Genel Veri Koruma Yönetmeliği, Kişisel Verileri Yapay Zekaya Karşı Korur mu?

Yapay Zeka ("YZ"), kişisel verilerin analiz edilmesi, insan davranışının tahmin edilmesi ve insana ihtiyaç olmaksızın saptamalar ya da hesaplamalar yapılması amacıyla kullanımı çerçevesinde devrim yaratmış ve verinin günümüzdeki önemini perçinlemiştir. YZ, duygulara yer vermeden karmaşık durumlarda karar verme süreçlerini otomatikleştirme yeteneğine ile donatılmış olup; insanlara nazaran çoğu zaman daha doğru ve tarafsız kararlar verme imkanına sahiptir. Diğer taraftan algoritmik kararlar yine de YZ'nin beslendiği data gerekçesi ile hata veya önyargı içerebilmekte bu nedenle de sürekli gözetim ve değerlendirme altındaki bireyler üzerinde olumsuz etkilere yol açabilmektedir. Tüm bunlara karşın, YZ'nin artan kullanımı ve ekonomiye katkısı yadsınamaz bir gerçektir. Son yıllarda, hükümetler YZ'ye yatırım yapmakta ve kullanımını teşvik etmek için politikalar oluşturmaktadır.

YZ kullanımına ilişkin endişeler, öncelikle kişisel verilerin kullanımından kaynaklanan temel hak ve özgürlüklerin potansiyel ihlallerine odaklanmıştır. Bu doğrultuda, YZ kullanımında kişisel verilerin korunması ve gizlilik konuları, veri koruma yetkilileri tarafından mercek altına alınmıştır. Özellikle ChatGPT olarak bilinen gelişmiş sohbet robotunun güncellenmiş versiyonunun piyasaya sürülmesiyle birlikte, YZ ve kişisel verilerle ilgili tartışmalar ivme kazanmıştır. Nitekim İtalya, ChatGPT'nin kullanımına tepki göstermiş ve İtalyan Veri Koruma Otoritesi'nin ("Garante") kararıyla ChatGPT'yi 13 yaşın altındaki çocuklar için engelleyen ilk ülke olmuştur. ChatGPT'den önce, Clearview AI gibi farklı YZ tabanlı yazılımlar için veri koruma otoriteleri tarafından verilen kararlara rastlamak da mümkündür. Clearview AI için Birleşik Krallık Veri Koruma Otoritesi ("ICO") bir soruşturma başlatmış ve küresel çapta yüz tanıma veritabanı oluşturmak için çevrimiçi kaynaklardan görüntü toplaması sebebiyle 7.552.800 £ idari para cezası uygulamıştır. ICO'nun yanı sıra, Garante ve Yunan Veri Koruma Otoritesi de idari para cezaları uyulamaya karar vermiş ve Clearview AI'nın AB'de biyometrik veri işlemesini yasaklamıştır. Yine aynı konuda, Fransız Veri Otoritesi tarafından alınan kararda da benzer yaptırımlara hükmedilmiştir.

Bu makale kapsamında, özellikle Türkiye ve Avrupa Birliği ("AB") çerçevesinde YZ düzenlemeleri bağlamında kişisel veri ve gizlilik konularına odaklanılmıştır.

YZ nedir? Makine Öğrenmesi ve Derin Öğrenme arasındaki farklar nelerdir?

YZ, bilgisayar sistemlerinin öğrenme, akıl yürütme ve kendi kendini düzeltme gibi insan bilişsel yeteneklerini taklit etme özelliklerini ifade etmektedir. YZ sayesinde bilgisayarlar artık konuşma tanıma, doğal dil işleme, bilgisayar görüşü, makine öğrenimi ve robotik gibi insan zekası gerektiren görevleri yerine getirebilmektedir. Sağlık hizmetlerinin iyileştirilmesinden üretim ve lojistikte verimliliğin artırılmasına ve daha kişiselleştirilmiş ve verimli hizmetler sunulmasına kadar potansiyel YZ uygulamaları mevcuttur. YZ, bilgisayarların verilerden öğrenmesini, kalıpları tanımasını ve bu verilere dayanarak tahminler veya kararlar almasını sağlayan gelişmiş algoritmalar, makine öğrenimi ve sinir ağları kullanmaktadır. Makine öğrenimi ("") ve derin öğrenme ("") YZ'nin iki temel alt alanı olarak kabul edilmekte ve her ikisi de verilere dayalı olarak tahminde bulunma ve karar alma mekanizmalarının daha doğru çalışması amacıyla algoritmaların eğitilmesini sağlamaktadır. MÖ algoritmaları açıkça programlanmadan verilerdeki örüntüleri öğrenirken, DÖ çok katmanlı derin sinir ağlarının eğitimini içeren daha karmaşık bir alt alandır. MÖ ve DÖ arasındaki temel farklar, öğrenilebilecek modellerin karmaşıklığı ve ölçeğidir. MÖ algoritmaları genellikle daha basittir ve derin öğrenme algoritmalarına göre daha az hesaplama yeteneği gerektirir; fakat karmaşık görevlerin üstesinden gelmede o kadar etkili olmayabilir.

YZ, gerçeğe yakın sonuçlar elde etmek için doğru, güncel ve eksiksiz verilere ihtiyaç duymakta ve verilerin miktarı ve kalitesi YZ'nin etkinliğinde çok önemli bir rol oynamaktadır. Bununla birlikte, çeşitli kaynaklardan verinin beslenmesi ve veri miktarındaki artış, bireyler için öngörülemeyen sonuçlara yol açabilecektir. Öte yandan, eksik veya yanlış veriler de bireyler için istenmeyen sonuçlar doğurabilecektir. Sonuç olarak, veri koruma düzenlemeleri YZ gelişiminde giderek artan bir endişe haline gelmiş; ve veri koruma düzenlemelerine uyum, hem gündemi hem de idari makamları oldukça meşgul etmeye başlamıştır.

Dünya'da YZ Düzenlemeleri

Dünya çapında hükümetler, YZ'nin risklerini ve zorluklarını ele almanın yanı sıra gelişimini ve kullanımını teşvik etmek için YZ ile ilgili mevzuat ve düzenlemeler üzerinde yoğun bir şekilde çalışmaktadır. Birçok ülkede görüldüğü üzere, YZ araştırması ve geliştirmesi için fon sağlamayı, endüstri standartlarını geliştirmeyi ve YZ'nin özellikle kamusal alanda kullanılması da dahil olmak üzere tüm alanlarda kullanımını teşvik etmeyi içeren kapsamlı YZ stratejileri geliştirilmektedir. YZ alanında düzenlemeler ve yatırımlar oluşturan ve Türkiye'nin de kendi stratejilerine yön verirken yakından takip ettiği ülkelerden bazıları aşağıdaki tabloda yer almaktadır.

1325686a.jpg

Avrupa Birliği YZ Mevzuatı

AB, son yıllarda YZ için yasal düzenlemeler ve kılavuzlar geliştirme ve çalışmalar yürütme konusunda oldukça ön planda yer almaktadır. Uzun bir süre önce taslak olarak Avrupa Komisyonu'na ("Komisyon") önerilen YZ Yasası, kişisel veri ve gizlilik konularını düzenleyen Genel Veri Koruma Tüzüğü ("GDPR") ile uyumlu olmadığı için bazı tartışmalara neden olsa da 11 Mayıs 2023 tarihinde Komisyon tarafından onaylanmıştır. AB'deki YZ kapsamında gelişmeleri gösteren zaman çizelgesi aşağıda yer almaktadır.

