ChatGPT Sohbet Robotunun KVKK Kapsamında Değerlendirilmesi

Son yıllarda yapay zekâ alanındaki gelişmelerle birlikte, sohbet robotları gündelik hayatımızda yer edinmeye başladı. Popülaritesi gün geçtikçe artan bu teknolojik gelişmeler sayesinde, gündelik hayatta yer alan birçok aktivitenin karşılığını görebilmemiz mümkündür. Özellikle OpenAI firması tarafından geliştirilen ChatGPT sohbet robotu, doğal dil işleme yeteneği sayesinde insanlarla akıcı sohbetler kurabilmesi nedeniyle büyük bir ilgi odağı olmuştur. Birçok farklı sektörde yer alan kullanıcıların ortak amacı, emri verilen işlemin yapay zeka tarafından saniyeler içerisinde gerçekleştirilerek kendilerine sunulmasıdır. Ancak, diğer yapay zekâ uygulamalarında olduğu gibi ChatGPT’nin de beraberinde bazı endişeleri getirdiği bilinmektedir. Her ne kadar makine öğrenimine dayalı bir ürün ortaya konuluyor olsa dahi, kullanıcıların aktivitelerinin bir veri dizimi olarak kullanılıyor olması, kişisel verilerin denetimi ve yasal statüsü açısından sorun teşkil etmektedir. Bu makalenin temel amacı, ChatGPT’nin Türkiye’deki Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında değerlendirilmesidir. Yapılacak olan değerlendirme ile birlikte, KVKK’nın ChatGPT’ye olan yaklaşımı değerlendirilmiş olacaktır.

ChatGPT

ChatGPT, OpenAI tarafından geliştirilen bir yapay zeka tabanlı sohbet robotudur. GPT (Generative Pre-trained Transformer) mimarisi üzerine kurulu olan ChatGPT, doğal dil işleme yeteneklerine sahip olup kullanıcılarla etkileşimli bir şekilde sohbet edebilir. ChatGPT, büyük miktarda metin verisinden eğitilmiş yapay sinir ağlarından oluşan bir dil modelidir. 175 milyar parametre içeren bu model, insan dilini anlamak ve insan gibi iletişim kurmak için tasarlanmıştır. ChatGPT, önceden hazırlanmış cevapları ezberden vermez, kullanıcının sorusunu anlayıp o anda uygun cevabı üretir. Diğer sohbet robotlarından farklı olarak, sadece basit cevaplar değil, belli bir konuyu kavrayıp paragraflar halinde açıklayabilir.

ChatGPT’nin çalışma mantığı şu şekildedir: Kullanıcı ChatGPT’ye bir soru ya da konuşma cümlesi gönderir. ChatGPT bu girdiyi alır ve yapay zekâ modeli aracılığıyla girdiyi analiz eder. Daha sonra, önceki konuşmalardan ve genel dünya bilgisinden yola çıkarak en uygun cevabı üretmeye çalışır. Cevap birkaç cümle ya da paragraf şeklinde olabilir.  ChatGPT’nin insanlarla bu denli akıcı konuşabilmesini sağlayan, yapay zeka modelinin eğitiminde kullanılan devasa boyuttaki veri setleridir. ChatGPT modeli, internette bulunan milyarlarca sayfa metin, kitaplar, makaleler, blog yazıları, film altyazıları gibi muazzam büyüklükte yazılı içerikler üzerinde eğitilmiştir.

ChatGPT şu anda herkesin ücretsiz olarak erişebildiği bir araçtır. Kullanıcılar ChatGPT’ye dilediği konuda sorular sorup sohbet edebilir ve yapay zekanın cevap üretme kabiliyetini test edebilir. ChatGPT’nin potansiyel kullanım alanları oldukça geniştir. Eğitimden iş hayatına, yazım kontrolünden içerik üretimine kadar pek çok alanda insanlara yardımcı olabilecek bir yapay zekâ uygulaması olarak öne çıkmaktadır. Faydaları arasında hızlı yanıt verme yeteneği, 7/24 erişilebilirlik ve maliyet tasarrufu bulunmaktadır. Dezavantajları arasında ise, duygusal zekaya sahip olmaması, bazen yanıltıcı bilgiler verebilmesi ve veri güvenliği konusunda endişeler yer alır.

ChatGPT gibi yapay zekâ uygulamalarının kişisel verilerin korunması konusunda farklı ülkelerde farklı yaklaşımlar bulunmaktadır. Avrupa Birliği’nde kişisel verilerin korunmasını düzenleyen GDPR mevzuatı geçerlidir. GDPR, kişisel verilerin şeffaf bir şekilde, belirli amaçlar için ve ilgili kişinin açık rızasıyla işlenmesini şart koşar. ChatGPT kullanıcı etkileşimlerini kaydettiği ve bu verileri eğitim amacıyla kullandığı için GDPR kapsamına girmektedir. Avrupa Veri Koruma Kurulu, yapay zeka sistemlerinin hesap verebilir, şeffaf, ayrımcılık içermeyen ve insan denetiminde olması gerektiğini vurgulamaktadır. Öte yandan ABD’de kişisel verilerin korunmasına yönelik kapsamlı bir federal yasa bulunmamakla birlikte, bazı eyaletler kendi düzenlemelerini yapmıştır. Genel olarak veri minimizasyonu, şeffaflık ve kullanıcı kontrolü temel ilkelerdir. ChatGPT verileri California’da bulunduğu için California Tüketici Gizlilik Yasası geçerli olabilir.

İngiltere’de ise kişisel verilerin korunması GDPR’ye benzer şekilde düzenlenmektedir. Veri Koruma Yasası uyarınca, kişisel veriler belirli amaçlar için ve açık rızayla işlenebilir. ChatGPT için de bu kurallar geçerli sayılmaktadır. Çin’de kişisel verilerin korunmasına dair özel bir yasa bulunmamakla birlikte, Kişisel Bilgilerin Korunması Yasası taslağı hazırlanmıştır. Şu an için Çin hükümeti veri toplama ve kullanımı konusunda oldukça esnektir. ChatGPT gibi yabancı menşeli yapay zekâ uygulamalarına karşı daha kısıtlayıcı bir yaklaşım benimsenebilir. Kanada’da kişisel veriler federal Kişisel Bilgi Koruma ve Elektronik Belge Yasası ile korunmaktadır. Veri minimizasyonu, amaca uygun kullanım, rıza, şeffaflık temel ilkelerdir. ChatGPT için de bu kurallara uyulması gerekecektir. İtalya, özellikle ChatGPT’nin kullanıcı etkileşimlerini veri seti olarak kullanması ve bu verileri şeffaf bir biçimde işlememesine dikkat çekiyor. Garante, veri işleme süreçlerinin GDPR’ye uygun bir şekilde tasarlanması gerektiğinin altını çizmiştir.

ChatGPT ve KVKK

ChatGPT’nin gizlilik politikası, Türkiye’deki kullanıcılar açısından önemli bir kaynaktır. Politika, KVKK kapsamında veri işleme faaliyetlerinin değerlendirilmesi için ışık tutmaktadır. Sitede paylaşılan ve güncellenen gizlilik politikası (6698 sayılı Kişisel Verilerin Korunması Kanunu), ChatGPT’nin hangi kullanıcı verilerini hangi amaçlarla işlediğini açıklamaktadır. Böylece Türkiye’den erişen kullanıcılar, verilerinin akıbeti hakkında fikir sahibi olabilmektedir. Politikada yer alan bilgiler, ChatGPT’nin veri işleme faaliyetlerinin KVKK’da yer alan kişisel verilerin işlenmesi için gerekli olan ilke ve şartlar ile uyumluluğunun tartışılmasına imkân tanımaktadır.

ChatGPT, Gizlilik Politikası’nda, kullanıcıların sağladığı kişisel verilerin işlenme amaçlarına dair aşağıdaki bilgileri sunmuştur:

Kullanıcıların sohbet geçmişi, arama geçmişi, kullanıcının arama sorguları, tarayıcı bilgileri, cihaz bilgileri ve konum bilgileri gibi kişisel veriler, aşağıdaki amaçlar doğrultusunda işlenmektedir:

  • Hizmetleri sağlamak, yönetmek, sürdürmek ve/veya analiz etmek: Kullanıcıların ChatGPT hizmetini kullanmalarını sağlamak ve platformun verimli bir şekilde işlemesini sağlamak için kişisel verilerin işlenmesi gerekmektedir.
  • Doğal dil işleme ve yapay zeka teknolojileri kullanarak daha iyi bir kullanıcı deneyimi sağlamak: Kullanıcıların daha iyi bir deneyim yaşamaları ve taleplerini daha iyi anlamak için verilerin analizi.
  • Hizmetleri geliştirmek: Kullanıcı geri bildirimlerini değerlendirerek ve hizmetin performansını izleyerek platformun geliştirilmesi.
  • Kullanıcılar ile iletişime geçmek: Kullanıcıların bilgilendirilmesi, sorularının yanıtlanması ve gerektiğinde iletişime geçilmesi.
  • Hizmetlerin kötüye kullanılmasını önlemek: İzinsiz veya yasa dışı kullanımları engellemek ve güvenlik önlemlerini uygulamak.
  • Bilgi teknolojileri sistemlerinin ve ağ güvenliğinin sağlanması: Kötü niyetli aktiviteleri önlemek ve verileri korumak için güvenlik önlemleri alınması.
  • Yeni programlar ve hizmetler geliştirmek: Kullanıcı ihtiyaçlarını karşılayacak yeni hizmetlerin ve programların geliştirilmesi.

ChatGPT’nin gizlilik politikası incelendiğinde, Türkiye’den erişen kullanıcılar açısından dikkat çeken noktalar bulunmaktadır. Örneğin, kullanıcılara sohbet geçmişlerinin uygulamanın geliştirilmesinde kullanılıp kullanılmaması konusunda seçim hakkı tanınması olumlu bir adım. Ancak izin vermeyenlerin verilerinin 30 gün içinde silinmesi taahhüdü, Türkiye’deki kullanıcılar için yeterli koruma sağlamıyor olabilir.  Ayrıca, kayıt sırasında yaş doğrulamasının etkin bir şekilde yapılmaması, çocukların verilerinin korunması açısından soru işareti yaratıyor. Ek olarak, GDPR kapsamındaki ülkelere yönelik ek bilgilendirmelerin yer almasına rağmen, Türkiye için özel bir düzenleme bulunmamaktadır. Her ne kadar veri işleme şartlarının KVKK ile benzerlik göstermesi olumlu olsa da, politikanın sadece İngilizce olması Türk kullanıcılar için anlaşılırlık sorunu yaratabilir. Bunu yanı sıra, verilerin yurt dışına aktarımı konusunda KVKK’ya aykırılık söz konusu olabilir.

Bu noktada, üzerinde durulması gereken nokta, ChatGPT’nin gizlilik politikasının KVKK’ya tam uyumlu olmadığı, Türkiye özelinde iyileştirmeler yapılması gerektiğidir. Kurulun bu konuda yol gösterici adımlar atması faydalı olacaktır. ChatGPT’nin Türkiye’ye özel politikalar geliştirmesi, veri korumaya daha fazla özen göstermesi, KVKK’ya uyum konusunda adımlar atması beklenmektedir. Gizlilik politikasındaki eksikliklerin giderilmesi, Kurul nezdinde olumlu karşılanacağı görüşü benimsenebilir.

Sonuç

Yapay zekâ uygulamalarının kişisel verilerin korunması konusunda belirsizlikler barındırdığı bir gerçektir. ChatGPT gibi yaygın kullanıma açık sohbet robotlarının geliştirilmesi ve kullanılması sürecinde kişisel verilerin korunması hassasiyeti göz ardı edilmemelidir. Geliştiricilerin şeffaflık ve hesap verebilirlik ilkeleri çerçevesinde hareket etmesi, kullanıcıları bilgilendirmesi büyük önem taşımaktadır. ChatGPT’nin Türkiye pazarındaki konumu netleştikçe, KVKK hükümleri çerçevesinde değerlendirilmesi elzem olacaktır. Bu sayede ChatGPT, KVKK bünyesinde uyumluluk gösterebilecektir.

Yazarın “Çin Yapay Zeka Regülasyonu” isimli yazısını bağlantıdan okuyabilirsiniz.

Hukuk ve Bilişim Dergisi’nin tüm geçmiş sayılarını bağlantıdan okuyabilirsiniz.

Yazar: Esad Beren Erişik

Kaynakça

Kaynakça:

Çaycı, A.E. ve Çaycı, B. (2017). Dijital iletişim çağında teknolojinin açığa çıkardıkları: gözetim ve mahremiyet. The Turkish Online Journal of Design, Art and Communication, 7(1):36-46.

Ketizmen, M., Kart, A. (2019). Kişisel Veri ve Rekabet Hukuku Kapsamında “Big Data”, Kişisel Verileri Koruma Dergisi. 1(1), 64-76.

Kişisel Verileri Koruma Kurumu. (2019). Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi.https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/41784a70-2bac-4e4a-830f-35c628468646.PDF, Erişim tarihi: 19 Eylül 2023

Kocabaş, ¸S., (09.03.2013), Yapay Zeka | Amacı ve Tarihçesi | Gelecek’te Yapay Zeka, Erişim: , Erişim tarihi: 19 Eylül 2023

Minssen T, Vayena E, Cohen IG. The Challenges for Regulating Medical Use of ChatGPT and Other Large Language Models. JAMA. 2023;330(4):315–316. doi:10.1001/jama.2023.9651

Özkan, E. (2023). 6698 Sayılı Kanun’a Uyumlu Yazılımların Geliştirilmesi ve Yapay Zekâ Uygulamaları . Kişisel Verileri Koruma Dergisi , 5 (1) , 1-11.

Saygı, S. (2020). 6698 Sayılı Kanun’un Sistematiğinde Yargısal Başvuru Yolları. Kişisel Verileri Koruma Dergisi. 2(2), 30-60.

Üstün Y. ve Günal A. N., (2020). İş İlişkilerinde Bazı Yaygın Uygulamaların Kişisel Verilerin Korunması Kanunu Kapsamında Değerlendirilmesi, Kişisel Verileri Koruma Dergisi. 2(2), 61-74.