Anasayfa/ Makale/ Yapay Zekâ Sistemlerinde Kişisel Veri İşleme İlkeleri

Yapay Zekâ Sistemlerinde Kişisel Veri İşleme İlkeleri

Yapay zekâ teknolojilerindeki gelişim, kişisel verilerin işlenmesinde yeni hukuki sınamalar yaratmaktadır. Bu makalede, yapay zekânın KVKK m. 4 kapsamındaki temel ilkelere uyumluluğu hukuki bir perspektifle incelenmekte ve muhtemel veri ihlali risklerine karşı uygulanabilecek yasal çözüm yolları özenle değerlendirilmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ

Günümüzde yapay zekâ uygulamalarının başarılı sonuçlar vermesi, büyük hacimli verilerin, diğer bir deyişle büyük verinin sürekli ve sistemli olarak işlenmesine bağlıdır. İşlenen bu devasa verilerin kimliği belirli veya belirlenebilir gerçek kişiler ile ilişkili olması durumunda ise, veri işleme süreçleri doğrudan kişisel verilerin korunması mevzuatının kapsamına girmektedir. Hukuk sistemimizde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, verilerin otomatik ya da otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması ve analizi gibi her türlü eylem kişisel verilerin işlenmesi olarak kabul edilmektedir. Yapay zekâ algoritmalarının kendilerine özgü karmaşık yapısı ve doymak bilmeyen veri ihtiyacı, KVKK kapsamında öngörülen temel ilkelere uyumu zorlaştıran en önemli faktörlerdendir. Uzman bir hukuki yaklaşımla değerlendirildiğinde, yapay zekâ eğitim setlerine aktarılan bilgilerin işlenmesi esnasında veri öznelerinin temel hak ve özgürlüklerinin zedelenmemesi büyük önem taşımaktadır. Bu süreçte, veri işleme faaliyetlerinin kanuni sınırlara uygun yürütülmesi, hukuki risklerin asgari seviyeye indirilmesi adına kritik bir ön koşuldur.

Yapay Zekâ ve Temel Veri İşleme İlkeleri

Yapay zekâ sistemleri tarafından kişisel veriler işlenirken, KVKK 4. maddesinde düzenlenen genel ilkelere mutlak surette riayet edilmesi yasal bir zorunluluktur. Bu ilkelerin başında hukuka ve dürüstlük kurallarına uygunluk, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme ilkeleri gelmektedir. Aynı zamanda, verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile ilgili mevzuatta öngörülen süre kadar muhafaza edilmesi de emredici niteliktedir. Yapay zekâ modellerinin, öngörülemeyen verileri toplama ve veri sahibinin açık rızası alınırken öngörülmeyen yeni amaçlar için bu verileri işleme ihtimali oldukça yüksektir. Bu durum, hukuk uygulamalarında özellikle amaçla sınırlılık ilkesinin ihlali ve hukuka uygunluk şartı olan açık rızanın geçerliliğinin zedelenmesi sorunlarını beraberinde getirmektedir. Yapay zekâ teknolojilerinin dinamik yapısı, bu ilkelerin her bir işleme adımında titizlikle gözetilmesini zorunlu kılmaktadır.

Hukuki Şeffaflık ve Öngörülemezlik Sorunu

Makine öğrenmesi ve derin öğrenme algoritmalarının en belirgin özelliklerinden biri olan kara kutu (black box) niteliği, yapay zekâ sistemlerinin iç işleyişlerinin insanlar tarafından tam olarak anlaşılamaması ve sonuçların net olarak tahmin edilememesi durumunu ifade etmektedir. Bu açıklanabilir olmama sorunu, KVKK kapsamında veri sorumlusunun aydınlatma yükümlülüğünü ve hukuki şeffaflık ilkesini doğrudan etkilemektedir. Hukuk pratiğinde, yapay zekâ uygulaması kullanılarak varılan bir analiz sonucunun dayanaklarının ve parametrelerinin açıklanamaması, ilgili kişinin verileri üzerinde sağlanan şeffaflık kriterinin ihlaline yol açmaktadır. Veri işleme mekanizmasının gizliliği, veri süjesinin anayasal bir güvence olan kişisel verilerin korunmasını isteme hakkını zedelediği gibi, işleme faaliyetlerine karşı itiraz hakkını da bertaraf etme potansiyeline sahiptir.

Veri İşleme Aşamalarında Hukuki Sorumluluk

Yapay zekâ uygulamalarının kişisel verileri kullanması, teknik ve hukuki açıdan farklı aşamalarda gerçekleşir ve her aşama ayrı bir hukuki denetime tabi tutulmalıdır. Mevcut veri setlerine uygulanan algoritmalarla elde edilen veya veri setinde bulunmayan yeni veriler üretilerek geliştirilen modelin kendisi, belirli bir kişiye dair veri içermiyorsa kişisel veri niteliği taşımayabilir. Fakat modelin bizzat kişisel veriler kullanılarak oluşturulması ve bu modele bir kişisel verinin girdi olarak verilmesi durumunda, sistemin yeni bir kişisel veri üretmesi hukuken mümkündür. Bu nedenle, yapay zekâ uygulamalarında kişisel verilerin işlenmesi ilkelerine uyumluluk değerlendirilirken, hem başlangıçtaki eğitim veri setinin toplanması hem de sistemin yeni veriler üretme aşamaları ayrı ayrı göz önünde bulundurulmalıdır.

KVKK Genel İlkeleri Yapay Zekâ Bağlamında Hukuki Yansıması
Hukuka ve dürüstlük kurallarına uygunluk Algoritmaların adil çalışması ve veri öznelerinin şeffaf şekilde bilgilendirilmesi.
Belirli, açık ve meşru amaçlar için işlenme Kara kutu sistemlerinin öngörülemeyen amaçlarla veri kullanımının engellenmesi.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma Devasa veri ihtiyacına rağmen, sadece gereken minimum verinin işlenmesi.
İlgili mevzuatta öngörülen süre kadar muhafaza edilme Öğrenme süreci tamamlandıktan veya yasal süre dolduktan sonra verilerin silinmesi.

Veri İhlallerine Karşı Korunma Yolları

Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi ve açıklanması gibi yapay zekâ tarafından gerçekleştirilen her türlü işlemin genel ilkelere uygun olması elzemdir. Yapay zekâ projelerinde hukuka aykırı işleme faaliyetlerinin önüne geçmek için hukuka uygunluk sebeplerinin titizlikle saptanması gerekmektedir. Gelişen teknoloji karşısında hukukun temel amacı, yenilikleri durdurmak değil, yeniliklerin bireylerin temel hak ve hürriyetlerini ihlal etmeden güvenli bir mecrada ilerlemesini sağlamaktır. Bu kapsamda, veri sorumlularının yapay zekâ tabanlı sistemleri tasarlarken mahremiyet esaslarını gözetmesi ve hukuki gereklilikleri, daha tasarım aşamasındayken sisteme entegre etmeleri tavsiye edilmektedir. Etkin bir hukuki risk yönetimi sayesinde, yapay zekânın getirdiği faydalardan yararlanılırken, kişisel veri ihlallerinden kaynaklanabilecek idari ve hukuki yaptırımların da başarıyla önüne geçilmiş olacaktır.

Şirket benim verimi alıp yapay zekayla alakasız işlerde kullanabilir mi? expand_more
Şirketlerin topladıkları kişisel verileri yapay zekâ sistemlerinde kullanırken KVKK'nın genel ilkelerine uyması yasal bir zorunluluktur. Kanun uyarınca veriler, yalnızca belirli, açık ve meşru amaçlar için toplanabilir ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenebilir. Yapay zekâ modellerinin öngörülemeyen verileri toplaması ve sizden alınan açık rızanın öngörmediği yeni amaçlar için bu verileri kullanması, kanundaki amaçla sınırlılık ilkesine açıkça aykırıdır. Dolayısıyla, açık rızanızın kapsamı dışında verilerinizin farklı ve alakasız amaçlarla işlenmesi hukuka uygunluk şartını ortadan kaldırır ve yasal bir ihlal teşkil eder.
Yapay zeka benim hakkımda karar vermiş ama sebebi açıklanmıyor, itiraz edemez miyim? expand_more
Yapay zekâ algoritmalarının iç işleyişinin ve sonuçlarının anlaşılamaması durumu "kara kutu" (black box) niteliği olarak tanımlanır ve bu durum hukuki şeffaflık ilkesini doğrudan ihlal eder. Veri sorumlusu konumundaki şirketlerin size karşı aydınlatma yükümlülüğü bulunmaktadır; alınan kararın parametrelerinin ve dayanaklarının açıklanamaması bu yükümlülüğün yerine getirilmediği anlamına gelir. Veri işleme mekanizmasının bu denli gizli kalması, anayasal bir güvence olan kişisel verilerin korunmasını isteme hakkınızı zedelemektedir. Hukuki açıdan bakıldığında, sistemin şeffaf olmaması sizin bu işleme faaliyetlerine karşı itiraz hakkınızı ortadan kaldıramaz; aksine bu durum itiraz hakkınızı bertaraf etme potansiyeli taşıdığından başlı başına bir ihlaldir.
Yapay zeka programı eski bilgilerimden yola çıkıp hakkımda yeni veriler üretmiş, bu yasal mı? expand_more
Yapay zekâ sistemlerinin, bizzat size ait mevcut kişisel verileri girdi olarak kullanarak hakkınızda yeni kişisel veriler üretmesi hukuken ve teknik olarak mümkündür. Ancak, tıpkı başlangıçtaki eğitim veri setinin toplanması aşamasında olduğu gibi, sistemin sizin hakkınızda yeni veriler üretme aşaması da KVKK kapsamındaki ilkelere mutlak surette uygun olmak zorundadır. Üretilen bu yeni verilerin kaydedilmesi, depolanması ve analizi kanun kapsamında kişisel veri işleme faaliyeti kabul edildiğinden hukuka ve dürüstlük kurallarına tabi olmalıdır. Veri sorumluları bu süreçlerde mahremiyet esaslarını gözetmek zorunda olduğundan, geçerli bir hukuka uygunluk sebebi saptanmadan hakkınızda yeni kişisel veri üretilmesi idari ve hukuki yaptırımları gerektiren yasa dışı bir eylemdir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir