ICT Media
Yapay zekâ teknolojileri, hayatımızın her alanında etkisini artırırken, kişisel verilerin korunmasına ilişkin yeni soru işaretlerini de gündeme getiriyor. Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk BİLİR, yapay zekâ sistemlerinin veri işleme süreçlerinde karşılaşılan riskleri, otomatik karar verme mekanizmalarının etkilerini ve çocukların kişisel verilerinin korunmasına yönelik alınması gereken önlemleri değerlendirdi. BİLİR, gelecekte şeffaf ve hesap verebilir yapay zekâ sistemlerinin önemine dikkat çekerek, bireylerin haklarının nasıl korunabileceğine dair önemli açıklamalarda bulundu.
Türkiye’de Kişisel Verilerin Korunması Kanunu, yapay zekâ teknolojilerinin veri işleme süreçlerini düzenlemek için de geçerli midir?
Prof. Dr. BİLİR: Ülkemizde 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, yapay zekâ teknolojilerinin veri işleme süreçlerine de uygulanabilir bir hukuki çerçeve sunmaktadır. Yapay zekâ tabanlı sistemler, büyük ölçüde kişisel verilerin işlenmesine dayandığından, bu süreçlerin Kanun’da belirtilen genel ilkelere ve veri işleme şartlarına uygun bir şekilde gerçekleştirilmesi gerekmektedir. Bu çerçevede Kanun’un 4. maddesinde, kişisel verilerin elde edilmesi, depolanması ve aktarılması gibi veri işleme süreçlerinde uyulması gereken temel ilkeler ortaya konulmaktadır. Bu ilkeler, yapay zekâ sistemleri de dahil olmak üzere, tüm veri işleme faaliyetlerinin merkezinde yer almalı ve sürecin her aşamasında gözetilmelidir.
Diğer yandan, Kanun’un 5. maddesinin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmekte ve ikinci fıkrasında ise varlığı halinde ilgili kişinin açık rızasının aranmayacağı kişisel veri işleme şartları sayılmaktadır. 6. maddede ise “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” şeklinde tahdidi olarak sayılan özel nitelikli kişisel verilerin işlenme şartları düzenlenmektedir.
Söz konusu düzenlemeler, genel veri koruma ilkeleriyle birlikte, yapay zekâ sistemleri tarafından gerçekleştirilen veri işleme faaliyetleri bakımından da geçerli olacaktır. Bu çerçevede, yapay zekâ uygulamaları kapsamında kişisel verilerin işlenmesinin, Kanun’da yer alan veri işleme şartlarına uygun bir şekilde gerçekleştirilmesi önem taşımaktadır.
Bununla birlikte, yapay zekâ gibi dinamik ve hızlı gelişen teknolojiler karşısında Kanun’un sunduğu genel çerçevenin yanı sıra, daha spesifik düzenlemelere de ihtiyaç duyulabilir. Özellikle, otomatik karar verme ve bireylerin profillerini oluşturma gibi yapay zekâ uygulamalarının beraberinde getirdiği etik ve hukuki sorumluluklar, hukuki düzenlemelerle desteklenebilir. Mevcut hukuki çerçeve, yapay zekâ tabanlı veri işleme süreçleri için temel bir dayanak sağlarken, Avrupa Birliği’nin yapay zekâ düzenlemeleri gibi yaklaşımlar, ülkemizin kendi düzenlemelerini geliştirmesi açısından bir referans oluşturabilir. Bu tür düzenlemeler, yapay zekâ teknolojilerinde kişisel verilerin korunmasının daha etkin ve sürdürülebilir bir şekilde sağlanmasına katkı sunabilir.
Yapay zekâ sistemlerinin kullanımı hızla artıyor. Sizce, yapay zekâ teknolojilerinin kişisel verilerin korunması açısından beraberinde getirdiği riskler nelerdir?
