Kişisel Verileri Koruma Kurumu (KVKK) "15 Soruda Üretken Yapay Zeka ve Kişisel Verilerin Korunması Rehberi" hazırladı. KVKK internet sitesinden erişilebilen rehberde, yapay zeka aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri 6698 Sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde değerlendirildi.

Rehberde, üretken yapay zeka teknolojisiyle yayılan; deepfake, manipülatif içerik ve yanıltıcı bilgi gibi riskler ele alındı. Rehberde, bu sorunlara karşı vatandaşların hakları ve alınabilecek önlemler detaylandırıldı. Kişisel verilerin yanlış işlenmesinin ciddi zararlar doğurabileceğine dikkat çekildi. Bu riskleri azaltmak için, sistem çıktılarının düzenli olarak izlenmesi ve gerektiğinde insan gözetimi mekanizmalarıyla desteklenmesinin taşıdığı önem vurgulandı. Ayrıca, vatandaşların, kişisel verilerinin eksik veya yanlış işlenmesi durumunda düzeltme talep etme hakkına sahip olduğu da aktarıldı.

Üretken yapay zeka sistemlerinin kişisel verilerin korunması bağlamında ortaya çıkarabileceği etkilerin değerlendirilmesi ve bu sistemlerin geliştirilmesi ile kullanılmasında bireylerin mahremiyetine saygılı bir yaklaşımın teşvik edilmesini amaçlayan rehberde yapay zekayla ilgili bazı kavramlara ve tanımlara yer verildi. Rehberde ele alınan 15 soru şöyle:

Üretken yapay zeka nedir?

Büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından girilen istem ya da komuta (prompt) yanıt olarak metin, görsel, video, ses veya yazılım kodu gibi farklı formatlarda içerikler üretebilen yapay zeka türüdür.

Üretken yapay zeka sistemlerinde içerik üretimi nasıl gerçekleşir?

Veri odaklıdır. İçerik üretiminde kullanılan modellerin tasarımı, kullanım amacı ve bağlamı, üretilecek içeriğin türüne göre önemli ölçüde farklılık gösterebilir. (Makine öğrenmesi, yapay sinir ağı, metin ya da görsel üreten yapay zeka...)

Bir üretken yapay zeka modelinin yaşam döngüsü hangi aşamalardan oluşur?

Modelin kullanım amacının ve kapsamının belirlenmesi, verilerin toplanması ve ön işlemeye tabi tutulması, modelin eğitilmesi ve ince ayarının yapılması, modelin değerlendirilmesi ve izlenmesi, modelin yerleştirilmesi ve devamında düzenli geri bildirimler sağlanması.

Üretken yapay zeka hangi alanlarda kullanılmaktadır?

Birçok alanda dönüşüm sağlayarak yenilikçi çözümler sunan bir teknolojidir. (Müşteri hizmetleri, sağlık, eğitim, pazarlama ve reklamcılık, sanat ve kültürel endüstriler, yazılım geliştirme, arama ve bilgiye erişim, hukuk...)

Üretken yapay zekanın kullanımı ne gibi riskler taşır?

Bu teknolojilerin kullanımı etik, güvenlik ve hukuki açılardan birtakım riskleri de beraberinde getirmektedir. (Halüsinasyonlar ve tutarsız çıktılar, önyargı ve yanlı çıktılar, verilerin gizliliği ve güvenliği, fikri mülkiyet hakkı ihlalleri, deepfake ve manipülatif içerikler)

Üretken yapay zeka sistemlerinde kişisel veriler işlenmekte midir?

Üretken yapay zeka sistemleri, veri odaklı bir şekilde işlemekte ve öğrenme süreçlerini büyük ölçekli veri kümeleri üzerinden yürütmektedir.

Üretken yapay zeka sistemlerinin yaşam döngüsü kapsamında veri sorumlusu ile veri işleyen nasıl belirlenmelidir?

6698 Sayılı Kişisel Verilerin Korunması Kanununda 3'üncü madde "veri sorumlusu" ve "veri işleyen" kavramlarını tanımlanır.  Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği, veri sorumlusunun organizasyonu dışındaki ayrı bir gerçek veya tüzel kişidir.

Kişisel verilerin işlenmesinde genel ilkeler üretken yapay zeka sistemlerinde nasıl uygulanmalıdır?

6698 Sayılı Kişisel Verilerin Korunması Kanunu 4'üncü madde şu ilkelere uyumlu zorunlu kılar:

-        Hukuka ve dürüstlük kurallarına uygun olma

-        Doğru ve gerektiğinde güncel olma

-        Belirli, açık ve meşru amaçlar için işlenme

-        İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

-        İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Üretken yapay zeka sistemlerinde kişisel verilerin işlenme şartları (hukuki sebep) nasıl belirlenmelidir?

Üretken yapay zeka sistemleri ile kişisel verilerin işlenmesi arasındaki ilişki, özellikle uygun hukuki sebeplerin belirlenmesi açısından büyük önem taşır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verilerin hukuka uygun şekilde işlenebilmesi için  5'inci maddede veya özel nitelikli kişisel veriler için ise 6'ncı maddede belirtilen işleme şartlarından en az birine dayanılması zorunludur.

Üretken yapay zeka sistemlerinde kişisel verilerin yurtdışına aktarımı nasıl değerlendirilmelidir?

Kişisel verilerin yurt dışına aktarımı, 6698 Sayılı Kişisel Verilerin Korunması Kanunu 9'uncu maddede hükme bağlanmıştır. Yeterlilik kararı kuralı vardır.  10.07.2024 tarih ve 32598 sayılı Resmi Gazete'de "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" yayımlanmıştır. "Kişisel Verilerin Yurt Dışına Aktarılması Rehberi" incelenebilir.

Üretken yapay zeka sistemleri bağlamında şeffaflık nasıl sağlanabilir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu "Veri Sorumlusunun Aydınlatma Yükümlülüğü" başlıklı 10'uncu maddesinde kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere bilgi vermekle yükümlü olduğu konular şunlardır:

-        Veri sorumlusunun ve varsa temsilcisinin kimliği

-        Kişisel verilerin hangi amaçla işleneceği

-        İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği

-        Kişisel veri toplamanın yöntemi ve hukuki sebebi

-        11'inci maddede sayılan diğer haklar

Üretken yapay zeka sistemleri kapsamında ilgili kişilerin hakları nasıl kullandırılabilir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu 11'inci maddede ilgili kişinin hakları düzenlenmiştir. Veri sorumlusuna başvurulabilir. Söz konusu haklar:

-        Kişisel veri işlenip işlenmediğini öğrenme

-        Kişisel verileri işlenmişse buna ilişkin bilgi talep etme

-        Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme

-        Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme

-        Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme

-         7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme

-        (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme

-        İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme

-        Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme

Üretken yapay zeka sistemlerinde kişisel verilerin güvenliği açısından nelere dikkat edilmelidir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu12’nci maddesinde veri güvenliğine ilişkin yükümlülükler düzenlenir. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Günlük hayatta üretken yapay zeka uygulamalarını kullanırken kişisel verilerin korunması açısından bireyler hangi hususlara dikkat etmelidir?

Ad-soyad, adres, telefon numarası ve kimlik bilgileri gibi kişiyi doğrudan ya da dolaylı olarak tanımlamaya elverişli kişisel verilerin, üçüncü kişilere ait kişisel verilerin, sağlık verileri, finansal bilgiler, hukuki süreçlere ilişkin bilgiler ve bunlara benzer hassas nitelikteki konulara ilişkin bilgilerin paylaşılmasından kaçınılmalıdır.

Üretken yapay zeka araçlarını kullanan çocuklara yönelik olarak ebeveynler tarafından alınabilecek önlemler nelerdir?

Sohbet botları, içerik üretim programları ve üretken yapay zeka destekli öğrenme platformları gibi araçlar, çocuklar için hem eğlenceli hem de öğretici olabilirken; aynı zamanda mahremiyet, güvenlik, yanıltıcı bilgi ve etik kullanım açısından bazı riskleri de bünyesinde barındırmaktadır. Çocukların kullandığı üretken yapay zeka tabanlı platformların yaşa uygun içerikler sunup sunmadığı kontrol edilmeli ve dikkatle değerlendirilmelidir. Başta metin tabanlı sohbet uygulamaları olmak üzere bazı üretken yapay zeka araçları, çocuklar için uygun olmayan veya yanıltıcı bilgi barındıran içerikler üretebilmektedir. Bu bağlamda, ebeveynlerin ilgili uygulamaların kullanım koşullarını, gizlilik politikalarını ve içerik filtreleme özelliklerini incelemesi, olası risklerin önüne geçilmesi açısından faydalı olacaktır. Özellikle Üretken Yapay Zeka kullanılarak gerçekçi biçimde oluşturulan sahte video, görsel ve ses içeriklerini ifade eden ve son yıllarda hızla yaygınlaşan deepfake teknolojileri, çocuklar açısından önemli riskler barındırmaktadır. Zira hâlen gelişim sürecinde olan bilişsel yetenekleri nedeniyle çocuklar, yetişkinlere kıyasla bu tür içeriklere karşı daha savunmasızdır ve kolaylıkla manipüle edilebilirler. Üretken yapay zeka ile kurulan etkileşimlerin çocuğun duygusal ve psikolojik gelişimi üzerindeki etkileri ebeveynler tarafından dikkatle gözlemlenmelidir. Gerçeklik algısının zayıflaması, yalnızlaşma eğilimi, özgüven kaybı veya teknolojiye bağımlılık gibi belirtiler gözlemlendiğinde, uzman desteği alınması ve müdahale sürecinin geciktirilmemesi önemlidir.