Makale
Yapay zekâ teknolojilerindeki gelişim, kişisel verilerin işlenmesinde yeni hukuki sınamalar yaratmaktadır. Bu makalede, yapay zekânın KVKK m. 4 kapsamındaki temel ilkelere uyumluluğu hukuki bir perspektifle incelenmekte ve muhtemel veri ihlali risklerine karşı uygulanabilecek yasal çözüm yolları özenle değerlendirilmektedir.
Yapay Zekâ Sistemlerinde Kişisel Veri İşleme İlkeleri
Günümüzde yapay zekâ uygulamalarının başarılı sonuçlar vermesi, büyük hacimli verilerin, diğer bir deyişle büyük verinin sürekli ve sistemli olarak işlenmesine bağlıdır. İşlenen bu devasa verilerin kimliği belirli veya belirlenebilir gerçek kişiler ile ilişkili olması durumunda ise, veri işleme süreçleri doğrudan kişisel verilerin korunması mevzuatının kapsamına girmektedir. Hukuk sistemimizde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, verilerin otomatik ya da otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması ve analizi gibi her türlü eylem kişisel verilerin işlenmesi olarak kabul edilmektedir. Yapay zekâ algoritmalarının kendilerine özgü karmaşık yapısı ve doymak bilmeyen veri ihtiyacı, KVKK kapsamında öngörülen temel ilkelere uyumu zorlaştıran en önemli faktörlerdendir. Uzman bir hukuki yaklaşımla değerlendirildiğinde, yapay zekâ eğitim setlerine aktarılan bilgilerin işlenmesi esnasında veri öznelerinin temel hak ve özgürlüklerinin zedelenmemesi büyük önem taşımaktadır. Bu süreçte, veri işleme faaliyetlerinin kanuni sınırlara uygun yürütülmesi, hukuki risklerin asgari seviyeye indirilmesi adına kritik bir ön koşuldur.
Yapay Zekâ ve Temel Veri İşleme İlkeleri
Yapay zekâ sistemleri tarafından kişisel veriler işlenirken, KVKK 4. maddesinde düzenlenen genel ilkelere mutlak surette riayet edilmesi yasal bir zorunluluktur. Bu ilkelerin başında hukuka ve dürüstlük kurallarına uygunluk, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme ilkeleri gelmektedir. Aynı zamanda, verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile ilgili mevzuatta öngörülen süre kadar muhafaza edilmesi de emredici niteliktedir. Yapay zekâ modellerinin, öngörülemeyen verileri toplama ve veri sahibinin açık rızası alınırken öngörülmeyen yeni amaçlar için bu verileri işleme ihtimali oldukça yüksektir. Bu durum, hukuk uygulamalarında özellikle amaçla sınırlılık ilkesinin ihlali ve hukuka uygunluk şartı olan açık rızanın geçerliliğinin zedelenmesi sorunlarını beraberinde getirmektedir. Yapay zekâ teknolojilerinin dinamik yapısı, bu ilkelerin her bir işleme adımında titizlikle gözetilmesini zorunlu kılmaktadır.
Hukuki Şeffaflık ve Öngörülemezlik Sorunu
Makine öğrenmesi ve derin öğrenme algoritmalarının en belirgin özelliklerinden biri olan kara kutu (black box) niteliği, yapay zekâ sistemlerinin iç işleyişlerinin insanlar tarafından tam olarak anlaşılamaması ve sonuçların net olarak tahmin edilememesi durumunu ifade etmektedir. Bu açıklanabilir olmama sorunu, KVKK kapsamında veri sorumlusunun aydınlatma yükümlülüğünü ve hukuki şeffaflık ilkesini doğrudan etkilemektedir. Hukuk pratiğinde, yapay zekâ uygulaması kullanılarak varılan bir analiz sonucunun dayanaklarının ve parametrelerinin açıklanamaması, ilgili kişinin verileri üzerinde sağlanan şeffaflık kriterinin ihlaline yol açmaktadır. Veri işleme mekanizmasının gizliliği, veri süjesinin anayasal bir güvence olan kişisel verilerin korunmasını isteme hakkını zedelediği gibi, işleme faaliyetlerine karşı itiraz hakkını da bertaraf etme potansiyeline sahiptir.
Veri İşleme Aşamalarında Hukuki Sorumluluk
Yapay zekâ uygulamalarının kişisel verileri kullanması, teknik ve hukuki açıdan farklı aşamalarda gerçekleşir ve her aşama ayrı bir hukuki denetime tabi tutulmalıdır. Mevcut veri setlerine uygulanan algoritmalarla elde edilen veya veri setinde bulunmayan yeni veriler üretilerek geliştirilen modelin kendisi, belirli bir kişiye dair veri içermiyorsa kişisel veri niteliği taşımayabilir. Fakat modelin bizzat kişisel veriler kullanılarak oluşturulması ve bu modele bir kişisel verinin girdi olarak verilmesi durumunda, sistemin yeni bir kişisel veri üretmesi hukuken mümkündür. Bu nedenle, yapay zekâ uygulamalarında kişisel verilerin işlenmesi ilkelerine uyumluluk değerlendirilirken, hem başlangıçtaki eğitim veri setinin toplanması hem de sistemin yeni veriler üretme aşamaları ayrı ayrı göz önünde bulundurulmalıdır.
| KVKK Genel İlkeleri | Yapay Zekâ Bağlamında Hukuki Yansıması |
|---|---|
| Hukuka ve dürüstlük kurallarına uygunluk | Algoritmaların adil çalışması ve veri öznelerinin şeffaf şekilde bilgilendirilmesi. |
| Belirli, açık ve meşru amaçlar için işlenme | Kara kutu sistemlerinin öngörülemeyen amaçlarla veri kullanımının engellenmesi. |
| İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma | Devasa veri ihtiyacına rağmen, sadece gereken minimum verinin işlenmesi. |
| İlgili mevzuatta öngörülen süre kadar muhafaza edilme | Öğrenme süreci tamamlandıktan veya yasal süre dolduktan sonra verilerin silinmesi. |
Veri İhlallerine Karşı Korunma Yolları
Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi ve açıklanması gibi yapay zekâ tarafından gerçekleştirilen her türlü işlemin genel ilkelere uygun olması elzemdir. Yapay zekâ projelerinde hukuka aykırı işleme faaliyetlerinin önüne geçmek için hukuka uygunluk sebeplerinin titizlikle saptanması gerekmektedir. Gelişen teknoloji karşısında hukukun temel amacı, yenilikleri durdurmak değil, yeniliklerin bireylerin temel hak ve hürriyetlerini ihlal etmeden güvenli bir mecrada ilerlemesini sağlamaktır. Bu kapsamda, veri sorumlularının yapay zekâ tabanlı sistemleri tasarlarken mahremiyet esaslarını gözetmesi ve hukuki gereklilikleri, daha tasarım aşamasındayken sisteme entegre etmeleri tavsiye edilmektedir. Etkin bir hukuki risk yönetimi sayesinde, yapay zekânın getirdiği faydalardan yararlanılırken, kişisel veri ihlallerinden kaynaklanabilecek idari ve hukuki yaptırımların da başarıyla önüne geçilmiş olacaktır.