Anasayfa/ Makale/ Yapay Zekâda Kişisel Veri Kavramı ve Veri...

Makale

Yapay zekâ teknolojilerinin hızla gelişmesi, büyük veri analitiği süreçlerinde kişisel verilerin hukuka uygun işlenmesini zorunlu kılmaktadır. Bu makalede, yapay zekâ bağlamında kişisel veri tanımı, anonimleştirilmiş verilerin yeniden kişiselleştirilmesi riski ve veri işleme faaliyetlerinde uyulması gereken temel ilkeler incelenmektedir.

Yapay Zekâda Kişisel Veri Kavramı ve Veri İşleme İlkeleri

GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Günümüzde yapay zekâ teknolojileri, büyük veri analizi ile çalışarak çeşitli sektörlerde verimliliği önemli ölçüde artırmaktadır. Ancak bu sistemlerin çalışabilmesi için devasa boyutlarda veri kümelerine ihtiyaç duyulması, kişisel verilerin korunması ve mahremiyet hakları bağlamında ciddi hukuki tartışmaları beraberinde getirmektedir. Kişisel veri koruma hukuku, bireylerin kendi verileri üzerinde hakimiyet kurmasını ve bu verilerin adil bir şekilde işlenmesini hedefler. Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR), bu alanda küresel bir standart oluşturarak kişisel veri tanımını ve işleme ilkelerini belirlemiştir. Yapay zekâ sistemlerinin kapalı ve karmaşık yapısı, klasik hukuki kavramların yeniden yorumlanmasını gerektirmektedir. Özellikle verilerin toplanması, analiz edilmesi ve bu analizlerden yeni çıkarımlar elde edilmesi süreçlerinde, hukuka uygunluk, şeffaflık ve amaca bağlılık gibi temel veri işleme ilkeleri büyük bir titizlikle uygulanmalıdır. Bu çerçevede, hukuki düzenlemelerin teknolojik gelişmelere nasıl entegre edileceği, veri sorumlularının temel yükümlülükleri arasındadır.

Yapay Zekâ Bağlamında Kişisel Veri Kavramı

Hukuki mevzuata göre kişisel veri, kimliği belirlenmiş veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bir verinin bu kapsamda değerlendirilebilmesi için öncelikle gerçek kişiye ilişkin olma şartını taşıması gerekmektedir. Tüzel kişilere veya ölmüş şahıslara ait veriler kural olarak bu korumanın dışındadır; ancak tüzel kişilere ait veriler bir gerçek kişinin kimliğini açığa çıkarıyorsa (örneğin kurumsal e-posta adresi) bu durumda mevzuat kapsamına girer. Yapay zekâ sistemleri, hem doğrudan kişiyi tanımlayan verilerle hem de kişiyi dolaylı olarak tanımlanabilir kılan verilerle işlem yapar. Hukuki korumanın sınırlarını belirlerken, bir verinin kişiyi belirlenebilir kılması için harcanacak çabanın makul süre ve maliyet unsurları çerçevesinde değerlendirilmesi esastır. Bu geniş tanım, yeni teknolojilerin sunduğu veri işleme kapasitelerini kapsayacak şekilde esnek bir hukuki zemin oluşturmayı hedefler.

Anonim Verilerin Yeniden Kişiselleştirilmesi ve Çıkarımlar

Yapay zekâ ve büyük veri teknolojileri, veri kümelerini birleştirerek çapraz analizler yapma kabiliyetine sahiptir. Bu durum, anonim verilerin yeniden kişiselleştirilmesi riskini doğurmaktadır. Örneğin, anonimleştirildiği düşünülen bir film derecelendirme veri setinin başka bir platformdaki verilerle eşleştirilmesi sonucunda kullanıcıların kimliklerinin tespit edilebildiği görülmüştür. Dolayısıyla, bir verinin kişisel niteliği salt içeriğine göre değil, hangi bağlamda kullanıldığına ve diğer verilerle nasıl birleştirildiğine bakılarak belirlenmelidir. Ayrıca, yapay zekâ algoritmalarının veri işleme süreçleri sonucunda ulaştığı çıkarımlar da tartışmalı bir hukuki alandır. Bireylerin davranışlarından elde edilen sezgisel tahminlerin kişisel veri sayılıp sayılmayacağı konusunda, Avrupa Adalet Divanı'nın Nowak kararında olduğu gibi farklı görüşleri içeren incelemeler mevcuttur. Bu tür çıkarımlar, hukuki statülerinin netleştirilmesi açısından hayati önem taşımaktadır.

Yapay Zekâda Temel Veri İşleme İlkeleri

Kişisel verilerin yapay zekâ sistemleri tarafından işlenmesi, GDPR madde 5 kapsamında düzenlenen temel ilkelere sıkı sıkıya bağlıdır. Bunların başında hukuka uygunluk, adalet ve şeffaflık ilkesi gelir. Şeffaflık ilkesi gereği, veri öznesine sunulan bilgilendirmelerin kısa, kolay erişilebilir ve açık bir dille yapılması zorunludur. Yapay zekânın karmaşık algoritmik yapısı, karar süreçlerinin ve veri analizlerinin anlaşılabilirliğini zorlaştırarak şeffaflık ilkesi ile gerilim yaratabilmektedir. Adalet ilkesi ise, özellikle veri işleme faaliyetlerinde ayrımcılığa yol açabilecek önyargıların engellenmesini gerektirir. Veri sorumlusu, veri analizi süreçlerinde hata riskini en aza indirmek ve ayrımcı etkileri önlemek için uygun matematiksel ve istatistiki usulleri kullanmalı, gerekli teknik ve idari tedbirleri almalıdır.

Amacın Sınırlandırılması ve Veri Minimizasyonu

Bir diğer önemli kriter amacın sınırlandırılması ilkesidir. Bu ilke, kişisel verilerin belirli, açık ve meşru amaçlarla toplanmasını ve bu amaçlarla bağdaşmayan şekillerde daha sonraki işlemlere tabi tutulmamasını emreder. Ancak yapay zekâ sistemlerinin gelişimi, toplanan verilerin eğitim setlerinde veya yeni modellerde yeniden kullanılmasını gerektirebilir. Hukuki olarak bu yeniden kullanımın, orijinal toplama amacı ile uyumlu olup olmadığı titizlikle incelenmelidir. Eşzamanlı olarak uygulanan veri minimizasyonu ilkesi de, işlenen verilerin amaçla bağlantılı, sınırlı ve ölçülü olmasını şart koşar. Büyük veri analitiği olabildiğince geniş veri havuzlarına ihtiyaç duysa da, veri minimizasyonu sadece veri sayısının azaltılması değil, orantılılık kavramı çerçevesinde değerlendirilerek hukuka uygunluğun sağlanmasıdır.

Kişisel verilerin asıl toplanma amacı dışında yeniden kullanılmasının uyumluluğunu değerlendirirken dikkate alınacak hukuki kriterler şunlardır:

  • Kişisel verilerin ilk toplanma amaçları ile planlanan sonraki işleme amaçları arasındaki bağlantı.
  • Veri özneleri ve veri sorumlusu arasındaki ilişki bakımından kişisel verilerin toplandığı bağlam.
  • Özel kategorilerdeki kişisel verilerin işlenip işlenmediği başta olmak üzere verilerin mahiyeti.
  • Planlanan yeni işleme faaliyetinin veri özneleri bakımından doğurabileceği olası sonuçlar.
  • Şifreleme veya takma ad kullanımı gibi uygun güvenlik güvencelerinin mevcut olması.

Veri İşleme Şartları ve Hukuki Dayanaklar

Yapay zekâ teknolojilerinde verilerin işlenebilmesi için temel ilkelerin yanı sıra geçerli bir yasal dayanak bulunmalıdır. En yaygın hukuki dayanak olan veri öznesinin rızası, özgürce verilmiş, spesifik, aydınlatılmış ve açık bir irade beyanı olmalıdır. Ancak sosyal medya şirketleri veya arama motorları gibi platformların yarattığı güç dengesizliği, rızanın hukuki geçerliliğini zedeleyebilir. İkinci sıklıkla başvurulan dayanak ise meşru menfaat kuralıdır. Veri sorumlusunun hizmetleri kişiselleştirmesi veya verimliliği artırması gibi meşru menfaatleri bulunabilir. Yapay zekâ sisteminin model eğitimi sırasında kişisel verilerin istatistiksel bir parça olarak kullanılması meşru menfaat çerçevesinde değerlendirilebilirken; sistemin doğrudan bir birey hakkında çıkarım yapmak üzere girdi olarak kullanılması halinde veri öznesinin temel hak ve özgürlükleri ile çok daha hassas bir denge testi yapılması zorunludur.

5 dk okuma Yayınlanma: Güncelleme: