Yapay Zekâ Kullanımı Kvkk’ya Aykırı Mı? Yeni Düzenlemeler Ve Cezai Sorumluluklar

Dijital çağın en çığır açıcı teknolojilerinden biri olan yapay zekâ (YZ), hayatımızın her alanına hızla nüfuz etmektedir. Sağlıktan finansa, eğitimden ulaşıma kadar pek çok sektörde verimliliği artıran, süreçleri optimize eden ve yenilikçi çözümler sunan YZ sistemleri, beraberinde önemli hukuki ve etik soruları da getirmektedir. Bu soruların başında ise kişisel verilerin korunması ve gizliliği gelmektedir. Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde, yapay zekâ sistemlerinin kişisel verileri işlemesi, hem veri sorumluları hem de bireyler için karmaşık bir alan oluşturmaktadır. Yapay zekâ kullanımı KVKK’ya aykırı mı, yoksa belirli şartlar altında yasal bir zemin bulabiliyor mu? Bu makale, bu kritik soruyu detaylı bir şekilde ele alarak, yeni düzenlemeler, olası riskler ve cezai sorumluluklar hakkında kapsamlı bir rehber sunmaktadır.

Yapay Zekâ ve Kişisel Verilerin Korunması Kanunu (KVKK) İlişkisi

Yapay zekâ sistemleri, öğrenme, tahmin etme ve karar verme süreçlerini gerçekleştirebilmek için büyük miktarda veriye ihtiyaç duyar. Bu veriler arasında, genellikle kişisel veriler de yer almaktadır. Bir kişinin kimliğini doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilgi olarak tanımlanan kişisel veriler, KVKK kapsamında sıkı koruma altındadır. YZ’nin kişisel verileri işlemesi, bu verilerin toplanmasından depolanmasına, analizinden paylaşımına kadar her aşamada KVKK hükümlerine uygunluk gerektirmektedir.

KVKK’nın temel amacı, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Yapay zekâ uygulamaları, bu amaç doğrultusunda, veri minimizasyonu, şeffaflık, amaçla sınırlılık ve veri güvenliği gibi temel ilkelere riayet etmek zorundadır.

YZ Uygulamalarında Veri İşleme Şartları

KVKK, kişisel verilerin işlenebilmesi için belirli şartlar öngörmektedir. Yapay zekâ sistemleri aracılığıyla veri işleme faaliyetlerinde de bu şartların sağlanması zorunludur:

* Açık Rıza: Kişisel verilerin işlenmesi için en temel şartlardan biri, ilgili kişinin özgür iradesiyle, bilgilendirilmiş bir şekilde verdiği açık rızadır. Yapay zekâ sistemlerinin veri toplama ve işleme süreçlerinde, bireylerden bu rızanın usulüne uygun şekilde alınması ve istendiğinde geri çekilebilme imkanının sunulması büyük önem taşır. Ancak, YZ sistemlerinin karmaşık yapısı ve sürekli öğrenme süreci, açık rızanın kapsamını belirlemede zorluklar yaratabilir.
* Kanunlarda Açıkça Öngörülmesi: Bazı durumlarda, kişisel verilerin işlenmesi kanunla açıkça düzenlenmiş olabilir. Örneğin, bir YZ sisteminin yasal bir yükümlülüğü yerine getirmek amacıyla veri işlemesi bu kapsama girebilir.
* Sözleşmenin Kurulması veya İfası: İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi mümkündür. YZ destekli müşteri hizmetleri veya sözleşme yönetimi uygulamaları bu şarta dayanabilir.
* Hukuki Yükümlülük: Veri sorumlusunun hukuki bir yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması.
* Meşru Menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması. YZ geliştirme ve optimizasyon süreçlerinde bu şart sıkça gündeme gelir. Ancak, meşru menfaatin gerçekten var olup olmadığı ve bireyin haklarına üstün gelip gelmediği dikkatle değerlendirilmelidir.
* Fiili İmkânsızlık: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

Özel Nitelikli Kişisel Veriler ve Yapay Zekâ

KVKK, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri “özel nitelikli kişisel veriler” olarak tanımlar ve bunların işlenmesi için çok daha sıkı şartlar arar. Yapay zekâ sistemlerinin, özellikle sağlık, biyometri veya genetik alanlarında kullanılması durumunda, bu tür verilerin işlenmesi için ya ilgili kişinin açık rızası ya da kanunlarda açıkça öngörülmüş bir durumun varlığı zorunludur. Aksi takdirde, ciddi hukuki yaptırımlarla karşılaşılması kaçınılmazdır.

Yapay Zekâya Yönelik Yeni Düzenlemeler ve Uluslararası Yaklaşımlar

Yapay zekânın hızla gelişen doğası, mevcut yasal çerçevelerin yetersiz kalabileceği endişesini doğurmuştur. Bu nedenle, dünya genelinde YZ’ye özel düzenlemeler geliştirme çabaları hız kazanmıştır.

Avrupa Birliği Yapay Zekâ Yasası (AI Act)

Avrupa Birliği, yapay zekâ teknolojilerine yönelik dünyanın ilk kapsamlı yasal çerçevesi olan Yapay Zekâ Yasası’nı (AI Act) kabul etmiştir. Bu yasa, yapay zekâ sistemlerini risk seviyelerine göre sınıflandırarak (kabul edilemez risk, yüksek risk, sınırlı risk ve minimal risk) farklı yükümlülükler getirmektedir. Özellikle yüksek riskli YZ sistemleri (örneğin, istihdam, eğitim, kritik altyapılar, hukuki süreçler gibi alanlarda kullanılanlar) için veri yönetimi, şeffaflık, insan denetimi ve güvenlik gibi konularda katı kurallar öngörülmektedir. AB’nin bu yaklaşımı, KVKK gibi veri koruma yasalarıyla entegre bir şekilde çalışarak, kişisel verilerin YZ uygulamalarında daha güçlü bir şekilde korunmasını hedeflemektedir. Türkiye’nin AB ile olan yakın ilişkisi ve KVKK’nın GDPR’dan (Genel Veri Koruma Tüzüğü) esinlenmiş olması, gelecekte Türkiye’de de benzer düzenlemelerin gündeme gelebileceğine işaret etmektedir.

Türkiye’deki Gelişmeler ve Beklentiler

Türkiye’de henüz YZ’ye özgü kapsamlı bir yasa bulunmamaktadır. Ancak, Kişisel Verileri Koruma Kurumu (KVKK), yapay zekâ ve kişisel verilerin korunması konularında rehberler yayımlamakta ve farkındalık çalışmalarını sürdürmektedir. Mevcut KVKK hükümleri, YZ uygulamalarında kişisel veri işleme faaliyetlerinin yasal zeminini oluşturmaktadır. Ancak, YZ’nin kendine özgü riskleri (örneğin, algoritmik ayrımcılık, “kara kutu” sorunu, otomatik karar alma süreçleri) göz önüne alındığında, gelecekte AB’deki gelişmelere paralel olarak veya ulusal ihtiyaçlar doğrultusunda özel YZ düzenlemelerinin yapılması beklenmektedir. Bu düzenlemelerin, özellikle otomatik karar alma, açıklanabilirlik ve şeffaflık ilkelerine odaklanması muhtemeldir.

Yapay Zekâ Kullanımında Riskler ve Cezai Sorumluluklar

Yapay zekâ sistemlerinin kişisel verileri işlemesi, bir dizi riski de beraberinde getirir. Bu risklerin gerçekleşmesi halinde, veri sorumluları ciddi idari para cezaları ve hatta cezai sorumluluklarla karşı karşıya kalabilirler.

Veri İhlalleri ve Güvenlik Açıkları

Yapay zekâ modellerinin eğitildiği veya kullanıldığı veri setlerinde meydana gelebilecek güvenlik ihlalleri, milyonlarca kişinin kişisel verilerinin sızmasına yol açabilir. Siber saldırılar, kötü niyetli yazılımlar veya sistemdeki zafiyetler nedeniyle veri bütünlüğü, gizliliği veya erişilebilirliği bozulabilir. KVKK kapsamında, veri sorumluları, kişisel verilerin güvenliğini sağlamak amacıyla her türlü teknik ve idari tedbiri almakla yükümlüdür. Bir veri ihlali durumunda, Kuruma ve ilgili kişilere bildirim yükümlülüğü bulunmaktadır. Bu yükümlülüklerin yerine getirilmemesi veya yeterli güvenlik önlemlerinin alınmaması, idari para cezalarına yol açabilir.

Algoritmik Ayrımcılık ve Önyargı

Yapay zekâ sistemleri, eğitildikleri verilerdeki önyargıları yansıtabilir ve hatta pekiştirebilir. Bu durum, bireyler arasında ırk, cinsiyet, yaş veya diğer hassas kategorilere dayalı ayrımcılığa yol açan algoritmik kararlar alınmasına neden olabilir. Örneğin, bir işe alım YZ’sinin belirli bir demografik grubu sürekli olarak dışlaması veya kredi başvurularında ayrımcı sonuçlar üretmesi hukuki ve etik sorunlar yaratır. KVKK, kişisel verilerin hukuka aykırı işlenmesini yasakladığı gibi, ayrımcılık yasağını da temel bir ilke olarak benimser. Bu tür bir ayrımcılığın tespit edilmesi, ciddi hukuki yaptırımların yanı sıra, veri sorumlusunun itibarına da büyük zarar verebilir.

Şeffaflık, Açıklanabilirlik ve Otomatik Karar Alma

Yapay zekâ sistemlerinin “kara kutu” doğası, nasıl karar verdiklerini anlamayı zorlaştırır. KVKK’nın 11. maddesi uyarınca, ilgili kişilerin kişisel verilerinin otomatik sistemler aracılığıyla analiz edilmesi sonucunda kendileri aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı bulunmaktadır. Yapay zekâ tabanlı otomatik karar alma süreçlerinde, bireylere kararın nedenleri hakkında bilgi verilmesi ve itiraz mekanizmalarının sunulması zorunludur. Bu şeffaflık ve açıklanabilirlik yükümlülüğünün yerine getirilmemesi, hukuki ihlallere neden olabilir.

KVKK İhlalinde Uygulanacak Yaptırımlar

KVKK’ya aykırı yapay zekâ kullanımı durumunda, veri sorumluları hakkında çeşitli yaptırımlar uygulanabilir:

* İdari Para Cezaları: KVKK’nın 18. maddesi uyarınca, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi, veri güvenliği tedbirlerini almaması, Kurul kararlarını yerine getirmemesi veya veri siciline kayıt ve bildirim yükümlülüğünü ihlal etmesi gibi durumlarda, ihlalin niteliğine göre on binlerce ila milyonlarca Türk Lirası arasında değişen idari para cezaları uygulanabilir.
* Cezai Sorumluluk: Türk Ceza Kanunu’nun (TCK) 135 ila 140. maddeleri arasında düzenlenen “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” kapsamında, kişisel verileri hukuka aykırı olarak kaydetme, ele geçirme, yayma veya yok etme fiilleri için hapis cezaları öngörülmüştür. Yapay zekâ sistemleri aracılığıyla bu suçların işlenmesi halinde, ilgili gerçek kişiler hakkında cezai kovuşturma başlatılabilir.

Veri Sorumlularının Yükümlülükleri ve Alınması Gereken Önlemler

Yapay zekâ teknolojilerini kullanmayı planlayan veya kullanan veri sorumlularının, KVKK ve ilgili diğer mevzuata uyum sağlamak için proaktif adımlar atması gerekmektedir.

* Veri Koruma Etki Değerlendirmesi (DPIA): Özellikle yüksek riskli yapay zekâ projeleri için, veri işleme faaliyetlerinin kişisel veriler üzerindeki potansiyel etkilerini değerlendiren bir DPIA yapılması kritik öneme sahiptir. Bu değerlendirme, riskleri önceden belirlemeye ve azaltmaya yardımcı olur.
* Aydınlatma Yükümlülüğü: İlgili kişilerin, kişisel verilerinin YZ sistemleri tarafından hangi amaçlarla, nasıl işlendiği, kimlerle paylaşıldığı ve hakları konusunda açık, anlaşılır ve şeffaf bir şekilde bilgilendirilmesi zorunludur.
* Rıza Yönetimi: Açık rıza gerektiren durumlarda, rızanın geçerli bir şekilde alındığından, belgelendirildiğinden ve kolayca geri çekilebildiğinden emin olunmalıdır.
* Veri Minimasyonu ve Anonimleştirme/Takma Adla İşleme: Yapay zekâ sistemlerinin yalnızca gerekli olan en az miktarda kişisel veriyi işlemesi sağlanmalı, mümkün olduğunca anonimleştirilmiş veya takma adla işlenmiş veriler kullanılmalıdır.
* Güvenlik Tedbirleri: YZ sistemlerinde işlenen kişisel verilerin güvenliğini sağlamak için teknik (şifreleme, erişim kontrolü, sızma testleri vb.) ve idari (politika, eğitim, denetim vb.) önlemler alınmalıdır.
* Şeffaflık ve Açıklanabilirlik Mekanizmaları: Otomatik karar alma süreçlerinde, bireylere kararın arkasındaki mantığı açıklayacak ve itiraz etme imkanı sunacak mekanizmalar geliştirilmelidir.
* Düzenli Denetim ve Uyum: YZ sistemlerinin KVKK’ya uyumluluğu düzenli olarak denetlenmeli, iç ve dış denetimlerle eksiklikler tespit edilerek giderilmelidir.

Yapay zekâ, sunduğu fırsatlarla birlikte, kişisel verilerin korunması alanında önemli zorluklar da barındırmaktadır. Bu teknolojinin yasalara uygun ve etik bir şekilde kullanılması, hem bireylerin haklarını korumak hem de işletmelerin hukuki risklerini minimize etmek açısından hayati öneme sahiptir. Veri sorumlularının, yapay zekâ projelerini KVKK ve ilgili uluslararası standartlar ışığında dikkatle planlaması, gerekli teknik ve idari önlemleri alması ve bu süreçte hukuki danışmanlık hizmeti alması, olası yaptırımlardan korunmak ve güvenilir bir dijital gelecek inşa etmek için vazgeçilmezdir.