Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler Yayınlandı
Özet
Kişisel Verileri Koruma Kurumu (“Kurum”) geçtiğimiz günlerde, yapay zekâ alanında kişisel verilerin korunmasına dair tavsiyelerin yer aldığı bir metin yayınladı. Bu metin, Avrupa Birliği ve OECD uygulamaları ışığında; “Geliştiriciler, Üreticiler ve Servis Sağlayıcılar” ile “Karar Alıcılar” perspektifinden tavsiyelerde bulunuyor.
Kurumun Tavsiyeleri
Kurum, Genel Tavsiyeler başlığı altında, yapay zekâ uygulamalarının geliştirilmesi sürecinde bireyin temel hak ve özgürlüklerinin gözetilmesi ve kişisel veri işlenirken olası tehlikeleri önlemeye yönelik faaliyetlerin yürütülmesi gerektiğini belirtmiştir.
Ayrıca kişisel veri işleme temelli yapay zekâ uygulamalarında, tasarımın ilk aşamasından itibaren1 kişisel verilerin korunması mevzuatının göz önünde bulundurulması ve herhangi bir yüksek risk karşısında mahremiyet etki değerlendirmesi2 işletilmesi gerekliliği vurgulanmıştır. Yapay zeka uygulamaları sırasında kişisel veriler kullanılmadan da aynı sonuca ulaşılabiliyorsa; kişisel veri yerine mümkün mertebe anonim veri kullanılması gerektiği belirtilmiştir.
Geliştiriciler, üreticiler ve servis sağlayıcıları için tavsiyeler kısmında ise; yine temel hak ve özgürlükler vurgusunda bulunulmuştur. Geliştirme ve üretim sürecinde verilerin korunmasının sürekliliği ve olası risklerin değerlendirilmesi üzerinde durulmuş, bireylere bu uygulamaları istedikleri zaman durdurabilme imkanı tanınması gerekliliği vurgulanmıştır. Bağlamından koparılmış algoritma modelleri açıklanarak, bu modellerin bireyler ve toplum üzerinde olumsuz etkilere sebep olma riski açısından değerlendirilmesi gerektiği belirtilmiştir. Yapay zeka kullanıcısı kişilere, kişisel verilerinin işlenmesini durdurma, kişisel verilerinin silinmesini veya anonimleştirilmesini talep etme hakkı tanınması gerektiği dile getirilmiştir.
Karar alıcılara ilişkin tavsiyeler kısmı ise hesap verilebilirlik ve uygun mekanizmaların kurgulanması ilkeleri temelinde açıklanmıştır. Ayrıca yapay zekâ uygulamalarının amaca uygun ve mevzuatla eşgüdümlü işletilip işletilmediğinin kontrolünün gerekliliği ele alınmıştır.
Tavsiye metninde genel olarak, tüm işlemlerde kişisel verilerin amaca uygun işlenmesi, bireylere kişisel verileri üzerinde kontrol ve itiraz imkanı tanınması, ilgili kişilerin rızalarının bir süreç dahilinde sağlıklı olarak alınması ve gerektiğinde kişilerin rızalarını geri çekebiliyor olması gerektiği belirtilmiştir.
1 Bu noktada Tavsiye Metninin GDPR’da yer alan “privacy by design” kavramını baz aldığını söylemek mümkündür. Privacy by design, bir uygulamanın tasarım ve mimari çalışmalarının en başında veri koruma kurallarının dikkate alınması ve tüm uygulamanın bu vizyon ile geliştirilmesini ifade etmektedir.
2 Mahremiyet Etki Değerlendirmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer almamakla birlikte GDPR m. 35 kapsamında düzenlenmiştir.
