Kişisel Verileri Koruma Kurum’u tarafından 2 Temmuz 2024 tarihinde yayınlanan Kişisel Verileri Koruma Dergisi’nin yeni sayısı ile ‘ChatGPT’nin Gölgesinde Kişisel Verilerin Korunması’ başlıklı makale yayınlandı. Makaleyle ChatGPT’nin mevcut hukuki çerçeve içinde nasıl konumlandığı ve hangi veri koruma prensiplerini ihlal edebileceği ele alındı.

GDPR ve KVKK gibi düzenlemeler, kişisel veri işlemeyi sınırlı amaçla ve şeffaf bir şekilde yapmayı, veri minimizasyonu ve veri sahiplerinin haklarının korunmasına ilişkin prensipleri ortaya koyuyor. Bu çerçevede yapay zeka teknolojilerinin bu prensiplerle nasıl uyumlanacağı ve potansiyel olarak ihlal teşkil edilebilecek noktaların değerlendirilmesi gerekiyor.

Veri minimizasyonu: Veri minimizasyonu ilkesi, kişisel verinin sadece işleme amacı doğrultusunda gerekli ve yeterli miktarda verinin işlenmesini öngörüyor. ChatGPT gibi yapay zeka sistemleri, geniş veri kümeleri üzerinden cevap vermesi için programlandığından büyük miktarda kişisel veriyi işliyor. Bu durum, veri minimizasyonu ilkesiyle çelişiyor.

Uzun vadede kişilerin daha net cevaplar alabilmek için veri girişi yapması ile ChatGPT haiz olduğu veri kitlesini daha da genişletmiş olacak.

Algoritmik kararlar ve insan müdahalesi: GVKT m.22, kişilere algoritmik kararlara itiraz etme hakkı tanıyor. Ancak bu hak, sadece belirli koşullar altında ve insan müdahalesinin etkin olduğu kararlar için geçerli olabilir. 

ChatGPT gibi sistemlerin algoritmik kararlarında bu hakkın nasıl uygulanacağı ve hangi durumlarda insan müdahalesinin gerekli olduğu önemli bir tartışma konusu.

Hukuka uygun veri işleme prensibi: Kişisel veriler, bir hukuka uygunluk sebebinin varlığı halinde işlenebilir. ChatGPT’nin hukuka uygun veri işlemesi için kullanıcıların açık rızasını alması gerekiyor. Bu noktada, kullanıcıların ChatGPT platformunu kullanıyor olması, tereddütsüz bir açık rıza teşkil ettiği şeklinde değerlendirilirse, ilkeyle uyum söz konusu olacak. Ancak kullanıcı olmayan kişilerin verilerinin işlenmesi, hukuka uygunluk bakımından ciddi sorunlar doğurabilir. Kullanıcı olmayan kişiler bakımından hukuka uygunluk sebeplerinden meşru menfaat akla geliyor. Ancak ChatGPT’nin ekonomik menfaat sağlıyor olması veya toplumun bilgi ihtiyacını karşılıyor olmasının, ‘meşru menfaat’ halini teşkil edip etmeyeceği ise tartışmalı.

Sınırlı süreyle verilerin muhafaza edilmesi prensibi: Kişisel verilerin, işlenmesi amacı için gerekli olan süreden daha uzun süre depolanmaması gerekiyor. ChatGPT’de kullanıcıların geçmiş yazışmaları 30 gün sonra siliniyor; mevcut konuşmalar ise süresiz olarak kaydediliyor. Verilerin depolanması için kullanıcıların konuşmaların kaydedilmesi yönünde rızasının aranmıyor oluşu, verilerin sınırlı süreyle muhafaza edilmesi ilkesine açıkça aykırılık teşkil ediyor. 

Sınırlı amaçla veri işleme prensibi: Veri sorumlularının veri işleme amacını belirlemesi ve bu amaç dışında veri işlememesi gerekiyor. ChatGPT gibi yapay zeka teknolojileri, kişisel verileri toplandığı andaki amacın dışında kullanabildiğinden, sınırlı amaçla veri işleme prensibine tam olarak uygun davranmıyor. Ancak aksi durumda, yeni amaçlar ortaya çıktıkça yeniden rıza alınacağına ilişkin senaryoda ise pratikte imkansızlığa varan zorluklar yaratıyor.

Şeffaflık prensibi: Kişisel veri işleme sürecinin ve işlenen verilerin anlaşılabilir ve kolay erişilebilir olması gerekiyor. ChatGPT’nin karar alma süreciyle ilgili açıklamalar yapması ve ilgili kişilere bilgi vermesi önemli. Ancak bu süreçte de çeşitli belirsizlikler ve hukuki boşluklar bulunuyor. 

ChatGPT gibi gelişmiş yapay zeka sistemlerinin kullanımı, kişisel verilerin korunması açısından hem fırsatları hem de riskleri beraberinde getiriyor. Bu kapsamda, ChatGPT ve benzeri yapay zeka teknolojileri, kişisel veri koruma hukuku ile uyumlu olma konusunda birçok zorlukla karşı karşıya. Bu teknolojilerin verimli olabilmesi için sürekli ve güncel verilerle eğitilmeleri ve denetlenmeleri gerekiyor. Ancak bu verilerin büyük bir kısmı kişisel veri olduğundan Kişisel Veri Koruma Hukuku’na tam uyum sağlanması oldukça zor görünüyor. Alınacak önlemlerin yeterli olup olmayacağı ve yapay zeka teknolojilerinin kişisel verileri koruma hukuku prensiplerine ne derece uyumlu olacağı gelecekte daha da önem kazanacak.

19 Ağustos 2024 Pazartesi