Otomasyon·
13 Mart 2026
E-posta pazarlamasında yapay zeka araçları giderek yaygınlaşırken, işletmelerin aklındaki en büyük soru şu: Kullandığım yapay zeka aracı müşterilerimin e-postalarını gerçekten okuyor mu? Bu soru hem teknik hem hukuki boyutlarıyla ciddi sonuçlar doğurmaktadır.
E-posta iletişimi, RFC 5321 standardına göre SMTP (Simple Mail Transfer Protocol) üzerinden iletilir. Gönderici ile alıcı sunucusu arasındaki bu aktarım sürecinde, e-posta içeriği teorik olarak sunucu katmanında erişilebilir durumdadır. Yapay zeka tabanlı e-posta araçları ise iki farklı yolla bu içeriğe ulaşabilir: ya doğrudan posta kutusuna API erişimi (OAuth2 ile Google veya Microsoft hesaplarına bağlanma) ya da SMTP/IMAP entegrasyonu yoluyla.
RFC 3501'de tanımlanan IMAP protokolü, e-postaların sunucuda kalmasına ve istemci uygulamalar tarafından senkronize edilmesine olanak tanır. Bu protokol üzerinden çalışan yapay zeka araçları, gelen kutusu içeriğini okuyabilir, sınıflandırabilir, hatta yanıt önerisinde bulunabilir. Ancak teknik erişim ile fiili veri işleme arasındaki fark, gizlilik açısından belirleyicidir.
Bir yapay zeka aracının e-posta içeriğini işleyip işlemediğini anlamanın en güvenilir yolu, aracın gizlilik politikasını ve Veri İşleme Sözleşmesini (Data Processing Agreement – DPA) incelemektir. Avrupa Birliği'nin 2016/679 sayılı Genel Veri Koruma Tüzüğü (GDPR), kişisel veri işleyen her hizmet sağlayıcının veri işleme faaliyetlerini açıkça belgelemesini zorunlu kılmaktadır. Türkiye'de ise 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 10. maddesi, veri sorumlusunun aydınlatma yükümlülüğünü düzenler; bu yükümlülük kapsamında hangi yapay zeka araçlarının kullanıldığı ve bu araçların hangi verilere eriştiği müşterilere bildirilmek zorundadır.
Peki pratikte ne oluyor? Büyük platformların yaklaşımı birbirinden önemli ölçüde ayrışmaktadır. Google'ın Workspace yönetici yardım merkezi, Gmail içeriğinin Gemini modeli eğitiminde kullanılmadığını açıkça belirtmekte; ancak bağlı üçüncü taraf uygulamalara verilen OAuth izinlerinin bu güvence kapsamı dışında olduğunu vurgulamaktadır. Microsoft'un Copilot for Microsoft 365 hizmet koşulları da benzer şekilde müşteri verilerinin model eğitimine dahil edilmediğini ifade etmektedir. Ne var ki bu güvenceler, üçüncü taraf yapay zeka eklentileri için geçerli değildir.
| Araç Türü | E-posta İçeriğine Erişim | Model Eğitiminde Kullanım Riski | KVKK/GDPR Uyum Kolaylığı |
|---|---|---|---|
| Kurumsal e-posta sağlayıcısına entegre YZ (Google Gemini, MS Copilot) | Evet | Düşük (politika güvencesi mevcut) | Yüksek |
| Üçüncü taraf YZ e-posta asistanları (OAuth ile bağlanan) | Evet | Orta–Yüksek (politikaya göre değişir) | Orta |
| E-posta pazarlama platformlarındaki YZ içerik oluşturucular | Hayır (yalnızca oluşturulan içeriğe erişir) | Düşük | Yüksek |
| Şirket içi (on-premise) YZ çözümleri | Evet (ancak dış sunucuya veri gitmez) | Yok | Çok Yüksek |
| Tarayıcı eklentisi tabanlı YZ araçlar | Evet (ekrana yansıyan içerik dahil) | Yüksek | Düşük |
Türkiye'de faaliyet gösteren işletmeler için 6698 sayılı KVKK'nın 12. maddesi, veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almak zorunda olduğunu hükme bağlar. Yapay zeka araçlarının müşteri e-postalarına erişmesi durumunda bu işlem, KVKK kapsamında "kişisel veri işleme" sayılır ve açık rıza ya da meşru menfaat gibi hukuki dayanaklardan birine ihtiyaç duyulur.
Kişisel Verileri Koruma Kurumu'nun bulut hizmetleri kılavuzu, yurt dışına aktarılan verilerin Kurul kararına uygun güvencelerle korunmasını şart koşar. Dolayısıyla sunucuları yurt dışında konumlanan bir yapay zeka servisine e-posta içeriği gönderen işletmeler, bu aktarım için ayrıca hukuki dayanak oluşturmak durumundadır.
AB tarafında ise GDPR'ın 28. maddesi kapsamında veri işleyen konumundaki yapay zeka sağlayıcısıyla yazılı bir DPA imzalanması zorunludur. Bu sözleşme; işlenen veri kategorilerini, işleme amacını, saklama sürelerini ve alt işleyicilerin listesini içermelidir.
Çoğu işletme, TLS (Transport Layer Security) şifrelemesinin e-postalarını yapay zeka araçlarından koruduğunu varsayar. Bu yanılgı tehlikelidir. TLS, iletim sırasındaki (transit) şifrelemeyi sağlar; yani e-posta sunucular arasında aktarılırken üçüncü tarafların içeriği okumasını engeller. Ancak e-posta sunucuya ulaştıktan sonra şifre çözülür ve posta kutusu uygulamalarına açık metin olarak sunulur. Bu noktada OAuth izni verilen yapay zeka araçları, içeriğe serbestçe erişebilir.
Gerçek anlamda uçtan uca şifreleme ise yalnızca S/MIME veya PGP protokolleriyle sağlanır. Apple'ın resmi iOS Mail belgeleri, S/MIME kullanımını kurumsal ortamlarda önerilen bir güvenlik katmanı olarak tanımlamaktadır. S/MIME şifreli e-postalar, özel anahtara sahip olmayan hiçbir tarafça — yapay zeka dahil — okunamaz. Ancak bu protokolün kurulumu teknik beceri gerektirir ve her iki tarafın da sertifika kullanmasını şart koşar.
E-posta pazarlama araçlarındaki yapay zeka özellikleri, genellikle gelen kutusu içeriğine değil; gönderilecek içeriğin oluşturulmasına, konu satırı optimizasyonuna ve gönderim zamanı tahminlerine odaklanır. Bu ayrım kritiktir: içerik oluşturma aşamasında kullanılan yapay zeka, müşteri verilerini işlemez; yalnızca kampanya metni üretir.
Bununla birlikte, açılma oranları ve tıklama verileri üzerine çalışan yapay zeka modelleri, dolaylı olarak kişisel davranış verisi işler. Amerika Birleşik Devletleri'nde CAN-SPAM Act ve Avrupa'nın ePrivacy Direktifi, bu tür davranışsal verilerin işlenebilmesi için açık pazarlama onayını şart koşar. Türkiye'deki 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK) da ticari elektronik ileti gönderimi için önceden onay alınmasını zorunlu tutar.
İşletmelerin en çok ihmal ettiği alan, OAuth izinlerinin düzenli denetlenmemesidir. Bir çalışan, üç yıl önce bağladığı bir yapay zeka aracının hâlâ kurumsal posta kutusuna erişmeye devam ettiğinin farkında olmayabilir. Google Workspace yönetici paneli ve Microsoft Entra ID (eski adıyla Azure AD) bu izinlerin merkezi olarak yönetilmesine imkân tanır. Güvenlik uzmanları, bağlı üçüncü taraf uygulama izinlerinin en az üç ayda bir gözden geçirilmesini önermektedir. Artık kullanılmayan araçların erişim izni derhal iptal edilmelidir.
Bu denetimin ihmal edilmesi yalnızca gizlilik değil, siber güvenlik açısından da ciddi risk oluşturur. Eski bir OAuth bağlantısı, hesap güvenliği ihlal edildiğinde saldırganların posta kutusuna erişmesi için ek bir kapı olabilir.
Her araç farklı çalışır. OAuth bağlantısı kurduğunuz araçlar teknik olarak posta kutunuza erişebilir; ancak bu erişimin ne amaçla kullanıldığı aracın politikasına bağlıdır. Erişim iznini verdiğiniz anda, aracın gizlilik politikası ve DPA belgesi geçerli hale gelir. Bağladığınız her uygulamanın politikasını dikkatle incelemeniz gerekir.
Hayır. TLS yalnızca iletim sırasındaki şifrelemeyi sağlar; e-posta sunucuya ulaştıktan sonra şifre çözülür. Posta kutusuna OAuth erişimi olan araçlar, içeriği açık metin olarak okuyabilir. Gerçek koruma için S/MIME veya PGP uçtan uca şifreleme protokolleri kullanılmalıdır.
Evet. 6698 sayılı KVKK'nın 10. maddesi kapsamındaki aydınlatma yükümlülüğü, kişisel verilerin hangi araçlarla ve hangi amaçlarla işlendiğinin açıklanmasını gerektirir. Müşteri e-postası içeren yapay zeka işlemleri bu kapsama girer ve aydınlatma metninde belirtilmelidir.
Genel olarak hayır. Connect365 gibi e-posta pazarlama platformlarındaki yapay zeka özellikleri, gönderilecek içerik üretimi ve kampanya optimizasyonuna odaklanır; gelen kutusu içeriğini okumaz. Ancak açılma ve tıklama davranış verilerini işleyebilirler; bu da KVKK kapsamında kişisel veri işleme sayılır.
GDPR kapsamında Avrupa müşterilerine hizmet veren işletmeler için bu zorunludur. Türkiye'de KVKK çerçevesinde veri işleyen konumundaki sağlayıcılarla yazılı sözleşme imzalanması iyi uygulama olarak kabul edilmektedir. Sözleşme olmadan denetim riskiyle karşı karşıya kalabilirsiniz.
Şirket içi (on-premise) dağıtılan yapay zeka çözümleri, verinin dış sunucuya çıkmaması nedeniyle en yüksek gizlilik güvencesini sunar. Kurumsal sağlayıcılarla entegre araçlar (Google Gemini Workspace, Microsoft Copilot 365) ise açık politika güvenceleri ve DPA sözleşmeleriyle orta düzeyde güvenilirlik sağlar. Tarayıcı eklentileri en riskli kategoriyi oluşturur.
Google hesabı için myaccount.google.com/permissions adresinden; Microsoft hesabı için ise Microsoft Entra yönetici merkezinden bağlı uygulamaları görebilir ve izin iptal edebilirsiniz. Bu kontrollerin en az üç ayda bir yapılması önerilir.
Büyük sağlayıcıların çoğu, kurumsal planlarda bu özelliği devre dışı bırakmaya olanak tanır. Google Workspace'in yönetici konsolunda ve Microsoft 365 yönetici ayarlarında bu tercih ayrı ayrı yönetilebilir. Üçüncü taraf araçlarda ise politikayı okumak ve gerekirse sağlayıcıya yazılı olarak başvurmak gerekir.
İşletme e-postaları çoğunlukla müşteri bilgileri, ticari sırlar, fiyat teklifleri ve kişisel iletişim içerir. Bu veriler yapay zeka modellerinin eğitiminde kullanılırsa rakiplerin sorgulamalarına dolaylı yanıt verebilir ya da veri ihlali durumunda ciddi hukuki yaptırımlar doğurabilir. KVKK kapsamındaki ihlallerde 1 milyon TL'ye varan idari para cezaları uygulanabilmektedir.
Evet. Verilerin Türkiye sınırları içinde kalması, yurt dışı aktarım yükümlülüklerini ortadan kaldırır. KVKK'nın yurt dışı veri aktarımını düzenleyen 9. maddesi kapsamındaki risk azalır. Ayrıca yerel mevzuata uyum sorumluluğunu paylaşan bir sağlayıcıyla çalışmak, denetim süreçlerini kolaylaştırır.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.