KVKK : YAPAY ZEKA ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER

Kişisel Verileri Koruma Kurumu (KVKK), kişisel verilerin işlenmesinde aktif olarak yer alan yapay zeka teknolojisinin veri işleme faaliyetlerinde kullanımında dikkat edilmesi gerekenlerle ilgili önerilerini bugün resmi internet sayfası üzerinden kamuoyu ile paylaşmıştır.

Genel olarak temel hak ve özgürlüklerin önemini vurgulayan tavsiye metninde; her bir uygulamanın kişisel verilerin korunmasının temel ilkeleri olan hukuka uygunluk, dürüstlük, ölçülülük, hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkelerine uygun olması gerektiğinin altı çizilmiştir.

Kişisel verilerin korunmasında kullanılacak olan yapay zeka programlarının tasarımında ve uygulamalarında başından itibaren özellikle nelere dikkat edilmesi gerektiğinin ele alındığı tavsiye metninde, kişisel verilerin işlenmesinde dikkat edilmesi gereken teknik hususlara da yer verilmiştir.

Ek olarak, karar alma mekanizmalarına yönelik tavsiyelerde, yapay zekanın kişi ve toplum üzerindeki etkilerine yönelik ve kişilerin karar alma sürecinde bağımsız hareket edebilmelerini sağlayabilmek için gerekli her türlü araştırmanın, çalışmanın yapılması ve önlemin alınmış olmasının önemi ifade edilmiştir.

Genel olarak, söz konusu tavsiyeler kısaca aşağıdaki gibidir :  

  • Genel Nitelikli Tavsiyeler;

 

  • Kişisel temel hak ve özgürlükler temel alınmalı; kişinin onurunu kıracak durumlara mahal verilmemelidir.162f-0e61-4a43-98d0-3e7d057ac31a.pd5a1162f-0e61-4a43-
  • Veri güvenliğine dikkat edilmelidir.
  • Kişisel verilerin işlenmesinde potansiyel riskler önlenmeli ve azaltılmalıdır.
  • Yüksek risk ihtimalinde, veri işleme faaliyetinin hukuka uygunluğuna mahremiyet etki değerlendirmesi sonucunda karar verilmelidir.
  • Tüm sistemler başından itibaren veri koruma hukukunun temel ilkelerine göre geliştirilmeli ve yönetilmelidir. Her proje özel bir veri koruma uyum programına sahip olmalıdır.
  • Özel nitelikli kişisel veri işlenmesi durumunda, özel veri koruma kurallarıyla beraber teknik ve idari tedbirler sıkı bir şekilde uygulanmalıdır.
  • Sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, veriler anonim hale getirilerek işlenmelidir.
  • Veri sorumlusu veya veri işleyen olma statüleri projenin başında belirlenerek sorumlular arasındaki hukuki ilişki veri koruma mevzuatı ile uyumlu hale getirilmelidir.

 

  • Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler;

 

  • Kişisel veri mahremiyetini esas alan bir yaklaşım gözetilmelidir.
  • Uygun risk önleme ve azaltma tedbirleri alınmalıdır.
  • İlgili kişiler üzerinde meydana gelebilecek ayrımcılık riski veya diğer olumsuz etkiler ve önyargılar önlenmelidir.
  • Asgari veri kullanımına gidilmeli; geliştirilen modelin doğruluğu sürekli izlenmelidir.
  • Başlangıç tasarım amacı dışında kullanılmaya başlanmış algoritma modelleri, bireyler ve toplum üzerinde olumsuz etkilere sebep olma riski açısından dikkatle değerlendirilmelidir.
  • Gerektiğinde potansiyel önyargıların tespit edilmesine katkıda bulunabilecek akademik kurumlarla irtibata geçilmeli; şeffaflık ve paydaş katılımının zor olabileceği alanlarda tarafsız uzman kişi ve kuruluşların görüşü alınmalıdır.
  • Bireylere, işlemelerle ilgili itiraz hakkı tanınmalıdır.
  • İlgili kişilerin ulusal ve uluslararası mevzuattan doğan hakları korunmalıdır.
  • Uygulamalardan özellikle etkilenmesi muhtemel olan bireylerin ve grupların aktif katılımına dayalı risk değerlendirmesi teşvik edilmelidir.
  • Otomatik işlemlerle kişinin kendi görüşlerini yansıtamayacağı tasarımlar üretilmemelidir.Alternatifler sunulmalıdır.
  • Hesap verebilirliği sağlayacak algoritmalar benimsenmelidir.
  • Kullanıcı dilediğinde, veri işleme faaliyetini durdurabilmeli, verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep edebilmelidir.
  • Yeterli aydınlatma yapılmalı ve etkili bir onay sistemi kurulmalıdır.

 

  • Karar Alıcılar için Tavsiyeler;

 

  • Hesap verilebilirlik ilkesi temel alınmalıdır.        
  • Kurallar ve sertifikalandırma gibi önlemler alınmalıdır.
  • Denetimler için yeterli kaynaklar ayrılmalıdır.
  • Kişilerin yapay zekaya güvenmeme hakları korunmalı ve insan müdahalesi düzenlenmelidir.
  • İhlal halinde denetim otoritelerine başvurulmalıdır.
  • Yapay zekanın uygulamalarının kişileri ve toplumu ve nasıl etkilediğine dair çalışmalara destek verilmeli. Karar alma sürecinin gözlemini sağlayabilmek için ilgililerin aktif katılımını sağlamalıdır.
  • Veri güvenliğini destekleyici yazılımlar üretilmelidir.
  • Farkındalık oluşturulması için eğitimler verilmeli ve desteklenmelidir.

Geliştiriciler, üreticiler, servis sağlayıcıları ve karar alıcılar için yol gösterici nitelikte olacak söz konusu tavsiyelerin tamamına buradan ulaşabilirsiniz