KVKK ve GDPR Kapsamında Yapay Zeka

Yapay zeka ve  uygulamaları, kişisel veri işleme faaliyetleri karşısında birçok endişeye mahal vermekle beraber, tartışmaların da odak noktasında yer alır. Özellikle, algoritma kullanımı neticesinde, kişisel verilerin işleme faaliyetleri sırasında ortaya çıkan ihlaller, kişilerin temel haklarının zedelenmesi ve ayrımcılığa yol açabilmektedir.¹ Ulusal çerçevede, 6698 sayılı Kişisel Verileri Koruma Kanunu(“KVKK”), kişisel verileri koruma hakkı başta olmak üzere, özel hayatın gizliliği ve kişilerin temel hak ve özgürlüklerini koruma altına almak amacıyla çıkarılmıştır. Yapay zekanın epey geniş bir şekilde veri işleme faaliyetinde bulunduğundan bahisle, veri ihlal risklerini de artırma potansiyeli taşımaktadır.

Yapay zeka perspektifinden bakıldığında, Avrupa Birliği Yapay Zeka Tüzüğü’nün (AI Act) benimsediği risk temelli yaklaşım ve veri güvenliği standartlarına uyum unsurları, kişisel veri güvenliği için de önem arz eder. Kişisel Verileri Koruma Kurumu (“Kurum”) tebliğlerinde, yapay zekanın veri ile büyüdüğü, veriyi analiz etmekle kalmayıp, yeni veriler üreten bir teknoloji olduğunu ifade etmektedir.² Mutlak şekilde yapay zekanın nimetlerinden ve teknolojilerinden fayda sağlanması önem arz ederken, veri ihlalleri konusunda tedbirlere yer verilmesinin gerekliliği gündeme gelmektedir. Veri güvenliğine dair sorunlar ve siber güvenlik sızıntıları tedbirlerin alınmaması sonucunu doğurmaktadır. Bu noktada, hukuki ve teknik tedbirlerin multidisipliner bir yaklaşımla şekillendirilmesi büyük önem taşır. Özellikle, yapay zeka temelli uygulamalarda bireylerin temel hak ve özgürlüklerinin korunması, şeffaflık ve hesap verilebilirlik dengelerinin korunması gereklidir.³ Bilindiği üzere yapay zeka sistemleri, hesap verilebilirlik, şeffaflık gibi gizlilik ve mahremiyet ilkelerine tabidir.⁴ Yapay zeka platformları gelişirken, bu ilkelere tam uyum gösterilmesi kişisel veri ihlallerinin önüne geçmekte önemli bir rol oynayacaktır.

Diğer yandan Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) değinmek gerekirse, tüzük, kişisel verilerin korunmasında global anlamda temel oluşturur. GDPR kapsamında yapay zeka düzenlemeleri açık bir şekilde belirtilmemiş olmasına karşın, 22. Madde kapsamında otomatik karar alma ve profil oluşturma, yapay zeka kullanımı üzerinde dolaylı bir düzenleme olarak karşımıza çıkmaktadır.⁵ GDPR’ın 35. Maddesi, veri koruma etki değerlendirmesi unsuruna da (DPIA) yer vermiştir. Önemli bir husus olarak, AI Act’in 13. maddesi ise yüksek riskli bir sistemin genellikle kişisel veri işleme faaliyetlerinde DPIA kullanımına açıkça atıf yapmıştır.⁶. DPIA, risk ihtimalinin bulunduğu hallerde, kişisel verilerin işlenmesi üzerine değerlendirme yapılmasını düzenlemektedir. Burada temel amaç, kişisel veri işleme faaliyetlerinde risk değerlendirmesi yaparak, riski minimalize etme veya riski ortadan kaldırma amacı gütmektedir. Maalesef, KVKK’da buna benzer herhangi bir sistem ve standart belirlenmemiştir. KVKK’nın GDPR’a paralel düzenlemeler tabi tutulduğu düşünüldüğünde, DPIA gibi risk değerlendirmesi temelli bir sistemin olmaması ciddi bir eksiklik olarak görülmelidir.

Sonuç olarak, yapay zeka platformlarının kişisel veri işleme faaliyetinde ciddi risklere yol açabileceği öngörülmektedir. GDPR ve AI Act gibi düzenlemeler, yapay zeka uygulamalarının getirebileceği olası risklere karşı proaktif çözümler sunarken, Türkiye’de halihazırda yer alan regülasyonların yapay zeka platformları için eksiklikler içerdiği açıktır. Türk hukuk sisteminde benzer düzenlemelerin yapılması ve ilerde çıkabilecek Yapay Zeka Yasamıza entegre edilmesi büyük önem taşımaktadır.

Av. E. Cem YENİOCAK, phDc.

ARC Law Firm – Partner

1. Büyüksağış, Erdem, ‘Yapay Zeka Karşısında Kişisel Verilerin Korunması Ve Revizyon İhtiyacı’, YÜHFD, C.XVIII, 2021/2, s.529, https://dergipark.org.tr/tr/download/article-file/2052047.
2. KVKK, 2023 Yılı Faaliyet Raporu”, s.62, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/1ee4f609-711f-4a85-aefc-69181bbcdf3a.pdf.
3. Kandır, Murat Osman, ‘Yapay Zeka Alanında Kişisel Verilerin Korunması’, Hukuk ve Bilişim Dergisi, https://www.hukukvebilisimdergisi.com/4568-2/.
4. Hickok, Merve, ‘Üretici Yapay Zekâ Neden Mahremiyet, Ön Yargı ve Siber Güvenlik Açısından Bir Kâbus Oluşturuyor?’, KVKK Bülten, s.6, 2023, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/77b8ccca-1748-46ad-a252-849120a7766a.pdf.
5. Clark, James, Demircan, Muhammed, Kettas, Kalyna, ‘Europe: The EU AI Act’s relationship with data protection law: key takeaways’, DLA Piper, https://privacymatters.dlapiper.com/2024/04/europe-the-eu-ai-acts-relationship-with-data-protection-law-key-takeaways/.
6. Knibbeler, Danique, Zadeh, Sarah, ‘International: The interplay between the AI Act and the GDPR – AI series part 1’, OneTrust Data Guidance, https://www.dataguidance.com/opinion/international-interplay-between-ai-act-and-gdpr-ai.