VERİ İŞLEMEDE GENEL İLKELER VE YAPAY ZEKA UYGULAMALARIYLA UYUMU
Yazar: Av. Zeynep Ebrar KAYA LL.M.
GİRİŞ
Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde beş temel ilke belirlemiştir. Bunlar; hukuka ve dürüstlük kurallarına uygunluk, doğruluk ve gerektiğinde güncellik, belirli, açık ve meşru amaçlarla işlenme, amaçla bağlantılı, sınırlı ve ölçülü olma ile ilgili mevzuatta öngörülen veya işleme amacı için gerekli süre kadar saklama şeklindedir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ise yedi ilke öngörmüştür: hukuka uygunluk, adillik ve şeffaflık; amaç sınırlaması; veri minimizasyonu; doğruluk; saklama süresinin sınırlandırılması; bütünlük ve gizlilik ile hesap verebilirlik.
1. HUKUKA VE DÜRÜSTLÜK KURALLARINA UYGUNLUK İLKESİ
Türk Medeni Kanunu’nun 2. maddesinde yer aldığı üzere, herkes haklarını kullanırken ve borçlarını yerine getirirken dürüstlük kurallarına uymak zorundadır. Bu ilke, kişisel veri koruması alanında da temel bir prensip olarak kabul edilir ve objektif bir özen yükümlülüğünü içerir; yani bu değerlendirme, orta zekalı, makul ve mantıklı bir bireyin aynı koşullarda göstereceği özen seviyesine göre yapılır[1].
Dürüstlük kuralı, diğer ilkeleri de kapsayan üst bir nitelik taşır. Diğer ilkelerden birinin ihlali, genellikle dürüstlük ilkesinin de ihlal edildiği anlamına gelir; bu durum aynı zamanda hukuka aykırılık yaratır. Veri işleme faaliyetleri, ilgili kişinin menfaatlerini gözeterek, açık ve şeffaf bir şekilde yürütülmelidir [2]
GDPR’da karşılık gelen ilke “hukuka uygunluk, adillik ve şeffaflık”tır. Hukuka uygunluk, GDPR madde 6’da düzenlenen şartlardan birine dayanmayı gerektirirken, adillik veri sahibinin işleme süreçlerinden haberdar olmasını ve riskler hakkında bilgilendirilmesini ifade eder. Şeffaflık ise madde 13 ve 14’teki bilgilendirme yükümlülüklerini kapsar. Her iki düzenlemedeki ilkeler, büyük ölçüde paralellik göstermektedir.
Yapay zekanın makine öğrenmesi sırasında kullandığı veri setlerinde özellikle ChatGPT gibi modellerde verinin hangi amaçla, ne sınırlarda işlendiğinin net olarak kullanıcı tarafından rahatlıkla anlayabileceği şekilde belirtilmemesi ise söz konusu ilkelere aykırılık teşkil etmektedir. Keza OpenAI verileri hangi çerçevede işlediğine dair net bilgilendirme yapmaktan imtina etmektedir. Özellikle görseller aracılığıyla işlenen özel nitelikli kişisel verilerin sınırları ve hukuka uygunlukları tamamen gölgede kalmış bir alandır.
Bazı Latin ülkeleri tarafından yapay zekanın eğitilirken kullanılan kişisel verilerin işlenmesinin meşru bir menfaate dayandığı belirtilmektedir[3]. Bu hususta her ne kadar bazı Latin ülkelerince meşru menfaat kapsamında hukuka uygun işlenme kapsamında kabul edilse de kanaatimizce bu hukuka uygun değildir. Öncelikle söz konusu meşru menfaatin gelecekte değil şuan mevcut olması gerekmektedir. Bir yapay zeka modelinin eğitilmesinde ise meşru menfaat kullanıcılar nezdinde değil veri sorumlusu nezdinde olması gerekmektedir. Bu kapsamda veri sorumlusunun meşru menfaatinin ticari bir zeminde yer aldığının kabulü ile meşru menfaat kavramı çok geniş yorumlanmış olacak ve söz konusu durum örnek gösterilerek ticari menfaat zemininde yer alan tüm veri sorumluları tarafından veri işlenmesinde bir sakıncanın olmadığı gibi bir sonuca ulaşılabilecektir. Bu ise KVKK’nın korumayı amaçladığı konunun alenen ihlali niteliğindedir.
2. DOĞRULUK VE GEREKTİĞİNDE GÜNCELLİK İLKESİ
Kişisel verilerin doğru ve gerektiğinde güncel tutulması, veri sahibinin haklarının korunması açısından zorunludur[4]. Bu ilke, KVKK madde 11’deki düzeltme hakkının yansımasıdır. “Gerektiğinde güncel olma” ifadesi, güncellik yükümlülüğünün koşullu olduğunu vurgularken, doğruluk mutlak bir gerekliliktir [5].
GDPR’da “doğruluk” ilkesi olarak düzenlenen bu kural, güncellik yükümlülüğünü de içerir ve her iki düzenlemede de aynı amacı taşır: Verilerin yanlışlığının veri sahibine zarar vermesini önlemek.
Yapay zeka tarafından işlenen veriler genel veri havuzlarından temin edilmektedir. Bu veri havuzlarının birçoğu kontrolsüz, açık kaynak verileri içermektedir. Bu kapsamda alınan bir verinin doğruluğunun kapsamlı bir veri seti içerisinde tespit edilmesi fazlasıyla güç bir durumdur. Her ne kadar tüm yapay zeka modelleri için aynı durum söz konusu olmasa da büyük veri havuzları ile eğitilen modellerin verdiği birçok bilginin doğruluğu tartışma konusu olup KVKK’da yer alan ilkeyi karşılayabileceği tarafımızca düşünülmemektedir.
Ancak daha spesifik alanlar toplanan verilerin kullanıldığı modeller değerlendirildiğinde doğruluk ilkesini karşılandığının bir noktada kabulü gerekmektedir. Örneğin; beyin MR görüntüleri ile tümör oluşumunun tespiti için kullanılan bir yapay zeka modelinde hatalı bir bilginin yer almaması gerektiği ve sonuçlarının ağır olabileceği göz önünde tutulması gereken bir noktadır.
Tüm bunlara ek olarak yapay zekanın hatalı bir veri işlemesi halinde söz konusu verinin silinebilmesi ihtimali ise oldukça düşüktür. Yukarıda detaylı olarak açıkladığımız üzere yapay zekanın öğrenmesi sırasında büyük veri setleri kullanılmaktadır. Milyonlarca verinin arsında ilgili kişinin verisinin hatalı olarak işlendiğinin bir şekilde tespit edilmesi halinde dahi bu kadar büyük bir veri setinde ilgili verinin tespit edilerek silinmesi ve bundan sonraki işlemlerin (kodlamaların) baştan gerçekleştirilmesi ise ciddi bir iş gücü gerektirmekle beraber yapılması çok küçük bir ihtimaldir. Ancak hatanın daha küçük kapsamlı işlemelerde düzeltilmesi gayet olağan bir yoldur.
3. BELİRLİ, AÇIK VE MEŞRU AMAÇLARLA İŞLENME İLKESİ
Veri işleme amacı, anlaşılır bir dilde ve teknik terimlerden kaçınılarak veri sahibine açıklanmalıdır. Amaç meşru olmalı ve hizmetle doğrudan ilişkili bulunmalıdır [6].
KVKK’daki bu ilke, GDPR’daki “amaç sınırlaması” ile aynı hedefi paylaşır: Verilerin yalnızca önceden belirlenmiş yasal amaçlarla işlenmesini sağlamak.
Otonom yapay zeka sistemlerinde amaç şeffaflığı eksikliği yaygındır. Geniş veri setleriyle eğitilen modellerde amaç genellikle genel ve belirsiz ifadelerle tanımlanır; bu da daha fazla veri toplama eğilimini artırır. Dar kapsamlı, tek amaçlı modellerde ise amaç daha net belirtilebilir ve ilkeye uyum kolaylaşır.
4. AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMA (VERİ MİNİMİZASYONU) İLKESİ
Veri toplama, amacın gerektirdiği ölçüyle sınırlı olmalı; gelecekteki olası ihtiyaçlar için fazla veri biriktirilmemelidir[7].GDPR’daki “veri minimizasyonu” ilkesiyle örtüşen bu kural, gereksiz veri toplanmasını önlemeyi amaçlar.
Yapay zekanın eğitilmesi için veri toplanması gibi bir amacın kullanıcıya sunulması uygun kabul edilmemektedir. Zira bu şekilde yapılan bir bilgilendirmede yapay zekanın hangi amaçla, ne kadar süreliğine, hangi veriler ile eğitileceği açıkça belirtilmemiş olup çok geniş bir çerçeve çizilmiştir. Daha açıklayıcı ve detaylı şekilde kullanıcının bilgilendirildiği bir metnin hazırlanması gerekmektedir. Fakat kendi kendine öğrenen yapay zekalarda bu bilgilendirmenin ne şekilde yapılacağı ise karanlıkta kalmış bir noktadır.
Burada önemli olan bir diğer nokta ise ilgili kişi bilgilendirildikten sonra amacın değişmesi halinde nasıl bir yol izlenebileceğidir. Ya da yapay zekanın iki farklı amaç için kullanılması için algoritmasında değişiklikler yapılması halidir. Normal şartlarda veri işlenmesinde amaç değiştiğinde ilgili kişi bilgilendirilerek yeniden rızası alınır. Ancak kendi kendine öğrenen bir yapay zekanın, kodlayıcısının bile farkında olmadan söz konusu veriyi farklı bir amaçla işlemesi halinde ise söz konusu ilkenin uygulanabilirliği ciddi bir tartışma konusudur.
5. SAKLAMA SÜRESİNİN SINIRLANMASI İLKESİ
Kişisel verilerin saklanma süresi, ilke gereği sıkı sınırlara tabidir. Veri sorumlusu, öncelikle ilgili mevzuatta (örneğin vergi, iş hukuku veya sosyal güvenlik mevzuatı gibi alanlarda) belirli bir saklama süresi öngörülüp öngörülmediğini incelemelidir. Eğer mevzuatta azami bir süre belirtilmişse, bu süreye kesinlikle uyulmalı ve veri bu süreden önce imha edilmemeli, ancak süresi dolduğunda da derhal yok edilmelidir. Mevzuatta süre öngörülmemişse, veriler yalnızca işleme amacının gerçekleşmesi için zorunlu olan süre kadar muhafaza edilebilir; amaç sona erdiğinde veri derhal silinmeli, yok edilmeli veya anonim hale getirilmelidir. Gelecekte ortaya çıkabilecek olası ihtiyaçlar veya başka amaçlar için verilerin süresiz tutulması kesinlikle kabul edilemez.Veri sorumlusu ayrıca, periyodik imha politikaları oluşturmak, imha süreçlerini belgelemek ve teknik önlemler (örneğin otomatik silme mekanizmaları) almakla yükümlüdür.
KVKK’daki bu ilke, GDPR’daki “saklama süresinin sınırlandırılması” ilkesiyle büyük ölçüde benzerlik göstermektedir. Her iki düzenleme de verilerin amaç gerçekleştiğinde tutulmamasını ve gereksiz yere biriktirilmemesini hedefler. Ancak önemli farklar da bulunmaktadır: KVKK, mevzuatta öngörülen sürelere açıkça öncelik vererek daha katı bir hiyerarşi kurarken, GDPR’da bu konuda özel bir vurgu yer almaz ve daha esnek bir yaklaşım benimsenir. Ayrıca GDPR madde 89’da bilimsel araştırma, istatistikî amaçlar veya kamu yararı gibi istisnalar için saklama süresinin uzatılabileceği düzenlenirken, KVKK’da paralel bir istisna hükmü bulunmamaktadır. Bu fark, GDPR’ın araştırma ve inovasyona daha fazla alan tanıdığını gösterir.
Yapay zeka bağlamında bu ilkenin uygulanması ciddi zorluklar içermektedir. Büyük dil modelleri veya diğer derin öğrenme sistemleri, eğitim sürecinde milyonlarca hatta milyarlarca veri noktası kullanmakta ve bu veriler modelin ağırlıklarında dolaylı olarak gömülmektedir. Model bir kez eğitildikten sonra, belirli bir veri setinin ne kadar süre “saklandığı” tartışmalıdır; çünkü veri doğrudan depolanmasa da modelin çıktılarında etkisi devam edebilmektedir. Ayrıca, modeller sürekli güncellenmekte ve yeni verilerle yeniden eğitilmektedir; bu süreçte eski verilerin ne zaman “imha edildiği” belirsizdir. İlgili kişinin unutulma hakkı talep etmesi halinde, büyük modellerde belirli verilerin etkisini tamamen kaldırmak teknik olarak çok zor, zaman alıcı ve maliyetlidir. Bu durum, saklama süresi ilkesinin yapay zeka teknolojilerinde etkin bir şekilde uygulanmasını güçleştirmekte ve düzenleyici otoritelerin yeni yaklaşımlar geliştirmesini gerektirmektedir.
6. GDPR’DA YER ALAN ANCAK KVKK’DA DÜZENLENMEYEN İLKELER
GDPR’ın veri işleme ilkeleri arasında yer alan “bütünlük ve gizlilik” (ile “hesap verebilirlik” ilkeleri, KVKK’da açıkça ve ayrı bir ilke olarak düzenlenmemiştir. Bu durum, iki düzenlemenin kişisel veri korumasına yaklaşımlarındaki nüans farklarını yansıtmaktadır. GDPR, veri korumasını daha kapsamlı ve proaktif bir çerçevede ele alırken, KVKK daha temel ve ulusal mevzuata uyumlu bir yapı benimsemiştir.
“Bütünlük ve gizlilik” ilkesi, GDPR madde 5/1/f’de yer alır ve kişisel verilerin yetkisiz veya hukuka aykırı işlenmesine karşı korunmasını, kazara kaybolma, yok olma veya hasar görmeye karşı uygun güvenlik tedbirleriyle muhafaza edilmesini gerektirir. Bu ilke, esasen “güvenlik” kavramını veri işleme ilkeleri düzeyine yükseltmekte ve veri sorumlusunun teknik ile idari önlemler almasını zorunlu kılmaktadır. GDPR madde 32’de bu ilkenin somut yansımaları olarak şifreleme, erişim kontrolleri, düzenli testler ve risk değerlendirmeleri gibi güvenlik tedbirleri sıralanmıştır. KVKK’da ise güvenlik yükümlülükleri doğrudan ilke olarak değil, madde 12’de veri sorumlusunun “veri güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri alma” yükümlülüğü şeklinde düzenlenmiştir. Dolayısıyla, içerik açısından benzerlik bulunsa da KVKK’da bu husus genel ilkeler arasında sayılmamaktadır.
Daha dikkat çekici fark ise “hesap verebilirlik” ilkesindedir. GDPR madde 5/2’de düzenlenen bu ilke, veri sorumlusunun yalnızca veri işleme faaliyetlerinin GDPR’a uygun olduğunu göstermekle yetinmeyip, bu uygunluğu aktif olarak ispat etmekle yükümlü olduğunu vurgular. Hesap verebilirlik, pasif bir uyumdan ziyade proaktif bir yaklaşımı ifade eder: Veri sorumlusu, işleme faaliyetlerini belgelemeli, veri koruma etki değerlendirmeleri yapmalı, personel eğitimi sağlamalı, gerektiğinde veri koruma görevlisi atamalı ve uygun politikalar oluşturmalıdır. Hesap verebilirlik, denetim makamlarına ve ilgili kişilere karşı şeffaflık ve sorumluluk bilincini güçlendirir; ihlal durumunda ispat yükü veri sorumlusuna aittir.
KVKK’da doğrudan bir “hesap verebilirlik” ilkesi bulunmamakla birlikte, benzer yükümlülükler dolaylı olarak düzenlenmiştir. Örneğin KVKK madde 12, veri sorumlusunun veri güvenliğini sağlama ve aydınlatma yükümlülüklerini; madde 18 ise idari yaptırımları içermektedir. Ayrıca VERBİS kayıt yükümlülüğü ve Kurul kararları, veri sorumlularından belirli belgeler ve politikalar talep etmektedir. Ancak GDPR’daki gibi kapsamlı bir ispat yükümlülüğü ve proaktif belgeleme zorunluluğu KVKK’da daha sınırlıdır. Bu fark, GDPR’ın veri korumayı bir “yönetişim” meselesi olarak görmesinden kaynaklanmakta olup, özellikle büyük ölçekli veri işleyen kuruluşlar için daha ağır yükümlülükler getirmektedir.
