Genel Veri Koruma Düzenlemesi’nin Yapay Zeka Üzerindeki Etkisi

Genel Veri Koruma Düzenlemesi’nin Yapay Zeka Üzerindeki Etkisi

 

Avrupa Parlamentosu Araştırma Birimi

Haziran 2020

 

Özet

Bu çalışma Genel Veri Koruma Düzenlemesi (“GDPR”) ve yapay zeka (“YZ”) arasındaki ilişkiye işaret etmektedir. YZ’nin bazı temel kavramlarıyla giriş yaptıktan sonra, YZ teknolojilerindeki son aşmayı incelemekte ve YZ’nin kişisel verilere uygulanmasına odaklanmaktadır. Bireyler ve toplum için olan zorlukları ve fırsatları, risklerin nasıl önlebileceği ile hukuk ve teknoloji yoluyla sağlanan fırsatları göz önünde bulundurmaktadır.

Çalışma daha sonra YZ’nin GDPR’da nasıl düzenlendiğine dair bir analiz ortaya koymakta ve YZ’nin GDPR’ın kavramsal çerçevesine ne ölçüde uyduğunu incelemektedir. YZ ve veri koruma ilkeleri arasındaki gerginlik ve yakınlıkları, özellikle amaç sınırlaması ve veri minimizasyonu gibi konuları tartışmaktadır. YZ uygulamalarının kişisel verilere ilişkin yasal dayanaklarını incelemekte ve YZ sistemleri, özellikle profilleme ve otomatik karar vermeyi içeren sistemler hakkındaki bilgi sorumluluğunu dikkate almaktadır. İlgili kişilerin erişim, silme, taşınabilirlik ve itiraz hakları gibi haklarını gözden geçirmektedir.

Çalışma, otomatik kararların ne ölçüde kabul edilebilir olduğunu, benimsenecek koruma önlemlerini ve ilgili kişilerin bireysel açıklama yapma hakkına sahip olup olmadığını göz önünde bulundurarak otomatik karar vermenin kapsamlı bir analizini gerçekleştirmektedir. 

GDPR’ın önleyici riske temelli bir yaklaşım ne ölçüde sağladığını tasarım ve varsayılan olarak veri korumasına odaklanıp ele almaktadır. Yapay zekanın istatistiksel amaçlar için kullanılma imkanı da GDPR ile tutarlı bir şekilde dikkate alınmıştır. 

Çalışma YZ’nin GDPR ile tutarlı bir şekilde konuşlandırılabileceğini, ayrıca GDPR’ın veri sorumluları için yeterli yönlendirmeyi sağlamadığı ve rehberlerinin genişletilmesi ve somutlaştırılması gerektiğini gözlemleyerek sonuçlanmıştır. Bu konuda bazı öneriler geliştirilmektedir.

Raporun orijinalini aşağıdaki bağlantı adresinde bulabilirsiniz:

EPRS_STU(2020)641530_EN.pdf erişimi için tıklayın

Akıllı Gözlükler ve Veri Koruması

 

Akıllı Gözlükler ve Veri Koruması

Brüksel, Ocak 2019

 

Özet

Akıllı gözlükler, gözlük gibi kullanılan veya normal gözlüklere monte edilen, mobil İnternet bağlantısı olan giyilebilir bilgisayarlardır. Arttırılmış gerçeklik(AG) uygulamaları için, kullanıcının görüş alanıyla bilgi göstermeye ve kamera, mikrofon ve GPS alıcısı vs. kullanarak fiziksel dünyadan bilgi yakalamaya izin vermektedirler.

Google’ın akıllı gözlüklerinin ilk sürümü dünya çapında büyük ilgi gördü ve bu cihazların popülerliği arttı. Hedef kitle başlangıçta yaklaşık 1500 Avro birim fiyatı ile ticaret sektörü (örneğin lojistik, eğitim simülasyonları vb.) olsa da, kısa süre önce Snap Inc. gibi rakipler yaklaşık 150 Avro gibi daha ucuz modellere sahip, daha geniş ve daha genç bir kitleye hitap etmeye başladı.

