Yapay zekâ sistemleri, son yıllarda hızla gelişen ve günlük hayatımızda daha fazla yer bulan bir teknoloji alanıdır. Yapay zekâ sistemlerinin hızla gelişmesiyle birlikte kişisel verilerin korunması, giderek daha fazla önem kazanmaktadır.
Yapay zekanın geliştirilmesinde bireylerin kişisel verilerinin de kullanılıyor olması, bu sistemler aracılığı ile bireyler hakkında fikir sahibi olunabilmesi ve bireylerin bu kişisel veriler üzerindeki hakları kapsamında; yapay zekâ alanında faaliyet gösteren geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar için bireylerin kişisel verilerini işlerken uygun hukuki sebebin tayini ve sistemlerin temel veri koruma ilkelerine uygun olarak tasarlanması önem taşımaktadır. Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuat düzenlemeleri ile Kişisel Verileri Koruma Kurulu ("Kurul") rehber ve yayınları kişisel verilerin korunmasına dair çeşitli düzenlemeler sunarken, küresel düzeyde de Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") gibi kapsamlı düzenlemeler bulunmaktadır.
1. Yapay Zekâ ve Kişisel Verilerin İşlenmesi
Makine öğrenmesi, derin öğrenme ve üretken yapay zekanın oluşmasında kullanılan veriler kişisel veri olduğunda yapay zekâ ve kişisel verilerin korunması hukukunun kesişimi söz konusu olmakta bu verilerin işlenmesi bakımından kişisel verilerin korunması hukuku temel ilkeleri bakımından hukuki değerlendirme yapmak gerekmektedir.
a. Kişisel Veri
Konunun daha detaylı anlaşılabilmesi açısından kişisel veri kavramı ile kastın ne olduğunun anlaşılması faydalı olacaktır. KVKK bakımından kişisel veriler tanımına bakıldığında KVKK m. 3'te "kimliği belirli ve belirlenebilir nitelikte gerçek kişiye ilişkin her türlü bilgi" kişisel veri olarak tanımlandığı görülecektir. GDPR m. 4'te ise kişisel verinin kimliği belirlenmiş veya belirlenebilir bir gerçek kişiye ("veri öznesi") ilişkin her türlü bilgi olduğu ifade edilmiş ayrıca kimliği belirlenebilir gerçek kişi ile ifade edilmek istendiği de açıklanmıştır. Buna göre, kimliği belirlenebilir bir gerçek kişi, özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı gibi bir tanımlayıcıya ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak belirlenmiş bir kişidir. GDPR'da kimliği belirlenebilir olmak ile anlaşılması gerekenin ne olduğu açık bir şekilde yer almaktadır. Kişisel Verileri Koruma Kurumu ("Kurum") da kimliği belirlenebilir olmak ile anlaşılması gerekenin ne olduğuna ilişkin GDPR ile paralel değerlendirme yapmaktadır.
Kurum'un son güncel Kamuoyu Duyuruları'ndan birinde1 kişisel verinin, sadece bireyin adı, soyadı gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgileri de kapsadığı, bir kişinin belirlenebilir olmasının, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ettiği, yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsadığı dolayısıyla kişisel verinin, ilgili kişinin doğrudan kimliğini gösterebileceği gibi o kişinin kimliğini doğrudan göstermemekle birlikte herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsamakta olduğu; kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerin kişisel veri olarak kabul edilmesi gerektiği ifade edilmiştir.
b. Yapay Zekâ
Yapay Zeka kavramının tanımı henüz üzerinde uzlaşma sağlanamamış pek çok uzmanın üzerinde çalıştığı bir konudur. Pek çok farklı tanım ve yaklaşım olsa da OECD'nin (Ekonomik Kalkınma ve İş birliği Örgütü), Yapay Zeka'ya yönelik güncel tanımı2 aşağıdaki gibidir.
"Bir yapay zekâ sistemi, aldığı girdi verilerinden açık veya örtük hedefler doğrultusunda tahminler, içerik, öneriler veya kararlar gibi çıktılar üreterek fiziksel veya sanal ortamları etkileyebilen makine tabanlı bir sistemdir. Farklı yapay zeka sistemleri, dağıtıldıktan sonra otonomi ve uyarlanabilirlik seviyeleri bakımından farklılık gösterir."
Avrupa Konseyi Yapay Zekâ, İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Çerçeve Sözleşmesi'de3 tanımı OECD'nin güncel tanımına paralel olarak düzenlenmiştir. Bu tanım, yapay zekâ sistemlerinin insan tarafından belirlenen hedeflere ulaşabilmek için verileri nasıl işlediğini ve uyum sağlama yeteneklerini vurgulamaktadır. Yapay Zekâ sistemleri, makine öğrenmesi, derin öğrenme, büyük dil modelleri ve üretken yapay zekâ gibi tekniklerle donatılmış, otonom ve uyumlu sistemlerdir. Otonomi, bir yapay zekâ sisteminin insan müdahalesi olmadan çalışabilme kapasitesini ifade ederken, uyum ise yapay zeka sistemlerinin dağıtıldıktan sonra kendilerini nasıl adapte edebileceğini tanımlar. Örneğin, bir öneri sistemi, kullanıcıların tercihlerine göre zaman içinde daha doğru önerilerde bulunacak şekilde kendini uyarlayabilir. Bu adaptasyon, yapay zekâ sistemlerinin performansını sürekli olarak geliştirme potansiyelini ortaya koyar.
c. Kişisel Verilerin İşlenmesi
Kişisel verilerin işlenmesi KVKK m.3/1-e'de kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem" olarak tanımlanmıştır. Bu tanım kapsamında örneğin bir e-ticaret platformu, bireylerin satın alma geçmişine dayalı olarak yeni ürün önerilerinde bulunmak için makine öğrenmesi algoritmaları kullandığında otomatik yol4 ile kişisel veri işleme gerçekleştirecektir.
2. Yapay Zekâ Sistemlerinin Tasarımı: Temel İlkeler
KVKK m.4'te kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelere yer verilmiştir. Bu ilkeler hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleridir.
Bu ilkelere uymak kişisel veri işleyebilmenin ilk eşiğidir. Bir diğer anlatımı ile bu ilkelere uyum sağlanmadığında bireylerin onayı alınmış olsa dahi kişisel veri işleme gerçekleştirilemeyecektir.
Hukuka ve dürüstlük kurallarına uygun olma
Hukuka uygun olma ilkesi hem Türk hukukuna hem de evrensel hukuk kurallarına uygun olmayı kapsayan geniş bir ilkedir. Dürüstlük kuralına uygun olma ilkesi ise veri sorumlusunun veri işlemedeki hedeflerine ulaşmaya çalışırken ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmesi gerekliliğidir. Kurum, Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler yayımında ("Tavsiye Kararı")5 bu ilkenin görünümü olarak veri toplama da dâhil olmak üzere veri işlemenin her aşamasında temel hak ve özgürlükler gözetilerek, ilgili kişiler üzerinde meydana gelebilecek ayrımcılık riski veya diğer olumsuz etkiler ve önyargıların önlenmesi gerektiğini ifade etmiştir. Hukuka uygun olma ilkesine bir örnek olarak; rekabet hukuku kapsamında hâkim durumun kötüye kullanılması görünümlerinden birisi olan platformlar arası kişisel veri birleştirme amacıyla kişisel veri işlenmesi, işlenen kişisel verilerin hukuka uygun olmayarak işlendiği anlamına gelecektir.6
Doğru ve Gerektiğinde Güncel Olma
Doğru ve gerektiğinde güncel olma ilkesi ilgili kişinin temel hak ve özgürlükleri ile yakından ilişkili bir ilkedir. Kurum'un Tavsiye Kararı'nda geliştirilen modelin doğruluğunun sürekli izlenmesi vurgulanmıştır.
Belirli, Açık ve Meşru Amaçlar için İşlenme
Bu ilke, veri sorumlusunun veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır.7 Fransız Veri Koruma Otoritesi ("CNIL") işleme amacının tespiti bakımından makine öğrenmesini kullanan bir yapay zekâ sisteminin hem öğrenme hem üretim aşamasında amaçların ayrı ayrı belirlenmesi gerektiğini vurgulamıştır.8
Veri Minimizasyonu (İşleme Amacıyla Bağlantılı, Sınırlı ve Ölçülü Olma)
Bu ilke işlenmesi gerektiğinden daha fazla kişisel veri işlenmemesi ile ilgili bir ilkedir. Kurum'un Tavsiye Kararı'nda yapay zekâ teknolojilerinin geliştirilmesi ve uygulanmasında aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, verilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilmesi gerektiği ifade edilmiştir.
Uygun Sürenin Tespiti
Bu ilke işlenen kişisel verilerin mevzuatsal dayanağı var ise mevzuatta yer alan dayanak süre kadar, yok ise veri sorumlusu tarafından belirlenecek amaçla bağlantılı makul süre kadar işlenmesini ifade etmektedir.
3. Yapay Zekâ Teknolojilerinin Geliştirilmesinde Kullanılan Kişisel Verilerin İşlenmesine İlişkin Hukuki Sebep Değerlendirmesi
Yapay zekâ sistemlerinin hem öğrenme hem üretim aşamasında kişisel verilerin işlenebilmesi için yukarıda yer verilen ilkeler ile KVKK m.5/1 ve KVKK m.6'da yer verilen işleme sebeplerinden uygun olan işleme sebebinin tespiti de önem arz etmektedir. Bu maddelerde yer alan işleme sebeplerinden birisi var olmasına rağmen bireylerden açık rıza alınması9 ya da hizmetin açık rıza şartına bağlanması10 yolu tercih edilirse bu da hukuka uygun bir işleme olmadığı anlamına gelecektir.
Örnek olarak İtalya Veri Koruma Otoritesi ("Garante") OpenAI'ın ChatGbt aracılığı ile işlemiş olduğu veriler bakımında vermiş olduğu kararında, OpenAI'ın veri işleme hukuki sebebinin açıkça belirtilmesi gerektiğini, sözleşmenin kurulması ve ifası hukuki sebebinin yeterli olmadığını dayanılması gereken hukuki sebebin ilgili kişilerinin onayının alınması olduğunu ve bir takım diğer hukuka uygun olmayan uygulamalarını belirtmiştir. Bu eksiklerin giderilmesi için süre vermiş, eksiklikler giderilene kadar uygulamanın İtalya'da kullanımına sınırlama getirmiştir.11
Meşru menfaat hukuki sebebine dayanılması ile ilgili olarak, ICO, yapay zekanın geliştirilmesinde meşru menfaat hukuki sebebine dayanmak isteyen bir veri sorumlusu hakkında belirli değerlendirmeler yapmıştır. Yapay zekâ modelinin geliştirilmesi için farklı değişkenler deneme konusunda en geniş hareket alanını meşru menfaat sağlayabilir; ancak meşru menfaat değerlendirmesinin bir parçası olarak, veri sorumlusunun kullanmayı planladığı değişkenlerin ve modellerin amaca ulaşmak için makul bir yaklaşım olduğunu göstermesi gerekmektedir. Veri sorumlusu, tüm amaçlarını net bir şekilde tanımlayarak ve topladığı her veri türünün kullanımını gerekçelendirerek bu gerekliliği en iyi şekilde karşılayabilir—böylece meşru menfaat değerlendirmesinde gereklilik ve dengeleme unsurlarını gözden geçirebilir. Amaçlar netleştikçe, meşru menfaat değerlendirmesi de yeniden gözden geçirilmelidir. Örneğin, bazı verilerin tahmin yapmak için faydalı olabileceği ihtimali, tek başına bu verilerin modelin inşası için işlenmesinin gerekli olduğunu kanıtlamak için yeterli değildir.12
Yapay zekâ sistemlerinin geliştirilmesinde en çok kullanılan kişisel veriler ulaşılabilir olmasından kaynaklı olarak alenileştirilmiş kişisel verilerdir. Alenileştirme hukuki sebebine dayanılarak kişisel verilerin işlenebilmesi için bireyin kişisel verilerinin herkesin erişimine açık olması yeterli olmamaktadır. Alenileştirilen kişisel verinin işlenebilmesi için bireyin alenileştirme amacının da tespit edilmesi gerekmektedir. Eğer bireyin alenileştirme amacı ile kişisel veri işleme amacı birbiri ile uyumlu değilse bu kişisel veri işlenemeyecektir.13 Yapay zekâ sistemlerinin geliştirilmesinde alenileştirilmiş veri kullanılmasına ilişkin önemli bir karar CNIL tarafından verilmiştir. CNIL, Clearview AI'nin yüz tanıma sistemini kişilerin izni olmadan internetten topladığı fotoğraflarla geliştirdiği için hukuka aykırı bulmuştur. Bu sistemin, kişilerin makul beklentilerinin dışında veri topladığı açıkça ifade edilmiştir.14
4. Veri Sorumlusu – Veri İşleyen – Ortak Veri Sorumluluğunun Tespiti
Kişisel veri işleme esaslı yapay zekâ çalışmalarının farklı paydaşlarının veri sorumlusu veya veri işleyen olma statüleri projenin başında belirlenmeli, ortak veri sorumluluğu mevcut ise bunun tespiti yapılmalıdır. Alınacak sorumlulukların tespiti ve aydınlatma yükümlülüğünü kimin yerine getireceğinin belirlenebilmesi açısından önemlidir.
5. Sosyal Puanlama ve Toplu Gözetim Amacıyla Yapay Zeka Sistemlerinin Kullanılması
Sosyal puanlama ve toplu gözetim, bireylerin sürekli izlenmesi ve bu izleme verilerinin onların sosyal veya ekonomik statüsünü etkileyen bir sistem içinde puanlanması anlamına gelir. Bu tür sistemler, bireylerin davranışlarının, alışkanlıklarının ve ilişkilerinin düzenli olarak takip edilip kaydedilmesiyle işler ve sonuç olarak kişilerin iş bulma, eğitim alma veya toplumsal hizmetlerden yararlanma gibi konularda yaşamlarını etkileyebilir. Bu uygulamalar UNESCO'nun Tavsiye Kararı'nda yasaklanmıştır.15 Tavsiye Karar'da bireylerin münhasıran kendi görüşleri dikkate alınmaksızın otomatik işlemeye dayalı olarak kendilerini etkileyecek bir karara maruz kalmamalarını sağlayacak ürün ve hizmetlerin yapay zekâ sistem geliştiricileri tarafından tasarlanması gerektiği ifade edilmiştir.
6. Yapay Zekâ Sistemlerinin Geliştirilmesinde Risk Temelli ve Hak Temelli Yaklaşım
Hak temelli yaklaşım, bireylerin temel haklarına odaklanırken, veri koruma haklarını, örneğin onay verme, erişim ve silme haklarını içerir ve bireylere yönelik zararları önlemeye yönelik düzenlemeler sunar. Buna karşın, risk temelli yaklaşım16, veri korumayı bir risk düzenleme disiplini olarak ele alır ve zararların önlenmesi için organizasyonel ve teknolojik önlemler almayı vurgular. Yapay zeka bağlamında her iki yaklaşım da anlamlıdır ancak risk temelli yaklaşım özellikle önemlidir. ABD'deki bazı kamu sektörü uygulamalarında olduğu gibi, Yapay Zekânın olumsuz etkilerini önlemek amacıyla düzenli denetimler, kullanıcıların verilere erişimi ve sistemlerin test edilmesi gibi tedbirler önerilmektedir. GDPR, gizlilik tasarımı ve varsayılan olarak gizlilik ilkeleri ile AI'nin kötüye kullanımını engellemeyi amaçlayan çeşitli önlemler sunmaktadır. Ayrıca, veri denetleyicilerinin büyüklüğüne ve kaynaklarına göre farklılaştırılmış risk önleme tedbirlerinin uygulanması gerektiği, bu tedbirlerin denetleyicilerin mali ve teknik kapasiteleriyle uyumlu olarak belirlenmesi gerektiği tartışılmaktadır.17
7. Bireylerin Hakları
KVKK m.11 g bendinde işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı düzenlenmiştir. Yapay zeka sistemleri aracılığı ile veri işleme durumunda birey aynı zamanda kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir.
8. Sonuç
Kişisel verilerin korunması, dünyada gizlilik kapsamında uyum yasalarıyla temellendirilmiş ve şekillenmiştir. Yapay zekâ ve gizlilik yasaları gelişmeye devam ederken yapay zekâ geliştiriciler, üreticiler ve servis sağlayıcıların süreçleri bakımından sürdürülebilir kalkınma, dürüstlük kuralı ve mahremiyet de dahil olmak üzere insan hakları ve demokratik değerler; şeffaflık, açıklanabilirlik ve hesap verilebilirlik ilkelerine uygun bir yaklaşım sergilemeleri gerekmektedir. Bu sistemleri inşa eden veri sorumlularının risk yaklaşımlarında ve kişisel veri işleme süreçlerinde uygun hukuki sebepleri tespit etmeleri önemli bir nokta olarak karşımıza çıkmaktadır.
Footnotes
2. OECD, EXPLANATORY MEMORANDUM ON THE UPDATED OECD DEFINITION OF AN AI SYSTEM, (05 Mar 2024) https://www.oecd-ilibrary.org/science-and-technology/explanatory-memorandum-on-the-updated-oecd-definition-of-an-ai-system_623da898-en
3. https://rm.coe.int/1680afae3c
4. Otomatik olarak veri işleme, bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir. Kişisel Verileri Koruma Kurumu, 6698 SAYILI KANUNDA YER ALAN TERİMLER https://www.kvkk.gov.tr/Icerik/4186/6698-Sayili-Kanunda-Yer-Alan-Terimler
5. Kişisel Verileri Koruma Kurumu, YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER https://www.kvkk.gov.tr/Icerik/7048/Yapay-Zeka-Alaninda-Kisisel-Verilerin-Korunmasina-Dair-Tavsiyeler
6. https://www.rekabet.gov.tr/tr/Guncel/meta-ya-gunluk-4-7-milyon-tl-idari-para-cezasi--762e5db1f4e4ee1193c80050568585c9
7. Kişisel Verileri Koruma Kurumu, KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER, https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler
8. Commission Nationale de l'Informatique et des Libertés, AI: ensuring GDPR compliance https://www.cnil.fr/en/ai-ensuring-gdpr-compliance
9. https://www.kvkk.gov.tr/Icerik/7151/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanunu-Hakkinda-Dogru-Bilinen-Yanlislar-2
10. Kişisel Verileri Koruma Kurumu, Hizmetin Açık Rıza Şartına Bağlanması https://www.kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina-Baglanmasi
11. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9874751 (12 Nisan 2023)
12. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection/how-do-we-ensure-lawfulness-in-ai/
13. Kişisel Verileri Koruma Kurumu "Alenileştirme" Hakkında Kamuoyu Duyurusu (16 Aralık 2020) https://www.kvkk.gov.tr/Icerik/6843/-ALENILESTIRME-HAKKINDA-KAMUOYU-DUYURUSU
14. Commission Nationale de l'Informatique et des Libertés, "Facial recognition: 20 million euros penalty against CLEARVIEW AI", 20 Ekim 2022, bkz. https://www.cnil.fr/en/facial-recognition-20-million-euros-penaltyagainst-clearview-ai
15. Unesco, Recommendation on the Ethics of Artificial Intelligence, https://www.unesco.org/en/articles/recommendation-ethics-artificial-intelligence (26 Eylül 2024)
16. https://www.euaiact.com/key-issue/3
17. European Data Protection Board, The impact of the General Data Protection Regulation (GDPR) on artificial intelligence https://www.europarl.europa.eu/RegData/etudes/STUD/2020/641530/EPRS_STU(2020)641530_EN.pdf
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
