Open menu

04 Ekim 2021

Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler

Written by Onur Saygın, Posted in KVKK - GDPR

Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler

Kişisel Verileri Koruma Kurumu tarafından 15 Eylül 2021 tarihinde "Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler" rehberi yayımlanmıştır. Rehber, 7 Nisan 2016'da yürürlüğe giren Kişisel Verilerin Korunması Kanunu kapsamında yapay zekâ teknolojilerinin geliştirilmesi ve uygulanması kapsamında kişisel verilerin korunmasına yönelik önerileri içermektedir.

Yapay zekâ teknolojileri toplumsal hayatın hemen her alanında önemli dönüşümlere yol açmıştır. Yüksek miktarda verinin toplanması ve analizine dayanan yapay zekâ teknolojileri, özellikle ekonomik alanı dönüştürmüş ve verileştirme faaliyetleri aracılığıyla her türlü bilgi, ekonomik değer üretmenin temel unsuru hâline gelmiştir. Bu eğilim, çok çeşitli faaliyetler kapsamında, özellikle kişisel verilerin merkeze alınmasını ve kişisel veriler aracılığıyla değer üretilmesini sağlamıştır. Bunun yanı sıra, kişisel verilerin kullanıldığı yapay zekâ teknolojileri gündelik hayatın diğer yanlarını her geçen gün daha fazla etkilemektedir.

Yapay Zekâ Teknolojileri Kapsamında Kişisel Verilere Yönelik Riskler

Kişisel verilerin, yapay zekâ teknolojilerine konu olmasının sonucunda, bu hususun yarattığı problemler deneyimlenmiş ve daha farklı problemlere yol açabileceği öngörülmüştür. Mevcut ve gelecekteki risklere ilişkin yapılan değerlendirmeler sonucunda; ayrımcılık, kişisel veri gizliliğinin ihlali, şeffaflık ve hesap verilebilirlik başta olmak üzere kişisel verileri etkileyecek konuların dikkate alınması gerektiği ortaya çıkmıştır. Gerçek kişilerin konu olduğu veri analizleri sonucunda edinilen kararların önyargılı olması sonucunda ortaya çıkan etik problemler, "ayrımcılık" başlığı altında incelenmektedir. Buna ilişkin olarak, İtalyan Veri Koruma Kurumu tarafından Glovo hakkında verilen karar, yapay zekâ teknolojilerinin kişilerin ayrımcılığa uğramasına nasıl yol açabileceğini ortaya koyan bir örnek niteliğindedir. Özellikle internetin ve sosyal medyanın yaygınlaşması, gündelik hayattaki süreçlerin teknolojik ortamlar aracılığıyla yürütülmesi, kişisel verilerin korunmasına ilişkin riskleri beraberinde getirmekte ve gizlilik ihlallerinin meydana geldiği durumlarda kişisel verilerin ilgili kişilerin rızası olmaksızın otomatik karar alma süreçlerine konu edilmesi söz konusu olmaktadır. Aylık bültenlerimizde de duyurduğumuz üzere, son yıllarda veri ihlallerine konu olan, özellikle büyük kapsamdaki kişisel verilerin üçüncü taraflarca ele geçirilmesi hususu, kişisel verilerin ekonomik değer üretmek amacıyla yapay zekâ teknolojilerine konu edilmesine yönelik iradeyi göstermektedir. 2016 yılında Amerika Birleşik Devletleri'nde gerçekleştirilen başkanlık seçimlerinde, Cambridge Analytica aracılığıyla yürütülen faaliyetler bu konudaki riskleri ortaya koyan önemli örneklerdendir. Bir diğer temel risk alanı ise şeffaflık ve hesap verilebilirliğe ilişkindir. Yapay zekâ teknolojilerinin kapalı yapısı, yapay zekâ kararlarının hukuksuzluk içerip içermediği konusunda inceleme zorlukları yaratmakla birlikte, ilgili kişilerin aydınlatılması noktasında da problemler ortaya çıkabilmektedir. "GDPR Kapsamında Algoritmik Şeffaflık" makalemizde de detaylı bir şekilde incelendiği üzere veri sorumluları tarafından karmaşık algoritmalar aracılığıyla işlenen kişisel verilere yönelik aydınlatma yükümlülüğü yerine getirilirken, bu algoritmaların işleyiş mantığının ilgili kişilere açıklanması gerekmektedir.

Konuyla İlgili Mevzuat ve Yayımlar

Yukarıda bahsedilen risklerin fark edilmesi ve öngörülmesi ile, hukuki altyapı oluşturma çalışmaları hız kazanmıştır. Kişisel verilerin yapay zekâ teknolojileri aracılığıyla işlenmesine yönelik olarak çeşitli düzenlemelere kanunlarda yer verilmiş, çeşitli ülkelerde konuya ilişkin komisyonlar kurulmuş ve yönlendirici nitelikte çalışmalar yapılmıştır. 14 Nisan 2016 tarihinde yayımlanan Avrupa Genel Veri Koruma Tüzüğü'nün 22'nci maddesi, ilgili kişilerin kişisel verilerine yönelik olarak profilleme de dâhil olmak üzere kendileri üzerinde anlamlı etki yaratan otomatik karar alma süreçlerine konu olmama hakkını düzenlemekle birlikte; ilgili madde aracılığıyla veri sorumlularına yönelik olarak otomatik karar alma süreçlerine konu verilerin korunmasına ilişkin ek tedbir alma yükümlülükleri getirmiştir. Yine ilgili madde kapsamında, bir sözleşmenin kurulması ve/veya ifası ile Avrupa Birliği veya üye ülke kanunlarına dayanan faaliyetler dışında otomatik karar alma süreçlerine konu olacak kişisel veriler için ilgili kişiden açık rıza alınması gerektiği öngörülmüştür. Ayrıca ilgili madde ile ilişkili olan 71'inci ve 72'nci kanun gerekçelerinde hakkında bir algoritmaya dayanılarak karar verilen kişilerin veri sorumlusundan açıklama talep etme hakkının mevcut olduğu belirtilmiştir. Kişisel Verilerin Korunması Kanunu'nda ise ilgili kişilerin haklarını düzenleyen 11'inci madde kapsamında, kişilere işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı tanınmıştır. 1 Kasım 2021 tarihinde yürürlüğe girmek üzere onaylanan Çin Kişisel Bilgilerin Korunması Kanunu da ilgili kişilere yönelik olarak otomatik karar alma süreçlerine konu kişisel verilerinin işlenmesini kısıtlama ve reddetme haklarını saklı tutmaktadır. Kanuni düzenlemelerin yanı sıra, özellikle Avrupa Komisyonu, Avrupa Konseyi, OECD gibi kuruluşlar tarafından konuya ilişkin olarak "Güvenilir Yapay Zekâ için Taslak Etik Kurallar", "Yapay Zekâ ve Kişisel Verilerin Korunması Rehber İlkeleri", "Yapay Zekâya İlişkin Beyaz Kitap" , "OECD Yapay Zekâ Konseyi Önerileri" gibi Kişisel Verileri Koruma Kurumu tarafından "Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler" rehberinde de atıf yapılan yönlendirici metinler yayımlanmıştır.

Konuyla İlgili Kişisel Verileri Koruma Kurumu Rehberi'nin İncelenmesi

Bu düzenlemeler ışığında, Kişisel Verileri Koruma Kurumu'nun yayımladığı rehber incelendiğinde, yukarıda bahsedilen çalışmalar ile benzer bir yaklaşıma sahip olduğu görülmektedir. Genel anlamda yapay zekâ uygulamalarının geliştirilmesi ve uygulanması sürecinde ilgili kişilerin temel hak ve özgürlüklerine saygı gösterilmesi ve hukuka uygunluk, dürüstlük, ölçülülük, hesap verilebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkelerine dayanması gerektiği belirtilmiştir. Kişisel verilerin bu yol ile işlenmesinde veri güvenliği ile sosyal ve etik değerlerin göz önünde bulundurulması gerekliliği ifade edilmiştir. Bu kapsamda, yüksek risk öngörülen faaliyetler sırasında, mahremiyet etki değerlendirmesinin uygulanması gerektiği ve hukuki uygunluk kararının bu değerlendirmeye dayanılarak verilmesi gerektiği öngörülmekle birlikte, bütün süreçlerin tasarım süreci de dâhil olmak üzere, veri koruma mevzuatı ile uyumlu yürütülmesi gerektiği vurgulanmıştır. Ek olarak, yapay zekâ teknolojilerinin geliştirilmesi ve uygulanmasında aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, Kurum tarafından verilerin anonim hâle getirilerek işlenmesi yönteminin tercih edilmesi gerektiği açıklanmıştır.

Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehberde, yapay zekâ teknolojileri açısından farklı taraflara yönelik özelleştirilmiş tavsiyeler aşağıdaki gibidir:

Geliştiriciler, Üreticiler, Servis Sağlayıcılar İçin Tavsiyeler

  • Tasarım sürecinde ulusal ve uluslararası düzenlemelerin ve belgelerin dikkate alınması
  • Temel hak ve özgürlükler üzerindeki muhtemel olumsuz risklerin hesaplanıp, önleyici faaliyetlerin yürütülmesi
  • Meydana gelebilecek ayrımcılık gibi olumsuz etkilerin engellenmesi faaliyetlerinin yürütülmesi
  • Asgari veri kullanım ilkesinin benimsenmesi
  • Bağlamından koparılmış algoritma modellerinin olumsuz etkilerinin değerlendirilmesi
  • Süreçlerin akademik kurumlarla birlikte yürütülmesinin yanı sıra, şeffaflığın ve paydaş katılımının zor olduğu alanlarda tarafsız uzman kişi veya kuruluşların görüşünün alınması
  • İlgili kişilerin veri işleme faaliyetine yönelik olarak itiraz, silme, durdurma, yok etme, anonim hâle getirme başta olmak üzere, ulusal ve uluslararası mevzuattan doğan tüm haklarının korunmasının yanı sıra risk değerlendirme aktif katılımlarının desteklenmesi
  • Uygulama ile etkileşime giren kişilere yönelik olarak aydınlatma yükümlülüğünün yerine getirilmesi ve etkili bir onay mekanizmasının tasarlanması

Karar Alıcılar İçin Tavsiyeler

  • Özellikle hesap verilebilirlik ilkesinin tüm aşamalarda gözetilmesi
  • Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürlerinin benimsenmesi ve sektör/uygulama/donanım/yazılım temelinde bir uygulama matrisinin oluşturulması
  • Davranış kuralları ve sertifikasyon mekanizmaları gibi uygun önlemlerin alınması
  • Yapay zekâ modellerinin farklı bir bağlam veya amaç için kullanılıp kullanılmadığını izlemek üzere karar alıcılar tarafından yeterli kaynak ayrılması
  • Karar alma süreçlerinde insan müdahalesi rolünün tesisi ve bireylerin yapay zekâ uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğünün korunması
  • Temel hak ve özgürlüklere yönelik tehditler vuku bulduğunda denetim otoritelerine başvurulması
  • Denetim otoriteleri ve yetkili diğer kuruluşlar arasında; veri mahremiyeti, tüketicinin korunması, rekabetin geliştirilmesi ve ayrımcılıkla mücadele konularında iş birliğinin teşvik edilmesi
  • Yapay zekâ uygulamalarının insan hakları, etik, sosyolojik ve psikolojik etkilerini ölçme temelli uygulama araştırmalarının desteklenmesi
  • Bireyler, gruplar ve paydaşların yapay zekânın büyük veri sistemleri ile, sosyal dinamikleri şekillendirmede ve onları etkileyen karar verme süreçlerinde oynayacağı rolün tartışılması konusunda aktif olarak yer almalarının sağlanması
  • Verilerin güvenli, adil, yasal ve etik paylaşımını destekleyen dijital ekosistemin oluşturulabilmesi için açık yazılım tabanlı uygun mekanizmalar teşvik edilmesi
  • İlgili kişiler bakımından yapay zekâ uygulamalarını ve etkilerini anlama konusunda farkındalığı artırmak için dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılması
  • Uygulama geliştiriciler için kişisel verilerin korunması farkındalığı oluşturmak bağlamında veri mahremiyeti çerçevesinde eğitimlerin teşvik edilmesi

Ek bilgiye ihtiyaç duymanız hâlinde lütfen müşteri temsilciniz ile irtibata geçiniz.

Bilgilendirme Metni!

Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® ve üye şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

Bu web sitesi çerez kullanıyor.
Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.
x