top of page
pexels-pavel-danilyuk-8112201.jpg

Üretken Yapay Zekâ ve Kişisel Verilerin Korunması: Fırsatlar, Riskler ve Yasal Çerçeve

  • Yazarın fotoğrafı: Sarıkaya HUKUK BÜROSU
    Sarıkaya HUKUK BÜROSU
  • 5 gün önce
  • 6 dakikada okunur

Dijital teknolojiler, iletişim ve üretim biçimleriyle sınırlı kalmayıp toplumsal yapıları, karar alma süreçlerini ve bireysel yaşam alışkanlıklarını köklü biçimde dönüştürmüştür. Bu dönüşümün en dikkat çekici unsurlarından biri, hızla gelişen ve yaygınlaşan Yapay Zekâ (YZ) teknolojileridir. YZ sistemleri, büyük ve karmaşık veri setlerini analiz etme, örüntüleri tanıma ve öngörüde bulunma kapasiteleri sayesinde dijital dönüşümün temel bileşenlerinden biri haline gelmiştir.


ree

Son yıllarda öne çıkan en çarpıcı gelişme ise doğal dil girdilerine (komut/prompt) dayalı olarak insan üretimine benzer içerikler oluşturabilme kapasitesine sahip Üretken Yapay Zekâ (ÜYZ) sistemlerinin yükselişidir. ÜYZ, "büyük ölçekli veri kümeleri üzerinde eğitilen ve kullanıcı tarafından girilen istem ya da komuta (prompt) yanıt olarak metin, görsel, video, ses veya yazılım kodu gibi farklı formatlarda içerikler üretebilen YZ türünü" ifade etmektedir.


ÜYZ sistemleri; metin, görsel, ses, video veya yazılım kodu gibi çeşitli formatlarda içerik üretebilme yeteneğiyle geleneksel YZ uygulamalarının sınırlarını aşmaktadır. Ancak bu yenilikçi fırsatların yanı sıra, bu sistemlerin geliştirilmesi ve kullanılması süreçlerinde işlenen veri kümelerinin niteliği nedeniyle etik, hukuki ve toplumsal düzeyde ele alınması gereken çok yönlü riskler de ortaya çıkmaktadır.


Bu risklerin önemli bir bölümünü, geleneksel YZ sistemlerinde olduğu gibi, kişisel veriler oluşturmaktadır. Bu durum, kişisel verilerin korunmasını, ÜYZ sistemlerinin tasarımından uygulanmasına kadar tüm aşamalarda gözetilmesi gereken temel bir unsur haline getirmektedir. Teknolojik gelişmeler ile bireylerin mahremiyetinin korunması arasında dengeli bir ilişki kurulması, ÜYZ sistemlerinin insan haklarına saygılı, şeffaf, denetlenebilir ve insan merkezli bir yaklaşımla geliştirilmesi ve uygulanması açısından büyük önem taşımaktadır.



1-) Üretken Yapay Zekânın Temelleri ve İşleyişi

ÜYZ sistemleri, mevcut verilerdeki örüntüleri/kalıpları tanımlamak amacıyla yapay sinir ağları ve derin öğrenme algoritmalarını kullanır. ÜYZ, temelde geleneksel YZ teknolojilerindeki ilerlemeler üzerine inşa edilmiş olsa da, geleneksel YZ modelleri belirli görevler için tasarlanıp sınırlı veri kümeleri üzerinde eğitilirken, ÜYZ modelleri esnek ve çok yönlü bir yapıyla birden fazla işlevi gerçekleştirebilir. Geleneksel YZ'nin amacı belirli problemleri çözmek veya görevleri yerine getirmekken, ÜYZ'nin amacı yeni içerikler (metin, görsel, müzik vb.) üretmek ve özgün çıktılar elde etmektir.


İçerik üretiminde kullanılan başlıca yöntemler şunlardır:

  • Büyük Dil Modelleri (LLM): Metin tabanlı görevleri yerine getirmek için büyük metin veri setleri üzerinde önceden eğitilmiş modeller oluşturmak amacıyla derin öğrenme algoritmalarını kullanan bir YZ türüdür.

  • Üretken Önceden Eğitilmiş Dönüştürücü (GPT): İnsan diline benzer metinler üretmek amacıyla derin öğrenme yöntemlerinden yararlanan bir LLM türüdür. GPT’nin gücü, etiketsiz verilerdeki örüntüleri tanımayı öğreten üretken ön eğitim (generative pre-training) süreci ile bir girdi dizisinin tüm bileşenlerini eş zamanlı olarak işleyebilmesini sağlayan dönüştürücü (transformer) mimarisine dayanmaktadır.

  • Çekişmeli Üretken Ağlar (GAN): Görsel üretiminde kullanılan sinir ağı türleridir. GAN'lar, rastgele gürültüden çıktı (görsel gibi) üretmeye çalışan bir "üretici" (generator) ve bu çıktının belirli kriterlere göre doğru olup olmadığını değerlendiren bir "ayırt edici/ayırıcı" (discriminator) ağdan oluşur; bu ağlar birbirini alt etmeye çalışarak öğrenir.

  • Deep Fake: YZ tarafından oluşturulan veya değiştirilen, mevcut kişi, nesne, yer, varlık ya da olayları andıran ve bir kişide hatalı şekilde gerçek ya da doğru izlenimi oluşturabilecek nitelikteki görsel, ses veya video içerikleri ifade etmektedir.


ÜYZ sistemleri, girdiye karşılık en olası sonucu tahmin etmesiyle çıktı oluşturur. Bu tahmin sürecinde, kelimelerden sonra gelme olasılığı en yüksek olanı belirlemek için parametreleri kullanır.


ÜYZ modelinin yaşam döngüsü; modelin kullanım amacı ve kapsamının belirlenmesi, verilerin toplanması ve ön işlemeye tabi tutulması (sıklıkla web kazıma yöntemleriyle, yani otomatik yazılımların kullanılmasıyla kamuya açık kaynaklardan veri elde edilmesiyle), modelin eğitilmesi ve ince ayarının yapılması, değerlendirilmesi ve son olarak yerleştirilmesi ve izlenmesi aşamalarından oluşmaktadır.



2-) Kişisel Veri İşleme ve Hukuki Çerçeve (6698 Sayılı Kanun)

ÜYZ sistemlerinin veri odaklı işleyişi nedeniyle, yaşam döngüsünün çeşitli aşamalarında kişisel veri işleme faaliyetleriyle karşılaşılabilmektedir. Türkiye'de yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca, kişisel verilerin işlendiği her durumda bu hukuki çerçeve uygulama alanı bulmaktadır.


Kanun'un 3. maddesi uyarınca "kişisel veri", "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmıştır. ÜYZ sistemlerinde, girdi (prompt) kişisel veri içermese bile, modelin eğitim verilerinden öğrendiği bilgiler doğrultusunda çıktı aşamasında bir gerçek kişiye ilişkin verileri yeniden üretmesi (Örnek 3) söz konusu olabilmekte, bu da kişisel veri işleme faaliyeti kapsamında değerlendirilebilecektir.


Kişisel verilerin hukuka uygun şekilde işlenebilmesi için Kanun’un 5. veya özel nitelikli kişisel veriler için 6. maddesinde belirtilen işleme şartlarından en az birine dayanılması zorunludur. Kanun'daki mevcut işleme şartları YZ faaliyetlerine de uygulanır.


Kanun'un 5. maddesi kapsamında, ÜYZ sistemlerinde öne çıkan işleme şartları şunlardır:

  • Açık Rıza: İşleme, açık rıza dışındaki Kanun’da sayılan şartlardan birine dayanmıyorsa, ilgili kişinin açık rızası alınmalıdır. Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Rıza alınırken, kullanılan ÜYZ sisteminin türü, verinin geliştirme mi yoksa çalıştırma amacıyla mı işleneceği ve çıktıların niteliği gibi hususlarda bilgi verilmesi faydalı olacaktır.

  • Sözleşmenin İfası: Veri işlemenin, sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması ve kişisel verilerin sözleşmenin taraflarına ait olması kaydıyla mümkündür. Örneğin, bir sohbet botunun hizmeti ifa etmesi için kullanıcının girdilerinin işlenmesi bu şarta dayandırılabilir, ancak modelin geliştirilmesi gibi zorunlu olmayan ek işlemler bu şarta dayandırılamaz.

  • Verinin İlgili Kişi Tarafından Alenileştirilmiş Olması: Bu şart, alenileştirilmiş verilerin herhangi bir amaçla serbestçe işlenebileceği anlamına gelmemektedir. Alenileştirme şartına dayanılabilmesi için, veri işleme faaliyetinin ilgili kişinin alenileştirme iradesiyle uyumlu olması gerekmektedir. Örneğin, herkes tarafından serbestçe erişilebilen verilerin, alenileştirme iradesinin sınırlarını aşacak şekilde ÜYZ modelini eğitmek amacıyla kullanılması mümkün olmayacaktır.


Veri Sorumlusunun Meşru Menfaati: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda uygulanır. Bu şarta dayanmak için, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve hürriyetleri karşılaştırılarak bir denge testi (denge testi) yapılması gerekmektedir.



3-) Üretken Yapay Zekâ Kullanımının Riskleri ve Genel İlkeler

ÜYZ sistemleri, hatalı, tutarsız, ön yargılı veya yanıltıcı/manipülatif çıktılar oluşturma riski taşımaktadır. Bu risklerin azaltılması için Kanun’un 4. maddesinde sayılan genel ilkelere uygun hareket edilmesi zorunludur.


Önemli Riskler:

  1. "Halüsinasyonlar" ve Tutarsız Çıktılar: ÜYZ modelleri, gerçek görünümü altında görünüşte makul ancak gerçekte yanlış çıktılar oluşturabilir (halüsinasyon). Bu hatalar, modellerin istemleri anlamaktan ziyade, eğitildikleri veriler üzerinden istatistiksel olarak en olası çıktıları üretmeye dayalı yapısından kaynaklanır.

  2. Ön Yargı ve Yanlı Çıktılar: Eğitim verilerindeki dengesizlikler veya ön yargılar, sistem çıktılarına yansıyarak ayrımcı ve adaletsiz sonuçlara yol açabilir. Birçok ÜYZ modelinin "kara kutu" (black box) niteliğinde olması, karar alma süreçlerinin insanlar tarafından tam olarak anlaşılamaması anlamına gelir.

  3. Deep Fake ve Manipülatif İçerikler: ÜYZ sistemleri, son derece gerçekçi görünen sahte görsel, ses ve video içerikleri oluşturarak yanlış bilgi yayılmasına, kimlik sahteciliğine veya bireylerin itibarının zedelenmesine yol açma riski taşımaktadır. Bu riskler, özellikle gelişim çağındaki çocuklar için daha yüksek bir tehdit oluşturmaktadır.


Uygulanması Gereken Temel İlkeler:

  • Hukuka ve Dürüstlük Kurallarına Uygun Olma: Veri sorumlusu, ilgili kişilerin makul beklentileriyle çelişmeyecek şekilde hareket etmeli ve algoritmik ön yargı risklerini azaltmak için veri kümelerini çeşitlilik ve kapsayıcılık ölçütlerine göre yapılandırmalıdır.

  • Doğru ve Gerektiğinde Güncel Olma: Sistem çıktılarının doğruluğu, kullanılan verilerin kalitesi ve güvenilirliği ile ilişkilidir. Halüsinasyon riskini azaltmak için eğitim verilerinin kaynağı kayıt altına alınmalı, hatalı ve güncelliğini yitirmiş bilgiler ayıklanmalı ve çıktıların insan gözetimi mekanizmalarıyla desteklenmesi önemlidir.

  • Belirli, Açık ve Meşru Amaçlar için İşlenme ile İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: İşleme faaliyetleri, "ÜYZ sistemi geliştirmek" gibi geniş ifadeler yerine, yaşam döngüsünün her aşaması için spesifik, açık ve gerekçelendirilebilir amaçlarla sınırlandırılmalıdır. Veri minimizasyonu gereğince, model performansını artırmak amacıyla gereksiz ve orantısız veri toplamaktan kaçınılmalıdır.



4-) Sorumluluk, Şeffaflık ve Güvenlik Mekanizmaları

ÜYZ sistemlerinin karmaşık yapısı, veri sorumlusu ve veri işleyen rollerinin tespitini geleneksel faaliyetlere kıyasla daha güç hale getirmektedir. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişidir. Rollerin belirlenmesinde, sözleşmesel ifadelerden ziyade, kişisel verilerin işlenmesine ilişkin temel kararları kimin aldığı (amaç ve vasıtaları kimin belirlediği) esas alınmalıdır.


Şeffaflık (Kanun m. 10) ve İlgili Kişi Hakları (Kanun m. 11):


  • Veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişilere Kanun’un 10. maddesinde sayılan hususlar konusunda (amaç, kimlik, aktarım, yöntem, hukuki sebep ve diğer haklar) bilgi vermekle yükümlüdür.

  • Aydınlatma, ÜYZ sisteminin çalıştırılması ve geliştirilmesi için yapılacak işlemeler açısından ayrı ve açıkça yapılmalıdır.

  • Kullanıcıların, bir YZ sistemiyle etkileşim kurduklarını açıkça bilmeleri şeffaflık açısından önemlidir.

  • İlgili kişiler, verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhlerine çıkan sonuca itiraz etme hakkına sahiptir (Kanun m. 11/1-g).

  • Bu hakların etkin kullanımı için, geliştirme süreçlerinden itibaren "tasarımdan itibaren mahremiyet" (privacy by design) ve "varsayılan olarak mahremiyet" (privacy by default) yaklaşımlarının benimsenmesi kritik öneme sahiptir.



Veri Güvenliği Tedbirleri:

Veri sorumluları, Kanun'un 12. maddesi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbiri almak zorundadır. ÜYZ sistemlerine özgü olarak;


  • Mahremiyet artırıcı teknolojilerin (privacy-enhancing technologies) entegrasyonu, kişisel verilerin mahremiyetini teknik düzeyde koruyabilir.

  • Sistem zafiyetlerine (istem enjeksiyonu veya jailbreak girişimleri gibi) karşı teknik kontrollerin entegre edilmesi ve düzenli izlenmesi gerekir.

  • Güvenilir kaynaklardan veri kümeleri kullanılmalı ve düzenli doğrulama kontrolleri yapılmalıdır.

  • Olası zararları önlemek adına, risk değerlendirmeleri (veri koruma etki değerlendirmesi dahil) düzenli olarak gözden geçirilmelidir.



5-) Bireylere Yönelik Öneriler

Bireylerin ÜYZ uygulamalarını kullanırken kişisel veri güvenliğini öncelikli tutmaları gerekmektedir.


  • Kullanıcılar, ad-soyad, adres, telefon numarası gibi kimliği doğrudan tanımlamaya elverişli kişisel verilerin paylaşımından kaçınmalıdır.

  • Mümkün olduğunca anonimleştirilmiş veya genelleştirilmiş ifadeleri tercih etmek tavsiye edilmektedir.

  • Sağlık veya finansal bilgiler gibi hassas nitelikteki bilgilerin ÜYZ sistemleriyle paylaşılmasından kaçınılmalıdır.

  • Bireyler, kullandıkları ÜYZ uygulamalarının veri toplama, işleme amaçları ve saklama süreleri hakkındaki aydınlatma metinlerini ve gizlilik politikalarını dikkatle incelemelidir.


Çocukların Kullanımı: Ebeveynler, çocukların kullandığı ÜYZ araçlarının yaşa uygunluğunu kontrol etmeli, kullanım koşulları ve içerik filtreleme özelliklerini incelemelidir. Çocuklar, deep fake içeriklere karşı yetişkinlere oranla daha yüksek düzeyde tehdit altında olabilirler. Bu nedenle ebeveynler, çocukların kişisel bilgilerini (okul bilgileri, adres) araçlar üzerinden paylaşmamaları konusunda bilgilendirme yapmalı ve etik kullanım bilinci kazandırmalıdır.

 
 
 

Yorumlar

5 üzerinden 0 yıldız
Henüz hiç puanlama yok
Puanlama ekleyin
bottom of page