YAPAY ZEKA EĞİTİM SETLERİNDEKİ VERİLERİN KVKK KAPSAMINDA DEĞERLENDİRİLMESİ

Yazar: Av. Beste GÖDEN

GİRİŞ

İçinde bulunduğumuz dönemde yapay zeka birçok alanda yerini almıştır. Chatbot’lar aracılığıyla yeni fikirler üretmek, çeviri sağlamak, bir PowerPoint sunumunu güçlendirmek için resim oluşturmak, alışveriş yaparken çıkan öneriler sayesinde yeni ürünler keşfetmek gibi bireysel faydalara hizmet etmektedir. Bunun karşısında; yüz tanıma sistemli kameralar aracılığıyla suçluların tespiti, siber saldırıları önlemek için oluşturulan siber güvenlik sistemleri ve hastalık teşhisi gibi kaygılarla kamusal amaçlar için kullanıldığı da görülmektedir.

Tüm bu alanlardaki varlığını verilere borçludur. Bu tür veriler doğrudan insanlardan elde edilebileceği gibi doğa olayları, uydu görüntüleri, meteorolojik veriler ve sensörler aracılığıyla da karşımıza çıkabilmektedir. Ancak kredi notu oluşturulması, işe alım değerlendirmesi, kişisel hastalık teşhisi gibi kullanımlarda kaynak doğrudan kişinin özellikleri olacaktır.

Özellikle veri kaynağını insanın oluşturduğu alanlarda, yapay zeka işleyişinin veri güvenliği ve kişisel veri hukukuna uygunluğunun incelenmesi gerekmektedir. Yapay zeka algoritmalarının hangi aşamadan itibaren burada yer alan ilkelere uyum sağlaması gerektiği, verilerin nelere dikkat edilerek toplanması gerektiği ve nasıl işleneceği gibi sorunlar burada dikkat edilecek hususlardan birkaçını oluşturmaktadır.

Yapay zeka üzerinde yatırım yapan ülkelerin birçoğu artık teknolojik gelişmeleri hukuka uygun hale getirmek amacıyla yeni kurallar üretmekte veya mevcut mevzuata göre kıyasen uygulamaktadır. Türkiye’de kişisel verilerin işlenmesi halinde Kişisel Verilerin Korunması Kanunu[1] (6698 sayılı kanun , KVKK) uygulanacaktır. Dolayısıyla veri setinde kişisel verilerin bulunması durumunda KVKK’ya  uygunluk öncelikli olarak aranacaktır.

Çalışmanın konusu, yapay zeka eğitiminde kullanılan verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında incelenmesidir. Bu bağlamda öncelikle, KVKK’nın kapsamı ve ilgili kavramlar ele alınacak, ardından yapay zekanın çalışma yöntemi açıklanacaktır. Son olarak, KVKK ile yapay zeka arasındaki ilişki değerlendirilecek ve yapay zeka eğitiminde kullanılan verilerin kanuna uygun hale getirilmesi üzerine tartışılacaktır.

1. Kişisel Verilerin Korunması Kanununun Kapsamı ve Temel Kavramlar

2.1. Kapsam

6698 Sayılı Kanun’un kapsamı m.2’de belirtilmiştir. Buna göre; “…kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Bu düzenlemeye göre kişisel verilerin gerçek kişiye ilişkin olması gerekirken bunları işleyen taraf tüzel kişi veya gerçek kişi olabilecektir. Ayrıca, bu verilerin tam veya yarı otomatik veyahut veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi gerekmektedir. Bu yöntemlerin neler olduğu temel kavramlar başlığı altında incelenecektir.

Kanun’un kapsamı dışında sayılan haller ise m.28’de düzenlenmiştir. Bunlardan bazıları; “kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi” (m.28/1-b), “kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” (m.28/1-c), “ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi” (m.28/1-d) şeklindedir.

2.2. Temel Kavramlar

Kişisel veri, KVKK m. 3/1-d’ye göre “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bununla birlikte birtakım veriler, diğer verilere göre daha hassas olması sebebiyle özel olarak korunması gerekmektedir. Bu verilerin öğrenilmesi kişinin ayrımcılığa uğramasına, zarar görmesine veya rahat yaşayamamasına neden olabilir. Bu kaygının sonucunda KVKK m.6/1’de özel nitelikli kişisel veriler sayılmış, diğer bentlerinde de bu verilerin işlenme koşulları belirtilmiştir. KVKK m.6/1’e göre “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri…” özel nitelikli kişisel verilerini oluşturmaktadır. Sınırlı sayıda olmak üzere belirtildiğinden yorum yoluyla çoğaltılması mümkün değildir.

Kişisel veri tanımında üç farklı unsurdan bahsedildiği görülmektedir. Bunlar: (i) gerçek kişiye ilişkin olma, (ii) her türlü bilgi ve (iii) kimliği belirli veya belirlenebilir kılmadır. İlk unsuru incelendiğinde tüzel kişilerin kapsam dışı olduğu anlaşılmaktadır. Kişisel veri kavramı, insanın özel hayatına ilişkindir. Tüzel kişilik ile özel hayat ilişkilendirilemeyeceğinden tanımın dışında tutulmuştur. İkinci unsur ise verinin her türlü bilgi olabileceğini belirtmektedir. Bunlar kişinin adı, soyadı, doğum tarihi olabileceği gibi; fiziki, ailevi, ekonomik durumuyla alakalı da olabilir. Bunların doğru olması veya doğruluğunun ispatlanması aranmaz. Ayrıca özel hayatıyla ilgili olmak zorunda değildir. Bu verilerin nereden elde edildiği de önem taşımamaktadır. Dijital veya fiziki ortamdan elde edilebilir. Nitekim Internet Protocol (IP) adresi, çerezler, mac adresi, nick name gibi çevrimiçi kimlik doğrulayıcılar da bu kapsamda değerlendirilmektedir. Son olarak verinin herkesçe bilinmesi, kolayca ulaşılabilmesi veya aleni olarak paylaşılması kişisel veri niteliğine zarar vermeyecektir.

Üçüncü unsura göre, elde edilen bilgi ile gerçek kişinin kimliği açıkça anlaşılmalı veya belirlenebilir kılınmalıdır[RY5] . İlk durum kişiyi açıkça belli eden ismi, doğum tarihi, kimlik numarası gibi bilgilerdir. İkinci durumda ise eldeki verilerle kimliğin belirlenme olanağı vardır. Eğer mevcut bilgi ile diğer bulunan veriler ilişkilendirilerek kişi belirlenebiliyorsa kişisel veri sayılmaktadır. Ancak bu bağlantı veya olanak mevcut değilse kapsam dışındadır. Örneğin ABAD Breyer[2] kararında IP adresinin makul çaba sonucu bir kişiyle bağdaştırılması mümkün ise kişisel veri niteliğinde sayılacağı belirtilmiştir.

Kanunun m.3/1-e bendine göre kişisel verilerin; veri kayıt sisteminin parçası olmak kaydıyla tam, yarım veya hiç otomatik olmayan yollarla elde edilmesi, kaydedilmesi, sınıflandırılması, muhafaza edilmesi gibi her türlü faaliyet veri işleme olarak sayılmıştır. Otomatik işleme yöntemi kanunda tanımlanmamıştır. Ancak Kişisel Verileri Koruma Kurumu’nun yayınladığı rehberde, OECD ve kanun gerekçesine atıf yaptığı görülmektedir. Buna göre otomatik işleme, önceden hazırlanan algoritmanın bilişim sistemleri üzerinden kendi kendine veri işleme faaliyeti sürdüren araçlar olduğu anlaşılmaktadır.[3] Yapay zekanın bu bakımdan incelemesi aşağıda yapılacaktır.

Aynı maddede veri sorumlusu, veri kayıt sistemini kuran ve yöneten, işleme amaç ve vasıtalarını belirleyen kişi olarak tanımlanmıştır. Buna göre toplanan verilerin türü, toplanma yöntemi, kiminle paylaşılacağı, saklama süresinin belirlenmesi gibi faaliyetleri yürütmektedir. Eğer bir tüzel kişilik söz konusuysa veri sorumlusu tüzel kişinin kendisi olacaktır.[4]

Veri sorumlusuyla aralarında yapacakları işleme sözleşmesi ile aldığı yetkiye dayanarak onun adına işleme faaliyetini sürdüren ise veri işleyen olarak adlandırılmıştır. Verilerin toplanması için hangi metodun ele alınacağı, güvenlik tedbirleri, saklama yönteminin ne olacağı gibi teknik hususlara yardım eden konumdadır. Bir tüzel kişilik söz konusuyla yine tüzel kişi veri işleyen sayılacaktır. Ayrıca hem veri sorumlusu hem de veri işleyen bir tüzel kişilikte bulunabileceği gibi ayrı da olabilecektir.

Bir kişisel verinin işlenmesi söz konusu ise KVKK m.4’te yer alan genel ilkelere uyulması gereklidir. Ayrıca genel nitelikli kişisel veri ise KVKK m.5; özel nitelikli kişisel veri ise KVKK m.6’da yer alan şartlara göre işlemenin yapılması gerekecektir. İşleme sebebinin ortadan kalkması halinde veri sorumlusu veya ilgilinin talebi üzerine silme, yok etme veya anonimleştirme yöntemlerinden birinin seçilmesi zorunlu tutulmuştur.

2. Yapay Zeka ve Çalışma Yöntemi

Yapay zekanın amaca uygun çalışabilmesi için öncelikle insan unsuruna ihtiyacı vardır. Bunu insanın oluşturduğu algoritmalar sayesinde yapabilmektedir. Algoritma, bir programın girdiyi çıktıya dönüştürürken izlemesi gereken adımların önceden insan eliyle belirlenmesi anlamına gelmektedir.[5] Burada bahsedilen girdi, veri veya bilgiyi; çıktı ise programın ulaştığı sonucu ifade eder. Programın istenilen çıktıya ulaşabilmesi için öncelikle eğitilmesi gerekmektedir. İstenilene ulaşılana kadar da öğretme süreci devam etmektedir. Bu öğrenme neticesinde yapay zeka bir model oluşturmaktadır. Böylelikle karşısına çıkan yeni verileri bu modelden geçirerek çıktı elde edecektir.[6] Öğrenme yöntemleri ise makine öğrenmesi ve derin öğrenme olmak üzere iki şekildedir.

2.1. Makine Öğrenmesi

Makine öğrenmesi, girdi olarak konulan verileri modele öğretilerek karşısına yeni veriler çıktığında birbirine benzer çıktılar üretebilen bir yapay zekanın oluşturulması faaliyetidir.[7] Bunun uygun şekilde gerçekleşmesi için birtakım aşamalardan geçmesi gerekmektedir. İlk aşama, veri setinin hazırlanmasıdır. İkinci aşamada hazırlanıp toplanan veriler, insan eliyle oluşturulan makine öğrenimi algoritmasına işlenmek üzere test ve eğitim verisi olarak ikiye ayrılır. Bunlardan eğitim verisi modelin eğitilmesi için kullanılır. Böylece üçüncü aşamada modelin eğitim veri setini iyice analiz etmesi ve öğrenme algoritması oluşturarak kendi kendine çıkarım yapması sağlanır.[8] Bundan sonra ise test veri seti kullanılarak arzu edilen çıktıya ulaşıp ulaşmadığı araştırılır. Herhangi bir olumsuzluk olması halinde başta belirtilen algoritmada değişiklikler yapılması, veri sayısının arttırılması veya diğer parametrelerin geliştirilmesi tercih edilebilir. Sonunda ise düzgün çalıştığı kanaat getirilen yapay zeka modelinin kullanıma hazır olarak gerekli sisteme entegrasyonu sağlanır.[9]

Makine öğrenmesi yöntemine göre üçe ayrılmaktadır: (i) denetimli öğrenme, (ii) denetimsiz öğrenme ve (iii) pekiştirmeli öğrenme. Denetimli öğrenmede eğitim veri setinde yer alan veriler belirli bir bilgi ile etkilenmektedir. Örnek olarak, bir e-posta içeriğinin gereksiz (spam) olduğu bilgisi ile etiketlenmesidir. Böylece ileride bu içeriğe benzer e-postalar da spam olarak filtrelenir. Ayrıca yüz tanıma, hastalık teşhisi, Google’daki otomatik tamamlama tahminleri, tüm öneri ve sıralama sistemlerinde bu öğrenme sistemi kullanılmaktadır. 

Etiketlenmemiş veriler ile oluşturulan metoda denetimsiz öğrenme denilmektedir. Bu yönteme genellikle kümeleme yapılmak istendiğinde başvurulmaktadır. Genel olarak yapay zekanın veri setindeki gizli örüntüleri bularak birbiri arasındaki benzerliklerine göre gruplandırması amaçlanır.  Alışveriş sitelerinde alınan ürüne benzer kullanıcıların alabileceği diğer ürünlerin tavsiye olarak gösterilmesi veya belirli üyelik rozetleri belirlenerek kullanıcıların alışveriş sıklığına göre hangi kategoriye girdiğinin belirlenmesi örnek olarak gösterilebilir.

Son olarak pekiştirmeli öğrenme ise eğitme aşamasında elde edilen başarı ve başarısızlıklarla ilgili yapay zekaya geri dönütlerin sağlanması ve böylece doğru çıktıya ulaşmaya çalışılmasıdır. Burada çıktının iyi veya kötü olduğuna dair dönütler verilmektedir. Bunun için etiketlenmiş veriler kullanılmamakta ve ortak noktalar bulunmaya çalışılmamaktadır. Örnek olarak AlphaGo programı verilebilir. Birçok oyun hamlesi makineye öğretilmekte ve neticenin değerine göre geliştirilmektedir.

2.2. Derin Öğrenme

Derin öğrenme, makine öğrenmesinden bağımsız değildir. Aslında bir alt kümesini oluşturmaktadır. Her bir derin öğrenme algoritmasının makine öğrenmesi olduğu söylenebilirken, her makine öğrenme algoritmasına dayalı yapay zekanın derin öğrenme algoritmasına sahip olduğu söylenemeyecektir. Makine öğrenmesinden ayıran özelliği ise öz nitelik çıkarım (feature extraction) faaliyetidir.  Öz nitelik çıkarımı; ham verileri, orijinal veri kümesindeki bilgileri korurken işlenebilen sayısal özelliklere dönüştürme sürecini ifade etmektedir. Böylece makine öğrenimini doğrudan ham verilere uygulamaktan daha iyi sonuçlara ulaşılmaktadır.  Derin öğrenme metodunda öz nitelik faaliyetinin yapılmasına gerek yoktur. Çünkü kendi kendine veri setlerini inceleyerek öz nitelik belirleyebilmektedir.

Derin öğrenme, makine öğrenmesinin yeterli gelmediği veya doğru sonuçlar çıkaramadığı durumlarda daha karmaşık problemlere daha güvenilir çıktı vermektedir. Bunu insan beyninin düşünme ve öğrenme sürecini taklit eden yapay sinir ağları (artificial neural networks) aracılığı ile yapmaktadır. Yapay sinir ağları, genel olarak giriş-ara-çıkış katmanlarından oluşmaktadır. Bilgiler, öncelikle giriş katmanına girer. Ara katmanda bilgilerin ağırlık değerleri hesaplanarak işlenir sonra da çıktı katmanına gönderilmesiyle süreç tamamlanır. Ağırlık değerleri ise önceden belirlenmektedir. 

Burada değinilmesi gereken bir diğer husus derin öğrenme metodunda oluşan kara kutu (black box) problemidir. Bu problem ara katmanda oluşmaktadır. Yapay sinir ağları algoritmasında giriş ve çıkış katmanları kontrol edilebilirken bu ikisi arasındaki çıkarımı yapan ara katmanda YZ’nin nasıl çalıştığı hala bilinememektedir. Bu sebeple yazılımcıların YZ’nin verdiği ön yargılı kararının nasıl oluştuğunu açıklamada zorlanmaktadırlar.  Dolayısıyla YZ’de aranan şeffaflık ve hesap verilebilirlik prensiplerine zarar veren bir olgudur.

Derin öğrenme metodunun doğru çalışabilmesi için büyük veriye (big data) ihtiyaç duyulmaktadır. Büyük veri doktrin ve uygulamada kabul edildiği üzere “5V” prensibinden oluşmaktadır. Bunlar: (i) hız (velocity), (ii) hacim (volume), (iii) değer (value), (iv) çeşitlilik (variety) ve (v) doğruluk (veracity) şeklindedir.  Genel olarak açıklanmak gerekirse; güvenilir kaynaklardan toplanan, farklı türde, çok büyük veri setlerinden yüksek hızda ve sürekli olarak anlamlı veriler çıkarılması anlamına gelir. Diğer çalışma metotlarında görülmemiş bir makine gücü ile bu verilerin işlenmesi sağlanabilir. Faydası, YZ’nin daha doğru çıktılar elde etmesi ve daha hızlı örüntüleri kavrayabilmesi iken hangi verilerin toplandığı, bu verilerin nasıl kullanıldığı gibi problemlerin de göz önünde tutulması gerekmektedir.

Günümüzde birçok alanda YZ’nin derin öğrenme metodu ile kullanıldığı görülmektedir. Buna örnek olarak yabancı diller arasında çeviri yapılması, özet çıkarma ve sohbet robotları ile konuşma gibi faaliyetler verilebilir. Bunlar aynı zamanda metinden çıkarım yapan doğal dil işleme (natural language processing) yapay zekası anlamına gelmektedir. Diğer bir alan ise sürücüsüz veya otonom araçlarda derin öğrenmenin kullanılmasıdır. Yolda giderken aracın bir insan gibi düşünerek karar alması amaçlanır. Aynı zamanda yüz tanıma sistemleri, deep fake gibi yazılımlar da yer almaktadır. Sağlık alanında ise uzman sistemler aracılığıyla sağlık çalışanlarının işlerini yapmada kullanılmaktadır.

3. Yapay Zeka Eğitim Setlerindeki Verilerin KVKK Kapsamında Değerlendirilmesi

3.1. Yapay Zeka ve KVKK İlişkisi

            Kanun m. 2 ve 3/1-d’ye göre yukarıda yapay zeka için verilen açıklamalar incelendiğinde yapay zekanın tam otomatik işleme aracı olduğu söylenebilecektir. Çünkü, eğitildiği veri setinden bir model üreterek karşısına farklı veriler geldiğinde otonom kararlar vermektedir. Burada insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyeti söz konusudur.[10]

Yukarıda açıklandığı üzere yapay zekanın amaca uygun olarak çalışabilmesi için veriye ihtiyacı vardır. Ne kadar çok güvenilir veri olursa o kadar verimli sonuçlar elde edilebilecektir. Zorunlu olmasa da bu verilerin KVKK m.3/1-d kapsamında sayılan kişisel veri niteliğinde olması mümkündür. Nitekim uygulamada şirketlerin müşteri çekmesi, siyasilerin toplumu yönlendirebilmesi gibi amaçlar için kişisel verilerin elde edildiği görülmektedir.

Yapay zeka ile kişisel veri arasındaki ilişki şu şekillerde oluşabilir: (i) Eğitim veya test verilerinde kişisel verinin bulunması, (ii) Anonimleştirilmiş veri veya kişisel veri niteliğinde olmayan verilerin kullanılmasıyla geliştirilen modelin oluşturduğu çıktının kişisel veri niteliğinde olması.[11]  İlk halde kişiyi doğrudan tespit eden bilgiler olabileceği gibi belirlenebilir kılacak bilgiler de kullanılabilir. Örnek olarak Maryam Archie, Sophie Gershon, Abigail Katcoff, ve Aaron Zeng’in yaptığı proje verilebilir. Projede herkese açık paylaşılan Amazon inceleme verileri kullanılarak sözde anonim olan Netflix kullanıcı bilgilerinin eşleşmesi sonucu kimliklerinin belirlenebileceği ortaya çıkmıştır.[12] İkinci halde ise YZ’nin çıkarım ve tahmin yoluyla ulaştığı sonucun kişisel veri niteliğinde olmasıdır. Kullanıcıları profilleme amacı ile analiz eden YZ sistemleri buna örnek olarak gösterilebilir. Burada YZ’ye kullanıcıları; tercihlerine, sağlık veya ekonomik durumuna ya da adli kaydına göre ayırt etmeyi sağlamak için bir algoritma oluşturulur. Böylece birey, YZ’nin oluşturduğu çıktıya göre etiketlenmektedir.

Yapay zeka üreticisi, kendi bünyesinde yapılacak bir çalışmada kendi birimleri tarafından ilgili modeli üretiyorsa hem veri sorumlusu hem de veri işleyen sayılacaktır. Ancak başka alanda hizmet veren bir şirketin belirlediği amaç kapsamında yapay zeka üreticisi bir şirketle sözleşme imzalaması mümkündür. Bu halde üretici şirket, veri işleyen; diğer şirket ise veri sorumlusu sayılacaktır.

Sonuç olarak yapay zeka eğitiminde kullanılan verilerin KVKK bakımından kişisel veri niteliğinde olması halinde Kanun kapsamında sayılacak ve ilgili kurallara uygunluğu araştırılması gerekecektir. Bunun istisnasını ise KVKK m.28’de yer alan amaçlarla sınırlı olmak üzere kişisel verilerin kullanılması oluşturmaktadır.

3.2. Eğitim Veri Setlerinin KVKK’ye Uygunluğu

Kişisel Verilerin Korunması Kurumu’nun yayınlandığı rehbere göre yapay zekanın veri toplama da dahil olmak üzere işlemenin her aşamasında KVKK’ye uygunluğun sağlanması aranmaktadır.[13] Dolayısıyla toplanan verilerin eğitim verisi olarak ayrılmadan önce de toplamanın hukuka aykırılık oluşturmaması gereklidir.

Öncelikle ne için veri toplanacağı belirlenmelidir. Burada KVKK m.4/2’de belirtilen belirli, açık ve meşru amaçlar için işlenme ilkesi kapsamında tercih yapılmalıdır. Kanun bağlamında meşru bir amaç olması için toplanacak verinin niteliğine göre KVKK m.5 ve 6’da yer alan sebeplerden bir veya birkaçı seçilmelidir. Ancak olabildiğince hassas veriler dahil edilmemelidir. KVKK m.4/2’de yer alan amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun olarak sadece gerekli veriler toplanmalıdır. Örneğin, bir algoritmik reklam sunulmak istendiğinde kişiye uygun reklam çıkarmak için kan grubunun da sorulması baştaki işleme amacıyla bağlantılı olmayacaktır. Ayrıca veri minimizasyonu ilkesine gözetilerek yeterli verinin bulunması halinde ekstra veriler istenmemelidir. Aynı örnek çerçevesinde kişinin nick name’i tanımlamaya yetiyorsa ayrıca lokasyon bilgileri aranmamalıdır.

Veri sorumlusu kullanılacak yöntem ve muhtemel sonuçlar hakkında bilgi vererek şeffaflık ve hesap verilebilirlik ilkelerine uyumlu hareket etmelidir. Ancak yukarıda bahsedilen kara kutu problemi sebebiyle çıktının nasıl elde edileceğini açıklamada zorluk yaşayabilecektir.

Amaç ve veri türleri belirlendikten sonra mevzuata göre ne kadar süreyle muhafaza edileceğine karar verilmelidir. Bu süre sona erdiğinde silme, yok etme veya anonimleştirme tekniklerinden birisini seçmelidir. Buna ilişkin önceden hazırlanan saklama ve imha politikasına uyulması gereklidir.

Toplanan verilerin daha sonra doğacak muhtemel bir veri işleme gerekçesiyle tutulması mümkün değildir. Aksi halde belirli ve açık amaç ilkesine ayrılık oluşturacaktır.[14] Bu gibi durumlarda elde edilen verilerin tekrar kullanılabilmesi için anonimleştirme yöntemi tercih edilmelidir. Anonimleştirme, kişisel verinin artık herhangi bir kişiyle ilişkilendirilememesi anlamına gelmektedir. Yani, anonimleştirilen veri artık kişisel veri niteliğinde olmayacak ve KVKK kapsamında sayılmayacaktır. Nitekim KVKK m.28’de istisnalardan biri olarak belirtilmiştir. Buna karşılık, elde edilecek netice kişilerin haklarına telafisi zor zarar meydana getiriyorsa baştan itibaren işleme gerçekleştirilmemelidir.

SONUÇ

Yapay zeka teknolojilerinin giderek yaygınlaştığı göz önüne alındığında, kişisel verilerin korunması ve bu teknolojilerin hukuka uygun şekilde kullanılması önemli bir gereklilik haline gelmiştir. Yapay zeka sistemlerinin verimli çalışabilmesi için büyük miktarda veri gerekmekte ve bu veriler çoğunlukla kişisel verilerden oluşabilmektedir. Bu noktada KVKK, bu verilerin işlenmesinde uyulması gereken ilkeleri ve sınırları belirlemektedir.

Yapay zeka uygulamalarında kullanılan verilerin kişisel veri niteliği taşıması halinde KVKK’ya uygunluğu araştırılacaktır. Bu kapsamda, verilerin toplanması, işlenmesi ve saklanmasında kanunun öngördüğü ilkelere uyulması zorunludur. Anonimleştirme, şeffaflık, hesap verilebilirlik gibi unsurlar, yapay zeka eğitim setlerinde de geçerlidir. Ayrıca, yapay zeka modellerinin çıktılarının da kişisel veri niteliğinde olabileceği göz önüne alınmalı ve bu doğrultuda gerekli önlemler alınmalıdır.

Sonuç olarak, yapay zeka teknolojilerinin gelişmesi ile birlikte kişisel verilerin korunmasına dair düzenlemeler de bu doğrultuda güncellenmeli ve yapay zeka süreçleri KVKK’ya tam uyumlu hale getirilmelidir. Bu süreçte veri sorumluları ve veri işleyenler, kişisel verilerin güvenliği için gerekli tedbirleri almalı ve hukuki gereklilikleri yerine getirmelidir.

  1. Yazarın “ALGORİTMA HATASI SONUCU BAŞKASINA AİT BİLGİLERE ERİŞİM HAKKINDA KVKK KARARI” isimli yazı için bağlantıdan ulaşabilirsiniz.
  2. Sayı’mızdaki konuk yazarlar Soner Canko ve Av. Burcu TÜMERtarafından yazılan “Açık Bankacılık Uygulamaları; Dünyada ve Türkiye’de Mevzuat Gelişmeleri”isimli yazıyı bağlantıdan okuyabilirsiniz.

Yazar: Av. Beste GÖDEN


[1] R.G.: 07.04.2016/29677.

[2] ABAD, Patrick Breyer v Bundesrepublik Deutschland , Başvuru No: C- 582/14, Karar Tarihi: 19.10.2016.

[3] Kişisel Verileri Koruma Kurumu, 6698 Sayılı Kanun’da Yer Alan Temel Kavramlar, s.18 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/8110dc3c-2856-4e54-9129-5e2e375469af.pdf (ET:25.09.2024).

[4] Kişisel Verileri Koruma Kurumu, 6698 Sayılı Kanun’da Yer Alan Temel Kavramlar, s.3 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/8110dc3c-2856-4e54-9129-5e2e375469af.pdf (ET:25.09.2024).

[5] Güçlütürk, Osman Gazi, Türk Hukukunda Makine Öğrenmesine Dayalı Yapay Zekada Verinin Hukuka Uygun Şekilde Kullanılması, Yayınlanmış Doktora Tezi, Galatasaray Üniversitesi Sosyal Bilimler Enstitüsü, İstanbul, 2021, s. 19,20.

[6] Datatilsynet, Artificial Intelligence And Privacy Report, Ocak 2018, s. 7https://www.datatilsynet.no/globalassets/global/english/ai-and-privacy.pdf (ET:25.09.2024).

[7] Güçlütürk, s. 48.

[8] Narbay, Şafak/ Kirazlı, Şerife Nur, “Otonom Araçlarda Yapay Zekâ, Kişisel Verilerin İşlenmesi ve Sonuçları”, Sakarya Üniversitesi Hukuk Fakültesi Dergisi, Cilt: 11, Sayı: 1, 2023, s. 51,52.

[9] Güçlütürk, s. 49.

[10] Kişisel Verileri Koruma Kurumu, 6698 Sayılı Kanun’da Yer Alan Temel Kavramlar, s.18 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/8110dc3c-2856-4e54-9129-5e2e375469af.pdf (ET:25.09.2024).

[11] Güçlütürk, Osman Gazi/ Retornaz, Eylem Aksoy, Gelişen Teknolojiler ve Hukuk II: Yapay Zeka, İstanbul, 2021, s. 282.

[12] Archie, Maryam/ Gershon Sophie/ Katcoff Abigail/ Zeng Aaron, “Who’s Watching? De-anonymization of Netflix Reviews using Amazon Reviews”, 2018, s.1 https://courses.csail.mit.edu/6.857/2018/project/Archie-Gershon-Katchoff-Zeng-Netflix.pdf (ET:25.09.2024); Güçlütürk/ Retornaz, s.281, 282.

[13] Kişisel Verileri Koruma Kurumu, Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler, s. 12 https://www.kvkk.gov.tr/Icerik/7048/Yapay-Zeka-Alaninda-Kisisel-Verilerin-Korunmasina-Dair-Tavsiyeler (ET:25.09.2024).

[14] Bilgiç, Ezgi Turgut, “Genel Veri Koruma İlkelerinin Yapay Zekâ Karşısında Uygulanabilirliği Sorunu”, Türkiye Adalet Akademisi Dergisi, Sayı: 57, 2024, s. 269.