2026/11 Yapay Zekâ ve Kişisel Verilerin Korunması: Birlikte Var Olmanın Hukuki İmkânı
Konumuz yapay zekâ, ancak yazıyı biz yazdık. Yapay zekanın yazdıkları belli oluyor!
1. Giriş
Yapay zekâ hayatımıza gireli herşey çok değişti, bu çok açık. Gittikçe de hızını artırıyor.
Yapay zekâ (Artificial Intelligence - “AI”) sistemleri, doğaları gereği veri yoğunluğu olan teknolojilerdir. Bu verilerin önemli bir kısmı kişisel verilere dayanmakta; kimi zaman doğrudan, kimi zaman ise dolaylı ve çıkarımsal yollarla gerçek kişilere ilişkin bilgiler AI sistemlerinin eğitiminde ve kullanımında rol oynamaktadır. Bu durum, kişisel verilerin korunması ile AI’nın gelişimi arasında yapısal bir gerilim alanı yaratmaktadır.
Bu çalışma, söz konusu gerilimi; Türk hukuku bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Avrupa Birliği Hukuku kapsamında Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – “GDPR”) ve AI Act (Yapay Zeka Yasası) düzenlemeleri, Fransa Veri Koruma Otoritesi CNIL’in (Commission Nationale de L'informatique et des Libertés - Ulusal Bilişim ve Özgürlük Komisyonu) güncel rehber ve önerileri ile Amerika Birleşik Devletleri’nde 2026 yılında tasarısı onaylanan DEFIANCE Act (Disrupt Explicit Forged Images and Non-Consensual Edits Act) ışığında incelemeyi amaçlamaktadır. Çalışmanın temel tezi şudur: AI ile kişisel verilerin korunması arasında mutlak bir çatışma yoktur; ancak bu iki alanın birlikte var olabilmesi, mevcut veri koruma rejimlerinin AI’nın teknik gerçekliği dikkate alınarak yeniden yorumlanmasını ve belirli alanlarda açık normatif tercihler yapılmasını zorunlu kılmaktadır.
Bu bağlamda temel soru yalnızca “uyum mümkün mü?” değil; hangi koşullarda, hangi sınırlar içinde ve kimin sorumluluğunda mümkün olduğudur.
2. Kavramsal Çerçeve
2.1. Kişisel Veri
KVKK m.3 uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanımın genişliği, AI sistemlerinde kullanılan veri setlerinin büyük bölümünü kapsama dâhil etmektedir. Bir bilginin kişisel veri sayılabilmesi için tek başına kimliği açıkça ortaya koyması gerekmez; başka verilerle birlikte kişiyi belirlenebilir kılması yeterlidir.
Bu noktada özellikle vurgulanmalıdır ki, AI sistemlerinde anonim olduğu varsayılan veri setleri, modelin çıkarımsal kapasitesi nedeniyle fiilen yeniden tanımlanabilir hâle gelebilmektedir. Bu durum, klasik anonimleştirme anlayışının AI bağlamında yetersiz kalmasına yol açmakta; anonimleştirme ile kişisel veri arasındaki sınırın teknik olarak bulanıklaştığını göstermektedir.
2.2. Genel ve Özel Nitelikli Kişisel Veriler
KVKK, kişisel verileri genel nitelikli ve özel nitelikli olarak ayırmaktadır. Hukuken daha fazla koruma gerektiren özel nitelikli kişisel veriler; sağlık, biyometrik ve genetik veriler başta olmak üzere, ayrımcılığa yol açma riski yüksek olan verilerden oluşmaktadır. AI uygulamalarında özellikle yüz tanıma, ses analizi, duygu analizi ve sağlık odaklı sistemler bakımından özel nitelikli veri işleme riski sistematik bir hâl almaktadır.
Bu tür verilerin çoğu zaman dolaylı çıkarımlarla elde edilmesi, veri sorumlularının “özel nitelikli veri işlemedikleri” yönündeki savunmalarını hukuken zayıflatmaktadır.
