Makale
Yapay zekâ teknolojilerinin veri işleme süreçlerinde neden olduğu hak ihlalleri, Kişisel Verilerin Korunması Kanunu ve Türk Medeni Kanunu kapsamında idari yaptırımlar ve kişilik hakkının korunması bağlamında değerlendirilmektedir. Bu yazıda, ihlal durumunda veri sorumlularının karşılaşacağı idari para cezaları ile yasal yollar incelenmektedir.
Yapay Zekâ İhlallerinde İdari Yaptırımlar ve Kişilik Hakkı
Günümüzde hızla gelişen yapay zekâ teknolojileri, büyük veri setlerini analiz ederek karar alma süreçlerinde devrim yaratmaktadır. Ancak, bu sistemlerin devasa boyutlarda veri işlemesi, bireylerin temel hak ve özgürlükleri ile kişisel verilerin korunması bağlamında ciddi riskleri de beraberinde getirmektedir. Özellikle veri koruma hukuku çerçevesinde, yapay zekâ uygulamalarının hukuka aykırı şekilde veri toplamasını, kullanmasını veya ifşa etmesini takiben kişilik hakkı ihlalleri gündeme gelmektedir. Kanun koyucu, bu ihlallerin önüne geçmek ve veri güvenliğini sağlamak amacıyla veri sorumlularına birtakım katı yükümlülükler yüklemiştir. Veri sorumlularının aydınlatma, veri güvenliğini sağlama ve Kurul kararlarını yerine getirme gibi temel görevlerini ihlal etmesi durumunda idari yaptırımlar devreye girmektedir. Bu makalede, bir veri koruma hukuku uzmanı perspektifiyle, yapay zekâ sistemlerinin neden olduğu veri ihlallerinde uygulanan idari para cezaları ve Türk Medeni Kanunu uyarınca koruma altına alınan kişilik hakkı davalarının kapsamı detaylı bir biçimde ele alınacaktır.
Yapay Zekâ İhlallerinde Uygulanan İdari Yaptırımlar
Kişisel Verilerin Korunması Kanunu'nun 18. maddesi uyarınca, veri sorumlularının kanuni yükümlülüklerini ihlal etmeleri halinde çeşitli idari yaptırımlar öngörülmüştür. Bu kabahatler arasında aydınlatma yükümlülüğünün ihlali, veri güvenliğine ilişkin yükümlülüklerin ihlali, Kişisel Verileri Koruma Kurulu kararlarının yerine getirilmemesi ve Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüne aykırı hareket edilmesi yer almaktadır. Kabahatler Kanunu uyarınca verilecek idari para cezası tayin edilirken, eylemin haksızlık boyutu ve veri sorumlusunun kusuru ile ekonomik durumu birlikte değerlendirilmektedir. Yapay zekâ sistemlerini kullanan veri sorumlularının, veri işleme şartlarını ihlal ederek kişisel verileri hukuka aykırı olarak ifşa etmeleri durumunda ağır yaptırımlarla karşılaşmaları kaçınılmazdır. Kurul, ayrıca telafisi güç veya imkânsız zararların doğması ve hukuka açık bir aykırılık gerçekleşmesi durumunda, veri işlenmesinin durdurulmasına yönelik idari tedbir kararları da alabilmektedir.
Kişisel Verileri Koruma Kurulu Kararlarından Örnekler
Kurul kararları, yapay zekâ ve otomatik sistemler aracılığıyla işlenen verilerdeki veri güvenliği yükümlülüğüne aykırılık hallerini somutlaştırmaktadır. Kurul önüne gelen uyuşmazlıklarda, idari para cezalarının uygulandığı tipik ihlal örnekleri şu şekilde sıralanabilmektedir:
- Bir spor salonunun üye giriş-çıkışlarında yüz tanıma gibi biyometrik verileri ölçülülük ilkesine aykırı ve açık rıza olmaksızın işlemesi.
- Ameliyat olan bir hastanın görüntülerinin veri sorumlusu personeli tarafından rızasız olarak sosyal medya hesaplarında veya yapay zekâ destekli platformlarda reklam amacıyla paylaşılması.
- Bireylere ait özel bilgilerin ve tahlil sonuçlarının, hukuka aykırı şekilde üçüncü kişilere aktarılması ve dışarıdan erişime açılması.
- Sistemlerde meydana gelen yazılımsal güvenlik açıkları sebebiyle kişilerin kimlik bilgilerinin üçüncü şahıslar tarafından izinsiz görüntülenebilir hale gelmesi.
Yapay Zekâ İhlallerinde Kişilik Hakkının Korunması
Kişisel veriler, doğrudan bireyin kişilik hakkı ile ilişkilidir. Türk Medeni Kanunu'nun 24. maddesi uyarınca, kişilik hakkı zedelenen kimse, rızası veya kanunun verdiği bir yetkinin kullanımı ya da üstün nitelikte bir kamu yararı bulunmadıkça, hukuka aykırı bu saldırıya karşı koruma talep edebilmektedir. Yapay zekâ algoritmalarının veri sızıntılarına yol açması veya kişilerin verilerini izinsiz olarak profilleme amacıyla kullanması, bireylerin mahremiyet alanına açık bir saldırı niteliği taşımaktadır. Bu gibi durumlarda ilgili kişi, idari şikâyet yollarının yanı sıra, Türk Medeni Kanunu kapsamında koruyucu davalar açma hakkına sahiptir. Özel hukuk boyutunda değerlendirildiğinde, hukuka aykırı veri işleme fiili, bireyin sosyal ve mesleki hayatında onarılamaz zedelenmelere, ayrımcılığa ve itibar kaybına neden olabileceğinden, hukuki koruma yollarının hızlı ve etkin kullanımı büyük önem arz etmektedir.
Kişilik Hakkını Koruyucu Davalar
Kişilik hakkı saldırıya uğrayan veya uğrama riski taşıyan veri sahipleri, Türk Medeni Kanunu'nun 25. maddesi uyarınca çeşitli koruyucu davalar açabilmektedir. Henüz gerçekleşmemiş ancak gerçekleşmesi kuvvetle muhtemel bir ihlal söz konusuysa, örneğin hassas verileri analiz eden bir yapay zekâ şirketinin zayıf veri güvenliği nedeniyle verilerin ifşa edilme tehlikesi bulunuyorsa, saldırı tehlikesinin önlenmesi davası açılabilmektedir. Hukuka aykırı saldırı hali hazırda devam ediyorsa, örneğin otomatik bir veri analiz sisteminin bireyin verilerini hukuka aykırı olarak işlemeye veya üçüncü kişilerle paylaşmaya devam etmesi halinde, saldırıya son verilmesi davası gündeme gelir. Son olarak, geçmişte yaşanmış ancak etkileri devam eden veri sızıntılarında, örneğin çalınan verilerin internette yayınlanması durumunda saldırının hukuka aykırılığının tespiti davası açılarak bu ihlalin tespiti talep edilebilmektedir. Bu davalar, fiili zararın veya kusurun varlığına bakılmaksızın açılabilen asli koruma mekanizmalarıdır.