Türkiye’de yapay zeka (“YZ”) regülasyonu konusunda son dönemdeki gelişmelere bir yenisi daha eklendi. MA Gazette’nin 107. sayısında yer verdiğimiz Ulusal Yapay Zeka Stratejisi’nin ardından bir diğer çalışma da Kişisel Verileri Koruma Kurulu (“KVKK”) tarafından geldi.
YZ alanında faaliyet gösteren geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar için 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) bağlamında kişisel verilerin korunması amacına yönelik önerileri içeren Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler Rehberi (“Rehber”) kapsamında Avrupa Komisyonu ve OECD’nin önceki çalışmalarından yararlanılmıştır.
Rehber’de öne çıkan başlıklar aşağıda gibidir:
- YZ uygulamalarının geliştirilmesinde etik çerçeveye uyulmalı; temel insan haklarına saygılı, sosyal değerlerle uyumlu ve şeffaf bir yaklaşım benimsenmelidir.
- Kişisel veri işleme temelli YZ ve veri toplama çalışmaları, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olmalıdır.
- Kişisel verilerin korunması açısından yüksek risk öngörülen YZ çalışmalarında mahremiyet etki değerlendirmesi uygulanmalı ve veri işleme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmelidir.
- Kişisel veri işleme temelli YZ uygulamalarının her aşamasında ve bu alandaki çalışmalardaki paydaşların her biri tarafından veri koruma mevzuatına tam uyum sağlanmalıdır.
- Bağlamından koparılmış algoritma modelleri (başlangıçta belirli bir YZ modeli için tasarlanmış algoritmaların amacı dışında farklı bir amaç ya da YZ modelinde kullanılması), bireyler ve toplum üzerinde olumsuz etkilere sebep olma riski açısından dikkatle değerlendirilmelidir.
- YZ uygulamaları ile etkileşime giren kişiler, kişisel veri işleme faaliyetinin gerekçeleri, kişisel verilerin işlenmesinde kullanılan yöntemlerin detayları ile muhtemel sonuçları hakkında aydınlatılmalı ve gerekli haller için etkili bir veri işleme onay mekanizması tasarlanmalıdır. Bu bağlamda veri sahiplerinin ilgili haklarını kullanmaları mümkün kılınmalıdır.
Rehber’de karar alıcı konumdaki kurum ve kuruluşlar için de birtakım tavsiyelerde bulunulmuştur:
- Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürleri benimsenmeli ve sektör/uygulama/donanım/yazılım temelinde bir uygulama matrisi oluşturulmalıdır.
- Davranış kuralları ve sertifikasyon mekanizmaları gibi uygun önlemler alınmalıdır.
- İlgili kişilerin temel hak ve özgürlüklerini önemli ölçüde etkileme ihtimali ortaya çıktığında YZ alanında düzenleme ve/veya denetleme yapmaya yetkili otoritelere başvurulmalıdır.
Rehber’in tam metnine bu bağlantıdan ulaşabilirsiniz.
