Makale
Gelişen yapay zekâ ve chatbot teknolojileri, kullanıcılarla girdikleri etkileşimler neticesinde devasa boyutta kişisel veri işlemektedir. Bu makale, sohbet robotlarının işleyişini kişisel veri kavramı çerçevesinde hukuki bir perspektifle ele alarak, veri mahremiyeti ve özel nitelikli verilerin işlenmesindeki hassasiyetleri değerlendirmektedir.
Chatbot Teknolojileri ve Kişisel Veri Kavramı: Hukuki İnceleme
Yirmi birinci yüzyılın en dönüştürücü teknolojik gelişmelerinden biri olan yapay zekâ sistemleri, hayatımızın vazgeçilmez bir parçası haline gelmiştir. Bu dönüşümün en belirgin yansımalarından biri olan chatbot uygulamaları, yani sohbet robotları, kullanıcılarla yazılı veya sesli olarak etkileşime girerek belirli görevleri yerine getiren yazılımlardır. Geleneksel kural tabanlı sistemlerden, insan benzeri diyaloglar kurabilen üretken yapay zekâ modellerine kadar evrilen bu teknolojiler, doğal dil işleme ve makine öğrenmesi gibi alt dalları kullanarak sürekli gelişmektedir. Ancak bu hızlı gelişim, kişisel verilerin korunması bağlamında ciddi hukuki tartışmaları da beraberinde getirmektedir. Chatbotlar, kullanıcılarla kurdukları derin etkileşimler sırasında isim, iletişim bilgileri, ilgi alanları ve hatta davranışsal alışkanlıklar gibi çok sayıda veriyi toplamaktadır. Bu noktada, KVKK uzmanı avukatlar ve hukuk uygulayıcıları için, sohbet robotlarının adeta veri ile beslenen doğasının, bireylerin mahremiyet haklarıyla nasıl dengeleneceği sorunu hayati bir önem taşımaktadır. Zira bu sistemlerin hukuka uygun bir şekilde entegrasyonu, kişisel veri kavramının sınırlarının doğru çizilmesine ve yasal çerçevede doğru yorumlanmasına bağlıdır.
Chatbot Türleri ve Veri İşleme Kapasiteleri
İşlevselliklerine göre incelendiğinde chatbotlar, kural tabanlı chatbotlar ve yapay zekâ destekli chatbotlar olmak üzere iki ana kategoriye ayrılmaktadır. Kural tabanlı sistemler, önceden tanımlanmış senaryolar çerçevesinde çalışırken, yapay zekâ destekli sistemler, doğal dil işleme teknolojileri sayesinde kullanıcı girdilerini derinlemesine analiz ederek anlamlı yanıtlar üretmektedir. Kullanım alanlarına bakıldığında ise e-ticaret sitelerindeki müşteri hizmetlerinden sağlık ve eğitim sektörüne kadar çok geniş bir yelpaze karşımıza çıkmaktadır. Özellikle üretken yapay zekâ sistemleri, sadece algoritmik tahmin yapmakla kalmayıp, ses, kod veya metin gibi son derece özgün içerikler oluşturabilmektedir. Sohbet sırasında kullanıcıların paylaştığı veya sistemin çıkarsama yoluyla elde ettiği tüm bilgiler, bu robotların veri tabanlarında işlenmekte ve makine öğrenmesi süreçlerine dahil edilmektedir. Bu durum, kişisel veri işleme faaliyetinin boyutunu ve hukuki risklerini devasa boyutlara taşımakta, şirketlerin büyük hukuki yaptırımlarla karşılaşma ihtimalini artırmaktadır.
Hukuki Boyutuyla Kişisel Veri Kavramı ve Kapsamı
Hukuk sistemimizde kişisel veri, kimliği belirli veya belirlenebilir gerçek bir kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu tanımın esnekliği ve genişliği, kanun koyucunun teknolojik gelişmelere ayak uydurabilme vizyonunun bir sonucudur. Bir bilginin kişisel veri sayılabilmesi için öncelikle gerçek kişiye ilişkin olması gerekmektedir; tüzel kişilerin verileri kural olarak bu kapsama girmese de, eğer ilgili veri gerçek bir kişiyi işaret ediyorsa koruma altına alınır. İkinci kritik unsur ise belirli veya belirlenebilir olma kriteridir. Ad, soyad gibi doğrudan tanımlayıcı bilgilerin yanı sıra; IP adresi, konum verileri, hobiler ve hatta çerezler aracılığıyla toplanan dijital ayak izleri, dolaylı yoldan kişiyi belirlenebilir kıldığı için kişisel veri statüsündedir. Verinin doğru veya yanlış, nesnel veya öznel olması fark etmeksizin, kişiyi tanımlayabilen her türlü veri bu kapsamda güvence altındadır.
Chatbotların Çıkarım Yoluyla Kişisel Veri Üretmesi
Yapay zekâ bağlamında hukukçuların en çok dikkat etmesi gereken hususlardan biri, çıkarım yoluyla kişisel veri elde edilmesidir. Chatbot uygulamaları, görünürde tamamen anonim veya zararsız olan verileri birleştirerek, bireyler hakkında yeni ve hassas kişisel veriler üretebilme kapasitesine sahiptir. Örneğin, bir kullanıcının chatbot ile yaptığı konuşmadaki kelime seçimleri, hobileri veya alışveriş tercihleri analiz edilerek; kişinin siyasi görüşü, dini inancı veya cinsel yönelimi gibi çok kritik bilgileri öngörülebilmektedir. Yargı kararlarında da vurgulandığı üzere, dolaylı verilerden çıkarım yapılarak elde edilen ve kişiyi belirlenebilir kılan bu tür bilgiler de net bir biçimde kişisel veri niteliğindedir. Bu durum, veri sorumlularının makul çaba ile kişiyi tespit edebileceği her senaryoda, chatbotların gerçekleştirdiği profil oluşturma ve analiz faaliyetlerinin mevzuat kapsamında çok sıkı bir denetime tabi olması gerektiğini göstermektedir.
Özel Nitelikli Kişisel Veriler ve Chatbot Etkileşimi
Kişilerin temel hak ve özgürlüklerini doğrudan etkileyebilecek, öğrenilmesi halinde ayrımcılığa veya mağduriyete yol açma potansiyeli taşıyan veriler, hukukumuzda özel nitelikli kişisel veri olarak tasnif edilmiştir. Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, sağlık, cinsel yaşam, ceza mahkumiyeti ve biyometrik veriler bu kritik sınıfa girmektedir. Sağlık chatbotları veya psikolojik destek sağlayan dijital sohbet asistanları, yapıları gereği kullanıcıların hastalık semptomları veya duygusal durumları gibi en mahrem sağlık verilerini doğrudan işlemektedir. Benzer şekilde, bir kullanıcının diyet asistanı olan chatbota alkol tüketmediğini belirtmesi, kişinin felsefi veya dini inancına dair hassas bir verinin işlenmesi anlamına gelmektedir. Bu tür veriler, doğaları gereği hukuken çok daha katı koruma rejimlerine tabidir ve chatbot geliştiricilerinin bu verileri işlerken veri güvenliği ile mahremiyet standartlarını en üst düzeyde uygulamaları mutlak bir yasal zorunluluktur.
Kişisel Veri Kriterleri ve Chatbot Uygulamalarındaki Karşılıkları
Hukuk pratiğinde bir verinin kişisel veri niteliği taşıması için temel kriterlerin karşılanması gerekir. Bir KVKK uzmanı avukat perspektifiyle bakıldığında, sohbet robotlarının işleyişindeki hukuki yansımalar belirginleşmektedir. Chatbotların veri işleme dinamiklerine yön veren kişisel veri unsurları şöyledir:
- Gerçek Kişiye İlişkin Olma: Chatbotların etkileşimde bulunduğu tüzel kişilerin değil, şirket çalışanlarının veya doğrudan son kullanıcı olan gerçek kişilerin verileri yasal güvence kapsamındadır.
- Belirlenebilir Kılma: Sohbet sırasında elde edilen e-posta adresi veya konum gibi bilgilerin, diğer veri kümeleriyle eşleştirilerek kullanıcının kimliğini açığa çıkarması durumudur.
- Her Türlü Bilgi Olma: Chatbotun kullanıcı hakkında kaydettiği öznel değerlendirmeler, doğruluğu kanıtlanmamış iddialar veya nesnel bilgiler ayırt edilmeksizin veri kabul edilmektedir.
- Özel Nitelikli Bilgi İçerme: Diyalog esnasında kullanıcının paylaştığı veya yapay zekânın doğal dil işleme yeteneği ile tespit ettiği etnik köken veya sağlık gibi hassas verilerdir.
Bu unsurlar göz önüne alındığında, şirketlerin altyapılarını kurarken, topladıkları her girdinin potansiyel bir kişisel veri olduğunu unutmamaları ve hukuki uyum süreçlerini bu doğrultuda inşa etmeleri zorunludur.