Güncel BilgilerYapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler

Kişisel Verileri Koruma Kurumu, “Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” Rehberi Yayımladı.

Kişisel Verileri Koruma Kurumu, “Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” başlıklı rehberi (“Rehber”) 15.09.2021 tarihinde yayımladı.

Rehber, Avrupa Konseyi İnsan Hakları ve Hukukun Üstünlüğü Genel Müdürlüğü’nün “Yapay Zekâ ve Kişisel Verilerin Korunması Rehber İlkeleri”, Ekonomik Kalınma ve İşbirliği Örgütü’nün (“OECD”) “OECD Yapay Zekâ Konseyi Önerileri” ve Avrupa Konseyi’nin “Güvenilir Yapay Zekâ için Taslak Etik Kuralları” çalışmalarından faydalanılarak hazırlanmıştır.

Rehber öncelikle, büyük ilerleme kaydedilen yapay zekâ teknikleri ve uygulamalarının, yaşamın birçok alanını doğrudan etkilemeye başlaması dolayısıyla kişisel verilerin korunması kapsamında doğru bir şekilde yönetilmesi gerekliliğine değinmektedir. Bu çerçevede, yapay zekâ çalışmaları ve uygulamaları 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuata (hep beraber “KVK Mevzuatı”) uygun olmalıdır.

Rehberde genel tavsiyelerin ardından, yapay zekâ alanındaki geliştiriciler, üreticiler, servis sağlayıcılar ile karar alıcılar tarafından yapay zekâ uygulamalarında kişisel verilerin korunmasına ilişkin birtakım tavsiyeler bulunmaktadır.

Rehberdeki “Genel Tavsiyeler” çerçevesinde yapay zekâ uygulama ve geliştirilme süreçlerinde:

1. İlgili kişilerin temel hak ve özgürlüklerine saygı gösterilmesi ve insan onurunun korunması hakkının gözetilmesi;
2. Veri toplama çalışmalarının hukuka uygunluk, ölçülülük, hesap verilebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olması;
3. Kişisel veriler işlenirken potansiyel risklerin önlenmesi ve azaltılması üzerine odaklanan, insan haklarını, demokrasinin işleyişini, sosyal ve etik değerleri de göz önünde bulunduran bir bakış açısı benimsenmesi;
4. Kişisel veri işleme faaliyetinin ilgili kişi tarafından kontrolünün mümkün olması;
5. Gerekli hallerde mahremiyet etki değerlendirmesi uygulanması;
6. İlk aşamadan itibaren KVK Mevzuatına uyum sağlanması ve her proje özelinde bir uyum programı oluşturulması;
7. Özel nitelikli kişisel verilere ilişkin sıkı teknik ve idari tedbirlerin alınması; 
8. Mümkün olduğu ölçüde kişisel verilerin anonimleştirilerek kullanılması;
9. Paydaşların veri sorumlusu ve veri işleyen rollerinin baştan belirlenerek, aralarındaki hukuki ilişkinin KVK Mevzuatı ile uyumlu hale getirilmesi

önerilmektedir. 

Rehberde “Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler” başlığı altında, yapay zekâ uygulama ve geliştirilme süreçlerinde:

1. Kişisel veri mahremiyetine ulusal ve uluslararası düzenlemelerle tutarlı olacak şekilde önem gösterilmesi;
2. Temel hak ve özgürlüklerin korunması amacıyla uygun risk önleme ve azaltma tedbirlerinin göz önüne alınması;
3. Kişisel veri işlemenin her aşamasında, ilgili kişilerin herhangi bir şekilde ayrımcılık veya diğer olumsuz etki ve önyargılara maruz kalmasının önlenmesi;
4. Veri minimizasyonu ilkesinin uygulanması;
5. Bağlamından kopmuş algoritmaların, bireyler ve toplum üzerinde olumsuz etkilere sebep olma riskinin dikkatle değerlendirilmesi;
6. İnsan hakları temelli, etik ve sosyal yönelimli yapay zekâ uygulaması tasarlanması aşamasında ilgili akademik kurumlar, tarafsız uzman kişi ve kuruluşlarla iş birliği yapılması;
7. İlgili kişilere, görüş ve kişisel gelişimlerini etkileyen teknolojilere dayalı kişisel veri işleme faaliyetleri için itiraz hakkı tanınması;
8. Uygulamalardan etkilenmesi muhtemel ilgili kişilerin aktif katılımına dayalı risk değerlendirmesinin teşvik edilmesi;
9. İlgili kişilerin, otomatik kişisel veri işlemeye dayalı süreçlerden etkilenecekleri bir karara maruz kalmasını engelleyecek mekanizmaların tasarlanması; 
10. Kullanıcıların seçim yapma özgürlüğünü temin etmek amacıyla kişilik haklarına daha az müdahale eden alternatiflerin sunulması;
11. Yapay zekâ yaşam döngüsü boyunca tüm paydaşlar açısından KVK Mevzuatı uyarınca hesap verilebilirliğin sağlanması;
12. Kullanıcılara kişisel veri işleme faaliyetini durdurabilme hakkının ve kendilerine ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi imkânı tanınması;
13. İlgili kişilerin KVK Mevzuatı uyarınca aydınlatılması ve gerekli haller için onay alınması mekanizmalarının tasarlanması 

tavsiye edilmektedir. 

Son olarak, Rehberin “Karar Alıcılar İçin Tavsiyeler” başlığı altında ise, yapay zekâ uygulama ve geliştirilme süreçlerine ilişkin olarak:

1. Tüm aşamalarda hesap verilebilirlik ilkesinin gözetilmesi;
2. Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürlerinin benimsenmesi ve uygulama matrislerinin oluşturulması;
3. Davranış kuralları ve sertifikasyon mekanizmaları için önlem alınması;
4. Bireylerin yapay zekâ uygulamaları tarafından sunulan önerilere güvenmeme özgürlüğünün korunması;
5. İlgili kişilerin temel hak ve özgürlüklerinin önemli ölçüde etkilenmesi ihtimalinde denetim otoritelerine başvurulması;
6. Denetim otoriteleri ve yetkili kuruluşlar arasında iş birliğinin teşvik edilmesi;
7. Bireylerin, grupların ve paydaşların yapay zekanın sosyal dinamikleri ve karar mekanizmalarını şekillendirmesi konusunda bilgilendirilmesi ve bu tartışmalarda aktif yer almalarının sağlanması;
8. Kişisel verilerin KVK Mevzuatına uygun şekilde işlenmesinin sağlamasını destekleyen dijital ekosistemin oluşturulması için açık yazılım tabanlı mekanizmaların teşvik edilmesi; 
9. Yapay zekâ ve kişisel veri mahremiyeti konusunda farkındalık oluşturmak amacıyla dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılması ve eğitimlerin teşvik edilmesine

değinilmektedir.  

Rehberin tam metnine aşağıdaki linkten ulaşabilirsiniz. 

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/25a1162f-0e61-4a43-98d0-3e7d057ac31a.pdf