Anasayfa/ Makale/ Yapay Zekâ Kapsamında Kişisel Verilerin İşlenmesi ve KVKK İlkeleri

Yapay Zekâ Kapsamında Kişisel Verilerin İşlenmesi ve KVKK İlkeleri

Yapay zekâ teknolojilerinin gelişimi, kişisel verilerin işlenmesi süreçlerinde hukuki bir boyut yaratmaktadır. Bu makalede, veri sorumlusunun yükümlülükleri ve KVKK'nın temel ilkeleri ışığında, yapay zekâ uygulamaları kullanılarak gerçekleştirilen veri işleme faaliyetlerinin hukuka ve dürüstlük kurallarına uygunluğu ele alınmaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK KİŞİSEL VERİLERİN İŞLENMESİ AÇIK RIZA ÖZEL HAYATIN GİZLİLİĞİ

Günümüzde yapay zekâ teknolojileri, bilgi akışını hızlandırarak kişisel verilerin işlenmesi süreçlerini daha önce görülmemiş bir boyuta taşımıştır. Bu teknolojiler, öğrenme ve analiz yeteneklerini geliştirebilmek için devasa veri yığınlarına, diğer bir deyişle büyük veriye ihtiyaç duymaktadır. Sisteme aktarılan bu veriler arasında, gerçek kişileri doğrudan veya dolaylı olarak belirlenebilir kılan kişisel veriler de büyük bir yer tutmaktadır. Makine öğrenmesi ve derin öğrenme gibi yapay zekâ alt dalları, manuel kodlamaya gerek kalmaksızın, veri setleri üzerinden algoritmik çıkarımlar yaparak işlemleri otomatik yollarla gerçekleştirmektedir. Ancak bu durum, özel hayatın gizliliği ve veri güvenliği açısından ciddi riskleri beraberinde getirmektedir. Zira, büyük veri yığınları analiz edilirken kişilerin davranışsal kalıpları, tercihleri ve kimlikleri tespit edilebilmektedir. Bu noktada, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) devreye girerek, yapay zekâ sistemlerinin kullanımı sırasında bireylerin mahremiyetini güvence altına alan katı sınırlar çizmektedir. Veri odaklı bu yeni dünya düzeninde, hukuki kuralların esnekliği kadar bağlayıcılığı da önem arz etmektedir.

Yapay Zekâ Sistemlerinde Veri Sorumlusu ve İşleyen

Hukuki çerçevede, kişisel verilerin işlenmesi sürecinde rol alan aktörlerin nitelendirilmesi büyük önem taşımaktadır. KVKK kapsamında veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan gerçek veya tüzel kişidir. Yapay zekâ sistemleri bizzat hukuki kişiliğe sahip olmadıklarından, doğrudan veri sorumlusu sayılamazlar. Bu sistemleri kullanarak verileri işleyen, amaç ve aracı belirleyen kurumlar veri sorumlusu sıfatını taşır. Öte yandan, veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen gerçek veya tüzel kişiler ise veri işleyen statüsündedir. Yapay zekâ, genellikle veri işleme eylemini gerçekleştiren bir teknolojik araç niteliğindedir. Dolayısıyla, bir yapay zekâ yazılımı vasıtasıyla toplanan, depolanan, değiştirilen veya analiz edilen her türlü kişisel veri üzerinden doğacak yasal yükümlülükler, sistemi yöneten gerçek veya tüzel kişilere aittir. Bu husus, kişisel verilerin korunması açısından sorumluluğun daima insanda veya yasal kurumlarda kaldığını göstermektedir.

Kişisel Verilerin İşlenmesinde Açık Rıza ve İstisnaları

Yapay zekâ teknolojilerinde verilerin hukuka uygun bir şekilde işlenebilmesinin temel dayanağı ilgili kişinin açık rızası kavramıdır. KVKK madde 5 uyarınca, kural olarak kişisel veriler açık rıza olmaksızın işlenemez. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Yapay zekâ sistemlerinin kendi iradesi olmadığından, verilerin toplanması aşamasında rıza sürecini yönetme sorumluluğu doğrudan veri sorumlusuna aittir. Veri sahibi, hangi verisinin hangi amaçla yapay zekâ tarafından kullanılacağını ve aktarılacağını açıkça bilmelidir. Özellikle çerezler (cookies) veya profil çıkarma (profiling) gibi otomatik mekanizmalar yoluyla toplanan verilerde, kişinin rızası hile veya baskı olmaksızın alınmalıdır. Ancak, KVKK kapsamında kanunlarda açıkça öngörülme, fiili imkânsızlık, bir sözleşmenin ifası, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi veya ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaat gibi hallerde açık rıza aranmaksızın veri işlenmesi mümkündür.

Yapay Zekâ Kapsamında KVKK Temel İlkeleri

KVKK madde 4'te düzenlenen genel ilkeler, yapay zekâ ile kişisel veri işleme faaliyetlerinin anayasası niteliğindedir. Kişisel veri işleme şartları bulunsa dahi, veri sorumlusunun muhakkak bu ilkelere uyması zorunludur; aksi takdirde faaliyet hukuka aykırı sayılır. Yapay zekâ sistemlerinin şeffaf olmayan "kara kutu" yapısı, bu ilkelere uyumu zaman zaman zorlaştırsa da, hukuki denetim mekanizmaları bu kuralların katı bir şekilde uygulanmasını öngörmektedir. Özellikle devasa veri yığınlarının işlendiği makine öğrenmesi uygulamalarında, verilerin toplanmasından imha edilmesine kadar geçen tüm süreçte mevzuata riayet edilmesi, bireylerin özel hayatının gizliliğinin korunması bakımından yaşamsal bir öneme sahiptir.

İşleme Faaliyetlerinde İlkelere Uyum Zorunluluğu

Yapay zekâ tabanlı teknolojilerin kullanımı sırasında Kişisel Verileri Koruma Kurulu tarafından da hassasiyetle denetlenen ve KVKK madde 4 uyarınca zorunlu olan temel ilkeler şunlardır:

  • Hukuka ve dürüstlük kurallarına uyma: Yapay zekâ sistemleri, verileri ilgili kişiyi aldatmadan ve beklentilerini ihlal etmeyecek şeffaflıkta işlemelidir.
  • Doğru ve gerektiğinde güncel olma: Algoritmaların hatalı sonuçlar üretmemesi için işlenen verilerin doğruluğu ve güncelliği düzenli olarak kontrol edilmelidir.
  • Belirli, açık ve meşru amaçlar için işlenme: Gelecekteki olası ihtiyaçlar için değil, sadece veri toplanırken açıkça belirlenmiş ve rıza alınmış yasal amaçlar doğrultusunda veri işlenmelidir.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Bir yapay zekâ sisteminin amacına ulaşabilmesi için yalnızca gerekli asgari miktarda veri işlenmeli, aşırıya kaçan veri toplama faaliyetlerinden uzak durulmalıdır.
  • Mevzuatta öngörülen veya amaç için gerekli süre kadar muhafaza edilme: Veriler, algoritmaların eğitimi veya analizi tamamlandıktan sonra saklanmamalı, derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Yapay zeka verilerimi çalarsa veya sızdırırsa kimi dava edeceğim? expand_more
Hukuki çerçevede yapay zekâ sistemlerinin bizzat bir hukuki kişiliği bulunmadığından doğrudan sorumlu tutulmaları mümkün değildir. Kişisel verilerinizin işlenme amaç ve vasıtalarını belirleyen, bu sistemleri kullanan gerçek veya tüzel kişiler "veri sorumlusu" sıfatını taşır. Dolayısıyla, verilerinizin yapay zekâ yazılımları vasıtasıyla toplanmasından, depolanmasından veya analiz edilmesinden doğacak her türlü yasal ihlalde sorumluluk, daima bu sistemi yöneten insanlarda veya kurumlarda kalmaktadır. Hak arama süreçlerinizde doğrudan bu veri sorumlularını muhatap alarak yasal yollara başvurabilirsiniz.
Şirketler bana sormadan yapay zeka ile bilgilerimi kullanabilir mi? expand_more
Kural olarak, kişisel verilerinizin yapay zekâ teknolojilerinde hukuka uygun şekilde işlenebilmesi için sizin bilgilendirilmeye dayanan ve özgür iradenizle verdiğiniz açık rızanızın alınması şarttır. Veri sorumlusu olan kurumlar, hangi verinizin hangi amaçla yapay zekâ tarafından kullanılacağını size açıkça bildirmekle yükümlüdür. Ancak kanunlarda açıkça öngörülme, bir sözleşmenin ifası, meşru menfaat veya veri sorumlusunun hukuki yükümlülüğü gibi istisnai durumlarda açık rızanız aranmaksızın da veri işlenebilir. Özellikle çerezler veya profil çıkarma gibi otomatik mekanizmalarla toplanan verilerde, rızanızın hile veya baskı olmaksızın alınmış olması yasal bir zorunluluktur.
Yapay zekaya öğretilen kişisel verilerim sonsuza kadar orada mı kalacak? expand_more
Hayır, verilerinizin bir sistemde sonsuza kadar saklanması hukuka aykırıdır. Kişisel Verileri Koruma Kanunu'nun temel ilkeleri uyarınca, kişisel veriler yalnızca mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilebilir. Yapay zekâ algoritmalarının eğitimi veya analizi tamamlandıktan sonra, söz konusu verilerin derhal silinmesi, yok edilmesi veya kimliğinizle ilişkilendirilemeyecek şekilde anonim hale getirilmesi yasal bir zorunluluktur. Bu kurala uyulmaması, özel hayatın gizliliğinin ihlali anlamına gelir ve veri sorumlusu açısından ciddi yaptırımlar doğurur.
Yapay zeka benimle ilgili her türlü bilgiyi kafasına göre toplayabilir mi? expand_more
Yapay zekâ sistemlerinin sınırsız ve keyfi şekilde veri toplaması yasal olarak kesinlikle mümkün değildir. Kanunumuz, verilerin daima belirli, açık ve meşru amaçlar için, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesini emretmektedir. Bir yapay zekâ uygulamasının amacına ulaşabilmesi için yalnızca gerekli olan en asgari düzeydeki veriniz işlenebilir. Gelecekteki olası ihtiyaçlar bahane edilerek aşırıya kaçan veri toplama faaliyetleri yürütülmesi, doğrudan hukuka ve dürüstlük kurallarına aykırılık teşkil edecektir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir