Kişisel Verileri Koruma Kurumu’ndan Yapay Zeka Alanında Kişisel Verilerin Korunmasına Yönelik Tavsiyeler
Yapay zeka teknolojileri, günümüzün en hızlı gelişen ve en çok tartışılan alanlarından biri olarak bireylere ve topluma önemli faydalar sağlarken, aynı zamanda kişisel verilerin korunması açısından çeşitli riskler de taşımaktadır. Son dönemde çokça tartışılan DeepSeek Avrupa Komisyonunca ve ilgili veri koruma otoritelerince incelemeye alınmıştır.
Kişisel Verileri Koruma Kurumu (“Kurum”), ise yapay zeka uygulamalarında risklerin azaltılmasına yönelik olarak geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar için kişisel verilerin korunmasına dair aşağıda özetlenen tavsiyelerde bulunmaktadır. Bu konu özelinde detaylı kuralların oluşturulması yönündeki ihtiyaç her geçen gün çoğalmaktadır.
İnsan Merkezli Yapay Zeka
Temel hak ve özgürlüklerinin korunması bakımından yapay zeka uygulamalarının insan merkezli bir anlayışla yönetilmesi gerekmektedir.
Kurum’un bu tavsiyesi özelinde insan merkezli yapay zeka ile kastedilen, yapay zeka sistemlerinin karar verme süreçlerini tamamen otomatikleştirmemesi, insan müdahalesine imkan tanıyan bir yapı içermesi, etik prensiplere ve insan onuruna uygun olmasıdır. Yapay zeka, karar alırken bireyin özerkliğini ve iradesini göz önünde bulundurmalı, ayrımcılığa ve önyargıya yol açmamalıdır.
Hesap Verebilir Algoritmalar
Ürün ve hizmetlerin tasarımından başlayarak yaşam döngüsü boyunca veri koruma hukukuna uygunluk açısından hesap verebilirliği sağlayacak algoritmalar benimsenmelidir.
Yapay zeka sistemlerinin şeffaf ve hesap verebilir olması, veri koruma hukukuna uygunluğun sağlanması açısından kritik bir unsurdur. Ürün ve hizmetlerin tasarım aşamasından itibaren veri koruma prensiplerine uygunluğu garanti altına alınmalı ve bu doğrultuda algoritmalar oluşturulmalıdır. Algoritmaların denetlenebilir ve izlenebilir olması, bireylerin karar alma süreçlerine güven duymasını sağlayacaktır.
Risk Değerlendirmelerine Bireylerin ve Toplumun Katılımı
Uygulamalardan etkilenmesi muhtemel olan bireylerin ve grupların katılımına dayalı risk değerlendirmeleri yapılmalıdır.
Yapay zeka sistemlerinden etkilenmesi muhtemel bireyler ve gruplar, süreçlere dahil edilerek risk değerlendirmeleri yapılmalıdır. Özellikle yapay zeka uygulamalarının sosyal etkileri, ayrımcılık riski, yanlış karar alma ihtimali gibi hususlar göz önünde bulundurulmalıdır. Bu değerlendirme süreçlerine bağımsız uzmanlar ve sivil toplum kuruluşları da dahil edilerek daha kapsayıcı bir yaklaşım benimsenebilir.
Otomatik İşlemenin Kapsamının Sınırlandırılması
Bireylerin münhasıran kendi görüşleri dikkate alınmaksızın otomatik işlemeye dayalı olarak kendilerini etkileyecek bir karara maruz kalmamalarını sağlayacak ürün ve hizmetler tasarlanmalıdır
Bireylerin yalnızca otomatik işlemeye dayalı kararlarla etkilenmemesi gerekir. Örneğin, bir iş başvurusu sürecinde tamamen yapay zeka tabanlı bir karar mekanizması yerine, insan değerlendirmesi içeren bir süreç uygulanmalıdır. Böylece bireyler, kendileriyle ilgili alınan kararlar hakkında itiraz hakkına sahip olabilirler. Kişisel verileri işleyen yapay zeka sistemleri, bireylerin temel haklarına doğrudan etki edebileceğinden dolayı, bireylerin karar alma süreçlerine katılımı önemlidir.
Anonimleştirilmiş Veri Kullanımı
Yapay zeka teknolojilerinin geliştirilmesinde aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, veriler anonim hale getirilerek işlenmelidir.
Yapay zeka sistemleri geliştirilirken, mümkünse kişisel veri işlenmeden sonuç elde edilmesi kişisel verilerin korunması açısından önemli bir sonuçtur. Eğer kişisel veri işlenmesi kaçınılmazsa, bu veriler anonim hale getirilerek kullanımı tercih edilmelidir. Anonimleştirme, bireylerin gizliliğini korumak adına etkin bir yöntem olup, anonimleştirilmiş verilerin de belirli aralıklarla yeniden değerlendirilmesi ve anonimlik seviyesinin korunup korunmadığının kontrol edilmesi gerekmektedir.
Veri Koruma İlkesine Uygun Tasarım
Yapay zeka çalışmalarında tüm sistemler tasarımdan itibaren veri koruma ilkesine göre geliştirilmelidir.
Yapay zeka sistemlerinin tasarım aşamasından itibaren veri koruma prensipleriyle uyumlu olması sağlanmalıdır. "Gizlilik Tasarım Aşamasında" (Privacy by Design) ve "Gizlilik Varsayılan Olarak" (Privacy by Default) yaklaşımlarına uygun hareket edilmelidir. Bu sayede, sistemlerin en başından itibaren bireylerin mahremiyetini koruyacak şekilde geliştirilmesi sağlanabilir.
İnsan Müdahalesinin Karar Alma Süreçlerinde Rolü
Karar alma süreçlerinde insan müdahalesi rolü tesis edilmesini, bireylerin, yapay zeka uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğü korunmalıdır.
Kurum’un bu tavsiyesine göre yapay zeka sistemleri, karar alma süreçlerinde insan müdahalesini içerecek şekilde tasarlanmalıdır. Ayrıca, bireylerin yapay zeka tarafından sunulan önerileri sorgulama ve kabul etmeme özgürlüğü korunmalıdır. Bu, bireylerin teknolojik sistemlere karşı bağımsızlıklarını sürdürmeleri açısından önemlidir. Yapay zekanın verdiği kararların doğruluğu ve güvenilirliği sürekli olarak denetlenmelidir.
Asgari Veri Kullanımı ve Model Doğruluğunun İzlenmesi
Kullanılan kişisel verilerin kalitesi, niteliği, kaynağı ve miktarı değerlendirilerek asgari veri kullanımına gidilmesi, geliştirilen modelin doğruluğu izlenmelidir.
Kurum’un bu tavsiyesine göre bir ön değerlendirme neticesinde sadece gerekli olan veriler işlenmelidir. Ayrıca geliştirilen yapay zeka modellerinin doğruluğu ve tarafsızlığı sürekli olarak test edilmelidir. Veri setlerinde yer alan hatalar veya yanlılıklar (bias) sistemin yanlış kararlar almasına yol açabilir. Modelin adil, tarafsız ve doğru çalışmasını sağlamak için sürekli izleme ve test süreçleri uygulanmalıdır.
Mahremiyet Etki Değerlendirmesi Yapılması
Yapay zeka çalışmalarında kişisel verilerin korunması açısından yüksek risk öngörülüyorsa mahremiyet etki değerlendirmesi uygulanmasını ve veri işleme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmelidir.
Mahremiyet etki değerlendirmesi, sistemin olası risklerini analiz ederek hukuka uygun olup olmadığını belirlemek için kritik bir adımdır. Mahremiyet etki değerlendirmeleri, sadece başlangıç aşamasında değil, sistemin kullanım süresi boyunca belirli aralıklarla yapılmalıdır.
Farkındalık ve Eğitim Çalışmalarının Desteklenmesi
Kişisel verilerin korunması farkındalığı oluşturmak bakımından veri mahremiyeti çerçevesinde eğitimler ve bilgilendirme çalışmalarının teşvik edilmelidir.
Bu sayede hem bireyler hem de kurumlar, yapay zeka kullanımında veri mahremiyetini korumaya daha fazla önem verebilirler. Yapay zeka geliştiricileri, hukukçular ve yasa koyucular arasında iş birliği sağlanarak, etik ve hukuki boyutlar hakkında bilinçlendirme faaliyetleri yürütülmelidir.
Sonuç olarak, yapay zeka teknolojilerinin sunduğu imkanlar ne kadar geniş olursa olsun, bireylerin temel hak ve özgürlüklerini koruma sorumluluğu her zaman ön planda tutulmalıdır.
Kurum’un belirlediği bu tavsiyeler, bu alanda bir mevzuat çalışması yapılana kadar, yapay zeka uygulamalarının etik, şeffaf ve güvenilir bir şekilde geliştirilmesine katkı sağlayacak önemli ilkesel hususların altını çizmektedir. Bu prensiplere uygun hareket edilmesi, hem bireylerin mahremiyetini koruyacak hem de teknolojinin güvenilirliğini artıracaktır.
Ülkemizde yapay zeka sistemlerinin güvenli ve etik bir şekilde geliştirilmesi, dağıtılması ve kullanılmasını düzenleyen yasal bir çerçevenin oluşturulması gerekmektedir. Bu yönde yapılacak çalışmalarda bu alandaki ilk yasal düzenleme niteliğini taşıyan Avrupa Birliği Yapay Zeka Yasası’ndan (AI Act) yararlanılarak "risk temelli" bir yaklaşım benimsenmesi ve yanı sıra GDPR madde 22 kapsamındaki ilkelerin de yasal mevzuat çerçevesinde ele alınıp tavsiyelerden öte öncelikle bağlayıcı kurallar haline getirilmesi son derece önemlidir.
Ufuk Ege Uçar'a katkılarından dolayı teşekkür ederiz.