan numara doğrudan kişisel veridir.
• Çağrı meta verisi — Tarih, saat, süre, konum gibi bilgiler de kişisel veri kapsamındadır.
• Müşteri profili — CRM'e aktarılan isim, tercihler, geçmiş çağrılar, randevu bilgileri.

Bu verilerin her biri KVKK kapsamında "kişisel veri işleme" sayılır. AI sisteminiz bu verileri topluyor, saklıyor veya üçüncü tarafla paylaşıyorsa (AI sağlayıcısı, bulut sunucu, CRM) KVKK kurallarına tabi olursunuz.

Aydınlatma Yükümlülüğü

KVKK madde 10'a göre kişisel veri toplarken veri sahibini (müşteriyi) bilgilendirmelisiniz. AI telefon sistemi için bu, çağrının başında bir aydınlatma metninin okunması anlamına gelir.

Çağrı başında ne söylenmeli?

AI asistan çağrıyı açtığında karşılama mesajına aydınlatma metni eklenmelidir. Örnek:

"Merhaba, [İşletme Adı]'na hoş geldiniz. Bu görüşme hizmet kalitesi ve yasal yükümlülükler kapsamında kayıt altına alınmaktadır. Kişisel verilerinizin işlenmesine ilişkin detaylı bilgiye web sitemizden ulaşabilirsiniz. Size nasıl yardımcı olabilirim?"

Bu metin yeterli değildir — ayrıca web sitenizde erişilebilir bir aydınlatma metni de bulunmalıdır. Metinde şunlar yer almalı:

• Veri sorumlusu kimliği — Şirket adı, adresi, iletişim bilgileri.
• İşleme amacı — Çağrı kaydı ne için tutulur? (hizmet kalitesi, yasal delil, randevu takibi, eğitim)
• Hukuki sebep — Meşru menfaat mi, sözleşme ifası mı, yasal zorunluluk mu?
• Veri aktarımı — Veriler kimlerle paylaşılır? (AI sağlayıcısı, bulut sunucu, CRM sağlayıcısı)
• Saklama süresi — Ne kadar süreyle saklanır?
• Veri sahibi hakları — Erişim, düzeltme, silme, itiraz hakları ve başvuru yöntemi.

Açık rıza ne zaman gerekir?

Çoğu durumda meşru menfaat yeterli hukuki sebeptir. Ancak şu durumlarda açık rıza almanız gerekir:

• Ses kaydını pazarlama amaçlı kullanacaksanız (müşteri sesinin kampanyada kullanımı)
• Sağlık verisi işliyorsanız (klinik, eczane, hastane — özel nitelikli kişisel veri)
• Verileri yurt dışına aktarıyorsanız (ABD veya AB'deki AI/bulut sağlayıcısına gönderme)
• Otomatik profilleme yapıyorsanız (müşteri sesinden duygu analizi gibi)

Veri Saklama ve Silme Süreleri

KVKK'nın "veri minimizasyonu" prensibi gereği verileri gerekenden uzun saklayamazsınız. AI telefon sisteminizde şu saklama sürelerini konfigüre edin:

• Genel müşteri hizmetleri çağrı kaydı: 6 ay - 1 yıl
• Hukuki ihtilaf riski olan sektörler (sigorta, finans, hukuk): 5 yıl
• Sağlık verileri (klinik, eczane): KVKK + Sağlık Bakanlığı kuralları gereği 5-20 yıl
• Outbound kampanya kayıtları: 1 yıl
• Transkripsiyon verileri: çağrı kaydıyla aynı süre veya daha kısa
• CRM'deki müşteri profil bilgileri: iş ilişkisi süresince + 1 yıl

Kritik kural: süre dolduğunda veriler otomatik silinmelidir. Manuel silme süreçleri unutulur — AI telefon sisteminizde otomatik silme (data retention policy) yapılandırılabilir olmalıdır.

Veri sahibi silme talep ederse?

Müşteri "verilerimi silin" dediğinde 30 gün içinde yanıt vermelisiniz. AI telefon sisteminiz şunları yapabilmeli:

• Belirli bir müşteriye ait tüm çağrı kayıtlarını bulma ve silme
• Transkripsiyon ve CRM verilerini kaldırma
• Silme işleminin logunu tutma (KVKK uyum kanıtı olarak)

Teknik Güvenlik Önlemleri

KVKK madde 12, veri güvenliği için teknik tedbirler almanızı zorunlu kılar. AI telefon sisteminizde şu güvenlik katmanları olmalıdır:

• Şifreleme (encryption) — Çağrı kayıtları hem aktarım sırasında (TLS/SRTP) hem de depolamada (AES-256) şifrelenmelidir. Şifresiz saklanan ses dosyası = KVKK ihlali.
• Erişim kontrolü (RBAC) — Çağrı kayıtlarına ve transkriptlere yalnızca yetkili personel erişebilmeli. Her erişim loglanmalı.
• Log tutma (audit trail) — Kim, ne zaman, hangi veriye erişti? Bu loglar en az 2 yıl saklanmalı.
• Veri maskeleme — Transkriptlerdeki TC kimlik numarası, kredi kartı, sağlık bilgisi gibi hassas veriler otomatik maskelenmelidir.
• Yurt içi veri saklama — Mümkünse çağrı kayıtlarını Türkiye'deki sunucularda saklayın. Yurt dışı aktarım için KVKK madde 9'daki koşullar (yeterli koruma veya açık rıza) sağlanmalıdır.
• Düzenli güvenlik testi — Yılda en az bir penetrasyon testi ve güvenlik açığı taraması yapılmalıdır.

850santral KVKK Uyum Özellikleri

850santral altyapısı KVKK uyumluluğunu tasarım aşamasından itibaren (privacy by design) entegre eder. İşletmelerin ek teknik efor harcamadan uyum sağlaması için şu özellikler yerleşiktir:

• Otomatik aydınlatma metni — Çağrı başında yapılandırılabilir KVKK aydınlatma mesajı. İşletme kendi metnini girer, AI asistan her çağrıda okur.
• Konfigüre edilebilir saklama süreleri — Sektörünüze ve politikanıza göre çağrı kaydı ve transkript saklama süresi panel üzerinden ayarlanır. Süre dolunca otomatik silme.
• Şifreli depolama — Tüm çağrı kayıtları AES-256 ile şifrelenir, aktarım TLS 1.3 üzerinden yapılır.
• Erişim kontrolü ve audit log — Panel üzerinden rol bazlı erişim. Her veri erişimi loglanır.
• Hassas veri maskeleme — Transkriptlerdeki TC kimlik, telefon numarası, kredi kartı gibi hassas bilgiler otomatik maskelenir.
• Veri sahibi başvuru API'si — Müşteri silme/erişim talebi geldiğinde tek tıkla ilgili verileri bulma ve kaldırma.
• Yurt içi saklama opsiyonu — Kurumsal müşteriler için Türkiye'deki sunucularda veri saklama seçeneği.

KVKK uyumu sadece teknik bir konu değildir — organizasyonel süreçlerinizi de kapsar. Veri sorumlusu ataması, VERBİS kaydı, ihlal bildirim prosedürü ve çalışan eğitimi de tamamlanmalıdır.

Sonuç: KVKK Uyumu Ertelenmemeli

AI telefon sistemi kurmak teknolojik bir adımdır — ama bu adımı KVKK uyumu düşünmeden atmak ciddi yasal ve mali riskler doğurur. 2026'da KVKK idari para cezaları milyonlarca TL'ye ulaşabiliyor, itibar kaybı ise ölçülemez.

Doğru yaklaşım: KVKK uyumlu bir AI telefon sağlayıcısı seçmek, aydınlatma ve saklama süreçlerini baştan doğru kurmak, teknik güvenlik önlemlerini kontrol etmek. Bu adımları doğru atan işletmeler hem yasal güvence hem de müşteri güveni kazanır.

KVKK konusunda hassas sektörlere özel çözümlerimizi inceleyin: <a href="/hukuk-burolari">hukuk büroları</a> için müvekkil gizliliği korumalı asistan, <a href="/saglik-klinikler">sağlık klinikleri</a> için hasta verisi yönetimi.