2.3. Veri Sorumlusu ve Veri İşleyen
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen kişidir. AI ekosisteminde bu ayrım çoğu zaman işlevini yitirmektedir.
Modeli geliştiren, modeli eğiten, altyapıyı sağlayan ve nihai kullanıcı konumundaki aktörlerin her biri, veri işleme faaliyetinin farklı aşamalarında fiili kontrol sahibi olabilmektedir. Özellikle veri işleyenin; veri setlerinin seçimi, modelin yeniden eğitimi veya çıktılar üzerinde karar alma yetkisi kazanması hâlinde, hukuken veri sorumlusu sıfatını da üstlendiğinin kabulü gerekir. Aksi yorum, sorumluluğun teknik aktörler arasında dağıtılarak fiilen ortadan kaldırılması sonucunu doğurur.
2.4. Aydınlatma Yükümlülüğü
KVKK m.10 kapsamında veri sorumlusu, ilgili kişiyi veri işleme faaliyetleri hakkında bilgilendirmekle yükümlüdür. Ancak AI sistemlerinin teknik karmaşıklığı, aydınlatmanın şeklen yerine getirilmesi ile fiilen anlaşılabilir olması arasındaki farkı derinleştirmektedir.
Bu nedenle AI uygulamalarında aydınlatma yükümlülüğü yalnızca veri toplama anıyla sınırlı düşünülemez; otomatik karar alma süreçlerini, profil çıkarma faaliyetlerini ve verilerin model eğitiminde kullanılıp kullanılmadığını kapsayacak şekilde düzenlenmelidir.
2.5. Açık Rıza
Açık rıza; belirli bir işleme faaliyetine ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan veri sahibi tarafından verilen rızadır. AI bağlamında açık rızanın geçerliliği, veri işleme amaçlarının zaman içinde değişmesi, genişlemesi ve öngörülemez hâle gelmesi nedeniyle ciddi biçimde tartışmalıdır.
Özellikle üretken AI sistemlerinde, veri sahibinin gelecekteki kullanım senaryolarını öngörmesi fiilen mümkün değildir. Bu nedenle, açık rızanın AI sistemleri için genel ve güvenli bir hukuki dayanak olarak kabul edilmesi mümkün olmayabilecektir.
2.6. Deep Fake
Deep fake, bir gerçek kişiye ait yüz, ses, beden veya mimik gibi biyometrik ve görsel-işitsel verilerin; AI, derin öğrenme ve özellikle üretici modeller kullanılarak, gerçekte hiç yaşanmamış bir olay veya bağlam içinde varmış gibi gösterilmesi suretiyle üretilen sahte içerikleri ifade etmektedir. Bu içerikler, klasik montaj veya basit dijital manipülasyonlardan farklı olarak, gerçeklik izlenimini yüksek düzeyde taklit eden ve çoğu zaman insan gözüyle ayırt edilmesi güç olan üretimlerdir. Deep fake uygulamaları, kişisel verilerin izinsiz işlenmesiyle birlikte ağır kişilik hakkı ihlallerine yol açabilme potansiyeli taşımaktadır. Bu tür uygulamalarda yalnızca KVKK değil, Türk Medeni Kanunu ve Türk Ceza Kanunu hükümleri de birlikte değerlendirilmelidir.
2.7. Machine Learning (Makine Öğrenmesi) Kavramı
Makine öğrenmesi, bilgisayar sistemlerinin açıkça her adım için programlanmaksızın; veri örüntülerini analiz ederek, bu örüntülerden istatistiksel modeller üretmesi ve zaman içinde performansını veri aracılığıyla geliştirmesi esasına dayanan bir AI yaklaşımıdır. Kural tabanlı sistemlerden farklı olarak makine öğrenmesi, “ne yapılacağını” değil; hangi veri ilişkilerinden hangi sonuçların çıkarılacağını öğrenmeye odaklanır.
3. AI Türleri ve Kişisel Veriyle İlişkisi
Verilere; web kazıma, kullanıcıların sağladığı bilgi, üçüncü taraf veri tabanları ile geliştiricilerin kendi veri tabanlarındaki bilgilerden ulaşılmaktadır. AI sistemlerinin kişisel verilerle kurduğu ilişki, kullanılan teknolojinin niteliğine göre önemli ölçüde farklılaşmaktadır. Bu nedenle, KVKK bakımından yapılacak hukuki değerlendirme, “yapay zekâ” kavramını tekil ve homojen bir yapı olarak ele almak yerine, sistem türlerine göre ayrıştırmayı zorunlu kılmaktadır.
3.1. Kural Tabanlı AI Sistemleri
Kural tabanlı AI sistemleri, önceden tanımlanmış kurallar ve senaryolar çerçevesinde çalışan, girdilere karşı öngörülebilir çıktılar üreten sistemlerdir. Bu tür sistemlerde veri işleme faaliyetleri sınırlı, amaçları belirli ve çıktı–girdi ilişkisi büyük ölçüde izlenebilir niteliktedir. Dolayısıyla kişisel veri işleme bakımından risk alanı görece dardır.
KVKK açısından değerlendirildiğinde, kural tabanlı sistemlerde veri minimizasyonu, amaçla sınırlılık ve ölçülülük ilkelerinin uygulanması daha mümkündür. Veri sorumlusunun hangi veriyi hangi amaçla işlediği, çoğu durumda açık biçimde tespit edilebilmektedir. Bu nedenle bu tür sistemler, kişisel veri koruma hukuku bakımından klasik bilgi sistemlerine daha yakındır.
3.2. Makine Öğrenmesi ve Derin Öğrenme Sistemleri
Makine öğrenmesine dayalı sistemler, açık kurallardan ziyade büyük veri setleri üzerinden örüntü tespiti yaparak karar üretmektedir. Derin öğrenme sistemleri ise bu yaklaşımı çok katmanlı sinir ağlarıyla daha karmaşık hâle getirmektedir. Bu sistemlerde veri, yalnızca işlenen bir girdi değil; model davranışını şekillendiren temel unsur hâline gelmektedir.
KVKK bakımından asıl sorun, bu tür sistemlerde veri işleme amacının zaman içinde genişleyebilmesi ve ilk toplama amacıyla son kullanım arasında kopukluk oluşabilmesidir. Ayrıca, eğitim verilerinden elde edilen çıkarımların da kişisel veri niteliği taşıyabileceği kabul edilmelidir. Bu durum, kişisel verilerin yalnızca doğrudan değil, dolaylı ve türetilmiş biçimlerde de işlendiğini göstermektedir.
3.3. Üretken AI Sistemleri ve Niteliksel Kırılma
Üretken Yapay Zekâ (“ÜYZ”) sistemleri, önceki AI türlerinden niteliksel olarak ayrılmaktadır. Bu sistemler, yalnızca mevcut verileri sınıflandırmak veya analiz etmekle kalmayıp; metin, görsel, ses ve video gibi yeni içerikler yaratmaktadır. Devrim niteliğinde anılan bu AI sistemi, sektörleri yeniden biçimlendirecek olup yakıt olarak veriyi kullanmaktadır. Bu özellik, KVKK bakımından risk düzeyini belirgin biçimde artırmaktadır.
ÜYZ sistemlerinin kişisel veri açısından daha yüksek risk taşımasının ilk nedeni, eğitim aşamasında kullanılan veri kümelerinin kapsamı ve ölçeğidir. Bu sistemler, çoğu zaman internet kaynaklı, heterojen ve kontrol edilmesi güç büyük veri setleriyle eğitilmektedir. Bu durum, kişisel verilerin ilgili kişinin bilgisi ve rızası dışında işlenmiş olma ihtimalini güçlendirmektedir.
İkinci olarak, ÜYZ sistemlerinde kişisel veriler yalnızca işlenmemekte; yeniden üretilmekte, tahmin edilmekte veya taklit edilebilmektedir. Bir kişinin adı, mesleği, görüşleri veya biyometrik özellikleri, doğrudan veri olarak modele verilmemiş olsa dahi, istatistiksel çıkarımlar yoluyla çıktılarda ortaya çıkabilmektedir. Bu durum, KVKK’daki anonimleştirme ve silme kavramlarının pratikte etkisizleşmesine yol açabilecek niteliktedir.
Üçüncü olarak, ÜYZ sistemlerinin çıktıları öngörülemezdir. Veri sorumlusu, hangi girdinin hangi çıktıyı doğuracağını önceden kesin biçimde belirleyememektedir. Bu öngörülemezlik, KVKK’da yer alan amaçla sınırlılık ve ölçülülük ilkeleriyle doğrudan çatışmaktadır. Zira veri işleme faaliyetinin sınırları, çıktı aşamasında fiilen aşılabilmektedir.
Dördüncü olarak, ÜYZ sistemleri otomatik karar alma ve profil çıkarma faaliyetlerini görünmez hâle getirebilmektedir. Kullanıcıya sunulan çıktı, çoğu zaman bir karar veya değerlendirme içerdiği hâlde, bu sürecin otomatik bir işlem sonucu olduğu yeterince açık değildir. Bu durum, ilgili kişinin aydınlatılma ve itiraz haklarını fiilen kullanmasını zorlaştırmaktadır.
Son olarak, ÜYZ sistemlerinde sorumluluğun tespiti klasik veri işleme faaliyetlerine kıyasla daha güçtür. Modelin eğitimi, güncellenmesi ve sunulması süreçlerinin çoğu zaman farklı aktörler tarafından yürütülmesi, veri sorumlusu–veri işleyen ayrımını belirsizleştirmektedir. Bu belirsizlik, KVKK’nın hesap verebilirlik ilkesini zayıflatma riski taşımaktadır.
Bu nedenlerle, ÜYZ sistemlerinin KVKK bakımından sıradan bir veri işleme faaliyeti olarak değerlendirilmesi mümkün değildir. Bu sistemler, mevcut veri koruma ilkelerinin sınırlarını zorlamakta; bazı alanlarda ise bu ilkelerin yeniden yorumlanmasını zorunlu kılmaktadır.
4. KVKK Kapsamında Kişisel Veri İşleme Şartları ve Sorunlu Hukuki Dayanaklar
KVKK m.5 uyarınca kişisel veriler kural olarak açık rıza olmaksızın işlenemez. Lakin bu durumun bazı istisnaları mevcuttur. Örneğin; alenileştirme, meşru menfaat, fiili imkânsızlık gibi durumlar mevcut ise kişisel veriler, veri sahibinin açık rızası alınmaksızın da işlenebilecektir. Bu manada; AI uygulamalarında özellikle “alenileştirme” ve “meşru menfaat” hukuki sebeplerine sıklıkla dayanıldığı görülmektedir. Ancak bu gerekçelerin geniş yorumlanması, KVKK’nın koruyucu amacını aşındırmaktadır.
Örneğin; bir verinin ilgili kişi tarafından alenileştirilmiş olması, bu verinin her türlü AI eğitiminde sınırsız biçimde kullanılabileceği anlamına gelmez. Alenileştirme, verinin bağlamını ortadan kaldırmaz. Dolayısıyla, bir verinin alenileştirilmiş olması, her amaçla işlenebileceği anlamına gelmemektedir. Bu manada; sosyal medya paylaşımlarının, büyük dil modellerinin eğitimi amacıyla toplanması; amacın değişmesi ve ölçülülük ilkesinin ihlali sonucunu doğurabilir.
Bu nedenle alenileştirme gerekçesine dayanılarak yapılan geniş ölçekli veri toplama faaliyetleri, hukuka uygunluk bakımından ciddi riskler barındırmaktadır.
5. AI Kaynaklı Kişisel Veri Riskleri
ÜYZ sistemlerinin sunduğu hız ve verimlilik avantajları, bu teknolojilerin yapısal sınırlarını ve doğurdukları riskleri görünmez kılmamaktadır. Aksine, özellikle kişisel veri işleme faaliyetleri bakımından bu riskler, klasik bilgi teknolojilerine kıyasla daha karmaşık ve çok katmanlı bir görünüm arz etmektedir.
5.1. Halüsinasyon, Doğruluk Sorunu ve Mesleki Sorumluluk
ÜYZ sistemlerinin en belirgin yapısal sorunlarından biri, literatürde “halüsinasyon” olarak adlandırılan olgudur. Bu durum, modelin gerçeğe aykırı bilgileri dilsel açıdan tutarlı ve ikna edici bir biçimde üretmesi anlamına gelmektedir. ÜYZ sistemleri, insan benzeri bir muhakeme veya anlamlandırma yetisine sahip olmayıp; büyük ölçüde istatistiksel olasılıklara dayalı içerik üretmektedir. Bu nedenle üretilen bir çıktının dilsel bütünlüğü, onun maddi gerçeklikle uyumlu olduğu anlamına gelmez.
Bu risk, özellikle hukuk, tıp ve finans gibi doğruluk ve kaynağa dayalı olmayı gerektiren alanlarda belirginleşmektedir. Örneğin, var olmayan içtihatların veya gerçekte yapılmamış alıntıların güvenilir bir üslupla sunulması, mesleki özen yükümlülüğünün ihlali sonucunu doğurabilecek niteliktedir. Bu bağlamda ÜYZ çıktılarının, insan denetimi ve bağımsız doğrulama süreçlerinden geçirilmesi zorunludur.
5.2. Ön Yargı, Yanlılık ve Ayrımcılık Riski
ÜYZ sistemleri, eğitildikleri veri kümelerinde mevcut olan toplumsal, kültürel veya tarihsel önyargıları yalnızca yansıtmakla kalmayıp, kimi zaman bunları sistematik biçimde pekiştirebilmektedir. Eğitim verilerinde belirli grupların orantısız temsil edilmesi, model çıktılarında ayrımcı veya dışlayıcı sonuçların ortaya çıkma ihtimalini artırmaktadır.
Buna ek olarak, ince ayar süreçlerinde insan geri bildirimlerinin etkili olması, öznel değerlendirmelerin model davranışlarına yansımasına neden olabilmektedir. Bu durum, ayrımcılık yasağı ve eşitlik ilkesi bakımından AI sistemlerini hukuken yüksek riskli bir alan hâline getirmektedir.
5.3. Kara Kutu Sorunu ve Hesap Verebilirlik
Birçok ÜYZ sisteminin karar alma ve içerik üretme süreçleri, teknik olarak şeffaf biçimde açıklanamayan bir “kara kutu” niteliği taşımaktadır. Bu durum, hatalı veya yanlı bir çıktının hangi aşamada ve hangi veri setinden kaynaklandığının tespitini güçleştirmekte; dolayısıyla etkili bir müdahale ve düzeltme mekanizmasının kurulmasını zorlaştırmaktadır. Hesap verebilirlik ilkesinin fiilen hayata geçirilmesi, bu bağlamda ciddi bir sorun alanı olarak ortaya çıkmaktadır.
5.4. Veri Gizliliği ve Güvenliği
ÜYZ sistemleri, kişisel verilerin korunması bakımından en yüksek riskli kullanım alanlarından birini oluşturmaktadır. Bu sistemler, ikna edici oltalama mesajları, sahte kimlik profilleri veya manipülatif metinler üretmek suretiyle bireylerin kişisel verilerini ve kurumsal bilgileri tehlikeye atabilmektedir.
Ayrıca, modellerin eğitildiği büyük ölçekli veri kümeleri arasında internet kaynaklı içeriklerin yer alması, kişisel verilerin rıza dışı biçimde işlenmiş olma ihtimalini gündeme getirmektedir. Bu verilerin doğrudan veya dolaylı biçimde model çıktılarında yeniden ortaya çıkması, veri sızıntısı ve gizlilik ihlali riskini artırmaktadır. Kullanıcıların istemler aracılığıyla paylaştıkları kişisel veya ticari sır niteliğindeki bilgilerin, daha sonra başka çıktılarda yer alma ihtimali de göz ardı edilemez bir güvenlik problemidir.
5.5. Fikri Mülkiyet ve Eğitim Verileri
ÜYZ sistemlerinin mevcut eserlerden öğrenerek yeni ve özgün görünümlü içerikler üretmesi, fikri mülkiyet hukuku bakımından ciddi tartışmalar doğurmaktadır. Eğitim verilerinin telif hakkıyla korunan eserleri içermesi hâlinde, ortaya çıkan çıktının bağımsız bir eser niteliği taşıyıp taşımadığı belirsizleşmektedir. Bu durum, özellikle ticari kullanım söz konusu olduğunda, telif hakkı ihlali iddialarını ve buna bağlı hukuki sorumluluğu gündeme getirmektedir.
5.6. Deep Fake, Manipülasyon ve Toplumsal Güven
ÜYZ sistemlerinin gerçekçi sahte görsel, ses ve video üretme kapasitesi, manipülasyon ve aldatma riskini ciddi ölçüde artırmaktadır. Deep fake teknolojileri; yanlış bilginin yayılması, kimlik sahteciliği ve kişilerin itibarının zedelenmesi gibi sonuçlara yol açabilmektedir. Bu tür içeriklerin ayırt edilmesinin giderek zorlaşması, yalnızca bireysel haklar bakımından değil, toplumsal güven açısından da önemli bir tehdit oluşturmaktadır.
Deep fake içeriklerin yarattığı risk, klasik kişisel veri ihlallerinin ötesine geçmekte; çoğu durumda kişilik hakkına doğrudan ve ağır bir müdahale niteliği kazanmaktadır. Özellikle rızaya dayanmayan, gerçeğe aykırı ve ikna edici nitelikte üretilen görsel veya işitsel içerikler, mağdurun sosyal, mesleki ve psikolojik bütünlüğü üzerinde kalıcı etkiler doğurabilmektedir. Bu bağlamda deep fake’ler, yalnızca “hukuka aykırı veri işleme” olarak değil; çok katmanlı bir hak ihlali olarak değerlendirilmelidir.
Bu riskin normatif düzeyde açık biçimde tanındığı düzenlemelerden biri, Amerika Birleşik Devletleri’nde 2026 yılında tasarısı onaylanan DEFIANCE Act olmuştur. Söz konusu düzenleme, özellikle rızaya aykırı biçimde üretilen ve dağıtılan deep fake içerikler bakımından mağdura doğrudan sivil dava açma hakkı tanımakta; sorumluluğu yalnızca içerik barındıran platformlara değil, içeriği üreten veya bilinçli şekilde yayan fail aktörlere yöneltmektedir. Bu yaklaşım, deep fake ile mücadelede içerik kaldırma veya erişim engelleme gibi reaktif önlemlerin yetersiz kaldığını; fail odaklı ve tazminat temelli bir sorumluluk rejiminin gerekli olduğunu açıkça ortaya koymaktadır.
DEFIANCE Act’in benimsediği bu model, AI kaynaklı manipülatif içeriklerin yalnızca bireysel zararlar değil, kamusal alanda güven erozyonu yarattığı kabulüne dayanmaktadır. Gerçek ile sahte arasındaki sınırın sistematik biçimde bulanıklaştırılması, demokratik süreçler, medya güvenilirliği ve toplumsal iletişim bakımından yapısal bir risk doğurmaktadır. Bu nedenle deep fake olgusu, yalnızca teknik bir güvenlik veya veri koruma problemi değil; toplumsal düzeni ve hukuki güvenliği etkileyen normatif bir mesele olarak ele alınmalıdır.
Türk hukuku bakımından deep fake’lere özgü, müstakil ve önleyici bir düzenlemenin bulunmaması; kişilik haklarının korunmasının hâlen genel hükümler ve olay bazlı değerlendirmeler üzerinden sağlanmasına yol açmaktadır. Ancak AI destekli manipülasyonun ölçeği ve etkisi dikkate alındığında, bu yaklaşımın uzun vadede yetersiz kalacağı açıktır. DEFIANCE Act örneği, deep fake risklerinin öngörülebilir ve sistematik kabul edilmesi hâlinde, failin fiili kontrolü esas alan daha açık ve caydırıcı bir hukuki çerçevenin mümkün olduğunu göstermektedir.
5.7. Sorumluluğun Dağılımı ve Zincirleme Model
Bu risk alanları, üretilen hukuka aykırı veya zararlı çıktılarda sorumluluğun kime ait olduğu sorusunu kaçınılmaz biçimde gündeme getirmektedir. AI kaynaklı veri ihlallerinde sorumluluk, formel sıfatlara değil; fiili kontrol ve karar yetkisine göre belirlenmelidir. Sorumluluğun yalnızca kullanıcıya yüklenmesi, riskin kaynağının sistemin tasarımı, eğitimi ve sunuluş biçimiyle olan bağını göz ardı etmektedir. Bu nedenle geliştirici, sağlayıcı ve kullanıcı arasında kademeli veya zincirleme bir sorumluluk modelinin benimsenmesi gerekir.
5.8. Otomatik Karar Alma, Aydınlatma ve Unutulma Hakkı
Kişisel verilerin korunması hukuku bakımından, ÜYZ sistemlerinde otomatik karar alma süreçlerine ilişkin aydınlatma ve itiraz haklarının nasıl etkin biçimde sağlanacağı belirsizliğini korumaktadır. KVKK kapsamında öngörülen bilgilendirmenin, teknik olarak karmaşık ve şeffaf olmayan sistemler söz konusu olduğunda nasıl anlamlı hâle getirileceği tartışmalıdır. Ayrıca, kişisel veri silme taleplerinin ÜYZ sistemlerinde “machine unlearning” yoluyla karşılanıp karşılanamayacağı ve bu teknik işlemlerin hukuken silme veya anonimleştirme ile eşdeğer sayılıp sayılamayacağı açık bir düzenleme gerektirmektedir.
6. AI Act ve CNIL Rehberleri Işığında Değerlendirme
Avrupa Birliği’nin AI Act’de yer alan risk temelli yaklaşımı, KVKK’nın ilke bazlı yapısıyla birlikte değerlendirildiğinde, yüksek riskli AI sistemleri bakımından veri kalitesi, şeffaflık ve insan denetimi yükümlülüklerinin zorunlu olduğu görülmektedir. Ve lakin, işbu yasanın 10. maddesinin 5. fıkrasında; yüksek riskli AI sistemleriyle ilgili önyargı tespiti ve düzeltmesinin sağlanması amacıyla kesinlikle gerekli olduğu ölçüde, bu tür sistemlerin sağlayıcılarının, gerçek kişilerin temel hak ve özgürlükleri için uygun güvencelere tabi olarak, istisnai olarak özel kategorideki kişisel verileri işleyebileceklerini düzenlemektedir. Bu durum, kişisel veri işlenmesi konusunda esnekliği getirdiğinden, mahremiyetin korunup korunamayacağı noktasında soru işareti yaratabilmektedir.
Fransa’nın CNIL rehberleri ise GDPR ilkelerinin AI sistemlerine somut biçimde nasıl uygulanabileceğini göstermektedir. Bu kapsamda komite tarafından; makine unutma tekniklerinin geliştirilmesi, veri filtreleme ve anonimleştirme tekniklerinin sağlanması, eğitim veri setlerinin güncellenmesi, sistemlerin açık prosedürlerle kullanıma açılması, bireylerin bu sistemler tarafından üretilen verileri denetleyebilmesi, bireylere rıza ve itiraz hakkının açık bir şekilde sunulması, bireyin verilerinin AI eğitimi için kullanılmasına itiraz etme hakkı sağlanması gibi konularda öğütler verilmiştir.
7. Türkiye’de AI Düzenlemesine İlişkin Normatif Değerlendirme
Türkiye’de yapılacak bir AI düzenlemesi, yalnızca çerçeve ilkelerle yetinmemeli; kişisel veri işleyen AI sistemleri bakımından açık yükümlülükler öngörmelidir. KVKK’nın mevcut hâli, AI kaynaklı otomatik karar alma ve profil çıkarma faaliyetlerini açıkça düzenlemeye yetmemektedir.
8. Sonuç
AI ile kişisel verilerin korunması arasında mutlak bir çatışma yoktur; ancak bu iki alanın uyum içinde var olabilmesi, mevcut veri koruma rejimlerinin AI’nın teknik gerçekliği karşısında yeniden ve cesurca düzenlenmesini gerektirir. KVKK’nın mevcut hâli, AI çağını taşımakta yetersiz kalmakta; bu boşluklar muhtelif yorumlarla doldurulmaya çalışılmaktadır.
Türk hukuku bakımından gecikmiş bir AI düzenlemesi, veri koruma rejimini parçalı ve reaktif hâle getirme riski taşımaktadır. Bu nedenle KVKK ilkeleri ile küresel güncel gelişmeler birlikte ele alınmalı; açık, öngörülebilir ve sorumluluğu netleştiren bir düzenleme ivedilikle hayata geçirilmelidir.
Bu manada gerekli yasal düzenlemeler yapılmadan evvel bireylerin verilerini korumak adına yapabileceği birkaç adımlık önerilerde bulunmayı uygun görmekteyiz. Güvenli kullanımın sağlanması için öncelikle; sistemle paylaşılan kişisel verilerde minimizasyona gidilmesi, hassas ve özel nitelikli kişisel verilerin paylaşılmaması, kullanılan sistemlerin veri paylaşımına ilişkin ilkelerinin incelenmesi ve sistemin psikolojik etkileri konusunda öz farkındalık sağlanması bunlardan birkaçı olabilecektir.
Her ne kadar AI sistemleri, günlük yaşamımızda ve iş hayatımızda büyük bir konfor alanı sağlıyor olsa da dikkatsiz kullanımların en azından şimdilik mahremiyet hakkına halel getirebileceği kabul edilmelidir.
Bu manada, özellikle de şirketler tarafından kullanılan AI sistemleri; bağımsız, tarafsız ve uzman denetim şirketleri tarafından düzenli olarak denetlenmelidir.
Bir sonraki yazımızda, Avrupa Komisyonu tarafından yayımlanan AI Act ile ilgili Sıkça Sorulan Sorular’ın cevaplandırıldığı güncellenmiş versiyona da değiniyor olacağız.
Bu ve benzeri konularda detaylı bilgiler için web sayfamızı ziyaret edebilirsiniz.
Yapay zekâ hukuku ilginizi çekiyor ve bu alanda deneyimlerinizi ve yazılarınızı paylaşmak isterseniz, bizimle paylaşabilirsiniz.
Av. Şeyma Oruç, Taxai, Oves Legal
Şaban Küçük, Yeminli Mali Müşavir, Taxademy
Keyifli okumalar dileriz.
Sevgi & Saygılarımızla,
Taxia & Taxai Yapay Zekâ Hukuku Ekibi
PDF İndir
