KVKK, Yapay Zekâ Alanında Kişisel Veri İşlenmesine İlişkin Tavsiyelerini Açıkladı
Kişisel Verileri Korumu Kurumu (“KVKK”), 15.09.2021 tarihinde “Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” isimli rehberini yayınladı. Rehber iki bölümden oluşmakta olup giriş kısmında amaç ve dayanak, kapsam ve tanımlara yer verilmişken; ikinci kısım ise karar alıcılar, geliştiriciler, üreticiler, servis sağlayıcılar için öneriler ve genel tavsiyelerden oluşuyor. Dokümanda yer alan tavsiyelerde, Avrupa Konseyi İnsan Hakları ve Hukukun Üstünlüğü Genel Müdürlüğü tarafından yayınlanmış olan “Yapay Zekâ ve Kişisel Verilerin Korunması Rehber İlkeleri”, OECD tarafından hazırlanan “OECD Yapay Zekâ Konseyi Önerileri” ve Avrupa Konseyi’nin “Güvenilir Yapay Zekâ için Taslak Etik Kuralları” çalışmalarından faydalanılmıştır.
Dokümanda yapay zekâ alanında faaliyet gösteren paydaşların 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin korunmasına ilişkin öneriler ortaya konulmaktadır. Günümüzde yapay zekâ uygulamalarında ilerlemeler yaşamımızı doğrudan etkilemeye başlamış olduğundan yapay zekânın toplum için faydasının yanında oluşturabileceği risklerinde önüne geçilmesi, bireyin temel hakları çerçevesinde kişisel verilerin korunmasına dikkat edilmesi gerekliliği vurgulanmıştır. Dokümanda yer alan diğer bir risk noktası kişisel veri işlemeyi temel alan yapa zekâ çalışmaları ve uygulamalarıdır. Bu çalışma ve uygulamaların 6698 Sayılı Kişisel Verilerin Korunması Kanununa ve ikincil mevzuata uygun olması gerekliliği ortaya konmuştur.
Dokümanda genel tavsiye olarak, yapay zekâ uygulamalarının geliştirilmesi ve uygulanması sürecinde ilgili kişilerin temel hak ve özgürlüklerine saygı gösterilmesi, hak ihlaline meydan verilmemesi, insan hakları ve temel özgürlüklerin himayesi ile insan onurunun korunması hakkının gözetilmesi, kişisel veri işleme temelli yapay zekâ ve veri toplama çalışmalarının; kişilerin temel hak ve özgürlüklerini koruyan bir yaklaşım içerisinde hukuka uygunluk, dürüstlük, ölçülülük, hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olması, kişisel verilerin işlenmesinde; potansiyel risklerin önlenmesi ve azaltılması üzerine odaklanan, insan haklarını, demokrasinin işleyişini, sosyal ve etik değerleri de göz önünde bulunduran bir bakış açısının benimsenmesi, veri işleme faaliyetinin bireyler ve toplum üzerine etkileri değerlendirildiğinde ilgili kişi açısından kontrolünün mümkün olması, kişisel veri işleme temelli yapay zekâ çalışmalarında, kişisel verilerin korunması açısından yüksek risk öngörülüyorsa, mahremiyet etki değerlendirmesi testinin uygulanması ve veri işleme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmesi gibi kişisel veri hukukunun temel ilkelerine yapay zekâ uygulama ve çalışmaları alanında da uygunluğun göz ardı edilmemesine vurgu yapılmaktadır.
Geliştiriciler, üreticiler ve servis sağlayıcılar için ayrıca tasarımda, ulusal ve uluslararası düzenleme ve/veya belgelerle tutarlı olarak kişisel veri mahremiyetini esas alan bir yaklaşımın gözetilmesi, veri toplama da dâhil olmak üzere veri işlemenin her aşamasında, temel hak ve özgürlükler gözetilerek, ilgili kişiler üzerinde meydana gelebilecek ayrımcılık riski veya diğer olumsuz etkiler ve önyargıların önlenmesi, bireylere, görüşlerini ve kişisel gelişimlerini etkileyen teknolojilere dayalı işlemelerle ilgili itiraz hakkının tanınması, uygulamalardan özellikle etkilenmesi muhtemel olan bireylerin ve grupların aktif katılımına dayalı risk değerlendirmesinin teşvik edilmesi gibi tavsiyelerle bulunulmaktadır. Bu tavsiyelerle, yapay zekâların tasarlanma sürecinden itibaren kişisel verilerin korunması ve ihlallerin önlenmesinin planlandığı anlaşılmaktadır.
Son olarak karar alıcılara ilişkin tavsiyelere örnek olarak, hesap verebilirlik ilkesinin tüm aşamalarda gözetilmesi, davranış kuralları ve sertifikasyon mekanizmaları gibi uygun önlemlerin alınması, karar alma süreçlerinde insan müdahalesinin rolünün tesis edilmesi ve bireylerin, yapay zekâ uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğünün korunması, denetim otoriteleri ve yetkili diğer kuruluşlar arasında, veri mahremiyeti, tüketicinin korunması, rekabetin geliştirilmesi ve ayrımcılıkla mücadele konularında işbirliğinin teşvik edilmesi, verilerin güvenli, adil, yasal ve etik paylaşımını destekleyen dijital ekosistemin oluşturulabilmesi için açık yazılım tabanlı uygun mekanizmaların teşvik edilmesi, ilgili kişiler bakımından yapay zekâ uygulamalarını ve etkilerini anlama konusunda farkındalığı artırmak için dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılması tavsiyelerine yer verilmiştir.
Yukarıda örnek verilen tavsiyeler sınırlı sayıda olmayıp metnin başında değinildiği üzere metnin hazırlanmasında kullanılan OECD ve Avrupa Birliği ve Komisyonu’nun ilgili rehberleri de Kişisel Verileri Koruma Kurumu tarafından dokümanın sonuna eklenerek sektör paydaşlarının daha fazla bilgi talep etmesi halinde yararlanabileceği kaynaklar gösterilmiştir.