Yapay Zeka Sistemlerinde Kişisel Verilerin Korunması ve Hukuki Sorumluluk: Türk Hukuku ve Avrupa Birliği Düzenlemeleri Bağlamında Bir Değerlendirme

Yapay zeka ve kişisel verilerin korunması hukuku arasındaki ilişkiyi gösteren soyut grafik

Giriş: Yapay Zeka Çağında Kişisel Verilerin Önemi

Yapay zeka (YZ) teknolojileri, günlük hayatımızdan iş dünyasına kadar pek çok alanda devrim niteliğinde dönüşümler yaratmaktadır. Ancak bu hızlı gelişim, beraberinde özellikle kişisel verilerin korunması alanında ciddi hukuki ve etik zorlukları da getirmektedir. YZ sistemlerinin karar alma süreçlerinde, öğrenme algoritmalarında ve tahminleme modellerinde yoğun bir şekilde kişisel verileri işlemesi, mevcut veri koruma mevzuatının sınırlarını zorlamakta ve yeni hukuki sorumluluk alanları yaratmaktadır. Bu makale, yapay zeka sistemlerinde kişisel verilerin korunması meselesini Türk hukuku (6698 sayılı Kişisel Verilerin Korunması Kanunu – KVKK) ve Avrupa Birliği hukuku (Genel Veri Koruma Tüzüğü – GDPR ve Yapay Zeka Yasası – AI Act) perspektifinden derinlemesine incelemeyi amaçlamaktadır. Veri sorumluluğu, rıza, şeffaflık ve otomatik karar alma gibi temel ilkelerin YZ bağlamındaki uygulama sorunları ve hukuki sorumluluk mekanizmaları ele alınacaktır.

Yapay Zeka ve Kişisel Veri Kavramları: Hukuki Çerçeve

Yapay Zeka Nedir?

Hukuki literatürde yapay zeka için henüz evrensel kabul görmüş bir tanım bulunmamakla birlikte, genel olarak YZ, insan zekasına özgü algılama, anlama, öğrenme, akıl yürütme ve problem çözme gibi yetenekleri taklit eden veya simüle eden bilgisayar sistemleri olarak kabul edilebilir. Makine öğrenmesi, derin öğrenme, doğal dil işleme gibi alt alanları kapsar. YZ sistemleri, genellikle büyük veri kümeleri üzerinde eğitilerek belirli görevleri yerine getirme kapasitesi kazanır.

Kişisel Veri Nedir?

KVKK Madde 3/d uyarınca kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. GDPR Madde 4(1) ise kişisel veriyi, “kimliği belirli ya da belirlenebilir gerçek kişiye (‘veri sahibi’) ilişkin her türlü bilgi” şeklinde tanımlar. YZ sistemlerinin işlediği isim, adres, TC kimlik numarası gibi doğrudan tanımlayıcı verilerin yanı sıra, konum bilgisi, IP adresi, biyometrik veriler, davranışsal örüntüler ve tahmin modelleri gibi dolaylı tanımlayıcı veriler de kişisel veri kapsamına girer.

Yapay Zeka Sistemlerinde Kişisel Veri Korumasının Temel Zorlukları

Yapay zeka teknolojileri, veri koruma ilkelerinin uygulanmasında bir dizi özgün zorluk ortaya çıkarmaktadır:

Veri Minimallığı ve Amaca Bağlılık: YZ algoritmaları genellikle daha doğru ve etkili sonuçlar elde etmek için mümkün olduğunca fazla veriye ihtiyaç duyar. Bu durum, KVKK Madde 4/2(ç) ve GDPR Madde 5(1)(c) ile güvence altına alınan veri minimallığı ve amaca bağlılık ilkeleriyle çelişebilir.
Rıza ve Aydınlatma Yükümlülüğü: YZ sistemlerinin karmaşık işleyişi ve veri işleme süreçlerinin dinamik yapısı, veri sahiplerinin tam ve doğru bir şekilde aydınlatılmasını ve özgür iradeleriyle rıza vermelerini zorlaştırır. KVKK Madde 10 ve GDPR Madde 7’de belirtilen açık rıza koşullarının YZ bağlamında sağlanması güçtür.
Otomatik Karar Alma ve Profilleme: YZ sistemleri, kişisel özelliklere dayalı olarak profil oluşturma ve tamamen otomatik kararlar alma yeteneğine sahiptir. Bu durum, ayrımcılık riskleri taşır ve veri sahiplerinin haklarını (özellikle GDPR Madde 22 ve KVKK Madde 11/g) ihlal edebilir.
Veri Güvenliği ve Mahremiyet: YZ sistemlerinin büyük veri kümeleriyle çalışması, siber saldırılar, veri ihlalleri ve kötüye kullanım risklerini artırır. Veri güvenliği ihlalleri, YZ’nin karmaşık yapısı nedeniyle tespit ve müdahale açısından daha zorlayıcı olabilir.
Hesap Verilebilirlik ve Şeffaflık: YZ algoritmalarının “kara kutu” niteliği, nasıl karar verdiğini anlamayı zorlaştırır. Bu durum, veri sorumlusunun hesap verebilirlik (KVKK Madde 12, GDPR Madde 5(2)) ve veri işleme süreçlerinde şeffaflık ilkelerini (GDPR Madde 12-14) yerine getirmesini engeller.
Veri Sahibinin Hakları: YZ sistemlerinde işlenen verilerin erişim, düzeltme, silme (unutulma hakkı) ve itiraz haklarının etkin bir şekilde kullanılması, algoritmaların karmaşıklığı nedeniyle teknik ve idari güçlükler içerebilir.