Yapay zeka uygulamaları açısından bu iki ilke özellikle kritik öneme sahiptir. Büyük dil modelleri ve otonom sistemlerde veri bütünlüğü ve gizliliği sağlamak, model zehirlenmesi veya tersine mühendislik saldırılarına karşı gelişmiş güvenlik tedbirleri gerektirir. Hesap verebilirlik ise yapay zeka geliştiricilerinin eğitim verisi kaynaklarını, algoritmik karar süreçlerini ve risk değerlendirmelerini belgelemelerini zorunlu kılabilir. KVKK’nın bu ilkeleri doğrudan benimsememesi, Türkiye’de yapay zeka regülasyonlarında boşluk yaratmakta; ancak Kişisel Verileri Koruma Kurumu’nun gelecekteki rehber kararları veya olası kanun değişiklikleriyle bu farkın azalması mümkündür.
SONUÇ
Kişisel verilerin işlenmesine ilişkin genel ilkeler, hem KVKK hem de GDPR bağlamında veri sahibinin temel hak ve özgürlüklerini korumayı amaçlayan sağlam bir çerçeve sunmaktadır. Her iki düzenleme de büyük ölçüde paralellik göstermekte olup, hukuka uygunluk, şeffaflık, doğruluk, amaç sınırlaması, veri minimizasyonu ve saklama süresi kısıtlaması gibi temel prensiplerde ortak bir zemin oluşturmaktadır. Ancak GDPR’ın bütünlük-gizlilik ve hesap verebilirlik gibi ek ilkeleri benimsemesi, Avrupa Birliği’nin daha proaktif ve kurumsal bir veri koruma yaklaşımını yansıtmaktadır.
Yapay zeka teknolojilerinin yükselişi, bu ilkelerin uygulanmasında önemli meydan okumalar yaratmaktadır. Özellikle büyük ölçekli dil modelleri ve otonom sistemlerde şeffaflık eksikliği, veri minimizasyonu zorlukları, doğruluk güvencesi sorunları ve saklama süresi belirlemedeki belirsizlikler öne çıkmaktadır. Eğitim süreçlerinde kullanılan devasa veri setleri, verilerin model içinde dolaylı olarak “gömülü” kalması ve unutulma hakkının teknik uygulanabilirliği gibi unsurlar, mevcut ilkelerin yetersiz kalabileceği riskini doğurmaktadır. Dar kapsamlı ve kontrollü yapay zeka uygulamalarında uyum daha kolay sağlanabilirken, genel amaçlı modellerde ticari çıkarların ön plana çıkması kişisel veri korumasını tehdit etmektedir. Sonuç itibarıyla, yapay zeka çağında kişisel veri koruması, yalnızca yasal uyum değil, aynı zamanda etik sorumluluk ve teknolojik inovasyon dengesini gerektirmektedir. Veri sorumlularının proaktif tedbirler alması, düzenleyici otoritelerin ise dinamik denetim mekanizmaları geliştirmesi, bu ilkelerin etkinliğini artıracak anahtarlardır.
Zeynep Ebrar KAYA’nın Dünya’nın İlk Robot Avukatı isimli yazısını okumak için bağlantıya tıklayınız.
Hukuk ve Bilişim Dergisi’nin 13. Sayı’sındaki “Metaverse’te Kişisel Verilerin Korunması” isimli yazıyı bağlantıdan okuyabilirsiniz.
Yazar: Av. Zeynep Ebrar KAYA LL.M.
[1] Özkan , Oğulcan; Kişisel Verilerin Korunması Yüksek Lisans Tezi, s.104
[2] Tolun, Yüksel ;Kişisel Verilerin KVKK ve GDPR Kapsamında Korunması Yüksek Lisans Tezi, s.52
[4] Kişisel Verilerin Korunması Kurumu, Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler
2023, s. 7
[5]Dülger,Murat Volkan ;Kişisel Verilerin Korunması Hukuku 3.Baskı, s.293
[6] Turgut Bilgiç, Ezgi; Genel Veri Koruma İlkelerinin Yapay Zeka Karşısında Uygulanabilirliği Sorunu, TAAD Yıl 15 sayı 57, Sfy.263
[7] Dülger,Murat Volkan ;Kişisel Verilerin Korunması Hukuku 3.Baskı, s.282.