1. Giriş
Yapay zekâ (YZ) sistemlerinin bireysel ve toplumsal yaşamda artan kullanımı, kişisel veri işleme süreçlerini karmaşıklaştırmakta ve bu bağlamda hukuki bir belirsizlik doğurmaktadır. YZ sistemleri, kullanıcıların açık veya örtük biçimde sundukları verileri toplayarak işlemekte ve bu veriler üzerinden kararlar alabilmektedir. Bu gelişmeler, kişisel verilerin korunması hakkının sınırlarını ve açık rıza kavramının uygulama alanlarını tartışmaya açmaktadır. Türk hukukunda bu koruma, başta Anayasa, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türk Medeni Kanunu (TMK) ve Türk Ceza Kanunu (TCK) olmak üzere çeşitli düzenlemelerle sağlanmaktadır. Bu incelemede, yapay zekâ ile paylaşılan kişisel verilerin saklanması ve paylaşılması sürecinde açık rıza kavramının hukuki niteliği, geçerlilik şartları ve sınırları tartışılacaktır.
2. Kişisel Verilerin Hukuki Niteliği ve Korunması
2.1. Anayasal Çerçeve
T.C. Anayasası’nın 20. Maddesi, “herkesin özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkı” kapsamında kişisel verilerin korunmasına da yer verir. Üçüncü fıkraya göre, “herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir” (T.C. Anayasası, 1982, m.20). Bu hüküm, kişisel verilerin işlenmesini yalnızca ilgili kişinin açık rızasıyla veya kanunda açıkça öngörülen hâllerde mümkün kılmaktadır.
2.2. Medeni Hukukta Kişilik Hakkı
Türk Medeni Kanunu’nun 24. maddesi, kişilik hakkına yapılan hukuka aykırı müdahalelere karşı bireylere dava açma imkânı tanımaktadır (Türk Medeni Kanunu, 2001, m.24). Kişisel veriler, bireyin özel yaşamına ilişkin olduğundan, hukuka aykırı biçimde işlenmeleri kişilik hakkı ihlali olarak değerlendirilir.
2.3. Ceza Hukuku Bağlamında Yaptırımlar
Türk Ceza Kanunu’nda kişisel verilerin hukuka aykırı olarak kaydedilmesi, ifşa edilmesi veya elde edilmesi suç olarak düzenlenmiştir (Türk Ceza Kanunu, 2004, m.135–140). Bu bağlamda, YZ sistemleriyle işlenen verilerin, kullanıcının rızası olmadan üçüncü kişilere aktarılması cezai sorumluluk doğurur.
3. Kişisel Verilerin Korunması Kanunu ve Açık Rıza
KVKK, kişisel verilerin işlenmesini açık rıza ya da kanuni düzenlemelere bağlamaktadır. Kanun’un 5. maddesine göre, “kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez” (Kişisel Verilerin Korunması Kanunu [KVKK], 2016, m.5/1).
3.1. Açık Rızanın Tanımı ve Unsurları
KVKK’da açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanır (KVKK, 2016, m.3/1-a). Bu tanım, üç temel unsura işaret eder:
1. Belirli bir konuya ilişkin olmalıdır,
2. Bilgilendirmeye dayanmalıdır,
3. Özgür iradeyle verilmiş olmalıdır.
Ancak YZ sistemlerinin karar alma süreçleri çoğu zaman ‘kara kutu’ niteliğindedir ve bu unsurlar, özellikle yapay zekâ sistemlerinde şeffaflık eksikliği nedeniyle zayıflayabilmektedir. Kullanıcının, hangi verilerin nasıl ve ne amaçla işlendiğine dair yeterince bilgi sahibi olması çoğu zaman mümkün olmamaktadır. Bu durum, bireylerin hangi verilerle ve ne şekilde değerlendirildiklerini bilmesini engelleyerek açık rızanın anlamını bir hayli zayıflatmaktadır.
3.2. Yapay Zekâda Açık Rızanın Geçerliliği
YZ sistemlerinde kullanıcılar çoğunlukla “kabul et” butonlarıyla sistemin şartlarını onaylamaktadır. Ancak bu durum, çoğu zaman “gerçek anlamda bilgilendirmeye dayanmayan” ve “özgür iradeye dayanmayan” bir süreci ifade eder ‘’ (Gürses & van Hoboken, 2018). Ayrıca YZ sistemleri verileri yalnızca toplandığı an için değil, öngörülemeyen şekillerde daha sonra da kullanabildiği için “belirli bir konu” unsurunu da ortadan kaldırabilmektedir.
3.3. Veri Sorumlusu ve Aydınlatma Yükümlülüğü
KVKK'nın 10. maddesi uyarınca, ‘’veri sorumlusu kişisel veriler işlenmeden önce ilgili kişiye işleme amacı, hukuki sebep, aktarım durumu ve hakları hakkında bilgi vermekle yükümlüdür’’ (KVKK, 2016). Açık rızanın geçerliliği de bu bilgilendirmeye sıkı sıkıya bağlıdır.
4. Yapay Zekâ ve Kişisel Veri İşlemesinde Hukuki Sorumluluklar
YZ sistemlerinin geliştiricileri ve kullanıcıları, kişisel verilerin hukuka uygun şekilde işlenmesinden ve korunmasından sorumludur. KVKK'nın 12. maddesi uyarınca, ‘’veri güvenliğinin sağlanması, hukuka aykırı erişimin önlenmesi ve gerektiğinde verilerin anonimleştirilmesi gerekir’’ (KVKK, 2016). Bu sorumlulukların ihlali halinde idari para cezaları ve veri işleme faaliyetinin durdurulması gibi yaptırımlar uygulanabilir (Kişisel Verileri Koruma Kurumu [KVKK Kurumu], 2020).
5. Sonuç
Yapay zekâ teknolojilerinin kişisel veri işleme kapasitesi, veri güvenliğini ve bireysel mahremiyeti tehdit eder bir düzeye ulaşmıştır. Açık rıza kavramı, YZ sistemlerinde uygulanması güç bir hukuki araç hâline gelmiştir. Bu bağlamda, Türk hukuku açık rızaya dayalı modeli yeterince desteklese de yapay zekâ özelinde risk temelli, şeffaflık odaklı ve denetimi mümkün kılan yeni bir düzenleme ihtiyacı doğmuştur. Hukuki düzenlemelerin yanı sıra, yapay zekâ sistemlerinin toplumsal güveni sarsmaması için etik ilkelere (adalet, ayrımcılık yapmama, hesap verebilirlik gibi) uygun ve daha verimli yeni veri işleme politikaları geliştirilmelidir. Yapay zekâya özgü, risk temelli ve sektörel bazda düzenlenmiş veri koruma politikalarının hayata geçirilmesi, KVKK’nın güncellenmesi sürecinde dikkate alınmalıdır.
Av. Anıl Ayberk YILMAZ
Kaynakça
Gürses, S., & van Hoboken, J. (2018). Privacy after the agile turn in law and computer science. International Journal of Law and Information Technology, 26(3), 223–241.
Kişisel Verilerin Korunması Kanunu (KVKK). (2016). 6698 sayılı Kişisel Verilerin Korunması Kanunu. Resmî Gazete, 29677 (7 Nisan 2016).
Kişisel Verileri Koruma Kurumu. (2020). Veri sorumluları için rehberler ve yönergeler. https://www.kvkk.gov.tr/
T.C. Anayasası. (1982). Türkiye Cumhuriyeti Anayasası. Resmî Gazete, 17863 (9 Kasım 1982).
Türk Ceza Kanunu (TCK). (2004). 5237 sayılı Türk Ceza Kanunu. Resmî Gazete, 25611 (12 Ekim 2004).
Türk Medeni Kanunu (TMK). (2001). 4721 sayılı Türk Medeni Kanunu. Resmî Gazete, 24607 (8 Aralık 2001).
