privacy-legal, Türk Hukuku Uygulanabilirlik Analizi

KVKK uyum süreçlerini doğrudan ilgilendiren bu araç, Anthropic'in en gelişmiş plugin'lerinden biridir. Ancak bu gelişmişlik seviyesi, aracın doğrudan "Türkiye için hazır" olduğu anlamına gelmemektedir, bu bölüm, söz konusu ayrımı her bir skill özelinde netleştirmeyi amaçlamaktadır.

Türkiye Pratiği: Veri koruma görevlileri (DPO) ve KVKK uyum süreçlerini yürüten avukatlar için birincil kullanım potansiyeli taşıyan bir araçtır. Güçlü Yönleri (TR için): matter-workspace ve cold-start-interview bileşenleri jurisdiction-agnostik (yargı çevresinden bağımsız) bir altyapı sunmaktadır, dpa-review ve dsar-response ise yapısal bir iskelet sağlamakla birlikte, KVKK kurallarının kullanıcı tarafından manuel olarak tanımlanmasını gerektirir. Dikkat: Söz konusu skill'lerin hiçbirisi KVKK'ya özgü önceden tanımlanmış (pre-built) citation, check veya threshold mekanizmaları içermemektedir. Kullanıcı tarafından oluşturulacak manuel CLAUDE.md profili VE TR legal research connector (Mevzuat MCP) entegrasyonu bulunmadığı takdirde, skill'ler varsayılan olarak GDPR/CCPA standartlarını sessizce uygulamaya devam edecektir. Sistemin sağlıklı işlemesi için repository'de yer alan references/currency-watch.md statik dosyasının Türkiye için uyarlanması zorunludur. Her yıl Yeniden Değerleme Oranı (YDO) ile güncellenen KVKK idari para cezası eşikleri ve sürekli değişen KVKK Kurul kararları bu dosyaya işlenmelidir ve bu durum bir bakım maliyeti yaratır. Ayrıca sistemin en güçlü güvenlik duvarı olan etiketleme hiyerarşisi unutulmamalıdır: KVKK m. 4 veya m. 13'teki 30 günlük süreler gibi statik kurallar [settled], m. 9 yeterlilik kararları veya Kurul kararları ise [verify-pinpoint] etiketiyle işlenmektedir.

Bu analiz, privacy-legal plugin'i bünyesindeki 9 adet skill'i, repository'de yer alan SKILL.md davranış kuralları temelinde Türk hukuku perspektifinden değerlendirmektedir. İlgili plugin, Avrupa Birliği GDPR, ABD eyalet düzeyindeki privacy regülasyonları ve ABD federal sektörel normlarına (HIPAA, GLBA, FERPA, COPPA, VPPA, CPNI, DPPA, TCPA, FTC Act §5) uygun olarak tasarlanmıştır. Türkiye pratiğine uyum sağlamak üzere öngörülen yegâne mekanizma, kullanıcının kurulum aşamasında Jurisdictions: TR parametresini ve KVKK kurallarını kendi profiline tanımlamasıdır.

Skill bazında değerlendirme sonuçları: Toplam 9 skill'in 2'si 🟢 (jurisdiction-agnostik altyapı), 7'si 🟡 (manuel profil ve TR MCP entegrasyonu gerektirir) olarak sınıflandırılmıştır. Hiçbir skill kullanım dışı (🔴) sayılmamaktadır, ancak 🟡 kategorisindekilerin hiçbiri ön yapılandırma olmaksızın Türkiye'de doğrudan doğruya ve eksiksiz çalışma garantisi sunmamaktadır. Bu durum, kullanıcının prompt mühendisliği tekniklerini uygulamasını veya ilgili TR connector'ı sisteme entegre etmesini zorunlu kılmaktadır.

Genel Değerlendirme Tablosu

Skill	TR Uygulanabilirlik	Jurisdiction Sınıfı	Kısa Gerekçe
cold-start-interview	🟢 EVET	Altyapı (agnostik)	Kullanıcıdan jurisdiction footprint'ini açıkça talep eder, TR seçeneği belirtilebilir. KVKK spesifik sorular kullanıcı tarafından manuel yanıtlanmalıdır.
customize	🟢 EVET	Altyapı (agnostik)	Profil düzenleme işlevi görür. Jurisdiction kurallarından bağımsız çalışır.
matter-workspace	🟢 EVET	Altyapı (agnostik)	Dosya izolasyonu sağlar, in-house/private-practice ayrımı dışında jurisdiction kuralı içermez.
dpa-review	🟡 KISMEN	Sınıf B (yarı aware)	Built-in: GDPR Art. 28, SCC 2021/914, GLBA/HIPAA/FERPA/COPPA overlay. TR pratiği için: BDDK/SPK/Sağlık gibi sektörel overlay'ler manuel olarak eklenmelidir.
dsar-response	🟡 KISMEN	Sınıf B (yarı aware)	Built-in: GDPR Art. 12-22, CCPA § 1798.100-150 ve ABD'ye özgü 45 günlük yasal süre. TR pratiği için: KVKK m. 11/13/28 ile Veri Sorumlusuna Başvuru Tebliği kuralları manuel olarak tanımlanmalıdır.
pia-generation	🟡 KISMEN	Sınıf B (yarı aware)	Built-in: GDPR Art. 35 DPIA ve CCPA/CPRA risk-assessment tetikleyicileri (triggers). TR pratiği için: KVKK m. 9 kapsamında yurtdışı aktarımı risk değerlendirmesi ve Kurul ilke kararları manuel olarak entegre edilmelidir.
policy-monitor	🟡 KISMEN	Sınıf B (yarı aware)	Built-in: App Store etiketleri, CMP cookie banner, GLBA NPP, HIPAA NPP, FERPA aydınlatmaları. TR pratiği için: ETK 6563 ve KVKK m. 10 kapsamındaki aydınlatma metni gereklilikleri sisteme tanıtılmalıdır.
reg-gap-analysis	🟡 KISMEN	Sınıf B (yarı aware)	Genel diff-checker işlevi görür, temel aldığı "kural koleksiyonu" jurisdiction'a özgü değildir. TR pratiği için: KVKK Kurul ilke kararı akışı veya Mevzuat MCP entegrasyonu zorunludur.
use-case-triage	🟡 KISMEN	Sınıf B (yarı aware)	Built-in: GDPR DPIA mandatory triggers ve ABD sektörel overlay'leri (GLBA/HIPAA/FERPA/COPPA). TR pratiği için: KVKK m. 4 kapsamındaki genel ilkeler ile Kurul ilke kararları manuel olarak sisteme girilmelidir.

/privacy-legal:cold-start-interview

Ne Yapıyor?

Plugin'in kurulum mülakatı sürecini yönetir. Kullanıcının privacy practice (gizlilik uygulamaları) prensiplerini öğrenerek, bu verileri ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md profil dosyasına kaydeder. Kurulum aşamasında üç temel referans (seed) dokümanı talep eder: privacy policy, DPA template ve referans niteliğinde bir PIA. Skill, bu dokümanlar üzerinden şirket profilini (practice profile), DPA playbook standartlarını, PIA taslak üslubunu (house style) ve regülatif kapsamı (regulatory footprint) çıkarır. Plugin bünyesindeki diğer 8 skill, faaliyetlerini bu ana profile dayandırarak yürütür.

Türk Hukukuna Uygulanabilirlik

🟢 EVET, Out-of-the-box çalışır. [Altyapı, jurisdiction-agnostik] Bu skill, jurisdiction-agnostik (yargı çevresinden bağımsız) bir kurulum aracı niteliğindedir. KVKK standartlarına uygun bir profil oluşturulmasının önündeki yegâne pratik gereklilik, kullanıcının ilgili KVKK referanslarını sisteme doğru ve eksiksiz bir şekilde girmesidir. Skill, regulatory footprint bilgisini kullanıcıdan açık bir sorgu ile talep eder, geçerli olacak hukuk sisteminin "GDPR + CCPA" mı yoksa "KVKK + ETK" mı olacağı yönünde herhangi bir ön kabulde bulunmaz, bu tespiti kullanıcının beyanına bırakır. SKILL.md dokümantasyonunda, Türkiye pratiğini açıkça veya örtülü olarak dışlayan hiçbir kural bulunmamaktadır. İki dakikalık hızlı kurulum (quick-path) seçeneğinde yalnızca rol, yargı çevresi ve entegrasyon bilgileri istenirken, on beş dakikalık tam kapsamlı kurulum (full path) seçeneğinde sürece DPA playbook, PIA house style ve veri işleme aktiviteleri de dahil edilmektedir.

Varsayılan Sistem Davranışı ve Eksiklikler

Skill, kurulum mülakatı esnasında KVKK'ya özgü hazır bir soru seti sunmamaktadır. Kullanıcının aşağıdaki KVKK spesifik kuralları kendi inisiyatifiyle sisteme tanımlaması gerekmektedir, zira sistem bunları varsayılan olarak sormayacak veya ABD/AB varsayımlarıyla (örneğin CCPA uyarınca 45 günlük SLA) ilerleyecektir:

• KVKK (6698 Sayılı Kanun) m. 4 kapsamındaki genel ilkeler (hukuka ve dürüstlük kurallarına uygunluk, belirli/açık/meşru amaçlar, amaçla bağlantılı/sınırlı/ölçülü olma, doğru ve güncel olma, sınırlı süreyle muhafaza).
• KVKK m. 5/2'de düzenlenen veri işleme şartları (açık rıza dışındaki 6 istisnai hal) ile m. 6 kapsamındaki özel nitelikli kişisel veri işleme şartları.
• KVKK m. 9 uyarınca yurtdışına veri aktarım rejimi (2024 mevzuat değişikliği sonrası: yeterlilik kararı, standart sözleşme, bağlayıcı şirket kuralları (BCR), taahhütname).
• KVKK m. 13/2 uyarınca, ilgili kişi başvurularına verilecek yanıtlar için öngörülen 30 günlük azami yasal süre.
• KVKK m. 16 bağlamında VERBİS kayıt yükümlülükleri ve ilgili eşik değerleri.
• Kişisel Verileri Koruma Kurulu'nun (KVKK Kurulu) 2019/63 sayılı ilke kararı uyarınca veri ihlali bildirimleri için öngörülen 72 saatlik azami süre.
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de yer alan zorunlu başvuru ve yanıt unsulları.

Önerilen CLAUDE.md Konfigürasyonu

Kurulum esnasında prompt mühendisliğiyle yukarıdaki eksikliklerin profile işlenmesi sağlanmalıdır.

Practice setting: in-house / private-practice
Company: [şirket adı]
Industry: [sektör, BDDK / SPK / sağlık / e-ticaret / fintech]
Jurisdictions: TR
Regulators:
  - KVKK (Kişisel Verileri Koruma Kurulu, kvkk.gov.tr)
  - [sektörel: BDDK / SPK / SGK / Sağlık Bakanlığı]
Regulatory footprint:
  - KVKK 6698 + ikincil yönetmelikler
  - ETK 6563 + Elektronik Ticaret Yönetmeliği
  - [sektörel mevzuat]
DSAR SLA: 30 gün (KVKK m. 13/2)
Breach notification: 72 saat (KVKK Kurulu 2019/63)
DPA defaults:
  - Subprocessor change: 30 gün önceden bildirim
  - Cross-border transfer: KVKK m. 9, yurtdışı aktarımda standart sözleşme veya BCR
  - Audit rights: yıllık SOC 2 + on-site (haklı sebep)
Outputs:
  Work-product header: "GİZLİ, 1136 SAYILI AVUKATLIK KANUNU M. 36 UYARINCA SIR SAKLAMA YÜKÜMLÜLÜĞÜ KAPSAMINDADIR"

Yerel MCP Entegrasyonu

Skill, kurulum mülakatı aşamasında kullanıcının sunduğu hukuki iddiaları ortaya çıktıkça doğrulama eğilimindedir. Mevzuat MCP aktif olduğunda, kullanıcının "KVKK m. 13/2 uyarınca yanıt süresi 30 gündür" şeklindeki bir beyanı, kanun lafzı ile doğrudan karşılaştırılarak teyit edilebilir ve [settled] olarak işaretlenir. "Sessiz tamamlama yasağı" (no silent supplement) kuralı gereğince, Mevzuat MCP bir Kurul kararı veya mevzuat maddesi bulamazsa, modelin bunu uydurması yasaktır, işlem durdurulur ve kullanıcıya 4 seçenek sunulur. Ayrıca repodaki [Westlaw] veya [CourtListener] etiketleri yerine Türkiye pratiğinde [Mevzuat MCP] kaynak etiketi kullanılır.

/privacy-legal:customize

Ne Yapıyor?

cold-start-interview mülakatının tamamını yeniden başlatmaya gerek kalmaksızın, profilin yalnızca belirli bir modülünü güncellemeyi sağlar. Risk posture, escalation kişileri, DPA playbook kuralları, PIA section sıralaması, DSAR timeline veya integration durumu gibi unsurlardan herhangi biri değiştirildiğinde, sistem sadece o spesifik alana müdahale eder. Şirket bilgilerine (Jurisdictions, Industry vb.) yönelik güncellemelerde ise, 12 plugin'in tamamını etkileyen company-profile.md dosyasında eşzamanlı değişiklik yapar.

Türk Hukukuna Uygulanabilirlik

🟢 EVET, Out-of-the-box çalışır. [Altyapı, jurisdiction-agnostik] Profil düzenleme işlevi gören bu araç, jurisdiction'a özgü regülasyonların kullanıcı tarafından sisteme manuel olarak işlenmesi durumunda, söz konusu düzenlemelerin organizasyonunu sorunsuz bir biçimde yerine getirir. Profil tablosunun mimarisi statiktir, kullanıcı tarafından hangi kurallar veya rejimler tanımlanırsa, skill bunları itirazsız kabul eder. Skill'in içerdiği yegâne koruma mekanizması (guardrail), DSAR SLA süresinin "yasal minimumun altına" düşürülmesini engellemektir. Bu yapısal tercih, KVKK (6698 Sayılı Kanun) m. 13/2 perspektifinden bakıldığında hukuken de isabetli bir kural setidir.

Varsayılan Sistem Davranışı ve Eksiklikler

KVKK Kurulu tarafından yeni bir ilke kararı yayımlandığında, "makul süre" veya "uygun güvenlik tedbirleri" gibi muğlak ifadelerin yorumsal güncellemelerini yapmak skill'in fonksiyonu kapsamında değildir, bu revizyonlar kullanıcı tarafından manuel olarak yürütülmelidir. Skill'in işlevi, girilen veriyi metne dökmekle sınırlıdır. Ayrıca company-profile.md dosyasına "Jurisdictions: TR" kuralı eklendiğinde, diğer 11 plugin'in (corporate-legal, employment-legal, ip-legal vb.) bu revizyonu algılayabilmesi için, ilgili plugin'lerin de Türkiye'ye özgü yapılandırılmış CLAUDE.md profillerine sahip olmaları zorunludur. Yalnızca company-profile.md dosyasının güncellenmesi, tüm sistemin Türk hukukuna uyum sağlaması için yeterli değildir.

Önerilen CLAUDE.md Konfigürasyonu

Kullanıcı, profilini güncellemek için aşağıdaki komut formatlarını kullanmalıdır:

• Kurul kararı sonrası güncelleme: /privacy-legal:customize "DSAR exemption ekle: KVKK Kurulu [karar no] uyarınca yargı süreci devam eden başvurular istisna"
• Yeni sektörel düzenleme sonrası: /privacy-legal:customize "Regulatory footprint'e Sağlık Bakanlığı Kişisel Sağlık Verileri Hakkında Yönetmelik eklendi"
• Şirket büyüme/küçülme operasyonları: Şirketin yeni bir pazara girmesi durumunda company-profile.md güncellenir.

Yerel MCP Entegrasyonu

Mevzuat MCP aktifken gerçekleştirilen customize çağrılarında, kullanıcı tarafından sunulan yeni Kurul kararları veya kanun değişikliğine dair citation'lar anında teyit edilebilir. Güçlü kaynak hiyerarşisi gereği, net kanun maddeleri [settled], yoruma dayalı veya yeni kararlar [verify-pinpoint] olarak etiketlenir. Sessiz tamamlama yasağı kuralı gereği, doğrulanmayan bilgiler model tarafından kendi kendine eklenmez.

/privacy-legal:matter-workspace

Ne Yapıyor?

Özel hukuk büroları (private practice) için müvekkil ve dosya bazlı bağlam izolasyonu sağlar. Her bir uyuşmazlık veya danışmanlık dosyası (matter) kendisine ait özel bir tanımlayıcı (slug) ile klasörlenir, matter.md (dosya kimliği), history.md (süreç kronolojisi), notes.md (çalışma ve araştırma notları) ve outputs/ (skill çıktıları) şeklinde yapılandırılır. In-house (şirket içi hukuk departmanı) kullanıcıları için bu özellik varsayılan olarak kapalıdır, cold-start-interview aşamasında "private practice" seçeneğinin işaretlenmesi halinde aktifleşir.

Türk Hukukuna Uygulanabilirlik

🟢 EVET, Out-of-the-box çalışır. [Altyapı, jurisdiction-agnostik] Türkiye'de faaliyet gösteren avukatlık büroları ve hukuki danışmanlık firmaları için dosya yönetimi bağlamında son derece ideal bir altyapı sunmaktadır. Bütünüyle dosya yönetim katmanına hizmet eder. İsimlendirme kuralları (naming conventions), dizin ağacı oluşturma, dosyalar arası geçiş yapma (switch), listeleme (list) ve dosyayı kapatma (close) gibi yapısal komutları barındırır. Herhangi bir hukuk sistemine veya jurisdiction kuralına tabi değildir.

Varsayılan Sistem Davranışı ve Eksiklikler

KVKK m. 7'de düzenlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü bağlamında, yasal saklama süreleri dolan matter'ların sistemden kalıcı biçimde silinmesi gerekmektedir. matter-workspace close komutu veriyi imha etmez, yalnızca arşivler. Repodaki dokümantasyonda "Enforcing retention is out of scope" kuralı açıkça belirtilmiştir. Dolayısıyla eklentinin veriyi otomatik olarak imha etmemesi bir sistem hatası veya eksiklik değil, sınırların bilinçli olarak çizilmesidir, bu işlem kullanıcı tarafından manuel yönetilmelidir.

