Anasayfa/ Makale/ Yapay Zekâda Veri Sorumlusunun Yükümlülükleri ve Hukuki Yaptırımlar

Yapay Zekâda Veri Sorumlusunun Yükümlülükleri ve Hukuki Yaptırımlar

Yapay zekâ teknolojilerinin kullanımında veri sorumlusunun KVKK kapsamındaki aydınlatma, veri güvenliğini sağlama ve VERBİS’e kayıt gibi yükümlülükleri büyük önem taşır. Bu yükümlülüklere uyulmaması idari, hukuki ve cezai yaptırımları beraberinde getirir. Veri ihlallerinin tespiti ve şeffaf süreç yönetimi, hukuki güvenliğin temelidir.
search
5 dk okuma Yayınlanma: Güncelleme:
AYDINLATMA YÜKÜMLÜLÜĞÜ KVKK TAZMİNAT CEZA HUKUKU

Günümüzde hızla gelişen yapay zekâ sistemleri, kişisel verilerin işlenmesi süreçlerinde derin köklü değişimlere yol açmaktadır. Bu sistemlerin otonom yapıları ve çok yüksek hacimli verileri analiz etme kapasiteleri, veri güvenliği bakımından yeni riskler doğurmaktadır. Tam da bu noktada, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu sıfatını taşıyan gerçek veya tüzel kişilerin üstlendiği hukuki sorumluluklar hayati bir önem kazanır. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan veri sorumlusu, yapay zekâ uygulamalarının algoritmik süreçlerini işletirken mevzuatta öngörülen katı kurallara uymakla mükelleftir. İlgili kişilerin temel hak ve özgürlüklerinin ihlal edilmemesi adına, yapay zekâ araçlarının entegrasyonundan uygulamanın sona ermesine kadar geçen tüm süreçte şeffaflık, hesap verebilirlik ve hukuka uygunluk ilkelerinin gözetilmesi şarttır. Aksi takdirde, işletmelerin ve yöneticilerin ağır idari para cezaları ile adli yaptırımlarla karşılaşması kaçınılmazdır.

Yapay Zekâ Sistemlerinde Veri Sorumlusunun Temel Yükümlülükleri

Yapay zekâ uygulamaları vasıtasıyla kişisel verilerin işlendiği durumlarda, veri sorumlusunun yükümlülükleri oldukça geniş kapsamlıdır. Veri sorumlusu, otomatik karar verme süreçlerini işletmeden önce veri işleme ilkelerine tam bir uyum sağlamak zorundadır. Bu kapsamda öne çıkan en temel yükümlülük aydınlatma yükümlülüğüdür. KVKK uyarınca, ilgili kişiye kişisel verilerinin hangi amaçlarla, hangi hukuki sebebe dayanılarak ve hangi yöntemlerle işlendiği açıkça bildirilmelidir. Özellikle kişisel verilerin tamamen veya kısmen otomatik yollarla işlenmesi durumunda, veri sorumlusu bu hususu aydınlatma metninde şeffaf ve anlaşılır bir dille ifade etmelidir. Yapay zekânın kara kutu etkisi nedeniyle süreçlerin tam olarak anlaşılamaması riski bulunsa da, veri sorumlusunun ilgili kişiyi verilerinin akıbeti hakkında makul düzeyde bilgilendirme zorunluluğu ortadan kalkmaz. Böylelikle, kişinin otomatik işleme faaliyetinin varlığından haberdar olması ve haklarını etkin şekilde kullanabilmesi temin edilir.

Veri Güvenliği ve İhlal Bildirimi Süreçleri

Aydınlatma yükümlülüğünün yanı sıra, veri güvenliğini sağlama yükümlülüğü veri sorumlusunun bir diğer asli görevidir. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz kişilerce erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri almakla yükümlüdür. İşleme faaliyeti doğrudan sistem yöneticisi adına bir üçüncü kişi olan veri işleyen tarafından gerçekleştirilse dahi, ihlallerden her iki taraf da müştereken sorumlu tutulur. Sistemlerdeki açıklar veya siber saldırılar neticesinde bir veri sızıntısı yaşanması durumunda, veri sorumlusu bu durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurulu'na ve verisi ihlal edilen ilgili kişiye bildirmelidir. Bu yükümlülüklere ek olarak, veri işleme faaliyetine başlamadan önce Veri Sorumluları Siciline (VERBİS) kaydolma ve ilgili kişilerden gelen talepleri yasal süresi içinde sonuçlandırma yükümlülükleri de titizlikle yerine getirilmelidir.

Kişisel Verilerin Hukuka Aykırı İşlenmesi Hâlinde Uygulanacak Yaptırımlar

Yapay zekâ uygulamalarında kişisel verilerin KVKK ve ilgili mevzuata aykırı biçimde işlenmesi, veri sorumlusu açısından ciddi hukuki sonuçlar doğurmaktadır. İlgili kişilerin temel hak ve özgürlüklerinin zedelenmesi durumunda idari, hukuki ve cezai boyutta çok yönlü yaptırımlar gündeme gelir. Kişisel verileri hukuka aykırı işlenen kişiler, öncelikle veri sorumlusuna başvurarak ihlalin giderilmesini talep etme hakkına sahiptir. Başvurunun reddedilmesi, eksik cevaplanması veya süresi içinde yanıtlanmaması hâlinde ise Kişisel Verileri Koruma Kurulu'na şikâyet yoluna gidilebilir. Kurul, yaptığı inceleme neticesinde veri güvenliği ihlali tespit ederse, veri sorumlusu aleyhine ağır idari para cezalarına hükmedebilmektedir. İdari yaptırımların caydırıcılığı oldukça yüksektir. Ayrıca kişinin zarara uğraması hâlinde, zararın tazmini için genel hükümlere göre dava açma hakkı her zaman saklıdır. Uygulanabilecek temel yaptırımlar şu şekilde sınıflandırılabilir:

  • İdari Yaptırımlar: Aydınlatma yükümlülüğüne, veri güvenliğine, Kurul kararlarına ve VERBİS’e kayıt yükümlülüğüne aykırılık hâllerinde KVKK kapsamında yüksek meblağlı idari para cezaları uygulanır.
  • Hukuki Yaptırımlar: Kişisel verilerin hukuka aykırı işlenmesiyle doğan maddi ve manevi zararların tazmini amacıyla, Türk Medeni Kanunu'nun kişilik haklarını koruyucu hükümleri ve Türk Borçlar Kanunu'nun genel hükümleri çerçevesinde tazminat davaları açılabilir.
  • Cezai Yaptırımlar: Türk Ceza Kanunu'nun ilgili maddeleri uyarınca; kişisel verilerin hukuka aykırı kaydedilmesi, başkasına verilmesi veya kanuni süreler sonunda yok edilmemesi gibi ihlallerde hapis cezaları ile tüzel kişiler için özel güvenlik tedbirleri uygulanmaktadır.
Şirketler yapay zekayla verilerimi işlerken bana haber vermek zorunda mı? expand_more
Evet, şirketler kişisel verilerinizi otomatik yollarla işlerken sizi bu hususta açıkça bilgilendirmek zorundadır. KVKK uyarınca aydınlatma yükümlülüğü kapsamında verilerinizin hangi amaçlarla, yöntemlerle ve hangi hukuki sebebe dayanılarak işlendiği tarafınıza bildirilmelidir. Yapay zekânın karmaşık süreçleri barındıran "kara kutu etkisi" dahi, veri sorumlusunun sizi makul düzeyde bilgilendirme mecburiyetini ortadan kaldırmaz. Bu şeffaflık sayesinde otomatik işleme faaliyetinden haberdar olabilir ve yasal haklarınızı etkin bir şekilde kullanabilirsiniz.
Yapay zeka sistemi hacklenip verilerim çalınırsa kim sorumlu tutulur? expand_more
Sistemlerdeki siber saldırılar veya güvenlik açıkları neticesinde bir veri sızıntısı yaşanması durumunda, bu ihlali en kısa sürede Kişisel Verileri Koruma Kurulu'na ve size bildirmekle yükümlü olan asıl kişi veri sorumlusudur. Veri sorumlusu, yetkisiz erişimi engellemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri almak zorundadır. Veri işleme faaliyeti doğrudan sistem yöneticisi adına hareket eden üçüncü bir kişi (veri işleyen) tarafından gerçekleştirilmiş olsa bile, doğan güvenlik ihlallerinden her iki taraf da müştereken sorumlu tutulmaktadır.
Bir yapay zeka verilerimi izinsiz kullandıysa nereye şikayet edebilirim? expand_more
Kişisel verilerinizin yapay zekâ tarafından hukuka aykırı işlendiğini tespit ederseniz, ilk aşamada doğrudan veri sorumlusuna başvurarak söz konusu ihlalin giderilmesini talep etmeniz gerekmektedir. İlgili işletmenin başvurunuzu reddetmesi, eksik cevaplaması veya yasal süresi içerisinde hiçbir yanıt vermemesi hâlinde doğrudan Kişisel Verileri Koruma Kurulu'na şikâyet yoluna gidebilirsiniz. Kurul tarafından yapılacak detaylı inceleme sonucunda bir ihlal tespit edilirse, veri sorumlusu aleyhine caydırıcılığı oldukça yüksek idari para cezalarına hükmedilebilmektedir.
Yapay zeka yüzünden verilerim sızdı, tazminat davası açabilir miyim? expand_more
Evet, kişisel verilerinizin mevzuata aykırı biçimde işlenmesi veya sızdırılması nedeniyle zarara uğramanız hâlinde, genel hükümlere göre dava açma hakkınız her zaman saklıdır. Meydana gelen bu ihlalden doğan maddi ve manevi zararlarınızın tazmin edilmesi amacıyla, Türk Medeni Kanunu'nun ve Türk Borçlar Kanunu'nun ilgili hükümleri çerçevesinde tazminat davaları açabilirsiniz. Bununla birlikte, verilerin hukuka aykırı kaydedilmesi, paylaşılması veya yok edilmemesi gibi ağır ihlallerde sorumlular Türk Ceza Kanunu kapsamında hapis cezası gibi cezai yaptırımlarla da karşılaşabilmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir