Yapay Zeka Alanında Kişisel Verilerin Korunması
Yapay Zeka terimi ilk kez Bilgisayar Bilimci ve Bilişsel Bilimci “John McCarthy” tarafından 1956 yılında ilk kez düzenlenen yapay zekâ konferansı olan “Dartmouth Konferansı”nda kullanılmıştır. Daha öncesinde ise, 1950’li yılların başında Alan Turing’in “Makineler Düşünebilir Mi?” sorusuyla makine öğrenmesi kavramı ortaya çıkmıştır. Bir bilgisayarın ya da bilgisayarın kontrol ettiği makinanın insana özgü nitelikler olan akıl yürütme, anlam çıkartma ve geçmiş deneyimlerden öğrenme gibi görevleri yerine getirme yeteneği olarak tanımlanabilir yapay zekâ kavramı. Yapay zekanın temelinde insan beynindeki nöronları taklit eden yapay sinir ağları bulunmaktadır. Yapay sinir ağları yoğun bir matematik içermektedir. Yapay zekâ bir üst kavram olarak kullanılmaktadır. Derin öğrenme, makine öğrenmesi gibi kavramlar yapay zekanın alt alanlarıdır. Tüm bu alanların en büyük ihtiyacı ise eğitilmelerinde kullanılacak olan veridir. Kısaca Yapay zekanın besini veri diyebiliriz.
2016 yılında resmî gazetede yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu ile kişisel veri kavramı tam olarak hayatımızın ortasında yer almıştır. Kısa süre içerisinde önemi anlaşılan kişisel veriler ile ilgili en önemli husus ise güvenliğinin sağlanması sorunu olmuştur. Yaşadığımız yüzyılın en değerli varlığı haline gelen veri tüm dikkatleri üzerine çekmiş ve tüm saldırıların hedefi haline gelmiştir. Hal böyle iken büyük bir güvenlik sorunu ortaya çıkmıştır. Kişisel Verilen Korunması Sorunu böylece gündemdeki en önemli konular arasına girmiştir.
Kişisel Veri
Söz konusu kanundaki kişisel veri kavramının tanımına baktığımızda “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak kabul edildiğini görüyoruz. Bu kapsamda kişinin kimlik bilgilerinden adres bilgisine, fiziksel bilgilerinden sağlık bilgilerine birçok verisinin kişisel veri kapsamında değerlendirildiğini görmekteyiz. Tüm bu verilerin işlem görmesi için kanunda belirtilen istisnai durumlar dışında kişisel veri sahibinin onayının alınması bir zorunluluktur.
Kanunda Kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” olarak tanımlanmıştır. Görüldüğü üzere birçok işlem çeşidi tanımlanmıştır. Kişisel verilerin elde edilmesinden yok edilmesine kadar geçen süreçte güvenlik, bütünlük ve kullanılabilirlik şartlarının sağlanması gerekmektedir. Aksi halde güvenlik ihlali oluşacaktır.
Kişisel Verilerin Korunması Kanunu çerçevesinde tüm süreç boyunca verinin korunması gerekmektedir. Bu nedenle yazılım geliştiriciler tarafından uygulamalar geliştirilirken veya uygulamalarda kişisel veriler kullanılırken kanundaki hususlara dikkat etmek gerekmektedir.
Yapay Zekâ Tabanlı Uygulamalar
Son zamanlarda geliştirilen uygulamalarda yapay zekâ kullanımının artması sonucunda veri koruma otoriteleri ilgi alanlarını bu yöne kaydırmışlardır. Yapay zekâ tabanlı uygulamalarda veri kullanım ihtiyacının büyüklüğü veri setlerine duyulan ihtiyacı artırmıştır. ABD merkezli OpenAI firması tarafından geliştirilen ChatGPT, derin öğrenme modelini kullanan yapay zekâ tabanlı bir sohbet robotu olarak hayatımıza girmiş ve bu veri güvenliği tartışmalarının odağına yerleşmiştir. Avrupa Birliği bünyesindeki veri koruma otoritelerinin, yapay zekâ tabanlı sohbet robotlarına, kullanıcılardan aldıkları verileri işlerken yeterli seviyede şeffaflık sağlamamaları ve Avrupa Birliği’nin Genel Veri Koruma Tüzüğü’nü (GDPR) ihlal ettikleri şüphesi nedeniyle mesafeli yaklaşımı devam etmektedir.
Nispeten yeni ve farklı bir uygulama olan ChatGPT her yaştan internet kullanıcıları tarafından büyük ilgi görmüş ve popüler bir uygulama olmuştur. Birçok kullanıcı bu uygulamayı test etmek istemiş ve özellikle başarısı oldukça yükselmiş olan çeviri özelliğini kullanmışlardır. Uygulama internet sitesinde yayınladığı gizlilik politikasında; kullanıcılardan topladıkları verileri hizmetleri sağlamak, yönetmek, sürdürmek ve/veya analiz etmek, doğal dil işleme ve yapay zeka teknolojileri kullanarak daha iyi bir kullanıcı deneyimi sağlamak, hizmetleri geliştirmek, kullanıcılar ile iletişime geçmek, hizmetlerin kötüye kullanılmasını önlemek, bilgi teknolojileri sistemlerinin ve ağ güvenliğinin sağlanması, yeni programlar ve hizmetler geliştirmek ve yasal yükümlülüklerin yerine getirilmesi ve şirketin meşru menfaatlerinin korunması amacıyla işlendiğini belirtmiştir.
Verilerin işlendiği yapay zekâ içeren uygulamalar sadece sohbet robotları ile sınırlı kalmamaktadır. Sağlıktan navigasyona, güvenlikten günlük yaşama birçok alanda kullanıcılardan toplanan veriler uygulamaların eğitilmesinde kullanılmak üzere işleme tabi tutulmaktadır. Özellikle sağlık sektöründe kullanılan birçok sağlık cihazı yapay zekâ yazılımları içermektedir. Tıbbi görüntüleme cihazlarında anomali tespiti yapan ve radyoloji uzmanlarına karar destek yazılımı olarak hizmet veren uygulamaların eğitilmesinde sağlık verileri kullanılmaktadır. Sağlık verilerinin bu uygulamalarca işlenmesi sürecinde Kişisel verilerin korunması kurallarına uyulması kapsamında çeşitli önlemler alınmaktadır. Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri tanımlayan veri maskeleme de bu önlemlerden birisidir. Burada önemli olan verinin çeşitli analizler sonucunda veri sahibine ulaşılmasına müsaade etmeyecek şekilde maskelenmesidir. Ancak büyük miktarda verinin işlendiği yapay zekâ tabanlı uygulamalarda başka bir tehlike daha ortaya çıkmaktadır. Büyük verinin analiz edilerek toplumun geneline yönelik genellemelere ulaşılma ihtimalidir.
Her ne kadar büyük verinin analizi gibi yöntemler sonucunda Kanunda belirtilen verinin sahibi olan gerçek kişiye ulaşmayı sağlamasa da veri güvenliği kapsamında büyük önem taşımaktadır. Ülkelerin verileri toprakları gibi kutsaldır. Bu düşünce kişisel veriler konusunda olduğu gibi ülkelere ait genel karakteristiklerin ortaya çıkarılması kapsamında da geçerli olmaktadır. Hızlı gelişen teknolojinin gelecekte ne getireceği sadece hayal gücü ile sınırlıdır. Özellikle sağlık verileri bu kapsamda büyük önem arz etmektedir. Toplumun büyük kısmının verileri analiz edilerek genel kanılara ulaşmak mümkün olmaktadır. Özellikle biyolojik silah üretiminde bu tür verilerin kullanılması henüz bilim kurgu kitaplarında mevcut olsa da geleceğin ne getireceği bilinmemektedir. Bu nedenle verilerin yurt dışına çıkarılması konusunda uygulanan sıkı güvenlik uygulamaları da oldukça yerinde uygulamalar olmaktadır.
Kişisel Verilerin Korunması
Yapay zekâ içeren uygulamalardan kişisel verileri işleme temelli çalışanların kişilerin anayasadan ve kanunlardan kaynaklanan temel hak ve özgürlüklerini koruyarak, hukuka uygun, dürüst, hesap verilebilir, şeffaf ve ölçülü şekilde olması sağlanmalıdır. Bu uygulamaların kişisel verileri işlerken bu alandaki ilkelere uygun olarak işlemesine dikkat etmek gerekmektedir. Kişisel veri işleyecek uygulamalar henüz tasarım aşamasında kişisel verilerin korunması mevzuatına uyum sağlayacak ve veri koruma ilkelerine uygun olacak şekilde geliştirilmelidir. GDPR tarafından önerilen “Privacy By Design” yaklaşımı yazılım geliştirme aşamasında uygulamadan beklenen özellikleri karşılamasına yardımcı olacak bir yöntem olarak karşımıza çıkmaktadır. Tasarımla Veri Koruma olarak tanımlayabileceğimiz bu yaklaşımla uygulamaların veri koruma ilkelerine uygun olarak geliştirilmesine imkân sağlayacaktır.
Kişisel verilerin toplanmasından başlamak üzere tüm veri işleme süreçlerinde kişisel verilere aynı hassasiyet gösterilmelidir. Her ne kadar uygulaması kolay olmasa da veri sahiplerinin kişisel verilerine uygulanan işlemlerin tamamından haberi olması gerekmektedir. Kişisel veri sahibinden alınan onayın açık ve ayrıntılı olması gerekmektedir. Aksi halde açık rıza gerektiren kişisel verilerin işlenmesi için verilen açık rızanın her an geri alınabileceği ihtimali göz ardı edilmiş olacaktır.
Sonuç
Endüstri 4.0 ile hayatımıza giren yapay zekâ hem hayatı kolaylaştırmakta hem de tüm toplumun ilgisini çekmektedir. Yaşanan büyük dijital dönüşüm sonucunda internet kullanıcıları birçok insansız uygulama ile tanışmış ve kullanım kolaylığına alışmıştır. Telefonlarda insan müşteri temsilcilerinin uzun bekleme süreleri yerine her müşteriye hemen hizmet sunan sohbet robotları tercih edilir olmuştur. Yeni teknolojilerin insanlığa sunduğu bu hizmetlerin yanı sıra insan olmanın en büyük özelliği olan temel hak ve özgürlüklerine saygılı olmaları da beklenmektedir. Bu aşamada en büyük görev yeni teknolojilerin de lideri durumunda olan yapay zekâ teknolojisini içeren uygulamaları tasarlayan ve geliştiren uzmanlara düşmektedir. Kendilerine bu yolda “Tasarımla Veri Koruma” yaklaşımı yol gösterecektir.
Yazarın tüm Blog yazılarını okumak için bağlantıya tıklayınız.
Yazarın 9. Sayı’mızda yayınlanan “Yapay Zeka ve Geleceğin Mahkemeleri” isimli yazısını bağlantıdan okuyabilirsiniz.