Gözetlenen Değil Gözetilen Veriler

Giriş

Bugün, adını sıkça duyduğumuz, hemen her yerde karşılaştığımız; maruz bulunduğumuz yahut maruz bırakıldığımız yapay zeka ve kişisel veriler, bir bütünü besleyen parçalar gibidir. Öyle ki, yapay zeka bir insan olsa, en büyük besin kaynağı veriler olurdu. Bu kadar veri açlığı içinde olan bir teknolojiye tüketip saklaması, sindirip kullanması ve çıkarımlarda bulunması için birtakım veriler sunulurken, etik değerlerin göz ardı edilebileceği ve bazı hakların ihlal edilebileceği de bir gerçektir. Peki bir yapay zekanın temel besin kaynağına veri derken tam olarak neyi kastediyoruz? Buna cevap vermeden önce gelin, yapay zekanın ne anlama geldiğine bir bakalım.

Tanım

Yapay zeka, tanımı yapılması zor bir alan olsa da ACM tarafından; çevreyi algılayan, öğrenerek yeni bilgiler üreten, problem çözebilen, yazılım ve donanımları gerçekleyen bir bilim dalı olarak ifade edilebilir.

İlk kez bilgisayar bilimci John McCarthy tarafından 1950’de bir konferansta kullanılan yapay zeka terimi, bir anlamda makinelere, normalde insan zekasına ihtiyaç duyulan işleri yaptırma teknolojisidir.

Bir sistem veya makine düşünün. Anlama, iletişim, öğrenme gibi beyinsel aktiviteleri yerine getirmede insan zekasını taklit etsin. Hatta öyle ki bir habere göre siber dolandırıcılar tarafından bir CEO’nun sesini taklit ederek 1 milyonun üzerinde bir parayı çalabilecek kadar bu taklitte başarılı olsun. Microsoft gibi bazı teknoloji şirketleri tarafından performans ölçüm hizmeti adı altında çalışanlarının vücut hareketleri, mimikleri, ses tonları gibi detaylardan ölçüm yaparak çalışılan işte verim analizi ortaya koysun ve belki de çalışanları işten çıkarmada geçerli fesih sebeplerini işverenin imkanına sunsun.

İşte tüm bunlara imkan veren yapay zeka teknolojisinde algoritma yazılırken yapay zekaya öğretilen, neyin kararını vereceği değil, nasıl bir karar vermesi gerektiği olacaktır. Buna, makine öğrenmesi denilmektedir.

Yapay Zekayı da İçine Alan Big Data

Teknolojinin hızlı ilerleyişi ve verilerin öneminin artması ile big data denen; yapay zeka, veri bilimi ve nesnelerin interneti gibi birçok dijital dönüşüm uygulamasını içine alan bir itici güç ortaya çıkmış, bu kadar veri ile kendi yararımıza neler yapabileceğimizin sorusu gündeme gelmiştir.

Aslına bakarsanız big data şunu ilke edinmiştir: Ne kadar çok veri, geleceğe ilişkin o kadar güvenilir tahmin ve saptama demektir. Öte yandan geçmişten günümüze veri kavramı da epey anlam genişlemesine uğramıştır. Bugün bakıldığında elektronik kablolar veya veri tabanları ile sınırlı verilerin yerini fotoğraf, video, ses kayıtları, yazılı-sözlü metinler, sensör verilerine kadar pek çok şeyi içine alan bir veri anlayışı almıştır. Tüm bu dağınık verileri anlamlı bir hale getirebilmek için büyük veri projeleri; yapay zeka ve makine öğrenimini içeren bazı analizler kullanır. Bilgisayarlara da bu verilerin neyi temsil ettiği öğretilir. Büyük veri projelerinin sağlık, eğitim, ekonomi, suç bilimi ve hatta doğa olaylarına varıncaya kadar pek çok konuya müdahalesi ile veriye dayalı analizler elde edilmektedir.

Hastalıkların erken teşhisi, çok sayıda tıbbi kayıt ile yeni ilaçlar geliştirme yollarına gitme; birtakım sensör verileri ile olası depremlerin şiddetinin hayat kurtaracak bir zaman aralığında tespiti; bir suçun önlenmesinde ekiplerce veriye dayalı yöntemlerin geliştirilmesi gibi apayrı pek çok konuda hayatı kolaylaştırıcı bir etkisi olduğunu ve olacağını söylemek mümkünse de bu işin endişe veren boyutlarını da es geçmemek gerekir.

Covid Döneminde Arkamızda Bıraktığımız İzler, Kişisel Veriler

Gündelik yaşamımızda pandeminin de etkisi ile dışarı bile çıkmamız gerekmeden, evlerimizi adeta home office olarak kullandığımız şu günlerde alışverişlerimiz, yaptığımız çalışmalar, konuşmalar, sıkıldığımız bir anda çekip paylaştığımız fotoğraflar, sipariş ettiğimiz belki bir ayakkabı, bir yemek, uzun zamandır göremediğimiz bir arkadaşımıza yazdığımız özlem mesajına kadar yüzlerce veriyi sanal ortama bırakmaktayız. Ürettiğimiz bu kadar çok verinin pek çoğunu gizli tutma hakkına sahip olsak da bu veriler güvenilir ellere teslim midir, orasını pek bilemeyiz. İçimize kurt düşse de bazen, çoğu kez bu büyük veri destekli uygulama ve hizmetlerin sunduğu kolaylığı ve rahatlığı tercih eder, bu kolaylığın karşısında birkaç kişisel verimizi paylaşmaktan zarar gelmeyeceğini düşünürüz. Hatta çoğu kez kendimizi ve verilerimizi pek de önemli görmez, kendimize ait bu bilgilerle en çok neyin yapılabileceğini düşünüp içimizi rahatlatırız. Oysa hep duymuşuzdur, hatta klişe bir hal de almaya başlamıştır artık: “Bir uygulama ücretsizse orada ürün, veri sahibidir.” Bu bile verilerimizin arka planda tedavül gücünü göstermektedir.

Verilerimizi Neden Korumalıyız?

Verileri korunmaya muhtaç kılan en önemli unsur, bizimle her yere gidiyor olması, mekanlarla ve kurumlarla sınırlı olmamasıdır. Veri akışı esnasında o verinin veri sahibine ait olduğunun bilincinde olunarak hareket edilmesi ve bu akış sırasında tabir yerinde ise “kötü adamlar” olarak nitelendirebileceğimiz kişilerce siber güvenliğin tehdit edilerek veri sahibinin alanına müdahale  edilebilecek girişimlerden kaçınılması beklenir. Çünkü veriler, yapay zeka teknolojisi içinde çok büyük bir katma değere sahiptir ve bu sebeple kötü niyetli kullanımlara açık bir alan olabileceği de bir gerçektir.

Buraya kadar veri sahiplerinin rızaen paylaştığı verilerinin kullanımından bahsetmiş görünsek de işin hukuka aykırı boyutu, bizler nelere rıza gösterdiğimizi sanırken veri sorumlularınca bu rızanın içine daha başka nelerin de dahil edilebildiği kısmıdır. Özellikle kamuyu, tüm dünyayı ilgilendiren ve hakkında baştan beri pek de bütünsel bir bilgiye vakıf olunamayan pandemi sürecinde halkın yararına olduğu düşüncesi ile verilerin önemi artmış, bu kişisel verilerin kullanılması konusunda eskiye nazaran bir esnetme politikası uygulanmıştır. Örneğin daha sağlıklı bir toplum düşüncesi ile virüs barındıran bireylerin tespiti ve izlenmesine ilişkin devlet politikaları ortaya çıkmış ve garip bir şekilde süreç, veri sahibi olan bizleri, bu bilgilerimizin paylaşılmasına zorunlu bir rıza gösterir hale getirmiştir. Bu noktada insanlarda bireyin çıkarının toplumun çıkarına nazaran daha fazla bir öneme sahip olmadığı düşüncesi hakim olmuştur. Böylece daha büyük bir amaç için belki de en önemli şeyden, verilerimizden biraz da olsa istifade ederken bulmuşuzdur kendimizi.

