Yeni - Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler

ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER 76 1 YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER KVKK Yayınları No: 76 Nisan 2025, Ankara KİŞİSEL VERİLERİ KORUMA KURUMU Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr 2 “Bu kitapta yer alan içeriklerin, bireysel kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayınlanması ve dağıtılması kesinlikle yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.” ©Kişisel Verileri Koruma Kurumu 3 İÇİNDEKİLER ÖZET ...................................................................................................................... 7 ABSTRACT ............................................................................................................ 7 GİRİŞ...................................................................................................................... 8 Amaç ve Dayanak ..............................................................................................8 Kapsam ................................................................................................................ 9 Tanımlar .............................................................................................................. 9 Tavsiyeler .......................................................................................................... 10 Genel Tavsiyeler .............................................................................................. 10 Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler ............ 12 Karar Alıcılar İçin Tavsiyeler ........................................................................ 14 Kaynaklar .......................................................................................................... 16 5 YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER ÖZET Bu doküman; yapay zekâ alanında faaliyet gösteren, gelişti- riciler, üreticiler, servis sağlayıcılar ve karar alıcılar için 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin korunması amacına yönelik önerileri içermektedir. ABSTRACT “This guide includes recommendations for the protection of personal data within the scope of the Law No. 6698 on the Protection of Personal Data for developers, manufacturers, service providers and decision makers operating in the field of artificial intelligence.” 7 GİRİŞ Amaç ve Dayanak

sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin korunması amacına yönelik önerileri içermektedir. ABSTRACT “This guide includes recommendations for the protection of personal data within the scope of the Law No. 6698 on the Protection of Personal Data for developers, manufacturers, service providers and decision makers operating in the field of artificial intelligence.” 7 GİRİŞ Amaç ve Dayanak Türk Dil Kurumu Sözlüğünde Zekâ, “insanın düşünme, akıl yürütme, objektif gerçekleri algılama, yargılama ve sonuç çıkarma yeteneklerinin tamamı” olarak tanımlamıştır. İnsan, duyuları vasıtasıyla çevreden topladığı verileri beyninde iş- ler ve zekâsı vasıtasıyla bu verilerden faydalı bilgiler üretir. Bu bakımdan insan bir nevi veri toplama ve işleme sistemi gibi düşünülebilir. Yapay zekâ ise; insana özgü bu özelliklerin analiz edilerek ma- kinelere kazandırılması olup, insan gibi düşünebilen, yorum- layabilen ve kararlar verebilen algoritmaların ve bilgisayar yazılımlarının geliştirilmesi ile ilgilenmektedir.1 Günümüzde yapay zekâ teknikleri ve uygulamalarında büyük ilerleme kaydedilmiş ve yapay zekâ tabanlı sistemler birçok alanda yaşamı doğrudan etkilemeye başlamıştır. Yapay zekâ, bireyler ve toplum için önemli faydalar üretmekle birlikte, bireyin temel hak ve özgürlükleri kapsamında kişisel verilerin korunmasını isteme hakkı bakımından doğru biçim- de yönetilmelidir. Kişisel veri işlemeyi temel alan yapay zekâ 1  Balaban Erdal M., Kartal E. 2018. Veri Madenciliği ve Makine Öğrenmesi Temel Algoritmaları ve R Dili ile Uygulamaları (İkinci Baskı), İstanbul: Çağlayan Kitabevi ve Eğitim Çözümleri Ticaret AŞ 8 YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER| 9 çalışmaları ve uygulamaları 6698 Sayılı Kişisel Verilerin Korun- ması Kanununa ve ikincil mevzuata uygun olmalıdır. Bu doküman, yapay zekâ alanında yapılan/yapılacak çalışma- lara yönelik tavsiyeleri içermekte ve söz konusu çalışmalar kapsamında kişisel verilerin korunması hususunda açıklık sağlanmasını hedeflemektedir.

ması Kanununa ve ikincil mevzuata uygun olmalıdır. Bu doküman, yapay zekâ alanında yapılan/yapılacak çalışma- lara yönelik tavsiyeleri içermekte ve söz konusu çalışmalar kapsamında kişisel verilerin korunması hususunda açıklık sağlanmasını hedeflemektedir. Doküman hazırlanırken, Avrupa Konseyi İnsan Hakları ve Huku- kun Üstünlüğü Genel Müdürlüğü tarafından yayınlanmış olan “Yapay Zekâ ve Kişisel Verilerin Korunması Rehber İlkeleri”, OECD tarafından hazırlanan “OECD Yapay Zekâ Konseyi Öne- rileri” ve Avrupa Konseyi’nin “Güvenilir Yapay Zekâ için Taslak Etik Kuralları” çalışmalarından faydalanılmıştır. Kapsam Yapay zekâ alanındaki geliştiriciler, üreticiler, servis sağlayı- cılar ve karar alıcıları kapsayan bu dokümanda yapay zekâ uygulamalarında kişisel verilerin korunmasına dair tavsiyeler bulunmaktadır. Tanımlar Dokümanda yer alan; İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu, Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye iliş- kin her türlü bilgiyi, 9 10 | YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtala- rını belirleyen, veri kayıt sisteminin kurulmasından ve yönetil- mesinden sorumlu olan gerçek veya tüzel kişiyi, Geliştirici: Yapay zekâ sistemlerine ait her türlü ürün için içerik ve uygulama geliştiren gerçek veya tüzel kişileri, Üretici: Yapay zekâ sistemlerini oluşturan yazılım, donanım gibi her türlü ürünü üreten gerçek veya tüzel kişiyi, Servis sağlayıcı: Yapay zekâ tabanlı sistemler, veri toplama sis- temleri, yazılımlar ve cihazlar kullanarak ürün ve/veya hizmet sunan gerçek veya tüzel kişiyi ifade eder. Tavsiyeler

her türlü ürünü üreten gerçek veya tüzel kişiyi, Servis sağlayıcı: Yapay zekâ tabanlı sistemler, veri toplama sis- temleri, yazılımlar ve cihazlar kullanarak ürün ve/veya hizmet sunan gerçek veya tüzel kişiyi ifade eder. Tavsiyeler Genel Tavsiyeler • Yapay zekâ uygulamalarının geliştirilmesi ve uygulanması sürecinde ilgili kişilerin temel hak ve özgürlüklerine saygı gösterilmeli, hak ihlaline meydan verilmemelidir. • İnsan hakları ve temel özgürlüklerin himayesi ile insan onu- runun korunması hakkı gözetilmelidir. • Kişisel veri işleme temelli yapay zekâ ve veri toplama ça- lışmaları; kişilerin temel hak ve özgürlüklerini koruyan bir yaklaşım içerisinde hukuka uygunluk, dürüstlük, ölçülülük, 10 YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER| 11 hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olmalıdır. • Kişisel verilerin işlenmesinde; potansiyel risklerin önlen- mesi ve azaltılması üzerine odaklanan, insan haklarını, de- mokrasinin işleyişini, sosyal ve etik değerleri de göz önünde bulunduran bir bakış açısı benimsenmelidir. • Veri işleme faaliyetinin bireyler ve toplum üzerine etkileri değerlendirildiğinde ilgili kişi açısından kontrolü mümkün olmalıdır. • Kişisel veri işleme temelli yapay zekâ çalışmalarında, kişisel verilerin korunması açısından yüksek risk öngörülüyorsa, mahremiyet etki değerlendirmesi uygulanmalı ve veri iş- leme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmelidir. • Kişisel veri işleme esaslı yapay zekâ çalışmalarında ilk aşa- madan itibaren kişisel verilerin korunması mevzuatına uyum sağlanmalı ve tüm sistemler tasarımdan itibaren veri koruma ilkesine göre geliştirilmeli ve yönetilmelidir. Bu kapsamda her projeye özel bir veri koruma uyum programı oluşturulmalı ve uygulanmalıdır.

madan itibaren kişisel verilerin korunması mevzuatına uyum sağlanmalı ve tüm sistemler tasarımdan itibaren veri koruma ilkesine göre geliştirilmeli ve yönetilmelidir. Bu kapsamda her projeye özel bir veri koruma uyum programı oluşturulmalı ve uygulanmalıdır. • Kişisel veri işleme esaslı yapay zekâ teknolojileri geliştirilir- ken ve uygulanırken özel nitelikli kişisel veri işleniyorsa özel veri koruma kuralları olduğu göz önüne alınarak teknik ve idari tedbirler daha sıkı şekilde uygulanmalıdır. 11 12 | YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER • Yapay zekâ teknolojilerinin geliştirilmesi ve uygulanmasında aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, ve- rilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilmelidir. • Kişisel veri işleme esaslı yapay zekâ çalışmalarının farklı paydaşlarının veri sorumlusu veya veri işleyen olma statü- leri projenin başında belirlenerek aralarındaki hukuki ilişki veri koruma mevzuatı ile uyumlu hale getirilmelidir. Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler • Tasarımda, ulusal ve uluslararası düzenleme ve/veya belge- lerle tutarlı olarak kişisel veri mahremiyetini esas alan bir yaklaşım gözetilmelidir. • Temel hak ve özgürlükler üzerindeki muhtemel olumsuz so- nuçlar gözetilerek, uygun risk önleme ve azaltma tedbirle- rine dayalı ihtiyatlı bir yaklaşım benimsenmelidir. • Veri toplama da dâhil olmak üzere veri işlemenin her aşa- masında, temel hak e özgürlükler gözetilerek, ilgili kişiler üzerinde meydana gelebilecek ayrımcılık riski veya diğer olumsuz etkiler ve ön yargılar önlenmelidir. • Kullanılan kişisel verilerin kalitesi, niteliği, kaynağı, miktarı, kategori ve içeriği değerlendirilerek asgari veri kullanımına gidilmeli; geliştirilen modelin doğruluğu sürekli izlenmeli- dir. 12 YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER| 13

