KVKK ve Yapay Zeka: Algoritmik Kararlarda Hukuki Sorumluluk Kimde?
Yazar: Hatice Zeynep DEVRAN
Yapay zeka sistemleri, derin öğrenme ve makine öğrenmesi temelli algoritmalar sayesinde günümüzde sağlık, finans, kamu yönetimi, eğitim ve güvenlik başta olmak üzere birçok alanda karar alma mekanizması olarak kullanılmaktadır. Bu teknolojiler, başlangıçta yalnızca veri işleme kapasitesini artıran araçlar olarak tercih edilirken bugün sonuç üreten, önerilerde bulunan ve kimi zaman da doğrudan karar veren yapılara dönüşmüştür.
Türk Hukuku’nda kişisel verilerin korunmasına ilişkin temel düzenleme olan 6698 sayılı KVKK, veri işleme faaliyetlerini Veri Sorumlusu ve Veri İşleyen rolleri üzerinden organize etmektedir. Veri sorumlusu, veri işleme faaliyetinin amaçlarını ve araçlarını belirleyen kişi olarak tanımlanırken; veri işleyen, veri sorumlusunun talimatları doğrultusunda veriyi işleyen kişidir. Geleneksel veri işleme süreçlerinde bu rollerin tespiti genellikle net iken, otonom karar yeteneğine sahip öğrenen AI sistemlerinde bu ayrım keskinliğini kaybedebilmektedir.
Yapay Zekanın Hukuki Rolleri Değiştiren Dinamik Yapısı
Yapay zeka, klasik bilgisayar programlarının aksine önceden belirlenmiş kuralları uygulamak yerine, verilerden öğrenerek sonuç üreten dinamizm içeren bir yapıya sahiptir. Bu nedenle, algoritmanın hangi model üzerinden karar verdiği ve kararın hangi parametrelerden etkilendiği her zaman tam olarak belirlenememektedir. Karmaşık derin öğrenme modellerinde, algoritmik sonuç kara kutu (black box) niteliğindedir, karar sürecinin iç mantığı teknik olarak dahi açıklanamayabilir.
Bu teknik özellikler, hukuki açıdan birkaç sorun oluşturabilir:
- Amaçtan Sapma Olasılığı
- Öngörülemezlik
- Çok Aktörlü Tedarik Zinciri
Veri Sorumlusunun mutlak kontrol ilkesini zayıflatmakta ve geleneksel hukuki tanımların sınırlarını yıkmaktadır.
KVKK ve GDPR’da Veri Sorumlusu – Veri İşleyen Ayrımının Sınırları
KVKK’da veri sorumlusu, kişisel verilerin işleme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişi olarak tanımlanırken; veri işleyen, veri sorumlusunun talimatları doğrultusunda onun adına veri işleyen üçüncü kişidir.
GDPR’da da benzer bir yapı controller ve processor bulunmaktadır. Her iki düzenlemede de bu ayrım, veri işleme sürecinin öngörülebilir, kontrol edilebilir ve tek bir amaca yönelik olarak ilerlediği sistemler için tasarlanmıştır.
Yapay zeka sistemlerinde ise ayrım çoğu zaman zordur. Modelin geliştiricisi, sistemi kullanan kurum, veriyi işleyen bulut hizmeti sağlayıcısı ve modeli eğiten üçüncü taraf hizmetler, aynı veri setinin farklı aşamalarında rol alabilirler.
Tek bir veri sorumlusunun belirlenmesini zorlaşır ve bazı durumlarda müşterek veri sorumluluğu modelinin uygulanmasını gündeme getirmektedir. Ancak, YZ’nin otonom karar üretme kapasitesi, Veri Sorumlusunun teknik olarak tüm işleme süreçlerini kontrol edememesi sonucunu doğurarak geleneksel tanımların sınırlarını aşmaktadır.
Algoritmik Kararlarda Hukuki Sorumluluğun Belirlenmesi
Yapay zeka sistemlerinin verdiği kararlar; bir kredi başvurusunun reddi, risk skorlama işlemi veya tıbbi bir teşhis önerisi gibi kişinin hukuki haklarını ve sosyal statüsünü doğrudan etkileyebilir. Algoritmanın hatalı, haksız veya ayrımcı bir karar üretmesi durumunda sorumluluğun kime ait olduğunun tespiti önemlidir.
Klasik sorumluluk hukukunda temel ölçüt öngörülebilirliktir. Ancak AI sistemlerinin öngörülemez çıktılar üretme potansiyeli, kusur sorumluluğu ilkesinin uygulanmasını zorlaştırmaktadır.
AB Yapay Zeka Yasası, yüksek riskli sistemlerde geliştirici, sağlayıcı ve kullanıcıya farklı sorumluluk yükümlülükleri getirerek sorumluluğu paylaştırmayı öngörmektedir. Türk hukukunda henüz buna benzer özel bir çerçeve bulunmadığından, algoritmik kararlara ilişkin sorumluluk şimdilik genel hükümler ve Veri Sorumlusunun genişletilmiş denetim yükümlülüğü üzerinden değerlendirilmektedir.
Türk Hukukundaki Mevcut Düzenlemeler
KVKK’da YZ sistemlerinin Veri Sorumlusu olarak hangi koşullarda değerlendirileceğine veya algoritmik karar mekanizmalarının hangi standartlara tabi olacağına ilişkin özel bir hüküm bulunmamaktadır. Bu durum, normatif bir boşluk yaratmaktadır. Uygulamada, bu boşluk nedeniyle sorumluluğun hangi aktöre yükleneceği çoğu zaman sözleşmeler ve teknik açıklamalar üzerinden belirlenmeye çalışılmaktadır.
Türk hukukunda;
- Otomatik karar vermenin sınırları (GDPR Madde 22 muadili),
- Algoritmik önyargı ve ayrımcılıkla mücadele yükümlülükleri,
- Kara kutu modellerinde şeffaflık ve açıklanabilirlik,
- Otonom sistemlerde öngörülemezliğin hukuki sonuçları,
konularında özel bir yasal düzenleme bulunmamaktadır. Bu eksiklik, veri koruma hukukunda belirsizlik oluşturmakta ve uygulamada farklı yorumların ortaya çıkmasına neden olmaktadır. Bu belirsizlik, YZ sistemlerini kullanan kurumlar için hukuki riskleri artırmaktadır.
Sonuç
Yapay zeka sistemleri, otonom karar yapıları nedeniyle KVKK’nın veri sorumlusu–veri işleyen ayrımını zorlayan yeni bir hukuki alan oluşturmuştur. Bu süreçte KVKK m.11 kapsamında veri sahiplerine tanınan haklar özellikle önemlidir.
Bu çerçevede m.11/1-(g) uyarınca kişiler, münhasıran otomatik sistemlerle analiz edilerek kendileri aleyhine sonuç doğuran işleme faaliyetlerine itiraz edebilir. Kurumlar, yapay zekâ tabanlı karar mekanizmalarında bu itiraz hakkını etkin şekilde kullanabilmek için şeffaflık ve denetlenebilirlik süreçlerini güçlendirmelidir.
Mevzuat henüz yapay zekaya özgü ayrıntılı bir düzenleme içermese dahi uluslararası gelişmeler doğrultusunda Türk hukukunun bu konuda güncellenmesi kaçınılmaz görünmektedir.
Yazarın “Yapay Zekanın Hukuk Alanında Kullanımı” yazısını bağlantıdan okuyabilirsiniz.
Hukuk ve Bilişim Dergisi’nin Son Sayı’sını okumak için bağlantıya tıklayınız.
Yazar: Hatice Zeynep DEVRAN
Hukuk ve Bilişim Dergisi ve Blog kısmımızda,
Bilişim Suçları
Blockchain ve Dijital Paralar
Yapay Zekâ ve Robot Hukuku
Elektronik Ticaret Hukuku
İnternet Hukuku
Kişisel Verilerin Korunması Hukuku
Start-Up Hukuku
E-Spor Hukuku
Fikri Mülkiyet Hukuku ve benzer teknoloji hukuku alanlarında yazılar okuyucularımıza sunulmaktadır.