Birçok şirket şu an bu kadar veri ellerindeyken niçin kamu yararına bu verileri kullanmayacağını tartışıp olayı basite alsa da pandemi süreci bittikten sonra halihazırda bu verilerin imha edileceği bir ortam yaratılmadığı takdirde işin büyüyen bir tehlikeye doğru yol alması kaçınılmaz hale gelecektir. Zira yapay zekanın beslendiği veriler, sektör için büyük bir ekonomik kaynak olma potansiyeline sahiptir ve her geçen gün ve her an veri üreten bizler için bu işin sınırını çizmek de gün geçtikçe zorlaşacaktır.

Şimdilerde söylenen aşı faaliyetlerinin zorunlu tutulmayacak olması, aslına bakılırsa veri paylaşma noktasındaki zorunlu tutulmayışa bir anlamda benzemektedir. İkisinin de zannımca şöyle tehlikeleri vardır, her ne kadar iradi de gösterilse, örneğin aşı olmayan birinin bazı işlere alınmayabilmesi, bazı alışveriş merkezlerine girememesi, bazı hizmetlerden yararlanamaması gibi ihtimaller olacaktır. Aynı şekilde veri paylaşımından kaçınan biri için de hizmet sağlayıcıları aynı iradeyi gösterebileceklerdir. Tüm bunlar, verilerimizi paylaşırken ne kadar iradi davranabildiğimizi sorgulatır hale gelecektir.

İşin hukuka aykırı bir başka kısmı da lokal veri paylaşımının sınırlarının aşılmasıdır. Örneğin yalnızca konum bilgisinin gerektiği bir uygulama kullanılırken kullanım izninin, ayrıca veri sahibinin telefon rehberi bilgisine de ulaşma iznini kapsaması, tek bir izin sistemi ile aslında uygulamanın amacının dışına çıkan veri paylaşımının da önünün açılması, kişisel verilerin ihlali anlamına gelecektir.

Veri sorumlularının verileri paylaşmada denetim mekanizmalarına tabii tutulması beklenmektedir. Bu yolla, bir teknikler bütünü olan yapay zekanın amacının insan ya da hayvan zekâsını makine kullanımı yoluyla taklit ederken o insanın yahut hayvanın yerine geçme amacı taşımaktansa bu canlıların hayatını kolaylaştırma noktasında bir araç olarak faaliyet göstermesi gerekir. Teknoloji, nihai bir çözüm değil, çözüme giden yolda bir araç olabilir ve sağlıklı bir işleyiş için sosyal değerlerden ödün verilmemelidir.

Siber Güvenlik Noktasında Zero Trust

Kişisel verilerin korunmasında siber güvenlik ve blockchain de önem arz etmektedir fakat yeterli değildir. Bu anlamda varsayımsal güven, sorun yaratabilmektedir. Bir uygulamayı tek başına güvenli kılmaktansa zero trust (sıfır güven) kapsamında güven duygusunu bütüne yaymak amaçlanmalıdır. Kimlerin verilerimize ulaştığı, ulaşma yetkilerinin olup olmadığı ve verilerimizin nerede durduğu/dolaştığı gibi soruların öncelikle cevaplanması gerekir. Bu sebeple veri sahipleri olarak “hemen güvenme, önce doğrula, sonra aksiyon al” şeklinde bir yöntem izlenmelidir.

Verilerin Korunmasına İlişkin Bazı Yasal Düzenlemeler

Veri ihlalinde asıl tehlike grupları, basit hackerlar olabileceği gibi politik organizasyonlar ve ticari yarar sağlayan dolandırıcılar da olabilmektedir. Bu noktada ülkemizde 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren KVKK,bizlere önemli ölçüde yol göstericidir. Anayasanın 20.maddesinde temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı,2010 Anayasa değişikliği ile özel hayatın gizliliğini düzenleyen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilmektedir.

