Bu belge, orijinal İngilizce metnin makine çevirisidir. Bu çeviri ile orijinal İngilizce sürüm arasında herhangi bir çelişki olması durumunda, İngilizce sürüm geçerli olacaktır. İngilizce orijinal metni oku
ChatGPT Sizin Hakkınızda Ne Kadar Veri Saklıyor? Teknik Bir Denetim
2026-04-02 · Caiioo Team
İş yerinde ChatGPT kullanıyorsanız, işvereninizin muhtemelen soruları vardır. Eğer işveren sizseniz, kesinlikle olmalı.
Bu; OpenAI'ın neleri topladığına, bunları ne kadar süre sakladığına ve düzenlemeye tabi sektörlerdeki ekipler için bunun ne anlama geldiğine dair teknik bir denetimdir. Ayrıca Kendi Anahtarını Getir (BYOK) mimarisinin denklemi nasıl tamamen değiştirdiğine de bakacağız.
ChatGPT Neleri Saklıyor: Resmin Tamamı
OpenAI'ın kendi yardım merkezi belgeleri, sohbetlerin "siz onları manuel olarak silene kadar hesabınıza kaydedildiğini" belirtir. Bir sohbeti sildiğinizde, bu sohbet "hesabınızdan derhal kaldırılır ve 30 gün içinde OpenAI sistemlerinden kalıcı olarak silinmek üzere planlanır" -- tabii eğer veriler anonimleştirilmemişse veya OpenAI'ın güvenlik ya da yasal yükümlülükler nedeniyle bunları saklaması gerekmiyorsa.
Ancak konuşmalar hikayenin sadece bir parçasıdır. OpenAI'ın gizlilik politikası kapsamlı bir otomatik veri toplama sürecini tanımlar:
- Günlük verileri -- IP adresi, tarayıcı türü ve ayarları, isteklerin tarih ve saati ve hizmetlerle nasıl etkileşim kurduğunuz
- Kullanım verileri -- görüntülediğiniz veya etkileşimde bulunduğunuz içerik türleri, kullandığınız özellikler, gerçekleştirdiğiniz eylemler ve gönderdiğiniz geri bildirimler
- Cihaz bilgileri -- cihaz adı, işletim sistemi, cihaz tanımlayıcıları ve tarayıcı türü
- Hesap bilgileri -- isim, iletişim bilgileri, ödeme bilgileri ve işlem geçmişi
Bu meta veriler, her kullanıcı için ayrıntılı bir davranış profili oluşturur. Bir istemde asla hassas bilgi paylaşmasanız bile, yalnızca kullanım kalıplarınız işiniz hakkında önemli bilgiler ortaya koyar.
Her Şeyi Değiştiren Mahkeme Kararı
Mayıs 2025'te, New York Times v. OpenAI telif hakkı davasında Sulh Hakimi Ona T. Wang tarafından verilen bir federal mahkeme kararı (Dava No. 1:23-cv-11195, S.D.N.Y.), OpenAI'ın "aksi takdirde silinecek olan tüm çıktı günlüğü verilerini süresiz olarak saklamasını ve ayırmasını" talep etti. OpenAI'ın yeniden inceleme talebi 16 Mayıs 2025'te reddedildi.
Bunun pratikteki anlamı şudur: Sohbetlerinizi silmiş olsanız bile, OpenAI yasal olarak bunları korumakla yükümlü olabilir. Gizlilik politikalarında açıklanan 30 günlük silme penceresi, mahkeme emriyle geçersiz kılınmıştır. Ocak 2026'da, Bölge Hakimi Sidney Stein kararı onadı ve OpenAI'ın delil tespiti kapsamında 20 milyon anonimleştirilmiş kullanıcı günlüğünü —istemler ve çıktılar— sunmasını talep etti.
Konuşmalarınız Gelecekteki Modelleri Eğitebilir
Varsayılan olarak, bireysel planlardaki konuşmalar model eğitimi için kullanılır. OpenAI'ın kendi yardım merkezi belgeleri şunu belirtir: "ChatGPT, Codex ve Sora gibi bireylere yönelik hizmetlerimizi kullandığınızda, içeriğinizi modellerimizi eğitmek için kullanabiliriz." Gizlilik portalı veya Ayarlar > Veri Kontrolleri üzerinden bu durumdan vazgeçebilirsiniz -- ancak OpenAI'ın belirttiği gibi, "vazgeçtiğinizde, yeni konuşmalar modellerimizi eğitmek için kullanılmayacaktır." Halihazırda gönderilmiş olan tüm veriler eğitim hattında kalmaya devam eder.
Eğitimden vazgeçmek, verilerinizin ne kadar süreyle saklandığını da değiştirmez. Sadece modelleri iyileştirmek için kullanılıp kullanılmayacağını değiştirir.
Kurumsal ve Bireysel: İki Kademeli Bir Sistem
OpenAI net bir iki kademeli gizlilik modeli işletmektedir:
| Bireysel (Ücretsiz/Plus/Pro) | Kurumsal/Edu | |
|---|---|---|
| Veri saklama | Süresiz (mahkeme kararlı) | Yönetici kontrollü |
| Eğitim kullanımı | Varsayılan evet (kapatılabilir) | Varsayılan eğitim yok |
| Mahkeme kararı muafiyeti? | Hayır | Evet |
| Yönetici kontrolleri | Yok | Tam saklama politikaları |
| Silme zaman çizelgesi | 30 gün (izin verildiğinde) | 30 gün, yönetici tarafından yapılandırılabilir |
Bireysel kullanıcılar için verilerinizin gerçekten silindiğini garanti etmenin bir yolu yoktur. Kurumsal müşteriler için çalışma alanı yöneticileri veri saklamayı kontrol eder ve veriler varsayılan olarak eğitim için kullanılmaz.
Küçük ve orta ölçekli ekipler için sorun: Kurumsal planlar önemli minimumlarla başlar. 10 kişilik bir danışmanlık firması Kurumsal düzeydeki gizlilik kontrollerine erişemez.
GDPR Uyumluluğu: Cevapsız Bir Soru
ChatGPT'nin süresiz saklama uygulamaları, özellikle verilerin en aza indirilmesi ve saklama sınırlaması ilkeleri etrafında GDPR uyumluluğu konusunda ciddi sorular doğurmaktadır. Mart 2023'te, İtalya'nın veri koruma kurumu (Garante per la Protezione dei Dati Personali), veri toplama için yasal dayanak eksikliği, kullanıcılara gizlilik bildirimi yapılmaması ve yaş doğrulaması olmaması dahil olmak üzere GDPR Madde 5, 6, 8, 13 ve 25'in ihlallerini gerekçe göstererek ChatGPT'yi geçici olarak yasaklayan acil bir karar çıkardı. Yasak, OpenAI'ın değişiklikleri uygulamasının ardından Nisan 2023'te kaldırıldı, ancak daha geniş düzenleyici tablo hala belirsizliğini koruyor.
Hukuk, sağlık, finansal hizmetler gibi denetlenen sektörlerde müşteri verilerini işleyen ekipler için ChatGPT kullanmak, OpenAI'ı bir veri işleyici olarak kabul etmek anlamına gelir. Bu durum GDPR Madde 28 yükümlülüklerini tetikler: Bir Veri İşleme Anlaşmasına (DPA) ihtiyacınız vardır, işleme faaliyetlerini belgelemeniz gerekir ve işleyicinin güvenlik gereksinimlerinizi karşıladığından emin olmanız gerekir.
Gizli Maliyet: Uyumluluk Yükü
Ekibiniz ChatGPT kullandığında, OpenAI uyumluluk zincirinizde bir veri işleyicisi haline gelir. Bu şu anlama gelir:
- Veri İşleme Sözleşmesi (DPA) gereklidir -- OpenAI'ın kişisel verileri sizin adınıza nasıl işlediğini tanımlayan, güvenlik önlemlerini, alt işleme sınırlarını ve ihlal bildirim görevlerini belirten bir sözleşme.
- GDPR Madde 28 yükümlülükleri devreye girer -- işleyiciler verileri yalnızca sizin talimatlarınıza göre işlemeli, gizliliği sağlamalı, güvenlik önlemlerini uygulamalı, ihlalleri bildirmeli ve denetimlere izin vermelidir.
- Güvenlik incelemeniz OpenAI'ı içermelidir -- her satıcı risk değerlendirmesi, her SOC 2 denetim sorusu, her müşteri güvenlik anketi artık ek bir bağımlılığa sahiptir.
20 kişilik bir hukuk bürosu veya sağlık kuruluşu için bu uyumluluk yükü, aboneliğin kendisinden daha pahalı olabilir.
BYOK Mimarisinin Değiştirdikleri
Kendi Anahtarını Getir (BYOK), AI aracının verilerinize asla dokunmadığı mimari bir modeldir. Bunun yerine:
- Kendi API anahtarınızı AI sağlayıcısından (OpenAI, Anthropic, Google, vb.) sağlarsınız
- Sorgular doğrudan cihazınızdan sağlayıcıya yönlendirilir -- araç asla bir aracı değildir
- Araç hiçbir şey saklamaz -- konuşma yok, meta veri yok, davranışsal profil yok
- Araç satıcısı ile DPA gerekmez -- çünkü o bir veri işleyicisi değildir
Veri akışı farkı temeldir:
| ChatGPT (Bulut Tabanlı) | BYOK Mimarisi | |
|---|---|---|
| Veri yolu | Siz > OpenAI sunucuları > Model > OpenAI > Siz | Siz > Doğrudan Sağlayıcı API'si > Siz |
| Aracı | OpenAI tüm sorguları işler | Yok -- doğrudan API çağrıları |
| Veri görünürlüğü | Platform tüm sorguları günlüğe kaydeder ve görür | Sağlayıcı yalnızca API çağrısını görür |
| Depolama | OpenAI sunucularında, süresiz olarak | Yalnızca yerel cihazda |
| İşleyici olarak araç satıcısı? | Evet | Hayır |
BYOK ile uyumluluk ilişkiniz yalnızca seçtiğiniz AI sağlayıcısı ile doğrudan müzakere ettiğiniz şartlar üzerindedir. Aracın kendisi uyumluluk zinciriniz için görünmezdir.
Bu Ekibiniz İçin Ne Anlama Geliyor
2.600 gizlilik ve güvenlik uzmanıyla yapılan 2026 tarihli bir anket, %64'ünün üretken AI araçları aracılığıyla yanlışlıkla hassas veri paylaşmaktan endişe duyduğunu, ancak yaklaşık yarısının yine de kişisel veya kamuya açık olmayan veriler girdiğini itiraf ettiğini buldu. Endişe ve davranış arasındaki boşluk, riskin yaşadığı yerdir.
Kuruluşunuzda AI yönetiminden sorumluysanız, sorulması gereken sorular şunlardır:
- AI aracınız bir veri işleyicisi mi? Cevabınız evet ise, bir DPA'ya, uyumluluk belgelerine ve sürekli satıcı risk değerlendirmesine ihtiyacınız vardır.
- Konuşma verileri nerede duruyor? Bulut tabanlı, satıcının sunucuları demektir. Yerel öncelikli depolamaya sahip BYOK, cihazlarınız demektir.
- Silme garantisi verebilir misiniz? ChatGPT'nin mahkeme kararıyla saklanması nedeniyle, bireysel planlar için cevap şu anda hayırdır.
- Ekibiniz tutarlı araçlara sahip mi? 20 kişi genelinde bireysel abonelikler, 20 ayrı uyumluluk ilişkisi demektir.
- Toplam maliyet nedir? Sadece abonelik ücretlerini değil, aynı zamanda uyumluluk yükünü, DPA müzakeresini ve satıcı risk değerlendirme süresini de dahil edin.
Sonuç
ChatGPT güçlü bir araçtır. Aynı zamanda konuşmalarınızı süresiz olarak saklayan, bunları varsayılan olarak eğitim için kullanan ve kendi silme politikalarını geçersiz kılan bir mahkeme kararı altında faaliyet gösteren bir veri işleyicisidir.
Bireyler için bu ödünler kabul edilebilir olabilir. Müşteri gizli bilgileri, hasta verileri, finansal kayıtlar veya rekabetçi istihbarat ile uğraşan ekipler için bunlar gerçek bir risk temsil eder.
BYOK mimarisi, araç sağlayıcısını uyumluluk denkleminden tamamen çıkarır. Verileriniz asla bir aracıya temas etmez. DPA gerekmez. Araç sağlayıcısıyla GDPR Madde 28 yükümlülüğü yoktur. Ekibinizin konuşmalarının üçüncü bir tarafın sunucularında süresiz olarak tutulması söz konusu değildir.
Seçim, yapay zeka ile yapay zekasızlık arasında değildir. Yönetişimi olan yapay zeka ile olmayan arasındadır.
Caiioo, yerel öncelikli depolama ile BYOK mimarisini kullanır. Konuşmalarınız asla sunucularımıza dokunmaz. Gizlilik mimarimiz hakkında daha fazla bilgi edinin veya ÜCRETSİZ başlayın.