Ceza Hukuku

Herkese açık profillerinizde paylaştığınız bilgi ve görsellerin yapay zeka sistemleri tarafından haberiniz olmadan toplanması, hukuki bir incelemeye esas oluşturabilecek bir eylemdir. Bir bilginin internet ortamında bulunması, o verinin doğrudan aleni veri olduğu anlamına gelmemekte olup, verilerin açıklanma amacına aykırı şekilde yapay zeka eğitim veri setlerinde kullanılması hukuka aykırılık teşkil edebilmektedir.

Bir hizmetin yerine getirilmesi amacıyla dahi olsa, işlemin doğasıyla hiçbir ilgisi bulunmayan ve amaca ulaşmak için gerekli olmayan bilgilerin karşı tarafa iletilmesi hukuka aykırı bir eylem olarak değerlendirilir. Mevzuatımızda çok sıkı şekilde uygulanan ölçülülük ilkesi gereği, şirketler sadece hizmetin görülmesi için zorunlu olan en az miktardaki verinizi toplamak ve paylaşmakla yükümlüdürler.

Dijital ortamda tutulan veriler mevcut eşya hukuku kurallarımız çerçevesinde maddi bir varlığa sahip olmadıkları için hukuken eşya olarak nitelendirilmemekte olup, üzerlerinde doğrudan klasik anlamda mülkiyet hakkı kurulması pek mümkün görünmemektedir. Bununla birlikte, verilerin kopyalanması veya zarar görmesi durumunda Türk Ceza Kanunu kapsamında yer alan bilişim sistemlerine girme veya verileri yok etme, değiştirme suçları bağlamında hukuki incelemeye esas oluşturabilecek bir eylem söz konusu olabilir.

İlgili kuruma ilettiğiniz verilerin saklanması için kanunlarda kesin bir süre rakamı öngörülmemiş olsa bile, bilgilerinizi işleme amaçları tamamen ortadan kalktığı anda derhal silinmeleri kati bir yasal gerekliliktir. Eğitim kurumundan vazgeçmenizle birlikte verilerinizin o sistemde durmasını gerektiren meşru sebep bittiğinde, kurumun sizin ayrı bir talebinize bile gerek kalmaksızın resen bu bilgileri yok etmesi veya anonim hale getirme yükümlülüğünü yerine getirmesi beklenir.

Avukatların, yürüttükleri hukuki iş ve işlemler sona erdikten sonra dahi verilerinizi sınırsız bir süre boyunca saklama hakkı bulunmamaktadır. Avukatlık mevzuatına göre vekalet ilişkisi sona erdikten sonra evrakların saklanması için öngörülen üç yıllık yasal sürenin dolmasıyla birlikte, kişisel verilerinizin re'sen silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

Şirketlerin, iş ilişkisinin bitmesiyle birlikte işlenme amacı tamamen ortadan kalkan ve yasalarca belirlenen zorunlu saklama süreleri dolan kişisel belgeleri süresiz olarak ellerinde tutmaları hukuka aykırıdır ve bu verilerin derhal silinmesini veya anonim hale getirilmesini talep edebilirsiniz. Hukukumuzda kişisel veriler bakımından belirli ve sınırlı süre muhafaza edilme ilkesi benimsenmiş olup, kurumların gereksiz veri biriktirmesi ve bu verileri arşivlerinde sonsuza kadar saklaması yasaklanmıştır.

Herkese açık ve izin gerektirmeyen blok zinciri ağlarında, kişisel verilerinizin hukuka aykırı işlenmesi durumunda doğrudan bir muhatap, yani veri sorumlusu bulmanız geleneksel sistemlere kıyasla çok daha zorlu bir hukuki süreçtir. Çünkü bu tür merkeziyetsiz ağlarda işlemleri doğrulayan madenciler veya ağın kopyasını tutan düğümler genellikle veri işleme amaç ve araçlarını bağımsız olarak belirlemedikleri için doğrudan sorumlu tutulamayabilirler.

Yapay zeka sistemlerinin henüz bağımsız bir hukuki kişiliği bulunmadığından, kişisel verilerinizin çalınması ve sızdırılması gibi suç teşkil eden eylemlerde doğrudan yapay zekanın kendisi yerine, bu sistemi geliştiren yazılımcı veya sistemi ticari olarak işleten kişi veri sorumlusu sıfatıyla muhatap alınacaktır. Ceza hukuku prensipleri bağlamında, kendi iradesi olmayan bir bilgisayar programının suç faili olarak kabul edilmesi şu anki yasal düzenlemeler ışığında olanaklı gözükmemektedir.

Genetik veri bankaları veya laboratuvarlar gibi veri sorumlusu sıfatını taşıyan kurumlar, uhdelerinde bulundurdukları hassas verileri korumak için en üst düzeyde teknik ve idari siber güvenlik tedbirlerini almakla kanunen yükümlü tutulmuşlardır. Sistemlerine yönelik bir siber saldırı gerçekleşmiş olması, veri sorumlusunu otomatik olarak yasal sorumluluktan kurtarmayacağı gibi, bu kurumların saldırıyı önceden öngörüp engelleyici teknolojik önlemleri ve erişim kısıtlamalarını usulüne uygun alıp almadığı adli makamlarca detaylıca incelenecektir.

Verilerinizin kanuni süreler sonunda silinmemesi durumunda kimin cezai sorumluluk taşıyacağı hususu, veri sorumlusu ve veri işleyen statülerinin ceza hukuku ilkeleriyle detaylıca incelenmesiyle belirlenebilecek bir süreçtir. Şirketler genellikle verileri saklamak ve kendi adlarına işlemek üzere dışarıdan bilişim firmalarına yetki verirler ve bu firmalar veri işleyen konumunda olurlar.