Yapay zeka uygulamaları veri koruma otoritelerinin radarı altında

Av. Begüm Yavuzdoğan Okumuş

Av. Seda Öztürk

Yapay zeka tabanlı sistemlerin, kullanıcılardan toplanan verileri nasıl kullandığı ve depoladığı konusundaki endişeler gerek veri koruma otoriteleri nezdinde gerekse veri güvenliği ve gizlilik konularında faaliyet gösteren profesyonellerce son dönemde sıklıkla tartışılmakta ve konuya ilişkin yayınlanan kararlar, yayınlar ve basın bültenleri aracılığıyla gündemdeki sıcaklığını korumaktadır.
İtalya Veri Koruma Otoritesi, Garante per la protezione dei dati personali’nin (Garante), ChatGPT hakkında geçici kısıtlama kararı alması ve akabinde bu kararı kaldırdığını duyurması, bu tartışmaların merkezine ChatGPT’yi almış oldu. ABD merkezli OpenAI tarafından geliştirilen büyük bir dil modeli olan ChatGPT, derin öğrenme algoritmalarını kullanarak insan benzeri dil üretebilme yeteneğine sahip yapay zeka tabanlı bir sohbet robotu olarak tanımlanmakta ve ChatGPT, doğal dil işleme teknolojisi kullanmak suretiyle anlamlı yanıtlar üretebilmek için büyük veri kümeleri kullanmaktadır.

ChatGPT ve benzeri uygulamaların, kullanıcılarla etkileşim kurarken kullanıcılardan toplanan verileri nasıl kullandığı ve depoladığı konusunda yeterli şeffaflığın bulunmaması, kullanıcıların verilerinin gizliliği ve güvenliği noktasında endişeler yaratmaktadır. ChatGPT'nin gizlilik politikasının yeterince açık olmadığı, toplanan verilerin kullanımı hakkında yeterli bilgi vermediği, kullanıcılara verileri üzerinde yeterli kontrol sağlamadığı, verilerin korunması için yeterli güvenlik önlemlerinin alınıp alınmadığı hususunda açık ve şeffaf bir bilgilendirmenin olmaması ve ChatGPT'nin diğer uygulamalarla veya hizmetlerle entegre olması durumunda, kullanıcı verilerinin üçüncü taraflarla paylaşılıp paylaşılmayacağı hususunun belirsiz olduğu yönündeki düşünceler bu tartışmaların temelini oluşturmaktadır.

Garante’nin ChatGPT değerlendirmesi

ChatGPT’nin son dönemlerde oldukça hızlı bir büyüme eğilimi göstermesi ve herkes tarafından merak edilerek kullanılmaya başlanması ile birlikte, Hollanda, Fransa, İspanya, İtalya ve Birleşik Krallık veri koruma otoritelerinin yapay zeka tabanlı uygulamalar üzerindeki denetimlerini artırarak ve bu alandaki materyalleri yayınlayarak yapay zekaya odaklandığı bir dönemden geçiyoruz. Bu konudaki en dikkat çeken adım da ilk olarak İtalya’dan geldi. 20 Mart 2023 tarihinde ChatGPT kullanıcılarının görüşmelerini ve abonelerin hizmete yaptığı ödemelere ilişkin bilgileri etkileyen bir veri ihlali bildirimi üzerine harekete geçen Garante, 30 Mart 2023 tarihinde ChatGPT'nin, yapay zeka sohbet botu hizmetinin, Avrupa Birliği'nin Genel Veri Koruma Tüzüğü’nü (GDPR) ihlal ettiğinden şüphelenerek, ChatGPT'nin gizlilik uygulamalarına ilişkin soruşturmanın sonucu beklenene kadar, ABD merkezli şirketin İtalya’da ikamet eden kullanıcılara ait verileri işlemeyi geçici olarak durdurmasına karar vermişti. Garante’nin kararında dikkat çeken GDPR ihlalleri ise, ChatGPT tarafından verileri toplanan kullanıcılara ve diğer veri sahiplerine ChatGPT'nin kullanıcı kişisel verilerinin işlenmesine ilişkin olarak yeterince açık ve şeffaf bir bilgilendirmenin yapılmaması, platformun işleyişinin temelini oluşturan algoritmaları eğitmek amacıyla kişisel verilerin toplu olarak toplaması ve depolamasının yasal bir dayanağının bulunmaması, ChatGPT tarafından sağlanan bilgilerin her zaman gerçek veriler ile eşleşmemesi nedeniyle verilerin yanlış şekilde işlenmesi ve çocuklara yönelik yaş tespiti gibi bir filtre sisteminin olmaması, çocukların gelişim ve farkındalık düzeylerine uygun olmayan yanıtlara maruz kalması olarak belirtilmiştir. Bilhassa çocuk kullanıcılar bakımından Garante’nin ChatGPT’nin gizlilik politikasında hedef kitlesinin 13 yaş üzerindeki kişiler olduğunu duyurmasının yeterli bulunmadığı dikkat çekmektedir. Garante’nin kararı, aynı zamanda kişisel verilerin bir algoritmik model oluşturmak veya eğitmek için kullanılması ile kişisel verilerin geliştirilmiş belirli bir algoritmik modele kullanıcı tarafından fiilen girilmesi arasında bir ayrım yapılmaması bakımından oldukça önemlidir.

Garante’nin geçici kısıtlama kararının akabinde, OpenAl tarafından veri güvenliğine ilişkin endişeleri gidermek adına geliştirilmiş şeffaflık ve veri sahibinin haklarına ilişkin bir dizi değişiklik yapılmasının ardından, ChatGPT, İtalya’da yeniden kullanıma açılmış oldu. Platform artık kullanıcılara, konuşmaların ChatGPT'nin algoritmalarını eğitmek için kullanılması seçeneğini devre dışı bırakma hakkı dahil olmak üzere kullanıcılara verileri üzerindeki kontrolü sağlayıcı bir çok hak getirilmiş oldu. Çocukların verileri bakımından ise 13 yaşından küçük çocukları korumaya yönelik kontroller de devreye alınarak, ChatGPT’ye İtalya'dan erişen kullanıcılar için yaş doğrulama araçları getirildi. Verilerin yanlış işlenmesi ve her zaman doğru verinin sunulamayacağına ilişkin olarak da ChatGPT'nin "kişiler, yerler veya gerçekler" hakkında yanlış bilgi üretebileceğine dair bir bildirim de sitede yayınlanarak, gizlilik politikasında da bir takım güncellemeler yapıldı.

ChatGPT Türkiye Gizlilik Politikası

ChatGPT’ye Türkiye’den erişim sağlayan kullanıcılar bakımından sitede yayınlanan ve son olarak 27 Nisan 2023 tarihinde güncellenen Gizlilik Politikası’nda kullanıcı verilerinin hangi amaçlarla işlendiğine dair açıklamalar, ChatGPT veri işleme süreçlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuat karşısındaki durumunun değerlendirilebilmesi için referans alınacak önemli bir kaynak özelliği göstermektedir.

ChatGPT, Gizlilik Politikası’nda, kullanıcıların sohbet geçmişi, arama geçmişi, kullanıcının arama sorguları, tarayıcı bilgileri, cihaz bilgileri ve konum bilgileri gibi kullanıcılardan topladığı kişisel verilerin, hizmetleri sağlamak, yönetmek, sürdürmek ve/veya analiz etmek, doğal dil işleme ve yapay zeka teknolojileri kullanarak daha iyi bir kullanıcı deneyimi sağlamak, hizmetleri geliştirmek, kullanıcılar ile iletişime geçmek, hizmetlerin kötüye kullanılmasını önlemek, bilgi teknolojileri sistemlerinin ve ağ güvenliğinin sağlanması, yeni programlar ve hizmetler geliştirmek ve yasal yükümlülüklerin yerine getirilmesi ve şirketin meşru menfaatlerinin korunması amacıyla işlendiğini belirtmiştir. Bu noktada veri işleme bakımından hukuki nedenlerin KVKK uyarınca sözleşmenin kurulması ve ifası, meşru menfaatlerin korunması için veri işlemenin gerekli olması, hukuki yükümlülüklere uyum gibi hukuki nedenlere dayanıldığı görülmektedir. Platforma kayıt esnasında istenen bilgilerin girilmesinden sonra devam et butonuna tıklandığında kullanım koşulları ve gizlilik politikasının kabul edilmiş varsayılacağı belirtilmiştir.

ChatGPT, kullanıcılara sohbet geçmişine dair verilerin uygulamanın geliştirilmesi için kullanımına izin verip vermeme noktasında verileri üzerinde bir kontrol sağlamakla birlikte, buna izin vermeyen kullanıcıların sohbet geçmişlerinin 30 gün içerisinde sistemlerden silineceğine dair bir bildirim yer almaktadır. Kayıt esnasında yaş doğrulamaya ilişkin aktif bir doğrulama sistemi bulunmaması da Türkiye’den erişim sağlayan kullanıcılar bakımından Kişisel Verileri Koruma Kurulu (Kurul) tarafından ele alınması beklenen önemli bir ayrıntı olarak karşımıza çıkmaktadır.

Gizlilik Politikası’nda ABD dışındaki kullanıcı verileri bakımından, AB ülkeleri, Birleşik Krallık ve İsviçre’deki kullanıcılar için GDPR kapsamında ek bilgilendirmelere de yer verildiği görülmektedir. Veri işlemenin hukuki dayanağına ilişkin Gizlilik Politikası’nda belirtilen veri işleme şartlarının KVKK bakımından karşılığını değerlendirecek olursak da, KVKK’daki veri işleme şartlarının GDPR ile paralellik göstermesi bakımından sunulan bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gibi açık rıza dışındaki kişisel veri işleme şartlarına dayanıldığı görülmektedir. Kullanım Koşulları ve Gizlilik Politikası’nın sadece İngilizce dilinde yayınlanmış olmasının Türkiye’den erişim sağlayan kullanıcılar bakımından içeriğin kolay anlaşılır bir biçimde sunulmaması ve kullanıcıların kullanım şartlarını tam olarak anlayamadan kabul etmesi ihtimali bulunduğu sonucunu doğurmaktadır. Verilerin yurt dışına aktarımı bakımından ise, Türkiye’den erişim sağlayan kullanıcılar için mevcut uygulamanın KVKK bakımından bir ihlal sebebi olacağını öngörmekteyiz. Ayrıca veri sorumluları siciline (VERBİS) kayıt yükümlülüğü de dikkate alınması gereken ayrı bir hukuki yükümlülüktür. Ayrıca yapay zeka uygulamalarının genel olarak KVKK altında da ilgili kişilere sunulması gereken haklar arasında yer alan, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkına son derece önem verilmesi gereken uygulamalar olduğunu da söylemek gerekir. Bu yolla işlenen verilerin kişiler hakkında aleyhe sonuç çıkarması muhtemel olup, bu husus KVKK’da yer alan bir itiraz sebebidir. Esasen bu konu GDPR altında çok detaylı düzenlenmiş olup, AB ülkeleri bununla da yetinmeyip yapaz zeka hakkında ayrı bir mevzuat hazırlığı içindedir.

Diğer yandan Birleşik Krallık gibi konuya inovasyon odaklı yaklaşan ülkeler açıklamalarında üretici yapay zekanın regüle edilmesi, bunun da yapay zekaya ilişkin fırsat ve risklerin ele alınmasına ilişkin olarak multidisipliner bir tutumla ortak ilkelerin benimsenmesi suretiyle yapılması gerekliliğine işaret ediyor.

ChatGPT ile birlikte yapay zeka uygulamalarının ve kişisel verilerin bu yolla otomatik olarak işlenmesinin farklı boyutlarıyla uzun bir süre gündemde kalarak, tüm boyutları ile ele alınıp çok daha fazla tartışılacağı şüphesiz. ChatGPT gibi yapay zeka tabanlı uygulamaların gizlilik politikaları konusunda açık ve şeffaf bir şekilde bilgi vermesi ve kullanıcıların verilerini korumak için gerekli adımları atması oldukça önemli olup, veri koruma otoritelerinin, bu tür sistemlerin uygun şekilde çalışmasını sağlamak için düzenli olarak denetimler yapacağı da öngörülmektedir. Genel olarak tüm yeni nesil uygulama ve çözümlerin mutlaka kişisel verilerin korunması ve gizlilik bakımından ön denetimden geçirilmesi ve uygulamaların hukuka uygunluk kontrolünün ve analizinin ürün ve uygulamalar kullanıma sunulmadan yapılması önemlidir.

Tüm yazılarını göster