• Kullanılan kişisel verilerin kalitesi, niteliği, kaynağı, miktarı, kategori ve içeriği değerlendirilerek asgari veri kullanımına gidilmeli; geliştirilen modelin doğruluğu sürekli izlenmeli- dir. 12 YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER| 13 • Bağlamından koparılmış algoritma2 modelleri, bireyler ve toplum üzerinde olumsuz etkilere sebep olma riski açısın- dan dikkatle değerlendirilmelidir. • İnsan hakları temelli, etik ve sosyal yönelimli yapay zekâ uygulamalarının tasarlanmasına ve potansiyel önyargıların tespit edilmesine katkıda bulunabilecek akademik kurum- larla irtibata geçilmeli; şeffaflık ve paydaş katılımının zor olabileceği alanlarda tarafsız uzman kişi ve kuruluşların gö- rüşü alınmalıdır. • Bireylere, görüşlerini ve kişisel gelişimlerini etkileyen tek- nolojilere dayalı işlemelerle ilgili itiraz hakkı tanınmalıdır. • Yapay zekâ sistemlerinin kişisel verileri analiz etme ve kul- lanma gücü göz önüne alındığında, kişisel verilerin işlenme- sinde, ilgili kişilerin ulusal ve uluslararası mevzuattan doğan hakları korunmalıdır. • Uygulamalardan özellikle etkilenmesi muhtemel olan birey- lerin ve grupların aktif katılımına dayalı risk değerlendirmesi teşvik edilmelidir. • Bireylerin münhasıran kendi görüşleri dikkate alınmaksızın otomatik işlemeye dayalı olarak kendilerini etkileyecek bir karara maruz kalmamalarını sağlayacak ürün ve hizmetler tasarlanmalıdır. 2  Bağlamından koparılmış algoritma, Başlangıçta belirli bir yapay zekâ modeli için tasarlanmış algoritmaların amacı dışında farklı bir amaç yada yapay zekâ modelinde kullanılmasını ifade eder. 13 14 | YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER • Üretimde kişilik haklarına daha az müdahale eden alterna- tifler de sunulmalı, kullanıcıların seçim yapma özgürlüğü güvence altına alınmalıdır.

13 14 | YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER • Üretimde kişilik haklarına daha az müdahale eden alterna- tifler de sunulmalı, kullanıcıların seçim yapma özgürlüğü güvence altına alınmalıdır. • Ürün ve hizmetlerin tasarımından başlayarak yaşam döngü- sü boyunca kişisel verilerin korunması hukukuna uygunluk açısından tüm paydaşlar için hesap verebilirliği sağlayacak algoritmalar benimsenmelidir. • Kullanıcının veri işleme faaliyetini durdurabilme hakkı ta- nınmalı ve kullanıcılara ait verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi imkânı tasarlanmalıdır. • Uygulama ile etkileşime giren kişiler, kişisel veri işleme faali- yetinin gerekçeleri, kişisel verilerin işlenmesinde kullanılan yöntemlerin detayları ile muhtemel sonuçları hakkında ay- dınlatılmalı ve gerekli haller için etkili bir veri işleme onay mekanizması tasarlanmalıdır. Karar Alıcılar İçin Tavsiyeler • Hesap verebilirlik ilkesi tüm aşamalarda gözetilmelidir. • Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürleri benimsenmeli ve sektör/uygulama/donanım/ yazılım temelinde bir uygulama matrisi oluşturulmalıdır. • Davranış kuralları ve sertifikasyon mekanizmaları gibi uygun önlemler alınmalıdır. • Yapay zekâ modellerinin farklı bir bağlam veya amaç için kullanılıp kullanılmadığını izlemek üzere karar alıcılar tara- fından yeterli kaynak ayrılmalıdır. 14 YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER| 15 • Karar alma süreçlerinde insan müdahalesinin rolü tesis edilmelidir. Bireylerin, yapay zekâ uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğü korunmalıdır. • İlgili kişilerin temel hak ve özgürlüklerini önemli ölçüde etkileme ihtimali ortaya çıktığında denetim otoritelerine3 mutlaka başvurulmalıdır.