Önerilen CLAUDE.md Konfigürasyonu

1136 Sayılı Avukatlık Kanunu m. 36 (Sır saklama yükümlülüğü) ve Türkiye Barolar Birliği Meslek Kuralları m. 7-10 (Avukat-müvekkil gizliliği) bağlamında ele alındığında, dosyalar arası bağlam paylaşımının (Cross-matter context) varsayılan olarak off (kapalı) tutulması, halihazırda yeterli bir koruma sağlamaktadır. Profili kurarken şu ayarlar tercih edilmelidir:

• Confidentiality level parametresinde "heightened" seçeneği, özel nitelikli kişisel veri barındıran (KVKK m. 6) veya avukat-müvekkil gizliliğine tabi olan dosyalar için standart olarak tercih edilmelidir.
• Matter slug konvansiyonu: <müvekkil>-<konu>-<yıl> formatında yapılandırılmalıdır (örn. acme-kvkk-uyumu-2026, xyz-veri-ihlali-2026).

Yerel MCP Entegrasyonu

Bu skill hukuki içerik üretmediği, salt dosya yönetimi işlevini yerine getirdiği için doğrudan bir Mevzuat MCP entegrasyonu söz konusu değildir.

/privacy-legal:dpa-review

Ne Yapıyor?

Bir Veri İşleme Sözleşmesi'ni (Data Processing Agreement, DPA), kullanıcının kendi DPA playbook standartları çerçevesinde, madde madde (term-by-term) inceler. Süreç, taraf sıfatının tespitiyle başlar: İşleyen (processor) konumunda mıyız, yoksa veri sorumlusu (controller) konumunda mıyız. Taraf tespiti akabinde her bir madde, tarafların rolleri, veri işlemenin kapsamı (processing scope), alt-işleyen (subprocessor) mekanizmaları, güvenlik tedbirleri, veri ihlali bildirim süreleri, denetim hakları (audit rights), sınır ötesi veri aktarımı, sözleşme hitamında verilerin silinmesi/iadesi ve sorumluluk rejimi (liability) bağlamında playbook'taki şirket pozisyonuna göre revize edilir (redline).

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Manuel playbook + TR sektörel overlay + Mevzuat MCP zorunludur. [Sınıf B, yarı jurisdiction-aware] DPA incelemesinin temel mimarisi (alt-işleyen kuralları, ihlal bildirim süreleri, denetim mekanizmaları, veri imhası) hukuk sistemlerinden büyük oranda bağımsızdır. Ne var ki, KVKK'ya özgü hukuki kontroller ve Türkiye'deki sektörel regülasyonlar (overlay) kullanıcı tarafından playbook'a manuel olarak eklenmediği sürece, skill müşteriden gelen "72 saatlik bildirim süresi" gibi bir şartı, KVKK Kurulu'nun 2019/63 sayılı kararı üzerinden değil, tamamen sessiz bir biçimde GDPR Art. 33 normlarına göre değerlendirecektir.

Varsayılan Sistem Davranışı ve Eksiklikler

Skill, sürece açık bir ## Jurisdiction assumption beyanıyla başlar. Akabinde, veri akışının doğasını tespit etmek amacıyla ABD federal sektörel overlay listesini sorgular (GLBA, HIPAA, FERPA, COPPA vb.) ve Avrupa Birliği sınır ötesi veri aktarım rejimlerine (GDPR, SCC 2021/914) yönelik somut bir tablo kullanır. Ancak bu altyapıda Türkiye'ye özgü sektörel düzenlemeler (BDDK, SPK, SGK, MEB, Sağlık Bakanlığı vb.) yer almamaktadır. Türkiye için sistemde var olmayan ve manuel olarak kontrol edilmesi gereken eksiklikler şunlardır:

• KVKK m. 8 Yurtiçi Aktarım Rejimi: Aktarımın açık rıza veya m. 5/2 kapsamındaki hukuki sebeplerden birine dayanıp dayanmadığının denetimi.
• KVKK m. 9 Yurtdışı Aktarım Rejimi (2024 Değişiklikleri): Yeterlilik kararı, standart sözleşme (Kurul onaylı metin), BCR, taahhütname arasındaki tercihin belirlenmesi.
• KVKK m. 12 Veri Güvenliği Yükümlülüğü: DPA incelemelerinde veri sorumlusu ile veri işleyenin müşterek ve müteselsil sorumluluğu vurgulanmalıdır. Ayrıca Kişisel Veri Güvenliği Rehberi'nin asgari standart olarak bağlayıcılığı.
• KVKK Kurulu 2019/63 Sayılı Kararı: Veri ihlallerinde öngörülen 72 saatlik bildirim süresi.
• Türk Sektörel Overlay'leri: BDDK Bilgi Sistemleri Yönetmeliği, SPK Bilgi Sistemleri Yönetimi Yönetmeliği, Sağlık Bakanlığı Kişisel Sağlık Verileri Hakkında Yönetmelik.

Önerilen CLAUDE.md Konfigürasyonu

DPA Playbook'un Türk mevzuatına uyarlanması için şu yapılandırma kullanılmalıdır:

DPA playbook:
  When we are the processor:
    Subprocessor changes: 30 gün önceden yazılı bildirim
    Breach notification:
      Trigger: confirmation of breach (not mere discovery)
      Timeline: 72 saat içinde controller'a bildirim (KVKK Kurulu 2019/63)
    Cross-border transfer:
      Acceptable: Kurul onaylı standart sözleşme + uyum mekanizması
      Acceptable: BCR (Kurul onaylı bağlayıcı şirket kuralları)
      Acceptable: yeterlilik kararı bulunan ülkeler
      Unacceptable: yalnız "rıza" temelli yurtdışı aktarım (m. 9 değişikliği sonrası)
    Data security (KVKK m. 12): controller ve processor müşterek müteselsil sorumludur, Kişisel Veri Güvenliği Rehberi asgari standarttır
    Deletion on termination: 30 gün + sertifika, backup carveout: 90 gün max
    Liability cap: MSA cap içinde + data breach için 2x cap carve-out, rücu hakları saklıdır
  When we are the controller:
    [aynı playbook'un controller-side pozisyonları]
Regulatory footprint:
  - KVKK 6698, Veri Güvenliği Rehberi
  - [sektörel: BDDK / SPK / SGK / Sağlık]

Yerel MCP Entegrasyonu

Skill'in mevzuat araştırmasına yönelik komutları Mevzuat MCP aktif olduğunda KVKK m. 8, m. 9 ve m. 12 lafzı ile güncel Kurul ilke kararları kullanılarak beslenebilir. İnceleme esnasında skill'in atadığı [verify-pinpoint] etiketleri Mevzuat MCP vasıtasıyla teyit edilir. Mevzuat MCP'nin bulunmadığı hallerde skill, sistemine gömülü ABD federal normlarını örtülü olarak uygulayarak hukuken hatalı sonuçlar üretebilir. Sessiz tamamlama yasağı uyarınca sistem [Mevzuat MCP] ile bulamadığı kararı kendi yazamaz.

/privacy-legal:dsar-response

Ne Yapıyor?

İlgili kişi (veri öznesi) tarafından yöneltilen erişim, silme, düzeltme, veri taşınabilirliği, itiraz veya işlemenin kısıtlanması taleplerini çözümleyerek yapısal bir yanıt taslağı oluşturur. İki Mektup Kuralı (Two-letter rule) adı verilen zorunlu iş akışını takip eder: İlk aşamada 3-5 gün içinde bir alındı bildirimi (acknowledgment) üretilir, ardından yasal süreler dahilinde esas yanıt (substantive response) kaleme alınır. Skill hazırladığı yanıtı doğrudan göndermez, metin insan denetimi için sunulur.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Süre/istisna parametrelerinin manuel profille eşleştirilmesi ve Mevzuat MCP entegrasyonu zorunludur. [Sınıf B, yarı jurisdiction-aware] Skill'in 5 aşamalı yapısal iskeleti ve İki Mektup Kuralı, KVKK Başvuru Tebliği kapsamındaki iyi uygulamalarla metodolojik olarak örtüşmektedir. Ne var ki, varsayılan esas yanıt süresi CCPA bazlı olarak 45 gün kurgulandığından, bu süre kullanıcı profilinde açıkça 30 güne çekilmediği takdirde, skill hukuken hatalı bir SLA önerecektir. Sistemde açık bir ## Jurisdiction assumption deklarasyonu mevcuttur. Dahili olarak desteklenen haklar GDPR ve CCPA spesifik olup, varsayılan başvuru yanıtlama algoritması CCPA uyarınca 45 gündür.

Varsayılan Sistem Davranışı ve Eksiklikler

Repodaki alındı bildirimi ve esas yanıt şeklinde iki ayrı çıktı üretme zorunluluğu, Türk hukuku açısından KVKK Başvuru Tebliği standartlarına (alındı zorunlu olmasa da kurumsal iyi uygulama olarak) son derece uygun bir mekanizmadır. Ancak şu unsurlar varsayılan olarak sistemde bulunmaz ve manuel tanımlanmalıdır:

• KVKK m. 11 Kapsamındaki İlgili Kişi Hakları: Kanunda sayılan 7 temel hakkın eşleştirilmesi. Ayrıca m. 11 uyarınca zararın giderilmesini talep etme hakkı (tazminat talepleri) DSAR yanıtlarında açıkça reddedilmeli ve yargı yoluna tabi olduğu ayrımı net bir şekilde belirtilmelidir.
• KVKK m. 13 Başvuru Usulü ve Süresi: Başvurular için en geç 30 gün olan azami yasal yanıt süresinin [settled] kural olarak tanımlanması (45 gün varsayımı düzeltilmelidir).
• KVKK m. 28 Kapsamındaki İstisnalar: Kanunun uygulanmayacağı tam ve kısmi istisnalar sistemde hazır gelmez.

Önerilen CLAUDE.md Konfigürasyonu

DSAR process:
  Statutory regime: KVKK 6698
  Response SLA: 30 gün (KVKK m. 13/2 azami), "makul süre" iç hedef: 15 gün
  Acknowledgment SLA: 5 gün (alındı bildirimi, Two-letter rule)
  Identity verification:
    Logged-in: hesap içinden başvuru -> kimlik doğrulanmış
    Email match: sicile kayıtlı e-posta -> düşük risk için yeterli
    High-risk: noter onaylı kimlik veya KEP
  Exemptions:
    Tam (m. 28/1): millî savunma, soruşturma, kamu güvenliği, kişinin kendi faaliyetleri
    Kısmi (m. 28/2): kanunda öngörülme, suç önleme, idari/disiplin soruşturması
  Rejections:
    Tazminat talepleri: KVKK m. 11 zararın giderilmesi talepleri DSAR ile çözülmez, yargı yoluna tabidir
  Systems list:
    [müşteri DB, analitik, destek ticket, CRM, email pazarlama, log]

Yerel MCP Entegrasyonu

Mevzuat MCP devredeyken KVKK m. 11, m. 13, m. 14 ve m. 28 lafzı taranarak hukuki altyapı beslenir. Sessiz tamamlama yasağı uyarınca [Mevzuat MCP] tarafından doğrulanamayan bir tebliğ kuralı skill tarafından varsayımsal olarak oluşturulamaz, doğrulanmış kurallar [settled] etiketi alır.

/privacy-legal:pia-generation

Ne Yapıyor?

Yeni geliştirilecek bir özellik, ürün veya başlatılacak bir veri işleme faaliyeti için, şirketin kendi belirlediği PIA formatında (house style) bir etki analizi raporu hazırlar. İşlem sırası şu şekildedir: İlk olarak "PIA yapmak zorunlu mu?" tespiti yapılır. Zorunluluk saptanırsa, ürün/süreç ekibiyle yapılandırılmış bir bilgi toplama (structured intake) fazına geçilir. Nihai ürün olarak faaliyetin devamı için gereken hukuki şartlar tablosu, sorumluların atanması ve şirket içi onay mekanizmasının haritası çıkarılır.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Manuel tetikleyici (trigger) seti ve Mevzuat MCP entegrasyonu zorunludur. [Sınıf B, yarı jurisdiction-aware] 6698 sayılı KVKK metninde, GDPR Art. 35 hükmüne eşdeğer, açık ve doğrudan bir "DPIA zorunluluğu" normu bulunmamaktadır. Buna karşın, Kişisel Verileri Koruma Kurulu'nun yüksek risk teşkil eden faaliyetlere dair ilke kararları, Türk hukuk pratiğinde fiilen bir etki analizi yapılmasını mecburi kılmaktadır. Skill bu spesifik kararları tanımaz, kuralların manuel işlenmesi şarttır. Skill, "Is a PIA needed?" sorgusunda, doğrudan GDPR Art. 35 DPIA tetikleyicileri ve ABD federal sektörel mevzuatına atıf yapar. Kullanıcı footprint'i "TR" olarak işaretlemiş olsa dahi, KVKK Kurulu'nun ilke kararları sistemde dahili olarak yer almaz.

Varsayılan Sistem Davranışı ve Eksiklikler

Varsayılan durumda sistem DPIA zorunluluğu için AB ve ABD normlarına bakar. Türkiye için eksik olan ve sisteme dahil edilmesi gereken değerlendirme kriterleri:

• KVKK m. 4 Genel İlkelere Uygunluk Testi: Faaliyetin hukuka uygunluğu bağlamında ölçülülük ve amaca uygunluk analizi.
• KVKK m. 5/2 ve m. 6 Veri İşleme Şartları: Açık rıza haricindeki istisnai hallerin tespiti.
• KVKK m. 9 Yurtdışı Aktarım Risk Değerlendirmesi: Yeterlilik kararı, standart sözleşme veya BCR arasından yapılan tercihin PIA metninde hukuken gerekçelendirilmesi yükümlülüğü.
• KVKK Kurulu Yüksek Risk Kriterli Kararları: Biyometrik veri işleme koşulları, kamuya açık alanlarda biyometrik tanıma sistemlerinin kullanımı.

Önerilen CLAUDE.md Konfigürasyonu

Kullanıcı profilini Türk hukuku tetikleyicileri ile yapılandırmalıdır:

PIA house triggers (KVKK için):
  - Özel nitelikli kişisel veri (m. 6) içeren her yeni süreç
  - Profil çıkarma veya otomatik karar (m. 11/1-g ile bağlantılı)
  - Çocuk (18 yaş altı) verisi
  - Biyometrik veri (kamera, parmak izi, yüz tanıma)
  - Konum verisi sürekli takibi
  - Yurtdışına aktarım (m. 9)
  - Yeni alt-işleyen entegrasyonu (üçüncü taraf veri paylaşımı)
  - 50.000+ ilgili kişiyi etkileyen işleme (VERBİS yükümlülüğü eşiği)

Yerel MCP Entegrasyonu

Mevzuat MCP entegrasyonu sağlandığında, pia-generation skill'i doğrudan KVKK Kurulu ilke kararı arşivini tarar. Kurul kararları [verify-pinpoint] olarak etiketlenerek raporun iskeletine işlenir. Mevzuat MCP aracılığıyla karar bulunamazsa sessiz tamamlama yasağı devreye girer.

/privacy-legal:policy-monitor

Ne Yapıyor?

Şirketin resmi web sitesinde yayımlanan gizlilik politikası (privacy policy) ile organizasyonun fiili veri işleme faaliyetleri arasındaki sapmaları (drift) tespit etmek üzere kapsamlı tarama (sweep) veya doğrudan sorgu (direct query) modlarında denetim yürütür. Denetim yalnızca metinle sınırlı değildir, App Store / Google Play Veri Güvenliği etiketleri, CMP çerez onay arayüzleri, uygulama içi rıza akışları ve sektörel aydınlatma yükümlülükleri sistematik biçimde denetlenir.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Türkiye'ye özgü aydınlatma yüzeylerinin manuel olarak tanıtılması ve Mevzuat MCP entegrasyonu şarttır. [Sınıf B, yarı jurisdiction-aware] Skill'in çekirdek kıyaslama (diff) motoru, hukuk sisteminden bağımsız (jurisdiction-agnostik) çalışacak şekilde tasarlanmıştır, ne var ki hangi aydınlatma yüzeylerinin denetime tabi tutulacağı hedeflenen yargı çevresine bağlıdır. Skill, politika ile pratik arasındaki sapma kontrolünü tamamen profilde belirtilen footprint üzerinden yürütür. Dahili olarak sisteme tanımlanmış tarama yüzeyleri ağırlıklı olarak ABD federal hukukuna özgü sektörel aydınlatma metinlerini içerir. Türkiye pratiğinde hayati önem taşıyan Aydınlatma Tebliği ve ETK süreçleri sisteme entegre edilmemiştir.

Varsayılan Sistem Davranışı ve Eksiklikler

Varsayılan yapıda sistem App Store etiketleri, CMP cookie banner, GLBA NPP, HIPAA NPP, FERPA aydınlatmalarını denetler. Türkiye mevzuatı açısından aşağıdaki unsurlar eksiktir ve entegrasyon gerektirir:

• KVKK m. 10 Kapsamında Aydınlatma Yükümlülüğü: Aydınlatmanın veri toplama anında yapılması şartı ve Aydınlatma Tebliği'nde sayılan zorunlu asgari unsurların mevcudiyeti.
• App Store Veri Güvenliği Etiketleri: Skill bünyesinde yer alan App Store / Google Play Data Safety etiket denetim mekanizmasının, Türk hukuku bağlamında da KVKK m. 10 aydınlatma yükümlülüğü kapsamında hukuki bağlayıcılığı olduğu ve eksikliğinin yaptırım doğuracağı unutulmamalıdır.
• KVKK m. 16 ve VERBİS Kayıt Yükümlülüğü: Yayımlanan gizlilik politikasındaki veri kategorileri ile Sicile beyan edilen veri kategorileri arasındaki tutarlılık denetimi.
• 6563 Sayılı ETK ve Ticari Elektronik İleti Yönetmeliği: Doğrudan pazarlama iletileri için İYS onay zorunluluğu.

Önerilen CLAUDE.md Konfigürasyonu

Aydınlatma yüzeyleri profil dosyasında aşağıdaki gibi tanımlanmalıdır:

Privacy notice surfaces:
  - Aydınlatma Metni (web sitesi, mobil app, kayıt formları)
  - ETK İYS kayıt durumu (ticari elektronik ileti onayları)
  - VERBİS kayıtları (KVKK m. 16, kategori uyumu)
  - Çerez Politikası (cookie banner + CMP konfigürasyonu)
  - App Store / Google Data Safety etiketleri (TR mağazaları için, KVKK m. 10 kapsamında)
  - Sektörel notice'lar (BDDK / Sağlık / SPK, varsa)

Yerel MCP Entegrasyonu

Mevzuat MCP aktif olduğunda, Aydınlatma Tebliği lafzı ve KVKK Kurulu'nun aydınlatma yükümlülüğü ihlallerine dair kararları [Mevzuat MCP] etiketi ve [verify-pinpoint] güvenlik seviyesi ile sisteme dahil edilir.

/privacy-legal:reg-gap-analysis

Ne Yapıyor?

Yeni bir kanun, yönetmelik yürürlüğe girdiğinde yahut bağlayıcı bir Kurul kararı yayımlandığında, organizasyonun uyum durumunu ölçmek amacıyla kapsam analizi, yükümlülüklerin tespiti, mevcut durumla kıyas (diff) ve aksiyon planı oluşturma şeklinde ilerleyen dört aşamalı bir iş akışı yürütür.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, KVKK'nın baseline olarak atanması şartıyla uyumludur. [Sınıf B, yarı jurisdiction-aware] Skill yapısal olarak tamamen agnostiktir ve "diff against baseline" mantığı Türk hukuku ile de kusursuz çalışır. Ancak dokümantasyonda ve varsayılan davranışta CCPA üzerinden fark bulma eğilimi olduğundan, kullanıcının temel referans noktasını (baseline) KVKK 6698 Sayılı Kanun ve güncel Kişisel Verileri Koruma Kurulu ilke kararları olarak sisteme açıkça tanımlaması zaruridir. Skill, kapsam analizi aşamasında eşik değerlerin kontrolü ve sektörel istisnaların tespiti gibi evrensel prensipler kullanır. SKILL.md'de yer alan yerleşik örnekler ABD eyalet seviyesindeki veri koruma yasalarına kurgulanmıştır.

Varsayılan Sistem Davranışı ve Eksiklikler

Sistemin sıfırdan çerçevelenmesi gerekmez, skill'in yapısal diff-checker mantığı başarılıdır, yalnızca baseline'ın TR mevzuatına çekilmesi yeterlidir. Varsayılan davranışta KVKK'ya ait normlar eksiktir:

• KVKK m. 9 (2024 Mevzuat Değişikliği) Uyum Senaryosu: Yeni yurtdışı aktarım rejimine uyum sağlamaya yönelik gap analysis kurgusu.
• KVKK Kurulu İlke Kararları Envanteri: Bilhassa veri ihlali prosedürleri ve çerez yönetimi konularında tesis edilen kararların (örn. 2019/63, 2018/119) sisteme baseline olarak tanıtılması.
• Kişisel Verilerin Silinmesi Yönetmeliği, VERBİS Yönetmeliği, Aydınlatma Tebliği, Veri Sorumlusuna Başvuru Tebliği varsayılan sistemde baseline olarak bulunmaz.

Önerilen CLAUDE.md Konfigürasyonu

Türkiye için temel mevzuat paketi profile aşağıdaki gibi eklenmelidir:

Regulatory baseline (TR):
  Primary:
    - KVKK 6698
    - Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
    - VERBİS Yönetmeliği
    - Aydınlatma Tebliği
    - Veri Sorumlusuna Başvuru Tebliği
  Sectoral overlays:
    - [BDDK / SPK / SGK / Sağlık / Telekom] (uygulanıyorsa)
  Standing Kurul decisions (severity floors):
    - 2019/63, Veri ihlali 72 saat bildirimi
    - 2018/119, Açık rıza için "bilgilendirilmiş" şartı
    [Mevzuat MCP üzerinden tam liste çekilmeli]

Yerel MCP Entegrasyonu

Mevzuat MCP ile entegre çalıştırıldığında, yayımlanan yeni bir Kurul kararının metni doğrudan analize çekilebilir. Bulunan kararlar [verify-pinpoint] olarak işaretlenirken, modelin bulamadığı kararları "sessizce tamamlama" yasağı katı bir biçimde uygulanır.

/privacy-legal:use-case-triage

Ne Yapıyor?

Yeni tasarlanan bir veri işleme senaryosu için ön inceleme yürüterek 4 farklı neticeden birini tescil eder: PROCEED, PIA REQUIRED, DPIA MANDATORY veya STOP. Bu skill doğrudan bir PIA raporu kaleme almaz, salt olarak "Mevcut durumda hukuken bir PIA çalışmasına ihtiyaç var mıdır?" sorusunun yanıtını verir.

Türk Hukukuna Uygulanabilirlik

🟡 KISMEN, Sınıflandırma algoritmalarının manuel olarak tanımlanması ve Mevzuat MCP entegrasyonu mecburi kılınmıştır. [Sınıf B, yarı jurisdiction-aware] 4 çıktıdan oluşan sınıflandırma mimarisi, Türkiye hukuku standartlarına gayet uygundur. Ancak, "DPIA MANDATORY" sonucunu tetikleyen varsayılan kriterler GDPR ve CCPA üzerine inşa edilmiştir. Triage işlemi 3 katmanlı bir kontrol silsilesinden oluşur ve ABD federal sektörel kuralları ile AB/Birleşik Krallık rejimleri için milimetrik mevzuat atıfları arar. Türkiye bağlamında ise KVKK m. 4 genel ilkeleri ve Kurul'un yayımladığı yüksek riskli veri işleme listesi sisteme dahili olarak eklenmemiştir.

Varsayılan Sistem Davranışı ve Eksiklikler

Skill varsayılan olarak GDPR DPIA mandatory triggers ve ABD sektörel overlay'lerini referans alır. Türkiye uyumu için aşağıdaki unsurların karar ağacında (decision tree) eksikliği manuel olarak giderilmelidir:

• KVKK m. 4 Genel İlkelerine Uygunluk Denetimi: Hukuka ve dürüstlük kurallarına uygunluk, amaçla bağlantılı/ölçülü olma.
• KVKK m. 5/2 Hukuki Sebep Denetimi: İstisnai hukuki sebepten en az birinin bulunması halinde sonucun PROCEED olarak tescili, yoksa açık rıza mekanizmasının çalıştırılması.
• KVKK m. 6 Özel Nitelikli Kişisel Veri: Özel nitelikli veri işlenmesi durumunda, sürecin PROCEED kategorisinden derhal PIA REQUIRED kategorisine yükseltilmesi.
• ETK Açık Rıza Filtresi: Ticari Elektronik İleti yönetimi bağlamında açık rıza mekanizmasının doğrudan bir filtre (STOP veya CONDITION) olarak karar ağacına eklenmesi şarttır.

Önerilen CLAUDE.md Konfigürasyonu

Sınıflandırma algoritmasını KVKK ile uyumlu hale getirmek için profil şu şekilde kurgulanmalıdır:

Triage decision tree:
  1. Özel nitelikli veri (m. 6)? -> en az PIA REQUIRED
  2. Yurtdışına aktarım (m. 9)? -> DPIA MANDATORY + transfer mekanizması seçimi
  3. Profil çıkarma / otomatik karar (m. 11/1-g)? -> DPIA MANDATORY
  4. Çocuk verisi (18 yaş altı)? -> DPIA MANDATORY
  5. KVKK m. 4 ilkelerine aykırılık (örn. amaç dışı işleme)? -> STOP
  6. Aydınlatma Metni'nde yer almayan yeni kategori? -> STOP + policy update
  7. ETK ticari elektronik ileti rızası eksikliği? -> STOP (veya CONDITION)
  8. m. 5/2'de hukuki sebep yok ve açık rıza alınamayacak? -> STOP
  9. Hiçbiri uygulanmıyor? -> PROCEED (standard safeguards)

Yerel MCP Entegrasyonu

Kişisel Verileri Koruma Kurulu'nun yüksek risk analizine dair karar arşivi doğrudan [Mevzuat MCP] sistemi üzerinden çekilebilir ve [verify-pinpoint] etiketiyle analiz sunulur. Eğer sistem Kurul kararı bulamazsa sessiz tamamlama yasağı gereği uydurma yapmaz, süreci durdurur.

Genel Sonuç ve Adaptasyon Tavsiyeleri

privacy-legal eklentisi kapsamındaki 9 adet skill, KVKK uyum süreçleri ile en yoğun örtüşen araç setini sunmaktadır. Ancak bu araçların Türk hukukuna tam uyumla çalışabilmesi için, sisteme gömülü olan GDPR ve CCPA varsayımlarının aşılması ve KVKK kurallarının manuel bir profil üzerinden tanıtılması zorunludur.

1. Katman: Manuel CLAUDE.md Profili (Zorunlu)

Sistemin Türk hukuku varsayımlarıyla çalışabilmesi için, profil dosyasına şu spesifik regülasyonların işlenmesi gereklidir: KVKK 6698 m. 4 (genel ilkeler), m. 5/2 (işleme şartları), m. 6 (özel nitelikli veriler), m. 7 (silme yükümlülüğü), m. 8 (yurtiçi aktarım), m. 9 (yurtdışı aktarım, 2024 mevzuat değişikliği: yeterlilik kararı, standart sözleşme, BCR), m. 10 (aydınlatma yükümlülüğü), m. 11 (7 adet ilgili kişi hakkı), m. 12 (veri güvenliğinde veri sorumlusu ve işleyenin müşterek ve müteselsil sorumluluğu), m. 13/2 (30 günlük başvuru yanıtlama süresi), m. 14 (Kuruma şikâyet hakkı 30/60 gün kuralı), m. 16 (VERBİS kayıt yükümlülükleri) ve m. 28 (istisnai haller). Ayrıca, Aydınlatma Tebliği, Veri Sorumlusuna Başvuru Tebliği, VERBİS Yönetmeliği, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gibi ikincil mevzuat da profile eklenmelidir. Kurul uygulamaları bağlamında KVKK Kurulu 2019/63 sayılı (72 saat veri ihlali bildirimi) ve 2018/119 sayılı (açık rıza için "bilgilendirilmiş" şartı) ilke kararları temel alınmalıdır. Uygulanabilir olduğu ölçüde, BDDK Bilgi Sistemleri Yönetmeliği, Kişisel Sağlık Verileri Hakkında Yönetmelik, ETK 6563, İYS süreçleri ve MASAK 5549 gibi sektörel regülasyonlar ile her yıl Yeniden Değerleme Oranı (YDO) ile güncellenen KVKK İdari Para Cezası eşikleri [settled] etiketiyle profilde konumlandırılmalıdır.

2. Katman: TR Legal Research Connector Entegrasyonu (Şiddetle Önerilir)

KVKK mevzuatının dinamik yapısı göz önüne alındığında, Mevzuat MCP (KVKK kanun metni, Tebliğler ve ikincil mevzuat) ile Yargı MCP (Kurul ilke kararları, Danıştay iptal kararları, AYM kararları) sistemlerinin entegrasyonu büyük önem taşır. Repository içerisinde yer alan currency-watch.md dosyasının Türkiye pratiği için yıllık bakıma tabi tutulması, KVKK m. 9 kapsamındaki geçiş kararları ve ceza eşiklerinin YDO çerçevesinde güncellenmesi zorunludur. Tüm bu entegrasyon sürecinde sistemin en güçlü güvenlik kalkanı olan [settled], [verify] ve [verify-pinpoint] etiketleme hiyerarşisine harfiyen uyulmalıdır.

3. Katman: Aktif İnsan Denetimi (Vazgeçilmez)

Türk hukuku pratiğinde şirket içi (in-house) avukat yazışmaları KVKK Kurum incelemelerinde avukat-müvekkil sırrı kapsamında değerlendirilmediğinden, eklentiden alınan tüm çıktılara manuel olarak "GİZLİ, 1136 SAYILI AVUKATLIK KANUNU M. 36 UYARINCA SIR SAKLAMA YÜKÜMLÜLÜĞÜ KAPSAMINDADIR" ibaresi eklenmelidir. Veri ihlali bildirimleri doğrultusunda hem Kuruma hem de ilgili kişiye 72 saat içinde eşzamanlı bildirim yükümlülüğü gibi süreçler hassasiyetle kontrol edilmelidir. pia-generation skill'i tarafından üretilen belgelerin resmi bir PIA raporu olmadığı, yalnızca KVKK denetiminde sunulabilecek bir taslak niteliği taşıdığı unutulmamalıdır. Son olarak, dsar-response süreçlerinde öngörülen İki Mektup Kuralı (3-5 gün içinde alındı bildirimi ve 30 gün içinde esas yanıt) hukuki bir zorunluluk olmamakla birlikte, Türkiye'deki kurumsal iyi uygulama standartlarına erişmek adına benimsenmeli ve bir uzman avukat onayı olmaksızın yanıt gönderilmemelidir.

Sonuç

privacy-legal plugin'i, altyapısal olgunluğu sayesinde Türkiye uyumluluk potansiyeli en yüksek olan araçtır. Manuel KVKK profilinin kurulması, Mevzuat MCP entegrasyonunun sağlanması ve currency-watch güncellemelerinin ihmal edilmemesi koşuluyla son derece değerli bir asistan işlevi görür, ancak yetkin bir avukat onayı ve sır saklama disiplini şarttır. Eklenti tek başına KVKK uyumunu mutlak surette garantilemese de, doğru kurgulandığı takdirde hukuk departmanlarının veri koruma operasyonlarındaki verimliliğini 4-5 kat artırma kapasitesine sahiptir.