Yapay Zekâ · Veri Politikası

AI Veri Kullanım ve Sınıflandırma Rehberi

Yapay zekâ araçlarına aktarılacak verilerin Serbest / Hassas / Kritik sınıflandırması. Hukuk onaylı.

Amaç ve Kapsam

İşbu “Yapay Zeka Uygulamalarında Veri Kullanım ve Sınıflandırma Rehberi” (“Rehber”); Kosan Kozmetik Pazarlama ve Ticaret A.Ş. ile Kosan Kozmetik Sanayi ve Ticaret A.Ş. (Birlikte “Şirket” olarak anılacaktır) çalışanlarının ve dijital ürün geliştirme ekiplerinin yapay zekâ tabanlı uygulama, ajan, prototip ve otomasyon çalışmalarında kullanacakları verileri doğru şekilde değerlendirmelerine yardımcı olmak amacıyla hazırlanmıştır.

Yapay zekâ araçlarına girilen metinler, dosyalar, ekran görüntüleri, raporlar, sistem çıktıları ve diğer içerikler; kişisel veri, ticari sır, fikrî mülkiyet veya şirket açısından hassas bilgiler içerebilir. Kişisel veri niteliğindeki bilgilerin işlenmesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve yürürlükteki ilgili mevzuat hükümleri öncelikli olarak uygulanır. Bu nedenle kullanılacak her veri, geliştirme başlamadan ve yapay zeka aracına aktarılmadan / yapay zeka aracıyla paylaşılmadan önce bu rehberde yer alan Serbest, Hassas ve Kritik sınıflarından biri kapsamında değerlendirilmelidir.

Bu sınıflandırma yalnızca dosyanın veya verinin başlığına göre değil; verinin içeriği, detay seviyesi, kullanım amacı ve paylaşılacağı yapay zekâ ortamı dikkate alınarak yapılmalıdır.
Veri Sınıfları
🟢 Serbest3Serbest veriler, şirket tarafından onaylanmış yapay zekâ araçlarında ayrıca onay alınmadan kullanılabilir. Onaylı araçlar Genel Kurallar bölümünde listelenmiştir.
🟡 Hassas8Hassas veriler, yalnızca ilgili veri sahibinin veya yetkili birimin onayıyla ve Şirket tarafından yazılı olarak onaylanmış yapay zekâ ortamlarında, sadece iş amacıyla sınırlı olarak, kullanılabilir.
🔴 Kritik6Kritik veriler, yapay zekâ araçlarına yüklenmemeli, prompt içinde paylaşılmamalı ve yapay zekâ uygulamalarının hafıza, log veya eğitim verilerine aktarılmamalıdır. Bu verilerin özetlenmesi, tercümesi, sınıflandırılması, analiz edilmesi vs. herhangi bir amaçla yapay zeka araçlarına aktarılmaması önem arz etmektedir.
Kategori Sınıflandırması
17 / 17
Veri KategorisiAçıklamaSınıf
Kamuya Açık Ürün, Marka ve Kurumsal İçerikPiyasaya çıkmış ürünlerin adı, markası, kategorisi, kamuya açıklanmış ürün açıklaması ve INCI bilgisi, yayımlanmış kataloglar, ürün görselleri, VM materyalleri, kamuya açık liste fiyatları, duyurulmuş kampanyalar, şirketin kamuya açık kurumsal ve satış kanalı bilgileri. Lansman öncesi ürünler, yayımlanmamış kampanyalar ve kullanım hakkı şirkete ait olmayan içerikler bu kapsamda değildir.🟢 Serbest
Genel Referans ve Sınıflandırma VerileriÜlke, para birimi, ölçü birimi, dil, takvim, genel ürün kategorisi ve benzeri kişisel veya ticari hassasiyet taşımayan standart referans verileri. Müşteri, tedarikçi ve çalışan ana verileri; banka, adres ve iletişim bilgileri; lansman öncesi ürün kodları ve şirketin sistem mimarisini gösteren teknik kodlar bu kapsamda değildir.🟢 Serbest
Test Verileri veya Anonimleştirilmiş VerilerGerçek kişilere veya işlemlere dayanmayan test amaçlı sentetik veriler ile kişilerin tekrar belirlenmesini mümkün kılmayacak şekilde anonimleştirilmiş özet veriler. İsim veya müşteri numarasının silinmesi tek başına anonimleştirme değildir.🟢 Serbest
Satış, Kanal, Fiyatlandırma ve Ticari Performans VerileriSipariş, teslimat, POS, e-ticaret, marketplace, sell-in ve sell-out satışları; ciro, adet, mağaza, ürün, kategori, ülke ve kanal performansı; dönüşüm, ziyaretçi ve ticari KPI'lar; fiyat, iskonto, promosyon ve kampanya performans bilgileri. Kişiyle ilişkilendirilmiş satışlar, ödeme bilgileri, detaylı maliyet ve kârlılık bilgileri Kritik kapsamındadır.🟡 Hassas
Sipariş, Stok, Satınalma, Tedarik Zinciri, Lojistik ve Dış Ticaret VerileriAçık siparişler, termin ve teslimat bilgileri, stok seviyeleri, depo hareketleri, malzeme ihtiyaçları, sevkiyat, lojistik, tedarik ve satınalma süreçleri, gümrük, menşe ve dış ticaret operasyonları.Tedarikçi fiyatları, banka bilgileri, ticari sözleşmeler, rebate ve özel ticari koşullar Kritik kapsamındadır.🟡 Hassas
Üretim, Planlama, Makine, Tesis ve Operasyon VerileriÜretim planları, iş emirleri, kapasite kullanımı, OEE, duruş, verimlilik, fire ve hurda bilgileri; bakım, arıza, makine ve IoT sensör verileri; tesis, ofis ve lokasyon kullanım bilgileri; enerji, su, atık ve benzeri operasyonel sürdürülebilirlik göstergeleri.🟡 Hassas
Kalite, Laboratuvar, Regülasyon ve İzlenebilirlik VerileriKalite kontrol sonuçları, ürün ve hammadde spesifikasyonları, COA ve SDS bilgileri, mikrobiyoloji, stabilite, challenge ve uyumluluk testleri; batch ve lot izlenebilirliği; sapma, OOS, uygunsuzluk, CAPA, değişiklik kontrolü, ürün blokajı ve geri çağırma süreçlerine ilişkin operasyonel bilgiler.🟡 Hassas
Pazarlama, Lansman, Dijital Analitik ve İçerik VerileriHenüz yayımlanmamış kampanya planları, medya planları, ürün lansman takvimleri, mağaza materyalleri, artwork çalışmaları, dijital trafik ve dönüşüm analizleri, kategori ve tüketici eğilimleri ile şirket içi pazarlama içerikleri.🟡 Hassas
Tedarikçi, Distribütör, İş Ortağı ve Kurumsal Operasyon VerileriTedarikçi, distribütör ve diğer iş ortaklarıyla yürütülen süreçler, performans değerlendirmeleri, operasyonel iş akışları, organizasyon ve sorumluluk bilgileri; kişisel veri içermeyen ofis, tesis, ESG ve genel kurumsal operasyon kayıtları.🟡 Hassas
IT Uygulama, Kaynak Kod, Sistem Mimarisi ve Teknik Log VerileriUygulama kaynak kodları, scriptler, veri modelleri, API ve entegrasyon dokümanları, sistem mimarisi, teknik tasarımlar, kişisel veri veya güvenlik olayı içermeyen uygulama ve performans logları ile secret içermeyen konfigürasyon bilgileri. Kullanım öncesinde IT onayı alınmalıdır. Parola, token, API anahtarı, özel anahtar, güvenlik açığı ve saldırı bilgileri Kritik kapsamındadır.🟡 Hassas
Finansal Anonimözet finansal raporlar, bütçe sapmaları, kanal karlılık analizleri, yönetim raporları🟡 Hassas
Kişisel ve Özel Nitelikli Kişisel VerilerMüşteri, çalışan, aday, eski çalışan, tedarikçi yetkilisi, distribütör çalışanı, influencer, ziyaretçi, hissedar, yönetim kurulu veya diğer gerçek kişilere ait ad, telefon, e-posta, adres, kimlik, müşteri ve çalışan numarası, sipariş geçmişi, CRM iletişimleri, performans, maaş, izin, disiplin, konum, fotoğraf, video, ses ve CCTV kayıtları. . Özel nitelikli kişisel veriler (Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler özel nitelikli kişisel veriler olarak değerlendirilir) de bu kapsamda değerlendirilir. Paralelde aydınlatma ve açık rıza metinleri, veri işleme envanteri, veri sahibi başvuruları ve cevap taslakları, veri ihlali değerlendirmeleri, ihlal bildirimleri da bu kapsamdadır. Özel nitelikli kişisel veriler dışındakiler kıyas yoluyla genişletilebilir.🔴 Kritik
Finansal, Ödeme, Banka, Vergi ve Ticari Sır Verileribanka hesapları, IBAN, ödeme dosyaları, tedarikçi fiyat listeleri, transfer talimatları, vergi beyanları🔴 Kritik
R&D, Formül, Reçete, Ürün Güvenliği ve Fikrî Mülkiyet VerileriÜrün formülleri, reçeteler, bileşen yüzdeleri, BOM, üretim yöntemleri ve kritik proses parametreleri; prototip ve numune sonuçları; lansman öncesi ürünler; ürün bilgi dosyalarının gizli bölümleri, detaylı güvenlilik raporları ve ürün iddialarını destekleyen yayımlanmamış çalışmalar; patent, tasarım, know-how, teknik çizim ve şirkete özgü diğer fikrî mülkiyet bilgileri. Kamuya açık ve yayınlananlar hariç olmak üzere, marka, patent, tasarım, logo başvuru dosyaları, tescil, itiraz, yenileme, hükümsüzlük süreçlerine ilişkin bilgiler de bu kategoriye dahildir.🔴 Kritik
Stratejik, Hukuki, Denetim ve Üst Yönetim VerileriŞirket stratejileri, demand plan, S&OP, bütçe ve yatırım planları, büyüme ve ülke stratejileri, fiyatlandırma ve ürün portföyü kararları; yönetim kurulu ve icra kurulu dokümanları; birleşme, satın alma, şirket satışı ve değerleme çalışmaları; taslak ve imzalı sözleşmeler, karşı taraf yorumlarını içeren Sözleşmeler, sözleşmesel yükümlülükler, şerhler, sözleşme risk analizleri, iç hukuk notları, NDA'ler, hukuki görüşler, davalar, arabuluculuk, icra süreçleri, sulh ve/veya fesih görüşmelerine ilişkin belgeler, dilekçeler, delil listeleri, bilirkişi raporları, savunmalar, şikayet yönetimi ve tüketici uyuşmazlık kayıtları, resmi kurul ve yetkili merci savunmaları ve risk analizleri, ihtarlar, etik hat kayıtları, iç soruşturmalar, disiplin dosyaları, denetim bulguları ve risk raporları.🔴 Kritik
Merger & Acquisition / Birleşme ve Satın AlmaDue diligence raporları,veri odası,satınalma görüşmeleri,işlem yapılandırma çalışmaları.🔴 Kritik
Kimlik Bilgileri, Sistem Sırları ve Siber Güvenlik VerileriKullanıcı parolaları, API anahtarları, erişim tokenları, özel anahtarlar, sertifika parolaları, bağlantı bilgileri, environment secret'ları ve diğer kimlik doğrulama verileri; güvenlik açıkları, penetrasyon testi sonuçları, saldırı ve olay kayıtları, adli analizler, güvenlik kontrollerini aşmayı kolaylaştırabilecek ağ ve sistem detayları.🔴 Kritik

Yukarıdaki tabloda aksi belirtilmediği sürece, veriler örnekseme ve kıyas yoluyla genişletilebilir.

Genel Kurallar
Bir veri birden fazla sınıfa giriyorsa en yüksek sınıf geçerlidir.
İsimlerin veya müşteri numaralarının silinmesi, veriyi otomatik olarak anonim ve serbest yapmaz. Anonim veri, hiçbir şekilde belirli bir kişiyi/özneyi ifade etmiyor ise anonim kabul edilir. Aynı şekilde kuruma özel hassas verileri içeren dosyalar da, ancak ilgili verilerin gerçek değerlerine ulaşmak imkânsız hale getirildiğinde anonim hale gelmiş sayılabilir.
Ekran görüntüsü, PDF, e-posta, metin içerikleri ve dosya ekleri de aynı sınıflandırmaya tabidir.
Sınıflandırma konusunda tereddüt yaşanması halinde veri yapay zekâ ortamına aktarılmadan önce ilgili veri sahibi, süreç sahibi veya IT ekibinden görüş alınmalıdır.
Şirket tarafından onaylanmış yapay zekâ araçları Temmuz 2026 itibarıyla Claude, Lovable ve Copilot'tan oluşmaktadır.
Veri sınıflandırması yalnızca dosya yüklemeleri için değil; prompt, sohbet, ekran görüntüsü, ses kaydı, API çağrısı ve ajan talimatları için de geçerlidir.
Bu rehbere aykırı kullanımlar ilgili şirket politika ve prosedürleri çerçevesinde değerlendirilir.
Sözlük & Ek Notlar
AnonimleştirmeKişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Hassas Veri Onay MekanizmasıData Governance kapsamında her veri alanına Data Owner ve Data Steward atanır; proje tamamlandığında bu kişiler Insights üzerinden görünür olacak ve onay süreçleri buradan yürütülecektir.
Veri Sahibi (Data Owner)Bir veri alanının (domain) iş sorumluluğunu taşıyan kişi. Verinin doğruluğu, erişim yetkileri ve paylaşım kararlarından sorumludur; onay süreçlerinde nihai merci odur.
Veri Yöneticisi (Data Steward)Data Owner adına verinin günlük yönetimini yürüten kişi. Veri kalitesi, tanım ve standartların uygulanmasını takip eder; operasyonel işleri Owner ile koordine eder.
İçeriğinizi bu rehbere göre otomatik sınıflandıran AI Sınıflandırma Ajanı çok yakında hizmetinize sunulacaktır.

Kaynak: Yapay Zekâ Uygulamalarında Veri Kullanım ve Sınıflandırma Rehberi (Hukuk onaylı). Kişisel veriler için 6698 sayılı KVKK önceliklidir.