Kısa Tanım
Yapay zeka (AI) sistemleri, kişisel verilerin işlenmesinde devrim yaratırken, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında yeni hukuki sorumluluklar doğurmaktadır. Bu makalede, AI ile kişisel veri işleme süreçlerinde veri sorumlusunun yükümlülükleri, aydınlatma yükümlülüğü, açık rıza şartı ve KVKK'nın 2025 yılında yayımladığı "15 Soruda Üretken Yapay Zeka ve Kişisel Verilerin Korunması Rehberi" ışığında güncel hukuki durum ele alınmaktadır.
Detaylı Açıklama
Yapay Zeka ve Kişisel Veri İşleme Süreçleri
Yapay zeka sistemlerinde kişisel veriler birden fazla aşamada işlenmektedir:
* Veri Toplama: AI eğitimi için veri setlerinin derlenmesi.
* Eğitim: Makine öğrenmesi modellerinin kişisel verilerle eğitilmesi.
* Çıkarım: Eğitilmiş modelin yeni veriler üzerinde tahmin veya sınıflandırma yapması.
* Karar Verme: AI'nın bireyler hakkında otomatik kararlar alması (örneğin kredi başvurusu, işe alım).
Her aşamada KVKK'nın temel ilkelerine uyulması zorunludur: hukuka ve dürüstlük kurallarına uygunluk, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işleme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Veri Sorumlusunun Yükümlülükleri
KVKK'nın 12. maddesi uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Yapay zeka bağlamında bu yükümlülükler şunları içerir:
* Veri Minimizasyonu: AI sistemleri yalnızca amaca uygun asgari düzeyde veri toplamalıdır.
* Anonimleştirme ve Sözde Anonimleştirme: Mümkün olduğunda veriler anonim hale getirilmeli veya sözde anonimleştirme teknikleri uygulanmalıdır.
* Şeffaflık: Veri sahiplerine, verilerinin AI tarafından nasıl işlendiği konusunda açık ve anlaşılır bilgi verilmelidir.
* Hesap Verebilirlik: Veri sorumlusu, AI sisteminin kararlarını izleyebilmeli ve gerektiğinde açıklayabilmelidir.
Aydınlatma Yükümlülüğü ve Açık Rıza
KVKK'nın 10. maddesi, veri sorumlusunun aydınlatma yükümlülüğünü düzenler. Yapay zeka ile veri işlemede aydınlatma yükümlülüğü özellikle önemlidir çünkü:
* Veri sahipleri, verilerinin bir AI sistemi tarafından işlendiğini bilme hakkına sahiptir.
* Aydınlatma, işlemenin amacını, kapsamını ve olası sonuçlarını içermelidir.
* Otomatik karar alma süreçleri hakkında bilgi verilmelidir.
Açık rıza (KVKK m. 5/1), belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. AI bağlamında açık rıza alınırken:
* Rıza, veri işlemenin her aşaması için spesifik olmalıdır.
* Rıza metni, AI'nın veri işleme yöntemlerini açıkça belirtmelidir.
* Veri sahibi rızasını geri çekme hakkına sahip olduğu konusunda bilgilendirilmelidir.
Özel Nitelikli Kişisel Veriler ve Yapay Zeka
KVKK'nın 6. maddesi, özel nitelikli kişisel verilerin (sağlık, biyometrik, genetik veriler vb.) işlenmesini sıkı kurallara bağlamıştır. Yapay zeka sistemleri bu tür verileri işlerken:
* Açık rıza veya kanunda öngörülen diğer istisnalar aranır.
* Kurul tarafından belirlenen yeterli önlemlerin alınması zorunludur.
* Özellikle biyometrik verilerin yüz tanıma gibi AI uygulamalarında kullanımı yüksek risk taşır.
KVKK'nın Yapay Zeka Rehberi
Kişisel Verileri Koruma Kurumu (KVKK), 2025 yılında "15 Soruda Üretken Yapay Zeka ve Kişisel Verilerin Korunması Rehberi"ni yayımlamıştır. Rehberde öne çıkan hususlar:
* Üretken yapay zeka modellerinin eğitimi için kişisel verilerin kullanımında hukuki dayanak gerekliliği.
* AI tarafından üretilen içeriklerde kişisel veri ihlali riski.
* Veri sorumlusunun, AI sisteminin çıktılarından sorumlu olduğu vurgusu.
* Şeffaflık ve hesap verebilirlik ilkelerinin önemi.
Hukuki Sorumluluk ve Yargıtay İçtihatları
Yapay zeka ile kişisel veri ihlallerinde hukuki sorumluluk, KVKK'nın 18. maddesi uyarınca idari para cezaları ve adli cezaları içerir. Yargıtay, kişisel verilerin hukuka aykırı işlenmesi durumunda veri sorumlusunun kusur sorumluluğunu esas almaktadır. AI sistemlerinin otonom kararları nedeniyle ortaya çıkan zararlarda, veri sorumlusunun denetim ve gözetim yükümlülüğü ön plana çıkmaktadır.
Sonuç
Yapay zeka teknolojilerinin hızla gelişmesi, KVKK kapsamında veri sorumlularına yeni yükümlülükler getirmektedir. Aydınlatma, açık rıza, veri minimizasyonu ve şeffaflık ilkeleri, AI ile kişisel veri işlemenin temel taşlarıdır. KVKK'nın rehberi ve güncel içtihatlar, bu alandaki hukuki belirsizlikleri gidermeye yönelik önemli adımlardır. Şirketlerin, AI uyum süreçlerini hukuki danışmanlık eşliğinde yürütmeleri, olası veri ihlali cezalarından kaçınmak için kritik öneme sahiptir.
Sık Sorulan Sorular
Soru: Yapay zeka sistemleri kişisel verileri işlerken hangi KVKK ilkelerine uymalıdır?
Cevap: Yapay zeka sistemleri, KVKK'nın 4. maddesinde düzenlenen temel ilkelere uymalıdır: hukuka ve dürüstlük kurallarına uygunluk, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işleme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. Ayrıca veri sorumlusu, veri minimizasyonu, anonimleştirme ve şeffaflık gibi ek yükümlülükleri de yerine getirmelidir.
Soru: Yapay zeka ile kişisel veri işlemede aydınlatma yükümlülüğü nasıl yerine getirilmelidir?
Cevap: KVKK'nın 10. maddesi uyarınca veri sorumlusu, veri sahiplerini verilerinin bir yapay zeka sistemi tarafından işlendiği konusunda açıkça bilgilendirmelidir. Aydınlatma metninde işlemenin amacı, kapsamı, AI'nın karar alma süreçleri ve olası sonuçları yer almalıdır. Ayrıca veri sahibinin hakları (silme, düzeltme, itiraz) ve rıza geri çekme hakkı da belirtilmelidir.
İlişkili Kanun Maddeleri ve Kaynaklar
KVKK'nın temel ilkeleri (m.4), kişisel veri işleme şartları (m.5), özel nitelikli veriler (m.6), aydınlatma yükümlülüğü (m.10), veri güvenliği (m.12) ve cezai hükümler (m.18) yapay zeka ile veri işlemede doğrudan uygulanır.