Yapay zeka sektöründeki veri yükümlülükleri
Av. Ege Oğuzhan KAPICI
Çağımızda teknolojik gelişmeler, baş döndürücü bir hızla gerçekleşiyor. Yapay zeka alanında da son yıllarda önemli atılımlar gerçekleştirildi. Uluslararası şirketler, büyük veri kümeleri, devasa yatırımlarla önemli yeniliklere imza atmaktadırlar. Bu kapsamda yapay zeka teknolojilerine dayalı ürün üretmek isteyen tüm şirketlerin ‘veri toplama’ ve ‘veri etiketleme’ işlemlerini gerçekleştirmeleri gerekmekte. Bu açıdan şirketleri dünyadaki değişik bölgelere göre birtakım hukuki süreçler beklemektedir:
Avrupa Birliği’nde kişisel veri işleme faaliyetleri Genel Veri Koruma Tüzüğü (GDPR) ile sıkı bir biçimde düzenlenmiştir. Veri sahiplerine bu düzenleme ile erişim, düzeltme, silme (“unutulma hakkı”), işlemeyi kısıtlama, itiraz ve veri taşınabilirliği gibi haklar tanınmıştır. Yapay zeka şirketleri veri toplama aşamasında kişisel verileri ‘Anonimleştirme’ veya ‘Pseudonymeştirme’ tekniklerini kullanarak anonim hale getirmektedirler. GDPR’ye göre anonim hale getirilmiş veri artık kişisel veri sayılmaz ve bu sayede pek çok kısıtlamadan muaf olur. Verileri tam anonimleştirmenin zorluğu nedeniyle “pseudonymized” (takma adlı hale getirilmiş) verilerle çalışmak pratik bir ara çözüm olabilmektedir; yine de bu tür veriler GDPR kapsamında kalmaya devam eder ve ek teknik/organizasyonel tedbirler gerektirir.
Veri etiketleme; makine öğrenimi projelerinde ham veriye anlamlı etiketler eklenmesi sürecidir ve genellikle dış kaynak kullanımı ile yapılır (freelancer’lar, etiketleme platformları veya taşeron firmalar aracılığıyla). AB hukukunda, eğer etiketlenen veri kişisel veri ise, etiketleme hizmetini sağlayan şirket bir “veri işleyen” konumundadır ve veri sorumlusu konumundaki yapay zeka şirketiyle aralarında GDPR’nin gerektirdiği unsurları barındıran bir sözleşme bulunması şarttır. Bu sözleşme, verilerin sadece talimat doğrultusunda işleneceği, gizli tutulacağı, alt işleyici kullanımı varsa izne tabi olacağı, iş bitiminde silineceği gibi maddeleri içerir. Şirket eğer Avrupa Birliği’nde ise veya AB verisiyle bir etiketleme projesi yürütüyorsa, şirket ile etiketleyiciler arasında bir Veri İşleme Sözleşmesi (Data Processing Agreement, DPA) akdedilmesi gerekmektedir.
Birleşik Krallık, 2018 yılında yürürlüğe giren Veri Koruma Yasası ve GDPR’nın kendi hukukuna uyarlanmış versiyonu olan UK GDPR ile kişisel veri korumasını sürdürmektedir. Brexit sonrasında AB GDPR doğrudan uygulanmazken, büyük ölçüde aynı kurallar İngiliz mevzuatında korunmuştur. UK GDPR, AB GDPR ile içerik olarak çok benzerdir: Veri işleme ilkeleri, birey hakları, veri sorumlusu ve işleyenin yükümlülükleri neredeyse aynıdır. İngiliz şirketleri, eğer sadece Birleşik Krallık’ta veri işliyorlarsa UK GDPR’ye tabi olacak; eğer AB’de de müşterileri/veri sahipleri varsa ayrıca AB GDPR’ye de uymak durumunda kalacaktır . Birleşik Krallık yeni düzenlemelerle veri alanında esnek yükümlülükler hedeflese de sözgelimi Londra merkezli bir yapay zeka girişimi için temel yükümlülükler GDPR ile özdeştir: Hukuka uygun veri işleme, gerektiğinde rıza alma, şeffaf aydınlatma metinleri sunma, veri ihlallerini 72 saat içinde ICO’ya bildirme.
ABD, Avrupa’nın aksine kapsamlı bir federal veri koruma yasasına sahip değildir. Bunun yerine sektörel yasalar (örn. sağlık verileri için HIPAA, çocuklar için COPPA, finansal veriler için GLBA) ve eyalet bazlı gizlilik yasaları bulunur. 2025 itibarıyla ABD nüfusunun yaklaşık %40’ı, ikamet ettikleri eyalette yürürlüğe giren genel gizlilik yasaları sayesinde kişisel veri haklarına sahiptir. Özellikle Kaliforniya öncülüğünde başlayan bu trend, küçük yapay zeka şirketlerini dahi etkilemektedir. Kaliforniya’nın Tüketici Gizliliği Yasası (CCPA) 2018’de kabul edilmiş olup ve 2020’de yapılan değişiklikle CPRA olarak güçlendirilmiştir.. CCPA/CPRA, yıllık geliri $25 milyon üzerinde olan veya yılda 100 bin’den fazla tüketicinin verisini işleyen şirketlere uygulansa da, birçok startup hızlı büyüme hedefiyle yola çıktığı için kısa sürede bu eşikleri aşmak isteyecektir. Ayrıca Kaliforniya dışındaki yasalar (Virginia, Colorado, Utah, Connecticut – 2023; Iowa, Indiana, Teksas, vs. – 2024/2025) benzer haklar tanımaktadır. Bu yasalar genel olarak tüketicilere erişim, silme, düzeltme, veri taşınabilirliği hakları verir ve tüketicilerin verilerinin belirli kullanım türlerine (örn. hedefli reklam veya profil çıkarmaya) itiraz/çekilme hakkı sağlar. Örneğin, bir yapay zeka uygulaması kullanıcı davranışlarını profilleyip kişiye özel içerik sunuyorsa, Virginia veya Connecticut’ta yaşayan biri çıkmayı talep edebilir. Küçük bir yapay zeka şirketi, hizmetini ülke çapında sunuyorsa, bu farklı eyalet yasalarının hepsine birden dikkat etmek zorundadır. Bu da pratikte, “en sıkı olana göre uyum” stratejisini doğurur. Yani tipik olarak Kaliforniya’nın CPRA gereklerini bir kez yerine getiren bir şirket, diğer eyaletlerin çoğuna -küçük farklılıklar hariç- uymuş olacaktır.
ABD’de veri etiketleme işleri sıklıkla outsourcing yoluyla yapılır; bazen yurt içinde serbest çalışanlar, bazen de yurtdışındaki hizmet şirketleri eliyle gerçekleşir. Hukuki açıdan, eğer etiketlenen veri tüketiciye ait ve belirli bir eyalet yasası kapsamındaysa, veriyi paylaşırken tüketicilere karşı yükümlülükler devreye girebilir. Örneğin Kaliforniya CPRA’ya göre, bir şirket tüketici verisini bir hizmet sağlayıcıya iletiyorsa, bunun bir “iş amaçlı açıklama” olduğunu ve hizmet sağlayıcının veriyi başka bir amaçla kullanamayacağını sözleşmede garanti altına alması gerekir. Bu yüzden, ABD’li yapay zeka şirketleri etiketleme için üçüncü taraflarla Service Provider Agreement yapar ve orada CPRA’nın gerektirdiği maddeler bulunur (ör. “X firması, Y adına işlenecek bu verileri sadece Y’nin talimatıyla ve Y’nin iş amacı için işleyecek, kendi amaçları için saklamayacaktır…” gibi)
Çin Halk Cumhuriyeti, son yıllarda kapsamlı veri koruma yasaları yürürlüğe koymuştur. Özellikle Kişisel Bilgilerin Korunması Kanunu (PIPL), Kasım 2021’de yürürlüğe girerek Çin’i GDPR benzeri bir rejime taşımıştır. PIPL, kişisel verilerin işlenmesi için geçerli sebepler (bireyin rızası, sözleşme gerekliliği, yasal yükümlülük, kamu çıkarı vb.) belirler ve bireylere erişim, düzeltme, silme, işleme kısıtlama gibi haklar tanır. Hem Çin’de kurulu şirketler hem de denizaşırı olup Çin’deki bireylerin verilerini işleyen şirketler PIPL’ye tabidir. Bu kapsamda, küçük ölçekli bir yapay zeka şirketi Çin’de veri topluyorsa veya Çin vatandaşlarına ait verilerle model eğitiyorsa, PIPL’ye uygun hareket etmelidir. PIPL, hassas kişisel bilgiler (örn. biyometrik veriler, sağlık, finans, konum) için açık rıza şart koşar ve çocukların verileri için ebeveyn onayı arar. Ayrıca, Çin’in Siber Güvenlik Kanunu ve Veri Güvenliği Kanunu (DSL), verilerin sınıflandırılması, kritik verilerin yerel depolanması gibi ek yükümlülükler getirir. Örneğin, Çin’de “kritik bilgi altyapısı” kapsamına giren bir sektörde iseniz (enerji, telekom gibi), kullanıcı verilerini Çin içinde barındırmak zorundasınızdır.
Çin’de veri etiketleme işleri, dev bir sektör haline gelmiştir (“etiketleme fabrikaları” olarak anılır). Birçok yapay zeka şirketi, özellikle otonom sürüş, görüntü tanıma gibi alanlardaki verilerini etiketlemek için Sichuan, Hebei gibi bölgelerdeki dış hizmet sağlayıcılardan yararlanır. Bu durum, verilerin geniş kitlelere dağıtılması riskini getirir. PIPL uyarınca, bir şirket kişisel verileri bir üçüncü tarafa işleme amacıyla veriyorsa, bunun için o üçüncü tarafın da gerekli güvenlik önlemlerini almasını sağlamak zorundadır. Yani veri sorumlusu, veri işleyeni denetlemekle mükelleftir. Sözleşmesel olarak da, AB/GDPR benzeri maddeler Çin’de uygulanır: Veriyi sadece talimatla işleme, gizli tutma, alt yüklenici kullanmama veya kullanacaksa izin alma vb. Bu tip sözleşmelere genelde gizlilik ve veri işleme anlaşmaları adı verilmektedir.
Sonuç olarak, Avrupa Birliği’nin daha ziyadesiyle kişilerin verilerini korumaya odaklandığını, buna karşılık ABD ve Birleşik Krallığın yapay zeka alanında ilerlemeye öncelik verdiğini, Çin’de ise beklendiği üzere devlet kontrolünün sıkıca sağlandığı gözükmektedir.
Değerli ekonomim.com okurları,
ekonomim.com ekibi olarak Türkiye'de ve dünyada yaşanan, haber değeri taşıyan gelişmeleri sizlere en hızlı, tarafsız ve kapsamlı şekilde sunmak için çalışıyoruz. Bu süreçte sunduğumuz haberlerle ilgili eleştiri, görüş ve yorumlarınız bizim için çok değerli. Ancak, karşılıklı saygı ve hukuka uygunluk çerçevesinde, daha sağlıklı bir tartışma ortamı oluşturmak adına yorum platformumuzda uyguladığımız bazı kurallarımız bulunmaktadır.
Sayfamızda Türkiye Cumhuriyeti kanunlarına ve evrensel insan haklarına aykırı yorumlar onaylanmaz ve silinir. Okurlarımız tarafından yapılan yorumların, (diğer okurlara yönelik olanlar da dahil) kişilere, ülkelere, topluluklara, sosyal sınıflara ırk, cinsiyet, din, dil başta olmak üzere ayrımcılık içermesi durumunda, yorum editörlerimiz bu yorumları onaylamayacak ve silecektir. Onaylanmayacak ve silinecek yorumlar arasında aşağılama, nefret söylemi, küfür, hakaret, kadın ve çocuk istismarı, hayvanlara yönelik şiddet söylemleri de yer almaktadır. Suçu ve suçluyu övmek, Türkiye Cumhuriyeti yasalarına göre suçtur, bu nedenle bu tür yorumlar da ekonomim.com sayfalarında yer almayacaktır.
Ayrıca, Türkiye Cumhuriyeti mahkemelerinde doğruluğu kanıtlanamayan iddia, itham ve karalama içeren, halkı kin ve düşmanlığa tahrik eden, provokatif yorumlar da yapılamaz.
Markaların ticari itibarını zedeleyici, karalayıcı ve ticari zarara yol açabilecek yorumlar onaylanmaz ve silinir. Aynı şekilde, bir markaya yönelik promosyon veya reklam amaçlı yorumlar da onaylanmaz ve silinecek yorumlar kategorisindedir. Diğer web sitelerinden alınan bağlantılar ekonomim.com yorum alanında paylaşılamaz.
ekonomim.com yorum alanında paylaşılan tüm yorumların yasal sorumluluğu yorumu yapan kullanıcıya aittir, ekonomim.com bu sorumluluğu üstlenmez.
ekonomim.com'de yorum yapan her okur, yukarıda belirtilen kuralları, sitemizde yer alan Kullanım Koşulları'nı ve Gizlilik Sözleşmesi'ni okumuş ve kabul etmiş sayılır.
Kurallarımıza uygun şekilde saygı, nezaket, birlikte yaşama kuralları ve insan haklarına uygun yorumlarınız için teşekkür ederiz.