Türk Hukuku Perspektifinden Değerlendirme: KVKK

Türk hukukunda kişisel verilerin korunması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenmiştir. KVKK, YZ sistemleri bağlamında da temel bir çerçeve sunar:

Temel İlkeler: KVKK Madde 4’te yer alan hukuka ve dürüstlük kurallarına uygunluk, doğru ve gerektiğinde güncel olma, belirli açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleri, YZ sistemlerinin veri işleme faaliyetlerinde de titizlikle uygulanmalıdır.
Aydınlatma Yükümlülüğü ve Açık Rıza: YZ’nin veri toplama ve işleme yöntemlerinin karmaşıklığı, veri sorumlularının aydınlatma yükümlülüğünü (Madde 10) yerine getirmesini ve veri sahiplerinden açık rıza (Madde 5, 6) almasını zorlaştırmaktadır. Veri sorumluları, YZ’nin çalışma prensiplerini, hangi verilerin, hangi amaçla ve ne şekilde işleneceğini şeffaf bir dille açıklamalıdır.
Otomatik Karar Alma: KVKK Madde 11/g, kişilerin kendisi aleyhine sonuç doğuran otomatik sistemler aracılığıyla analiz edilerek bir karar çıkmasına itiraz etme hakkını tanır. YZ’nin otomatik karar alma yeteneği göz önüne alındığında, bu hüküm büyük önem taşımaktadır.
Veri Sorumlusu ve Veri İşleyen: KVKK Madde 12, veri sorumlusunun veri güvenliğini sağlamak, hukuka aykırı erişimi engellemek gibi yükümlülüklerini düzenler. YZ sistemlerinde veri sorumlusu ve veri işleyen arasındaki ilişkinin net bir şekilde belirlenmesi, sorumluluğun dağıtılması açısından kritiktir.

Avrupa Birliği Hukuku Perspektifinden Değerlendirme: GDPR ve Yapay Zeka Yasası

Genel Veri Koruma Tüzüğü (GDPR)

GDPR, YZ sistemleri tarafından kişisel veri işlenmesine ilişkin daha detaylı ve katı düzenlemeler içermektedir:

Temel İlkeler: GDPR Madde 5’te yer alan hukuka uygunluk, adillik, şeffaflık, amaç sınırlaması, veri minimallığı, doğruluk, depolama sınırlaması ve bütünlük ve gizlilik ilkeleri, YZ uygulamalarında da mutlak surette gözetilmelidir.
Otomatik Bireysel Karar Alma ve Profilleme: GDPR Madde 22, veri sahiplerinin, kendileri hakkında hukuki sonuç doğuran veya benzer şekilde önemli ölçüde etkileyen, sadece otomatik işlemeye dayalı bir karara tabi tutulmama hakkını güvence altına alır. Bu durum, özellikle yüksek riskli YZ uygulamalarında insan müdahalesi ve itiraz hakkının önemini vurgular.
Veri Koruma Etki Değerlendirmesi (DPIA): Yüksek risk taşıyan YZ uygulamaları için GDPR Madde 35 uyarınca veri koruma etki değerlendirmesi yapılması zorunludur. Bu, olası risklerin önceden belirlenmesi ve minimize edilmesi için kritik bir araçtır.

Yapay Zeka Yasası (AI Act)

Avrupa Birliği, YZ’nin risklerini ele almak ve güvenilir YZ’yi teşvik etmek amacıyla dünyanın ilk kapsamlı YZ düzenlemesi olan Yapay Zeka Yasası’nı (AI Act) kabul etmiştir. Bu yasa, YZ sistemlerini risk seviyelerine göre sınıflandırır:

Kabul Edilemez Riskli YZ Sistemleri: Sosyal puanlama, bilişsel davranışsal manipülasyon gibi belirli YZ uygulamaları tamamen yasaklanmıştır.
Yüksek Riskli YZ Sistemleri: Kritik altyapı, eğitim, istihdam, kolluk kuvvetleri, göç gibi alanlarda kullanılan YZ sistemleri yüksek riskli kabul edilir. Bu sistemler için sıkı uygunluk değerlendirme süreçleri, insan gözetimi, veri yönetişimi, şeffaflık, siber güvenlik ve doğruluk yükümlülükleri getirilmiştir.
Sınırlı Riskli YZ Sistemleri: Chatbot’lar gibi sistemler için şeffaflık yükümlülükleri öngörülür.
Minimal Riskli YZ Sistemleri: Çoğu YZ sistemi bu kategoriye girer ve gönüllü davranış kuralları teşvik edilir.

AI Act, GDPR ile birlikte YZ sistemlerinin kişisel verileri işlemesinde yeni bir katmanlı hukuki çerçeve oluşturmaktadır. Özellikle yüksek riskli YZ sistemleri için getirilen ek yükümlülükler, veri koruma ilkelerinin YZ’nin tasarım ve geliştirme aşamasından itibaren entegre edilmesini zorunlu kılmaktadır.

Yapay Zeka Sistemlerinde Hukuki Sorumluluk

YZ sistemlerinin kişisel verileri hukuka aykırı şekilde işlemesi veya hatalı kararlar alması durumunda ortaya çıkan zararların sorumluluğu karmaşık bir meseledir:

Veri Sorumlusu Kimdir? YZ sisteminin geliştiricisi, tedarikçisi, uygulayıcısı veya kullanıcısı farklı roller üstlenebilir. KVKK ve GDPR kapsamında veri sorumlusu, veri işleme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişidir. YZ sistemlerinde, bu rol genellikle sistemi devreye sokan ve kontrol eden kurumda veya kişide yoğunlaşacaktır. Ancak karmaşık tedarik zincirlerinde, geliştirici ve uygulayıcı arasında ortak sorumluluk halleri de gündeme gelebilir.
Hukuka Aykırı Veri İşleme Sonucu Sorumluluk: KVKK Madde 12 ve GDPR Madde 82 uyarınca, kişisel verilerin hukuka aykırı işlenmesi nedeniyle zarara uğrayan veri sahipleri, bu zararlarının tazminini talep edebilirler. Ayrıca KVKK ve GDPR, veri sorumlularına idari para cezaları da öngörmektedir.
Algoritmanın Hatalı Çalışması ve Hukuki Sonuçları: YZ sistemlerinin hatalı veya önyargılı çalışması sonucu oluşan zararlar, ürün sorumluluğu veya ihmal sorumluluğu prensipleri çerçevesinde değerlendirilebilir. YZ sistemini geliştiren veya piyasaya sürenin, sistemin veri koruma ve etik ilkelerle uyumlu çalıştığını garanti etme yükümlülüğü bulunmaktadır.

Sonuç ve Geleceğe Yönelik Bakış

Yapay zeka teknolojileri, insanlığa büyük fırsatlar sunarken, kişisel verilerin korunması ve hukuki sorumluluk alanında ciddi meydan okumalar yaratmaktadır. Türk hukuku ve Avrupa Birliği düzenlemeleri, bu yeni nesil teknolojilerin veri işleme süreçlerini belirli ilkeler ve yükümlülükler çerçevesinde denetlemeyi amaçlamaktadır. Özellikle KVKK’nın temel ilkeleri, GDPR’ın otomatik karar alma ve veri koruma etki değerlendirmesi gibi mekanizmaları ile AB Yapay Zeka Yasası’nın risk temelli yaklaşımı, YZ’nin sorumlu ve etik bir şekilde geliştirilmesi ve kullanılması için hayati öneme sahiptir.

Gelecekte, YZ teknolojilerinin daha da yaygınlaşmasıyla birlikte, mevcut hukuki düzenlemelerin adaptasyonu ve yeni yaklaşımların geliştirilmesi kaçınılmaz olacaktır. Hukuk profesyonelleri ve veri sorumluları, YZ’nin potansiyelini değerlendirirken, kişisel veri koruma haklarını ve bireysel özgürlükleri güvence altına alan proaktif ve entegre bir yaklaşım benimsemek zorundadır. Bu dengeyi sağlamak, sadece hukuki uyumluluk için değil, aynı zamanda toplumun YZ’ye olan güvenini sürdürmek için de elzemdir.

Şahin Hukuk olarak, Av. Burak Şahin liderliğinde, yapay zeka hukuku ve kişisel verilerin korunması alanındaki güncel gelişmeleri yakından takip etmekte, müvekkillerimize bu karmaşık ve hızla değişen alanda derinlemesine hukuki danışmanlık hizmetleri sunmaktayız. Amacımız, teknolojik yeniliklerin hukukun üstünlüğü ve bireysel haklar çerçevesinde ilerlemesini sağlamaktır.

Bu yazı genel hukuki bilgilendirme ve değerlendirme amacıyla hazırlanmıştır. Somut uyuşmazlıklar güncel mevzuat ve olayın özellikleri dikkate alınarak ayrıca değerlendirilmelidir.

Bir yanıt yazın Yanıtı iptal et

Ticari Sırların Kötüye Kullanılması Suçu: Koruma Mekanizmaları, Cezai Yaptırımlar ve Hukuki Sonuçları

Tazminat Davalarında Uzman Raporları: Delil Değeri, Çelişki ve Yargısal Takdir

İcra ve İflas Sürecinde Mal Kaçırma: Delil Teşhisi, Önleyici Tedbirler ve Yargısal Takdir

Toplu İş Uyuşmazlıklarında Yargı Usulü: Delil, Ara Kararlar ve Mahkeme Yaklaşımları

Manevi Tazminatın Ölçütlenmesi: Türk Yargı İçtihatlarında Kriterler ve Uygulama Sorunları

Juris Academia

Son Yazılar

Kategoriler

Son Gelişmeler