Yapay zekâ ve veri toplama çalışmaları, kişilerin temel hak ve özgürlüklerini korumalı
Kişisel Verileri Koruma Kurumu (KVKK), ‘Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler Rehberi’ni yayımladı. Doküman hazırlanırken, Avrupa Konseyi İnsan Hakları ve Hukukun Üstünlüğü Genel Müdürlüğü tarafından yayımlanmış olan ‘Yapay Zekâ ve Kişisel Verilerin Korunması Rehber İlkeleri’, OECD tarafından hazırlanan ‘OECD Yapay Zekâ Konseyi Önerileri’ ve Avrupa Konseyi’nin ‘Güvenilir Yapay Zekâ için Taslak Etik Kuralları’ çalışmalarından faydalanıldı.
‘Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler Rehberi’; yapay zekâ alanında faaliyet gösteren, geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar için ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’ kapsamında kişisel verilerin korunması amacına yönelik önerileri içeriyor. Rehberin amaç ve dayanığı ise şu şekilde aktarılıyor: “Türk Dil Kurumu Sözlüğünde ‘Zekâ’ sözcüğü ‘insanın düşünme, akıl yürütme, objektif gerçekleri algılama, yargılama ve sonuç çıkarma yeteneklerinin tamamı’ olarak tanımlanmakta. İnsan, duyuları vasıtasıyla çevreden topladığı verileri beyninde işler ve zekâsı vasıtasıyla bu verilerden faydalı bilgiler üretir. Bu bakımdan insan; bir nevi veri toplama ve işleme sistemi gibi düşünülebilir.
Yapay zekâ ise; insana özgü bu özelliklerin analiz edilerek makinelere kazandırılması olup, insan gibi düşünebilen, yorumlayabilen ve kararlar verebilen algoritmaların ve bilgisayar yazılımlarının geliştirilmesiyle ilgilenmekte. Günümüzde yapay zekâ teknikleri ve uygulamalarında büyük ilerleme kaydedildi ve yapay zekâ tabanlı sistemler birçok alanda yaşamı doğrudan etkilemeye başladı. Yapay zekâ, bireyler ve toplum için önemli faydalar üretmekle birlikte, bireyin temel hak ve özgürlükleri kapsamında kişisel verilerin korunmasını isteme hakkı bakımından doğru biçimde yönetilmelidir. Kişisel veri işlemeyi temel alan yapay zekâ çalışmaları ve uygulamaları ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu’na ve ikincil mevzuata uygun olmalıdır. Bu doküman, yapay zekâ alanında yapılan/yapılacak çalışmalara yönelik tavsiyeleri içermekte ve söz konusu çalışmalar kapsamında kişisel verilerin korunması hususunda açıklık sağlanmasını hedefliyor.”
Her projeye özel bir veri koruma uyum programı oluşturulmalı ve uygulanmalı
Yapay zekâ alanındaki geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcıları kapsayan bu dokümanda yapay zekâ uygulamalarında kişisel verilerin korunmasına dair tavsiyeler bulunuyor. Rehberdeki ‘Genel Tavsiyeler’ şöyle sıralanmakta: Yapay zekâ uygulamalarının geliştirilmesi ve uygulanması sürecinde ilgili kişilerin temel hak ve özgürlüklerine saygı gösterilmeli, hak ihlaline meydan verilmemeli. İnsan hakları ve temel özgürlüklerin himayesi ile insan onurunun korunması hakkı gözetilmeli. Kişisel veri işleme temelli yapay zekâ ve veri toplama çalışmaları; kişilerin temel hak ve özgürlüklerini koruyan bir yaklaşım içerisinde hukuka uygunluk, dürüstlük, ölçülülük, hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleriyle veri güvenliği yaklaşımına dayalı olmalı. Kişisel verilerin işlenmesinde; potansiyel risklerin önlenmesi ve azaltılması üzerine odaklanan, insan haklarını, demokrasinin işleyişini, sosyal ve etik değerleri de göz önünde bulunduran bir bakış açısı benimsenmeli. Veri işleme faaliyetinin bireyler ve toplum üzerine etkileri değerlendirildiğinde ilgili kişi açısından kontrolü mümkün olmalı.
Kişisel veri işleme temelli yapay zekâ çalışmalarında, kişisel verilerin korunması açısından yüksek risk öngörülüyorsa, mahremiyet etki değerlendirmesi uygulanmalı ve veri işleme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmeli. Kişisel veri işleme esaslı yapay zekâ çalışmalarında ilk aşamadan itibaren kişisel verilerin korunması mevzuatına uyum sağlanmalı ve tüm sistemler tasarımdan itibaren veri koruma ilkesine göre geliştirilmeli ve yönetilmeli. Bu kapsamda her projeye özel bir veri koruma uyum programı oluşturulmalı ve uygulanmalı. Kişisel veri işleme esaslı yapay zekâ teknolojileri geliştirilirken ve uygulanırken özel nitelikli kişisel veri işleniyorsa özel veri koruma kuralları olduğu göz önüne alınarak teknik ve idari tedbirler daha sıkı şekilde uygulanmalı. Yapay zekâ teknolojilerinin geliştirilmesi ve uygulanmasında aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, verilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilmeli. Kişisel veri işleme esaslı yapay zekâ çalışmalarının farklı paydaşlarının veri sorumlusu veya veri işleyen olma statüleri projenin başında belirlenerek aralarındaki hukuki ilişki veri koruma mevzuatı ile uyumlu hale getirilmeli.”
Geliştiriciler, üreticiler ve servis sağlayıcılara tavsiyeler
‘Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler Rehberi’nde; ‘Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler’ de yer almakta: Tasarımda, ulusal ve uluslararası düzenleme ve/veya belgelerle tutarlı olarak kişisel veri mahremiyetini esas alan bir yaklaşım gözetilmeli. Temel hak ve özgürlükler üzerindeki muhtemel olumsuz sonuçlar gözetilerek uygun risk önleme ve azaltma tedbirlerine dayalı ihtiyatlı bir yaklaşım benimsenmeli. Veri toplama da dâhil olmak üzere veri işlemenin her aşamasında, temel hak ve özgürlükler gözetilerek, ilgili kişiler üzerinde meydana gelebilecek ayrımcılık riski veya diğer olumsuz etkiler ve önyargılar önlenmeli. Kullanılan kişisel verilerin kalitesi, niteliği, kaynağı, miktarı, kategori ve içeriği değerlendirilerek asgari veri kullanımına gidilmeli; geliştirilen modelin doğruluğu sürekli izlenmeli. Bağlamından koparılmış algoritma modelleri, bireyler ve toplum üzerinde olumsuz etkilere sebep olma riski açısından dikkatle değerlendirilmeli. İnsan hakları temelli, etik ve sosyal yönelimli yapay zekâ uygulamalarının tasarlanmasına ve potansiyel önyargıların tespit edilmesine katkıda bulunabilecek akademik kurumlarla irtibata geçilmeli; şeffaflık ve paydaş katılımının zor olabileceği alanlarda tarafsız uzman kişi ve kuruluşların görüşü alınmalı. Bireylere, görüşlerini ve kişisel gelişimlerini etkileyen teknolojilere dayalı işlemelerle ilgili itiraz hakkı tanınmalı. Yapay zekâ sistemlerinin kişisel verileri analiz etme ve kullanma gücü göz önüne alındığında, kişisel verilerin işlenmesinde, ilgili kişilerin ulusal ve uluslararası mevzuattan doğan hakları korunmalı. Uygulamalardan özellikle etkilenmesi muhtemel olan bireylerin ve grupların aktif katılımına dayalı risk değerlendirmesi teşvik edilmeli. Bireylerin münhasıran kendi görüşleri dikkate alınmaksızın otomatik işlemeye dayalı olarak kendilerini etkileyecek bir karara maruz kalmamalarını sağlayacak ürün ve hizmetler tasarlanmalı. Üretimde kişilik haklarına daha az müdahale eden alternatifler de sunulmalı, kullanıcıların seçim yapma özgürlüğü güvence altına alınmalı. Ürün ve hizmetlerin tasarımından başlayarak yaşam döngüsü boyunca kişisel verilerin korunması hukukuna uygunluk açısından tüm paydaşlar için hesap verebilirliği sağlayacak algoritmalar benimsenmeli. Kullanıcının veri işleme faaliyetini durdurabilme hakkı tanınmalı ve kullanıcılara ait verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi imkânı tasarlanmalı. Uygulama ile etkileşime giren kişiler, kişisel veri işleme faaliyetinin gerekçeleri, kişisel verilerin işlenmesinde kullanılan yöntemlerin detaylarıyla muhtemel sonuçları hakkında aydınlatılmalı ve gerekli haller için etkili bir veri işleme onay mekanizması tasarlanmalı.
‘İnsan hakları, etik, sosyolojik, psikolojik etki araştırmaları’nı destekleyen bir yapay zekâ…
‘Karar Alıcılar İçin Tavsiyeler’ ise şu şekilde aktarılıyor: Hesap verebilirlik ilkesi tüm aşamalarda gözetilmeli. Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürleri benimsenmeli ve sektör/uygulama/donanım/yazılım temelinde bir uygulama matrisi oluşturulmalı. Davranış kuralları ve sertifikasyon mekanizmaları gibi uygun önlemler alınmalı. Yapay zekâ modellerinin farklı bir bağlam veya amaç için kullanılıp kullanılmadığını izlemek üzere karar alıcılar tarafından yeterli kaynak ayrılmalı. Karar alma süreçlerinde insan müdahalesinin rolü tesis edilmeli. Bireylerin, yapay zekâ uygulamalarıyla sunulan önerilerin sonucuna güvenmeme özgürlüğü korunmalı. İlgili kişilerin temel hak ve özgürlüklerini önemli ölçüde etkileme ihtimali ortaya çıktığında denetim otoritelerine mutlaka başvurulmalı. Denetim otoriteleri ve yetkili diğer kuruluşlar arasında, veri mahremiyeti, tüketicinin korunması, rekabetin geliştirilmesi ve ayrımcılıkla mücadele konularında iş birliği teşvik edilmeli. Yapay zekâ uygulamalarının insan hakları, etik, sosyolojik ve psikolojik etkilerini ölçme temelli uygulama araştırmaları desteklenmeli. Bireyler, gruplar ve paydaşlar bilgilendirilerek yapay zekânın büyük veri sistemleriyle birlikte, sosyal dinamikleri şekillendirmede ve onları etkileyen karar verme süreçlerinde oynayacağı rolün tartışılması konusunda aktif olarak yer almaları sağlanmalı. Verilerin güvenli, adil, yasal ve etik paylaşımını destekleyen dijital ekosistemin oluşturulabilmesi için açık yazılım tabanlı uygun mekanizmalar teşvik edilmeli. İlgili kişiler bakımından yapay zekâ uygulamalarını ve etkilerini anlama konusunda farkındalığı artırmak için dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılmalı. Uygulama geliştiriciler için kişisel verilerin korunması farkındalığı oluşturmak bağlamında veri mahremiyeti çerçevesinde eğitimler teşvik edilmeli.