Yapay Zeka Alanında Kişisel Verilerin Korunmasına İlişkin Tavsiyeler

Yapay-Zeka-Alanında-Kişisel-Verilerin-Korunmasına-İlişkin-Tavsiyeler

15 Eylül 2021 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, yapay zeka uygulamaları sırasında uygulanmak üzere bu alanda faaliyet gösteren geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılara yönelik “Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” (“Tavsiyeler”) yayımlandı. Tavsiyelere buradan ulaşabilirsiniz.

Yapay Zeka Alanında Kişisel Verilerin Korunması’nın Önemi

Yapay zeka, tümüyle yapay araçlar ile oluşturulan ve insana ait özellikler ve davranışlar göstererek herhangi bir canlı organizma kullanılmaksızın makinelerin çalışma sistemi kullanılmak suretiyle çalışan teknolojik bir özelliktir.[1] Bu özellikler en yaygın şekilde, telefonlarımızda kullandığımız çoğu uygulama (örneğin; navigasyon, yüz tanıma sistemleri, sağık hizmetleri gibi) kapsamında kullanılması ve örneğin bu uygulamalarda yapay zeka tarafından saklanan bilgiler doğrultusunda algoritmaların oluşturulması şeklinde karşımıza çıkmaktadır. Yapay zeka bahsi geçen şekilde uygulamalarda yer almak suretiyle hayatımıza basit çözümler sunmakla birlikte esasen bu uygulamalardan daha derin ve daha tahmin edilemez bir teknolojidir. Özellikle pandemi ile daha da artan online kullanım ve elektronik sistemlere dönüş ile şirketlerin çoğu kullanmış oldukları teknolojilere yapay zekaları entegre etmeye başlamıştır. Ancak bu sistemlerin güvenliğini tam olarak sağlayamayan, hatta sağladıklarında bile niteliği gereği tahmin edilemez olması sebebiyle belirli güvenlik açıkları ve veri kaybı riski ile karşılaşan çoğu şirket, insanların yaşamında basit çözümler sunan yapay zekanın, temel hak ve özgürlükler bakımından ciddi riskler taşıdığı durumlar ile karşı karşıya kalmıştır.

Bu risklerin başında ise; yapay zeka uygulamaları sırasında kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun şekilde işlenmesi ve saklanması gelmektedir. Zira, yapay zekanın beyni olarak nitelendirilen ve algoritmaları besleyen makine öğrenmesinin temel kaynağı olan büyük veri kapsamında, kişisel veri olan veya kişisel veri olma potansiyeline sahip birçok veri yer almaktadır.[2] Hal böyle olunca, yapay zeka kapsamında kişisel verilerin korunması büyük önem taşımaktadır. Bu nedenle yapay zeka teknolojisinin kullanılması halinde verilerin işlenmesi hususunda, kişisel verisi işlenen kişilerin (“ilgili kişi”) temel hak ve özgürlüklerinin ihlaline yol açmamak adına KVKK’ya ve ilgili mevzuata uyuma büyük özen gösterilmesi gerekmektedir. Kurum tarafından verilen tavsiyeleri kısaca özetlersek:

1) Genel Tavsiyeler:

  • Yapay zeka teknolojisinin uygulanması sürecinde, ilgili kişilerin temel hak ve özgürlüklerine saygı gösterilmeli, bu hakların korunması gözetilmeli; özellikle de kişisel veri işleme temelli yapay zeka (örneğin günümüzde kullanılan e-nabız veya hayat eve sığar uygulamaları bu kapsamdadır) ve veri toplama çalışmaları sırasında, Kanun’da da açıkça belirtilen hukuka uygunluk, dürüstlük, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla sınırlı, bağlantılı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme gibi hususlara dikkat edilmesi gerekir.
  • Kişisel veri işleme temelli yapay zeka çalışmalarında, kişisel verilerin işlenmesi sürecinin riskli olduğu öngörülüyorsa, “mahremiyet etki değerlendirmesi”(privacy impact assessment) uygulanarak veri işleme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmelidir. Mahremiyet etki değerlendirmesi, bireylerin mahremiyeti üzerinde etki bırakması mümkün veya olası olan süreç, teknoloji, eylem, sistem gibi uygulamaların incelenmesi, bu uygulamalar sonucu doğan sorunların tespit edilmesi ve bunların giderilmesi yahut önlenmesi şeklinde tanımlanmaktadır.[3] Bu çalışmalarda mevzuata uyum sağlanmalı ve her projeye özgü veri koruma uyum programı oluşturulmalıdır.
  • Kişisel veri işleme esaslı yapay zeka uygulamalarında sağlık verisi gibi Kanun tarafından özel nitelikli kişisel veri olarak kabul edilen verilerin işlenmesi halinde daha sıkı tedbirler alınmalı ve mevzuatta öngörülen söz konusu verilere ait kurallar dikkate alınmalıdır.
  • Yapay zeka teknolojilerinin geliştirilmesi ve uygulanmasında kişisel veri işlenmemesi halinde de aynı sonuç elde edilebiliyorsa veriler anonimleştirilmelidir.

2) Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler

Tavsiyeler’de;

– Geliştiriciler; yapay zekâ sistemlerine ait her türlü ürün için içerik ve uygulama geliştiren,

– Üreticiler; yapay zekâ sistemlerini oluşturan yazılım, donanım gibi her türlü ürünü üreten,

– Servis sağlayıcılar ise; yapay zekâ tabanlı sistemler, veri toplama sistemleri, yazılımlar ve cihazlar kullanarak ürün ve/veya hizmet sunan gerçek veya tüzel kişiler, olarak tanımlanmıştır.

  • Bu kişiler tarafından model geliştirilmesi ve tasarımında; kişisel veri mahremiyeti esas alınmalı, risk önleme ve azaltmaya ilişkin bir yaklaşım benimsenmeli, veri işlemenin her aşamasında ilgili kişiler hakkında doğması muhtemel ayrımcılık riski/diğer olumsuz etkiler önlenmeli ve kullanılan kişisel verilerin niteliği dikkate alınarak asgari veri kullanımı gerçekleştirilmelidir.
  • Yapay zeka teknolojilerinin geliştirilmesi aşamasında uygulanan işlemler hakkında ilgili kişilere itiraz hakkı tanınmalı ve ilgili kişilerin ulusal/uluslararası mevzuattan doğan hakları korunmalıdır. Bu kapsamda uygulamadan etkilenebilecek kişilerin de katılımının sağlandığı risk değerlendirmesi uygulamalarına başvurulmalıdır.
  • İlgili kişilerin, otomatik veri işlemeye maruz bırakılacakları ürün ve hizmet tasarlanmamalı, örneğin ilgili kişilerin açık rızaları alınmaksızın veya veriler işlenmeden önce aydınlatma yapılmaksızın veri işlenmemeli, kişilik haklarına daha az müdahale eden alternatifler tercih edilmelidir. Aynı zamanda ilgili kişilerin verilerinin hangi amaçla, ne şekilde ve hangi kapsamda işlendiğini gösteren, kısaca hesap verilebirliliği sağlayan algoritmalar benimsenmelidir.
  • Bu tasarımlar oluşturulurken gerektiğinde bahsedilen riskler göz önünde bulundurularak yapay zeka kullanıcısının veri işleme faaliyetini durdurma ve kullanıcılara ait verilerin silinmesi, yok edilmesi yahut anonimleştirilmesi imkanı olan bir tasarım meydana getirilmelidir. Bunun yanı sıra, KVKK’da öngörüldüğü üzere uygulamayı kullanan kişilere kişisel veri işleme nedenleri, yöntemi ve kişisel veri işlemenin olası sonuçları hakkında aydınlatma yapılmalı, onay mekanizması oluşturulmalıdır.

3) Karar Alıcılar İçin Tavsiyeler

  • Yapay zeka uygulamalarının tüm aşamalarında, “hesap verebilirlik” ilkesi gözetilerek hareket edilmelidir ve uygun önlemler alınmalıdır. Bu önlemlerle birlikte risk değerlendirme prosedürleri belirlenerek yapay zeka uygulamaları kişisel verileri işleme ilkelerine uygun şekilde oluşturulmalıdır.

 

  • İlgili kişilerin temel hak ve özgürlüklerini etkileyebilecek durumlar ortaya çıktığında yapay zeka alanında düzenleme ve/veya denetleme yapmaya yetkili denetim otoritelerine başvuru yolu benimsenmeli, söz konusu denetim otoriteleri arasında veri mahremiyeti, tüketicinin korunması, rekabetin geliştirilmesi ve ayrımcılıkla mücadele konularında işbirliği sağlamaya yönelik teşvik edici uygulamalar gerçekleştirilmelidir.

 

  • Bireyler yapay zeka uygulamaları hakkında bilgilendirilmeli ve onların bu süreçte aktif olarak rol almaları sağlanmalıdır. İlgili kişilerin bilgilendirilmesi için dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılmalıdır.

Sonuç

Gün geçtikçe yapay zekanın kullanımı oldukça yaygın hale gelmekte ve bunun bir sonucu olarak da kişisel veriler, doğrudan veya dolaylı olarak söz konusu uygulamalar kapsamında işlenmektir. Kişisel verilerin korunması, kişilerin temel hak ve özgürlüklerinin sağlanması bakımından oldukça önem arz etmektedir. Uluslararası alanda yayımlanan yapay zeka faaliyetleri sırasında kişisel verilerin korunmasına ilişkin belgelerle de uyumlu olan Tavsiyeler, hayatımızı kolaylaştıran yapay zeka uygulamaları sırasında kişisel verilerin, veri işleme ilkelerine ve KVKK’ya uygun olarak işlenmesini hedefleyerek hak ihlallerini önlemeyi amaçlamaktadır.

Son olarak, bu konu hakkındaki Avrupa’daki düzenlemeler incelendiğinde;

– “Risk temelli yaklaşımın” benimsendiği ve bu yaklaşım doğrultusunda yapay zeka faaliyetlerinin risk dereceleri ölçüt alınarak kategorize edildiği,

– Kurulması öngörülen Avrupa Yapay Zeka Kurulu tarafından yapay zeka faaliyetlerinin bu kategoriler baz alınarak ayrı şekillerde denetime tabi olacağı bilgilerine erişmekteyiz.

Bu bağlamda, Türkiye’de de bu yaklaşımın benimsenmesi ve hak ihlallerini önlemek adına bu kadar hızlı gelişen bir alanın denetlenmesi ve regüle edilmesi adına özel bir kurulun  kurulmasının ve konu özelinde mevzuat hazırlıklarının yapılmasının faydalı olacağı kanaatindeyiz.

 

[1] İpek Sucu, “Dijital Evrenin Yeni Dünyası Olarak Yapay Zeka ve Her Filmi Üzerine Bir Çalışma”, Yeni Medya Elektronik Dergi, 2020, Cilt:4, Sayı:1, s.41

[2] Gizem Gültekin Várkonyi, “Yapay Zeka Teknolojisinin Kişisel Verilerin Korunması Açısından Risk Değerlendirmesi”, Yapay Zeka ve Büyük Veri Teknolojiler Yaklaşımlar ve Uygulamalar, Şeref Sarıoğlu, Mustafa Umut Demirezen, Ankara: Nobel Akademik Yayıncılık Eğitim Danışmanlık, 2020, s.343

[3] Muhittin Tataroğlu, “Mahremiyet Sorunlarının Önlenmesinde Mahremiyet Etki Değerlendirmesi (MED)”, Yönetim ve Ekonomi Dergisi, 2012, Cilt: 20, Sayı:1, s.279