Yapay Zekâ Modelleri ve Kişisel Verilerin Korunması
Giriş
Avrupa Veri Koruma Kurulu ("Kurul"), yapay zekâ modelleri bağlamında kişisel verilerin işlenmesiyle ilgili temel veri koruma endişelerini ele alan 28/2024 sayılı Görüşü[1] yayınladı. İrlanda Veri Koruma Otoritesi’nin Avrupa Birliği Genel Veri Koruma Tüzüğü[2] (“GDPR”) madde 64(2) kapsamındaki talebine bir yanıt olarak hazırlanan Görüş, yapay zekâ teknolojilerinin yaygın kullanımını ile veri güvenliği alanında doğan zorlukları ve iyileştirme önerilerini yansıtır.
Arka plan
Görüş, Avrupa Ekonomik Alanı’nda yapay zekâ modellerine GDPR hükümlerinin yeknesak şekilde uygulanması yönünde artan ihtiyaçtan doğdu. Kuruluşların yapay zekâ teknolojisine her geçen gün daha sıklıkla başvurması, kişisel verilerin yapay zekâ modeli geliştirme ve dağıtımındaki[3] rolü ile veri işleme faaliyetlerinin hukuka uygunluğunu daha da önemli hale getirdi.
Kurul’un görüşüne başvurulan temel konular şunlardır:
- Bir yapay zekâ modelinin hangi koşullar altında anonim olarak kabul edilebileceği.
- Yapay zekâ geliştirme aşamalarında veri işleme faaliyetlerine yasal dayanak olarak meşru menfaatin uygunluğu.
- Yapay zekâ dağıtım aşamalarında veri işleme için yasal dayanak olarak meşru menfaatin uygunluğu.
- Yapay zekâ modelinin geliştirilmesi aşamasında kişisel verilerin hukuka aykırı olarak işlenmesinin yapay zekâ modelinin sonraki işlemleri üzerindeki etkileri.
Görüş, GDPR'ın tutarlı bir şekilde uygulanması konusunda veri koruma otoritelerine rehberlik eder ve yapay zekâ teknolojilerinden kaynaklanan sorunları en aza indirmeyi amaçlar.
Görüşün Kapsamı
Sorulan sorular ışığında Görüş şu konulara odaklanır:
- Yapay Zekâ Modellerinin Anonimleştirilmesi: Kişisel veriler eliyle eğitilen yapay zekâ modellerinin ne zaman anonim olarak kabul edilebileceğinin belirlenmesi.
- Meşru Menfaat: Veri sorumlularının yapay zekâ modeli geliştirme ve dağıtımı sırasında yasal dayanak olarak meşru menfaate hangi şartlar altında dayanabileceğinin değerlendirilmesi.
- Hukuka Aykırı Veri İşlemenin Yapay Zekâ Faaliyetlerine Etkisi: Geliştirme aşamasında hukuka aykırı olarak işlenen kişisel verilerin kullanımının yapay zekâ modellerinin sonraki işlemleri üzerindeki sonuçları.
Görüş anılan konularda somut ve tatminkâr öneriler getiremese de veri koruma otoritelerinin yapay zekâ teknolojisi kaynaklı endişeleri doğru şekilde değerlendirmesi için bir çerçeve sunar.
Görüşün Temel Bulguları
Yapay Zekâ Modellerinin Anonimleştirilmesi:
Kurul Görüş’te, kişisel veriler üzerinde eğitilen yapay zekâ modellerinin evrensel olarak anonim olarak kabul edilemeyeceğinin altını çizer. Bu belirleme, yapay zekâ modelinden doğrudan veya dolaylı şekilde kişisel verilere dair çıkarım yapılıp yapılamayacağına göre değişir.
Denetim makamları, yapay zekâ modelinin anonim olup olmadığını her olay özelinde ayrıca değerlendirmelidir. Görüş, veri sorumluları tarafından anonimlik iddiasını desteklemek amacıyla ileri sürülebilecek çeşitli yöntemlere yer verir. Bu kapsamda yapay zekâ modelinin eğitilmesi için veri işlenmesini sınırlayan model tasarımları, saldırılara karşı dirençli sistemler geliştirilmesi gibi örnekler verilebilir.
Anonimleştirmeden beklenen, kişisel verilere model üzerinden direkt veya modele sorulan sorular vasıtasıyla dolaylı yoldan erişimin makul koşullar altında göz ardı edilebilecek kadar sınırlı seviyede olmasını gerektirir.
Yasal Dayanak Olarak Meşru Menfaat:
Görüş, GDPR madde 6(1)(f) uyarınca meşru menfaatin, yapay zekâ modellerinin eğitimi için kişisel veri işleme faaliyetlerinde tek başına bir hukuki dayanak olamayacağının altını çizer.[4] GDPR kapsamında veri işleme için öngörülen hukuki dayanaklar arasında herhangi bir hiyerarşi olmadığını ekler. Bu kapsamda yapay zekâ veri sorumlularının hukuka uygunluğu ortaya koyarken üç aşamalı hukuka uygunluk testinin geçildiğini ortaya koyması gerekir:[5]
- Veri sorumlusu veya üçüncü kişilerce elde edilen meşru menfaatin tanımlanması gerekir. Bu amaçla tanımlanan menfaatin (i) hukuka uygun, (ii) açık ve belirli bir şekilde ifade edilmiş, (iii) gerçek ve mevcut olması gerekir.
- Anılan menfaat için veri işlemenin gerekliliğinin değerlendirilmesi gerekir.
- Meşru menfaatin veri sahiplerinin temel hak ve özgürlüklerinin önüne geçmediğinden emin olmak için "denge testi" uygulanmalıdır. Yapay zekâ modellerinin karmaşıklığı gözetildiğinde, veri sahiplerinin veri işleme faaliyetlerine ilişkin makul beklentilerinin dengeleme testinde rol oynayacağı vurgulanır.
Görüş, yapay zekâ geliştirme ve dağıtım aşamasında şeffaflık ve mümkün olan en az verinin işlenmesini kolaylaştırmak adına çeşitli hafifletici önlemler alınabileceğini belirtir. Savunmasız bireylerin verileri ile internet sitesinden veri kazımaya onay verilmeyen sitelerinden veri toplanmaması, hafifletici önlemlere örnek olabilir.[6]
Kişisel Verilerin Hukuka Aykırı İşlenmesi:
Görüş, yapay zekâ modelinin geliştirilmesi sırasında hukuka aykırı veri işlemenin sonraki aşamalara etkisini inceleyen üç senaryo tanımlar:
- Senaryo 1: Kişisel veriler modelde tutulur ve dağıtım sırasında aynı veri sorumlusu tarafından kullanılırsa, önceki hukuka aykırılığın dağıtım aşamasına etkisi sonraki veri işlemenin amacına bağlıdır.
- Senaryo 2: Kişisel verilerin modelde tutulması ve modelin dağıtımı yoluyla başka bir veri sorumlusu tarafından kullanılması halinde, anılan veri sorumlusu modeli geliştirmede kullanılan verilerin hukuka uygun şekilde işlendiğini, GDPR madde 5(1)(a) ve 6 ile uyumlu olduğunu doğrulamalıdır. Kurul, veri sorumlularına verilerin kaynağına ve model tarafından yapılan ilk işlemenin açıkça GDPR ihlaline yol açtığını ortaya koyan emarelere (denetim makamı ve mahkeme kararı) dikkat edilmesini önerir.
- Senaryo 3: Bir yapay zekâ modeli geliştirmek için kişisel veriler hukuka aykırı olarak işlenir, ardından veri sorumlusu tarafından dağıtım öncesi anonimleştirilirse, modele kişisel veriler yeniden sunulmadığı sürece sonraki işlemler GDPR kapsamı dışında kalabilir. Ancak, anonimleştirme sonrası dağıtım aşamasında ek kişisel veri işlenirse, GDPR uygulama alanı bulur. Bu nedenle, model anonim hale getirilmediği sürece, yapay zekâ modelinin geliştirilmesi sırasındaki hukuka aykırı veri işleme, dağıtım aşamasındaki işlemenin hukuka uygunluğu etkileyebilir.
Sonuç
28/2024 sayılı Görüş, Kurul’un çeşitli yapay zekâ teknolojilerinin veri korumla alanında doğurduğu endişeleri en aza indirme konusundaki çalışmalarının bir örneğidir. Görüş, her bir olayın özelliklerine göre hukuka uygunluk denetiminde farklı yaklaşımlar sergilenebileceğini vurgular, denetim makamları ve uygulayıcılara güvenli teknolojiyi teşvik amacıyla atılacak adımlarda yol gösterir.
- EDPB, Yapay zekâ modelleri bağlamında kişisel verilerin işlenmesine ilişkin belirli veri koruma hususları hakkında Görüş 28/2024, 17.12.2024, Erişim Tarihi: 06.01.2025, Erişim için: https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf
- Avrupa Birliği Genel Veri Koruma Tüzüğü - Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) OJ L 119, 4.5.2016, s. 1–88.
- Bu yayında “deployment” kavramı “dağıtım” olarak tercüme edilmiştir. Avrupa Birliği Yapay Zekâ Yasası madde 3 “deployer” kavramını "kişisel ve profesyonel olmayan bir faaliyet kapsamında kullanılmadığı durumlarda, bir yapay zekâ sistemini kendi yetki alanı içinde kullanan gerçek veya tüzel kişi, kamu otoritesi, ajans veya diğer bir kuruluş" olarak tanımlar. Dağıtım, bir yapay zekâ sisteminin dağıtıcı tarafından kendi yetki alanında kullanıma sunulmasını içeren süreci ifade eder. Bu, yapay zekâ sisteminin gerçek dünya ortamlarında entegrasyonu ve uygulanmasını, böylece belirlenen amaçlarına ulaşmasını kapsar.
- CMS Law-Now, 20.12.2024, Erişim Tarihi: 06.01.2025, Erişim İçin: https://cms-lawnow.com/en/ealerts/2024/12/edpb-opinion-28-2024-key-takeaways-on-processing-personal-data-in-the-context-of-ai-models?format=pdf&v=13
- Üç adımlı test hakkında daha fazla bilgi için lütfen bkz: GDPR Madde 6(1)(f) temelinde kişisel verilerin işlenmesine ilişkin EDPB Kılavuz İlkeleri 1/2024, 08.10.2024, Erişim Tarihi: 06.01.2025, Erişim için: https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf.
- Rosie Nance, Marcus Evans, Francesco Gelmetti, Kişisel verileri kullanarak yapay zekâ modellerinin eğitilmesi ve son Garante cezası hakkında EDPB Görüşü - LLM'lerin yasal dağıtımı, Erişim Tarihi: 06.01.2025, Erişim için: https://www.dataprotectionreport.com/2025/01/the-edpb-opinion-on-training-ai-models-using-personal-data-and-recent-garante-fine-lawful-deployment-of-llms/#page=1
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Teknolojinin gelişmesiyle birlikte yapay zekâ (“AI”), tahkim süreçlerine entegre olarak verimlilik sağlama potansiyeli sunar. Uygulayıcılar, yapay zekânın sunduğu fırsatları değerlendirirken, aynı zamanda bu teknolojinin sınırlarını ve risklerini de göz önünde bulundurur...
Yapay Zekâ Çerçeve Sözleşmesi (Çerçeve Sözleşme), Avrupa Konseyi tarafından önerilen ve yakın zamanda imzaya açılan uluslararası bir anlaşmadır . Anılan sözleşme, yapay zekâ sistemlerinin tüm yaşam döngüsünü düzenleyen ilk uluslararası sözleşmedir. Çerçeve Sözleşme, yapay zekâ sistemlerinin insan hakları...
"Brüksel Etkisi", Avrupa Birliği ("AB") düzenlemelerinin küresel olarak standartları etkilemesi veya belirlemesi olgusunu ifade etmektedir. Nitekim AB önemli bir pazar niteliğinde olduğundan, küresel düzeyde faaliyet gösteren şirketler genellikle birden fazla, farklı yerel yasalara uymak yerine tüm faaliyetlerinde AB...
Anayasa Mahkemesi (“AYM”), 10 Ocak 2024 tarihli ve 32425 sayılı Resmî Gazete’de yayımlanan 11.10.2023 tarihli ve 2020/76 E., 2023/172 K. sayılı kararı ile (“Karar”) 7253 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da...
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Bilgi Teknolojileri ve İletişim Kurulu (“BTK”) 28.03.2023 tarihli ve 2023/DK-İD/119 sayılı kararı ile Sosyal Ağ Sağlayıcı Usul ve Esasları’nı (“Usul ve Esaslar”) kabul etti. Anılan karar, 01.04.2023 tarihli Resmî Gazete’de yayımlandı ve yayımı tarihinde yürürlüğe girdi. 5651 sayılı İnternet Ortamında Yapılan Yayınların...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...