Makale
Yapay zekâ teknolojilerinin gelişimi, kişisel verilerin işlenmesi süreçlerinde hukuki bir boyut yaratmaktadır. Bu makalede, veri sorumlusunun yükümlülükleri ve KVKK'nın temel ilkeleri ışığında, yapay zekâ uygulamaları kullanılarak gerçekleştirilen veri işleme faaliyetlerinin hukuka ve dürüstlük kurallarına uygunluğu ele alınmaktadır.
Yapay Zekâ Kapsamında Kişisel Verilerin İşlenmesi ve KVKK İlkeleri
Günümüzde yapay zekâ teknolojileri, bilgi akışını hızlandırarak kişisel verilerin işlenmesi süreçlerini daha önce görülmemiş bir boyuta taşımıştır. Bu teknolojiler, öğrenme ve analiz yeteneklerini geliştirebilmek için devasa veri yığınlarına, diğer bir deyişle büyük veriye ihtiyaç duymaktadır. Sisteme aktarılan bu veriler arasında, gerçek kişileri doğrudan veya dolaylı olarak belirlenebilir kılan kişisel veriler de büyük bir yer tutmaktadır. Makine öğrenmesi ve derin öğrenme gibi yapay zekâ alt dalları, manuel kodlamaya gerek kalmaksızın, veri setleri üzerinden algoritmik çıkarımlar yaparak işlemleri otomatik yollarla gerçekleştirmektedir. Ancak bu durum, özel hayatın gizliliği ve veri güvenliği açısından ciddi riskleri beraberinde getirmektedir. Zira, büyük veri yığınları analiz edilirken kişilerin davranışsal kalıpları, tercihleri ve kimlikleri tespit edilebilmektedir. Bu noktada, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) devreye girerek, yapay zekâ sistemlerinin kullanımı sırasında bireylerin mahremiyetini güvence altına alan katı sınırlar çizmektedir. Veri odaklı bu yeni dünya düzeninde, hukuki kuralların esnekliği kadar bağlayıcılığı da önem arz etmektedir.
Yapay Zekâ Sistemlerinde Veri Sorumlusu ve İşleyen
Hukuki çerçevede, kişisel verilerin işlenmesi sürecinde rol alan aktörlerin nitelendirilmesi büyük önem taşımaktadır. KVKK kapsamında veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan gerçek veya tüzel kişidir. Yapay zekâ sistemleri bizzat hukuki kişiliğe sahip olmadıklarından, doğrudan veri sorumlusu sayılamazlar. Bu sistemleri kullanarak verileri işleyen, amaç ve aracı belirleyen kurumlar veri sorumlusu sıfatını taşır. Öte yandan, veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen gerçek veya tüzel kişiler ise veri işleyen statüsündedir. Yapay zekâ, genellikle veri işleme eylemini gerçekleştiren bir teknolojik araç niteliğindedir. Dolayısıyla, bir yapay zekâ yazılımı vasıtasıyla toplanan, depolanan, değiştirilen veya analiz edilen her türlü kişisel veri üzerinden doğacak yasal yükümlülükler, sistemi yöneten gerçek veya tüzel kişilere aittir. Bu husus, kişisel verilerin korunması açısından sorumluluğun daima insanda veya yasal kurumlarda kaldığını göstermektedir.
Kişisel Verilerin İşlenmesinde Açık Rıza ve İstisnaları
Yapay zekâ teknolojilerinde verilerin hukuka uygun bir şekilde işlenebilmesinin temel dayanağı ilgili kişinin açık rızası kavramıdır. KVKK madde 5 uyarınca, kural olarak kişisel veriler açık rıza olmaksızın işlenemez. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Yapay zekâ sistemlerinin kendi iradesi olmadığından, verilerin toplanması aşamasında rıza sürecini yönetme sorumluluğu doğrudan veri sorumlusuna aittir. Veri sahibi, hangi verisinin hangi amaçla yapay zekâ tarafından kullanılacağını ve aktarılacağını açıkça bilmelidir. Özellikle çerezler (cookies) veya profil çıkarma (profiling) gibi otomatik mekanizmalar yoluyla toplanan verilerde, kişinin rızası hile veya baskı olmaksızın alınmalıdır. Ancak, KVKK kapsamında kanunlarda açıkça öngörülme, fiili imkânsızlık, bir sözleşmenin ifası, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi veya ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaat gibi hallerde açık rıza aranmaksızın veri işlenmesi mümkündür.
Yapay Zekâ Kapsamında KVKK Temel İlkeleri
KVKK madde 4'te düzenlenen genel ilkeler, yapay zekâ ile kişisel veri işleme faaliyetlerinin anayasası niteliğindedir. Kişisel veri işleme şartları bulunsa dahi, veri sorumlusunun muhakkak bu ilkelere uyması zorunludur; aksi takdirde faaliyet hukuka aykırı sayılır. Yapay zekâ sistemlerinin şeffaf olmayan "kara kutu" yapısı, bu ilkelere uyumu zaman zaman zorlaştırsa da, hukuki denetim mekanizmaları bu kuralların katı bir şekilde uygulanmasını öngörmektedir. Özellikle devasa veri yığınlarının işlendiği makine öğrenmesi uygulamalarında, verilerin toplanmasından imha edilmesine kadar geçen tüm süreçte mevzuata riayet edilmesi, bireylerin özel hayatının gizliliğinin korunması bakımından yaşamsal bir öneme sahiptir.
İşleme Faaliyetlerinde İlkelere Uyum Zorunluluğu
Yapay zekâ tabanlı teknolojilerin kullanımı sırasında Kişisel Verileri Koruma Kurulu tarafından da hassasiyetle denetlenen ve KVKK madde 4 uyarınca zorunlu olan temel ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uyma: Yapay zekâ sistemleri, verileri ilgili kişiyi aldatmadan ve beklentilerini ihlal etmeyecek şeffaflıkta işlemelidir.
- Doğru ve gerektiğinde güncel olma: Algoritmaların hatalı sonuçlar üretmemesi için işlenen verilerin doğruluğu ve güncelliği düzenli olarak kontrol edilmelidir.
- Belirli, açık ve meşru amaçlar için işlenme: Gelecekteki olası ihtiyaçlar için değil, sadece veri toplanırken açıkça belirlenmiş ve rıza alınmış yasal amaçlar doğrultusunda veri işlenmelidir.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Bir yapay zekâ sisteminin amacına ulaşabilmesi için yalnızca gerekli asgari miktarda veri işlenmeli, aşırıya kaçan veri toplama faaliyetlerinden uzak durulmalıdır.
- Mevzuatta öngörülen veya amaç için gerekli süre kadar muhafaza edilme: Veriler, algoritmaların eğitimi veya analizi tamamlandıktan sonra saklanmamalı, derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir.