Deepfake Ve Kişisel Veriler
A. Giriş
Hepimiz sosyal platformlarda içerik paylaşıyoruz. Bu bazen anı ölümsüzleştirmek için bir fotoğraf veya o anı tekrar yaşamak için video oluyor. Bazen de sadece eğlenmek için bazı uygulamaları kullanarak bu içerikleri oluşturuyoruz ve paylaşıyoruz. Peki tüm bunları yaparken kullandığımız uygulamaların sözleşme ve gizlilik politikalarını kaçımız okuyoruz? Kaçımız şu an kullandığı herhangi bir uygulamadan paylaştığı fotoğraf ve video gibi kişisel veri içeren bilgilerinin nasıl, nerede ve ne amaçla ne kadar süre depolandığını biliyor? Ne yazık ki çok ama çok azımız bu bilgiye sahip. Bu bilgilerin kötü amaçla kullanıldığını gördüğümüz zaman ise maalesef çok geç olmuş oluyor. Peki bu görüntüler nasıl kötü amaçlı kullanılabiliyor? Cevabımız Deepfake.
B. Deepfake Nedir?
Deepfake, makine öğrenmesi sayesinde kişisel verilerin manipüle edildiği bir teknolojidir. Şöyle ki bir kişinin aslında söylemediği veya yapmadığı bir şeyi sanki o kişi yapmışcasına bir video üreterek bir sanrı ortaya çıkarmaktadır ve bunu yaparken başka bir kişinin kişisel verilerini -bu ses ve/veya görüntü olabilir- başka bir kişide kullanıyor. Bu aslında çok yabancı olduğumuz bir durum değil özellikle sinemada eğlence sektöründe gördüğümüz bir şey. Örnek verecek olursak Hızlı ve Öfkeli filminde Paul Walker ölmesine rağmen filmde bu teknoloji sayesinde yer alabildi ancak bu teknoloji her zaman bu şekilde faydalı bir şekilde kullanılmıyor. Bir başkasının haberi dahi olmadan kişisel verileri kullanılabiliyor ve sonuçları maalesef oldukça ciddi oluyor. Bu duruma bir örnek vermemiz gerekirse Obama ve Trump olayında devlet nezdinde de sıkıntı yaratabildiğini gördük. Teknolojini bu şekilde kullanılması ile aslında başka bir sorunla daha yüzleşiyoruz o da sahte deliller. Kişinin söylemediği yapmadığı bir eylem kişiye isnat ediliyor ve bu durum haliyle yargılama sürecini derinden etkileyecek nitelikte oluyor.
C. Deepfake’in Veri Kaynağı
Aslında deepfake özünde bir makine öğrenmesi olmasından dolayı bu ‘öğrenme’ sürecine devam edebilmesi için veriye (data) ihtiyaç duymakta. Peki bu büyük veri ve kaynağı ne? Aslında cevap hepimizin bildiği üzere biziz; sesimiz, görüntümüz, mimiklerimiz… Kaynağı ise eğlence aracıyla kullandığımız uygulamalar çünkü hiçbirimiz eğlence amacıyla kullandığımız bu uygulamaların sözleşme ve gizlilik politikalarını okumuyoruz ancak buna sadece kullanıcı sorumluluğu da diyemeyiz. Keza şirketler de bu sözleşmelerin okunmasını kolaylaştıracak bir eylemde ne yazık ki bulunmuyor ve sözleşmeler uzun, karmaşık ve anlaması zor bir şekilde hazırlanıyor. Üstüne üstlük bu durum kişisel veri bilinci olmayan bir kullanıcıyla birleştiğinde oldukça fazla data sağlanıyor. Kişiler sözleşmeleri nerede nasıl kullanacağı sorularına bakmıyor ve aslında masumca eğlenmek için uygulamayı kullanmak istiyor. Genelde bu uygulamalar yapay zeka destekli oluyor. Misal yakın zamana kadar kullanılan Lensa AI uygulaması yapay zeka destekli bir fotoğraf uygulaması ve fotoğraflarınızı yükleyerek bir avatar oluşturabiliyorsunuz. Bu özelliği sayesinde uygulama milyonlarca kez indirildi ve aslında hepimizin kendi sosyal medya akışında gördüğü avatarlar oluşturuldu böylece milyonlarca veri de elde edilmiş oldu.
D. Kişisel Veri Bağlamında Deepfake
Öncelikle deepfake için kullandığımız verilerin KVKK uyarınca genel veri, özel veri ayrımını yapmamız daha uygun olur.
“MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir”
Maddeden de açıkça anlaşılacağı üzere biyometrik veriler özel nitelikli kişisel verilerdir. Biyometrik verinin kapsamını ise GDPR madde 4/14’te anlıyoruz. Yani; “yüz görüntüleri veya daktiloskopik veriler gibi gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin olarak spesifik teknik işlemden kaynaklanan kişisel verilerdir.” Bu tanımdan da anlayabileceğimiz üzere yüz mimik ses gibi kişinin teşhis edilmesini kolaylaştırıcı bilgiler de o halde biyometrik veri, haliyle de özel veri olarak nitelendirilecektir. Özel veri olarak nitelendirilmesinin asıl önemi yine KVK m.6/2 de görmekteyiz.
“(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.”
Burada özellikle açık rıza üstünde durmamız lazım. Zira daha öncede belirttiğimiz üzere açık rıza sözleşme ve gizlilik politikasının onayıyla sağlanmaktadır ancak maalesef kullanıcılar ya kişisel veri konusunda yeterli bilince sahip değiller ya da sözleşme uzun, karışık ve anlaşılması zor bir şekilde hazırlanmaktadır. Bu durumda gerçekten açık rızadan varlığından bence bahsedemeyiz keza bu verilerin aktarılması konusunda da kullanıcı yani veri sahibi yeterli derecede aydınlatılmıyor. Bu durumda burada ki rızaya battaniye rıza olarak nitelendirmemiz daha doğru olacaktır.
E. Sonuç
Deepfake, sinema ve eğlence sektörü için oldukça önemli ve faydalı bir gelişme ancak sadece iyi yönleri yok. Aynı zamanda bu teknolojinin asıl kaynağı kişisel veri olduğu için suistimale de oldukça açık. Bu sebeple özellikle değindiğimiz açık rıza konusunun dikkate alınması gerektiği ve bu konuda şirketlerin de gerekli hassasiyeti göstermesi gerekmektedir.
Kübra Memiş’in tüm blog yazılarını bağlantıdan okuyabilirsiniz.
Hukuk ve Bilişim Dergisi’nin Yeni Sayı’sını okumak için bağlantıya tıklayınız.
KAYNAKÇA
- https://youtu.be/ye7arp5IrAg
- https://youtu.be/cQ54GDm1eL0
- https://blog.lexpera.com.tr/deepfake-ikilemi-sadece-eglence-mi-tehditler-ve-hukuki-tartismalar/
- https://www.google.com.tr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwjur-vVmOn8AhWWYPEDHSEoBIIQFnoECBoQAQ&url=https://www.linkedin.com/pulse/kvkk-kapsaminda-deepfake-teknolojisinin-muhammed-morko%C3%A7?trk=public_profile_article_view&usg=AOvVaw27hthCfxa-5wxtH0ucb4_c