Blog

“Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” Yayımladı

Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından “Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler”1 dokümanı (“Doküman”) 15 Eylül 2021 tarihinde yayımlanmıştır. Söz konusu Doküman ile yapay zeka uygulamalarında kişisel verilerin korunmasına yönelik öneriler sunulmaktadır ve yapay zeka uygulamalarında kişisel verilerin en etkili şekilde korunması amaçlanmaktadır.

Doküman yapay zekâ alanındaki geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcıları kapsayacak şekilde hazırlanmıştır. Doküman içerisinde genel tavsiyelerin yanı sıra geliştiriciler, üreticiler ve servis sağlayıcılar ile karar alıcılar için kendi çalışma alanlarına özgü tavsiyeler de yer almaktadır.

Dokümanın Amaç ve Kapsamı Nedir?

Yapay zekanın günlük yaşamda kullanım alanlarının yaygınlaşmasıyla yapay zeka ile toplanan ve işlenen kişisel verilerin yoğunluğu artmıştır.

Kurum Dokümanı hazırlarken, bireyin temel hak ve özgürlükleri kapsamında kişisel verilerin korunmasını isteme hakkı bakımından doğru biçimde yönetilmesini amaçlamaktadır. Dokümanda kişisel veri mahremiyetinin azami olarak sağlanabilmesi için yapay zeka alanında dikkat edilmesi gereken noktaları vurgulayan genel öneriler ile yapay zeka alanında faaliyet gösteren çeşitli gerçek veya tüzel kişilere kendi uygulama alanlarına özgülenmiş öneriler yer almaktadır.

Dokümanda genel anlamıyla yapay zeka uygulamalarının tasarlanması sırasında insan hakları temelli, etik, bireyin temel hak ve özgürlüklerine saygılı uygulamalar üretilmesi gerektiği belirtilmektedir.

Doküman Kapsamında Değerlendirilen Paydaşlar ve Kurum Önerileri

Genel Tavsiyeler

Dokümanda Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan tanımların yanı sıra yapay zeka ve yapay zeka alanındaki geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar tanımlanmıştır.

Yapay zekâ, “insana özgü düşünme, akıl yürütme, objektif gerçekleri algılama, yargılama ve sonuç çıkarma özelliklerinin analiz edilerek makinelere kazandırılması” olarak tanımlanmıştır. Bu kapsamda yapay zekanın insan gibi düşünebilen, yorumlayabilen ve kararlar verebilen algoritmaların ve bilgisayar yazılımlarının geliştirilmesi ile ilgilendiği belirtilmiştir.

Dokümanın kapsamına giren gerçek ve tüzel kişilere genel olarak KVKK’da yer alan temel veri işleme esasları ve ilkelerine uygun şekilde hareket etmeleri ve temel hak ve özgürlükleri gözeten bir yaklaşım sergilemeleri önerilmektedir. Bu kapsamda yapay zekâ uygulamalarının geliştirilmesi ve uygulanması sürecinde ilgili kişilerin temel hak ve özgürlüklerine saygı gösterilmesi, insanlık onurunun korunması ve potansiyel risklerin önlenmesi ve azaltılması üzerine odaklanan; demokrasinin işleyişini, sosyal ve etik değerleri de göz önünde bulunduran bir bakış açısı benimsenmesi tavsiye edilmektedir. Bunun yanı sıra kişisel veri işleme temelli yapay zeka ve veri toplama çalışmalarının temel hak ve özgürlüklerini koruyan bir yaklaşım içerisinde, KVKK madde 4’te yer alan genel ilkeler ile hesap verilebilirlik, şeffaflık gibi ilkelere ve veri güvenliği yaklaşımına dayalı olması önerilmektedir.

Veri işleme faaliyetinin bireyler ve toplum üzerine etkileri değerlendirildiğinde ilgili kişi açısından kontrolü mümkün olması gerektiği üzerinde duran Kurum, yapay zekâ teknolojilerinin geliştirilmesi ve uygulanmasında aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, verilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilmesi gerektiğini vurgulamaktadır.

Kurum kişisel veri işleme temelli yapay zekâ çalışmalarında, kişisel verilerin korunması açısından yüksek risk öngörülen durumlarda yapay zeka çalışmalarını yürütenlerin veri işleme faaliyetinin hukuka uygunluğunu mahremiyet etki değerlendirmesi yaparak değerlendirmesini tavsiye etmektedir.

Dokümanda GDPR yani Avrupa Birliği Genel Veri Koruma Tüzüğü’nde de öngörülen tasarımdan itibaren gizlilik ilkesi (Privacy-by-design) üzerinde de durulmuştur. Bu kapsamda kişisel veri işleme esaslı yapay zekâ çalışmalarında ilk aşamadan itibaren kişisel verilerin korunması mevzuatına uyum sağlanması ve tüm sistemlerin tasarımdan itibaren veri koruma ilkesine göre geliştirilmesi ve yönetilmesi gerektiği belirtilmiştir. Bununla paralel olarak kişisel veri işleme esaslı yapay zekâ çalışmalarının farklı paydaşlarının, veri sorumlusu veya veri işleyen olma statülerinin projenin başında belirlenerek aralarındaki hukuki ilişkinin veri koruma mevzuatı ile uyumlu hale getirilmesi gerektiği öngörülmüştür.

Özel nitelikli kişisel verilerin yapay zeka çalışmalarında işleniyor olması halinde Kurum, söz konusu kişisel verilerin niteliği göz önünde bulundurularak buna uygun teknik ve idari tedbirlerin daha sıkı şekilde uygulanması gerektiğini belirtmiştir.

Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler

Kurum işbu Dokümanda geliştiriciler, üreticiler ve servis sağlayıcılar için tanımlara yer vererek söz konusu kişilere, onların işleri özelinde bazı tavsiyelerde de bulunmuştur. Geliştirici, “yapay zekâ sistemlerine ait her türlü ürün için içerik ve uygulama geliştiren gerçek veya tüzel kişiler” olarak tanımlanmıştır. Üreticinin “yapay zekâ sistemlerini oluşturan yazılım, donanım gibi her türlü ürünü üreten gerçek veya tüzel kişiler” olduğu belirtilmiş ve servis sağlayıcılar “yapay zekâ tabanlı sistemler, veri toplama sistemleri, yazılımlar ve cihazlar kullanarak ürün ve/veya hizmet sunan gerçek veya tüzel kişiler” olarak tanımlanmıştır.

Yukarıda belirtilen kişilerin yapay zeka geliştirime süreçlerindeki konumları göz önünde bulundurulduğunda bu kişilerin öncelikli olarak ilgili kişiler üzerinde meydana gelebilecek ayrımcılık riski, diğer olumsuz etkiler ile önyargıları önlemeleri tavsiye edilmektedir. Bu kapsamda insan hakları temelli, etik ve sosyal yönelimli yapay zekâ uygulamalarının tasarlanmasına ve potansiyel önyargıların tespit edilmesine katkıda bulunabilecek akademik kurumlarla irtibata geçilmesi ve şeffaflık ve paydaş katılımının zor olabileceği alanlarda tarafsız uzman kişi ve kuruluşların görüşünün alınması önerilmektedir. Ayrıca uygulamalardan özellikle etkilenmesi muhtemel olan bireylerin ve grupların aktif katılımına dayalı risk değerlendirmesinin de tasarım sürecinde yürütülebileceği belirtilmektedir.

Tasarım sürecinde veri mahremiyetini esas alan, temel hak ve özgürlüklerin gözeten bir yaklaşım sergilenmesi gerektiğini yeniden vurgulayan Kurum; bireylere görüşlerini ve kişisel gelişimlerini etkileyen teknolojilere dayalı işlemelerle ilgili itiraz hakkı tanınması, silme, yok etme ve anonim hale getirme imkanlarının sunulması ve kişisel verilerin işlenmesinde, ilgili kişilerin ulusal ve uluslararası mevzuattan doğan haklarının korunması gerektiğini belirtmiştir.

Kurum tasarımdan itibaren gizlilik ilkesini yeniden vurgulayabilmek amacıyla geliştiriciler, üreticiler ile servis sağlayıcılara üretimde kişilik haklarına daha az müdahale eden alternatifler de sunulması, ürün ve hizmetlerin tasarımından başlayarak yaşam döngüsü boyunca kişisel verilerin korunması hukukuna uygunluk açısından tüm paydaşlar için hesap verebilirliği sağlayacak algoritmalar benimsenmesi gerektiğini belirtmiştir.

Kurum bağlamından koparılmış algoritma modellerini “başlangıçta belirli bir yapay zekâ modeli için tasarlanmış algoritmaların amacı dışında farklı bir amaç ya da yapay zekâ modelinde kullanılması” olarak tanımlayarak bunların bireyler ve toplum üzerinde olumsuz etkilere sebep olma riski açısından değerlendirilmesini önermiştir.

Karar Alıcılar İçin Tavsiyeler

Dokümanda karar alıcılar ayrıca tanımlanmamış olsa da karar alıcılara da özgülenmiş tavsiyeler yer almaktadır. Kurum karar alıcılara öncelikli olarak hesap verilebilirlik ilkesinin yapay zeka uygulamalarının tüm aşamalarında gözetilmesini önermektedir.

Kurum tarafından karar alıcılara kişisel verilerin korunmasına yönelik risk değerlendirme prosedürleri benimsemeleri, sektör/uygulama/donanım/yazılım temelinde bir uygulama matrisi oluşturmaları, davranış kuralları ve sertifikasyon mekanizmaları gibi uygun önlemler almaları ile yapay zekâ uygulamalarını ve bu uygulamaların etkilerini anlama konusunda farkındalığı artırmak için dijital okuryazarlık ve eğitim kaynaklarına yatırım yapmaları tavsiye edilmektedir. Kurum karar alıcıların, eylemleri çerçevesinde ilgili kişilerin temel hak ve özgürlüklerini önemli ölçüde etkileme ihtimali ortaya çıktığında, denetim otoritelerine mutlaka başvurması gerektiğini vurgulayarak denetim otoriteleri ile yetkili diğer kuruluşlar arasında veri mahremiyeti, tüketicinin korunması, rekabetin geliştirilmesi ve ayrımcılıkla mücadele konularında iş birliği kurulması gerektiğini belirtmektedir.

Karar alma süreçlerinde insan müdahalesinin rolünün tesis edilmesi gerektiğini belirten Kurum bireyler, gruplar ve paydaşların bilgilendirilerek yapay zekânın büyük veri sistemleriyle birlikte sosyal dinamikleri şekillendirmede ve onları etkileyen karar verme süreçlerinde oynayacağı rolün tartışılması konusunda aktif olarak yer almalarının sağlanması gerektiğini vurgulamaktadır. Bu kapsamda bireylerin, yapay zekâ uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğünün korunması gerektiği de belirtilmiştir.

Sonuç

Kurum yayımlamış olduğu Dokümanda genel olarak yapay zeka uygulamalarında kişisel verilerin işlenmesi esnasında bu süreçlerde rol oynayan kişilere, temel hak ve özgürlükleri ile kişilerin mahremiyetlerinin korunmasına ilişkin tavsiyeler vermektedir. Bu tavsiyeler genel olarak KVKK’da veri işlenmesi sırasında dikkat edilmesi gereken genel esaslara dayanıyor olsa da tasarımdan itibaren gizlilik ilkesinin tavsiyeler arasında yer alması KVKK kapsamında yeni gelişmelerin habercisi gibi durmaktadır.

Av. Altuğ Özgün
Av. Sena Altuntaş
 

Referanslar:

1) https://www.kvkk.gov.tr/Icerik/7048/Yapay-Zeka-Alaninda-Kisisel-Verilerin-Korunmasina-Dair-Tavsiyeler

En güncel gelişmeler ve YZTD’den haberler için e-posta bültenimize kayıt olabilirsiniz.