Yapay zeka, günümüzde iş dünyasında verimliliği artıran ve süreçleri hızlandıran kritik bir teknoloji olarak yerini almıştır. Ancak bu hızlı dönüşüm, işletmelerin hukuki düzenlemelere uyum sağlamalarını zorunlu kılmaktadır. Bu kapsamda, yapay zeka uygulamalarının AB’nin Genel Veri Koruma Yönetmeliği (GDPR) ve Yapay Zeka Yasası (AI Act) gibi düzenleyici çerçevelere nasıl uyum sağlaması gerektiği büyük önem taşımaktadır.

Yapay zeka, artık geleceğe yönelik bir teknoloji olmaktan çıkmış, otomasyon, veri analizi ve karar alma süreçlerinde önemli bir rol üstlenerek modern iş dünyasının ayrılmaz bir parçası haline gelmiştir. Ancak, yapay zekanın hızla benimsenmesi, işletmelerin Avrupa Birliği’nin (“AB”) Genel Veri Koruma Yönetmeliği (General Data Protection Regulation- “GDPR”) ve kısa süre önce kabul edilen Yapay Zeka Yasası (AI Act) gibi karmaşık hukuki ve düzenleyici çerçeveler doğrultusunda faaliyet göstermesini zorunlu kılmaktadır.

AI uygulamalarının, sorumlu veri işleme, şeffaflık ve risk yönetimi ilkeleriyle uyumlu olması gerekmektedir. Bu kapsamda, GDPR ve Yapay Zeka Yasası çerçevesinde ortaya çıkan temel uyumluluk gereklilikleri incelenmeli ve işletmelere yüklenen yasal sorumluluklar ile mevzuata aykırılığın doğurabileceği hukuki sonuçlar ele alınmalıdır.

Yapay zeka geliştirirken veya kullanırken, şirketlerin özellikle veri koruma ve otomatik karar alma süreçleri ile ilgili yasal ve düzenleyici gereklilikleri dikkatle değerlendirmesi gerekmektedir. Yapay zeka sistemlerinin kişisel veri işleme faaliyetlerini içermesi halinde, bu süreçler GDPR kapsamına girmekte olup, işletmelerin hukuka uygunluk, şeffaflık ve veri minimizasyonu gibi temel ilkelerle uyumluluğu sağlaması zorunludur.

Ayrıca, yapay zeka kullanımı sonucunda bireyler üzerinde hukuki veya benzer şekilde önemli etkiler doğuran otomatik kararların alınması durumunda, GDPR’nin 22. Maddesi uyarınca ilgili kişilere, yalnızca otomatik işlemeye dayalı kararlara tabi olmama hakkı tanınmalıdır. Bununla birlikte, yüksek risk taşıyan veri işleme faaliyetleri öncesinde Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment – “DPIA”) yapılması gerekmektedir.

Bütün bunlara ek olarak Yapay Zeka Yasası ek uyumluluk yükümlülükleri getirerek, işletmelerin risk yönetim sistemleri uygulamasını, Temel Haklar Etki Değerlendirmesi (Fundamental Rights Impact Assessment – “FRIA”) gerçekleştirmesini ve yapay zeka modeli eğitiminde kullanılan veri setlerinin sağlam yönetimini sağlamasını zorunlu kılmaktadır.

Bu gelişen düzenleyici yükümlülükler, uyum risklerini azaltmak ve etik yapay zeka ilkelerini korumak adına yapay zeka geliştirme ve uygulama süreçlerine hukuki denetimin entegre edilmesinin önemini ortaya koymaktadır.

AB Yapay Zeka Yasası

Yapay Zeka Yasası, 1 Ağustos 2024 tarihinde yürürlüğe girmiş olup, 2 Şubat 2025 itibarıyla kademeli olarak uygulanmaya başlanacaktır. Bu Yasa, AB içinde yapay zekanın güvenli ve etik bir şekilde geliştirilmesini, uygulanmasını ve kullanılmasını sağlamak amacıyla kapsamlı bir hukuki çerçeve oluşturmakta olup, bireylerin hak ve özgürlüklerini korumayı esas almaktadır.

Yasa, yapay zeka modellerini farklı risk kategorilerine ayırmakta ve her bir kategori için değişen düzeylerde düzenleyici denetim ve uyum yükümlülükleri getirmektedir.

  • Kabul edilemez düzeyde risk taşıyan yapay zeka sistemleri—örneğin kamuya açık alanlarda gerçek zamanlı biyometrik kimlik tespiti yapan sistemler—kesin olarak yasaklanmıştır. Ancak, başta kolluk kuvvetleri olmak üzere, belirli istisnai durumlarda bu tür sistemlerin kullanımına sınırlı ölçüde izin verilmektedir.
  • Yüksek riskli yapay zeka sistemleri sıkı düzenleyici gerekliliklere tabidir. Bu gereklilikler arasında veri yönetimi, risk yönetimi, şeffaflık ve insan gözetimi gibi yükümlülükler yer almakta olup, herhangi bir nihai kararın yalnızca yapay zeka modeli tarafından verilmemesi sağlanmalıdır. Doğrudan bireylerle etkileşime giren düzenlemeye tabi yapay zeka modellerinin ise kullanıcıları açık bir şekilde bilgilendirmesi ve yapay zeka tarafından üretilen içeriklerin belirgin bir şekilde işaretlenmesini sağlaması zorunludur.
  • Genel amaçlı yapay zeka modelleri, doğrudan yüksek risk taşımamakla birlikte, siber güvenlik, teknik dokümantasyon ve AB telif hakkı yasalarına uyum gibi belirli gerekliliklere tabi tutulmaktadır.
  • Öte yandan, düzenlemeye tabi olmayan yapay zeka modelleri, doğrudan yasanın kapsamına girmemekle birlikte, gizlilik, fikri mülkiyet hakları ve sorumlu kullanım gibi hususlar bakımından dikkatle ele alınmalıdır.

Söz konusu mevzuatın getirdiği geniş kapsamlı yükümlülükler göz önünde bulundurulduğunda, yapay zeka geliştirme ve uygulama süreçlerinde yer alan şirketlerin, faaliyetlerini bu yeni hukuki çerçeveye uyumlu hale getirmeye yönelik proaktif adımlar atmaları gerekmektedir. Uyumluluk önlemlerinin erken aşamalardan itibaren entegre edilmesi, ilerleyen süreçlerde hukuki risklerin azaltılmasını ve maliyetli düzeltmelerin önlenmesini sağlayacaktır.

Etki Değerlendirmesi

Kişisel verileri işleyen bir yapay zeka aracının uygulanmasından önce bir Etki Değerlendirmesi (DPIA) yapılması gerekmektedir. Bu değerlendirme, işleme faaliyetlerinin risklerini haritalandırarak, sistemin kullanıma sunulmadan önce Veri Koruma Otoritesi’ne (Data Protection Authority) başvurulup başvurulmayacağına karar verilmesine yardımcı olmaktadır.

Etki değerlendirmesi çerçevesinde, şirket, verilerin akışını haritalamak, verilerin işlenmesiyle ilişkili riskleri belirlemek ve bu riskleri kabul edilebilir bir düzeye indirgemek için gerekli güvenlik önlemlerini tespit etmekle yükümlüdür. Bu süreç, veri işleme faaliyetlerinin hukuki ve etik sınırlar içinde gerçekleşmesini temin etmek için kritik öneme sahiptir.

Yasal Dayanak ve Meşru Amaç

Bir şirket, kişisel verilerin işlenmesi için geçerli olan hukuki dayanağı da değerlendirmelidir. Bu bağlamda, daha önce toplanan kişisel verilerin, ilk toplama amacına uygun olmayan başka amaçlarla kullanılmayacağına dikkat edilmesi önemlidir.

Ayrıca, yapay zeka aracının istenen işlevselliğini sağlamak için ne kadar az kişisel veriye ihtiyaç duyulduğunun da değerlendirilmesi gerekmektedir. Dolayısıyla, yapay zeka aracının kapsadığı işleme faaliyetlerinin genel bir değerlendirilmesi kritik öneme sahiptir. Bu süreç, hata ve uyum zorluklarının sürekli olarak tespit edilmesine yardımcı olduğu gibi, özel risklerin de belirlenmesine ve herhangi bir hata veya eksikliğe hızlı bir şekilde müdahale edilmesine olanak tanır.

Hassas Kişisel Verilerin İşlenmesi

Hassas kişisel verilerin işlenmesi için yapay zeka kullanımına ilişkin genel bir yasak bulunmamaktadır; ancak, bu tür bir işleme için hukuki dayanağın genellikle veri sahiplerinin onayı olacağına dikkat edilmesi önemlidir.

Örneğin, Danimarka Veri Koruma Ajansı, yakın zamanda bir şikayet davası çerçevesinde bir spor salonunun yüz tanıma teknolojisini kullanımına ilişkin bir karar almış ve bu işleme faaliyetinin onay gerektirdiğini değerlendirmiştir.

Ayrıca, veri sahiplerine gerçek bir alternatif sunulmadıkça geçerli bir onaydan söz edilemeyeceğini belirtmiştir. Bu durum, hassas kişisel verilerin işlenmesinde şeffaflık ve veri sahiplerinin özgür iradesine dayalı onayın önemini vurgulamaktadır.

Otomatik İşleme Dayalı Kararlar

GDPR kapsamında, bireyler haklarında yalnızca otomatik sistemler tarafından karar verilmemesini talep etme hakkına sahiptir. Bu, önemli kararların tamamen yapay zeka veya algoritmalar tarafından alınamayacağı ve gerektiğinde bir insan tarafından gözden geçirilmesi gerektiği anlamına gelir.

Örneğin, müşteri hizmetleri taleplerinin değerlendirilmesinde yapay zeka kullanılıyorsa, kararların tamamen yapay zeka tarafından verilmesi yerine, gerektiğinde bir insan tarafından da incelenmesi sağlanmalıdır. Bu hakkın güvence altına alınması, alınan kararların hukuki bir etkisi olup olmadığının veya veri sahibini önemli şekilde etkileyip etkilemediğinin değerlendirilmesini gerektirir.

Ayrıca, bu tür yapay zeka destekli süreçlerle çalışan çalışanların, yapay zeka aracının kullanımı ve GDPR tarafından belirlenen sınırlar konusunda kapsamlı ve sürekli eğitim alması, bu hakkın etkin bir şekilde korunması için temel bir ön koşuldur.

Uyumsuzluk Durumunda Uygulanacak Cezalar

GDPR kapsamında, veri koruma yasalarına uymayan şirketler ve kamu kurumları için çeşitli yaptırım seçenekleri bulunmaktadır. Bu yaptırımlar arasında ihtar verilmesi ve zorunlu düzeltici önlemler alınması yer alabilir. Ayrıca, özel şirketler için uygulanabilecek ceza, toplam küresel grup cirosunun %4’ü veya 20 milyon Euro arasında, hangisi daha yüksekse, o tutar kadar olabilir.

Yapay Zeka Yasası da benzer şekilde, yapay zeka modellerinin kullanımının düzenlemelere uygun olmaması durumunda cezai yaptırımlar öngörmektedir.

Yasa’ya aykırı davranan şirketler, cirosunun %2 ila %7’si arasında bir para cezası veya 35 milyon Euro’ya kadar ceza ile karşılaşabilirler. Bu ceza miktarı, ihlal edilen kuralların türüne, ihlalin kasıtlı olup olmadığına ve şirketin geçmişteki uyum performansına göre değişkenlik gösterebilir.

Hem GDPR hem de Yapay Zeka Yasası, cezaların miktarını belirlerken çeşitli faktörleri dikkate almaktadır. Bunlar arasında ihlalin türü, ihlalin tekrarlanıp tekrarlanmadığı, şirketin işleme faaliyetlerinin kapsamı ve etkilenen veri sahiplerinin sayısı gibi unsurlar yer almaktadır.

Ayrıca, düzenlemelere uyum sağlamak amacıyla yapılan iyileştirmeler ve önleyici tedbirler, cezanın belirlenmesinde önemli bir etken olarak değerlendirilmektedir. Bu bağlamda, şirketlerin yalnızca yasal gereklilikleri yerine getirmeleri değil, aynı zamanda bu tür ihlallerin önüne geçmek için gerekli tedbirleri almaları da büyük önem taşımaktadır.