Anasayfa/ Makale/ Yapay Zekâda Veri Sorumlusunun Yükümlülükleri...

Makale

Yapay zekâ teknolojilerinin kullanımında veri sorumlusunun KVKK kapsamındaki aydınlatma, veri güvenliğini sağlama ve VERBİS’e kayıt gibi yükümlülükleri büyük önem taşır. Bu yükümlülüklere uyulmaması idari, hukuki ve cezai yaptırımları beraberinde getirir. Veri ihlallerinin tespiti ve şeffaf süreç yönetimi, hukuki güvenliğin temelidir.

Yapay Zekâda Veri Sorumlusunun Yükümlülükleri ve Hukuki Yaptırımlar

KVKK

Günümüzde hızla gelişen yapay zekâ sistemleri, kişisel verilerin işlenmesi süreçlerinde derin köklü değişimlere yol açmaktadır. Bu sistemlerin otonom yapıları ve çok yüksek hacimli verileri analiz etme kapasiteleri, veri güvenliği bakımından yeni riskler doğurmaktadır. Tam da bu noktada, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu sıfatını taşıyan gerçek veya tüzel kişilerin üstlendiği hukuki sorumluluklar hayati bir önem kazanır. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan veri sorumlusu, yapay zekâ uygulamalarının algoritmik süreçlerini işletirken mevzuatta öngörülen katı kurallara uymakla mükelleftir. İlgili kişilerin temel hak ve özgürlüklerinin ihlal edilmemesi adına, yapay zekâ araçlarının entegrasyonundan uygulamanın sona ermesine kadar geçen tüm süreçte şeffaflık, hesap verebilirlik ve hukuka uygunluk ilkelerinin gözetilmesi şarttır. Aksi takdirde, işletmelerin ve yöneticilerin ağır idari para cezaları ile adli yaptırımlarla karşılaşması kaçınılmazdır.

Yapay Zekâ Sistemlerinde Veri Sorumlusunun Temel Yükümlülükleri

Yapay zekâ uygulamaları vasıtasıyla kişisel verilerin işlendiği durumlarda, veri sorumlusunun yükümlülükleri oldukça geniş kapsamlıdır. Veri sorumlusu, otomatik karar verme süreçlerini işletmeden önce veri işleme ilkelerine tam bir uyum sağlamak zorundadır. Bu kapsamda öne çıkan en temel yükümlülük aydınlatma yükümlülüğüdür. KVKK uyarınca, ilgili kişiye kişisel verilerinin hangi amaçlarla, hangi hukuki sebebe dayanılarak ve hangi yöntemlerle işlendiği açıkça bildirilmelidir. Özellikle kişisel verilerin tamamen veya kısmen otomatik yollarla işlenmesi durumunda, veri sorumlusu bu hususu aydınlatma metninde şeffaf ve anlaşılır bir dille ifade etmelidir. Yapay zekânın kara kutu etkisi nedeniyle süreçlerin tam olarak anlaşılamaması riski bulunsa da, veri sorumlusunun ilgili kişiyi verilerinin akıbeti hakkında makul düzeyde bilgilendirme zorunluluğu ortadan kalkmaz. Böylelikle, kişinin otomatik işleme faaliyetinin varlığından haberdar olması ve haklarını etkin şekilde kullanabilmesi temin edilir.

Veri Güvenliği ve İhlal Bildirimi Süreçleri

Aydınlatma yükümlülüğünün yanı sıra, veri güvenliğini sağlama yükümlülüğü veri sorumlusunun bir diğer asli görevidir. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz kişilerce erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri almakla yükümlüdür. İşleme faaliyeti doğrudan sistem yöneticisi adına bir üçüncü kişi olan veri işleyen tarafından gerçekleştirilse dahi, ihlallerden her iki taraf da müştereken sorumlu tutulur. Sistemlerdeki açıklar veya siber saldırılar neticesinde bir veri sızıntısı yaşanması durumunda, veri sorumlusu bu durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurulu'na ve verisi ihlal edilen ilgili kişiye bildirmelidir. Bu yükümlülüklere ek olarak, veri işleme faaliyetine başlamadan önce Veri Sorumluları Siciline (VERBİS) kaydolma ve ilgili kişilerden gelen talepleri yasal süresi içinde sonuçlandırma yükümlülükleri de titizlikle yerine getirilmelidir.

Kişisel Verilerin Hukuka Aykırı İşlenmesi Hâlinde Uygulanacak Yaptırımlar

Yapay zekâ uygulamalarında kişisel verilerin KVKK ve ilgili mevzuata aykırı biçimde işlenmesi, veri sorumlusu açısından ciddi hukuki sonuçlar doğurmaktadır. İlgili kişilerin temel hak ve özgürlüklerinin zedelenmesi durumunda idari, hukuki ve cezai boyutta çok yönlü yaptırımlar gündeme gelir. Kişisel verileri hukuka aykırı işlenen kişiler, öncelikle veri sorumlusuna başvurarak ihlalin giderilmesini talep etme hakkına sahiptir. Başvurunun reddedilmesi, eksik cevaplanması veya süresi içinde yanıtlanmaması hâlinde ise Kişisel Verileri Koruma Kurulu'na şikâyet yoluna gidilebilir. Kurul, yaptığı inceleme neticesinde veri güvenliği ihlali tespit ederse, veri sorumlusu aleyhine ağır idari para cezalarına hükmedebilmektedir. İdari yaptırımların caydırıcılığı oldukça yüksektir. Ayrıca kişinin zarara uğraması hâlinde, zararın tazmini için genel hükümlere göre dava açma hakkı her zaman saklıdır. Uygulanabilecek temel yaptırımlar şu şekilde sınıflandırılabilir:

  • İdari Yaptırımlar: Aydınlatma yükümlülüğüne, veri güvenliğine, Kurul kararlarına ve VERBİS’e kayıt yükümlülüğüne aykırılık hâllerinde KVKK kapsamında yüksek meblağlı idari para cezaları uygulanır.
  • Hukuki Yaptırımlar: Kişisel verilerin hukuka aykırı işlenmesiyle doğan maddi ve manevi zararların tazmini amacıyla, Türk Medeni Kanunu'nun kişilik haklarını koruyucu hükümleri ve Türk Borçlar Kanunu'nun genel hükümleri çerçevesinde tazminat davaları açılabilir.
  • Cezai Yaptırımlar: Türk Ceza Kanunu'nun ilgili maddeleri uyarınca; kişisel verilerin hukuka aykırı kaydedilmesi, başkasına verilmesi veya kanuni süreler sonunda yok edilmemesi gibi ihlallerde hapis cezaları ile tüzel kişiler için özel güvenlik tedbirleri uygulanmaktadır.
4 dk okuma Yayınlanma: Güncelleme: