1-)KONUYA YÖNELİK KAVRAMLAR
Yapay zekâ teknolojisi, çevresini algılayabilen ve herhangi bir hedef bakımından başarı şansını maksimize edebilecek şekilde karar alabilen zeki makineleri ifade eder. Günümüzde gündelik hayatta sıklıkla karşılaştığımız strateji oyunları, sürücüsüz araçlar, çeviri programları, yüz tanıma sistemleri ve ticaret, sağlık ve araştırma alanında kullanılan istatistik programları aslında “dar anlamda” yapay zekâ teknolojileridir. Kişisel Veri, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (‘KVKK’) m. 3 b. d)’ye göre “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Bu noktada ilk tartışacağımız konu ‘Kişisel verinin hangi hakkın kapsamına’ gireceğidir. Bu konuda 2 temel yaklaşım vardır. Bunlar: • ABD’nin de kabul ettiği yaklaşım; kişisel verinin bir mülkiyet hakkı olması ve • Avrupa’nın kabul ettiği yaklaşım olan kişisel verinin bir insan hakkı olduğu yaklaşımıdır.
Bu konuda Fransız Yüksek Mahkemesi verdiği bir kararında Covid-19 sebebiyle sokağa çıkma yasağı sırasında polisin denetlemesi için kullanılan drone ların kullanımının hukuki gerekçeye dayandırılmadığı için, kullanımının insan hakkı ihlali olduğuna karar vererek kullanılmasını yasaklamıştır. İkinci tartışacağımız konu ‘Kişinin hangi hallerde belirlenebilir’ olduğudur. Bu çerçevede mutlak ve nısbi belirlenebilirlik görüşleri ortaya atılmıştır.
• Mutlak belirlenebilirlik görüşüne göre, veri sorumlusunun kimliği ve hangi amaçla ilgili verileri işlediği önem taşımamakta, verisi işlenen kişinin kimliğini tespit etmeye hizmet edebilecek nitelikte üçüncü kişilerin elinde bulunan bilgiler de veri sorumlusunun hâkimiyetinde kabul edilmektedir.
• Nısbi belirlenebilirlik görüşünde ise sadece veriyi işleyen kişinin kimliği ve bilgisi esas alınacaktır.
Kişisel verinin tanımına yönelik olarak Avrupa Adalet Divanı, dinamik IP-adreslerinin kişisel veri niteliğinde olup olmadığına ilişkin Breyer kararında ise dinamik IP-adresini elinde bulunduran kişinin makul imkânlar dâhilinde internet erişim sağlayıcısından kişiye dair bilgi elde etme imkânı söz konusu olduğu takdirde IP-adreslerinin de kişisel veri niteliği taşıyabileceğine hükmetmiştir.
Veri Sorumlusu, 6698 Sayılı KVKK m.3 b. ı) “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmakta, ilgili kişinin hakları bu kişiye yöneltilmekte, Kişisel Verileri Koruma Kurulu bu kişiyle muhatap olmakta ve nihayet kanundan doğan yükümlülükler bu kişiyi muhatap almaktadır.
2-)VERİ İŞLEME FAALİYETİNİN HUKUKİ DAYANAĞI
Bilişim ortamında her an çok fazla sayıda kullanıcı, sanal veya fiziksel cihaz tarafından inanılmaz büyük ölçekte veri işlenir. Bu veriler belirli süreçler bakımından yönetilebilir veya anlamlı olsalar da bunların bir yığın olarak veri setleri şeklinde bir araya gelmesi durumunda geleneksel işleme araçlarıyla yönetilemeyecek bir veri bütünü doğar. Bu ölçekteki düzenli ya da düzensiz veri setlerine büyük veri (big data) denir. Ancak yapay zekâ teknolojileri çeşitli ölçek, ebat ve formdaki büyük veriyle başa çıkabilir. Bu nedenle yapay zekâ ve büyük veri ayrılmaz kavramlardır. Yapay zekâ teknolojileriyle büyük veri arasındaki ilişki çift yönlüdür. Bir yandan yapay zekanın kaynağını oluşturan makine öğrenmesi için geniş ölçekte veriye ihtiyaç duyulurken, diğer yandan da büyük veri setlerinden anlam çıkarabilmek için yapay zekâ teknolojilerine ihtiyaç duyulur. Big Data’ların ana yakıtı insan verisidir. Temel ilke, kişinin açık rızası veya kanunun müsaade etmesi halinde bu kaynaklarının kullanılması mümkün olacaktır.
2.a.) Açık Rıza KVKK m.3/b.a“Belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle” açıklanmalıdır. Dolayısıyla açık rızadan bahsedebilmek için ilgili kişinin yeterince bilgilendirilmesi, bilhassa söz konusu bilgilendirmenin sadece soyut ve kanunun tekrarından ibaret matbu metinlerle sınırlı kalmaması gerekmektedir. Bilgilendirme çerçevesinde kişisel verilerin hangi amaçlarla işleneceği, kimlerle paylaşılacağı gibi hususlar, somut şekilde belirtilmelidir.
2.b.) Kanunda Öngörülen Diğer Hukuka Uygunluk Sebepleri İlgili kişinin açık rızası bulunmasa dahi kanunda açıkça öngörülen hallerde kişisel verilerin işlenmesi mümkündür. Bu çerçevede özellikle, KVKK md.5/f. 2/b.c “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” halinde açık rızaya gerek olmaksızın kişisel veriler işlenebilecektir. Özellikle blockchain ağı üzerinden gerçekleştirilen akıllı sözleşmeler dikkate alındığında söz konusu hükmün, kişisel verilerin işlenebilmesi için uygun bir dayanak olduğu kanaati oluşmaktadır. Ancak kanunun lafzına göre sözleşmenin taraflarına ait kişisel verilerin işlenmesi esas alınmaktadır. KVKK md.5/f. 2/ b.f “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” halinde kişisel veriler, açık rıza olmaksızın işlenebilecektir. Bunlara Anonimleştirilmiş Veriler denir.
Cep telefonu kullanılarak konum bildirmemiz bir rıza niteliği taşıyor olmakla beraber konum bilgilerinin kişi tarafından paylaşılması,bilgilerin kullanılmasının yasal dayanağıdır. Dolayısıyla işlem tarafı olmayan kişilerin verilerinin işlenmesi halinde ilgili hükme başvurma ihtimali söz konusu olabilir. Veriler, sistem tamamen silinmedikçe mevcuttur. Dolayısıyla kişisel veriler, artık onlara hiçbir ihtiyaç duyulmasa da, sistemde kayıtlı kalacaktır. Ayrıca algoritmaların karmaşıklaşması sebebiyle verdiğimiz izni geri aldığımız halde dahi gerçekten bu iznin iptal edilmiş olup olmadığını bilme şansımız yoktur.
3-)İLGİLİ KİŞİLERİN HAKLARI
Veri koruma hukuku, kişisel verilerin işlenme şartlarını belirlemekle kalmamakta, aynı zamanda veri sorumlularının yükümlülüklerini yerine getirip getirmedikleri noktasında ilgili kişilere birtakım haklar tanımaktadır. Gerçekten KVKK m. 11’e göre ilgili kişi, veri sorumlusuna başvurup bu kişiden kendisi hakkında kişisel verinin işlenip işlenmediğini ve bununla ilgili bilgi talep etme, kişisel verilerin aktarıldığı üçüncü kişiler hakkında bilgi edinme, yanlış ya da eksik işlenen verileri düzelttirme, sildirme veya yok ettirme hakkına sahiptir.
3.a.)Bilgi Talep Hakkı:
KVKK m. 11 f. 1 b. a) ve b)’ye göre ilgili kişi, kendisin hakkında kişisel veri işlenip işlenmediği ve bu bilgilerin içeriği hakkında bilgi talep edebilecektir.
3.b.)Düzeltme Talebi :
Kendisi hakkında işlenen kişisel verinin yanlış ya da eksik olduğunu tespit eden ilgili kişi, KVKK md.11/f.1/ b. d)’ye göre bunların düzeltilmesini talep edebilmektedir. Kural olarak elektronik ortamda kaydedilen bir verinin düzeltilmesi herhangi bir sorun teşkil etmemektedir 3.c.)Silme/Unutulma Hakkı :
KVKK md.11/ f. 1/b. e)’ye göre ilgili kişi, kendisine dair kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahiptir. Bunun için md.7 çerçevesinde öngörülen koşulların yerine getirilmiş olması gerekmektedir. KVKK m. 7’ye göre ise kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında bunlar re’sen ya da ilgili kişinin talebi üzerine silinmeli ya da yok edilmelidir. Silinmek, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik md.8/f. 1’de “Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Dolayısıyla ilgili verilere ulaşımın sınırlandırılması, silinme kıstası için yeterli olacaktır. Yok edilme ise aynı yönetmelik md.9/f.1’de “Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanır.
4-)KVKK KAPSAMINDA YAPAY ZEKA İLE VERİ İŞLENMESİ
Yapay zekâ teknolojileri içerdikleri ve dahil oldukları veri işleme süreçlerinde kişilerin hak ve hürriyetlerini gözetme sorumluluğu, yapay zekâ teknolojilerinin (henüz) kişiliği bulunmadığı için bu noktada yükümlülük ve sorumluluklar yapay zekâ teknolojilerini geliştiren, satan ve kullanan gerçek ya da tüzel kişiler bakımından gündeme gelecektir. Kişisel veri koruma hukuku uyarınca yapay zekâ teknolojileri ile veri işlenmesi bağlamında yapay zekâ geliştiricileri, satıcıları ve kullanıcıları tarafından gözetilmesi gereken ilke ve kuralların belirlenmesinde Avrupa Konseyi 108 nolu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi Danışma Komitesi’nin konuya ilişkin rehberi yol gösterici niteliktedir. Buna göre: - Kişiler ve toplum açısından etki doğurabilecek yapay zekâ teknolojilerinin geliştirilmesi ve kullanılmasında temel insan hakları ve özellikle kişisel verilerin korunması hakkı esas alınır.
- Kişisel verilerin işlenmesi süreçleriyle ilgili olan yapay zekâ teknolojilerinin geliştirilmesinde veri koruma hukukunun temel ilkeleri gözetilmelidir.
- Yapay zekâ alanında sorumlu yatırımlar yapılmalı, kişisel verilerin işlenmesine ilişkin risklerden kaçınmak ve bu riskleri gidermek temel yaklaşım olmalıdır.
- Veri işlemede risk (etki analizi) değerlendirmesi, yapay zekanın ve büyük verinin özellikleri gözetilerek daha hassas bir şekilde yapılmalıdır.
- Yapay zekâ teknolojileri ilgili kişilerin haklarını gözeterek ve bu haklarını kullanabilmelerine imkân tanıyacak şekilde tasarlanmalıdır.
- Yapay zekâ geliştiren, satan ve kullananlar ilgili kişilerin yapay zekâ eliyle kişisel verilerinin işleneceği konusunda yeterli ve doğru bir şekilde bilgilenmesini ve şartları bulunduğunda itiraz haklarını kullanabilmesini sağlamalıdır.
- Yapay zekâ eliyle işlenen veriler bakımından ilgili kişilerin verileri ve sürecin sonuçları üzerindeki kontrolü (hakimiyeti) sağlanmalıdır.
- Otomatik karar alma süreçlerine itiraz etme hakkı kapsamında yapay zekâ tarafından verilerin otomatik olarak işlenip, kişiler bakımından sonuç doğuracak kararlar alınması durumunda ilgili kişilere itiraz etme hakkı tanınmalıdır.
- Yapay zekâ geliştiren, satan ve kullananlar kişisel verilerin korunması alanındaki olası risklere karşı önleyici tedbirler almalıdır.
- Veri toplama dahil tüm işleme aşamalarında tasarım olarak verilerin korunması ilkesi (bydesign) gözetilmeli, özellikle yapay zekanın ayrımcılık anlamına gelebilecek önyargılara sahip olmaması temin edilmelidir. - Tüm geliştiriciler işlenecek kişisel verilerin türünü, niteliğini, kaynağını ve miktarını değerlendirmeli gereksiz ve aşırı işleme faaliyetlerinin önü alınmalıdır. Bu bağlamda sentetik veriler (gerçek kişisel verileri modelleyen temsili veriler) etkili bir çözüm olabilir. - Yapay zekanın veri işlemede bağlam dışına çıkması ve bu şekilde amaç dışı veri işlemesine ilişkin riskler saptanmalı ve gerekli algoritmik formüllerle önlenmelidir.
-Konu özelinde bağımsız danışma kurulları kurulmalı, mevcut kurullar ve akademik kurumlardan görüş ve öneri alınmalıdır.
- Risk değerlendirmede potansiyel ya da mevcut kullanıcı yorumlarını dikkate alan katılımcı yöntemler geliştirilmelidir. - Yapay zekâ geliştiren, satan ve kullananlar, yapay zekanın veri işlemesinde her aşama ve süreçte hesap verebilir bir algoritma kurmalı ve sorumlulukların kime ait olacağını (veri sorumlusunun kim olacağı) kurgulamalıdır.
KAYNAKÇA
1. 6698 Sayılı Kişisel Verileri Koruma Kanunu 2. Article 29 Working Party Guidelines on consent under Regulation 2016/679, WP 259 rev. 01, s. 13,
3. Article29WPGuidelinesonConsent_publishpdf.pdf Erişim Tarihi Ağustos 2018 3. Yapay Zeka Teknolojileri ve Veri Koruma Hukuku, Doç.Dr.Murat Volkan Dülger, (https://www.hukukihaber.net/yapay-zek-teknolojileri-ve-veri-koruma-hukukumakale,7033.html)
4. Avrupa Adalet Divanı, C-582/14, 19.10.2016 5. Mesut Serdar Çekin, Borçlar Hukuku ile Veri Koruma Hukuku Açısından Blockchain Teknolojisi ve Akıllı Sözleşmeler: Hukuk Düzenimizde Bir Paradigma Değişimine Gerek Var Mı? ,İstanbul Hukuk Mecmuası Araştırma Makalesi s.77 , 20.06.2019 6. Yapay Zeka ve KVKK İlişkisi, (https://tv.barobirlik.org.tr/WatchE/4339)