YAPAY ZEKA’NIN HUKUKEN DEĞERLENDİRİLMESİ: VERİ KORUMA HUKUKU

1-         Yapay Zekâ Teknolojisi Nedir?  

Yapay zekâ, bilgisayarların ve sistemlerin insan benzeri düşünme ve öğrenme yetenekleri sergilemesini amaçlayan bir teknolojidir. Bu teknoloji; veri analizi, desen tanıma, özerk karar verme ve problemleri çözme gibi insan zekasıyla ilişkilendirilen görevleri gerçekleştirmek için tasarlanmış algoritmaları ve modelleri içerir.

2-         Yapay Zekâ Nasıl Çalışır?

Özellikle “generative” yapay zekâ denilen üretken yapay zekanın çalışma prensibi; genellikle büyük miktarda veri toplanmasını, bu verilerin öğrenme algoritmalarıyla işlenmesini ve modele aktarılmasını içerir. Son zamanlarda kullanımı gittikçe yaygınlaşan ve gündelik hayatın bir parçası haline gelen yapay zekâ uygulamaları ile hukuk tam olarak bu noktada kesişiyor.

3-         Yapay Zekâ ile Veri Koruma Hukukunun Kesişimi

Yapay zekaya ilişkin hukuki düzenlemelerin çıkış noktası “veri” olgusuna dayanmaktadır. Yapay zekâ uygulamalarının çalışma prensibinin büyük bir kısmının kullanıcılardan yüksek miktarda veri işlemek olduğu bilinmekte birlikte hangi verinin ne amaçla toplandığı, nasıl depolandığı ve gizliliği konusunda yakın geçmişe kadar kesin bilgiler elde edilememekteydi. Öyle ki üretken yapay zekâ modellerinin gündelik hayata dahil olmaya başladığı ilk evrelerde, kullanıcıların büyük bir kısmının verilerinin toplandığının dahi ayırdında olmadığını söylemek yanlış olmaz.

Yapay zekâ gibi yaratıcılığa dayanan bir alanda hukuki kısıtlamaların yaratıcılığı körelteceği ve gelişmelere ket vuracağı yönünde iddialar yükselmiş olsa da yaşanan veri ihlalleri nedeniyle düzenlemeler kaçınılmaz hale gelmiştir.

Veri işleme noktasında, gerçek kişiler arasında da geçerli olan başlıca şartlar, dünya genelindeki kurumlarda temel prensiplerde benzerlik göstermektedir.  (i) Hukuka ve dürüstlük kurallarına uygunluk, (ii) doğruluk ve güncellik, (iii) belirli, açık ve meşru amaçlar ile işleme, (iv) ölçülü, sınırlı ve amaca bağlı olma şeklinde sayılabilir. Mevcut ilkeler yapay zekâ özelinde uyarlanırsa, sistemlerin özellikle ölçülü, sınırlı ve amaca uygun olma konusunda problemler doğurduğunu görmek mümkündür. Makine öğrenmesine dayanan yapay zekâ sistemlerinin, oluşumlarından sonra toplayacağı veriler ve işleme şekilleri öngörülemez olabilir. Mevcut uygulamalarda kullanıcılara bu konu özelinde bir şeffaflık tanınmadığı için ihlallerin tespiti güçleşmektedir.

Bunun yanı sıra, veri işleme sistemlerinde bir diğer unsur, veri sahibinin, verilerinin işlenmesi için rıza göstermesidir. Kullanıcılara sunulan açık rıza metinleri, veri işleme sürecini meşru hale getirmek için önem taşımaktadır. Ancak bu noktada geliştiricilerin karşısına tekrar şeffaflık ve açıklanabilir olma yükümlülüğü gelecektir; çünkü veri sahibi tarafından açıklanan rızanın geçerli olabilmesi için, rıza gösterilen konunun belirlenm olması gerekmektedir.

Özetle açıklanan temel problemler ışığında yapay zekanın etkili çalışmasının önüne geçmeyecek şekilde kullanıcıların haklarını ve verilerini koruyacak düzenlemeler getirilmesi gerekmektedir.

4-         İtalya Örneği

Yapay zekâ uygulamalarına karşı kişisel verilere yönelik güvensizliği nedeniyle tepki gösteren ilk ülke İtalya’dan sonra çeşitli ülkelerden de veri güvenliğine yönelik uyarılar yönetildi.

İtalyan Veri Koruma Otoritesi, Garante per la protezione dei dati personali’nin (“Garante”), tam da bu sebeple, üretken yapay zekanın şimdilerde en popüler simgesi haline gelmiş ChatGPT’ye geçici kısıtlama kararı verdi.  Bu kararda; OpenAI şirketinden ChatGPT’nin işlediği verilerin yöntemlerini ve mantığını açıklamasını, kullanıcıları bu konuda bilgilendirmesini, insanların yanlış verilerini silmesine veya düzeltmesine imkân sağlayacak araçları sağlamasını talep etti. Düzenlemeler sayesinde OpenAI, kullanıcı olmayanların kişisel verilerinin işlenmesine itiraz etmesine de izin vermek durumunda kaldı. Şirket, sayılan şartlar yerine getirilmediği takdirde ChatGPT uygulamasının ülkede kullanımının yasaklanacağı hakkında bilgilendirildi ve şartlara uyum sağlamaları için kendilerine süre verildi.

Şartları kabul eden OpenAI, 13 yaşın altındaki kullanıcıların erişimini engelleyecek bir yaş tanıma sistemi de eklediği uygulamasını İtalya’da tekrar kullanıma sunmuş oldu.

Yaşanan değişikliklere rağmen Garante, uygulamanın potansiyel veri ihlallerin araştırılmaya devam edileceğini ve farklı önlemler almaya açık olduklarını belirtti.

5-         Türkiye’de Durum Ne?

Kişisel verilerin korunması hakkı, 2010 yılında Anayasa’nın 20. maddesine yapılan ekleme ile temel haklardan biri olarak kabul edilmiştir. Maddede ifade edildiği şekliyle “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.”

Türkiye’de Kişisel Verileri Koruma Kurulu (“KVKK”) henüz yapay zekâ yolu ile veri işlenmesine ilişkin bir ihlal kararı vermedi. Ancak bu duruma ilişkin bir rehber yayımladı.

Konuyla alakalı KVKK’nin yayımladığı rehbere buradan https://www.kvkk.gov.tr/Icerik/7048/Yapay-Zeka-Alaninda-Kisisel-Verilerin-Korunmasina-Dair-Tavsiyeler  ulaşabilirsiniz.

Rehber; geliştiriciler, üreticiler ve servis sağlayıcılar için tavsiye niteliğinde yayınlanmış olup konu üzerinde somut sınırlar çizmemiştir. Öncesinde diğer veri sorumluları için de tavsiye edilen anonimleştirme, ölçülülük, temel hak ve özgürlüklere saygı gibi başlıkların altı çizilmiş, kullanıcıya veri işleme faaliyetini durdurabilme hakkı tanınması tavsiye edilmiştir. KVKK, karar alma süreçlerinde insan müdahalesinin rolünün tesis edilmesinin gerekli olduğunu da belirtmiştir.

Rehberde kaynakça olarak gösterilen Avrupa Konseyi’nin yapay zekaya ilişkin düzenlemelerinin daha detaylı ve kanunlaşma yolunda daha ileride olduğunu da eklemek gerekir.

6-         Dünyadan Örnekler

Dünyanın her yerinden yapılan farklı itirazlardan sonra yapay zekâ uygulamaları büyük ölçüde revizelere gitse de teknolojik ilerlemelerin devam etmesiyle beraber yeni ihlaller de meydana gelmeye başladı. Yaşanan ihlaller arasında ciddi tehlikelere sebep olan uygulamalardan bir tanesi de ses üzerine oynama yapabilen yapay zekâ uygulamaları. Kullanıcılara herhangi bir oyuncu, animasyon karakteri, siyasetçi ya da sıradan bir vatandaşın sesi üzerinde işleme yaparak, hiç söylemedikleri şeyleri dahi karşı tarafın sesiyle yaratan bu uygulamalar ağırlıklı olarak eğlence temelli içeriklerde kullanılsa da dolandırıcılıklarda da kendilerini gösteriyor.

Uygulamaları, çalışanların sesleri üzerinde oynama yapıp iş sözleşmesinin feshi için haklı sebep oluşturmakta kullananlar, boşanma davalarında avantaj elde etmek için eşlerine “sözde” itiraflar yaptıranlar hakkında haberler gündemi zaman zaman meşgul etmekte. Ancak belki de en ciddi vaka Almanya’da bir şirketin CEO’sunun sesini yapay zekâ yardımıyla taklit edip yaklaşık 240 bin doları kendi hesaplarına geçiren dolandırıcılarla gündeme geldi.

Kişinin sesinin kaydedilmesi ve hatta üzerinde değişiklik yapılması kişisel verilerin korunması kanuna aykırılık teşkil etmekle beraber Türk Ceza Kanunu’nun 134. maddesinde özel hayatın gizliliğini ihlal kapsamında “Kişilerin özel hayatının gizliliğini ihlal eden kimse, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, verilecek ceza bir kat arttırılır.” şeklinde; 135. maddesinde ise kişisel verilerin kaydedilmesi kapsamında düzenlenmiştir.

7-         Sonuç

Gelinen noktada hem dünyada hem de Türkiye’de yapay zekâ geliştiricileri, veri sorumluları, için en önemli önlemler şeffaflığın sağlanması, aydınlatma yükümlülüğü ve açık rıza metinlerinin profesyonel hazırlanmış olmasıdır. Şirket politikası olarak silme, yok etme ve anonim hale getirme faaliyetlerinin düzenli ve kontrollü yürütülmesi; kişisel verilerin hukuka ve temel hak ve özgürlüklere saygılı şekilde toplanıp işlenmesinin prensip hale getirilmesi hem kullanıcılar hem de veri sorumluları için güvenli bir ortam yaratacaktır.

Yapay zekâ faaliyetlerinin hızlı ilerlemesi ve insan hayatına adaptasyonu, günlük hayata olağan bir parça olarak yerleşeceğini göstermektedir. Yaşanabilecek hukuki uyuşmazlıkların çözümü için yapay zekâ kavramını öznesi haline getirecek yeni kanunlaşmalara olan ihtiyaç ise günden güne artmaktadır. Sadece kişisel verilerin korunması çerçevesinde değil, fikri mülkiyet hukuku, ceza hukuku gibi alanlarda da yapay zekanın hukuki ve cezai sorumluluğu soru işaretleri yaratmaktadır. Bu soru işaretlerinin giderilmesi için yapay zekâ hukuku üzerine çalışması ve kurumların denetim altında olması önem taşırken kullanıcıların hakları konusunda eğitilmesi de bir o kadar etkili olacaktır.