Akıllı gözlükler birçok uygulama alanında (teknik bakım, eğitim, inşaat, vb.) çok yararlı araçlar olsa da, kullanımları tartışmalıdır, çünkü, özellikle kişilerin mahremiyetini zedeleme konusunda, gizlilik dostu bir tasarıma sahip olmadığı noktada, yüksek bir risk potansiyeli oluşturdukları düşünülmektedir. Halka açık yerlerde bulunan kişilerin videolarının kaydedilmesinin veri koruma etkisi, CCTV ve kontrol kameraları bağlamında zaten tartışılmıştır. Sensörler, kullanıcıların görüş alanının video akışını, ses kayıtlarını ve lokasyon verilerini içeren çevresel bilgileri kaydedebilir. Dahası, akıllı gözlükler, cihazların düzenli olarak Wi-Fi veya Bluetooth radyo sinyalleri şeklinde yayılan tanımlayıcıları gibi başkalarının görünmez kişisel verilerini işlemelerine de izin verebilir. Bu veriler yalnızca kullanıcıların kişisel bilgilerini değil, aynı zamanda yakınlarındaki bireyleri de (kullanıcı olmayan) içerebilir. Akıllı gözlükler, özellikle yoğun nüfuslu halka açık alanlarda kullanıldığında, ses veya görsel göstergeler (LED’ler) vasıtasıyla veri öznelerinin bilgilendirilmesiyle ilgili mevcut güvenlik önlemleri etkin olmamaktadır. Akıllı gözlük, kullanıcılarının kişisel verilerini çevrelerine de sızdırabilir. Akıllı gözlük tasarımına bağlı olarak kullanıcı olmayanlar, özel postalar, resimler gibi kişisel veri içerebilen akıllı gözlük ekranını da izleyebilir. İnternete bağlı diğer tüm cihazlar gibi akıllı gözlükler de, verileri çalma veya yetkisiz yazılımları çalıştırma için aktif olarak kötüye kullanılabilecek  güvenlik boşluğundan daha fazla muzdarip olabilir.

Akıllı gözlükler günlük yaşamda şimdiye kadar sadece marjinal bir rol oynamışken, uzmanlar, AG ve Facebook, Apple ve Amazon’un akıllı gözlük girişimleri sayesinde tüketici sektöründe verimliliğin artması için önemli bir potansiyel olduğunu tahmin ediyor. Yüz veya ses tanıma ve pil ömründeki teknolojik gelişmeler, birçok sektörde akıllı gözlüklerin yeni kullanım alanlarına sıcak bakabilir. Örneğin, kolluk güçleri, 2018’in başlarında polis memurlarının, şüphelilerin veritabanından yüz tanıma ile bireylerin (kalabalık içinde) eşleştirilmesinde akıllı gözlük kullandıklarını bildirdi. Bu dinamik alanda, veri koruma otoritelerine hızlı gelişmelere ayak uydurma ve kılavuzluk yapma zorunluluğu getirildi. Gerçekten de, WP29’un Nesnelerin İnterneti Görüşünde birçok konu ele alınmıştır.

GDPR ile birlikte, her şeyden önce veri sorumluları, veri işleyenler ve akıllı gözlük geliştiricileri için veri koruma ve gizlilik üzerindeki etkilerini değerlendirme ve kontrol etme konusunda uyumlu bir ilkeler seti ve bir araçlar sistemi sağlanmıştır. Gelişimin şu anki aşamasında, teknolojinin özel yasal girişimlere acil bir ihtiyaç duymadığı görülmektedir. Bununla birlikte, akıllı gözlüklerin ve benzeri bağlı kayıt cihazlarının geliştirilmesi, ePrivacy Tüzüğü’nde önerildiği gibi, gizlilik ve elektronik iletişim için sağlam bir çerçeve oluşturma ihtiyacının altını çiziyor.

 

Raporun orjinalini ve bağlantı adresini aşağıda bulabilirsiniz:

https://edps.europa.eu/sites/edp/files/publication/19-01-18_edps-tech-report-1-smart_glasses_en.pdf

 

Kişisel Robotlar ve Kişisel Veriler

 

Kişisel Robotlar ve Kişisel Veriler

 

 

Gizem Gültekin Várkonyi

Araştırma Görevlisi, Doktora adayı

Szeged Üniversitesi

Hukuk Fakültesi

 

 

 