Prof. Dr. BİLİR: Yapay zekâ sistemleri, büyük veri setlerine dayalı çalıştığı için kişisel verilerin elde edilmesi, işlenmesi ve saklanması süreçlerinde çeşitli riskler gündeme gelebilmektedir. Öncelikle, kişisel veri ihlalleri ve kişisel verilerin kötüye kullanım riski, karşımıza çıkabilecek önemli tehditlerdir. Örneğin, yapay zekâ algoritmaları eğitim süreçlerinde geniş çaplı veri setlerine ihtiyaç duyuyor ve bu veriler, ilgili kişilerin kimliklerinin açığa çıkmasına neden olabilecek bilgiler içerebiliyor. Dahası, anonim verilerden gerçek kişilere ulaşılma ihtimali de günümüzde önemli ölçüde artmış durumda. Bilginin miktarı ve çeşitliliğinin artmasıyla, elde edilen korelasyonlar ve çıkarımlar sayesinde “kişisel veri” ile “kişisel olmayan veri” arasında ayrım yapmak giderek zorlaşıyor. Diğer bir deyişle, ilk bakışta kişisel veri olarak görülmeyen bilgiler, farklı veri parçalarının bir araya getirilmesiyle, bir kişinin kimliğinin belirlenmesine olanak tanıyabilir. Bu da yapay zekâ sistemlerinin veri işleme süreçlerinde ortaya çıkabilecek potansiyel risklerin daha iyi anlaşılması ve yönetilmesi gerektiğini gösteriyor. Ayrıca algoritmik ön yargı ve ayrımcılık da yapay zekâ sistemlerinde karşılaşılan önemli sorunlardandır. Bir yapay zekâ modeli, eğitim verilerinde yer alan ön yargılardan etkilenerek taraflı kararlar üretebilir ve bu durum, bireyler açısından kişisel hak ihlallerine neden olabilir. Bunların yanı sıra, yapay zekâ sistemlerindeki şeffaflık eksikliği de önemli bir sorun olarak karşımıza çıkmaktadır. Algoritmik kararların nasıl alındığına dair yeterli netlik sağlanamaması, bireylerin kişisel verileri üzerindeki kontrolünü kaybetmesine yol açabilir. Bu tür bir belirsizlik hukuka aykırı sonuçlar doğurabilir ve bireylerin mağduriyetlerine sebep olabilir.
Kişisel Verileri Koruma Kurumu olarak, yapay zekâ modelleri geliştiren ve kullanan şirketlere rehberlik sağlayan bir çerçeve sunuyor musunuz?
Prof. Dr. BİLİR: Hem yapay zekâ geliştiren hem de kullanan şirketler için, kişisel verilerin işlenmesiyle ilgili yol gösterici rehberler hazırlanması önemlidir. Kurumumuz, yapay zekâ teknolojileri geliştiren ve kullanan şirketlere rehberlik sağlayabilecek bir doküman yayınlamıştır. Bu çalışmada, yapay zekâ alanında kişisel verilerin korunmasına ilişkin tavsiyelerde bulunulmuştur. Şirketlerin yapay zekâ sistemlerini geliştirirken, ilgili kişilerin temel hak ve özgürlüklerini korumaya yönelik bir yaklaşım benimsemesi teşvik edilmektedir. Özellikle, sistemlerin tasarım aşamasından itibaren kişisel verilerin korunmasını sağlayacak şekilde yapılandırılması, bu bağlamda tasarımda mahremiyet (“Privacy by Design”) ve varsayılan olarak mahremiyet (“Privacy by Default”) ilkelerinin hayata geçirilmesi önerilmektedir. Kurumumuz, bu alandaki rehberlik çalışmalarını uluslararası standartlar ve en iyi uygulamalar doğrultusunda güncellemektedir.
Yapay zekâ teknolojilerinde otomatik karar verme süreçleri sıkça kullanılıyor. Sizce bu tür sistemler, bireylerin haklarını kullanmalarını nasıl etkiliyor?
Prof. Dr. BİLİR: Otomatik karar verme süreçleri günümüzde giderek daha yaygın hale gelmektedir. Özellikle işe alım, kredi başvuruları ve sigortacılık işlemleri gibi birçok alanda bu tür sistemlerle karşılaşıyoruz. Ancak, yapay zekâ sistemlerindeki şeffaflık eksikliği ve algoritmik süreçlerin karmaşıklığı, bu sistemler vasıtasıyla alınan kararların anlaşılmasını zorlaştırabilmektedir.
Bu noktada Kanun’un 11. maddesi, kişisel verisi işlenen bireylere bilgi edinme ve işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı tanıyarak, temel hakların korunmasına yönelik önemli bir çerçeve sunmaktadır. Bu düzenlemeyi, insan odaklı yaklaşımın mevzuatımıza yansıyan somut bir örneği olarak düşünebiliriz. İnsan odaklı yaklaşım, teknolojik süreçlerin şeffaflığını artırmayı, bireylerin kendi verileri üzerindeki kontrolünü güçlendirmeyi ve adil karar alma süreçlerini teşvik etmeyi amaçlar. Bu bağlamda itiraz hakkı sayesinde bireyler, yalnızca alınan kararları sorgulama fırsatı bulmakla kalmaz, aynı zamanda insan müdahalesinin sürece dahil edilmesini talep ederek daha adil ve insana saygılı sonuçların ortaya çıkmasına katkı sağlayabilir.
“Çocukların kişisel verilerinin korunması için özel önlemler alınması gerekiyor”
Yapay zekâ teknolojilerinin çocukların kişisel verileri üzerindeki etkilerini nasıl değerlendiriyorsunuz?
Prof. Dr. BİLİR: Yapay zekâ teknolojileri, çocuklara yönelik dijital platformlar, oyunlar ve eğitim uygulamaları gibi alanlarda giderek daha fazla kullanılmaktadır. Bu sistemler, çocukların davranışlarını, ilgi alanlarını ve kimi zaman fiziksel özelliklerini dahi analiz ederek kişiselleştirilmiş içerikler sunabilmektedir. Ancak bu tür veri işleme faaliyetleri, çocukların mahremiyetini ve kişisel verilerinin korunmasını sağlama konusunda özel önlemler alınmasını gerektirmektedir. Örneğin, açık rıza süreçlerinin ebeveyn onayını içerecek şekilde tasarlanması ve çocukların verilerinin ticari amaçlarla kullanılmasının sınırlandırılması önemlidir. Ayrıca, yapay zekâ destekli sistemlerde çocukların yaş gruplarına uygun ayarların varsayılan olarak sunulması, bu konudaki riskleri azaltmak için etkili bir yöntem olabilir. Bunun yanı sıra, dijital dünyada karşılaşabilecekleri riskler konusunda çocuklara farkındalık kazandırılması da büyük önem taşımaktadır. Çocukların, hangi bilgilerin paylaşılmasının güvenli olduğu ve hangi durumlarda dikkatli olmaları gerektiği gibi konularda bilgilendirilmesi, buna ilişkin risklerin azaltılmasına katkı sağlayacaktır. Bu çerçevede, çeşitli yaş gruplarından çocukların veri koruma bilincini artırmak için Kurumumuzda eğitici programlar düzenliyoruz ve çeşitli dokümanlar yayımlıyoruz. Bunlara ilişkin detaylar için Kurumumuz internet sayfasının takip edilmesini tavsiye ederim.
Son yıllarda popülerliği günden güne artan üretken yapay zekâ teknolojilerinin, beraberinde getirdiği riskleri kişisel verilerin korunması açısından nasıl değerlendiriyorsunuz?
Prof. Dr. BİLİR: Üretken yapay zekâ, metin, görüntü, yazılım kodu, video, ses ve müzik gibi farklı türlerde içerikler oluşturma yeteneğiyle iş süreçlerini yeniden şekillendirmekte ve geleneksel yöntemlerin ötesinde yenilikçi yaklaşımlar geliştirilmesine olanak tanımaktadır. Ancak, bu teknolojinin kullanımı etik, güvenlik ve hukuki açılardan birtakım riskler de ortaya çıkarmaktadır. Örneğin, üretken yapay zekâ sistemlerinde sıklıkla karşılaşılan ve “halüsinasyon” olarak adlandırılan hatalı çıktılar, bu teknolojilerin önemli sorunlarından biridir. Ayrıca, ön yargılı ve yanlı çıktılar üretilmesi riski de bu sistemlerle ilişkilendirilen diğer kritik konulardandır.
Kişisel verilerin korunması açısından bakıldığında ise üretken yapay zekâ teknolojileri, ikna edici oltalama e-postaları, sahte kimlikler veya diğer zararlı içerikler oluşturmak için kullanılabilmektedir. Bu modellerin geniş ölçekli veri setlerine dayanması ve internet üzerinden elde edilen verilerle eğitilmesi durumu, model çıktılarında kişisel verilerin tekrarlanması riskini doğurabilmektedir. Bunun yanı sıra, kullanıcıların bu sistemlerle olan etkileşimlerinde paylaştıkları kişisel verilerin açığa çıkması da bir diğer önemli tehdittir. Dolayısıyla, bireylerin haklarının korunması ve toplumsal güvenliğin sağlanabilmesi adına, bu teknolojinin getirdiği riskler dikkate alınarak sorumlu ve bilinçli bir şekilde kullanılması önem taşımaktadır.
“Şeffaf ve Hesap Verebilir Sistemler Şart"
Deepfake teknolojileri kişisel verilerin korunması açısından ne gibi riskler ortaya çıkarmaktadır? Bu konuda alınabilecek önlemler nelerdir?
Prof. Dr. BİLİR: Deepfake teknolojisi, üretken yapay zekânın görüntü, video ve ses üretimi alanındaki bir uygulamasıdır. Bu teknolojiler, sahte görüntüler, videolar veya sesler oluşturarak kişilerin kimliğini, itibarını ve mahremiyetini tehdit edebilecek yapay zekâ uygulamalarıdır. Deepfake teknolojisi, kişisel verilerin izinsiz bir şekilde kullanılması, bireylerin manipüle edilmesi, yanlış bilgiler yayılması, itibar zedelenmesi ve maddi zararlar ortaya çıkması gibi birçok riski beraberinde getirmektedir. Özellikle, sahte içeriklerin giderek daha ikna edici hale gelmesi ve hızla yayılabilmesi, bu risklerin etkisini artırmaktadır. Bu kapsamda, deepfake içeriklerinin tespit edilmesi için yapay zekâ tabanlı araçlar ve yazılımlar geliştirilmesi, toplumun deepfake teknolojisi hakkında bilinçlendirilmesi, sosyal medya ve video paylaşım platformlarının deepfake içeriklerinin yayılmasını önlemek için güçlü içerik denetim mekanizmaları kurması ve kimlik doğrulama yöntemlerinin yaygınlaştırılması gibi önlemler, deepfake kaynaklı risklerin azaltılmasında önem taşımaktadır.
Son olarak sizce gelecekte yapay zekâ ve veri koruma alanında bizleri nasıl bir dünya bekliyor?
Prof. Dr. BİLİR: Yapay zekânın, günlük yaşamımızın her alanını etkileyen ve kimi açılardan dönüştüren bir teknoloji olmaya devam edeceği açıktır. Yapay zekâ, insan yaşamını kolaylaştırmak, iş süreçlerini iyileştirmek ve günümüz dünyasının sorunlarına özgün çözümler geliştirmek için büyük bir potansiyele sahiptir. Bu alandaki gelişmeler, kişisel veriler açısından hem önemli fırsatlar sunmakta hem de birtakım riskler ortaya çıkarmaktadır. Yapay zekâ, bir yandan veri güvenliğini güçlendirecek yenilikçi teknolojiler geliştirme potansiyeline sahipken, diğer yandan mahremiyet ve gizlilik ihlallerinin önüne geçilmesi için dikkatle ele alınması gereken bir alan olarak karşımıza çıkmaktadır.
Gelecekte, bireylerin verileri üzerinde daha fazla kontrol sahibi olduğu, şeffaf ve hesap verebilir yapay zekâ sistemlerinin yaygınlaştığı bir ekosistem oluşturulması gerektiğine inanıyorum. Bu bağlamda, insan odaklı yaklaşımın merkeze alındığı, etik ilkelerin önceliklendirildiği, tasarımda mahremiyet ve varsayılan olarak mahremiyet gibi yaklaşımların standart hale geldiği bir yapının inşa edilmesi büyük önem taşımaktadır.
Yapay zekâ odaklı dönüşümün şekillendirdiği bu süreçte, teknoloji ile mahremiyetin uyum içinde var olabileceği bir denge kurmak son derece önemlidir. Kurumumuz, bu hedefler doğrultusunda çalışmalarına devam edecek ve bireylerin haklarını koruma altına almaya yönelik faaliyetlerini sürdürecektir.
