Makale
Yapay zekâ sistemlerinin kişisel verileri işleyerek profilleme ve otomatik karar alma faaliyetleri yürütmesi, hukuki riskleri beraberinde getirmektedir. Bu makalede, söz konusu faaliyetlerin KVKK ve GDPR boyutları ile Avrupa Birliği Yapay Zekâ Yasası'nın risk temelli yaklaşımı hukuki bir perspektifle incelenmektedir.
Yapay Zekâda Profilleme, Otomatik Karar Alma ve AB Yasası
Günümüzde dijitalleşmenin hız kazanmasıyla birlikte yapay zekâ sistemleri, bireylerin kişisel verilerini işleyerek hayatın her alanında aktif rol oynamaktadır. Özellikle profilleme ve otomatik karar alma işlemleri, arama motorlarından sosyal medya platformlarına, bankacılıktan insan kaynaklarına kadar geniş bir yelpazede kullanılmaktadır. Ancak bu teknolojik gelişmeler, veri mahremiyeti ve temel hakların korunması noktasında ciddi hukuki sorunlara yol açabilmektedir. Bireylerin internet üzerindeki dijital izlerinin takip edilerek yeni kişisel verilerin üretilmesi ve insan müdahalesi olmaksızın algoritmalar üzerinden kararlar verilmesi, bireylerin ayrımcılığa uğrama riskini artırmaktadır. Bu durum, hem ulusal mevzuatımız olan Kişisel Verilerin Korunması Kanunu hem de Avrupa Birliği'nin Genel Veri Koruma Tüzüğü kapsamında sıkı kurallara bağlanmıştır. Ayrıca yakın zamanda yürürlüğe giren Avrupa Birliği Yapay Zekâ Yasası, yapay zekânın doğurabileceği tehlikeleri engellemek adına risk temelli bir yaklaşım benimseyerek hukuki çerçeveyi yeniden şekillendirmiştir. Bu bağlamda, şirketlerin ve veri sorumlularının söz konusu düzenlemelere uyum sağlaması hukuki bir zorunluluk haline gelmiştir.
Yapay Zekâ Sistemlerinde Profilleme Uygulamaları
Profilleme, ilgili kişinin hobi, güvenilirlik, ekonomik durum veya performans gibi özelliklerinin değerlendirilmesi amacıyla kişisel verilerin otomatik olarak işlenmesi faaliyetidir. Bu işlem sırasında yalnızca mevcut veriler kullanılmakla kalmaz, aynı zamanda kişinin dijital izlerinden yola çıkılarak yeni kişisel veriler de üretilir. Avrupa Konseyi Bakanlar Komitesi'nin tavsiye kararlarında da vurgulandığı üzere, anonim verilerin bile kişisel gözlemlerle birleştirilerek bireylerin haberi olmaksızın belirli kategorilere dâhil edilmesi ciddi bir ihlal riski barındırır. Özellikle hedefli reklamcılık ve hizmet sunumu amacıyla çerezler üzerinden yapılan profilleme işlemlerinde, bireylerin açık rızasının usulüne uygun şekilde alınması zorunludur. Uygulamada sıkça karşılaşılan hizmetin çerez rızasına bağlanması veya anlaşılması güç uzun aydınlatma metinleri sunulması, hukuken geçerli bir açık rızanın oluşmasını engellemekte ve veri işleme faaliyetini hukuka aykırı kılmaktadır.
Otomatik Karar Alma Süreçleri ve Hukuki Etkileri
Otomatik karar alma, önceden belirlenmiş şartlara ve algoritmalara dayalı olarak, hiçbir insan müdahalesi bulunmaksızın bireyler hakkında çeşitli sonuçlara varılmasıdır. İnsan kaynaklarında özgeçmişlerin elenmesi veya bankacılıkta kredi notunun belirlenmesi gibi süreçler bu kapsama girer. Ancak yapay zekâ sistemlerinin kara kutu mantığıyla çalışması, kararların hangi kriterlere dayanılarak verildiğinin açıklanmasını oldukça güçleştirmektedir. Avrupa düzenlemelerine göre bireylerin, yürütülen mantığa ve işlemenin olası sonuçlarına ilişkin anlamlı bilgiler talep etme hakkı bulunmaktadır. Ayrıca ulusal mevzuatımız kapsamında da bireylerin, kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucu aleyhlerine bir durum ortaya çıkmasına itiraz etme hakkı mevcuttur. Ayrımcılığı ve ön yargıyı engellemek maksadıyla kural olarak yasaklanan bu işlemler, ancak hukukun belirlediği istisnai durumlarda ve çok sıkı güvenlik tedbirleri ile yürütülebilmektedir.
Avrupa Birliği Yapay Zekâ Yasası ve Risk Temelli Yaklaşım
Teknolojik gelişmelerin insan onuru ve temel haklarla uyumlu ilerlemesini sağlamak amacıyla yürürlüğe giren Avrupa Birliği Yapay Zekâ Yasası, yapay zekâ uygulamalarını oluşturdukları tehlike düzeyine göre sınıflandıran kapsamlı ve risk temelli bir yaklaşım benimsemiştir. Bu yasal çerçeveye göre yapay zekâ sistemleri; kabul edilemez risk, yüksek risk, sınırlı risk ve minimal risk olmak üzere dört farklı ana başlıkta değerlendirilmektedir. Hukuki açıdan bakıldığında, şirketlerin ve teknoloji geliştiricilerinin söz konusu risk sınıflandırmalarına uygun şekilde uyum süreçlerini tamamlaması büyük önem taşır. Aşağıdaki tabloda yasa kapsamında öne çıkan risk türleri ve bu türlere bağlanan hukuki sonuçlar kısaca özetlenmiştir:
| Risk Sınıfı | Hukuki Düzenleme ve Kapsamı | Örnek Uygulamalar |
|---|---|---|
| Kabul Edilemez Risk | Birlik değerlerine aykırı olduğu için kesinlikle yasaklanmıştır. | Sosyal puanlama, manipülatif teknikler, yüz tanıma veri tabanları. |
| Yüksek Risk | Piyasaya sürülmeden önce katı uygunluk ve sertifikasyon şartlarına tabidir. | Biyometrik kimlik saptama, güvenlik bileşeni olarak kullanılan sistemler. |
| Sınırlı Risk | Kullanıcıların bir yapay zekâ ile iletişim kurduğunu anlaması için şeffaflık yükümlülüğü gerektirir. | Sohbet robotları, deep fake uygulamaları, spam filtreleri. |
Uyum Süreçleri ve Veri Sorumlusunun Yükümlülükleri
Hem ulusal mevzuatımız olan KVKK hem de Avrupa Birliği normları çerçevesinde faaliyet gösteren veri sorumlularının, profilleme ve otomatik karar alma aşamalarında hesap verebilirlik ve şeffaflık ilkelerine uygun davranması şarttır. Veri sorumluları, kişisel veri işleme faaliyetlerine başlamadan önce mutlaka hukuki ve ahlaki risk değerlendirmesi yapmalı, veri minimizasyonu kuralına riayet etmelidir. Özellikle yüksek riskli yapay zekâ sistemleri geliştiren veya kullanan şirketlerin, aydınlatma yükümlülüğünü eksiksiz yerine getirmesi, ilgili kişinin rızasını usulüne uygun şekilde temin etmesi ve her türlü hukuka aykırı algoritmik ayrımcılığı önleyici mekanizmaları kurması hukuki bir zorunluluktur. Bu düzenlemelere aykırılık halinde idari para cezalarının yanı sıra ciddi itibar kayıpları ve tazminat yükümlülükleri gündeme gelebilmektedir.