Anasayfa/ Makale/ Yapay Zekâda Kişisel Veri İşleme ve Hukuki Sorunlar

Yapay Zekâda Kişisel Veri İşleme ve Hukuki Sorunlar

Yapay zekâ teknolojilerinin kişisel verileri işleme süreçleri, şeffaflık, amaçla sınırlılık ve veri sorumluluğu gibi alanlarda hukuki belirsizlikler yaratmaktadır. Bu makalede, yapay zekâda veri işleme faaliyetlerinin KVKK ve GDPR ekseninde ortaya çıkardığı temel hukuki sorunlar ve veri koruma ilkeleriyle olan çatışmaları incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK AÇIK RIZA GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Günümüzde dijital ekosistemin temel yapı taşlarından biri haline gelen yapay zekâ teknolojileri, öğrenme ve karar alma yeteneklerini devasa boyutlardaki veri havuzlarına borçludur. Algoritmaların doğru, tutarlı ve rasyonel kararlar alabilmesi, büyük veri setlerinin işlenmesine dayanmaktadır. Ancak bu veri işleme faaliyetleri, kişisel verilerin korunması hukuku bakımından pek çok tartışmayı beraberinde getirmektedir. Modern hukuk düzenleri, bireylerin mahremiyetini korumaya odaklanarak veri işleme süreçlerini katı ilkelere bağlarken; yapay zekâ sistemleri daha fazla veriyi esnek ve sınırsız bir biçimde kullanma eğilimindedir. Bu teknolojik yapı ile hukuki güvenceler arasındaki çatışma, özellikle şeffaflık eksikliği, veri minimizasyonu ilkesine aykırılık ve veri sorumlusunun belirlenmesi gibi temel alanlarda kendini göstermektedir. Sistemlerin özerk yapısı, toplanan verilerin nasıl ve hangi amaçla kullanıldığının her zaman öngörülebilir olmasını engellemektedir. Bu makalede, yapay zekâ sistemleri tarafından gerçekleştirilen kişisel veri işleme faaliyetleri ve bu faaliyetlerin yürürlükteki veri koruma mevzuatları karşısında doğurduğu başlıca hukuki sorunlar detaylı olarak ele alınacaktır.

Yapay Zekâ Sistemlerinde Veri İşleme Süreci

Yapay zekâ sistemleri, çevresinden elde ettiği yapılandırılmış veya yapılandırılmamış verileri analiz ederek makine öğrenmesi algoritmaları ile bilgi üretir. Kanunlarımızda kişisel verilerin tamamen veya kısmen otomatik yollarla elde edilmesi, kaydedilmesi, depolanması ve sınıflandırılması birer veri işleme faaliyeti olarak tanımlanmaktadır. Bu bağlamda, sistemin öğrenme sürecinde verileri parametrelerine gömmesi ve çeşitli örüntüler çıkararak kendi kendini eğitmesi açıkça veri işleme teşkil eder. Üstelik bu süreç, genellikle büyük veri kümeleri üzerinde gerçekleşir ve veriler farklı kaynaklardan toplanarak merkezi olmayan bulut platformlarında saklanabilir. Özellikle sosyal medya, nesnelerin interneti (IoT) cihazları ve çevrimiçi alışveriş platformları gibi sayısız kaynaktan beslenen sistemler, elde ettikleri devasa verilerle bireylerin profilini çıkarma ve otomatik karar alma işlemlerini gerçekleştirirler. Bu sınırsız veri ihtiyacı, kişisel verilerin korunması hukukunun en temel direği olan sınırlılık ve ölçülülük ilkelerini adeta ihlal etme tehlikesi barındırmaktadır.

Veri Koruma İlkeleri Karşısında Meydana Gelen İhlaller

Yapay zekânın çok katmanlı ve sürekli öğrenen mimarisi, veri işleme ilkeleriyle doğrudan çatışabilen yapısal sorunlar üretmektedir. Bu sorunların başında hukuka uygunluk ve şeffaflık eksikliği gelir. Hukuki açıdan yapay zekânın veri koruma ilkeleriyle çeliştiği başlıca noktalar şunlardır:

  • Amaçla Sınırlılık: Verilerin yalnızca toplandığı açık ve meşru amaç doğrultusunda kullanılması gerekirken, yapay zekâ sistemleri eski verileri yeni modellerin eğitiminde tekrar tekrar kullanarak amacın dışına çıkabilmektedir.
  • Veri Minimizasyonu: Algoritmalar ne kadar çok veriyle eğitilirse o kadar doğru sonuç verdiğinden, yapay zekâ mimarisi "minimum veri" ilkesine zıt bir biçimde maksimum veri toplama güdüsüyle hareket etmektedir.
  • Doğruluk ve Güncellik: Eğitim veri setlerine giren yanlış ya da eski veriler, sistemin hatalı veya ayrımcı kararlar almasına zemin hazırlayan algoritmik ön yargı sorununa sebebiyet vermekte ve verilerin anlık güncellenmesi çoğu zaman teknik olarak sağlanamamaktadır.

Kara Kutu (Black Box) Problemi ve Aydınlatma Yükümlülüğü

Yapay zekâ sistemlerindeki en büyük hukuki açmazlardan biri kara kutu (black box) problemidir. Kara kutu, derin öğrenme ve makine öğrenmesi algoritmalarının, belirli bir karar veya sonuca nasıl ulaştığının insanlar tarafından anlaşılamaması ve iç işleyişinin gizli kalması durumudur. Hukuk düzenimiz, kişisel verileri işlenen bireylere karşı şeffaf olunmasını ve onlara karşı aydınlatma yükümlülüğünün yerine getirilmesini şart koşar. Veri sorumlusu, algoritmanın çalışma mantığı ve kişisel verinin işlenme süreci hakkında veri öznesine anlaşılır bilgiler sunmalıdır. Ancak sistemin opak yapısı, geliştiricilerin dahi bazen hangi girdinin hangi çıktıyı ürettiğini açıklamasını imkânsız hale getirir. Bu şeffaflık eksikliği, bireyin verilerinin nasıl kullanıldığını bilmesini engelleyerek açık rıza iradesini sakatlayabilir ve hukuki denetimi işlevsiz kılabilir. Veri özneleri, aleyhlerine çıkan bir otomatik karara karşı çıkmak istediklerinde, kararın mantığını öğrenemedikleri için yasal haklarını etkin bir biçimde kullanamazlar.

Veri Sorumlusunun Belirsizliği ve Sınır Ötesi Aktarım

Geleneksel veri işleme sistemlerinde verinin toplanma ve işlenme amaçlarını belirleyen veri sorumlusu genellikle açıktır. Ancak yapay zekâ ekosisteminde; algoritmayı geliştiren şirket, sistemi kullanan kurum ve sisteme veri sağlayan üçüncü taraf hizmet sağlayıcılar iç içe geçmiştir. Yapay zekânın kendi başına öğrenip, başlangıçta programlanmayan yeni amaçlar doğrultusunda veri toplayabilme kapasitesi, veri sorumlusunun kim olduğu yönünde ciddi bir hukuki belirsizlik yaratmaktadır. Kimi durumlarda birden fazla aktörün ortak veri sorumlusu kabul edilmesi gerekebilir. Buna ek olarak, yapay zekâ modellerinin eğitimi genellikle küresel bulut sunucularında gerçekleştirildiği için sınır ötesi veri aktarımı sorunu doğmaktadır. Verilerin birden fazla ülkedeki sunuculara dağıtılarak işlenmesi, farklı ulusal mevzuatların çakışmasına ve hangi ülke kurallarının uygulanacağı sorunsalına yol açar. Güvenli ülke listelerinin belirsizliği ve küresel ölçekte standartlaşmış aktarım mekanizmalarının bulunmayışı, yapay zekâ sistemlerindeki veri işleme faaliyetlerinin hukuka uygunluğunu ciddi şekilde zedelemektedir.

Şirketler yapay zeka için internetteki tüm bilgilerimi toplayabilir mi? expand_more
Hayır, şirketlerin yapay zekâ sistemlerini eğitmek için sınırsızca ve esnek bir biçimde veri toplaması hukuka aykırıdır. KVKK kapsamında verilerin yalnızca toplandığı açık ve meşru amaç doğrultusunda kullanılması ve veri minimizasyonu (minimum veri) ilkesine uyulması zorunludur. Ancak yapay zekâ sistemleri, doğası gereği daha doğru sonuçlar verebilmek için maksimum veri toplama güdüsüyle hareket ederek bu hukuki kuralları ihlal etme tehlikesi barındırmaktadır. Mevcut verilerinizin yeni modellerin eğitiminde amacına aykırı şekilde tekrar tekrar kullanılması, temel veri koruma ilkeleriyle doğrudan bir çatışma yaratmaktadır.
Yapay zeka hakkımda haksız bir karar verirse kime ve nasıl itiraz edeceğim? expand_more
Otomatik karar alma süreçlerinde hukuki itiraz hakkınızı kullanırken karşılaşacağınız en büyük engel "kara kutu" (black box) olarak adlandırılan algoritma mimarisidir. Kanunen veri sorumlusunun, algoritmanın çalışma mantığı ve verilerinizin işlenme süreci hakkında size anlaşılır bilgiler sunarak aydınlatma yükümlülüğünü yerine getirmesi şarttır. Fakat sistemin şeffaf olmayan opak yapısı nedeniyle, genellikle hangi girdinin hangi çıktıyı ürettiğini sistem geliştiricileri dahi açıklayamamaktadır. Bu durum mantığını öğrenemediğiniz otomatik kararlara karşı yasal haklarınızı etkin bir biçimde kullanmanızı ne yazık ki engellemektedir.
Yapay zeka verilerimi sızdırırsa veya izinsiz kullanırsa kimi dava etmeliyim? expand_more
Yapay zekâ ekosisteminde geleneksel veri işleme yöntemlerinin aksine veri sorumlusunun kim olduğu sıklıkla belirsizlik göstermektedir. Veri işleme sürecine algoritmayı geliştiren şirket, sistemi kullanan kurum ve dışarıdan veri sağlayan üçüncü taraf hizmet sağlayıcılar iç içe geçmiş bir şekilde dahil olmaktadır. Sistemin özerk öğrenme yapısıyla başlangıçta programlanmayan yepyeni amaçlar doğrultusunda veri toplayabilmesi, hukuki muhatabın tespitini oldukça zorlaştırmaktadır. İhlal durumlarında hak kaybı yaşamamanız için duruma göre bu aktörlerden birden fazlasının "ortak veri sorumlusu" olarak kabul edilerek sorumlu tutulması gerekebilir.
Benim bilgilerim yapay zeka yüzünden iznim olmadan yurtdışına mı gidiyor? expand_more
Yapay zekâ sistemlerinin öğrenme süreci devasa veri setlerine ihtiyaç duyduğu için bu veriler genellikle küresel bulut sunucuları üzerinde barındırılmakta ve işlenmektedir. Verilerinizin farklı ülkelerdeki sunuculara dağıtılması, sınır ötesi veri aktarımı sorununu doğurarak çeşitli ulusal mevzuatların birbiriyle çakışmasına neden olmaktadır. Küresel çapta standartlaşmış bir veri aktarım mekanizmasının bulunmaması ve güvenli ülke listelerindeki belirsizlikler, bu sürecin hukuka uygunluğunu ciddi anlamda zedelemektedir. Bu çerçevede aydınlatma yükümlülüğü ihlal edilerek ve geçerli yasal şartlar veya açık rıza mekanizmaları sağlanmadan verilerinizin sınır ötesine aktarılması açıkça hukuka aykırıdır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir