Son birkaç yıldır teknoloji dünyasında yaşanan dönüşümün hızına yetişmek gerçekten kolay değil. Özellikle son bir yıl içinde ortaya çıkardığı etkiler nedeniyle üretken yapay zekâ araçlarının geldiği nokta, teknoloji meraklılarının yanında hukukçuların, kamu otoritelerinin ve hatta gündelik hayatın tam ortasında yer alan sıradan kullanıcıların da doğrudan ilgisini çeken bir mesele hâline geldi.

Bu gelişmelerin doğal sonucu olarak veri koruma otoriteleri de yapay zekâya daha yakından bakmaya başladı. Türkiye’de de bu konuda dikkat çekici gelişmeler geçtiğimiz günlerde Kişisel Verileri Koruma Kurumu tarafından yapılan birkaç duyuru ile gündeme geldi. Kurum, yapay zekâ sistemleri üzerinden kişisel verilerin işlenmesi ve özellikle bazı sosyal medya uygulamalarının rıza dışı içerik üretimi amacıyla kullanılabildiği iddiaları nedeniyle ilgili platformlar hakkında çok yönlü inceleme başlatıldığını açıkladı.

Kurum tarafından ortaya konan refleks ilk bakışta yalnızca ilgili uygulamalara ilişkin teknik bir inceleme gibi görünebilir. Oysa mesele bundan biraz daha geniş.

Nitekim Kurumun son dönemde yaptığı duyurular yalnızca tekil olaylara ilişkin bir inceleme refleksini değil, daha geniş bir politika çerçevesini de işaret ediyor. Kurumun internet sitesinde paylaşılan açıklamada yapay zekâ uygulamaları bağlamında kişisel veri işleme faaliyetlerinin hukuki boyutunun dikkatle değerlendirilmesi gerektiği vurgulanırken bu yaklaşımın teorik zemini de yayımlanan “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)” dokümanında ortaya konulmuş durumda. Söz konusu rehberde, üretken yapay zekâ sistemlerinin eğitim veri setlerinden model çıktılarının oluşturulmasına kadar uzanan yaşam döngüsünde kişisel verilerin hangi aşamalarda işlenebileceği, veri sorumlularının hangi hukuki dayanaklara başvurması gerektiği ve ilgili kişilerin haklarının bu yeni teknolojik mimari içinde nasıl korunabileceği açıklanıyor. Rehberin temel yaklaşımı ise oldukça açık: yapay zekâ sistemleri yeni ve karmaşık teknolojiler olabilir ancak bu sistemler üzerinden gerçekleştirilen veri işleme faaliyetleri bakımından KVKK’nın genel ilkeleri ve veri sorumlularına yüklediği sorumluluklar aynen geçerliliğini korumaya devam eder.

Aslında veri koruma otoritelerinin yapay zekâya yaklaşımında son yıllarda giderek belirginleşen üç temel refleksin Türkiye’de de kendisini göstermeye başladığını söylemek mümkün.

Birincisi, “teknoloji nötr ama risk odaklı” yaklaşım. Veri koruma hukuku genellikle yeni teknolojileri yasaklamak yerine onların oluşturduğu riskleri yönetmeye çalışır. Avrupa’da bu yaklaşım çok açık biçimde görülüyor. Avrupa Birliği’nin 2024 yılında kabul ettiği Yapay Zekâ Yasası, yapay zekâyı tamamen serbest ya da tamamen yasak bir alan olarak görmek ve göstermek yerine benzer tüm alanlarda olması gerektiği gibi regülatif bir anlayışla risk seviyesine göre sınıflandırılmış bir sistem olarak ele alıyor.

İkincisi, “temel hak perspektifi”. Veri koruma otoriteleri açısından mesele yalnızca teknoloji regülasyonu değil. Esas mesele, bireyin mahremiyeti, kişisel verisi ve dijital ortamda kendi verisi üzerindeki kontrolüdür. Yapay zekâ araçları eğitim veri setleri, model çıktıları ve içerik üretim kabiliyeti nedeniyle bu hakların ihlali riskini büyütebiliyor. Özellikle çocukların verileri, biyometrik veriler veya hassas nitelikli veriler söz konusu olduğunda bu risk daha da belirgin hâle geliyor.

Üçüncü refleks ise giderek daha görünür hâle gelen “kurumsal sorumluluk” yaklaşımı. Veri koruma otoriteleri genel bir önleyici hizmetler anlayışının yansıması olarak artık yalnızca ihlal gerçekleştikten sonra müdahale eden kurumlar olmaktan çıkıyor. Bunun yerine, şirketlerden ve kurumlarından baştan itibaren veri güvenliği, model eğitimi ve algoritmik süreçler konusunda daha yüksek bir özen bekleniyor.

Türkiye’deki yaklaşımın da esasen bu üç eksen etrafında şekillendiğini söylemek gerek. Kurum tarafından yayımlanan rehberler, seminerler ve farkındalık dokümanları yapay zekâ araçlarının özellikle işyerlerinde ve günlük hayatta kullanımı sırasında veri güvenliği ve hukuki sorumluluk konularına dikkat çekiyor.

Bunun pratiğe yansıması ise aslında oldukça basit ama çoğu zaman gözden kaçan bir noktada ortaya çıkıyor.

Yapay zekâ araçları kullanılırken paylaşılan her veri, hukuki anlamda hâlâ kişisel veri niteliğini koruyor. Başka bir ifadeyle bir çalışan bir yapay zekâ aracına müşteri bilgisi yazdığında, bir doktor hasta verisi yüklediğinde veya bir şirket iç yazışmasını modele analiz ettirdiğinde, teknik olarak yalnızca “bir araç kullanmıyor”. Aynı zamanda bir veri işleme faaliyeti gerçekleştiriyor.

Bu nedenle önümüzdeki dönemde veri koruma hukukunun en kritik sorularından biri şu olacak gibi görünüyor:

Yapay zekâ sistemleri yalnızca bir araç mı, yoksa yeni bir veri işleme ekosistemi mi?

Bu sorunun cevabı henüz net değil. Ama şurası kesin;  veri koruma hukukunun temel prensipleri  (amaçla sınırlılık, veri minimizasyonu, açık rıza ve veri güvenliği) yapay zekâ çağında da geçerliliğini korumaya devam etmek zorunda.

Bugün için çıkarılabilecek en gerçekçi sonuç ise yapay zekâ teknolojisinin baş döndürücü bir hızla geliştiği ancak kişisel verilerin korunması hukukuna ilişkin temel ilkelerin o gelişim ile at başı giden bir denge unsuru olarak ilerlediğidir.

Ve muhtemelen önümüzdeki uzun yıllar boyunca da teknoloji ile hukuk arasındaki denge mücadelesi en ilginç şekilde tam olarak burada yaşanacak. İzlemeye çalışacağız görebilmek umuduyla.