KVKK ve GDPR ÇERÇEVESİNDE YAPAY ZEKA SİSTEMLERİNİN HUKUKİ İNCELEMELERİ

Giriş 

Hepimizin deneyimlediği  gibi Yapay zekâ (“YZ”), 21. yüzyılın en önemli teknolojik gelişmelerinden biri olarak hukuk, ekonomi, siyaset ve toplumsal yaşam üzerinde köklü etkiler yaratmaktadır. Geliştirilen YZ sistemleri yalnızca teknik araçlar olarak değil, aynı zamanda karar alma süreçlerinde belirleyici aktörler haline gelmiştir.  

Bu noktada, kişisel verilerin korunması hukuku ile YZ teknolojileri arasında doğrudan bir kesişim alanı bulunmaktadır. Çünkü YZ sistemleri, öğrenme süreçlerini ve işlevselliklerini büyük ölçüde veri setleri üzerinden inşa etmektedir. Bu veri setlerinin önemli bir kısmı, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin bilgilerden oluşmaktadır. Dolayısıyla, YZ’nin hukuka uygun işleyişi, doğrudan kişisel verilerin korunması hukukuna uyumla mümkündür. 

A. Teorik Çerçeve 

1. Yapay Zekâ ve Hukuk İlişkisi 

YZ, temelde insan zekâsını taklit eden ve makine öğrenmesi, derin öğrenme gibi yöntemlerle öğrenme, karar alma ve tahmin yapma yeteneğine sahip sistemleri ifade eder. YZ’nin bağımsız karar mekanizması, doğrudan bireylerin kişisel verilerini işleyebilmesine ve temel haklarını etkileyebilmesine  neden olabilir. 

2. Kişisel Verilerin Korunması Hukuku 

Kişisel verilerin korunması, bireyin mahremiyet hakkı ile doğrudan ilişkilidir. Avrupa İnsan Hakları Sözleşmesi’nin (“AİHS”) 8. maddesi, özel hayatın ve aile hayatının korunmasını güvence altına alırken; Birleşmiş Milletler Medeni ve Siyasi Haklar Sözleşmesi de benzer bir koruma öngörmektedir. 

Kişisel Verilerin Korunması Kanunu (“KVKK”), bireylerin kişisel verilerinin işlenmesinde temel ilkeleri ve veri sorumlularının yükümlülüklerini belirlemiştir. Avrupa Birliği’nde ise 2018’de yürürlüğe giren Genel Veri Koruma Tüzüğü (“GDPR”), küresel ölçekte en kapsamlı veri koruma rejimi olarak kabul edilmektedir. 

B. Yapay Zekâ Sistemlerinin Kişisel Veri İhlallerine Yönelik Hukuki Rejimi 

Hukuk düzeni, kişisel verilerin korunmasını salt teknik bir mesele olarak değil, aynı zamanda bireylerin kişilik haklarının korunması olarak değerlendirmektedir. YZ sistemleri, kişisel verileri işlerken ihlalde bulunduğunda yalnızca veri koruma mevzuatına aykırılık değil, aynı zamanda anayasal düzeyde güvence altına alınmış hakların ihlali de söz konusu olur. 

1. KVKK Kapsamında Hukuki Rejim 

KVKK, YZ’nin doğurabileceği sorumlulukları doğrudan düzenlememekle birlikte, genel veri işleme faaliyetlerine ilişkin hükümleri nedeniyle dolaylı olarak uygulanmaktadır. 

a.KVKK m. 11(1)(g): Bireyler, münhasıran otomatik sistemler vasıtasıyla işlenen veriler sonucunda aleyhlerine doğan sonuçlara itiraz etme hakkına sahiptir. Bu hüküm, YZ algoritmalarının ürettiği otomatik kararları doğrudan hedeflemektedir. Örneğin bir işe alım algoritmasının başvuruyu reddetmesi durumunda aday, bu karara itiraz edebilir. 

b. KVKK m. 12: Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere yetkisiz erişimi engellemek ve verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlüdür. YZ projelerinde kullanılan büyük veri setleri hassas veriler içerebildiğinden, güvenlik tedbirlerinin yetersizliği halinde ciddi sorumluluk doğabilir. 

c. KVKK m. 14(3): “Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.” hükmü, veri ihlalleri nedeniyle zarar görenlerin 6698 sayılı Türk Borçlar Kanunu ve sair mevzuat hükümleri çerçevesinde maddi ve manevi tazminat talep edebilmesine imkân tanır. 

d. İdari yaptırımlar: KVKK, Kişisel Verileri Koruma Kurulu’na idari para cezası verme yetkisi tanımaktadır. YZ uygulamaları nedeniyle yaşanacak veri ihlallerinde bu tür yaptırımlar da gündeme gelebilir. 

Bununla birlikte, KVKK’nın sınırlılığı dikkat çekmektedir. Kanun, algoritmik önyargı, ayrımcılık veya şeffaflık eksikliği gibi YZ’ye özgü sorunlara doğrudan cevap vermemektedir. 

2. GDPR Kapsamında Hukuki Rejim 

GDPR, yapay zekâ uygulamalarını doğrudan hedef almamakla birlikte, sahip olduğu mekanizmalarla YZ bağlamında daha kapsamlı bir koruma sağlar. 

a. Madde 22 – Otomatik Kararlar: GDPR, bireylerin kendilerini etkileyen “münhasıran otomatik işleme dayalı kararlara” tabi olmama hakkını tanımaktadır. Bu düzenleme, KVKK’daki itiraz hakkına benzer olsa da daha ileri düzeydedir; nitekim birey yalnızca itiraz hakkına sahip değil, aynı zamanda bu tür kararlara tabi olmama hakkına da sahiptir. 

b. Hesap Verebilirlik İlkesi: GDPR’nin 5. maddesinde yer alan bu ilke, veri sorumlularının yalnızca veri koruma ilkelerine uymakla kalmayıp, bu uyumu kanıtlayabilir durumda olmalarını da zorunlu kılar. YZ sistemlerinde bu, algoritmanın nasıl çalıştığına dair “açıklanabilirlik” yükümlülüğü anlamına gelir. 

c. Veri Koruma Etki Analizi (“DPIA”): GDPR m. 35, yüksek riskli veri işleme faaliyetlerinde etki analizi yapılmasını zorunlu kılar. YZ projeleri genellikle yüksek riskli kategoride değerlendirilir. Bu mekanizma, KVKK’da bulunmayan önleyici bir güvence sağlar. 

d. Cezalar: GDPR, ihlaller için şirketin küresel cirosunun %4’üne veya 20 milyon Euro’ya kadar idari para cezası öngörmektedir. Bu yüksek cezalar, YZ projelerinde veri sorumlularını daha dikkatli olmaya zorlamaktadır. 

Her ne kadar KVKK ve GDPR, YZ sistemleri bağlamında doğrudan özel bir düzenleme içermese de GDPR’ın tanıdığı otomatik karar alma süreçlerine tabi olmama hakkı ve DPIA mekanizmaları KVKK’ya nazaran daha etkin bir koruma sağlamaktadır. Diğer taraftan GDPR, veri sorumlularına daha ağır yükümlülükler getirerek, yalnızca “ihlalleri cezalandırma” değil, aynı zamanda “önleme” amacını da gütmektedir. 

3. AB Yapay Zekâ Yasası (“AI Act”)  

Avrupa Birliği, 2021’de sunduğu ve 2024 itibarıyla kabul sürecine giren AI Act ile yapay zekâya özgü ilk kapsamlı düzenlemeyi hayata geçirmektedir. AI Act, YZ uygulamalarını risk temelli bir yaklaşımla sınıflandırmaktadır.  

a. Risk Temelli Yaklaşım 

AI Act’in en dikkat çekici yönü, yapay zekâ sistemlerini risk düzeylerine göre sınıflandırmasıdır. Buna göre; kabul edilemez risk taşıyan sistemlerin yasaklanması, yüksek riskli uygulamaların sıkı denetime tabi tutulması ve düşük riskli çözümler için daha esnek kurallar öngörülmektedir. Örneğin; yüz tanıma teknolojileri, biyometrik gözetim sistemleri veya kritik altyapılarda kullanılan yapay zekâ çözümleri, yüksek risk kategorisinde değerlendirilmekte ve ciddi güvenlik, şeffaflık ile hesap verebilirlik şartlarına bağlanmaktadır. 

b. Yenilik ve Rekabet Dengesi 

AI Act, yalnızca riskleri azaltmayı değil, aynı zamanda yeniliği desteklemeyi de hedeflemektedir. Düzenlemenin bir diğer amacı, Avrupa’daki girişimlerin ve araştırmacıların küresel rekabette geri kalmadan güvenilir yapay zekâ ürünleri geliştirebilmelerine uygun bir ortam yaratmaktır. Bu nedenle, regülasyonların fazla kısıtlayıcı olmaması, aynı zamanda etik standartları koruması yönünden büyük önem taşımaktadır. 

c. Küresel Etkiler 

AI Act, sadece Avrupa Birliği sınırları içinde değil, küresel ölçekte de etkiler yaratması beklenen düzenlemeler içermektedir. AB ile iş yapmak isteyen şirketler, ürün ve hizmetlerinde bu düzenlemelere uyum sağlamak zorunda kalacaktır. Bu durum, AI Act’in “Brüksel etkisi” olarak adlandırılan, AB regülasyonlarının dünya genelinde standart hâline gelmesi olgusunu güçlendirmektedir. 

C. Sonuç 

YZ teknolojilerinin sunduğu fırsatlar, bireylerin temel hak ve özgürlükleriyle dengelenmediğinde, mahremiyet, ayrımcılık yasağı ve adalet ilkeleri ciddi biçimde zedelenebilir. KVKK mevcut haliyle bireyleri belli ölçüde korusa da GDPR’nin önleyici ve güçlü yaklaşımı Türkiye için model teşkil etmektedir. 

Dolayısıyla, Türkiye’nin önümüzdeki dönemde yapay zekâya özgü düzenlemeler yapması kaçınılmaz görünmektedir. Bu düzenlemelerde, GDPR ve özellikle AB’nin AI Act yaklaşımından esinlenilmesi hem bireylerin haklarının etkin korunması hem de Türkiye’nin uluslararası veri koruma standartlarıyla uyumlu hale gelmesi açısından büyük önem taşımaktadır.