AI Tutor Etiği ve Veri Gizliliği: COPPA, GDPR, Türk KVKK ve Çocuk Verisi Koruma Çerçevesi

AI tutor etik veri gizliliği COPPA GDPR çerçevesi, çocuk verisinin algoritmik sistemlere akarken hangi sınırlara çarptığını tarif eder. ABD’nin COPPA’sı on üç yaş altını sıkı kontrol altına alır, AB’nin GDPR’ı profil çıkarma ve algoritmik karar üzerinde özel hassasiyet ister, Türkiye’de KVKK çocuk verisi için ayrı madde tanımlamasa da Kurul yön belgesi çizgi koyar. Üç farklı veri modeli sahnede.

COPPA: On Üç Yaş Altı İçin Açık Sınır

Amerika Birleşik Devletleri’nin Children’s Online Privacy Protection Act düzenlemesi, on üç yaş altı kullanıcının verisinin toplanmasını ebeveyn onayına bağlar. AI tutor pazarında bu kural, hizmetin K-12 segmentinde nasıl konumlandırılacağını doğrudan belirler. Khanmigo gibi ilkokul ve ortaokul aralığında kullanılan ürünler, Federal Trade Commission denetimi altında ebeveyn onay mekanizmasını ürünün açılış akışına yerleştirmek zorundadır. Onay almadan toplanan her veri için cezai eşik çocuk başına binlerce dolar düzeyine kadar uzayabiliyor; bu rakam piyasa aktörlerini ürün tasarım kararlarını mahkemenin değil mühendislik ekibinin önüne taşımaya itiyor.

COPPA’nın ticari kullanım kısıtlaması belirleyici. Çocuktan toplanan verinin reklam hedefleme, davranışsal profilleme veya üçüncü taraflara satışı yasak. AI tutor sağlayıcıları için bu kısıt, ürünün sohbet kayıtlarını eğitim verisi olarak ne ölçüde yeniden kullanacağı sorusunu masaya getirir. Anthropic’in Claude modeli, kullanıcı diyaloglarını varsayılan olarak model eğitimine almaz; FTC’nin COPPA kılavuzu bu yönde tasarımı tercih edilebilir kılar.

Okul bölgesi düzeyinde uygulamada ebeveyn onayı, bazı durumlarda okul tarafından “ebeveyn vekili” sıfatıyla verilebilir. Bu istisna, ürünün münhasıran eğitim amaçlı kullanılması ve verinin ticari amaçla işlenmemesi şartına bağlı. Bölge yöneticisi sözleşmeyi imzalarken sağlayıcının log saklama süresi, alt yüklenici listesi ve veri sızıntısı bildirim süresi konularını tek tek doğrulamak durumunda kalır. New York ve California eyalet eğitim daireleri model sözleşme metinleri yayımlayarak bu doğrulama süreçlerini standartlaştırdı; benzer şablonlar Avrupa’da da yaygınlaştı.

GDPR: Profil Çıkarma ve Algoritmik Karar

Avrupa Birliği’nin Genel Veri Koruma Tüzüğü, çocuğa yönelik veri işlemede sıkı bir çerçeve oturtur. Tüzüğün sekizinci maddesi onay yaşını üye devlete bırakırken on üç ile on altı arasında bir taban belirler. Yirmi ikinci madde tamamen otomatik karar verme süreçlerinde insan müdahalesini şart koşar. AI tutor sisteminin “bu öğrenci hangi seviyede” sorusuna verdiği yanıt, profil çıkarma kapsamına girer.

Çocukların verisi GDPR çerçevesinde “özel önem gerektiren” kategoriye yakın işlenir. Veri minimizasyonu ilkesi, tutor ürününün ihtiyacı olmayan veriyi toplamaması anlamına gelir. Bir matematik tutoru, öğrencinin coğrafi konum verisine, kontak listesine veya kamera erişimine ihtiyaç duymaz. AB pazarına giren her AI tutor, resmi GDPR portalı üzerinden açıkça düzenlenen şeffaflık yükümlülüklerini karşılamak zorundadır. Veri işleme faaliyetleri kaydı, etki değerlendirmesi raporu ve veri koruma görevlisi ataması, eğitim sektöründe pazar payı isteyen sağlayıcılar için artık standart aday dosya parçaları.

İrlanda Veri Koruma Komiseri ve Fransız CNIL son dönemde teknoloji sağlayıcılarına ağır cezalar kesti. Bu denetim baskısı, AI tutor sağlayıcılarının EU veri ikametgahı seçeneği sunmasını yaygınlaştırdı. ChatGPT EDU varyantı kurumsal müşteriye AB veri merkezi seçeneği açarken, OpenAI’ın resmi politika belgesi kurumsal sözleşmede sohbet içeriklerinin model eğitimine girmediğini taahhüt eder. Çocuk verisinde bu taahhüt fazladan ağırlık taşır. AB içinde işlenen veriyi yalnızca AB içinde tutmak ekstra altyapı maliyeti çıkarır, fakat veri ihlali davasında ispat yükünü hafifletir; pazarlama ekipleri bu yatırımı kurumsal güven primi olarak konumlandırıyor.

KVKK: Türkiye’de Çocuk Verisinin Konumu

↑ Başa dön

Türkiye’de Kişisel Verilerin Korunması Kanunu, çocuk verisi için ayrı bir madde içermez. Bu sessizlik boşluk anlamına gelmez. KVKK Kurulu yayınladığı ilke kararlarıyla ve sektör yön gösterici çalışmalarıyla çocuk verisini özel nitelikli veri statüsüne yakın bir hassasiyetle değerlendirir. Açık rıza konusunda çocuğun “kendi başına” verdiği onay tartışmalı kabul edilir; veli rızası standart hâline gelmiştir.

Kanunun beşinci maddesi, açık rıza dışındaki işleme şartlarını sıralar. Eğitim hizmeti sunan bir AI tutor, sözleşmenin kurulması veya ifası için zorunlu olan veriyi işleyebilir. Pazarlama amaçlı veri kullanımı ayrı açık rıza gerektirir. KVKK Kurumu’nun resmi sayfası Veri Sorumluları Sicili kaydını AI tutor sağlayıcısı için zorunlu tutar; sicil kaydı olmayan bir hizmet idari para cezası riskini sırtında taşır. Kurum cezalarının üst limiti milyon Türk Lirası eşiğini aştı; bu seviye eğitim sektörü için ürün operasyonunu durdurmaya yetecek baskı yaratıyor.

Yurt dışına veri aktarımı KVKK’nın en hassas başlığı. Bulut tabanlı AI tutor sistemleri sunucularını çoğunlukla AB veya ABD’de tutar. Kurul, yeterli koruma sağlayan ülke listesini henüz dar tutmuş; bu durum sağlayıcıyı taahhütname yoluna iter. Türk MEB pilotlarında bu taahhütname imzalanmadan sözleşme imzalanmıyor. Veli bilgilendirme formu, verinin nereye aktığını ve hangi ülkenin yargı yetkisine girdiğini açık yazmak durumunda. Bazı pilot okullar veliyle imzaladıkları formda servis sağlayıcının ABD merkezli mahkemelere tabi olduğunu özel paragrafta belirterek olası karşılaşmaları baştan şeffaflaştırıyor.

MEB Veri Güvenliği Politikası ve YAZEK Etik Beyanı

Milli Eğitim Bakanlığı yayımladığı meb politika belgesinde çocuk koruma eksenini öne çıkardı. Belge, AI destekli içeriklerin yaş uygunluğunu, veri saklama sürelerini ve veli onay akışlarını netleştirir. Pilot uygulamalarda öğrenci kimliğinin ürünle paylaşılması yerine pseudonim kimlik üretilmesi tercih edildi; bu yaklaşım veri minimizasyonu ilkesiyle örtüşür. Pseudonim üretim mantığı okul içinde tutulduğunda, ürün tarafında bir veri sızıntısı olsa bile çocuğun gerçek kimliğine ulaşmak ek bir engelle karşılaşır; güvenlik teknik tarafında çok katmanlı savunma şemasının okul ayağı bu noktada kurulur.

Yapay Zeka Etik Komisyonu (YAZEK) yayımladığı etik beyanla, eğitimde kullanılan sistemlerin açıklanabilirlik, hesap verebilirlik ve adalet sütunları üzerinde durmasını ister. Açıklanabilirlik, “bu öneriyi neden aldı” sorusuna yanıt verebilmek demektir. Bir AI tutor öğrenciye seviye atlama tavsiyesi veriyorsa, bu tavsiyenin gerekçesi öğretmen tarafından okunabilir olmalı. Kara kutu modeller bu açıdan eğitim ortamında sürtünme yaratır. Anthropic’in yayımladığı sistem kart belgeleri ve OpenAI’ın model davranış raporları bu açıklanabilirlik talebinin pazar tarafından da içselleştirildiğini gösteren araçlar; eğitim alıcısı bu belgelere artık sözleşme öncesi inceleme aşamasında bakıyor.

YAZEK beyanı insan denetimini “öğretmenin pedagojik yetkisi sürer” şeklinde formüle eder. AI tutor önerisi nihai not vermez, öğretmen verir. akademik dürüstlük tartışmasının ortaöğretime uzantısı, sistemin “doğrudan yanıt verme” yerine “Sokratik soru” üretme moduyla yumuşatılır. Khanmigo’nun mimarisi bu sınırı baştan çizmiş, ChatGPT EDU varyantı da öğretmen ayarlı kısıtlar getirmiştir. Bu mimari tercih, sistemin öğrenciyle pedagojik diyalog kurmasını, fakat ödevi öğrencinin yerine üretmemesini sağlayan bir yumuşak duvar işlevi görüyor; veli ve öğretmen güveni bu duvarın varlığı üzerinden inşa ediliyor.

Üç Farklı Veri Modeli: Karşılaştırma Tablosu

Pazardaki AI tutor sağlayıcıları, kullanıcı verisinin nasıl ele alındığına göre üç ana modele ayrışır. Bu ayrışma okul satın alma kararını doğrudan etkiler.

Anthropic’in resmi politika sayfası Claude’un kullanıcı diyaloglarını eğitime almama varsayılanını taahhüt eder. Bu model okul için en az sürtünmeli seçenek. ChatGPT EDU varyantı kurumsal sözleşmeyle aynı garantiyi sağlar fakat sözleşmenin imzalanmış olması şart. Tüketici versiyonu üzerinden okul kullanımı, anonimleştirme katmanına rağmen veli iletişimini zorlaştırır. Anonimleştirilmiş veri seti üzerinde yapılan akademik araştırmalar, yeterli yardımcı bilgi eklendiğinde kullanıcı yeniden tanımlamasının teorik olarak mümkün olduğunu gösterdi; bu mesafe okul satın alma kararını kurumsal model lehine sürüklüyor.

Pilot Sözleşme Şablonu: Hangi Klozlar Olmazsa Olmaz

↑ Başa dön

Türkiye’de MEB pilotlarında okul ile sağlayıcı arasında imzalanan sözleşmenin omurgası birkaç temel kloz üzerinde yükselir. Veri sorumlusu-veri işleyen ayrımı net tanımlanır; okul veri sorumlusu, sağlayıcı veri işleyen pozisyonuna oturur. Bu ayrım, KVKK ile GDPR’ın ortak dilinde sorumluluk paylaşımının çatısını kurar. Sözleşmenin geri kalanı bu çatı altında somutlaşır.

İkinci kloz veri ikametgâhını adresler. Sağlayıcı verinin hangi coğrafyada işleneceğini bildirir; AB ve Türkiye eğitim alıcısı için EU veri merkezi seçeneği fiilen standart oluyor. Üçüncü kloz alt yüklenici onayını düzenler. Sağlayıcı yeni bir alt yüklenici eklemek istediğinde okula otuz gün öncesinden bildirim göndermeyi taahhüt eder; okulun itiraz hakkı bu süre içinde aktif.

Denetim hakkı kloz dördüncü maddeyi oluşturur. Okul yılda bir kez bağımsız denetçi gönderebilir veya sağlayıcının SOC 2 Type II, ISO 27001 raporlarını talep eder. Beşinci kloz sözleşme sona erdiğinde verinin imha sertifikası ile silinmesini şart koşar. İmha sertifikası fiziksel ve dijital tüm kopyaların geri dönüşsüz silindiğini taahhüt eden belge. Bu beş kloz olmadan pilot başlatmamak, idari sorumluluk savunması için somut bir zırh sağlıyor.

Çocuk Verisi Sızıntı Senaryoları ve Önlem Listesi

AI tutor sistemlerinde sızıntı yüzeyi sadece dış saldırgan değil. Sohbet kaydının başka bir öğrencinin model yanıtında belirmesi, kurumsal hesabın yanlış kişiyle paylaşılması, log dosyalarının üçüncü taraf analitik araca akması gibi senaryolar gerçek vakalarda görüldü. Sağlayıcı tarafının iç süreci ile okul tarafının kullanım disiplini birleştiğinde risk profili belirgin biçimde düşer.

• Veri saklama süresi sözleşmede sayısal: otuz gün, doksan gün veya kullanıcının istediği anda silme hakkı
• Alt yüklenici listesi şeffaf: hangi bulut sağlayıcı, hangi analitik araç, hangi e-posta servisi kullanılıyor
• Sızıntı bildirim süresi yetmiş iki saatten kısa: GDPR’ın eşik değeri burada referans
• Veli portalı: çocuğun verisini görme, indirme ve silme hakkı tek tıkla erişilebilir
• Pseudonim kimlik: ürün ad-soyad yerine okul tarafından üretilen kimlik kullanır
• İçerik filtresi: yaş uygun olmayan üretimleri engelleyen ek katman aktif

Bu liste sözleşme öncesi kontrol için kullanılır. Sağlayıcı bir maddede taahhüt vermiyorsa, okul yöneticisi ya alternatif sağlayıcıya geçer ya da riski yazılı kabul eder. Yazılı kabul kararı, denetim sırasında belgenin gösterilebilmesi için imzalı tutanak haline getirilmeli; sözlü mutabakat kurumsal koruma sağlamıyor. Risk kabulü öğretmen ve veli düzeyine indirilemeyecek bir karar; idari sorumluluk okul yönetimi üzerinde kalır. dil öğrenme bilim alanındaki tutor ürünleri kullanıldığında da aynı kontrol listesi geçerlidir; konu fark etse de veri akışı benzer.

Velinin Hak ve Yetki Alanı

Veli, AI tutor kullanan çocuğun verisi üzerinde bilgi alma, düzeltme, silme ve işlemenin durdurulmasını talep etme hakkına sahip. KVKK on birinci madde, GDPR on beşinci ile yirminci madde arasında bu haklar tek tek sıralanmıştır. Sağlayıcının veli için sade bir başvuru kanalı sunması beklenir. E-posta formu, otuz gün içinde yanıt taahhüdü ve ücretsiz işlem standart.

Pratikte velilerin en sık talep ettiği iki şey: çocuğun sohbet geçmişini görme ve hesabı tamamen silme. AI tutor sağlayıcısının veli paneli bu iki işlemi tek tıkla çözüyorsa, hizmet veli güveni kazanır. Veli panelinin bulunmadığı veya başvurunun günlerce sürüncemede kaldığı sağlayıcılar pilot aşamasında elenir. Türk pilot okullarında veli memnuniyeti, doğrudan bu pratik kolaylığa bağlı. Bilgi alma talebine yedi gün içinde anlamlı yanıt veren sağlayıcılar pilot ikinci aşamasına geçerken, formu cevapsız bırakan veya jenerik şablon yanıtla geçiştiren sağlayıcılar ön elemede dışarıda kalıyor.

Veli onayının yenilenmesi başka bir noktaya değer. Çocuk yaş atladıkça veya ürün yeni özellik eklediğinde onay tazelenmek durumunda. ai tutor pazar aktörleri bu sürekli onay döngüsünü ürün akışına yedirir. Onay tazeleme atlanırsa pilot sözleşmesi otomatik askıya alınır; bu klozu sözleşmeye eklemek yöneticinin elinde en güçlü kart. Otomatik askıya alma maddesi sağlayıcı tarafına önemli bir disiplin baskısı uyguluyor, çünkü tek bir formun unutulması kurumsal sözleşmenin geçici durdurulması anlamına geliyor; bu mekanizma okul ile sağlayıcı arasındaki bilgi asimetrisini dengeleyen pratik bir araç işlevi görüyor. Okulun anasayfasında bağlantısı bulunan çocuk veri koruma başlığı, veliye süreç bilgisini sürekli tazeleyecek bir kanal işlevi görür.

Sıkça Sorulan Sorular

↑ Başa dön

AI tutor sohbetlerim model eğitimine girer mi?

Sağlayıcıya göre değişir. Anthropic Claude’da varsayılan olarak girmez. ChatGPT EDU kurumsal sözleşmeyle girmez. Tüketici ChatGPT varsayılanı bazı planlarda anonim biçimde dahil edilir; ayarlardan kapatılabilir.

Türkiye’de okulum AI tutor kullanmak isterse veli onayı şart mı?

Evet, KVKK çerçevesinde veli onayı standart yaklaşımdır. MEB pilot çerçevesi bilgilendirme formunu zorunlu tutar; veli onayı yazılı veya elektronik imza yoluyla alınır. Onay metninin sade dilde yazılması ve hangi verinin hangi amaçla ne kadar süre işleneceğini açıkça belirtmesi gerekir; hukuki dolduran metin uygulamada Kurul tarafından geçersiz sayılabiliyor.

Çocuğumun verisini silmek istersem ne yapabilirim?

Sağlayıcının veli paneli üzerinden silme talebi gönderebilir, KVKK’nın on birinci maddesi kapsamında hizmeti veren şirkete resmi başvuru yapabilirsiniz. Yanıt süresi otuz gün.

COPPA Türk vatandaşı çocuk için geçerli mi?

COPPA ABD federal düzenlemesidir. Türkiye’deki çocuk için doğrudan uygulanmaz; ancak ABD merkezli sağlayıcı uluslararası çocuk kullanıcısını ürün politikası açısından COPPA standardına uygun ele alabilir. Türkiye’de KVKK belirleyici çerçeve.

GDPR’ın yirmi ikinci maddesi AI tutor için neden önemli?

Tamamen otomatik karar verme süreçlerinde insan müdahalesini şart koşar. AI tutor öğrenci seviyesini otomatik belirlerse, öğretmen kararı gözden geçirme yetkisine sahip olmak durumunda; aksi durumda madde ihlali doğar. Madde aynı zamanda öğrenciye veya veliye otomatik kararın gerekçesini anlama ve itiraz etme hakkı tanır, bu hak ürün arayüzünde somut bir mekanizma olarak ortaya çıkmalıdır.

Sızıntı olduğunda okul ne yapmalı?

İlk yetmiş iki saat içinde KVKK Kurumuna ve etkilenen velilere bildirim göndermek standart. Sağlayıcıdan olay raporu, etkilenen kayıt sayısı ve alınan teknik önlemleri yazılı olarak talep etmek; iletişim sürecini dakika dakika kayıt altına almak idari sorumluluğu hafifletir.

Editör notu: AI tutor ürünleri çocuk verisini işlerken COPPA, GDPR ve KVKK üçgeninde hareket eder. Sözleşme imzalanmadan önce sağlayıcının veri saklama süresi, alt yüklenici listesi ve sızıntı bildirim mekanizması yazılı olarak alınmalıdır. Veli onayı süreci ürün akışının parçası olmalı ve veli paneli bilgi alma, silme taleplerini hızlı karşılamalıdır. Bu yazı yatırım tavsiyesi değildir, bilgilendirme amaçlıdır. — Mehmet Kara, Teknoloji Editörü