1325686b.jpg

YZ Yasası ile GDPR arasındaki Çelişkiler

Komisyon, Nisan 2021'de AB'de YZ'nin geliştirilmesi ve kullanımının yaygınlaştırılması kapsamında yasal çerçeve oluşturmayı amaçlayan YZ Yasası'nı önermiştir. YZ Yasası'nın ana odak noktası, YZ teknolojisinin etik ve sorumlu bir şekilde kullanılmasını sağlamaktır. Düzenleme, kullanıcının veya geliştiricinin nerede bulunduğuna bakılmaksızın, AB'de geliştirilen, konuşlandırılan veya kullanılan tüm YZ sistemleri için uygulanmaktadır. Chatbotlar ve kişisel asistanlar gibi gerçek kişilerle etkileşime giren YZ sistemlerinin yanı sıra kritik altyapıda kullanılanlar diğer YZ sistemlerini de kapsamaktadır. GDPR, YZ teknolojisinin henüz bugünkü gelişim seviyesinde olmadığı bir zamanda hazırlanmıştır. O zamanki teknolojiyle uyumlu olacak şekilde tasarlanan GDPR karşısında; giderek büyüyen ve gelişen YZ'ye ilişkin olarak hazırlanan YZ Yasası'nın uyumluluğu noktasında endişeler ortaya çıkmıştır. GDPR, YZ sistemlerini içerenler de dahil olmak üzere AB'deki her türlü veri işleme faaliyetini kapsayan kapsamlı bir veri koruma düzenlemesi olarak uygulanmaktadır. Bu doğrultuda, her iki düzenleme birbirini tamamlayıcı nitelikte olup; AB'deki YZ sistemleri için geçerli olacaktır.

Yüksek Riskli YZ Sistemleri: YZ Yasası, yüksek riskli YZ sistemlerini tanımlamakta ve sistem geliştiricilerin risk değerlendirmeleri yapmalarını, güvenlik önlemlerini uygulamalarını ve kullanıcılara açıklayıcı belgeler sağlamalarını öngörmektedir. Temel hak ve özgürlükleri tehdit eden belirli YZ kullanımları yasaklanmıştır. İşbu düzenlemeler, kişisel verileri işleyen yüksek riskli YZ sistemleri için GDPR uyumluluğunu etkilemektedir. Yüksek riskli YZ uygulamaları kullanıma sunulmadan önce şeffaflık, izlenebilirlik ve insan gözetimi için titiz bir değerlendirme yapılmasını gerektirmektedir. Bununla birlikte, GDPR kapsamında, YZ Yasası tarafından yüksek riskli YZ kullanımı ve bunların uygulanmasına ilişkin öngörülen sınırlamalar konusunda belirsizlikler bulunmaktadır. Bu sebeple, YZ Yasası tarafından getirilen düzenlemelerin GDPR çerçevesinde nasıl uygulanabileceğine ilişkin soru işaretleri oluşmuştur. Örneğin;

  • YZ Yasası madde 12 uyarınca, yüksek riskli YZ sistemlerinin olayların otomatik olarak kaydedilmesini ('loglar') sağlayacak şekilde tasarlanmasını ve geliştirilmesini düzenlemektedir; ancak bu, GDPR uyarınca bilgilendirme yükümlülüğü yerine getirilmeden kişisel verilerin muhafaza edilmesine neden olabilecektir.
  • YZ Yasası madde 61'de düzenlenen pazar sonrası izleme için getirilen uyum kuralları, GDPR'nin veri minimizasyonu ve aktarım gerekliliklerinin ihlal edilmesi ve söz konusu bu durumda da GDPR'ye uygun bir şekilde ilgili kişiden rıza alma ve silme hakkının kullanılması hususlarında endişelere yol açmaktadır.1
  • AI Yasası, özellikle gerçek zamanlı biyometrik verilerin işlenmesi ve sosyal puanlama ile ilgili olarak, GDPR'nin yaklaşımından farklı olarak, kamu ve özel kuruluşlar için farklı gereklilikler belirlemektedir. GDPR, aralarında herhangi bir ayrım yapmaksızın kişisel verileri işleyen hem kamu hem özel sektör tüm veri sorumluları için geçerlidir.2
  • Veri sorumluları, ilgili kişilerin haklarını korumak ve veri minimizasyonu gibi veri koruma ilkelerini uygulamak amacıyla teknik ve organizasyonel önlemleri almakla yükümlüdür. Bununla birlikte, AI Yasası madde 10 uyarınca, yüksek riskli AI sistemleri için yüksek kaliteli, temsili, hata içermeyen ve tam eğitim veri kümelerinin kullanılmasını zorunlu kılınmıştır. AI doğası gereği, mümkün olan en eksiksiz ve doğru veri kümeleriyle çalışarak en isabetli sonuçları üretebilecektir. Her iki maddenin aynı anda nasıl uygulanacağına dair belirsizlikler vardır. AI Yasası'nın, GDPR'nin varsayılan koruma gereksinimine uygun gizlilik arttırıcı teknikleri göz önünde bulundurması oldukça elzemdir.3

İzleme: YZ'nin sorumlu kullanımını sağlamak için, YZ Yasası, YZ sistemlerinin geliştiricilerinin ve operatörlerinin, yüksek riskli YZ davranış örneklerini tespit etmek ve önlemek için izleme mekanizmaları oluşturmasını gerektirmektedir. Bu mekanizmalar, YZ sisteminin oluşturduğu risklerle orantılı olmalı ve temel haklar ve kamu yararı üzerindeki potansiyel etkiyi dikkate almalıdır. Bununla birlikte, YZ davranışının izlenmesinin GDPR kapsamında kişisel verilerin korunması ve gizlilik üzerinde etkileri olabilecektir. YZ sistemlerinin genellikle büyük miktarda kişisel veri işlediği göz önüne alındığında, davranışlarının izlenmesi, izleme mekanizmalarının uygun şekilde tasarlanmaması ve uygulanmaması durumunda veri koruma ve gizlilik için risk oluşturabilecek ek verilerin toplanmasını ve analiz edilmesini içerebilecektir.

GDPR, verilerin izlenmesi ve işlenmesi için YZ sistemlerinin kullanımını ele alırken, yalnızca bireysel profil oluşturma biçimleri için geçerlidir ve toplumun kesimlerini toplu olarak etkileyebilecek YZ güdümlü manipülasyon için bir boşluk bırakmaktadır. GDPR, YZ Yasası'ndan farklı olarak, izleme sistemleri konusunda bireysel düzeyde ele alınmıştır. Ancak YZ Yasası ise bu boşluğu kapsamamaktadır. Söz konusu bu durum ise manipülasyona izin veren belirli tekniklere daha geniş bir yasak getirmekle sonuçlanabilecektir.

YZ Yasası'nın şeffaflık ve açıklanabilirlik gerekliliklerinin, GDPR'nin silme hakkı ve itiraz hakkı ile ilgili hükümleriyle de çeliştiği görülmektedir. YZ sistemleri, büyük miktarda kişisel veriyi işlemek üzere tasarlanabilmekte ve bu da bireysel haklara saygı gösterirken şeffaflık ve açıklanabilirliği sağlamayı zorlaştırabilmektedir.

YZ Yasası ve GDPR'nin her ikisi de AB'deki YZ sistemleri için geçerli olacak tamamlayıcı düzenlemeler olmasına rağmen, YZ Yasası'nın yüksek riskli YZ sistemleri ve şeffaflık gereklilikleri, özellikle kişisel verilerin YZ sistemleri tarafından işlendiği durumlarda GDPR uyumluluğu üzerinde etkilere sahip olacaktır. Bununla birlikte, YZ Yasasının GDPR uyumluluğu üzerindeki etkisi, düzenlemelerin belirli hükümlerine ve bunların pratikte nasıl uygulandığına bağlı olacaktır. YZ Yasası kapsamında yukarıda belirtilen düzenlemeler, GDPR tarafından ortaya konan yükümlülükler ile karşılaştırmalı olarak değerlendirilmiştir. Söz konusu bu yükümlülüklerin yerine getirilmesinde öncelikli odak noktası "veri yönetişimi ve yönetimi" olmalıdır. İlgili kişinin kişisel verilerinin diğer bireylerin verileriyle ilişkilendirilebildiği veya farklı amaçlar için işlenebildiği YZ sistemlerinde, YZ tarafından üretilen veriler, ilgili kişinin hakkında paylaşmadığı veya paylaşmak istemediği bilgileri ortaya çıkarabilir. Bu durumun özellikle MÖ veya DÖ yöntemlerini kullanan YZ sistemlerinde ortaya çıkması muhtemeldir. Sistem geliştiricisi tarafından öngörülemeyen veriler için varsayımsal bilgilendirilmenin yapılması mümkün olmadığından ve YZ sistemi tarafından üretilen veriler bir veri sorumlusu tarafından tamamen öngörülemediğinden, açık ve net veri işleme koşulları gerektiren aydınlatma yükümlülüğünün yerine getirilmesi GDPR ile uyumlu olmayabilir. Ayrıca yukarıda açıklandığı üzere YZ, mevcut verileri analiz ederek yeni sonuçlar yaratan, mantıksal neden-sonuç ilişkileri kurmaktan ziyade veriler üzerinde korelasyonlar üreten bir sistemdir. Bu nedenle, YZ tarafından üretilen sonuçlar her zaman doğru olmayabilir. Bu durum, GDPR kapsamındaki genel ilkelere uyum ve veri işleme koşulları gibi birçok yükümlülüğün ihlal edilmesine neden olabilir.

