Başlıklar
Yapay zekâ ve analitik uygulamalar doğası gereği büyük miktarda çalışan, hasta veya kişisel veri toplar ve depolar. Yapay zekâ ve makine öğrenmesi, bu verileri veri analitiği yöntemi ile geliştirilen algoritmalar üzerinden hayatımızı kolaylaştıracak uygulamalara dönüştürür. Giyilebilir teknolojiler ve IoT cihazların kullanımı artmaya devam ettikçe, kendimizle ilgili topladığımız kişisel veri miktarı da artacak ve yeni uygulama fırsatları yaratacaktır. Yani ne kadar çok veri toplanırsa algoritmalar o kadar doğru sonuçlar verebilecektir. Veri büyüdükçe bu kez risklerde artacaktır. Bu nedenlerle yapay zekâ algoritmalarını besleyen verilerin ön yargılardan uzak ve ayrımcılığa neden olmayacak şekilde adil, eşit ve veri gizliliği ilkelerine uygun olması gerekmektedir. Zira bazı teknolojiler, bir bireyin gizlilik haklarını ihlal edebilecek bilgileri de toplayabilir. Örneğin, yapay zekânın ses ve video kaydetme işlevi ile bir tesise veya odaya erişimden veya sağlık programına katılıma kadar her şey için kullanılan parmak izi, retina ve yüz tarayıcıları gizlilik yasalarını ihlal edebilir; hasta verilerinin cihaz veya uygulamalar aracılığıyla toplanması, veri gizliliğinin ve hasta mahremiyetinin ihlal edilmesine neden olabilir.
Yapay zekâ
Kişisel Verileri İşleyen Yapay Zekâ Kullanımınız, Veri Koruma Yasasına Uygun Olmalıdır.
Özel hayatın gizliliği ve mahremiyetin temel insan hakkı olduğu gerçeğinden hareketle, kişisel bilgilerimizi kimin toplayacağına ve kullanacağına karar verme yeteneği, vazgeçilmez bir bireysel özerklik ve kişilik hakkıdır. Bu nedenle kişisel verileri işleyen yapay zekâ sistemleri, bireylerin hak ve özgürlüklerine yönelik olarak ortaya çıkabilecek riskleri azaltmak ve kişisel verilerin gizlilik ve güvenliğini korumak için temel veri koruma ilkelerine uygun olmalıdır. Bu ilkeler[1];
1) Hesap verebilirlik;
2) Yasallık, adalet ve şeffaflık;
3) Güvenlik ve veri minimizasyonu;
4) Veri sahiplerinin bireysel hakları.
Bu ilke, Veri Koruma mevzuatına uymaktan ve kişisel verileri işleyen herhangi bir yapay zekâ sisteminde bu uygunluğu göstermekten sorumlu kılan ilkedir. Hesap verebilirlik ilkesi aynı zamanda yapay zekâ sistemi bağlamında veri koruma hakkı ile diğer temel haklar arasında gerekli dengeyi sağlamayı kapsar.
Yapay zekâ iyi kullanılırsa, kuruluşları daha verimli, etkili ve yenilikçi yapma potansiyeline sahip olmakla birlikte, aynı zamanda kuruluşlar açısından uyum zorluklarına, bireyler için ise temel hak ve özgürlükler açısından önemli riskleri ortaya çıkarması tehlikesi de mevcuttur. İşte hesap verebilirlik ilkesi, kuruluşların kişisel verileri işlemelerinden kaynaklanan olası riskleri de hesaba katmalarını gerektirmektedir.
Hesap verilebilirlik ilkesi, bir yapay zekâ sisteminin yönetiminden ve veri koruma risk yönetiminden sorumlu olan Veri Sorumluları dâhil olmak üzere, üst düzey yönetime ve uyum odaklı rollerde bulunanlara yöneliktir.
2.1. Yapay zekâ sistemlerinde kişisel verileri işlerken uygun bir yasal dayanağın olması gerekir. Yasal dayanaklar ülkemizde; Anayasa md.20/3 ve 6698 sayılı Kişisel Verileri Koruma Kanunu’dur (AB mevzuatı açısından GDPR).
Özel şartlara bağlı olarak farklı yasal dayanaklar gerekli olabilir. Bazı yasal dayanaklar, yapay zekânın eğitimi ve/veya konuşlandırılması için diğerlerinden daha uygun olabilir. Bazı durumlarda ise birden fazla yasal dayanak uygun olabilir. Örneğin; sağlık verileri söz konusuysa “Kişisel Sağlık Verileri Hakkında Yönetmelik”, verilerini işlemek istediğiniz kişilerle doğrudan bir ilişkiniz olduğu durumlarda ise “açık rıza” uygun yasal dayanaklar olabilir. Ancak, açık rızanın spesifik, bilgilendirilmiş ve özgürce verildiğinden emin olunmalıdır.
Yapay zekâ sistemlerinin geliştirilmesi ve konuşlandırılması kişisel verilerin farklı amaçlar için farklı şekillerde işlenmesini içerir. Hukuka uygunluk ilkesine uymak için, her bir farklı işleme operasyonunu ayırmalı ve her birinin amacı ve yasal dayanağı ayrı ayrı belirlenmelidir. Örneğin, özel nitelikli kişisel verilerin işlenmesi gerekiyorsa bunu yasal olarak yapmak için 6698 sayılı KVKK’nın 6’ncı maddesindeki (GDPR 6. ve 9. Maddesi) koşulların yerine getirilmesi gerekir.
2.2. Kişisel verilerin işlenmesi her zaman adil ve yasal olmalıdır. Kişisel verileri işleyen bir yapay zekâ sistemi kullanılıyorsa, bu işlemenin adil olması için aşağıdakilerden emin olunması gerekir:
2.3. Kişisel verilerin bir yapay zeka sisteminde nasıl işleneceği konusunda şeffaf olunması gerekir. Şeffaflık, bireylere kişisel verilerinin nasıl ve neden kullanıldığı, kimlerle paylaşılacağı ve saklama süreleri konusunda başlangıçtan itibaren insanlara karşı açık, şeffaf ve dürüst olmakla ilgilidir. Bilgiler kısa, şeffaf, anlaşılır, kolay erişilebilir olmalı ve sade bir dil kullanmalıdır. Şeffaflık, yapay zekâ kullanarak işlemenin yasal, adil ve şeffaf olmasını sağlamaktan sorumlu üst yönetim dâhil olmak üzere veri sorumlularını hedeflemektedir.
Bu bölüm, yapay zeka sistemlerinin bilinen güvenlik risklerinin, risk yönetimini nasıl daha zor hale getireceğini ve alınması gerekli tedbirlerle, veri minimizasyon ilkesine uyum zorluklarını ve yapılması gereken işlemleri kapsamaktadır.
3.1. Veri güvenliği; Yapay zeka sistemlerinin eğitimi için toplanan kişisel verileri korumak için uygun güvenlik önlemlerine sahip olunması gerekmektedir. Kişisel veriler, yetkisiz veya yasadışı işlenmesine, kazara kaybolmasına, imha edilmesine veya hasara uğramasına karşı uygun güvenlik düzeylerini sağlayacak şekilde işlenmelidir. Burada en önemli güvenlik sorunu, kişisel verilerin yapay zeka sistemi tarafından işlenmesinin niteliği, kapsamı, amaçları ve bunun sonucunda bireylerin maruz kalacağı risklerdir.
Bilgi güvenliği, yapay zeka denetimi çerçevesinin önemli bir bileşeni olup bilgiyi; gizlilik, bütünlük ve erişilebilirlik açısından ele almaktadır. Bu süreçte alınacak olan idari ve teknik tedbirler, sistemleri, hizmetleri ve bunlarda işlenen kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumalıdır.
3.2. Veri minimizasyonu; Veri minimizasyonu ilkesi amacın gerçekleştirilebilmesi için ihtiyaç duyulan minimum kişisel veri miktarının belirlenmesini ve yalnızca bu verilerin işlenmesini gerektirir. Veri minimizasyon ilkesi (6698 sayılı Kanunun 4/1(ç)’de yer alan; işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma) yasal dayanaklara uygunluk açısından uyulması gerekli ilkedir[2].
Yapay zeka sistemleri genellikle büyük miktarda veri gerektirir. Büyük verinin etkisi ise genellikle hacim, çeşitlilik ve hız olarak yansır. Yapay zeka sistemi verilerden öğrendiğinde (makine öğrenimi modellerinde olduğu gibi), ne kadar fazla veri üzerinde eğitilirse, istatistiksel olarak o kadar doğru olacaktır. Ancak Veri minimizasyonu ilkesi açısından yapay zeka eğitiminde hangi verilerin amaca uygun olduğunun değerlendirilmesi ve yalnızca bu verilerin işlenmesi gerekir. Dolayısıyla, daha az veri noktası veya daha az kişinin dahil edilmesi ile yeterli doğruluğa ulaşılabiliyorsa bu tercih edilmelidir. Gelecekte yararlı olma ihtimaline karşı kişisel veri toplanmaz, ancak öngörülebilir bir olay için verileri tutabilmek mümkün olabilir.
Her bir kişi hakkında ne kadar fazla veri toplanırsa ve verileri veri setine dâhil edilen kişi sayısı arttıkça, risk de o kadar büyük olacaktır.
Burada yapay zekâ sistemlerinde bireysel hakları sağlamanın ve korumanın zorlukları ve yapılması gerekenler yer almaktadır. Öncelikle, yapay zeka sisteminde bireysel haklar nasıl garanti edilebilir sorusunun doğru cevabını bulmak lazım. Veri koruma kanunu uyarınca, bireyler kişisel verileriyle ilgili bir dizi hakka sahiptir. Bu haklar, yapay zeka sisteminin geliştirme ve dağıtım sürecindeki çeşitli noktalardan herhangi birinde kişisel verilerin kullanıldığı her yerde geçerlidir.
Bunlar, kişisel veriler hakkında bilgilenme, erişim, düzeltme, silme, verilerin aktarıldığı üçüncü kişileri bilme, itiraz ve zararın tazmini haklarıdır. (6698 sayılı KVKK Md.11; GDPR Md. 13-21).
Bilgilendirilme hakkı; Bireyler, kişisel verilerinin toplanması, kullanılması, aktarılması konularında bilgilendirilme hakkına sahiptir. Bu temel bir şeffaflık gereksinimidir. İşlemenin adil ve şeffaf olmasını sağlamak için, kişisel verilerinin bir yapay zeka sistemini eğitmek için kullanılıp kullanılmayacağı hususunda bireyler bilgilendirilmelidir. Bu bilgileri verileri toplama noktasında verilmelidir. Veriler başlangıçta farklı bir amaç için işlendiyse ve daha sonra bir yapay zeka sistemini eğitmek için ayrı bir amaç için kullanmaya karar verildiyse, ilgili kişilerin bilgilendirilmesi gerekir.
Erişim hakkı; Bireyler, yapay zeka sisteminde kullanılan kişisel verilerine ve diğer ek bilgilere erişme ve bunların bir kopyasını alma hakkına sahiptir. Bu hak bireylerin verilerinin nerde, nasıl ve neden kullanıldığını anlamalarına ve bunu yasal olarak yapılıp yapılmadığını kontrol etmeleri açsından önemlidir. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme bu kapsamda değerlendirilebilir.
Düzeltme hakkı; Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde; yanlış kişisel verilerini düzeltme veya eksik olması durumunda tamamlama hakkını içerir. Kişisel verilerin doğru olması ne kadar önemliyse, doğruluğunu kontrol etmek ve gerekirse düzeltmek için gerekli adımlar atmakta o kadar önemlidir.
Silme hakkı; Bu hak, KVKK md. 7’ de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkıdır. 6698 sayılı Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir[3]. Silme hakkı aynı zamanda ‘unutulma hakkı’ olarak da bilinir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yapay zekâ eğitim verilerinde yer alan kişisel verilerin silinmesi içinde talepler alınabilir.
Aşağıdaki hallerde silme talepleri kabul edilir.
● Kişisel veriler, başlangıçta topladığınız veya işlediğiniz amaç için artık gerekli değilse; işleme şartlarının tamamı ortadan kalkmışsa,
● Verileri tutmak için yasal dayanağınız olarak rıza ise ve kişi rızasını geri çekiyorsa;
● Verilerin işlenmesine dayanak olarak meşru bir menfaat söz konusuysa ve bu işlemeye devam etmek için ağır basan bir meşru menfaat artık bulunmuyorsa;
● Kişisel verileri hukuka aykırı olarak işlediyseniz (hukuka uygunluk şartını ihlal ederek);
● Yasal bir yükümlülüğe uymak için yapmanız gerekiyorsa.
AB Veri Koruma mevzuatı (GDPR) silme hakkının özel kategori verilerine uygulanmayacağı iki istisnaya yer vermektedir[4] .
● İşleme kamu yararına halk sağlığı amaçları için gerekliyse; Örneğin sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma veya sağlık hizmetlerinin ve tıbbi ürünlerin veya tıbbi cihazların yüksek kalite ve güvenlik standartlarının sağlanması söz konusu ise,
● İşleme koruyucu veya mesleki tıp amacıyla gerekliyse; Örneğin; bir çalışanın çalışma kapasitesi için, tıbbi teşhis için, sağlık veya sosyal bakım sağlanması veya sağlık veya sosyal bakım sistemlerinin veya hizmetlerinin yönetimi için.
İtiraz hakkı: Bu hak bireylere belirli durumlarda kişisel verilerinin işlenmesine itiraz etme hakkı verir. Burada işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı söz konusudur.
Zararın giderilmesini talep etme hakkı: Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle bireylerin zarara uğraması hâlinde zararın giderilmesini talep etme hakkı mevcuttur.
Sonuç ve Değerlendirme
Günümüzde internet evrensel bir iletişim, veriye erişim ve her türlü özel ve kamu hizmetlerini sunma aracı haline geldi. İnternet vatandaşların alışveriş yapmalarını, bankacılık ve diğer hizmetleri kullanmalarını, vergileri ödemelerini, kamu hizmetinden yararlanmalarını, bilgiye erişim ve sosyal bağlantılar kurmalarını kolaylaştırdı. Bütün bu işlemler neticesinde toplanan veriler büyük veri (big data) kavramını hayatımıza taşıdı. Bu büyük veri bize sağlık hizmetlerinde değişimi hızlandıracağını ve kişiselleştirilmiş, hedefe yönelik tedavi ve bakım sunabileceğimizi gösterdi. Yapay zeka teknolojileri ise, verilerin analizi ile oluşturulan algoritmalarla hayatımızı kolaylaştırıcı bir başka etken oldu.
Diğer taraftan yapay zeka geliştikçe, kişisel bilgilerin analizinin gücü ve hızı da yükselmekte ve buna paralel olarak kişisel verilerin gizliliğine müdahale riski de artmaktadır.
Bu nedenlerle yapay zeka sistemleri kişisel verileri işlemek için kullanılıyorsa, bireylerin haklarına ve özgürlüklerine yönelik riskleri ve veri koruma yasası kapsamındaki yükümlülüklerimizi nasıl yerine getireceğimizi öncelememiz, tanımlamamız ve değerlendirmemiz gerekmektedir. Bu değerlendirme sürecinde veriler adil, yasal ve şeffaf bir şekilde işlenip saklanıyor mu? Bireyler verilerinin nasıl kullanıldığını biliyor mu? Veri minimizasyonu sağlanıyor mu? Veriler güvende mi? sorularına doğru ve yeterli cevaplar verilmelidir. Bu süreçte yapay zekâ teknolojilerine güven oluşturmak için gizlilik ve güvenlikle ilgili riskleri ve veri koruma sürecini iyi yönetmek kritik öneme sahiptir.
Bilişim Hukuku Bilim Uzmanı
KAYNAKLAR:
1.https://ico.org.uk/for-organisations/guide-to-data-protection/key-data-protection-themes/guidance-on-ai-and-data-protection/
2. Kişisel Verilerin Korunması Kanunu: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5
3. https://mevzuat.gov.tr/mevzuat?mevzuatno=24038&mevzuattur=7&mevzuattertip=5
4. https://gdpr.eu/tag/gdpr/
5. Kişisel Sağlık Verileri Hakkında Yönetmelik: https://www.resmigazete.gov.tr/eskiler/2019/06/20190621-3.htm
6.https://www.europarl.europa.eu/RegData/etudes/STUD/2020/641530/EPRS_STU(2020)641530_EN.pdf
7.https://www.mckinsey.com/business-functions/mckinsey-analytics/our-insights/confronting-the-risks-of-artificial-intelligence