Kanunu daha da işler kılabilmek ve denetimler yapabilmek için Kişisel Verilerin Korunması Kurumu hayatımıza girmiştir.

Kanun; uluslararası belgeler, karşılaştırmalı hukuk uygulamaları ve ülke ihtiyaçlarımız göz önünde tutularak kişisel verilerin çağdaş standartlarda işlenip koruma altına alınmasını amaçlamaktadır.

Kişisel verilerin korunması kanunu, mahremiyetin korunup veri güvenliğinin sağlanmasını önceler. Bu yolla kişisel veriler sınırsız ve gelişigüzel toplanmayacak, yetkisiz kişilerin erişimine açılmayacak, amacının dışında ve kötüye kullanılmayacak,ifşa edilmeyecektir.

Kanun, veri sahibi gerçek kişiler ile bu verileri tamamen ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsamına alır. Veriden ziyade veri sahibini korumaktadır.

Kimliği belirli yahut belirlenebilir gerçek kişiye ait her türlü bilgi, kişisel veridir. Bu açıdan bakıldığında bir şirketin ticaret unvanı ya da adresi, gerçek kişi ile ilişkilendirilemediği sürece kişisel veri sayılmamaktadır. Gerçek kişinin fatura bilgilerinden mektup ve davet yazılarına, ses veya görüntü kayıtlarından kredi kartı ekstrelerine kadar pek çok kayıt, kişisel veridir.

Bir de özel nitelikli kişisel veriler vardır ki bu veriler, başkalarınca öğrenildiğinde veri sahibinin mağduriyeti ve ayrımcılığa maruziyeti sonucunu doğurabilecektir. Kişilerin ırkı, dini,sağlığı,mezhebi,siyasi düşüncesi, cinsel hayatı, felsefi inancı, kılık ve kıyafeti, vakıf ve sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili biyometrik ve genetik veriler, bunlara örnektir. Özel nitelikli kişisel verilerin işlenmesi için mutlaka ilgilinin açık rızası aranır.

Kişisel verilerin işlenmesi; bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,devralınması,elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi demektir. Kanunun 6.maddesinin 3. fıkrasında, özel nitelikli kişisel veri olan sağlık ve cinsel hayata ilişkin verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmadan işlenebileceği yer almaktadır. Fakat özel nitelikli verilerin işlenmesinde ayrıca Kurulca belirlenen önlemlerin de alınması şarttır.

Hukuka uygun bir kişisel veri işleme faaliyeti gerçekleştirilebilmesi için kişisel verilerin öncelikle kanunun 5. Maddesindeki şartlardan birine dayanılarak işlenmesi gerekir fakat her halükarda madde 4’te sayılan temel ilkelere uyulması da şarttır. Kanunun 7. Maddesine göre işlenmesine rağmen, işlenmeyi gerektiren sebeplerin ortadan kalkması halinde resen veya taleple kişisel verilerin silinmesi, yok edilmesi veya değiştirilmesi gerekmektedir fakat kişisel verilerin işlenmesi, baştan beri hukuka aykırı ise derhal silinmeli, hukuku uygunluk en kısa sürede tesis edilmelidir.

Bazı zamanlarda anonimleştirmeden bahsedilse de bu tek başına yeterli olmayacak, eğer farklı üst veriler ilgilinin kimliğini tespit imkanı veriyorsa yine ihlaller kaçınılmaz olacaktır.

Kamuya açık alanlarda inşaat işçisinin baretini takıp takmadığı gibi çalışılan ortamı, çalışanların davranışsal yapısını, izleyip denetleyen yapılar, sanılanın aksine iş verimini de düşürebilecektir, yine bu tarz durumlar için önceden hukuki önlemler alınmalıdır.

Türk Ceza Kanunu 135-140 ve 243-246 maddeleri kişisel veriler ve bilişim sistemleri üzerine işlenebilen suçları ve yaptırımlarını düzenlemektedir.

Peki Ne Yapmak Gerekir?

Kişisel verilerin korunması noktasında karşı olunan unsur, verilerden değer elde edilmesi değil; bu verilerin kullanımının hakkın ihlaline yol açacak şekilde yapılmasıdır. Mahremiyet korunmadıkça, siber güvenliğe ilişkin riskler hep devam edecektir. İşverenlerin, işçilerinin çalışmalarında kendi internetlerini kullanmalarına ilişkin teşvikleri ve bu konuda bilgilendirici eğitim faaliyetleri düzenlemeleri, bu konuya olan hassasiyetlerini belli edecektir. Baskıdan uzak bir ortamda kişisel verilerin paylaşılmasına ilişkin izin istenmeli, veri sahiplerinin rızalarının olabildiğince gerçeği yansıtması amaçlanmalıdır. İnsan kontrolünde yapay zeka sistemleri geliştirilmelidir. Minimum veri ile çalışan sistemler üretilmeli, süreç ve yazılımlar veri koruma amacıyla tasarlanmalıdır. Elde edilen veriler başka verilerin elde edilmesinde kullanılmamalıdır. Veri işlerken risk değerlendirmeleri yapılmalı ve bu esnada yapay zeka ile big data özellikleri göz önünde tutulmalıdır. Verilerin korunması ilkesi (data protection by design) gözetilmeli, zaten her yanımızı sarmış olan önyargıların yapay zeka teknolojisinden arındırılması gerekmektedir. Veri açlığını giderme noktasında gerçek kişisel verileri modelleyen temsilci veriler kullanılabilir. Yapay zeka geliştiricileri, satıcıları ve kullanıcıları hesap verilebilir bir algoritma kurmalı ve olası bir sorunda muhatap bulma açısından veri sorumlularının kim olacağı aydınlatma metni ile belirlenebilmelidir. Veriler toplanırken Avrupa Veri Koruma Tüzüğü ve KVKK dikkate alınmalı, yapılması gereken bir değişiklik olacaksa bu,KVKK madde 28 deki istisnalar kapsamına sokularak değil, ayrı bir kanun maddesi düzenlenerek yapılmalıdır. Mahremiyet olmadan güvenliğin olmayacağı unutulmamalı; gizlilik,güvenlik ve doğruluk endişeleri bir an evvel giderilmelidir.

Son olarak… 

Bu kadar kapsamlı bir konuyu ele alırken yazımı Denzel Washington’un bir sözüyle noktalamak isterim: “Hayatını yaşa ve bunu gizli tut. Mahremiyet her şeydir.”

Yapay Zeka Hukuku alanındaki tüm Blog yazılarımızı bağlantıdan okuyabilirsiniz.

Hukuk ve Bilişim Dergisi Son Sayısını okumak için bağlantıya tıklayınız.

Yazar: Fatma Büşra FIRAT / Hukuk ve Bilişim Dergisi Yazı İşleri Sorumlusu

Kaynakça

https://www.academia.edu/42073914/Algoritmik_Karar_Verme_ve_Veri_Korumas%C4%B1

http://www.diken.com.tr/yapay-zekayla-ceonun-sesini-taklit-edip-243-bin-dolar-caldilar/

https://www.mynet.com/amp/microsoft-yapay-zeka-ile-enerjisi-dusen-calisani-bulacak-110106666850

https://elifbabanhukuk.com.tr/yapay-zekali-sistemlerde-etik-kurallar/

https://www.istanbulbarosu.org.tr/HaberDetay.aspx?ID=15738&Desc=Yapay-Zeka-%C3%87a%C4%9F%C4%B1nda-Hukuk

https://berqnet.com/blog/kvkk-nedir

TCK ilgili maddeler

KVKK ilgili maddeler