Baştan açıkça belirtmeliyim ki, bu yazımda ben Yapay Zeka ile robotları ayırt etmeyeceğim. Robotları pek mümkün insansı robotlar gibi düşünümek zorunda değiliz, ancak, mutfakta kullandığımız soğan parçalama makinesine mutfak robotu diyen insanlar olarak, konuya ilişkin bir ayrım ve yorum yapmak durumundayız. Bir de başına “akıllı” sıfatı getirildiğinde bir anda akıllanan makinelerden de bahsediyor olmayacağım bu yazıda. Hepimiz Yapay Zeka ve robot kelimlerini yan yana getirdiğimizde, hemen hemen bilimkurgu filmlerindeki gibi robotları düşünmüyor muyuz aslında?  Ve o robotların biriyle yakın gelecekte karşılaşma olasılığımızın çok yüksek olduğu en azından Hukuk&Robotik blogu okurlarının farkındalığındadır diye tahmin ediyorum. Benim bu yazıda bahsettiğim robotlar fiziki yapısı onların hareket etmelerine olanak sağlayan, kesintisiz bilgi toplamaları ve işleyebilmeleri için çeşitli donanımlara sahip, insanlarla fiziksel bir ortamda bulunabilen ve elbette ileri seviyede yapay zekalı robotlardan olacaktır. Zaten, neden olmasın?

Öncelikle bir durum analizi yaparak başlamak istiyorum. Robotların bugünlerdeki en popüler konulardan biri olmakla beraber araştırmalarım esnasında bu teknolojiye yaklaşımları bakımından üç türlü grubun varlığını saptadım[1]: karşıtlar, çekingenler ve cesaretliler. Aslında hemen hemen her konuda bu gruplaşmayı görürüz; görürüz de, konu robotlar olunca grupların sınırları en azından bugün için çok net çizilmiş durumda. Hep beraber inceleyelim.

Birinci grup, yapay zekanın işlerimizi elimizden alacağını; ilgili teknolojiyi elinde tutanların bizleri sürekli gözlem altında tutacağını; mahremiyet, özgür seçim gibi değer ve hakların ortadan kalkacağını düşünen şüpheci ve reddedici bir grup. Bu grubun aynı zamanda yapay zekanın hiçbir zaman insan zekası ve yeteneklerini geçemeyeceğini iddia eden grup olması, grubun filozofisini anlamam açısından bana biraz garip gelmektedir. Hiçbir zaman var olamayacağını düşündükleri bir şeyden neden korkarlar, anlayabilmiş değilim ama, toplumu korkaklığa yönlendirmeleri bakımından kendilerini zararlı buluyorum.

İkinci grup konuyla ilgili bilimsel veya akademik araştırma yapmamış ancak temel bir bilgisi ve fikri olan, robotlardan hem korkan hem de konuya meraklı kişiler. Bunlar şu anda Avrupa toplumunun büyük bir kısmını oluşturuyor[2]. Bu kişilerin en büyük korku kaynağı ise konunun yasal ve etik açıdan yeteri kadar değerlendirilerek ortaya net çözümler koyabilecek kapasiteye gelinmemiş olduğunu bilmeleri. Ancak belki de bu topluluktaki insanların bazıları, 2007’de ilk Facebook hesabını açan insanlarla aynıydı. Hesabı 2007’de açan ancak 2018’de tamamen kaldırabildi bildiğiniz üzere.

Üçüncü grupta ise robotlarla ilgili her türlü gelişmeyi merakla bekleyen, deneyen, daha fazlasını isteyen ve her gelişmeyi deneyimlemeye hazır kişler bulunuyor. Bu kişiler teknolojinin insanın daha iyi bir hayat yaşayabilmesi için insan hizmetinde olmasını savunan, bunun ise ancak teknoloji bilinci yüksek, bilgi okur-yazarı bireylerle mümkün olduğunu düşünen; teknolojiye aç ama teknolojinin kötülere de hizmet ettiğini bilen, bu yüzden çekingenlere de hak veren ama bir türlü kendini tutamayıp cesaretle geliştirmeye ve denemeye devam edenler.

Yapay zeka ile ilgili bilimsel camiaya baktığımızda birbirinin dilini bu zamana kadar anlamaya pek yanaşmamış hukukçu-yazılımcılar gibi gruplar karşımıza çıkıyor. Yapay Zekanın ilk patlama dönemi olan 1950’lerde konuyla ilgili bir veya iki hukukçu dışında pek fazla bir çalışmaya rastlamadım. İkinci dönem olan 1980’lerde tek tük yazılara rastlasam da konunun tam anlamıyla iki disiplin arasına girmesi 2000’leri buluyor. Hukuk&Robotik gibi her iki alanı direkt olarak buluşturan ve insanların sıkıcı akademik platformlarda yaptıkları çalışmaları hala bilimsel ama serbest biçimde anlatabildikleri platformlar ise en azından ülkemizde yok denecek kadar az.

İnsanlar hangi gruptan olursa olsun bugün, IBM ve Google gibi teknoloji devlerinin, Çin ve Japonya gibi teknolojiyi devlet politikalarından ayırt etmeyen ülkelerin ortaya koyduğu ürün ve gelecek planlarının farkında. Eldeki teknolojinin tam anlamıyla kullanmasına engel olan şeylerden biri kuşkusuz, kanunlar (veya topyekun insanları ortadan kaldırmayı henüz düşünmüyor da olabilirler). Ancak, laboratuvarlardaki araştırmalar dünyanın herhangi bir yerinde yürürlükteki kanunlara göre değil de Moore’un kanunlarına göre ilerliyor.

Haliyle, koskoca hukuk bilimi, teknolojinin peşinden koşan ama “maç eksiği nedeniyle” teknolojinin hep gerisinde kalan bir hale gelmiş bulunuyor. Yaşama hakkının tüm uluslararası sözleşmelerde yer alabilmesi için birçok insanın ölmesi gerekmesi gibi, teknolojinin başımıza açacağı işleri önce bekleyip sonra adım atmayı planlıyoruz, ama yanılıyoruz. Yazımın devamında sizlere, robotlarla ilgili öngörebildiğim bazı konuları Kişisel Verilerin Korunması Hukuku kapsamında nasıl düzenlenebileceğini göstermeye çalışacağım.

Herkes uzun, sağlıklı ve rahat bir yaşamı olsun ister. Şahsen ev işi yapmak yerine yapacak daha farklı şeyler bulabilirim. Makale yazabilir, spor yapabilir veya maç izleyebilirim. Hayatımı sağlıklı bir şekilde devam ettirebilmek için istediğim zaman sağlık durumumu gözlemlyebileceğim bir asistanım olsun, bu asistanım bana sağlıklı yaşamla ilgili kişiselleştirilmiş bilgi versin ve endişe uyandıran bir durumda sağlığımla ilgili bilgilerim doktorum tarafından zahmetsizce ulaşılabilsin isterim. Hatta doktorumu her basit durumda rahatsız etmeyeyim, yapay zekalı robotum bana teşhisimi koyup tedavimi versin isterim (Yaşasın! Grip oldum diye doktora gidilen günler yakında geride mi kalacak?). Hasta, yalnız, yaşlı veya engelli kişilerin yanlarında onlara arkadaşlık edebilecek, onlara hayatı kolaylaştıracak robotları sadece ben mi isterim bu dünyada?

İstediğimiz şeyler aslında bugün teknik olarak hemen hemen mümkün, ancak kanımca hem toplumun kendisi hem de toplum düzenini sağlamakla görevli gerçek veya tüzel kişiler buna henüz hazır değiller. Çünkü, örneğin, bence gayet açık ki,  tüm bu kişisel hizmetlerin  gerçekleşebilmesi için yapay zekanın ihtiyaç duyduğu şeylerden belki de ilki ve en önemlisi, kişisel veri. Konunun etik kısmının boyumu aşacağı endişesiyle konuyu profesyonellerine bırakıp, bir robotun yaşam kaynağının kişisel bilgi olduğuna işaret etmek istiyorum. Ve hatta, dünyadaki herhangi bir Kişisel Verileri Koruma Hukukunun robotların veri toplama ve işleme özelliklerini durduramayacağını iddia ediyorum. Bu kapsamda AB’nin meşhur Kişisel Verileri Koruma Tüzüğü’nden (KVKT) yola çıkarak bu savımı açıklamaya çalışacağım.

Bir veri koruma yasasının en temel görevi, kişisel verilerin yasal çerçeveler içerisinde veya kişilerin rızası doğrultusunda sınırlandırılarak toplanması ve işlenmesine olanak sağlamaktır. Cümlemin içerisindeki zıtlığı sizin de fark etmiş olduğunuzu tahmin ederek, veri koruma yasalarının sınırlandırıcı özelliğine tekrar dikkatiniz çekmek isterim. Bu açıdan aslında, kişisel verileri koruma hukuku, teknolojinin sınırsızca gelişebilmesinin önündeki en büyük engellerden biri (iyi ki de öyle). Sınırsızlığı sınırlayabildiği için de temel bir hak olan kişisel verilerin korunması hakkını sağlayan yasal temel.

İlk ulusal Kişisel Verileri Koruma (KVK) kanunu 1973 yılında İsveç’te kabul edilmiş ve birçok Avrupa ülkesi tarafından kısa zamanda örnek alınarak yasalara dahil edilmiştir. Avrupa Konseyi’nin 1981’de ülkemizin de içinde bulunduğu Konsey üyesi ülkelerin onayına sunduğu 108 no’lu Sözleşme ile KVK hakkının Avrupa için ne kadar önemli olduğu vurgulanmıştır. KVK hakkı konusunda Almanya gibi hassas bir geçmişe sahip üyeleri bulunan AB ise1995’te kabul ettiği Direktif sayesinde KVK hakkını hukuksal genel bir çerçevede belirlenmiş, uygulamayı ise üye ülkelerin kendi hukuk sistemine bırakmıştır. Bu durum her ülkenin kendi KVK rejimini geliştirmesine sebep olmuş ve bu durumun Birlik ruhunu aykırı olduğu hem Üye Ülkelerce hem de AB’ce kabul edilmiştir. Siyasi, ekonomik, güvenlik gibi mümkün olan her alanda diğer ülkelere karşı tek bir duruş sergileyen AB, KVK konusunda da üye ülkelerin tümünde aynı şekilde uygulanmasını öngören KVKT’yi 25 Mayıs 2018 günü yürürlüğe koymuştur. Burada AB hukuk sistemi gereği, KVKT’nin 27 ülkede de aynı şekilde uygulanması gerektiğini tekrar vurgulamak isterim; çünkü örneğin İsveç gibi ifade özgürlüğünün KVK hakkından daha üstün tutulduğu veya İrlanda gibi KVK rejiminin oldukça zayıf olduğu (Facebook, Google falan neden İrlanda’ya kurdu Avrupa temsilciliklerini, değil mi?) gibi ülkelerde mutlaka farklı yorumlamalar ortaya çıkacaktır. Konumuzun bu olmadığını hatırlayarak, KVKT’nin getirdiği bazı yeniliklere dikkatinizi çekmek isterim. KVKT, ilgili kişilere Unutulma Hakkı, kişilerin verilerini bir sistemden başka bir veri sorumlusunun sistemine taşıma hakkı gibi yeni haklar tanırken; ilgili kişilerin (yani verinin asıl sahibi olan kişilerin) vereceği rızanın hangi şartlar altında geçerli olacağı hususunu da kapsamlı biçimde açıklayarak geliştirmiştir.

KVKT’ye göre geçerli rıza, kişisel verilerin ancak açık ve belli amaçlar çerçeçesinde; ilgili kişinin bu amaçlar hakkında bilgilendirilerek seçimi kendisine bırakması biçiminde tanımlanabilir. Kişi, seçimini yaparken alacağı hizmeti eksik alacağı veya hiç almayacağı konusunda edişelenmeden seçimini özgürce yapabilmelidir. Ayrıca, birbirine benzese bile tamamen birbirinde bağımsız birden fazla amaca yönelik rızalarını tek tek her konu için verebilmelidir.  Veri sorumluları, kişinin yaptığı seçimi açıkça belirtecek biçimde gösterebileceği platformlar hazırlamalı ve rızanın geçerliliğini her zaman kanıtlayabilmelidir. Kişiler için rızalarını çekmek, rıza vermeleri gibi kolay olmalıdır.

İşte şimdi aklınızın bulandığını tahmin ediyorum.

Bir robot düşünün, bu robot Hizmet Robotu grubundan[3] kişisel bir Sosyal Robot, diğer bir deyişle, kişisel asistan robotu olsun. Sizinle her konuda iletişime girebilen, size gündelik hayatınızın her anında asistanlık edebilen bir robot. Onunla duygularınızı paylaşabilirsiniz, ondan finansal konularda yardımlar alabilirsiniz. Onu evinizde ailenizle birlkteyken bir eğlence aracı olarak da kullanabilirsiniz. Sağlık durumunuz onun tarafından kontrol edilmekte, üzgün olduğunuz anlar onun tarafından fark edilmekte ve o önünüze hemen sizi mutlu edecek çözümleri getirmekte.

Bu robot Doğal Dil İşleme ile Yüz ve Ses Tanıma teknikleri konusunda ileri seviyede, Nesnelerin Interneti araçlarından bilgi toplayabilen ve bu bilgiyi anlamlı hale getirebilen bir robot. Bu robot aslında, gelişmiş donanımı sayesinde çevresindekileri algılayabilen bir kişisel asistan, bir makina-sapienden[4] başka bir şey değil.

Kişisel asistanlar gibi çok amaçlı robotlar henüz laboratuvarlarda geliştirilmekte olsa da, çeşitli formlarda gündelik hayatın belli alanlarında önemli görevler almaya yavaş yavaş başladılar. Pepper gibi Sosyal Robotlar[5] (ki bu kategorideki robotlar sosyal zekaya sahip ve insanlarla sosyal ilişki kurabiliyor demek[6]), eğitim ve sağlık alanlarında yavaş yavaş insanlarla yaşamaya başladı.

Öncelikle bir durum analizi yapalım. Yukarıdaki gibi bir robot çok açıkça hem genel anlamdaki kişisel verileri hem de hassas kişisel verileri toplayabilecek ve işleyebilecek kapasitededir. Robotumuz gelişmiş Makine Öğrenme yetenekleri sayesinde normalde gereksiz[7] gibi görünen bilgiler de dahil her türlü bilgiyi anlamlandırabilmekte, hatta, kişisel verileri ustalıkla hassas verilere çevirebilmektedir. Robotun donanımı aracılığıyla ve Nesnelerin İnterneti cihazlarından topladğı veriler dışında, asistanı olduğu kişi ile ilgili (izin verildiği sürece) internetten, örneğin sosyal medya veya elektronik bankacılık hesaplarından bilgi toplayabilmesi çok kolaydır. Tüm bunların yanı sıra, fiziki görüntüsü özellikle insan veya hayvan formunda tasarlanmış robotlarla insanların duygusal bir bağ kurması, onlara gerçek bir insana güveniyor gibi güvenmesi, kişilerin kendisini başlı başına robotun bilgi kaynağı yapmaktadır.

Böyle bir robotun örneğin evde kişisel kullanıma açıldığını düşündüğümüzde öncelikle arada bir satış sözleşmesi bulunacağını ve bundan dolayı tüketici-satıcı ilişkisi kurulacağını düşünmekteyim. Haliyle, verilerin işlenmesi için gerekli yasal temelin kullanıcının kendi rızasından başka yasal bir dayanağı olamayacağı ortada. Ancak günümüzde Gizlilik Sözleşmelerinin neredeyse hiç okunmadığı, okunsa da anlaşılamadığı; kullanıcıların birçok teknolojik ürünün kendi kendine ses veya görüntü kaydetme özelliğinden haberi olmadan bu ürünleri evine getirdiği; daha üreticisinin bile öngöremediği amaçlar için veri topladığını bilmediği[8] gibi durumlarda, rızası sizce ne kadar geçerli olabilir? Heleki daha fazla kişisel verinin daha fazla kişisel hizmet ve mutluluğa giden yol olduğunu

Amaçların gayet açık, rızanın tamamen bilinçli bir kullanıcı tarafından verildiğini varsayalım. Veri, bizim robotun Sinir Ağı’nın bir parçası olmuş durumdayken bu veriyi silebilmek, robota “unutturabilmek” teknik olarak mümkün mü? Bu durumda verilmiş rızayı nasıl geri alacağız? Verdiğimiz bunca kişisel bilginin robot üreticileri tarafından tamamen göz ardı edileceğinden nasıl emin olabiliriz, hele ki bugün Skype, ki benim bildiğim kadarıyla Skype internet tabanlı bir iletişim aracından başka bir şey değildi, kullanıcılarına “arkadaşlarıyla sohbet eder gibi sohbet edebilecekleri” sosyal bir bot [9]önerebiliyorken.

Gelecek her gün daha da yakın ve teknoloji bugün çok hızlıymış gibi görünüyor olsa da, yarın bugünkü kadar yavaş olmayacak. Bu yazıda sorduğum soruların cevabının bugün verilmesi gerek robot hukuku gerekse etik konusunda ileride yapılacak çalışmalara ışık tutabilir. Özellikle, dünyanın en güncel ve en gelmiş KVK hukukuna sabip AB’nin bile KVKT’yi hazırlarken kişisel robotları görmezden geldiğini KVKT’nin yürürülüğe girmesina kadar ve yürürlüğe girdikten sonra yayımladığı birçok raporda tespit edebilmek mümkün. Bir teknoloji “cesaretlisi” olarak “çekindiğim” tek konu, kişisel verilerin kendi yaşam kaynağı olan robotların değil, hayatını daha iyi şartlarda yaşamak için bu robotlardan faydalanan kullanıcın haberi bile olmadan onların hayatını gözetleyen başka mekanizmaların varlığı. Bu yüzden iş sadece hukuka bırakılmamalı, hem bireylerin hem de robotikle ilgili diğer disiplinlerin farkındalığı artırılarak iyi senaryolara önayak olunmalıdır.

Vakit ayırıp yazımı sonuna kadar ilgiyle okuduğunuz için teşekkür ederim.

 

Yazar hakkında ayrıca bakınız: 

https://robotic.legal/author/ggvarkonyi/

 

[1] İkincil referans: Umberto Eco, Apocalittici e integrati, Bompiani, 1964 https://ia.italia.it/assets/whitepaper.pdf

[2] Special Eurobarometer 460-March 2017: Attitudes towards the impact of digitisation and automation on daily life Eurobarometer special survey

[3] International Federation of Robotics https://ifr.org/service-robots

[4] Hallevy, G., (2010) The Criminal Liabiliıty of Artificial Intelligence Entities-From Science Fiction To Legal Social Control. Akron Intellectual Property Journal, 4(2), p5. Available at: http://ssrn.com/abstract=1564096 

[5] ICub: https://www.iit.it/research/lines/icub ; Furhat: https://www.furhatrobotics.com

[6] Breazeal, C.: Designing Sociable Robots. The MIT Press, Cambridge, MA (2002)

[7] Robert van den Hoven van Genderen (2017), Privacy and Data Protection in the Age of Pervasive Technologies in AI and Robotics, EDPL, 3,  p12.

[8] Millar, Jason and Kerr, Ian R. (2013) Delegation, Relinquishment and Responsibility: The Prospect of Expert Robots  https://ssrn.com/abstract=2234645, p107.

[9] https://support.skype.com/en/faq/FA34646/what-are-skype-bots-and-how-do-i-add-them-as-contacts


Alıntı için :

Gizem Gültekin Várkonyi
"Kişisel Robotlar ve Kişisel Veriler"
Hukuk & Robotik, Monday December 10th, 2018
https://robotic.legal/kisisel-robotlar-ve-kisisel-veriler/- 09/12/2021

Makul Çıkarım Hakkı: Büyük Veri ve YZ Çağında Veri Koruma Kanunu Yeniden Düşünmek

 

Makul Çıkarım Hakkı:  

Büyük Veri ve YZ Çağında Veri Koruma Kanunu Yeniden Düşünmek

 

 

Sandra Wachter  & Brent Mittelstadt

 

Oxford Üniversitesi- Oxford Internet Enstitüsü

 

13 Eylül 2018

 

 

 

Özet

 

“Büyük veri analitiği ve yapay zeka (YZ), bireylerin davranışları, tercihleri ve özel yaşamları hakkında sezgisel olmayan, doğrulanamaz çıkarımlar ve tahminler çizmektedir. Bu çıkarımlar tahmin edilemez değere sahip, son derece çeşitli ve zengin özellikli verilere dayanmakta; ayrıca ayrımcı, yanlı ve istilacı karar alma için yeni fırsatlar yaratmaktadır. Algoritmik hesap verebilirlik ile ilgili hususlar, genellikle bu teknolojilerin hakkımızda öngöremediğimiz, anlayamadığımız veya aksini ispat edemeyeceğimiz, mahremiyete saldıran ve doğrulanamayan çıkarımlar çizmesi ile ilgili endişeleri içermektedir. Veri koruma kanunu, insanların mahremiyetini, kimliğini, itibarını ve özerkliğini korumak içindir; ancak şu anda ilgili kişileri çıkarımsal analitiğin yeni risklerinden korumakta yetersiz kalmaktadır. Avrupa’daki geniş kişisel veri kavramı, bir bireye atıfta bulunan ya da etki eden çıkarımları, tahminleri ve varsayımları içerecek şekilde yorumlanabilir. Kişisel veriler göz önüne alındığında, bireylere veri koruma kanunu kapsamında çok sayıda hak tanınabilir. Bununla birlikte, çıkarımların hukuki durumu hukuk biliminde ağır bir şekilde tartışılmakta ve Madde 29 Çalışma Grubu ile Avrupa Adalet Divanı’nın görüşleri arasındaki tutarsızlıklar ve çelişkiler ile işaretlenmektedir.

