Yapay Zeka Uygulamalarında Kişisel Veriler kullanımı önümüzdeki dönem giderek artacak. Bu teknolojilerin bireyleri ve toplumları mağdur etmesi gündeme gelebileceğinden Avrupa’da konuya dair bir regülasyon (“AI Act”) önerisi gündemde. Türkiye’de de Cumhurbaşkanlığı, Ağustos ayında 2021/18 sayılı Genelge ile yapay zeka konusunda Türkiye‘nin ulusal politikasına değindi. Bunun üzerine Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından 2021-2025 Ulusal Yapay Zeka Stratejisi (“Strateji”) yayınlandı. Ayrıca Kişisel Verileri Koruma Kurumu (“Kurum”) ‘nun Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeleri mevcut.
Yapay zekanın ne olduğunu yaklaşık olarak biliyoruz, Strateji’deki tanıma bakılırsa: “Yapay zeka; en genel haliyle, bir bilgisayarın veya bilgisayar kontrolündeki bir robotun çeşitli faaliyetleri zeki canlılara benzer şekilde yerine getirme kabiliyeti”. Yapay zeka uygulamaları dediğimiz şey verilerle çalışıyor. Buradaki veri, “kişisel veri” olduğunda veya yapay zeka teknolojisi temel insan haklarına müdahale ettiğinde bunun sınırlarını belirleyecek yeni bir hukukun da oluşması gerek.
Bu yazıda aslında biraz AI Act önerisine değinmek istiyorum. Bu doküman Türk Hukuku bağlamında bağlayıcı olmayacak. Ancak bu dokümanın dikkate alınması Türk Hukukunda gerekli düzenlemeler yapılıncaya kadar tasarlanacak yapay zeka teknolojilerinin taşıdığı muhtemel hukuki risklerin önüne geçilmesini sağlayabilir. Yani bu dokümanı dikkate almak; teknoloji geliştiricilerine, üreticilerine, servis sağlayıcılara ve karar alıcılara dolaylı katkılar sunacak. Ayrıca uluslararası pazarı hedefleyen yerli teknoloji geliştiricilerin AI Act önerisini göz ardı etmemeleri gerekir.
AI Act önerisi yapay zeka teknolojisini iki şekilde sınıflandırıyor:
- Yasaklı yapay zeka uygulamaları,
- Yüksek risk taşıyan yapay zeka uygulamaları.
Yasaklı uygulamalara zaten hiç başlanmamalıdır. Kısaca bakıldığında bunlar neler olabilir: Algı ve davranış yöneten uygulamalar, örneğin pazarlama faaliyetleri kapsamında kişinin bir ürünü tercih etmesine yönelik geliştirilen, davranış kontrolü sağlayan teknolojiler bu kapsamdadır. Buradaki algı yönetim amacı, bir kişiyi veya toplumu hedefleyebilir, hedeflenen hangi grup olursa olsun uygulama yasaktır. Bazı istisnaları bulunmakla birlikte kamuya açık alanlarda uzaktan biyometrik tanımlama uygulamaları yasaktır.
Bu uygulamalar aslında 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“6698 SK”) kapsamında değerlendirildiğinde de 4’üncü maddede sayılan genel ilkelere (özellikle dürüstlük ve ölçülü işleme ilkelerine) aykırı görünüyor.
Yüksek risk taşıyan yapay zeka uygulamalarında ise AI Act önerisinde yer alan gereklere uyum sağlanmalıdır. Bu gereklere dair maddeler şu şekildedir: yüksek risk taşıyan uygulamalarda bir risk yönetim sisteminin, veri yönetişim uygulamasının, teknik dokümantasyonun, otomatik kayıt tutma (“loglama”) kapasitesinin halihazırda bulundurulması, yapay zeka uygulamasında şeffaflığın sağlanması ve ilgili kişilere yeterli bilgilendirmenin yapılması, uygulamada insan gözetimi, sistem doğruluğu, sağlamlığı ve siber güvenliğin sağlanması.
Kurum’un tavsiyelerine bakıldığında kişisel veri işleme temelli yapay zeka teknolojilerinde mahremiyet etki değerlendirilmesi yapılması gerektiğini görüyoruz. AI Act önerisindeki sınıflandırma dikkate alınırsa yapay zeka teknolojisi geliştiren, üreten, servis sağlayıcı veya karar alıcılardan en az birinin bu etki değerlendirmeyi yapması/yaptırması gerekecek. Kurum tavsiyelerinde yer alan diğer gerekler de AI Act önerisindekilere benzemekte.
Diğer yandan bu teknolojiler uygulamaya alındığında kullanılacak veriler üzerinde haklar ve sorumluluklar gündeme gelecek. Bu verilerin arasında yer alan kişisel veriler mümkünse regülatif gerekleri karşılar bir şekilde anonimleştirilmelidir. Aksi durumda 6698 SK’ya uyum gerekir. Ayrıca taraflar, veri üzerindeki kullanım haklarının düzenlenmesinde literatüre hâkim bir yasal danışmandan destek alarak ilerlemeliler.