İnsan kaynakları süreçlerinde yapay zeka (“YZ”) kullanımı, işe alım, aday eleme, performans değerlendirmesi, vardiya planlaması ve çalışan yönetimi gibi alanlarda yaygınlaşmaya devam ediyor. Bu teknolojiler şirketlere hız, ölçeklenebilirlik ve operasyonel verimlilik sağlamakla birlikte, adaylar ve çalışanlar bakımından doğrudan sonuç doğurabilen karar süreçlerine temas ettiği için, önemli hukuki riskleri de beraberinde getirebiliyor. Avrupa Birliği Yapay Zeka Yasası (“AI Act”), istihdam, çalışan yönetimi ve serbest mesleğe erişim alanında kullanılan belirli YZ sistemlerini “yüksek riskli” kullanım alanları arasında saymakta; Türk hukuku bakımından ise eşitlik, ayrımcılık yasağı ve kişisel verilerin korunmasına ilişkin kurallar bu alanda temel sınırları çizmektedir. 

Bir başka ifadeyle, insan kaynaklarında YZ kullanımı yalnızca teknik bir verimlilik meselesi değildir. Özellikle işe alım ve çalışan yönetimi gibi alanlarda, YZ çıktılarının çalışanların kariyer gelişimi, ücretlendirme, performans değerlendirmesi veya iş ilişkisinin devamı üzerinde etkili olması, bu sistemleri doğrudan temel haklar ve istihdam süreçleriyle doğrudan bağlantılı hale getirmektedir. Avrupa Komisyonu da AI Act kapsamındaki yüksek risk sınıflandırmasının, sistemin yerine getirdiği fonksiyon ile hangi amaç ve kullanım biçimi için devreye alındığına göre belirlendiğini açıkça ifade etmektedir. 

İnsan Kaynakları Süreçlerinde YZ Kullanımı Neden Hassas Ele Alınmalıdır?

İnsan kaynakları süreçleri, YZ bakımından hukuken hassas kullanım alanlarından biridir. Bunun temel nedeni, işveren ile aday ya da çalışan arasındaki ilişkinin doğası gereği asimetrik olması ve bu süreçlerde verilen kararların bireylerin ekonomik ve sosyal yaşamı üzerinde ciddi sonuçlar doğurabilmesidir. Avrupa Komisyonu, AI Act Ek III kapsamındaki örnekler arasında hedefli iş ilanı gösterimi, iş başvurularının analiz ve filtre edilmesi ve adayların değerlendirilmesi gibi kullanım halleri doğrudan yüksek riskli alanlar olarak belirtmektedir. Bu nedenle, CV eleme, video mülakat analizi, kişilik/uygunluk puanlaması veya çalışan performans skorlama gibi araçların “nötr yazılım” olarak görülmesi çoğu zaman yeterli olmayacaktır.

Bu çerçevede şirketlerin ilk dikkat etmesi gereken husus, YZ aracının yalnızca destekleyici bir araç mı olduğu yoksa fiilen karar sonucunu yönlendirebilen bir mekanizma mı olduğudur. Özellikle sistemin adayları ön elemeden geçirmesi, belirli profilleri otomatik dışlaması, çalışanları risk skorlarına göre sıralaması veya terfi/ücretlendirme gibi sonuçları etkileyen tavsiyeler üretmesi halinde, hukuki inceleme yalnızca yazılımın teknik niteliğine değil; karar sürecindeki gerçek etkisine odaklanacaktır. 

Ayrımcılık Yasağı ve Eşit Davranma İlkesi

İnsan kaynaklarında YZ kullanımının en önemli hukuki risklerinden biri ayrımcılık riskidir. Bunun nedeni geçmiş işe alım verileri, performans kayıtları veya davranış örüntüleri üzerinden eğitilen sistemler; tarihsel önyargıları, dolaylı ayrımcılık kalıplarını veya görünüşte nötr fakat fiilen dışlayıcı kriterleri yeniden üretebilmektedir. Türk hukukunda ise İş Kanunu’nun 5. maddesi, iş ilişkisinde dil, ırk, renk, cinsiyet, engellilik, siyasal düşünce, felsefi inanç, din ve mezhep ve benzeri sebeplere dayalı ayrımı yasaklamaktadır. Benzer şekilde, Türkiye İnsan Hakları ve Eşitlik Kurumu Kanunu da cinsiyet, yaş, sağlık durumu, engellilik ve etnik köken dâhil çeşitli temellere dayalı ayrımcılığı yasaklamaktadır. 

Bu nedenle, bir adayın veya çalışanın yalnızca algoritmik puan nedeniyle elenmesi ya da daha düşük bir değerlendirmeye tabi tutulması, şirket açısından “kararı makine verdi” şeklinde bir savunma alanı yaratmayacaktır. Hukuki sorumluluk, çoğu durumda sistemi kullanan, sisteme veri sağlayan, karar sürecini tasarlayan ve sonuçtan fayda sağlayan işveren veya ilgili kurum üzerinde kalmaya devam edecektir. Bu sebeple insan kaynaklarında kullanılan YZ araçlarının eğitim verileri, değerlendirme kriterleri, karar mantığı ve olası önyargı kaynakları düzenli olarak test edilmelidir. Bu son husus, mevzuattan türeyen bir uyum gereği olmasının yanında, pratik risk yönetimi açısından da kritik öneme sahiptir. 

Otomatik Karar Verme, Profilleme ve İnsan Denetimi

İnsan kaynakları süreçlerinde YZ kullanımı, otomatik karar verme ve profilleme tartışmalarını da gündeme getirmektedir. GDPR’nin 22. maddesi uyarınca kişiler, kendileri hakkında hukuki etki doğuran veya benzer şekilde önemli ölçüde etkileyen, yalnızca otomatik işlemeye dayalı kararlara tabi olmama hakkına sahiptir. Avrupa Veri Koruma Kurulu da otomatik karar verme ve profillemenin bu alanda özel dikkat gerektirdiğini vurgulamaktadır. İşe alım, aday sıralama veya çalışan performans puanlaması gibi süreçler, uygulamanın kapsamına göre bu tartışmanın merkezinde yer alabilir. 

AI Act bakımından da insan denetimi, yüksek riskli sistemlerde temel yükümlülüklerden biridir. Avrupa Komisyonu’na göre yüksek riskli YZ sistemlerini piyasaya süren sağlayıcılar; risk yönetimi, veri kalitesi, dokümantasyon, izlenebilirlik, şeffaflık, insan gözetimi, doğruluk, siber güvenlik gibi başlıklarda uyum sağlamak zorundadır. Sistemi kullanan tarafların da kullanım talimatlarına uygun hareket etmesi, sistemi izlemesi ve organizasyon içinde insan gözetimini yürütecek yetkin kişileri belirlemesi gerekmektedir. Bu nedenle, özellikle işe alım ve performans değerlendirmesi gibi alanlarda, YZ çıktısının nihai kararın yerine geçmesi değil; denetlenebilir ve itiraz edilebilir bir değerlendirme akışının parçası olarak konumlandırılması önem taşımaktadır. 

Kişisel Verilerin Korunması ve Aday/Çalışan Verileri

İnsan kaynaklarında kullanılan YZ sistemleri çoğu zaman yoğun biçimde kişisel veri işleme faaliyetleri yürütmektedir. Özgeçmişler, mülakat notları, test sonuçları, performans kayıtları, devamsızlık verileri, iletişim kayıtları, lokasyon bilgileri ve sağlık veya biyometrik veriler bu kapsama girebilir. Türk hukukunda Kişisel Verilerin Korunması Kanunu (“KVKK”) 4. maddesi uyarınca kişisel verilerin hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli açık ve meşru amaçlarla, işlendikleri amaçla bağlantılı sınırlı ve ölçülü biçimde işlenmesi; ayrıca gerekli süre kadar muhafaza edilmesi gerekir. Yine KVKK kapsamında veri sorumlusu, aydınlatma yükümlülüğü kapsamında ilgili kişilere veri işleme amacı, hukuki sebep, aktarım bilgileri ve hakları hakkında bilgi vermekle yükümlüdür. 

Bu noktada uygulamada en sık rastladığımız hatalardan biri, insan kaynakları süreçlerinde kullanılan her YZ aracı için otomatik olarak açık rızaya başvurulmasıdır. Oysa KVKK uygulamasına ilişkin resmi açıklamalarda da belirtildiği üzere, Kanun’un 5. ve 6. maddelerinde öngörülen başka bir işleme şartı mevcutsa ayrıca açık rıza alınmamalıdır; aksine, her durumda açık rızaya yönelmek ilgili kişiyi yanıltıcı sonuçlar doğurabilmektedir. Dolayısıyla şirketlerin önce hangi veri kategorisini işlediklerini, bunun hukuki sebebini ve hangi süreçte gerçekten açık rıza gerekip gerekmediğini ayrıştırmaları gerekmektedir. 

Özellikle özel nitelikli kişisel veriler bakımından hukuki rejim daha da sıkıdır. KVKK kapsamında sağlık, biyometrik ve genetik veriler özel nitelikli veri olarak kabul edilmekte; bu verilerin işlenmesi için ayrıca Kanun’da öngörülen şartların ve Kurul tarafından belirlenen yeterli önlemlerin sağlanması gerekmektedir. Bu nedenle yüz analizi, ses analizi, biyometrik doğrulama veya sağlık verisiyle bağlantılı değerlendirme araçları kullanan insan kaynakları süreçleri, kesinlikle sıradan bir KVKK projesi olarak ele alınmamalıdır. 

Biyometrik ve Duygu Tanıma Sistemleri Bakımından Özel Riskler

İnsan kaynaklarında tartışmalı alanlardan biri, biyometrik sistemler ve duygu tanıma sistemleridir. AI Act kapsamında biyometrik tanımlama, biyometrik kategorizasyon ve duygu tanıma sistemleri belirli hallerde yüksek riskli sistemler arasında yer almaktadır. Bunun da ötesinde, Avrupa Komisyonu ve AI Act Service Desk açıklamalarına göre, bir kişinin duygularını işyerinde ölçmeye yönelik YZ sistemleri kural olarak yasaklı uygulamalar arasında sayılmaktadır. 

Bu düzenleme, özellikle video mülakat sırasında mimik analizi yapan, adayın heyecan düzeyini veya tereddüt derecesini ölçmeye çalışan ya da çalışanların toplantı, çağrı merkezi veya uzaktan çalışma süreçlerinde ruh hali/duygu takibi yapan sistemler bakımından ciddi bir uyarı niteliğindedir. Türk hukuku bakımından da bu tür veriler çoğu durumda özel nitelikli kişisel veri veya en azından yoğun müdahale içeren kişilik hakkı ve veri koruma meseleleri doğuracaktır. Dolayısıyla insan kaynaklarında biyometrik ve duygu tanıma temelli araçların kullanımı, en yüksek hukuki hassasiyetle ele alınması gereken alanlardan biridir. 

Şirket İçi Politika, Tedarikçiler ve Yönetişim Yapısı

İnsan kaynaklarında YZ kullanan şirketlerin dikkat etmesi gereken bir diğer husus, bu araçların çoğu zaman üçüncü taraf sağlayıcılar tarafından sunulmasıdır. Ancak sistem dışarıdan temin ediliyor olsa dahi, YZ sistemini kullanan şirket için hukuki sorumluluk ortadan kalkmamaktadır. AI Act’e göre yüksek riskli sistemleri kullanan tarafların, kullanım talimatlarına uygun hareket etmesi, girdilerin amaca uygun kullanılmasını sağlaması, sistemi düzenli aralıklarla  denetlemesi gerekir. KVKK uygulamasında da veri sorumlusunun, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde gerekli tedbirler bakımından bu kişilerle birlikte müşterek sorumluluğu gündeme gelebilmektedir. 

Bu nedenle, insan kaynaklarında YZ kullanımı bakımından yalnızca yazılım satın almak yeterli değildir. Şirketlerin;

1. Hangi araçların hangi süreçlerde kullanılacağını, 
2. Hangi verilerin bu sistemlere girilebileceğini, 
3. Kamuya açık üretken YZ araçlarına hangi bilgilerin yüklenemeyeceğini,
4. Çıktılara kimlerin dayanarak karar verebileceğini belirlemesi ve
5. İtiraz/inceleme mekanizmalarının nasıl işleyeceğini içeren yazılı bir iç politika oluşturması

 gerekmektedir.

Kişisel Verileri Koruma Kurumu da iş yerlerinde üretken YZ araçlarının kullanımına ilişkin 5 Mart 2026 tarihli duyurusunda, bu araçların kurumsal düzeyde izlenmesi ve yönetilmesini zorlaştıran risklere dikkat çekmiş ve konuya ilişkin farkındalık oluşturmayı amaçlayan ayrı bir çerçeve yayımlamıştır. 

Sonuç

İnsan kaynaklarında YZ kullanımı, şirketler için önemli verimlilik imkanları sağlamakla birlikte, hukuken “serbest alan” niteliğinde değildir. Aksine, bu alan; ayrımcılık yasağı, eşit davranma ilkesi, kişisel verilerin korunması, otonom karar verme sınırlamaları, insan denetimi ve bazı kullanım halleri bakımından doğrudan yasaklamalar gibi çok katmanlı katı kurallara tabidir. Özellikle Avrupa pazarına ürün veya hizmet sunan şirketler için işe alım, aday değerlendirmesi ve çalışan yönetiminde kullanılan YZ araçları çoğu durumda AI Act’in yüksek risk mantığı içinde ayrıca değerlendirilmelidir. 

Bu nedenle şirketler bakımından en sağlıklı yaklaşım, insan kaynaklarında kullanılan YZ araçlarını yalnızca teknik kabiliyetleri üzerinden değil; hukuki etkileri, veri işleme modeli, ayrımcılık riski, insan müdahalesi düzeyi ve tedarik zinciri yapısı üzerinden birlikte değerlendirmektir. Uygulamada asgari düzeyde bir uyum çerçevesi oluşturulurken en azından kullanım amacı, veri kategorileri ve hukuki sebep analizi, aydınlatma metinleri, insan gözetimi, özel nitelikli veri değerlendirmesi, tedarikçi sözleşmeleri, saklama-imha kuralları ve iç politika setlerinin birlikte ele alınması gerekmektedir. 

Kaynakça:

1. Regulation (EU) 2024/1689 (Artificial Intelligence Act)
2. European Commission, Navigating the AI Act
3. Regulation (EU) 2016/679 (GDPR); EDPB, Guidelines on Automated individual decision-making and Profiling
4. 4857 sayılı İş Kanunu
5. 6701 sayılı Türkiye İnsan Hakları ve Eşitlik Kurumu Kanunu
6. TİHEK Ayrımcılık ve Eşitlik Rehberi
7. Kişisel Verileri Koruma Kurumu, İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı