Yapay Zeka Alanında Kişisel Verilerin Korunması
Yapay zekanın kullanımının hızla yaygınlaşması ve hayatın her alanında kendine yer bulması ile birlikte, bu teknolojinin karmaşıklığı ve özel nitelikleri göz önünde bulundurularak, yapay zeka sistemlerinin güvenli ve etik bir şekilde geliştirilmesi, dağıtılması ve kullanılmasını düzenleyen yasal bir çerçevenin oluşturulması zorunlu hale gelmiştir.
Yapay zeka teknolojilerinin güvenli, şeffaf ve insan haklarına saygılı bir şekilde gelişimini teşvik etmenin yanı sıra kullanıcıların ve toplumun genel güvenliğini, haklarını ve özgürlüklerini korumayı hedefleyerek, yapay zekanın etik gelişimini ve kişisel verilerin korunmasını sağlamak üzere bu alandaki ilk yasal düzenleme niteliğini taşıyan ve 1 Ağustos 2024 tarihinde yürürlüğe giren Avrupa Birliği Yapay Zeka Yasası’nın (“AI Act”), öncü mevzuat olarak bir çok ülke için, yapay zeka ve bağlantılı hususlarda ulusal politika ve stratejilerini belirlemede ve mevzuat çalışmalarında rehber olacağı değerlendirilmektedir.
Henüz Avrupa Birliği’nde yapılan düzenlemelerin aksine Türkiye’de yapay zeka özelinde bir düzenleme bulunmamaktadır. Ancak Türkiye’de de yapay zeka uygulamalarının yaygınlaşmasıyla birlikte, bu alanda hukuki ve düzenleyici çerçevelerin oluşturulması gündeme gelen hususlardan biri olmuştur.
2024 yılı Türkiye’de, yapay zeka teknolojisinin geliştirilmesi ve uygulanması konusunda aktif adımların atıldığı bir yıl olmuştur. 2021-2025 yılları için hazırlanan "Ulusal Yapay Zeka Stratejisi" kapsamında Türkiye, bu teknolojinin geliştirilmesi ve kullanılması için 2024-2025 eylem planı da oluşturarak bir yol haritası çizmiştir. Eylem planında, yapay zeka uygulamalarının hukuken değerlendirilmesine ilişkin rapor oluşturulması ve bu uygulamaların yasalara uyumunun denetlenmesine ilişkin eylemler olmakla birlikte yapay zekaya özgü kanun düzeyinde bir düzenleme yapılması henüz öngörülmemiştir. Öte yandan, eylem planından bağımsız olarak yapay zekanın hukuken düzenlenmesine yönelik bazı çalışmalar yapılmış ve bu konuya özgü ilk kanun teklifi hazırlanarak 2024 yılında meclise sunulmuştur. Bu kanun teklifinin henüz yeterli bir çerçeve sunmadığı düşünülse de, bu ilk teklif açısından da Türkiye’nin, yapay zeka düzenlemeleri konusunda da Avrupa Birliği’ne paralel bir yaklaşım sergileyeceği değerlendirebilir.
Yapay zeka alanında yaşanan gelişmelere Kişisel Verileri Koruma Kurumu da kayıtsız kalmamış, Yapay Zeka Alanında Kişisel Verilerin Korunmasına Yönelik Tavsiyeler başlıklı yayınında yapay zeka alanında faaliyet gösteren, geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar için Kanun kapsamında kişisel verilerin korunması amacına yönelik önerilerini kamuoyu ile paylaşmıştır. Yayınlanan tavsiye metninde yer alan temel ilkelerin esasen GDPR madde 22 altında düzenlenen otomatik yollarla kişisel verilerin işlenmesinde uygulanan kurallara işaret ettiği görülmektedir ki bu henüz kanun sistematiğinde yer almamış olsa da Kurul tarafından GDPR maddelerinin yapay zeka uygulamalarında dikkate alındığını göstermektedir. Kurulun ilettiği tavsiyeler uyarınca, temel hak ve özgürlüklerinin korunması bakımından yapay zeka uygulamalarının insan merkezli bir anlayışla yönetilmesi gerekmektedir. Ürün ve hizmetlerin tasarımından başlayarak yaşam döngüsü boyunca veri koruma hukukuna uygunluk açısından hesap verebilirliği sağlayacak algoritmalar benimsenmelidir.Uygulamalardan etkilenmesi muhtemel olan bireylerin ve grupların katılımına dayalı risk değerlendirmeleri yapılmalıdır. Kullanılan kişisel verilerin kalitesi, niteliği, kaynağı ve miktarı değerlendirilerek asgari veri kullanımına gidilmesi, geliştirilen modelin doğruluğu izlenmelidir. Bireylerin münhasıran kendi görüşleri dikkate alınmaksızın otomatik işlemeye dayalı olarak kendilerini etkileyecek bir karara maruz kalmamalarını sağlayacak ürün ve hizmetler tasarlanmalıdır. Yapay zeka teknolojilerinin geliştirilmesinde aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, veriler anonim hale getirilerek işlenmelidir. Yapay zeka çalışmalarında tüm sistemler tasarımdan itibaren veri koruma ilkesine göre geliştirilmelidir. Karar alma süreçlerinde insan müdahalesi rolü tesis edilmesini, bireylerin, yapay zeka uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğü korunmalıdır. Kullanılan kişisel verilerin kalitesi, niteliği, kaynağı ve miktarı değerlendirilerek asgari veri kullanımına gidilmesi, geliştirilen modelin doğruluğu izlenmelidir. Yapay zeka çalışmalarında kişisel verilerin korunması açısından yüksek risk öngörülüyorsa mahremiyet etki değerlendirmesi uygulanmasını ve veri işleme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmelidir. Kişisel verilerin korunması farkındalığı oluşturmak bakımından veri mahremiyeti çerçevesinde eğitimler ve bilgilendirme çalışmalarının teşvik edilmelidir.
Yapay zeka sistemlerinin kişisel verileri toplama, analiz etme ve kullanma süreçleri, bireylerin mahremiyet hakları ve veri koruma mevzuatına uyum açısından ciddi soruları gündeme getirmektedir. Kişisel Verilerin Korunması Kanunu, yapay zekanın geliştirilmesi ve kullanımında şeffaflık, veri minimizasyonu, hukuka uygunluk ve hesap verebilirlik gibi prensipleri zorunlu kılmakta, yapay zeka sistemlerinin hukuki perspektiften de sürdürülebilir bir şekilde yönetilmesi büyük önem taşımaktadır ve bu konuda detaylı kuralların getirilmesi gerçek bir ihtiyaç durumundadır.