GDPR ve AI Yasası hükümleri, özellikle AI sistemlerinin kişisel verileri işlediği durumlarda, uygulamada nasıl bir yol izleneceği konusunda da tereddütler doğurmaktadır. Söz konusu bu durum, her iki düzenlemeye de uymaya çalışan işletmeler ve kuruluşlar için kafa karışıklığına ve belirsizliğe yol açabilecektir. YZ kullanımından kaynaklanan GDPR hükümlerine olası uyumsuzlukları önlemek için, uygun bir veri yönetişimi ve yönetimi modelinin benimsenmesi zorunludur. Bu çerçevede, ilgili kişilerin kişisel verilerinin başkalarına ait verilerle karıştırılmamasını ve farklı amaçlarla oluşturulan diğer veri setlerinin bu verilerle birlikte kullanılmamasını sağlamak oldukça önem arz etmektedir.

AB Veri Koruma Otoritesi tarafından kılavuzlar ve görüşler yayınlanmasına rağmen, YZ'deki güncel gelişmeler dikkate alınarak GDPR düzenlemelerinin yasal bir temelde netleştirilmesi gerekmektedir. GDPR'nin kapsamı ve YZ Yasası gibi ilgili düzenlemeler önemli ölçüde yoruma tabidir. Bu durum, kişisel verileri kullanan YZ sistemlerinin kullanımının engellenmesine veya gizliliğin ihlal edilmesine yol açabilir. Bu nedenle, YZ Yasası ile uyumluluğu sağlamak için ikincil düzenlemelerin yürürlüğe girmesi veya GDPR'de gerekli değişikliklerin yapılması beklenmektedir. Ayrıca, YZ Kanunu'nun GDPR ile uyumlu olmayan hükümlerinin gözden geçirilmesi de elzemdir

Türkiye'de YZ Mevzuatı ve Kişisel Verilerin Korunması

Türkiye, teknolojide öncü olmasına ve YZ ve benzeri sohbet robotları geliştirmesine rağmen, yalnızca YZ özelinde hazırlanmış bir mevzuata sahip değildir, ancak belirli sektörlerde YZ'yi düzenlemek için bazı adımlar atmıştır. Bu alandaki en önemli gelişmelerden biri, YZ sistemleri tarafından işlenen veriler de dahil olmak üzere Türkiye'de kişisel verilerin işlenmesini düzenleyen Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 2016 yılında kabul edilmesidir. KVKK kapsamında, Türkiye Veri Koruma Kurumu 2021 yılında Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler rehberini yayınlamıştır. Bu rehber yüksek riskli YZ kullanımlarında gizlilik etki değerlendirmelerinin yapılması, özel nitelikli kişisel veri kategorileri için ek önlemlerin alınması ve veri sorumlusu ve veri işleyenin belirlenmesi de dahil olmak üzere veri korumada YZ kullanımına yönelik bazı öneriler içermektedir. KVKK'ye ek olarak, YZ ile ilgili konuları ele alan sektöre özgü düzenlemeler de bulunmaktadır. Örneğin, Türkiye Sağlık Bakanlığı, sağlık hizmetlerinde YZ kullanımı için veri koruma, şeffaflık ve bilgilendirilmiş onam gerekliliklerini içeren kılavuzlar yayınlamıştır.

Ayrıca, Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ("Dijital Dönüşüm Ofisi"), 30474 sayılı Resmi Gazete'de yayınlanan 10 Temmuz 2018 tarihli Cumhurbaşkanlığı Kararnamesi No. 1 kapsamında kurulmuştur. Dijital Dönüşüm Ofisi, Büyük Veri ve Yapay Zeka Departmanı dahil olmak üzere çeşitli teknolojik gelişme ve projelere odaklanan birçok departmanı bünyesinde barındırmaktadır. Dijital Dönüşüm Ofisi, Büyük Veri ve Yapay Zeka Departmanı, Türkiye'de YZ ve büyük verinin uygulanmasını teşvik etmeyi, ilgili politika ve düzenlemelerin geliştirilmesini desteklemeyi amaçlamaktadır. Dijital Dönüşüm Ofisi'nin katkısıyla 20 Ağustos 2021 tarihli ve 31574 sayılı Resmi Gazete'de Cumhurbaşkanlığı Kararnamesi No. 2021/18 ile Ulusal Yapay Zeka Stratejisi 2021-2025 yayınlanmıştır. Ulusal Yapay Zeka Stratejisi 2021-2025, güçlü bir YZ ekosistemi geliştirme, insan işgücünü artırma, YZ teknolojilerinin geliştirilmesini ve benimsenmesini destekleme, YZ'nin etik ve sorumlu kullanımını sağlama, destekleyici ve düzenleyici bir yasal çerçeve oluşturma gibi önemli konuları vurgulamaktadır. Ayrıca, strateji, YZ uygulamalarındaki veri gizliliği, güvenliği ve etik değerlerin öneminin altını çizmektedir.

Türkiye Cumhuriyeti Cumhurbaşkanlığı tarafından 2019-2023 yılları için hazırlanan 11. Kalkınma Planı ("11. Kalkınma Planı") 18 Temmuz 2019 tarihinde yayınlanmıştır. Burada endüstriyel bulut platformlarında sunulabilecek YZ, gelişmiş veri analitiği, simülasyon ve optimizasyon, ürün döngüsü ve üretim yönetim sistemleri gibi uygulama ve hizmetlerin geliştirilmesini teşvik etmek için, 11. Kalkınma Planı teknoloji sağlayıcıları için bir çerçeve belirlenmiştir. Ek olarak, Ulusal Teknoloji Girişimi'nin bir parçası olarak, YZ ve büyük veri teknolojileri için geliştirme yolları belirlenmiştir. Bu yollar, YZ'nin kullanımları için gerekli altyapının kurulmasını ve nitelikli insan kaynağı geliştirilmesini amaçlamaktadır.

1325686c.jpg

Sonuç olarak,

Türk yasa koyucusunun YZ Yasası'ndan ilham alması ve bunu Türkiye'de gelecekteki YZ ile ilgili düzenlemeler için bir model olarak kullanması mümkündür. Ancak, YZ Yasası'nın GDPR gibi KVKK'yi özel olarak nasıl etkileyeceği henüz belli değildir. Türk yasa koyucusunun, YZ ile ilgili faaliyetlerin hem KVKK hem de AB'de gelecekte yürürlüğe girebilecek YZ ile ilgili düzenlemelerle uyumlu olmasını sağlamak için KVKK'de değişiklikler veya ek düzenlemeler yapması gerekebilir. 11. Kalkınma Planına göre, KVKK'nin GDPR temelinde güncellenmesinin beklendiği açıklanmaktadır. KVKK'nin çeşitli hükümlerinin GDPR'ye göre değiştirilmesi beklendiğinden, GDPR ile ilgili olarak yukarıda Avrupa Birliği YZ Mevzuatı başlığı altında belirtilen konular aynı şekilde Türkiye için de dikkate değer olacaktır.

Kaynakça:

Footnotes

1 Bogucki, A., Eğler, A., Perarnaud, C., & Renda, A. (2022). The AI Act and Emerging EU Digital Acquis, Overlaps, Gaps and Inconsistencies. Centre for European Policy Studies.sf.7.

2 Bogucki, Engler, Perarnaud, Renda (2022), sf.9.

3 Bogucki, Engler, Perarnaud, Renda (2022), sf.9.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.