önerilerin sonucuna güvenmeme özgürlüğü korunmalıdır. • İlgili kişilerin temel hak ve özgürlüklerini önemli ölçüde etkileme ihtimali ortaya çıktığında denetim otoritelerine3 mutlaka başvurulmalıdır. • Denetim otoriteleri ve yetkili diğer kuruluşlar arasında, veri mahremiyeti, tüketicinin korunması, rekabetin geliştirilmesi ve ayrımcılıkla mücadele konularında işbirliği teşvik edilmelidir. • Denetim Otoriteleri, Yapay zekâ alanında düzenleme ve/ veya denetleme yapmaya yetkili kurum ve kuruluşları ifade eder. • Yapay zekâ uygulamalarının insan hakları, etik, sosyolojik ve psikolojik etkilerini ölçme temelli uygulama araştırmaları desteklenmelidir. • Bireyler, gruplar ve paydaşlar bilgilendirilerek yapay zekânın büyük veri sistemleri ile birlikte, sosyal dinamikleri şekil- lendirmede ve onları etkileyen karar verme süreçlerinde oynayacağı rolün tartışılması konusunda aktif olarak yer almaları sağlanmalıdır. • Verilerin güvenli, adil, yasal ve etik paylaşımını destekleyen dijital ekosistemin oluşturulabilmesi için açık yazılım ta- banlı uygun mekanizmalar teşvik edilmelidir. 3  Denetim Otoriteleri, Yapay zekâ alanında düzenleme ve/veya denetleme yapmaya yetkili kurum ve kuruluşları ifade eder. 15 16 | YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER • İlgili kişiler bakımından yapay zekâ uygulamalarını ve etki- lerini anlama konusunda farkındalığı artırmak için dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılmalıdır. • Uygulama geliştiriciler için kişisel verilerin korunması far- kındalığı oluşturmak bağlamında veri mahremiyeti çerçe- vesinde eğitimler teşvik edilmelidir. Kaynaklar

lerini anlama konusunda farkındalığı artırmak için dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılmalıdır. • Uygulama geliştiriciler için kişisel verilerin korunması far- kındalığı oluşturmak bağlamında veri mahremiyeti çerçe- vesinde eğitimler teşvik edilmelidir. Kaynaklar Aşağıdaki dokümanların da okunup değerlendirilmesi öneril- mektedir: - 6698 Kişisel Verilerin Korunması Kanunu - 108 sayılı Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması Sözleşmesi - Avrupa Konseyi İnsan Hakları ve Hukukun Üstünlüğü Genel Müdürlüğü tarafından yayınlanmış olan “Yapay Zekâ Ve Kişisel Verilerin Korunması Rehber İlkeleri” (https://rm.coe.int/guidelines-on-artificial-intelligen- ce-and-data-protection/168091f9d8) - OECD Yapay Zekâ Konseyi Önerileri (https://legalinstruments.oecd.org/en/instruments/OECD-LE- GAL-0449) - Avrupa Konseyi’nin “Güvenilir Yapay Zekâ için Taslak Etik Ku- ralları” (https://ec.europa.eu/newsroom/dae/document.cfm?doc_ id=60419) 16 YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER| 17 - Avrupa Komisyonu Yapay Zekâya İlişkin Beyaz Kitabı (https://ec.europa.eu/info/sites/info/files/commission-whi- te-paper-artificial-intelligence feb2020_en.pdf) - Avrupa Komisyonu Yapay Zekâya İlişkin Beyaz Kitabı’na İlişkin 4/2020 sayılı EDPS (Avrupa Veri Koruma Denetçisi) Görüşü ( h t t p s : //e d p s . e u r o p a . e u / s i t e s /e d p / f i l e s / p u b l i c a t i - on/20-06-19_opinion_ai_white_paper_ en.pdf) 17 18 | YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER 18 Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu