KVKK tarafından hazırlanan "Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler" başlıklı çalışmada, yapay zeka alanında faaliyet gösteren, geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar için 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, kişisel verilerin korunması amacına yönelik öneriler yer aldı.

Günümüzde yapay zeka teknikleri ve uygulamalarında büyük ilerleme kaydedildiği, yapay zeka tabanlı sistemlerin birçok alanda yaşamı doğrudan etkilediği ifade edilen çalışmada, yapay zekanın bireyler ve toplum için önemli faydalar üretmekle birlikte, bireyin temel hak ve özgürlükleri kapsamında kişisel verilerin korunmasını isteme hakkı bakımından doğru biçimde yönetilmesi gerektiği vurgulandı.

Yapay zeka alanında yapılan ya da yapılacak çalışmalara yönelik tavsiyelerin yer aldığı çalışmada, kişisel verilerin korunması hususunda açıklık sağlanmasının hedeflendiği belirtildi.

- KVKK'nin genel tavsiyeleri

Çalışmanın "Genel Tavsiyeler" başlıklı kısmında, yapay zeka uygulamalarının geliştirilmesi ve uygulanması sürecinde ilgili kişilerin temel hak ve özgürlüklerine saygı gösterilmesi ve hak ihlaline meydan verilmemesi gerektiğine işaret edildi.

İnsan hakları ve temel özgürlüklerin himayesi ile insan onurunun korunması hakkının gözetilmesi gerektiği kaydedilen çalışmada, diğer tavsiyeler şöyle sıralandı:

- "Kişisel veri işleme temelli yapay zeka ve veri toplama çalışmaları kişilerin temel hak ve özgürlüklerini koruyan bir yaklaşım içerisinde hukuka uygunluk, dürüstlük, ölçülülük, hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olmalıdır.

- Kişisel verilerin işlenmesinde potansiyel risklerin önlenmesi ve azaltılması üzerine odaklanan, insan haklarını, demokrasinin işleyişini, sosyal ve etik değerleri de göz önünde bulunduran bir bakış açısı benimsenmelidir.

- Veri işleme faaliyetinin bireyler ve toplum üzerine etkileri değerlendirildiğinde ilgili kişi açısından kontrolü mümkün olmalıdır.

- Kişisel veri işleme temelli yapay zeka çalışmalarında, kişisel verilerin korunması açısından yüksek risk öngörülüyorsa, mahremiyet etki değerlendirmesi uygulanmalı ve veri işleme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmelidir.

- Kişisel veri işleme esaslı yapay zeka çalışmalarında ilk aşamadan itibaren kişisel verilerin korunması mevzuatına uyum sağlanmalı ve tüm sistemler tasarımdan itibaren veri koruma ilkesine göre geliştirilmeli ve yönetilmelidir. Bu kapsamda her projeye özel bir veri koruma uyum programı oluşturulmalı ve uygulanmalıdır.

- Kişisel veri işleme esaslı yapay zeka teknolojileri geliştirilirken ve uygulanırken özel nitelikli kişisel veri işleniyorsa özel veri koruma kuralları olduğu göz önüne alınarak teknik ve idari tedbirler daha sıkı şekilde uygulanmalıdır.

- Yapay zeka teknolojilerinin geliştirilmesi ve uygulanmasında aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, verilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilmelidir.

- Kişisel veri işleme esaslı yapay zeka çalışmalarının farklı paydaşlarının veri sorumlusu veya veri işleyen olma statüleri projenin başında belirlenerek aralarındaki hukuki ilişki veri koruma mevzuatı ile uyumlu hale getirilmelidir."

- Geliştiriciler, üreticiler ve servis sağlayıcılar için tavsiyeler

KVKK'nin yapay zekaya dair çalışmasında yapay zeka sistemini geliştiren, üreten ve bunlara servis sağlayanlar için de tavsiyeler yer aldı.

Tasarımda, ulusal ve uluslararası düzenlemelerle tutarlı kişisel veri mahremiyetini esas alan bir yaklaşım gözetilmesi gerektiği belirtilen çalışmada, temel hak ve özgürlükler üzerindeki muhtemel olumsuz sonuçların gözetilerek, uygun risk önleme ve azaltma tedbirlerine dayalı ihtiyatlı bir yaklaşım benimsenmesine vurgu yapıldı.

Veri işlemenin her aşamasında temel hak ve özgürlüklerin gözetilmesinin önemine değinilen çalışmada, ilgili kişiler üzerinde meydana gelebilecek ayrımcılık riski veya diğer olumsuz etkilerle önyargıların da önlenmesi gerektiği ifade edildi.

Çalışmada, "Kullanılan kişisel verilerin kalitesi, niteliği, kaynağı, miktarı, kategori ve içeriği değerlendirilerek asgari veri kullanımına gidilmeli, geliştirilen modelin doğruluğu sürekli izlenmelidir." denildi.

Verileri işlenen bireylere, itiraz hakkı tanınması, kişilik haklarına daha az müdahale eden alternatifler sunulması ve seçim yapma özgürlüklerinin de güvence altına alınması gerektiği belirtildi.

Tüm paydaşlar için hesap verebilirlik sağlayacak algoritmaların benimsenmesi tavsiyesinde bulunulan çalışmada, şunlar kaydedildi:

"Kullanıcının veri işleme faaliyetini durdurabilme hakkı tanınmalı ve kullanıcılara ait verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi imkanı tasarlanmalıdır. Uygulama ile etkileşime giren kişiler, kişisel veri işleme faaliyetinin gerekçeleri, kişisel verilerin işlenmesinde kullanılan yöntemlerin detayları ile muhtemel sonuçları hakkında aydınlatılmalı ve gerekli haller için etkili bir veri işleme onay mekanizması tasarlanmalıdır."

- "Hesap verebilirlik ilkesi tüm aşamalarda gözetilmelidir"

KVKK'nin çalışmasında yer alan "Karar Alıcılar İçin Tavsiyeler" başlıklı kısmında ise "Hesap verebilirlik ilkesi tüm aşamalarda gözetilmelidir." açıklamasına yer verildi.

Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürlerinin benimsenmesi ve sektör, uygulama, donanım, yazılım temelinde bir uygulama matrisi oluşturulması gerektiğine işaret edilen çalışmada, yapay zeka kullanımında davranış kuralları ve sertifikasyon mekanizmaları gibi uygun önlemlerin de alınması gerektiği belirtildi.

Yapay zeka modellerinin farklı bir bağlam veya amaç için kullanılıp kullanılmadığını izlemek üzere karar alıcılar tarafından yeterli kaynak ayrılması tavsiyesinde bulunulan çalışmada, karar alma süreçlerinde insan müdahalesinin rolünün tesis edilmesi ve bireylerin, yapay zeka uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğünün korunması gerektiği ifade edildi.

İlgili kişilerin temel hak ve özgürlüklerini önemli ölçüde etkileme ihtimali ortaya çıktığında denetim otoritelerine başvurulması gerektiği bildirilen çalışmada, "Denetim otoriteleri ve yetkili diğer kuruluşlar arasında, veri mahremiyeti, tüketicinin korunması, rekabetin geliştirilmesi ve ayrımcılıkla mücadele konularında iş birliği teşvik edilmelidir." ifadeleri yer aldı.