Son yıllarda teknoloji alanında yaşanan gelişmelerle birlikte, yapay zeka sohbet robotları da pek çok yeni araç gibi hayatımıza girmiş ve gelinen aşamada her türlü ihtiyacımıza yanıt verir hale evrilerek hayatımızın ayrılmaz bir parçası olmaya aday olmuştur. Bunun doğal bir sonucu olarak da kullanıcılarından devamlı olarak veri toplayan bu yapay zeka tabanlı sistemler, çeşitli endişeleri beraberinde getirmiş ve gerek veri koruma otoriteleri nezdinde gerekse veri güvenliği ve gizlilik konularında faaliyet gösteren profesyonellerce sıklıkla tartışılır hale gelmiştir.
Yapay zeka sohbet robotlarının kullanıcılardan toplanan verileri nasıl kullandığı ve depoladığı konusu, yayınlanan kararlar, yayınlar ve basın bültenleri aracılığıyla gündemdeki sıcaklığını korurken, Kişisel Verileri Koruma Kurumu tarafından da 08.11.2024 tarihinde; “Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu” başlıklı bilgi notu yayımlanmış olup insan ile teknoloji arasında etkileşimi sağlayan bu sohbet robotlarının kişisel veri toplama ve işleme konusundaki yoğun faaliyetleri odak noktası yapılmıştır. Yapay zekâ destekli sohbet robotlarına ilişkin çeşitli açıklamalar içeren bilgi notu, aynı zamanda uygulayıcılar ve geliştiriciler için kişisel verilerin korunması hukuku çerçevesinde yapılması gerekenlere de ışık tutmuştur.
Sohbet robotlarını, kullanıcılarla etkileşimde bulunarak sorulara yanıt verme ve bilgi sağlama yeteneğine sahip yapay zeka uygulamaları olarak tanımlamak mümkündür. Kurum tarafından ise bu tanım; “kullanıcının bir arayüz aracılığı ile kendisine verdiği görevleri/direktifleri yerine getirmeye çalışan, son kullanıcıyla insan konuşmasını simüle eden bir yazılım” şeklinde yapılmıştır.
Yapay zeka sistemleri bakımından her türlü verinin vazgeçilmez birer kaynak olduğu bilinmektedir. Bunun başlıca nedeni yapay zekâ destekli sistemlerin, en iyi performansla çalışabilmek için doğası gereği çeşitli ve büyük miktarlarda veriye ihtiyaç duymalarıdır. Bu çerçevede, mahiyetine göre farklılık gösterebilecek olmakla birlikte, daha iyi kullanıcı deneyimi sağlamak, analiz etmek, hizmetleri geliştirmek, yeni programlar geliştirmek gibi pek çok amaçla veriler işlenebilmektedir. İşlenen veriler ise bunlarla sınırlı kalmamak kaydıyla başlıca; isim, iletişim bilgileri, ödeme kartı bilgileri, tarayıcının veya cihazın otomatik olarak gönderdiği İnternet Protokolü (IP) adresi, tarayıcı türü ve ayarları, konum bilgileri, erişim zamanları, bilgisayar veya mobil cihazın türü gibi bilgiler, arama geçmişi, çerez bilgileri ve kişiler tarafından aktarılan metin, ses ve benzeri verilerdir.
ChatGPT gibi yapay zekâ sohbet robotu uygulamalarına ilişkin olarak, kişisel verilerin korunması konusunda farklı ülkelerde farklı yaklaşımlar bulunmaktadır. Ülkemiz bakımından ise, yapay zekâ sohbet robotlarının Kişisel Verilerin Koruması Kanunu ilkeleri ve düzenlemelerinden bağımsız tutulabilmesi mümkün olmayıp uygulamaların Kanun çerçevesinde titizlikle incelenmesi ve değerlendirilmesi gerekir. Nitekim bu düzenlemeler, bireylerin veri gizliliği ve güvenliği konusundaki haklarını korumayı amaçlarken bu çerçevede sohbet robotları sağlayıcılarına da çeşitli yükümlülükler getirmektedir. Bu tür yapay zeka temelli uygulamaların özellikle de Kanun’un “Genel İlkeler” başlıklı 4. Maddesi kapsamında düzenlenen, verilerin işlenmesindeki usul ve esaslara ilişkin temel prensipler bakımından değerlendirilmesi gerekir.
