Yayınlar
YAPAY ZEKA ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER

YAPAY ZEKA ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER

Günümüzde yapay zeka tekniklerinin ve uygulamalarının gün geçtikçe gelişmesi ve yaygınlaşması bireyin bu alanda temel hak ve özgürlükleri kapsamında işlenecek kişisel verilerinin korunmasını isteme hakkını da doğurmuştur. Bu kapsamda kişisel veri işlemeyi hedef alan yapay zeka işlemleri 6698 sayılı Kişisel Verileri Koruma Kanununa ve ikincil mevzuata uygun olmalıdır.

Bunun bir sonucu olarak, Kişisel Verileri Koruma Kurumu (“Kurum”) 15 Eylül 2021’de yapay zeka alanında faaliyet gösteren, geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar için 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeleri (“Tavsiyeler”) yayımlamıştır. 

Kurum bu tavsiyeleri “genel tavsiyeler”, “geliştiriciler, üreticiler ve servis sağlayıcılar için tavsiyeler” ve “karar alıcılar için tavsiyeler” olmak üzere üç bölüme ayırmıştır.

  • Tanımlar

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, 

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu, 

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, 

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, 

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Geliştirici: Yapay zekâ sistemlerine ait her türlü ürün için içerik ve uygulama geliştiren gerçek veya tüzel kişileri, 

Üretici: Yapay zekâ sistemlerini oluşturan yazılım, donanım gibi her türlü ürünü üreten gerçek veya tüzel kişiyi, 

Servis sağlayıcı: Yapay zekâ tabanlı sistemler, veri toplama sistemleri, yazılımlar ve cihazlar kullanarak ürün ve/veya hizmet sunan gerçek veya tüzel kişiyi ifade eder.

 

  • Genel Tavsiyeler

Genel tavsiyelere bakıldığında yapay zeka alanında kişisel verilerin işlenmesi çalışmalarında insan hakları ve temel özgürlüklerin himayesi gözetilerek, mevzuatla uyumlu bir şekilde ve hak ihlallerinin önlenmesi bakış açısıyla hareket edilmesi gerektiği hususuna birden çok kez değinilmiştir.

Öncelikle bu alanda aynı sonuca kişisel veri işlenmeksizin de ulaşılabiliyorsa, verilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilmelidir. Aynı sonuca kişisel veri işlenmeden ulaşılamadığı durumlarda en başından yapay zeka çalışmalarının taraflarının veri sorumlusu ve veri işleyen statülerinin belli olması isabetli olacaktır. Bununla beraber, ilgili kişinin bu veri işleme faaliyetini kontrolü mümkün olmalı ve kişisel veri işleme temelli yapay zeka araştırmalarında ilgili kişinin kişisel verilerinin korunmasında yüksek bir risk ön görülüyorsa mahremiyet etki değerlendirmesi uygulanıp veri işleme faaliyetinin hukuka uygun olup olmadığına bu kapsamda karar verilmelidir.

Kişisel veri işleme temelli yapay zeka uygulamalarında bütün sistemler ilgili mevzuata uygun olarak tasarım aşamasından itibaren veri koruma ilkesine göre geliştirilmeli, her projeye özgü bir veri koruma programı oluşturulmalı ve uygulanmalıdır.

Eğer kişisel veri işleme esaslı yapay zeka teknolojileri geliştirilirken işlenmesi gereken kişisel veri özel nitelikli ise teknik ve idari tedbirler daha da sıkı bir şekilde uygulanmalıdır. 

 

  • Geliştiriciler, Üreticiler ve Servis Sağlayıcılar için Tavsiyeler

Öncelikle, yapay zeka alanındaki tasarımlarda ulusal ve uluslararası düzenlemelerde kişisel veri mahremiyetini esas alan bir yaklaşım gözetilmeli ve ilgili kişilerin ulusal ve uluslararası mevzuattan doğan kişisel verilere ilişkin haklarını korumayı göz önünde bulunduran bir anlayış benimsenmelidir.

Kullanılan kişisel verilerin kalitesi, niteliği, kaynağı, miktarı, kategori ve içeriği değerlendirilip asgari veri kullanımına gidilmeli, bununla beraber, geliştirilen yapay zeka modelinin doğruluğu da izlenmelidir.

Yapay zeka çalışmalarının insan açısından doğurabileceği potansiyel etkileri düşünerek akademik kurumlardan görüş alınmalı, bireylere kişisel gelişimlerine etkide bulunan teknolojilere dayalı işlemlere itiraz hakkı tanınmalı ve bireylerin aktif katılımına dayalı risk değerlendirilmesi teşvik edilmelidir.

İlgili kişilere otomatik veri işlemeyi dayattıracak herhangi bir ürün ve hizmet tasarlanmamalı, kişilik haklarına daha az müdahalede bulunan tasarımlar yapılıp bireylerin bu alandaki seçim yapma özgürlüğü güvence altına alınmalıdır. 

Kişisel verilerin korunması hukukunda hesap verilebilirliği sağlayacak algoritmalar kullanılmalıdır.

Kullanıcılara veri işlemenin gerekçeleri, yöntemleri ve muhtemel sonuçlarına ilişkin aydınlatma yapılmalı ve veri işleme onay mekanizması tasarlanmalıdır. Aynı zamanda kullanıcılara veri işlemeyi durdurma hakkı tanınıp verilerin silinmesi, yok edilmesi ile anonim hale getirilmesi imkanı verilmelidir.

 

  • Karar Alıcılar için Tavsiyeler

Karar alıcılar hesap verilebilirlik ilkesini bütün aşamalarda gözetmeli ve bununla birlikte kişisel verilerin korunmasına ilişkin risk prosedürleri belirlenip bir uygulama matrisi oluşturulmalıdır. Karar alıcılar ayrıca davranış kuralları ve sertifikasyon mekanizmaları benimseyip uygun önlemleri almalıdırlar. Karar alma sürecinde insan müdahalesinin rolü belirlenmeli ve kullanıcılara da yapay zeka uygulamaları kapsamında sunulan önerilere güvenmeme şansı da tanınmalıdır. İlgili kişilerin kişilik haklarına müdahale söz konusu olduğu zaman mutlaka denetim otoritelerine başvurulmalıdır.

Kişisel verilerin güvenli, yasal ve etik paylaşımını destekleyen bir dijital ortamın oluşturulabilmesi için açık yazılım tabanlı uygun mekanizmalar teşvik edilmelidir.

Son olarak yapay zeka ve kişisel verilerin korunması alanında yapılan çalışmalar için eğitimler verilmeli, gerekli kaynak ayrılıp isteyen bireylerin bu çalışmalara katılımı için uygun ortam sağlanmalıdır.

İlgili yazılar
error: Content is protected !!
Back To Top