Kişisel Verileri Koruma Kurumu tarafından resmi internet sitesinde 8 Kasım 2024 tarihinde yayımlanan Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu’nda sohbet robotları hakkında temel bilgilere yer verilmekle birlikte; kişisel verilerin korunması bağlamında değerlendirmeler ve uygulama geliştirilmesinde dikkat edilmesi gereken unsurlar ele alınmıştır. Ayrıca, sohbet robotlarının, kişisel verilerin işlenmesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yükümlülüklerinin yerine getirilmesi ve kişisel verilerin güvenliğinin sağlanmasına dair uluslararası standartlara uygun olması gerektiğini vurgulamaktadır.

Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu (“Bilgi Notu”), sohbet robotlarının çeşitli sektörlerde müşteri desteği, içerik oluşturma ve bilgi erişimi gibi alanlarda nasıl entegre edildiğini ve beraberinde getirdiği yasal sorumlulukları ele almaktadır. Sohbet robotları, Doğal Dil İşleme (Natural Language Processing – NLP) ve makine öğrenimi tekniklerini kullanarak insan konuşmasını simüle ederken, kişisel verilerin işlenmesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) yükümlülüklerinin yerine getirilmesini ve kişisel verilerin uluslararası standartlar da vurgulamaktadır.

Bu çerçevede Bilgi Notu, veri gizliliği ve güvenliği ile ilgili çeşitli hususları ana hatlarıyla ele almaktadır:

  • Sohbet robotları, uygulamaya ve kullanım bağlamına göre değişen kullanıcı kimlik bilgileri, mesaj içeriği, cihaz bilgileri ve IP adresleri gibi çeşitli kişisel verileri işlemektedir.
  • Sohbet robotları kullanıcılarının, veri saklama, paylaşım uygulamaları ve güvenlik önlemlerinin ayrıntıları da dahil olmak üzere verilerinin işlenme şekli hakkında bilgilendirilmesi gerektiğini belirtmektedir.
  • Kullanıcıların kişisel verilerinin bir sohbet robotu tarafından işlenmesine ilişkin tercihleriyle ilgili gizlilik endişelerinin ele alınması gereği ve kullanıcı farkındalığı ve eğitiminin önemini vurgulamaktadır.
  • Kullanıcı farkındalık eksikliğinden kaynaklı olarak kullanıcılar tarafından mahremiyetlerini riske atabilecek düzeyde bilgi paylaşılması (aşırı paylaşım yapılması v.b.) ve sohbet robotu uygulamalarındaki teknik açıklıklar dolayısıyla siber saldırılara konu olabileceği sebebiyle veri ihlalleri meydana gelmesi ihtimaline dikkat çekmektedir.
  • Sohbet robotu uygulamalarının, veri işlemenin hukuka uygunluk çerçevesiyle tutarlı bir şekilde yürütülmesini sağlamak için KVKK de dahil olmak üzere veri koruma mevzuatında belirtilen şartlara uyması gerektiğini belirtmektedir. Bununla birlikte, uluslararası standartlara uygun olması, sertifikalarının bulunması ve başlangıçtan itibaren mahremiyet ve varsayılan mahremiyet yaklaşımlarının uygulamaların geliştirilmesi sürecinde her aşamada dikkate alınması gerektiği vurgulanmıştır.
  • Kişisel verileri işlemeye başlamadan önce risk değerlendirmesi yapılması, kişisel verileri koruma mevzuatında belirlenen genel ilkeler ile uygulamalar oluşturulurken hesap verilebilirlik ilkesine uygun hareket edilmesi, KVKK’de belirlenen kişisel verileri işleme şartlarının sağlanması ve işlemenin yasal dayanağının açıklanması gerektiği vurgulanmıştır. Öte yandan, KVKK’ye uygun olarak aydınlatma yükümlülüğünün yerine getirilmesine ve kişisel veri güvenliğine ilişkin gerekli teknik ve idari tedbirlerin alınmasına dikkat edilmesi gerektiğinin de altı çizilmiştir.

Bilgi Notu’nun tam metnine bu bağlantıdan erişebilirsiniz.