Kişisel Verilerin Korunması Kanunu kapsamında, öncelikle kullanıcı verilerinin toplanması ve işlenmesi bakımından açık rıza alınması büyük bir önem taşımaktadır. Sohbet robotları ile etkileşimde bulunan kullanıcılardan açık rıza alınması ve veri işleme süreçlerinin şeffaflıkla açıklanması, KVKK’ya uyum bakımından önem taşıyan temel prensipler arasındadır. Veri işleme süreçlerinde şeffaflığının temini ise; işlenen verilerin nasıl ve hangi amaçlar için kullandığı, kimlerle paylaşılacağı, hangi verilerin hangi süre boyunca saklanacağı ile kişilerin hakları gibi hususlarda yeterli bilgilendirmenin kullanıcıya yapılması ile mümkündür. Kişilerin, verileri üzerindeki kontrolünü kaybetmemesi adına titizlikle oluşturulması gereken bu bilgilendirme metinlerinin, açık ve sade bir dille oluşturulmanın yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesi hakkındaki rehber ve mevzuata uyumlu olmaları gerekmektedir.
Kişilere şeffaflıkla açıklanıyor olmanın yanı sıra, veri işleme süreçlerinin getirdiği gerekliliklerin bir başka boyutu ise işlenen verilerin Kanun ile belirlenen genel ilkelere uyumlu olmasıdır. Bu kapsamda, işlenen kişisel verilerin kendi içerisinde belirli, açık ve meşru amaçlar için işleniyor olması ile işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olması gerekmektedir.
ChatGPT örneği bakımından gizlilik politikasında; kullanıcılardan toplanan kişisel verilerin hizmetleri sağlamak, analiz etmek, yeni ürün özellikleri geliştirmek, kullanıcılar ile iletişime geçmek, hizmetlerin kötüye kullanılmasını önlemek, yasal yükümlülüklerin yerine getirilmesi ve şirketin meşru menfaatlerinin korunması gibi amaçlarla işlendiği belirtildiği görülmektedir. Ayrıca bu verilerin, hizmetlerin geliştirilmesi kapsamında modelleri eğitmek için kullanılmasının istenilmemesi halinde ilgili tercihlerin değiştirilmesi de kullanıcılar bakımından mümkün kılınmıştır. Bu noktada, veri işleme bakımından hukuki nedenlere dayanıldığını ve kullanıcılara sohbet geçmişine dair verilerin uygulamanın geliştirilmesi için kullanımına izin verip vermeme noktasında verileri üzerinde bir kontrol sağlandığını söylemek mümkündür. Kullanıcılara sohbet geçmişlerinin uygulamanın geliştirilmesinde kullanılıp kullanılmaması konusunda seçim hakkı tanınması kişisel verilerin korunması bakımından olumlu bir adımdır. Verilerin imhası bakımından ise, geçici sohbet modunun seçilmesi halinde verilerin güvenlik amaçlarıyla en fazla 30 gün saklanacağı belirtilmekle, bu taahhüdün Türkiye’deki kullanıcılar için yeterli koruma sağlayıp sağlamayacağı hususu soru işareti yaratmaktadır. Bu hususun ayrıca Kanun’un “amaç için gerekli olan süre kadar muhafaza edilme” ilkesi bakımından da irdelenmesi gerekebilecektir.
Sonuç itibariyle, yapay zekâ tabanlı sohbet robotu uygulamalarının, kişisel verilerin korunması bakımından birtakım belirsizlikler barındırdığı ve bu tür uygulamaların, geliştirilmesi ve kullanılması süreçlerinde kişisel verilerin korunması hususunda daha büyük hassasiyet gösterilmesi gerektiği bir gerçektir. Kurum’un yayınlamış olduğu bilgi notu formatındaki çalışma da bu konuda önemli bir başlangıç noktası niteliğinde olmuştur. Nitekim ilgili bilgi notunda Kurum, kullanıcıları kişisel verilerine ilişkin aşırı paylaşım yapmamaları konusunda ikaz etmekle birlikte, sohbet robotu geliştirirken dikkat edilmesi gereken; “kişisel verilere temas etmeden önce risk değerlendirmesi yapılması”, “hesap verilebilirlik ilkesine ve Kanun’da yer alan ilkelere uygun hareket edilmesi”, “aydınlatma yükümlülüğüne riayet edilmesi” gibi önemli ilkelere de yer vermiştir.
Sohbet robotu gibi uygulamaların, belirtilen ilkelere uygun olarak geliştirilmesi ve kullanıcıların verilerini korumak için gerekli adımların atılması büyük önem taşımakta olup veri koruma otoritelerinin de bu sistemin mevzuata uyumlu bir şekilde yürütülebilmesini temin etmek amacıyla bu alanda düzenli olarak denetimler ve çalışmalar yapması gerekmektedir. Yapay zekâ teknolojilerinin her geçen gün artan karmaşıklığı karşısında daha detaylı ve kapsamlı bilgi notları hazırlanmasının, kişilerin kişisel verilerinin ve mahremiyetinin korunmasına katkı sağlayacağı gibi sektördeki uygulamaların geliştirilmesi ve özellikle de kişisel verilerin korunması ilkelerine uyumlu olarak geliştirilmesi bakımından aydınlatıcı olacağı düşünülmektedir.
Av. Selin Ünverdi
