ai-governance-legal, Türk Hukuku Uygulanabilirlik Analizi

Bu plugin; kuruluşların yapay zekâ (YZ) sistemlerini envanterlemesi, etki değerlendirmesi (AIA) yapması, politika oluşturması ve tedarikçi YZ sözleşmelerini incelemesi amacıyla tasarlanmış kapsamlı bir yönetişim aracıdır. Mimari iskeleti ABD NIST AI RMF ve AB Yapay Zekâ Yasası (Regulation (EU) 2024/1689) ekseninde kurgulanmış olup Türkiye pratiği için doğrudan ("out-of-the-box") kullanıma hazır değildir. Bu bölüm, söz konusu ayrımı her bir skill özelinde netleştirmektedir.

Bu eklentinin mimari olarak en kritik boyutu, yalnızca kendi lokal CLAUDE.md profilini değil, 12 legal plugin'in ortak okuduğu ~/.claude/plugins/config/claude-for-legal/company-profile.md makro profilini de tüketmesidir. Türkiye yargı çevresi (jurisdictions: TR), iştigal edilen sektör (örneğin BDDK düzenlemeli kuruluş) ve kurumsal risk postürü gibi makro değişkenlerin asıl barındığı yer bu ortak dosyadır. Dolayısıyla bu makro dosyanın doğru yapılandırılması, tüm ekosistemin TR adaptasyonunun master key'i (anahtarı) konumundadır.

Türkiye Pratiği: Kurumsal uyum (compliance) görevlileri, YZ projelerini yürüten hukuk müşavirleri, KVKK uyum süreçlerini yöneten DPO'lar ve hukuk teknolojisi danışmanları için yüksek kullanım potansiyeli taşır.
Güçlü Yönleri (TR için): matter-workspace, cold-start-interview ve customize skill'leri jurisdiction-agnostik (yargı çevresinden bağımsız) bir altyapı sunar. aia-generation, use-case-triage ve vendor-ai-review skill'leri ise güçlü bir yapısal iskelet sağlamakla birlikte, KVKK kurallarının kullanıcı tarafından manuel olarak tanımlanmasını zorunlu kılar.
Dikkat: Skill'lerin hiçbirinde KVKK'ya özgü, önceden tanımlanmış (pre-built) citation, threshold veya Kurul ilke kararı mekanizması yer almamaktadır. Bilhassa ai-inventory skill'inin kategorik mimarisi neredeyse tamamen EU AI Act madde 6, 50 ve 51 ekseninde kurgulanmış olup Türkiye'de doğrudan hukuki bir karşılık üretmemektedir.

Bu analiz, ai-governance-legal plugin'i bünyesinde yer alan 10 adet skill'i, repository'deki SKILL.md davranış kuralları temelinde ve Türk hukuku perspektifinden değerlendirmektedir. Plugin'in temel referans çerçevesini NIST AI RMF, EU AI Act (Regulation (EU) 2024/1689), ABD eyalet bazlı YZ regülasyonları (Colorado SB 24-205, NYC Local Law 144 vb.) ile sektörel ABD federal rejimleri oluşturmaktadır. Türkiye'de henüz muadil bir "Yapay Zekâ Kanunu" yürürlükte bulunmadığından, plugin'in Türkiye pratiğine entegre edilebilmesi için yegâne yöntem, kullanıcının KVKK (6698 sayılı Kanun), Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Ulusal Yapay Zekâ Stratejisi (2021-2025), KVKK Kurulu ilke kararları ve sektörel düzenlemeleri CLAUDE.md profiline manuel olarak işlemesidir.

Skill bazında değerlendirme sonuçları: Toplam 10 skill'den 3'ü 🟢 (jurisdiction-agnostik altyapı), 6'sı 🟡 (manuel profil + TR MCP entegrasyonu gerektirir) ve 1'i 🔴 (built-in mimarisi EU AI Act'e sıkı sıkıya bağlı olduğundan ön yapılandırma yapılmaksızın TR için risklidir) olarak sınıflandırılmıştır.

Genel Değerlendirme Tablosu

Skill	TR Uygulanabilirlik	Jurisdiction Sınıfı	Kısa Gerekçe
ai-inventory	🔴 HAYIR	Sınıf C (US/EU-centric)	Skill'in tüm sınıflandırma şeması EU AI Act madde 6 (high-risk), madde 5 (yasaklı), madde 51 (GPAI) ve provider/deployer/importer rol matrisine dayanmaktadır. Türkiye'de bu yapının muadili bulunmadığından, built-in kategoriler TR pratiği için yanıltıcıdır.
aia-generation	🟡 KISMEN	Sınıf B (yarı aware)	"Regulatory footprint'teki her rejim için research" mantığı esneklik sunar. Ancak built-in house-style ve risk tier şablonu NIST/EU AI Act eksenlidir. KVKK m. 4 ilkeleri ve Kurul ilke kararlarının playbook'a manuel olarak eklenmesi zorunludur.
cold-start-interview	🟢 EVET	Altyapı (agnostik)	Kullanıcıdan jurisdiction footprint'ini açıkça talep eder. Quick-start path'inde "EU AI Act, NIST, state AI laws" örnek gösterilse de TR seçeneği dışlanmaz. KVKK spesifik ön tanımlı bir soru seti barındırmaz.
customize	🟢 EVET	Altyapı (agnostik)	Kullanıcı profilini düzenleme aracıdır. Jurisdiction kurallarından tamamen bağımsız çalışır.
matter-workspace	🟢 EVET	Altyapı (agnostik)	Güvenli dosya izolasyonu sağlar, private-practice/in-house ayrımı haricinde herhangi bir jurisdiction kuralı içermez.
policy-monitor	🟡 KISMEN	Sınıf B (yarı aware)	Politika sapma (drift) denetiminin yapısal mekanizması agnostiktir. Ne var ki "policy commitments" diff'i, kullanıcı profilinde KVKK m. 10 (aydınlatma), m. 12 (veri güvenliği) ve Kurul ilke kararları tanımlanmadığı takdirde sessizce ABD politika modellerini referans alır.
policy-starter	🟡 KISMEN	Sınıf B (yarı aware)	Web-search bağımlılığı ve TR practice profile'ı kullanıcı tarafından doldurulma şartı sebebiyle esnektir, ancak manuel profil yönlendirmesi şarttır. TBB, KVKK rehberlerini dinamik tarama ile bulabilir.
reg-gap-analysis	🟡 KISMEN	Sınıf B (yarı aware)	Generic diff-checker iskeletiyle çalıştığından jurisdiction'a özgü değildir. Skill'in yerleşik "verify against current AI Act text" işlevinin TR pratiğinde karşılık bulabilmesi için Mevzuat MCP entegrasyonu zorunludur.
use-case-triage	🟡 KISMEN	Sınıf B (yarı aware)	"Provisional" modda US jurisdiction varsayılan olarak kabul edilir (çıktıya `[PROVISIONAL]` etiketi düşülür). KVKK m. 5/6 ve m. 11/1-g kapsamındaki otomatik karar verme rejiminin profile manuel olarak işlenmesi gerekir.
vendor-ai-review	🟡 KISMEN	Sınıf B (yarı aware)	"Provisional" modda yine US jurisdiction default olarak çalışır. KVKK m. 8/9 (aktarım), TBK m. 20-25 (genel işlem koşulları) ve TBK m. 115 (sorumsuzluk anlaşması) için manuel playbook yapılandırması şarttır.

/ai-governance-legal:ai-inventory

Ne Yapıyor?

EU AI Act çerçevesini esas alarak her bir YZ sistemi için münferit bir envanter kaydı oluşturur. Sistem bazında rol ve risk kademesi tayin eder. Nihai çıktı olarak ai-systems.yaml envanter dosyasını ve bir dashboard tablosunu üretir.

Türk Hukukuna Uygulanabilirlik

🔴 HAYIR, Sınıf C (US/EU-centric). Built-in kategoriler Türkiye pratiğinde doğrudan kullanıma elverişli değildir. Türk hukukunda "provider/deployer/importer" ayrımına denk düşen müstakil bir YZ kanunu henüz ihdas edilmemiştir. Risk tier şemasının da Türk pozitif hukukunda doğrudan bir muadili bulunmamaktadır. Skill'in mevcut haliyle kullanılması durumunda kurumsal envanter EU AI Act terminolojisiyle inşa edilecek ve şirketin Türkiye'deki somut hukuki yükümlülükleriyle olan normatif bağı tamamen kopacaktır.

Varsayılan Sistem Davranışı ve Eksiklikler

Skill, SKILL.md dosyasının frontmatter bölümünden itibaren kendisini bir "EU AI Act per-system inventory" aracı olarak konumlandırır. Rol matrisi ve risk tier şeması doğrudan EU AI Act ekseninde yapılandırılmıştır. Her bir envanter kaydı için AB/EEA ile hukuki temas hususunun sorgulanması zorunlu bir adım olarak kurgulanmıştır. Built-in tier dayanaklarına [verify against current AI Act text] etiketinin düşülmesi, skill'in tasnif mimarisinin katı ve değiştirilemez bir EU AI Act kabulüne dayandığını teyit etmektedir.

KVKK m. 4 (Genel İlkeler): Hukuka ve dürüstlük kurallarına uygunluk, belirli, açık ve meşru amaç, ölçülülük ilkeleri YZ sistem envanterinde adeta bir kademe filtresi işlevi görecek şekilde kurgulanmalıdır.
KVKK m. 6 (Özel Nitelikli Kişisel Veriler): Özel nitelikli kişisel veri işleyen YZ sistemleri envanterde bağımsız ve yüksek riskli bir kategoride izlenmelidir.
KVKK m. 11/1-g (Otomatik Karar Verme): Münhasıran otomatik sistemler vasıtasıyla alınan kararlar, Türk hukuku bağlamında yüksek riskli sistemlerin temel muadili olarak envanter metodolojisine entegre edilmelidir.
KVKK Kurulu YZ Tavsiyeleri (2021): Yüksek riskli veri işleme faaliyetlerine ilişkin Kurul tavsiyelerinde yer alan ana başlıklar envanterin tier kriterleri arasında konumlandırılmalıdır.
KVKK m. 28 (İstisnalar): Kanunun tatbik edilmediği tam istisna halleri envanter sisteminde kapsam dışı işaretlemesini zorunlu kılar.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Ulusal YZ Stratejisi (2021-2025): Belgedeki öncelikli sektörler tasnifi, kurumsal envanterin sektörel eşleştirme sürecinde referans noktası olarak dikkate alınmalıdır.
Sektörel Regülasyonlar ve Rehberler: BDDK Bilgi Sistemleri Yönetmeliği, SPK Bilgi Sistemleri Yönetimi Tebliği, Sağlık Bakanlığı Kişisel Sağlık Verileri Yönetmeliği ve BTK YZ rehberleri yüksek risk sınıflandırmasında doğrudan devreye girmelidir.
Anayasa Mahkemesi İçtihatları: Bireysel başvuru kararlarında otomatik karar verme ve profil çıkarmaya ilişkin tesis edilen hukuki standartlar gözetilmelidir.

Önerilen CLAUDE.md Konfigürasyonu

## AI inventory schema (TR override)
* Disable EU AI Act fields: true
* **TR risk tier:** YASAKLI: anayasal hak ihlali doğuran işlemeler. YÜKSEK: özel nitelikli veri (m. 6), münhasıran otomatik karar (m. 11/g), sektörel kritik altyapı (BDDK/SPK/sağlık). ORTA: profil çıkarma + insan denetimli karar. DÜŞÜK: iç verimlilik araçları, kişisel veri içermeyen YZ.
* **TR rol matrisi:** Veri sorumlusu: model çıktısının amaç ve vasıtasını belirleyen. Veri işleyen: veri sorumlusu adına işleyen tedarikçi. Geliştirici: model üretici (KVKK kapsamı dışı olabilir). Dağıtıcı: yurtiçi entegratör / SI partner.
* **Regulatory anchors:** KVKK m. 4, 5, 6, 9, 11/g, 12, 28, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Ulusal YZ Stratejisi, KVKK Kurulu YZ tavsiyeleri (2021) ve ilke kararları, Sektörel: BDDK / SPK / Sağlık Bakanlığı / BTK / EPDK.

Yerel MCP Entegrasyonu

Skill'in yerleşik [verify against current AI Act text] etiketi yapısal olarak EU AI Act metnine atıfta bulunduğundan, bu doğrulama mekanizması Türkiye pratiğinde işlevsiz kalır. Mevzuat MCP aktif kılındığında KVKK Kurulu ilke kararı arşivine ve sektörel yönetmeliklerin tam metinlerine doğrudan erişim sağlanabilir, Yargı MCP entegrasyonu sayesinde Anayasa Mahkemesi ve Danıştay içtihatları envanter sınıflandırma şemasını besler.

/ai-governance-legal:aia-generation

Ne Yapıyor?

Yapay Zekâ Etki Değerlendirmesi (AIA) raporu üretir. House-style'ın yüklenmesi, fast/full track yönlendirmesi, diyalog tabanlı intake, kurumsal stile uyumlu taslak rapor yazımı ve policy diff analizi aşamalarından geçerek nihai condition listesi ile cross-plugin handoff bayrakları üretir.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Sınıf B (yarı aware). Manuel house-style + KVKK risk şablonu ve Mevzuat MCP entegrasyonu zorunludur. Skill'in analitik iskeleti yargı sistemlerinden bağımsız olup KVKK m. 4 ilkeleri kapsamındaki bir etki değerlendirmesi pratiklerine uyarlanmaya son derece elverişlidir. Ancak built-in risk tier kriterleri ve regulatory classification şablonu Türk hukuku için doğrudan uygulanabilir nitelikte değildir, bunların kullanıcı profilinde KVKK ekseninde yeniden tanımlanması icap eder.

Varsayılan Sistem Davranışı ve Eksiklikler

Skill, açık bir ## Jurisdictional scope deklarasyonu ile operasyona başlar ve footprint kullanıcı tarafından yapılandırıldığı için teorik olarak agnostik bir esneklik sunar. Buna mukabil, skill'in built-in örneklerinin tamamı NIST AI RMF, EU AI Act risk tier'ları, GDPR Art. 22 ve ABD eyalet AI yasaları ekseninde kurgulanmıştır. Sistem, iddiaları derecelendirmek üzere üçlü bir kaynak etiketleme mekanizması kullanır. Kullanıcı tarafından yetkin bir TR research connector'ı tanımlanmadığı takdirde skill, hukuki analizin yüzeysel kaldığını fark ederek uyarı verir.

KVKK m. 4 İlkeleri: Etki değerlendirmesinin bölümünde Türk pozitif hukukunun temel ölçütleri (amaç sınırlaması, veri minimizasyonu, ölçülülük) titizlikle işlenmelidir.
KVKK m. 6 (Özel Nitelikli Kişisel Veriler): Özel nitelikli veri işlenmesi AIA sürecini tam kapsamlı rotaya yönlendiren kesin bir şart olarak tanımlanmalıdır.
KVKK m. 9 Yurtdışı Aktarımı (7499 sayılı Kanun ile Değişik): YZ modeli sunucuları yurtdışında ise, AIA bu aktarımın hukuki temelini belgelendirmelidir.
KVKK m. 10 Aydınlatma Yükümlülüğü: Geçerli bir aydınlatma metninin varlığı kontrol bileşeni olmalıdır.
KVKK m. 11/1-g (Otomatik Karar İtirazı): Münhasıran otomatik sistemlerle alınan kararlara itiraz hakkı insan denetimi bölümünün yegâne referansı olmalıdır.
KVKK Kurulu YZ Tavsiyeleri: Açıklanabilirlik, insan denetimi, veri kalitesi ve ayrımcılığın önlenmesi ilkeleri AIA şablonunda başlıklar olarak kurgulanmalıdır.
TCK m. 135-140 (Kişisel Veri Suçları): Muhtemel cezai riskler rapora şerh olarak düşülmelidir.
1136 sayılı Avukatlık Kanunu m. 35: Raporun alt kısmına resmi bir hukuki mütalaa niteliği taşımadığına dair feragatname eklenmelidir.
4857 sayılı İş Kanunu m. 75 ve m. 41 ile TBK m. 399: Çalışanların değerlendirilmesine yönelik senaryolarda işverenin yönetim hakkının yasal sınırları rapora derç edilmelidir.
5651 sayılı Kanun m. 4 ve m. 5: Müşteriye dönük uygulamaların içerik ve yer sağlayıcı sorumluluk rejimi etki değerlendirmesinin parçası olmalıdır.

Önerilen CLAUDE.md Konfigürasyonu

## AIA house style (TR)
* **Required sections:** Sistem tanımı ve veri akışı, KVKK m. 4 ilkeleri ölçütü, KVKK m. 5-6 hukuki sebep ve özel nitelikli veri analizi, KVKK m. 9 yurtdışı aktarım rejimi, KVKK m. 10 aydınlatma metni eşleştirmesi, KVKK m. 11/1-g otomatik karar ve itiraz mekanizması, KVKK m. 12 uygun teknik/idari tedbirler, Sektörel overlay (BDDK / SPK / sağlık), İnsan denetimi mimarisi, Açıklanabilirlik ve denetlenebilirlik, Ayrımcılık ve bias değerlendirmesi, TCK 135-140 cezai risk şerhi.
* **Risk track triggers (Risk scoring rubric TR):** Özel nitelikli veri → full track. Münhasıran otomatik karar → full track. Profil çıkarma → full track. Yurtdışı aktarım → full track. Sektörel kritik altyapı → full track.

Yerel MCP Entegrasyonu

Skill'in risk classification framework araştırmaları, Mevzuat MCP aktif kılındığında KVKK hükümleri, ikincil regülasyonlar ve KVKK Kurulu ilke kararı arşiviyle organik biçimde beslenir. Mevzuat MCP'nin temel katma değeri, modelin üreteceği [verify-pinpoint] uyarılarını ortadan kaldırarak hukuki çıktıyı teyit edilmiş provenance etiketiyle mühürlemesidir.

/ai-governance-legal:cold-start-interview

Ne Yapıyor?

Kurumsal YZ yönetişim pratiklerini analiz ederek 12 legal plugin'in tamamını etkileyen company-profile.md ortak profil dosyasını oluşturur. AI/AUP politikası, örnek AIA raporu ve tedarikçi sözleşmeleri gibi çekirdek dokümanları derler ve kurulum mülakatı sürecini yönetir.

Türk Hukukuna Uygulanabilirlik

🟢 EVET, Altyapı (agnostik). Doğrudan çalışır. Skill yapısı itibarıyla jurisdiction-agnostik bir kurulum aracıdır. Mülakat çıktısı doğrudan paylaşımlı dosyaya kaydedildiğinden, TR alanlarının (KVKK Veri Sorumlusu statüsü, BDDK/SPK sektörel konumu) bizzat bu dosyaya işlenmesi gerekir.

Varsayılan Sistem Davranışı ve Eksiklikler

Skill uyum sağlanacak regülasyonların bilgisini kullanıcıdan açık bir talimatla ister. Quick-start path brifinginde EU AI Act, NIST, state AI laws gibi regülasyonlar örnek gösterilmiş olsa da bu yönlendirici bir çağrı niteliğindedir. Türkiye'nin uygulanabilirliğini dışlayan herhangi bir sınırlama mevcut değildir.

KVKK m. 4 (Genel İlkeler), m. 6 (Özel Nitelikli Kişisel Veriler) ve m. 11 (İlgili Kişi Hakları) gibi temel hukuki ölçütlerin proaktif bir yaklaşımla sisteme tanımlanması gerekmektedir.
KVKK Kurulu YZ Tavsiyeleri (2021) ve Cumhurbaşkanlığı Ulusal YZ Stratejisi (2021-2025) kurumsal postür beyanına işlenmelidir.
Sektörel düzenleyiciler (BDDK, SPK, SGK, Sağlık Bakanlığı, EPDK, BTK, RTÜK) eskalasyon matrisinde hiyerarşik muhataplar olarak belirtilmelidir.
6102 sayılı TTK m. 375 uyarınca yönetim kurulunun yetkileri risk owner tayin edilirken gözetilmeli, avukatlık büroları için TBB Meslek Kuralları güvenlik tetikleyicileri olarak eklenmelidir.

Önerilen CLAUDE.md Konfigürasyonu

## Kurumsal Profil Değişkenleri (TR)
* **Practice setting:** in-house / private-practice
* **Company:** [şirket adı]
* **Industry:** [sektör, BDDK / SPK / sağlık / e-ticaret / fintech]
* **Jurisdictions:** TR
* **Risk posture:** middle (sektörel düzenleme varsa: conservative)
* **Regulators:** KVKK, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, [sektörel: BDDK / SPK / SGK / Sağlık / BTK / EPDK / RTÜK]
* **Regulatory footprint:** KVKK 6698 + ikincil yönetmelikler, KVKK Kurulu YZ Tavsiyeleri (2021), Cumhurbaşkanlığı Ulusal YZ Stratejisi (2021-2025), [sektörel YZ rehberleri]
* **Red lines:** KVKK m. 6 özel nitelikli veri ile ayrımcı profilleme, Anayasa m. 20'ye aykırı yaygın gözetim/biyometrik tanıma, KVKK m. 9 onaysız yurtdışı modele veri aktarımı
* **Escalation:** DPO (KVKK irtibat kişisi), Hukuk müşavirliği başkanı, Sektörel uyum (BDDK İç Sistemler / SPK İç Kontrol)

Yerel MCP Entegrasyonu

Skill'in hukuki olguları doğrula prensibi Mevzuat MCP'nin aktif olduğu senaryolarda kullanıcının ilettiği hukuki beyanları ilgili kanun lafzıyla anlık teyit etme imkânı sunar. Sistem tarafından doğrulanamayan hukuki atıflar [premise flagged, verify] etiketiyle bayraklanır.

/ai-governance-legal:customize

Ne Yapıyor?

Mevcut kurumsal profilin spesifik bir bölümünü uzun soluklu mülakat sürecini baştan başlatmaya gerek kalmaksızın günceller. Şirket yapısına ilişkin güncellemeler 12 plugin'in tamamını yatay kesen company-profile.md dosyasına eşzamanlı olarak yansıtılır ve kurumsal yapıdaki mantıksal tutarsızlıkları proaktif olarak kullanıcıya bildirir.

Türk Hukukuna Uygulanabilirlik

🟢 EVET, Altyapı (agnostik). Doğrudan çalışır. İlgili yargı çevresine özgü pozitif hukuk düzenlemelerinin kullanıcı tarafından sisteme işlenmesi ön koşuluyla, söz konusu regülatif kuralların profildeki organizasyonunu ve güncelliğini pürüzsüz biçimde idame ettirir.

Varsayılan Sistem Davranışı ve Eksiklikler

Profil veri tablosunun arka plan mimarisi bütünüyle statiktir, kullanıcının sisteme tanımladığı regülatif kurallar a priori kabul görür. Skill'in barındırdığı yegâne yapısal koruma mekanizması tutarsızlık sezgisidir, bu Türkiye pratiği için de KVKK in scope bildirimi ile veri ihlal bildirim prosedürü yokluğu saptanması gibi isabetli analojiler üretebilir.

KVKK Kurulu tarafından yeni bir ilke kararı yayımlandığında skill profilin hangi bölümünün güncellenmesi gerektiğine dair kendiliğinden semantik bir öneri üretemez.
company-profile.md kök dosyasına TR parametresi işlendiğinde, diğer 11 plugin'in kendi yerel konfigürasyon dosyalarının da Türkiye regülasyonlarına özgü olarak ayrı ayrı yapılandırılması zorunludur.
Kurumsal risk iştahında yapılacak değişikliğin 6102 sayılı TTK m. 369 tahtındaki yönetim kurulu özen yükümlülüğü ile nedensellik bağı hukuken gerekçelendirilmelidir.

Önerilen CLAUDE.md Konfigürasyonu

Kurul Kararı Yayımı Sonrası Güncelleme için: /ai-governance-legal:customize "Red lines'a KVKK Kurulu'nun [karar no] sayılı ilke kararı çerçevesinde spesifik biyometrik tanıma istisnası ekle" komutu kullanılmalıdır.
Yeni Sektörel Rehber İhdası Sonrası: /ai-governance-legal:customize "Vendor AI playbook'a güncel BDDK YZ Rehberi Madde X uyumluluk kriterini zorunlu madde olarak ekle" komutu yürütülmelidir.
Makro Strateji Belgesi Revizyonu Sonrası: /ai-governance-legal:customize "Regulatory footprint bölümüne 2026 Ulusal Yapay Zekâ Stratejisi'ni ana dayanak olarak ekle" kullanılmalıdır.

Yerel MCP Entegrasyonu

Mevzuat MCP aktif konumdayken icra edilen customize çağrılarında prompt vasıtasıyla sunulan yeni KVKK Kurulu kararlarına ilişkin atıflar anlık olarak teyit edilir ve profil dosyasına doğrulanmış veri olarak işlenir. Entegrasyon devre dışı bırakıldığında modelin mevzuat üretimleri bütünüyle teyide muhtaç farz edilir.

/ai-governance-legal:matter-workspace

Ne Yapıyor?

Müvekkil ve dosya bazlı katı bağlam izolasyonunu tesis eder. Her hukuki ihtilaf kendi benzersiz slug değeri altında klasörlenir. Gizlilik kalkanı hususi olarak devre dışı bırakılmadıkça dosyalar arası hiçbir okuma işlemi gerçekleştirilemez.

Türk Hukukuna Uygulanabilirlik

🟢 EVET, Altyapı (agnostik). Doğrudan çalışır. Türkiye sınırları dahilinde faaliyet gösteren serbest avukatlık büroları ile şirketlerin in-house hukuk müşavirlikleri için son derece güvenli ve izole bir dosya yönetim altyapısı sunar.

Varsayılan Sistem Davranışı ve Eksiklikler

Bütünüyle dosya yönetim katmanına hizmet eden bir araçtır, dosya isimlendirme konvansiyonları herhangi bir maddi hukuk sisteminin kurallarına tabi değildir. Kapatılan dosyalar otomatik olarak arşivlendiği bir klasöre taşınır ancak sistem tarafından silinmez.

Avukatlık Kanunu m. 36 ve TBB Meslek Kuralları m. 37 vd.: Modelin cross-matter context özelliğini kapalı tutması avukat-müvekkil gizliliğini başarıyla tesis eder.
KVKK m. 7 (Silme, Yok Etme ve Anonim Hale Getirme): Yasal saklama süresi dolan dosyaların KVKK m. 7 uyarınca kalıcı olarak imha edilmesi manuel bir müdahaleyi gerektirir, skill bu imha işlemini otomatik icra etmez.
6102 sayılı TTK m. 82 (Ticari Defter ve Belgelerin Saklanması): In-house danışmanlık dosyaları bakımından ticaret hukukundaki 10 yıllık genel saklama süresi rejiminin göz önünde bulundurulması icap eder.

Önerilen CLAUDE.md Konfigürasyonu

Slug Konvansiyonu: <müvekkil/departman>-<konu>-<yıl> formatının benimsenmesi önerilir.
Matter Type Listesi: "YZ Etki Değerlendirmesi", "Tedarikçi YZ Sözleşme İncelemesi", "KVKK Kurum Savunması" gibi Türk hukuk pratiğine uygun kategoriler tanımlanmalıdır.
Heightened Confidentiality: Avukat-müvekkil imtiyazına tabi olan veya KVKK m. 6 kapsamında yoğun özel nitelikli veri barındıran dosyalarda bu bayrak standart prosedür olarak aktifleştirilmelidir.

Yerel MCP Entegrasyonu

İncelenen skill maddi hukuka dair doğrudan bir içerik üretmediğinden ve işlevi bütünüyle dosya izolasyonu/yönetimi çerçevesinde kaldığından, bu aşamada spesifik bir Mevzuat MCP veya Yargı MCP entegrasyonuna ihtiyaç duyulmamaktadır.

/ai-governance-legal:policy-monitor

Ne Yapıyor?

Kurumun yürürlükteki yazılı YZ kullanım politikası ile fiili saha uygulaması arasındaki politika sapmalarını periyodik olarak denetler. AIA raporlarını ve vendor review çıktılarını kronolojik olarak inceleyip diff matrisi çıkarır, sapmaları zorunlu düzeltmeler ve tavsiye niteliğindeki eklemeler olarak sınıflandırır.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Sınıf B (yarı aware). Politika dokümanı ve commitments listesi titizlikle TR mevzuatına eklemlenmelidir. Policy drift denetimini icra eden algoritmik mekanizma Türkiye koşullarına uygundur, ancak fiili pratiğin referans alınacağı taahhütler listesine KVKK ve sektörel regülasyonlar manuel işlenmelidir.

Varsayılan Sistem Davranışı ve Eksiklikler

Sistemin sweep ve diff çıkarma mekanizması yapısal olarak jurisdiction-agnostiktir. Ancak hesaplanan policy commitments diff doğrudan CLAUDE.md profilindeki matrislere dayanır. Türk hukuku baz alınarak doldurulmazsa skill, ABD ve AB YZ politika modellerini zımnen referans alır.

KVKK m. 10 Aydınlatma Yükümlülüğü: Aydınlatma metni revizyonlarının kurumsal policy taahhütleriyle olan tutarlılığı aranmalıdır.
KVKK m. 12 (Teknik ve İdari Tedbirler): Kişisel Veri Güvenliği Rehberi'ndeki kontrol listesi profilde açık bir taahhüt olarak konumlandırılmalıdır.
KVKK Kurulu YZ Tavsiyeleri (2021): İnsan denetimi, şeffaflık ve ayrımcılığın önlenmesi ilkeleri politika metninin denetlenmesinde temel yapı taşları olarak işletilmelidir.
6102 sayılı TTK m. 375: İç politikanın yürürlüğe konulması onay mekanizması bir yönetişim taahhüdü olarak profile işlenmelidir.
6098 sayılı TBK m. 399 ve m. 396: Çalışanların kurumsal YZ kullanımına dair politikalar iş hukuku normlarıyla hizalanmalıdır.
6331 sayılı İSG Kanunu ve TBB Reklam Yasağı: Otomatize YZ araçlarının psikososyal riskleri ve mesleki sınırlar dikkate alınmalıdır.

Önerilen CLAUDE.md Konfigürasyonu

## AI policy commitments (TR baseline)
* **Disclosure:** KVKK m. 10 aydınlatma metninde YZ kullanımı açıkça beyan edilir. Müşteri/iş ortağı sözleşmelerinde YZ kullanımı belirtilir.
* **Human oversight:** KVKK m. 11/1-g kapsamındaki itiraz mekanizması her yüksek riskli sistemde aktiftir. Münhasıran otomatik karar yasaktır (insan denetimi zorunlu).
* **Security:** KVKK m. 12 + Kişisel Veri Güvenliği Rehberi uyumu. Sektörel ek: BDDK İç Sistemler / SPK Bilgi Sistemleri.
* **Vendor:** Tedarikçinin verilerimizi model eğitiminde kullanmaması (opt-out şart). KVKK m. 9 uyarınca aktarım mekanizması belirlenmeden onay verilmez.
* **Sweep frequency:** Aylık tarama + her KVKK Kurulu karar yayımı sonrası tetiklenir.

Yerel MCP Entegrasyonu

Mevzuat MCP entegrasyonu aktif kılındığında policy-monitor aracı KVKK Kurulu'nun yayımladığı yeni ilke kararlarını tespit etmek maksadıyla çalıştırılabilir. Yeni kurallar otomatik bir candidate gap olarak işlenir, Mevzuat MCP'nin katma değeri modelin manuel teyide muhtaç uyarılarını ortadan kaldırıp hukuki çıktıyı doğrudan teyit etmesidir.

/ai-governance-legal:policy-starter

Ne Yapıyor?

Kurumlar için kapsamlı bir YZ kullanım politikası taslağı inşa eder. Scope mülakatı, web search ile literatür taraması, taslak yazımı ve adaptasyon kontrol listesi oluşturulması adımlarını izler.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Sınıf B (yarı aware). TR model policy referans kaynakları profilde manuel biçimde yapılandırılmalıdır. Politikanın üst düzey iskelet yapısı evrenseldir, ancak içerik yönünden Türk mevzuat çerçevesiyle tam uyumlu olabilmesi için yerel hukuki kaynakların profile hizalanması mecburidir.

Varsayılan Sistem Davranışı ve Eksiklikler

Sistem dinamik kaynak araması yapar ve US-centric template kullanmamayı hedefler. TBB ve KVKK rehberlerini web search üzerinden bulabilir. Her bir hukuki tercih noktası için [review] etiketi atayarak nihai editoryal kararı insan avukata bırakır. Kullanıcı profilinde Türk hukuku tanımlanmadığı müddetçe politika metnini Amerikan ve Avrupa Birliği emsallerinden sentetik biçimde üretir.

6098 sayılı TBK m. 399 ve m. 396: İşverenin talimat hakkı ve işçinin sadakat borcu dokümanda hukuki zemin olarak işlenmelidir.
6331 sayılı İSG Kanunu: Otonom sistemlerin yarattığı risklerin değerlendirilmesi gerekliliği.
TBB Meslek Kuralları ve Reklam Yasağı Yönetmeliği: Avukatlık bürolarının üretecekleri materyallerin mesleki sınırları.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi YZ Etik İlkeleri ve TÜBİTAK Rehberleri: Kurumsal politikaların ulusal etik çerçevesi ve devlet stratejisiyle uyumu.
KVKK Kurulu YZ Tavsiyeleri (2021): Şeffaflık, insan denetimi, ayrımcılığın önlenmesi ve veri kalitesi güvenceleri politikanın müstakil bölüm başlıklarını oluşturmalıdır.
ISO/IEC 42001 (AIMS): YZ Yönetim Sistemi sertifikasyon süreçleri hedefleniyorsa Türkiye'deki akreditasyon zinciri derç edilmelidir.

Önerilen CLAUDE.md Konfigürasyonu

## Policy source library (TR)
* **Primary:** KVKK Kurulu YZ Tavsiyeleri (2021), Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Ulusal YZ Stratejisi, TÜBİTAK YZ rehberleri
* **Mesleki:** TBB Meslek Kuralları (avukat kullanımı için), TBB Reklam Yasağı Yönetmeliği
* **Sektörel:** BDDK YZ rehberi (bankacılık), SPK Bilgi Sistemleri Tebliği, Sağlık Bakanlığı KSV Yönetmeliği
* **Hukuki çerçeve:** KVKK 6698 (özellikle m. 4, 5, 6, 9, 10, 11, 12), TBK 6098 (m. 396, 399), 6331 İSG Kanunu, TTK 6102 (m. 375)
* **Uluslararası referans (Türkiye uygulaması için):** ISO/IEC 42001 AI Management System, OECD AI Principles

Yerel MCP Entegrasyonu

Skill aktif web search yeteneğiyle çalıştığından Mevzuat MCP entegrasyonu kıymetlidir. Üretilecek politikada yer bulacak KVKK normları ile sektörel atıfların tam metinleri doğrudan çekilir, aksi takdirde avukatın yüzlerce regülatif referansı el ile teyit etmesi mesleki külfet doğurur.

/ai-governance-legal:reg-gap-analysis

Ne Yapıyor?

Yeni ihdas edilen bir YZ regülasyonunu kurumun halihazırdaki yönetişim postürüyle mukayese ederek uyum boşluklarını tespit eder. Uygulanabilirlik tespiti, hukuki gereksinim çıkarımı, diff analizi adımlarını uygulayarak iyileştirme planı üretir.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Sınıf B (yarı aware). Mevzuat MCP entegrasyonu elzemdir, Kurul karar akışının takibi kritik önem taşır. Mevcut analiz iskeletinin yapısal diff mantığı Türk hukuk pratiği için fevkalade uygulanabilirdir, ancak regülatif akışın skill mekanizmasına düzenli beslenebilmesi gerekir.

Varsayılan Sistem Davranışı ve Eksiklikler

Sistem altyapısı çoklu regülatif rejimlerin varlığını varsayar ve araştır prensibi uyarınca yeni regülasyon analitik olarak incelenir. Ancak skill dokümantasyonundaki built-in emsallerin tümü ABD/AB hukuku ekseninde kurgulandığından, aktif bir Türkiye listesi tanımlanmadığı müddetçe skill ulusal gelişmeleri radarına almayacaktır.

KVKK Kurulu İlke Kararları: Türkiye ekosisteminde YZ bağlantılı en sık güncellenen akış mekanizmasıdır.
KVKK m. 9 (7499 sayılı Kanun Revizyonu): Yurtdışına veri aktarımında öngörülen yeni kontrol mantığı gap-analysis raporlarında sürekli izlenmesi gereken boşluk olarak konumlandırılmalıdır.
Sektörel Regülasyon ve Rehber Güncellemeleri: BDDK, SPK, Sağlık Bakanlığı ve BTK nezdindeki minör revizyonlar.
Cumhurbaşkanlığı Ulusal Strateji Belgeleri: Yeni YZ strateji belgesi yayımlandığında policy güncellemesini tetikleyecek mekanizma kurgulanmalıdır.
EU AI Act ve Uluslararası Metinler: AB pazarına temas eden Türk firmaları için extraterritorial etkiler ile OECD ve UNESCO tavsiye kararları kurumsal ESG poliçelerine yansıtılmalıdır.
Anayasa Mahkemesi İçtihatları ve 5651 sayılı Kanun: Özel hayatın gizliliği kararları ile içerik/yer sağlayıcı sorumluluk rejimlerine dair uyum boşlukları analiz edilmelidir.

Önerilen CLAUDE.md Konfigürasyonu

Kurul Kararı Neşri Akabinde: /ai-governance-legal:reg-gap-analysis "[Kurul karar no] sayılı biyometrik veri işleme ilke kararı" → must-do listesi üret komutu çalıştırılmalıdır.
Sektörel Regülasyon Güncellemesinde: /ai-governance-legal:reg-gap-analysis "BDDK Bilgi Sistemlerinde YZ Kullanım Rehberi 2026 revizyonu etkileri" komutu işletilmelidir.
AB Pazarı ile İltisaklı Senaryolarda: /ai-governance-legal:reg-gap-analysis "EU AI Act Article 50 kapsamında şeffaflık yükümlülükleri" tetiklenmelidir.

Yerel MCP Entegrasyonu

Mevzuat MCP entegrasyonunun fonksiyonel değeri en üst düzeydedir. Resmi Gazete'de yeni bir yönetmelik veya Kurul portalında yeni bir karar neşredildiğinde, skill birinci elden yasaya erişerek diff analizini teyit edilmiş ham metin üzerinden hatasız üretir. Yargı MCP ile Danıştay kararları da risk matrisine beslenir.

/ai-governance-legal:use-case-triage

Ne Yapıyor?

Kurum içinde önerilen yeni bir YZ kullanım durumunu registry, red lines ve governance tiers süzgeçlerinden geçirerek APPROVED, CONDITIONAL veya NOT APPROVED olarak sınıflandırır. Gri alan vakalarında şartlar matrisi üretir ve karmaşık senaryolarda konuyu uzman plugin'lere devreder.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Sınıf B (yarı aware). Registry ve red lines matrisi kati surette KVKK ekseninde tanımlanmalıdır. Skill'in yapısal akış mantığı Türk hukuku formasyonuna doğrudan uyum gösterir, ancak "provisional" modun Türkiye'deki hukuki uyum pratiklerinde kesinlikle çalıştırılmaması şarttır.

Varsayılan Sistem Davranışı ve Eksiklikler

Skill açık bir ## Jurisdictional scope deklarasyonu ile işe başlar ancak kodlanmış provisional fallback mekanizması bütünüyle Amerikan hukukunu merkez alır. Kurumsal TR profil tanımlanmadan sorgu yapılırsa algoritmik olarak US default rejimine rücu eder ve yanıltıcı çıktıyı [PROVISIONAL] etiketiyle damgalar.

KVKK m. 5/2 (Hukuki Sebepler): YZ kullanım durumunun hukuki dayanağının açık rıza mı yoksa istisnai işleme şartı mı olacağı ön triage aşamasında kararlaştırılmalıdır.
KVKK m. 6 (Özel Nitelikli Veriler): Özel nitelikli veri süzmesi öngörülen her proje algoritmik olarak derhal şarta bağlı yahut ret havuzuna düşürülmelidir.
KVKK m. 9 (7499 sayılı Kanun Revizyonu): Cloud tabanlı yurtdışı LLM modeli çalıştıran use-case'ler bakımından tatbik edilecek aktarım mekanizması beyan edilmelidir.
KVKK m. 11/1-g ve Anayasa m. 13 (Ölçülülük): Münhasıran algoritmik karar yasağı prensibi çerçevesinde insan denetimi tetikleyicisi aranmalıdır.
TCK m. 135-140 ve TBB Reklam Yasağı: Cezai risk barındıran konseptler ile meslek kurallarına dayalı kırmızı çizgiler otomatik ret işletmelidir.
Sektörel Red Lines ve 4857 sayılı İş Kanunu: BDDK, SPK, Sağlık Bakanlığı sınırları ile HR odaklı izleme temelli durumlar doğrudan CONDITIONAL filtresine takılmalıdır.
Anayasa Mahkemesi İçtihatları: Toplu gözetim ve kamusal alanda biyometrik tanımaya dair yüksek mahkeme kararları triage filtresinin parametrelerini oluşturmalıdır.

Önerilen CLAUDE.md Konfigürasyonu

## Triage Karar Ağacı (TR)
1. **KVKK m. 6 özel nitelikli veri var mı?** → en az CONDITIONAL
2. **KVKK m. 9 yurtdışı aktarım var mı?** → CONDITIONAL + aktarım mekanizması belgesi
3. **Münhasıran otomatik karar (m. 11/1-g)?** → CONDITIONAL + insan denetimi zorunlu
4. **Profil çıkarma var mı?** → CONDITIONAL + aydınlatma + itiraz mekanizması
5. **Çocuk verisi (18 yaş altı)?** → CONDITIONAL + ek güvenceler
6. **KVKK m. 4 ilkesine aykırılık?** → NOT APPROVED
7. **KVKK m. 10 aydınlatma metni mevcut değil?** → CONDITIONAL + policy update
8. **TCK m. 135-140 cezai risk?** → NOT APPROVED
9. **Sektörel red line ihlali?** → NOT APPROVED
10. **Hiçbiri uygulanmıyor?** → APPROVED (standart koşullarla)

Yerel MCP Entegrasyonu

Skill'in provisional modunun tetiklenmesini engellemek için profil doldurulma aşamasında devreye sokulacak Mevzuat MCP, ilke kararları ve regülasyon rehberlerini kırmızı çizgiler listesine doğrudan besler. Yargı MCP sayesinde Danıştay veya AYM içtihatları yeni use-case senaryolarının tasnifinde yegâne rehber kaynağı rolünü üstlenir.

/ai-governance-legal:vendor-ai-review

Ne Yapıyor?

Üçüncü taraf YZ kullanım sözleşmelerini kurumun tek yönlü buyer pozisyonundan madde madde inceler. Training on data, gizlilik, model değişiklik hakları, IP, sorumluluk, olay bildirimi ve audit haklarını tarar. Tedarikçi maddeleri ile kurumun pozisyonları arasında diff alır ve müzakere kilitlenmelerinde taktik sunar.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Sınıf B (yarı aware). KVKK m. 8/9 + TBK m. 20-25 ve m. 115 hususlarının manuel playbook yapılandırması şarttır. Madde madde sözleşme analizi iskeletinin yapısal kurgusu Türk hukuku pratiği için elverişlidir, ancak Türk sözleşmeler hukukunun emredici hükümleri playbook konfigürasyonuna manuel işlenmelidir.

Varsayılan Sistem Davranışı ve Eksiklikler

Güvenlik ağı olarak bütünüyle ABD yargı çevresini varsayan bir tasarıma sahiptir. Kurumsal profil mevcut değilken provisional modunda devreye girer ve ABD normlarına endekslenir. Provisional modun Türkiye incelemelerinde devreye sokulması mahzurludur, zira yurtdışı aktarım koşulları model tarafından sessizce GDPR Chapter V mantalitesiyle denetlenmeye çalışılacaktır.

KVKK m. 8 ve m. 9: Yurtiçi alt işleyen zincirinin kesintisiz sağlandığı ve 7499 sayılı Kanun ile değişen yurtdışı aktarım hiyerarşisi denetlenmelidir. Yalnızca rıza temelli aktarım beyanı yeterli değildir.
KVKK Kurulu 2019/63 Sayılı Kararı: 72 saatlik azami ihlal bildirim süresi kuralı vendor taahhüdüyle mukayese edilmelidir.
6098 sayılı TBK m. 20-25 ve m. 115: Tedarikçinin tek taraflı dayatmaları genel işlem koşulları süzgecinden geçirilmeli, ağır kusurda sorumsuzluk anlaşmasının butlanı kuralı işletilmelidir.
6098 sayılı TBK m. 116 ve 6102 sayılı TTK m. 18/2: Alt işleyenlerden müteselsil sorumluluk dağılımı ve basiretli iş adamı yükümlülüğü çerçevesinde due diligence denetimi yapılmalıdır.
Sektörel Veri İkamet Yasakları ve TCMB Regülasyonu: BDDK, Sağlık Bakanlığı, BTK ve TCMB kuralları gereği zorunlu verilerin Türkiye'de barındırılması kırmızı çizgi olmalıdır.
5846 sayılı FSEK (m. 1/B, m. 8, m. 48, m. 52): YZ çıktılarının fikri mülkiyet ve mali hak devri, yazılı şekil şartına uygunluğunun sağlanıp sağlanmadığı titizlikle incelenmelidir.

Önerilen CLAUDE.md Konfigürasyonu

## Vendor AI Playbook (TR)

| Term | Our standard | Acceptable fallback | Never |
|---|---|---|---|
| **Training on data** | Veriler model eğitiminde kullanılmaz (default opt-out) | Yalnızca metadata/anonim veri (sıkı denetimle) | Opt-in default veya muğlak "anonymized basis" ibareleri |
| **Cross-border transfer (KVKK m. 9)** | Yeterlilik kararı veya Kurul onaylı standart sözleşme | BCR veya Kurul izinli taahhütname | 7499 sayılı Kanun sonrası yalnız "rıza" temelli aktarım |
| **Alt işleyici (Sub-processor)** | Alt işleyici kullanılamaz veya yerel sağlayıcı seçilir | Kurumun ön onayı ve itiraz hakkı ile listeli kullanım | İtiraz hakkı tanımayan gizli alt işleyici zinciri |
| **Incident notification** | İhlal halinde 72 saat içinde Kuruma bildirim yükümlülüğü | İhlal fark edildiğinde derhal yazılı ön bildirim | Bildirim süresini esneten, "makul sürede" gibi muğlak ifadeler |
| **Liability** | Ağır kusur ve kasıt için sınırsız sorumluluk (TBK m. 115) | Ortak kusurda orantılı sorumluluk | Kusur derecesine bakılmaksızın katı/düşük sorumluluk limiti |
| **Output IP & FSEK Devri** | Çıktıların fikri mülkiyeti ve FSEK m. 1/B-21 mali hakları bize aittir | Ortak mülkiyet veya bedelsiz lisans hakkı | FSEK m. 52'ye aykırı, devri içermeyen veya belirsiz mülkiyet |
| **Müşterek Veri Sorumlusu** | Taraflar bağımsız veri sorumlusudur (Controller-to-Controller) | Net DPA ile sınırları çizilmiş joint-controller | Sınırları belirsiz sorumluluk devri |
| **Model change** | 30 gün önceden yazılı bildirim + ücretsiz opt-out hakkı | 15 gün bildirim ve itiraz mekanizması | Tek taraflı sessiz sedasız mimari/Hizmet Şartları değişikliği |
| **Data residency** | Sağlık/Finans için TR içi sunucu (BDDK/TCMB uyumlu) | TR bölge sunuculu AB altyapısı (regülasyon dışı için) | Zorunlu regüle verinin offshore/ABD sunucusunda tutulması |
| **AI Addendum / DPA** | Standart DPA ile birlikte özel AI Addendum akdedilir | AI kullanım şartlarını net belirten genişletilmiş DPA | DPA varsa AI maddelerinin tamamen eksik/yok sayılması |

Yerel MCP Entegrasyonu

Mukayese esnasında tetiklenen yürürlükteki geçerli hukuki normu araştır çağrıları Mevzuat MCP entegrasyonuyla KVKK m. 8-9 lafızlarından ve Kurul kararlarından organik şekilde beslenir. Yargı MCP entegrasyonu Danıştay kararlarını veri ihlali argümantasyonuna çeker. Konektörler kurulmadığında skill ABD federal regülasyonlarındaki vendor pratiklerini referans olarak kullanmaya başlar.

Genel Sonuç ve Adaptasyon Tavsiyeleri

ai-governance-legal plugin'i kurumsal bir bütünlük içinde değerlendirildiğinde, bünyesinde konumlanan 10 adet skill'in 3'ünün saf jurisdiction-agnostik altyapı (🟢), 6'sının yarı jurisdiction-aware esneklikte (🟡) ve 1'inin ise münhasıran EU AI Act normlarına doğrudan bağlı (🔴) kategorilerinde yer aldığı ampirik olarak tespit edilmiştir. Pilot analizdeki privacy-legal plugin'inden ayrıksı bir durum olarak, incelemeye konu olan bu plugin kümesinde Türk hukuk pratiğinde tam anlamıyla "kullanıma elverişli bulunmayan" riskli bir skill mevcuttur: ai-inventory. Bu elverişsizliğin temel sebebi, Türkiye'de mevzuat hiyerarşisi dahilinde (Anayasa m. 73 bağlamında) muadil bir "Yapay Zekâ Kanunu"nun (lex specialis) henüz ihdas edilmemiş olması ve skill'in yerleşik (built-in) algoritmik mimarisinin bütünüyle EU AI Act'in spesifik hukuki kategorilerine adeta "gömülü" (hard-coded) biçimde tasarlanmış olmasıdır. Dolayısıyla, mezkûr plugin'i Türkiye Cumhuriyeti egemenlik sahasındaki kurumsal pratiklerde "güvenli, regülasyonlara uyumlu ve mesleki risklerden arındırılmış" bir biçimde işletebilmek adına 3 katmanlı stratejik bir kurulum/entegrasyon modelinin tahsisi hukuken zorunludur:

1. Katman: Manuel CLAUDE.md Profili (Zorunlu)

Entegrasyon sürecinin öncül aşamasında, hukukçu yahut uyum yöneticisi konumundaki kullanıcının cold-start-interview skill'ini bizzat tetikleyerek KVKK (6698 sayılı Kanun), Cumhurbaşkanlığı Ulusal Yapay Zekâ Stratejisi, KVKK Kurulu YZ Tavsiyeleri ve iştigal edilen sektörel (BDDK, SPK, BTK vd.) düzenlemeleri CLAUDE.md profil dosyasına "manuel ve sistematik" biçimde zerk etmesi zaruridir. Zikredilen bu yerel hukuki girdiler (legal input) kurumsal bazda sağlanmadığı takdirde, plugin ekosistemi bünyesindeki operasyonel skill'ler algoritmik bir mecburiyetle ABD/AB referans normlarını "varsayılan müktesebat" (default baseline) olarak tatbik edecektir (bilhassa riskli görülen use-case-triage ve vendor-ai-review skill'lerindeki "provisional" modlar, ABD hukuki hegemonyasını kurumsal analizlere sessizce ve gayriihtiyari empoze eder). Hukuki isabetlilik adına CLAUDE.md profilinde yapılandırılması elzem olan asgari hukuki parametreler şunlardır:

Kesin ve bağlayıcı Jurisdictions: TR beyanının sisteme işlenmesi ve ilgili sektörel regülatör/otorite listesinin tasrih edilmesi.
(ai-inventory skill'inin EU AI Act dayatmalarını bütünüyle devre dışı bırakmak ve geçersiz kılmak gayesiyle) Özelleştirilmiş bir TR risk tier (kademe) şemasının baştan inşa edilmesi.
KVKK m. 4 ilâ m. 12 arasında sıralanan temel prensip ve yükümlülüklerin, kurumsal AIA house-style template (etki değerlendirme şablonu) iskeletine nakşedilmesi.
7499 sayılı Kanun marifetiyle revize edilen KVKK m. 9 yurtdışına veri aktarım rejiminin, "vendor playbook" protokolüne bağlayıcı (red-line) şart olarak derç edilmesi.
TR bağlamındaki "red lines" (kırmızı çizgiler/aşılmaz sınırlar) listesinin (KVKK m. 6 özel nitelikli veriler, Anayasa m. 20 özel hayatın gizliliği, TCK m. 135-140 bilişim suçları ve sekteröl yasaklar gözetilerek) sarih biçimde tanımlanması.
6098 sayılı TBK m. 20-25 (genel işlem koşullarının zımni haksızlık denetimi) ile TBK m. 115 (ağır kusurda sorumsuzluk anlaşmasının butlanı) normatif çerçevesinin, kurumun "vendor liability playbook" (tedarikçi sorumluluk matrisi) kurgusuna monte edilmesi.

2. Katman: TR Legal Research Connector (Şiddetle Önerilir)

Ekosistemde kritik vazifeler icra eden reg-gap-analysis, aia-generation, policy-starter, policy-monitor, use-case-triage ve vendor-ai-review skill'leri tarafından üretilen "research the applicable rule" (uygulanabilir normu tahkik et) çağrıları, Türkiye'nin pozitif hukuk mimarisine endekslenmiş harici bir bağlayıcı "connector" (veri besleyici uç) bulunmadığı takdirde, bütünüyle LLM'in tarihi geçmiş ve kısıtlı eğitim setine (knowledge cutoff) bağımlı kalır. Bu tehlikeli senaryoda model, ürettiği tüm iddialı hukuki çıktıları mesleki sorumluluktan kaçınmak gayesiyle [verify-pinpoint] yahut [web search, verify] gibi "güvensizlik bildiren" feragat (disclaimer) etiketleriyle sunmak mecburiyetinde kalacaktır. Bu hukuki zaafiyetin önüne geçilmesi ancak proaktif "Mevzuat MCP" ve "Yargı MCP" (Model Context Protocol) veri borularının entegrasyonuyla mümkündür:

Bu entegrasyon sayesinde 6698 sayılı KVKK asli lafzı ve bağlı tüm ikincil regülasyonların tam metinleri doğrudan [Mevzuat MCP] (kesinlik) güvencesiyle hafızaya çekilir.
Kurul nezdinde ihdas edilen tüm ilke kararları arşivi (bilhassa 2021 YZ Tavsiyeleri ile veri ihlal bildirim sürelerini tayin eden 2019/63 sayılı kural) analitik biçimde ve eksiksiz taranır.
BDDK, SPK, Sağlık Bakanlığı ve BTK gibi piyasa düzenleyicilerinin spesifik sektörel yönetmelik ve ikincil düzenlemeleri (delegated legislation) "full-text" (tam metin) olarak analize dâhil edilir.
İdari yargının zirvesi Danıştay'ın İdari Dava Daireleri nezdinde (KVKK Kurulu idari yaptırımlarına karşı ikame edilen iptal davalarındaki) emsal nitelikli kararları ile Anayasa Mahkemesi'nin (özel hayatın gizliliği, kişisel veri dokunulmazlığı ve otonom karar mekanizmalarının temel haklara müdahalesi üzerine bina ettiği) bireysel başvuru içtihatları düzenli olarak karar matrisine beslenir.
Güncel torba yasalarla (bilhassa 7499 sayılı Kanun marifetiyle) köklü değişikliğe uğrayan KVKK m. 9 hükmünün pozitif yasa lafzı, spekülasyona mahal vermeksizin doğrudan kaynağından (Resmi Gazete API vb.) teyit edilir.

3. Katman: Aktif İnsan Denetimi (Vazgeçilmez)

Yazılımın mimari temellerini oluşturan resmi guardrails (koruma kuralları) dokümantasyonunda sarih biçimde deklare edildiği veçhile, yapay zekâ (skill) tarafından üretilen her bir sentetik metin hukuken salt bir "ilk taslak" (preliminary draft) mahiyetindedir ve kat'iyen bağlayıcı bir "nihai hukuki mütalaa" (legal opinion) hüviyetini (1136 sayılı Kanun m. 35) haiz değildir. Kurumsal süreçlerde Türk yargı rejimi ile uyum ve avukatlık mesleki sorumluluk (malpractice) ilkeleri zaviyesinden:

Sistem tarafından jeneratif olarak inşa edilen AIA (Etki Değerlendirmesi) raporları, hiçbir suretle KVKK Kurumu'na (regülatör idareye) takdim edilecek veya hesap verilebilirlik (accountability) ilkesini tevsik edecek "resmi/nihai" bir argüman niteliği taşımaz, bu metinlerin yetkin bir DPO (Veri Koruma Görevlisi) yahut baroya kayıtlı bir hukukçu (avukat) nezdinde editoryal süzgeçten geçirilmesi mesleki bir mecburiyettir.
Otomatize olarak üretilen ve "vendor AI redlines" (tedarikçi kırmızı çizgileri) başlığıyla sunulan sözleşmesel restler, muhatap (karşı taraf) ile gerçekleştirilecek ticari müzakerelere (negotiation phase) tevdi edilmeden evvel, kurumsal hukuk müşavirliği makamının nihai onay mührüne (approval) arz edilmelidir.
Keza policy-starter işlevinin sunduğu sentetik çıktı, kurum içi (in-house) regülasyonlar bakımından yalnızca metodik bir başlangıç (taslak) evresidir, kurumun iç teamüllerinden ve en önemlisi 6102 sayılı TTK m. 375 (yönetim kurulunun devredilemez yetkileri) kapsamındaki rasyonel onay süreçlerinden (board resolution) süzülmedikçe, bu kurallar silsilesi tüzel kişiyi hukuken bağlayıcı bir mahiyette yürürlüğe konulamaz.
Bilhassa use-case-triage aracının saniyeler içinde ibraz ettiği "APPROVED" (Onaylı) sonuçları, içeriğinde KVKK m. 6 uyarınca biyometrik veya sağlık gibi "özel nitelikli kişisel veri" (sensitive data) işlenmesi planlanan her gri alanda fevkalade temkinle karşılanmalı ve manuel bir avukat denetimini (human-in-the-loop review) tetiklemelidir. Esasen skill'in kod bloklarına derç edilmiş olan cross-plugin handoff (yetkiyi/konuyu uzman plugin'e devretme) algoritmik bayrağı da, salt bu regülatif riski ötelemek maksadıyla kurgulanmış bilinçli bir sistem içi yönlendirme refleksidir.

Değerlendirmeye esas teşkil eden ai-governance-legal plugin'i makro ölçekte incelendiğinde, Türkiye'deki kurumsal Yapay Zekâ yönetişimi pratikleri ve kapsamlı KVKK uyum projeksiyonları bakımından teknolojik düzlemde fevkalade sofistike ve modüler bir "yapısal iskelet" (architectural framework) arz etmektedir. Ne var ki, mezkûr metodolojik iskeleti Türkiye Cumhuriyeti'nin amir pozitif hukuk normlarına ve yargısal doktrinine sorunsuz biçimde "giydirmek" ve entegre etmek yükümlülüğü, bütünüyle sistemi sevk ve idare eden kullanıcının (avukatın/DPO'nun) şahsi ve mesleki takdir/sorumluluk (due care) alanına terk edilmiştir. İlgili plugin, daha önceki pilot analiz safhasında tetkik edilen privacy-legal arayüzüne nazaran "hazır-uyum" potansiyelinde geride kalmaktadır: zira amiral gemisi sayılan ai-inventory skill'inin algoritmik mimarisi (built-in classification logic), doğrudan doğruya EU AI Act düzenlemesinin pozitif risk kategorilerine (high-risk, GPAI vd.) organik olarak lehimlenmiş (hard-coded) vaziyettedir ve önleyici bir TR yapılandırması (pre-configuration) tatbik edilmediği takdirde Türk kullanıcıyı doğrudan ve kesin bir surette "yanıltıcı/fiktif" (hallucinatory) hukuki çıktılara yönlendirmektedir.

Nihai tabloya göre, mercek altına alınan 10 adet skill modülünün 7'si, Türkiye regülasyon ekosistemine matuf yerel ve detaylı bir CLAUDE.md profili inşa edilmediği (default bırakıldığı) takdirde kurumları son derece ağır hukuki illüzyonlara ve uyum risklerine sürükleme (policy drift) potansiyeline haizdir. Bu riskli gruptaki 6 adet skill modülü, idari ve yargısal veri akışını besleyecek "Mevzuat MCP" entegrasyonundan yoksun bırakıldığı vakit, temelsiz ve cılız (unverified) regülatif atıflarla (citations) işlem görürken, geriye kalan yegâne "Class C" statüsündeki 1 skill'in (ai-inventory) ise, işlerlik kazanabilmesi namına built-in sınıflandırma şemasının adeta yıkılıp sıfırdan yeniden dizayn edilmesi (re-engineering) hukuken elzemdir.

Hülasa etmek gerekirse, söz konusu plugin paketi, an itibarıyla (out-of-the-box) alıp "kullanıma hazır bir Türk Yapay Zekâ Yönetişim Kütüphanesi (Turnkey Solution)" vazifesi görmek maksadıyla değil, bilakis üzerine Türk borçlar/şirketler hukuku, KVKK şemsiyesi ve sektörel (BDDK, BTK vb.) idari hukuk mimarisinin tuğla tuğla örülmesi (örülmek üzere kullanılması) icap eden kudretli ve teknik bir "iskele (scaffolding)" aracı olarak telakki edilmelidir.