Günümüz dünyasının yetişilmesi güç regülasyonlarının ve teknolojik gelişmelerinin artış hızı; kişisel verilerin işlenmesinde, potansiyel risklerin önlenmesi ve azaltılması süreçlerinde kişilerin duyduğu kaygıyı da beraberinde getirmektedir. Yapay zeka tabanlı sistemlerin, kişisel verileri ne şekilde işlediği hususundaki kaygılar sadece kullanıcılar üzerinde değil, kamu otoriteleri ve sistem geliştiricisi/servis sağlayıcıları nezdinde de yankı uyandırmaktadır. Kişinin kişisel verileri üzerindeki tasarruf hakkının en temel insan hak ve özgürlüklerinden biri olduğu şüphesiz olmakla birlikte yapay zeka uygulamalarının araştırma ve geliştirme süreçlerinde kişisel veri işleyicisi konumundaki yapay zekanın herhangi bir hak ihlaline hiçbir şekilde mahal vermemesinin sağlanması ehemmiyet arz etmektedir. Bu doğrultuda çalışmamızda yapay zeka kanalı ile kişisel verilerin işlenmesi sürecinde ihtiyatla yaklaşılması gereken hususlara ve hangi kriterlere dayalı olarak kişisel verilerin hak ihlaline sebebiyet vermeden işlenebileceğine değineceğiz.
YAPAY ZEKANIN VERİ İŞLEME FAALİYETİ HUSUSUNDA YASAL DAYANAKLAR
Yapay zekanın veri işlemesine ilişkin olarak veri koruma ve kamu otoritelerinin duyduğu kaygıya müteakip bu kaygının en somut örneği kullanıcı güvenliğini sağlamak adına tanzim edilmiş hukuki kaynaklar olarak karşımıza çıkmaktadır. Bu hukuki kaynakları Türk Hukuku ve başta AB Hukuku olmak üzere diğer ülke hukukları şeklinde kategorize ederek incelemek mümkündür. Bununla birlikte mevzuat olarak KVKK’daki veri işleme şartlarının (AB Veri Koruma Tüzüğü) GDPR ile paralellik gösterdiği de unutulmamalıdır.
1/A (1) TÜRK HUKUKUNDA KVKK KAPSAMINDA YAPAY ZEKANIN VERİ İŞLEME FAALİYETİNE YÖNELİK İLKE VE ESASLAR
Konuyla ilişkili KVKK kapsamında yapay zekanın veri işleme faaliyetine doğrudan bir hüküm bulunmamakla birlikte KVKK’nın amaç ve kapsamı düşünüldüğünde kanunun veri işleme faaliyetinde uyulmasını zorunlu kıldığı ilkeler bu bağlamda bağlayıcı ve yol gösterici olacaktır.
A) KVKK KAPSAMINDA GENEL OLARAK KİŞİSEL VERİLERİN İŞLENMESİ:
Türk hukukunda kişisel veri işleme faaliyetinin; işlemenin gerekli olması, veri işleme amacının meşru ve ölçülü olması ve hukuki yükümlülüklere uyum gibi genel kriterleri bulunmaktadır. Bunun yanı sıra bazı özel nitelikli kişisel verilerin işlenmesi bakımından açık rızaya da ihtiyaç vardır. Veri işleme faaliyetinin hangi ilkelere dayalı olarak yapılabileceği KVKK Madde 4’te şu şekilde yer almaktadır.
“Madde 4 (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”
Bu ilke ve esasların sadece gerçek veya tüzel bir kişinin kişisel veri işlemesi bakımından değil bir yapay zeka tabanlı sistemin de kişisel veri işleme faaliyeti esnasında gerçekleşmesi gerektiği unutulmamalıdır, KVKK yapay zeka tabanlı bir sistemin kişisel veri işlemesi bakımından da bağlayıcı bir kaynaktır. Geliştirilen uygulamanın ilk olarak KVKK mevzuatına uygun olarak regüle edilmesi gerekmektedir.
B) KİŞİSEL VERİLERİN İŞLENMESİNDE UYULMASI GEREKEN USUL, ESAS VE İLKELER:
Veri işleme faaliyetinin en önemli unsuru kullanıcıyı bu aşamada kapsamlı şekilde bilgilendirmek olacaktır. Şüphesiz bu bilgilendirme daha kazuistik ancak mutlaka son derece anlaşılır şekilde özenle hazırlanan aydınlatma metinleri aracılığıyla yerine getirilmedikçe yapılmamış sayılacaktır. İyi bir aydınlatma metninin temelinde dürüstlük, hesap verebilirlik, şeffaflık bulunmaktadır. Bu ilkelere uygun hareket edilerek hazırlanmamış bir aydınlatma metni, bilgilendirmenin ifa edildiği anlamına gelmemektedir. Bu konuyla ilişkili olarak günümüzde hemen herkesin kullandığı ve en erişilebilir nitelikteki yapay zekâ uygulamalarından biri olan ChatGPT hakkında İtalya’nın veri koruma komitesi olan GARANTE’nin vermiş olduğu karar son derece dikkat çekicidir. Kararda,
“Verileri toplanan kullanıcılara ve diğer veri sahiplerine ChatGPT’nin kullanıcı kişisel verilerinin işlenmesine ilişkin olarak yeterince açık ve şeffaf bir bilgilendirmenin yapılmaması,”[1]
bakımından ChatGPT uygulaması abonelik sözleşmesinin hak ihlaline sebebiyet verdiğine hükmedilmiştir. Bu denli popüler ve erişilebilir bir yapay zekâ uygulamasının aydınlatma metninin dahi gerekli kriterlere sahip olmadığı yönünde karar verilirken servis sağlayıcıları ve uygulama geliştiricilerinin en sağlıklı aydınlatma metninin ne şekilde hazırlanması gerektiği hususunda soru işaretleri oluşmaktadır. Bu durumda iyi bir aydınlatma metninin hesap verilebilirlik ve her veri işleme adımına ilişkin şeffaflık sağlaması kriterlerinin gerçekleştirilmesinin temelde yeterli olduğu görünmekle birlikte konuyla alakalı hukuki destek alınarak tüm mevzuatın taranması hususiyet arz etmektedir. Aydınlatma ilkesinin bir uzantısı olarak görülebilecek bir başlık olarak uygulama dili ele alınabilir. Uygulamanın mutlaka sunulduğu hedef pazar veya pazarlarda konuşulan ana dilde hazırlanmış versiyonları ile geliştirilmesi gerekir. Aydınlatma yükümlülüğü veya gizlilik metinlerinin sadece çeviri imkânı ile kullanıcıya servis edilmesi yeterli gelmeyecektir, zira bu çevirilerde zaman zaman yanlışlıklar olabileceği gibi teknik niteliği haiz bu metinlerin doğru anlaşılamama ihtimali gündeme gelebilecektir. Bunun sonucu olarak aydınlatma ilkesinin açıklık prensibi yerine getirilmemiş sayılacağından aydınlatma yükümlülüğü ihlali gerçekleşmiş sayılacaktır.
İşlenen kişisel verilerin doğru ve güncel olması ilkesi kişisel veri işlenirken uyulması gereken bir diğer önemli ilkedir. Nitekim kararda da toplanan kişisel verilerin gerçek kişisel veriler ile örtüşüp örtüşmediği noktasında bunu sağlayıcı yeterli sistemin bulunmaması nedeniyle veri işleme faaliyetinde uyulması gereken kişisel verilerin doğru ve güncel olması ilkesinin ihlal edildiği saptanmıştır. Kararın bu kısmı yapay zekâ uygulamalarının kişiler hakkında yanlış bilgi üreterek bunu yayma riskine karşılık yeterli önlem alınması gerektiğine vurgu yapmaktadır. Kişilerin sisteme girdikleri bilgilerinin doğru olup olmadığının teknik sistemler aracılığıyla kontrol edilmesi önem arz etmektedir. Bunun özelinde örneğin bir yapay zeka uygulamasını kullanmak için bir yaş sınırı tahsis edildiğinde kişinin gerçekten sınır yaşta olup olmadığını gerekirse kimlik doğrulama sistemleri kullanmak suretiyle kesin şekilde tespit edebilmek gerekir. Kişinin sadece kendisinin o yaşta olduğunu beyan etmesi şüphesiz yeterli olmamalıdır, aksi halde yaş sınırının altında kalan kişinin verilerinin işlenmesi ile hak ihlali gerçekleşme riski söz konusu olacaktır. Kişinin verilerinin doğru şekilde işlenmemesi halinde kişi aleyhine üretilen sahte yahut kişinin aleyhine bir veri üretilmesi halinde bu verilere ilişkin olarak kişinin etkili bir başvuru imkânı ile buna itiraz etme hakkı olmalıdır. Avrupa Birliği ülkelerinde geçtiğimiz yıl yürürlüğe giren “AI ACT” kapsamında[2] kişinin üretilen bilgiye etkili bir şekilde itiraz etme hakkı tanınmıştır. Yasa kapsamında veri sahiplerine, yapay zekâ sistemlerinin kendileri hakkında verdiği kararlara ve ürettiği bilgilere itiraz etme hakkı tanınmasının yanı sıra verilerinin başka platform veya yapay zekâ uygulamaları nezdinde de işlenip işlenmediği hususunda bilgi sahibi olma imkânı tanınmıştır. Bu hak, hukuki yollara başvurma hakkıyla mündemiç olmasıyla işlevsel hale getirilmiştir. Türk Hukuku’nda AI ACT’da olduğu gibi doğrudan yapay zekanın ürettiği bilgi ve yapay zekanın verdiği kararlara itiraz hakkı şeklinde doğrudan konuyla ilgili bir hak bulunmasa da KVKK bağlamında kişinin veri sorumlusuna başvurarak işlenen veri hakkında bilgi alma ve işlenen verilere itiraz etme imkânı olduğu hüküm altına alınmıştır. Kanunun 11. Maddesinde;
“MADDE 11– (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.”
denilmek suretiyle kişinin kendisi hakkında oluşturulan bir bilgi veya sorguya itiraz etme imkânı olduğu hüküm altına alınmıştır. Bu nedenle yapay zeka uygulaması geliştirilirken bu etkili itiraz ve hukuki süreçlere başvuru imkanının sağlanması bakımından Türk Hukuku açısından da bağlayıcı bir kaynağın olduğunu ifade etmek gerekir.
C) İTALYA VERİ KORUMA KOMİTESİ’NİN KARARINI SONUÇ OLARAK DEĞERLENDİRİLMESİ:
GARANTE’nin kararı ChatCPT uygulamasındaki veri işleme faaliyeti bakımından bazı revizyonları da beraberinde getirmiştir. Karar ile birlikte uygulama kullanıcılara işlenen verileri üzerindeki kontrol hakkını genişletici seçenekler sunulmaya başlanmıştır. Bu bağlamda uygulamada artık verilerin ChatGPT’nin bilgi havuzuna dahil olup olmayacağı hususu başta olmak üzere verileri üzerinde kullanıcılara mutlak tasarruf imkânı sağlanmaktadır. Her ne kadar bu karar bir içtihat olarak mutlak bağlayıcılık içermese de gerek Türk Hukuku gerek AB Hukuku bağlamında yapay zeka tabanlı bir sistemin kişisel veri işlemesi durumunda gerçekleşebilecek muhtemel bir hak ihlali halinde yargının yapabileceği potansiyel değerlendirmeler noktasında yol gösterici görünmektedir.
1/A (2) AVRUPA KONSEYİNE TARAF ÜLKELER BAKIMINDAN MEVZUAT VE REHBER İLKELER
A) Avrupa Konsey’ine Üye Olmanın Getirdiği Yükümlülüklere İlişkin Usul, Esas ve İlkeler:
Türkiye Avrupa Konseyine taraf ülkelerden biri olmakla birlikte Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne taraftır. Bu sözleşmenin bir gereği olarak KVKK’nın ihdası ile mevzuatımız sözleşme ile uyumlu hale getirilmiştir. Günümüz teknolojik gelişmelerinin getirdiği konjonktür gereği zaman zaman sözleşmenin yorumu ve uygulaması bakımından yol gösterici birtakım rehber ilke ve esaslar yayınlanmaktadır. Bu ilke ve esasların KVKK ile birlikte ele alınmasıyla kişisel verilerin işlenmesinde temel ilkelerden biri olan mevzuata uygunluk ve uyum ilkesi tam manasıyla gerçekleşmiş olacaktır.
Rehber ilkelerde bağlamdan arındırılmış verilerin yayılmasının yüksek risk içerebileceği ve kişisel verilerin bu şekilde yayılmasının birey ve toplum üzerinde yaratabileceği olumsuz etkilere dikkat çekilmektedir. İşlemenin potansiyel risklerinden kaçınmaya ve bunları azaltmaya odaklanan bir yaklaşım kişisel verilerin yapay zeka tabanlı sistemlerce işlenmesi alanındaki inovasyonun zorunlu bir unsurudur.
Yapay zeka geliştiricileri, üreticileri ve hizmet sağlayıcıları veri ihlaline ilişkin yüksek riski minimize etmek amacıyla çeşitli alanlardan uzmanlardan oluşan bağımsız komitelere danışma, insan haklarına dayalı, etik ve sosyal odaklı yapay zeka uygulamalarının tasarlanmasına ve potansiyel önyargıların tespit edilmesine katkıda bulunabilecek bağımsız akademik kurumlarla işbirliği yapma gibi yöntemlere başvurmalıdır. Yapay zekaya uygun alternatifler sunarak kullanıcıların yapay zeka kullanımı konusunda seçim özgürlüğü tanıyıcı alternatif uygulamaların sunulduğu bir aydınlatma ve abonelik sözleşmesi veri koruma hukuku bağlamında son derece yeterli olacak, bu seçim özgürlüğünü sağlayıcı alternatiflerin bulunması ve şeffaflık kriterinin sağlanabilmesi bakımından bahsi geçen kurum ve kuruluşların önemli bir işlevi olacaktır.
Rehber ilkelerde şeffaflık kriteri üzerinde özellikle durulmuştur. Veri sahipleri, bir yapay zeka uygulamasıyla etkileşimde bulunmaları durumunda bilgilendirilmeli ve bu konuda hak sahibi olmalıdır. Uygulanan yapay zekâ veri işleme operasyonlarının altında yatan gerekçe hakkında veri sahiplerinin bilgilendirilmesi önemlidir. Bu şekilde işlenen verilerin doğruluğuna ilişkin itiraz hakkının sağlanması şeffaflık kriterinin gereklerinden biridir.
1/B AB HUKUKUNDA YAPAY ZEKANIN VERİ İŞLEME FAALİYETİNE YÖNELİK İLKE VE ESASLAR
AB Hukukunda yapay zekanın veri işlemesine yönelik olarak geçtiğimiz yıl haziran ayında yürürlüğe giren AI ACT’in yanı sıra kişisel verilerin korunması hukuku bağlamında detaylı nitelikte ve değerde olan GPDR (AB Hukuku Kişisel Verileri Koruma Tüzüğü) alanda dikkat çeken hukuki kaynaklardır. Hukukumuzun bu mevzuatla büyük paralellik gösterdiği görülmekle birlikte gelecek yıllarda bu mevzuata tam bir uyum gerçekleştirilecek regülasyonlar beklenmektedir.
1/B (1) GPDR KAPSAMINDA YAPAY ZEKANIN VERİ İŞLEMESİ
A) GPDR KAPSAMINDA VERİ İŞLEME FAALİYETİNİN ESASLARI:
Uygulama alanı sadece AB ülkeleri içerisinde gerçekleşen veri işleme faaliyetiyle kalmayan bun yanı sıra yurtdışında yaşayan AB vatandaşlarının [3]verilerinin işlenmesi ve AEA bölgelerinin dışına veri aktarılması hususlarında da yürürlüğü bulunan Avrupa Genel Kişisel Veri Koruma Tüzüğünün yapay zeka uygulamaları ile kesişen yönleri hayli fazla olmakla birlikte Tüzük büyük çoğunlukla Türk mevzuatı ile uyum içerisindedir. GPDR’nin en önemsediği ve dikkat çektiği husus yapay zekanın veri işlemesinde azami veri minimizasyonun gerçekleşmesidir. GDPR, herhangi bir özel amaç için yalnızca asgari gerekli verilerin kullanılması gerektiğini şart koşar. Yapay zeka uygulamaları gereksiz verilerin toplanmasını veya işlenmesini önlemelidir. Ayrıca, bir amaç için toplanan veriler ek onay olmadan yeniden kullanılmamalıdır. Yapay zeka tabanlı uygulamalar ile veri işleme faaliyetinin gerçekleştirilmesinde net, kesin ve şeffaf veri yönetimi standartları uygulamalıdır. B uygulamanın bir sonucu olarak uygulamaların verilerin yapay zeka tabanında nasıl işlendiği, kullanıldığı, analiz edildiğini, saklandığını, anonimleştirildiğini, yahut hangi yöntemlerle silineceğini ayrıntılı olarak açıklaması gerektiği sonucuna varılmalıdır.
B) GPDR KAPSAMINDA VERİ İŞLENME FAALİYETİNDE UYULMASI GEREKEN İLKELER:
Verilerin korunması ve hesap verilebilirlik kriterlerinin gerçekleştirilmesi bakımından GDPR, kişisel verilerin korunmasını garanti altına alacak şekilde işlenmesini bekler. Yapay zeka sistemleri, veri ihlallerini ve yetkisiz erişimi önlemek için güvenlik uygulamalarını veri işleme faaliyetine entegre etmelidir. Unutulma hakkı kişisel verilerin işlendiği her durumda akla gelmesi gereken önemli bir insan hakkıdır. Tüzük; bireylerin kişisel verilerinin silinmesini talep edebileceği, talep üzerine verilerin tamamen silinebilmesini sağlayacak mekanizmaları içeren bir yapay zeka uygulamasını veri işleme faaliyetinin vazgeçilmez unsuru olarak tanımlamaktadır.
C) RİSK YÖNETİMİ DEĞERLENDİRMESİ KRİTERLERİ:
GDPR’ın 35. Maddesi, veri koruma etki değerlendirmesi unsuruna (DPIA) yer vermiştir.[4] DPIA, veri işlemenin işleme ile arasındaki kar zarar çatışmasında veri işlemenin risk içerdiği hallerde, kişisel verilerin işlenmesi üzerine değerlendirme yapılmasını düzenlemektedir. En temel anlamıyla veri işleme bakımından AB Hukukunda yer alan bir standart olarak karşımıza çıkmaktadır. Burada temel amaç, kişisel veri işleme faaliyetlerinde riski asgariye indirgemektir. Bu unsur ve yöntem KVKK’da yer almamakla birlikte yorum yoluyla da olsa bu şekilde bir sistemin KVKK bağlamında da mevcut olduğu değerlendirmesi yapılabilir. Bu değerlendirmenin her bir veri işleme bakımından yapılması uygulama geliştirici, servis ve hizmet sağlayıcıların sorumluluğunu yerine getirmiş sayılmaları konusunda bir karine teşkil edebilir. En nihayetinde Türk mevzuatı bakımından da veri işleme noktasında verilerin korunması ve işlenmesi sürecindeki hassasiyetin gerçekleşmesinde bu sistem bir kriter olarak değerlendirilebilir. Ancak yine de bu standartın yasal zemine oturtulması daha yerinde olacaktır.
1/B (2) AVRUPA BİRLİĞİ YAPAY ZEKA YASASI KAPSAMINDA YAPAY ZEKANIN VERİ İŞLEMESİ
Geçtiğimiz yıl Haziran ayında Avrupa Parlementosu’nun büyük çoğunluğunun oyu ile kabul edilen yapay zeka yasası bu alanda özel olarak yapılmış ilk yasa olma özelliğini taşımakla birlikte alanın yeni yasalarına da açık ara öncülük edeceği tahmin edilmektedir.
A) YASANIN ÖNCELİKLİ AMACI:
Yasanın en çarpıcı özelliği ilk etapta yapay zeka sistemlerini kişi hak ve hürriyetlerine yapılacak müdahalelerin oranına göre kabul edilemez risk, yüksek risk, düşük risk, minimal risk taşıyan yapay zeka sistemleri olarak sınıflandırmış olmasıdır. Yönetmelik olası bir kişisel veri ihlalinin gerçekleşmesinin yanı sıra, kişi hak ve hürriyetlerini ihlal edici her türlü uygulamayı mutlak olarak yasaklamakla birlikte yapay zekâ sistemi oluşturulurken mutlaka bir risk yönetimi sistemi oluşturmayı servis sağlayıcı ve uygulama geliştiriciler bakımından şart koşmuştur. Yüksek risk taşıyan yapay zekâ uygulamaları bakımından daha katı yükümlülükler öngören yasanın teme hedefi kişilerin verilerinin şeffaf ve hesap verilebilir olmasını sağlamak olmakla birlikte bunu gerçekleştirmek için her türlü teknik ve idari tedbiri almanın yanı sıra radikal bir değişiklik olarak inovasyonlar geliştirerek hedefe ulaşmayı ayrıca bir yükümlülük olarak yasada yer almıştır.
B) YASAKLANAN UYGULAMALAR:
Yasada kullanıcılara yapay zekâ kullanımı esnasında edindikleri veri işlemeye ilişkin şikâyette bulunma ve anlamlı açıklamalar alma hakkı tanınmıştır. Aynı zamanda yasada yakın zamanda Çin’de uygulamaya konulmaya planlan ve hatta bazı pilot bölgelerde yer yer uygulamaya konulmuş olan sosyal davranışa [5][6]veya kişisel özelliklere dayalı olarak sosyal puanlama yapıcı yapay zeka uygulamalarının insan haklarını istismar ettiği gerekçesiyle yasaklanmıştır. Hassas verileri işleyen biyometrik kategorizasyon sistemleri (örneğin siyasi, dini, felsefi inançlar, cinsel yönelim, ırk) ile internete yüklenmiş yüz tanıma veri tabanları kullanımı yasaklanan diğer uygulamalardır. İşyerinde ve eğitim kurumlarında duygu tanımaya aracı yapay zeka sistemlerinin kullanılması, insan davranışlarını manipüle ederek özgür iradelerini engelleyen yapay zeka sistemlerinin kullanılması yasaklanmıştır. Görüldüğü üzere yapay zekanın kişisel veri işlemesi ve insan haklarının karşı karşıya kaldığı özellikle çatışmanın daha da arttığı özel nitelikli kişisel veriler söz konusu olduğunda yasa yapay zeka tarafından veri işleme faaliyetinin engellenmesi marjını tercih etmiştir.
C) AVRUPA BİRLİĞİ DIŞI ÜLKELER BAKIMINDAN DA UYGULAMA ALANI BULABİLİRLİK:
Yasa GPDR’de olduğu gibi Avrupa Birliği dışında da uygulama alanı bulma ihtimali taşımaktadır. Buna göre birlik ülkelerinde geliştirilmese veya birlik ülkeleri sınırları içerisinde kullanıma sunulmamış olsa da nerede geliştirilmiş ya da piyasaya sürülmüş olursa olsun ilgili yapay zeka doğrudan veya dolaylı olarak bir AB vatandaşının veya AB’de mukim bir kişinin verilerini işliyor ise yasadaki yükümlülüklere uyum şarttır. Aksi halde yasanın öngördüğü yüksek bedelli idari yaptırımlar ile karşılaşılma ihtimali olacaktır.
- YAPAY ZEKA GELİŞTİRİCİ VE SERVİS SAĞLAYICILARINA KİŞİSEL VERİLERİN İŞLENMESİ KONUSUDA TAVSİYELER
A) MEVZUATA UYUM, İNAVASYON VE İŞ BİRLİĞİ:
Görüldüğü üzere sadece yapay zekanın kişisel veri işlemesi değil, genel olarak kişisel verilerin işlenmesi hukuku bakımından günden güne artan bilinç ile daha kazuistik ve bilinçli metinler ortaya çıkmaktadır. [7]Bu yasal metinlere uymamanın kamu otoriteleri nezdinde de ciddi yaptırımları olup ilk etapta dikkat edilmesi gereken husus geliştirilen uygulamanın çalışmamızda bahsettiğimiz mevzuata uyumlu şekilde veri işlemenin sağlanmasının gerçekleştirilmesidir. Kişisel verilerin işlenmesinde; risk değerlendirme sistemlerine entegre edilmiş bir model oluşturularak risklerin azaltılması üzerine odaklanan, insan haklarını, etik değerleri de merkeze alan bir veri işleme faaliyeti gerçekleştirilmesi gerekir. Denetim otoriteleri, veri koruma otoriteleri ve bağımsız akademik kurum ve kuruluşlar arasında ve veri mahremiyeti, ayrımcılık içerebilecek uygulama konularında iş birliği teşvik edilmelidir. Karar alma süreçlerinde bireyin özgür iradesinin merkeze alınması gerekir. Bireyin yapay zekanın sunduğu tavsiyelere, vardığı yargılara karşı şikâyet ve itiraz hakkı olmalı, yapay zekanın bireylere anlamlı cevaplar verme zorunluluğu olacak uygulamalar geliştirilmelidir. Yapay zeka tabanlı sistemlerin kişisel veri işlemesi söz konusu olduğunda daha üst düzey siber güvenlik ve teknik önlemler alınmalı, idari yaptırımlar daha sıkı uygulanmalıdır.
Yapay zeka teknolojilerinin geliştirilmesi ve uygulanmasında aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, verilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilmelidir[8]. Yapay zeka sistemleri veri işleme faaliyetinde kullanılıyorsa kullanıcı verileri meşru amaçlar için kullanılmalı, hangi amaç için hangi verinin alındığı açık ve belirli olmalıdır. Verilerin güvenliği sağlanmalıdır. Zira veri güvenliğini sağlamak ilerleyen günlerde piyasadaki rekabetin en önemli unsuru olacak ve kullanıcılarına güven sağlamayan geliştirici ve servis sağlayıcılar bu unsuru gerçekleştirememiş olacağından rekabete yenik düşecektir. Yapay zeka sistemine kişisel veri işletmeden önce ayrımcılık ve olası bir veri ihlali riski halindeki aksiyonları konularını belirlemek için kapsamlı bir risk analizi yapılmalıdır.
3) SONUÇ VE DEĞERLENDİRME:
Yapay zeka şimdilerde dahi günlük hayatımızın bir parçası haline gelmişken gelişen teknoloji ile birlikte gelecek yıllarda gündemin vazgeçilmez bir tartışma konusu olacağı tereddütsüzdür. Yapay zekanın kullanıcılarına şeffaf ve hesap verebilir gizlilik ve abonelik sözleşmesi sunmasının önemi kadar, insan haklarına değer veren, sosyal ve demokratik ilkelerini ver işleme faaliyetinin merkezi haline getirilmesi de önemlidir. Kullanıcıların bu konuda günden güne bilinçlenmesinin yanı sıra veri koruma ve kamu otoritelerinin attığı adımların veri güvenliğine sağladığı katkı şüphesizdir. Daha güvenle kişisel verilerin işlendiği sistemler ihdas edilmesi dileklerimizle.
KAYNAKÇA
– 6698 Kişisel Verilerin Korunması Kanunu
-108 sayılı Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması Sözleşmesi
-Avrupa Birliği Yapay Zeka Yasası (AI ACT)
–KVKK. GOV.TR -Yapay-Zeka-Alaninda-Kisisel-Verilerin-Korunmasina-Dair-Tavsiyeler
-Avrupa Birliği Yapay Zeka Yasası kapsamında Avrupa Birliği Parlementosu tarafından yayımlanan inceleme metni https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai
– https://legal.com.tr/blog/yapay-zeka/avrupa-birligi-yapay-zeka-yasasi-hakkinda-bilinmesi-gerekenler
[1]GARANTE PRIVACY https://www.garanteprivacy.it/web/garante-privacy-en
[2] EU AI Act: First Regulation on Artificial Intelligence (Website of European Parlement)
[3] Bkz. General Data Protection Regulation (https://gdpr-info.eu/)
[4] European Data Protection Supervisor (Website of European Parlement)
[5] Bkz. Deep Fakes and Surveillance Technology: Comparing the EU AI Act and Chinese AI Regulation
[7] Bkz. Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu (KVKK.gov.tr)
[8] Bkz. Yapay Zekâ Alanında Kişisel Verilerin Korunmasına İlişkin Tavsiyeler (KVKK.gov.tr)