Bu makalede de gösterdiğimiz gibi, bireylerin kişisel verilerinin, bunlarla ilgili çıkarımlar yapmak için nasıl kullanıldığı konusunda çok az kontrol ve denetim sağlanmaktadır.Diğer kişisel veri türleri ile karşılaştırıldığında, çıkarımlar Genel Veri Koruma Tüzüğü’nde (GDPR) etkin bir şekilde “ekonomi sınıfı” kişisel veridir.İlgili kişilerin kişisel verilerini bilme(madde 13-15), düzeltme(madde 16), silme(madde 17), bunlara itiraz etme(madde 21) veya aktarma(madde 20) hakları, çıkarımlar söz konusu olduğunda önemli ölçüde azalır ve çoğu zaman veri sorumlusunun çıkarları ile (örneğin ticari sırlar, fikri mülkiyet hakları) daha büyük bir dengeyi gerektirir. Benzer şekilde, GDPR, hassas çıkarımlara (Madde 9) veya çıkarımlarla ilgili zorluklara çözüm bulmada veya bunlara dayanan önemli kararlara karşı yetersiz koruma sağlamaktadır (Madde 22 (3)).

Bu durum tesadüfi değildir.Mahkeme içtihatlarında, Avrupa Adalet Divanı (ECJ; Bavarian Lager, YS. ve M. ve S. ve Nowak) ve Avrupa Adalet Divanı Sözcüsü (AG; YS. ve M. ve S. ve Nowak), veri koruma kanununun işlenmekte olan girdi kişisel verilerinin meşruiyetini değerlendirme ve düzeltme, engelleme ya da silme alanını sürekli olarak kısıtlamıştır. Eleştirel olarak, Avrupa Adalet Divanı aynı şekilde, veri koruma kanununun kişisel verilerin yer aldığı kararların ve karar verme süreçlerinin doğruluğunu sağlamak veya bu süreçleri tamamen şeffaf hale getirmek için tasarlanmadığını açık bir şekilde belirttmektedir.

Avrupa’daki zayıf tartışmalar, çıkarımlara karşı ilgili kişilere sağlanan korumayı daha da zayıflayacaktır. Gizlilik korumasına (ePrivacy Tüzüğü ve AB Dijital İçerik Direktifi) değinen mevcut politika önerileri, GDPR’ın çıkarımlarla ilgili hesap verebilirlik boşluklarını kapatamaz. Aynı zamanda, GDPR ve Avrupa’nın yeni Telif Hakkı Direktifi, ilgili kişilerin kişisel veriler üzerindeki haklarını sınırlandırarak veri madenciliği, bilgi keşfi ve büyük veri analitiğini kolaylaştırmayı amaçlamaktadır.Ve son olarak, yeni Ticaret Sırları Direktifi, bu süreçlerin çıktılarına (ör. modeller, algoritmalar ve çıkarımlar) bağlı ticari çıkarların kapsamlı bir şekilde korunmasını sağlar.

Bu yazıda, şu anda yüksek riskli, mahremiyete saldıran ya da itibara zarar verici olan ve öngörücü ya da kanaat temelli olma anlamında düşük doğrulanabilirliğe sahip çıkarımların oluşturduğu hesap verebilirlik açığının kapatılmasına yardımcı olmak için ihtiyaç duyulan yeni bir veri koruma hakkı olarak “makul çıkarım hakkı”nı tartışıyoruz. Algoritmaların bireyler hakkında ‘yüksek risk çıkarımları’ çizdiği durumlarda, bu hak, bir çıkarımın makul olup olmadığının belirlenmesi için veri sorumlusu tarafından önceden tahmin edilen bir  gerekçelendirme yapılmasını gerektirecektir. Bu açıklama, (1) belirli verilerin neden çıkarımlar yapmak için uygun bir temel oluşturduğunu; (2) bu çıkarımların, seçilen işleme amacına veya otomatik karar türüne neden uygun olduğu ve (3) çıkarımları çizmek için kullanılan veri ve yöntemlerin doğru ve istatistiksel olarak güvenilir olup olmadığı ele alacaktır. Önceden tahminin gerekçelendirmesi, mantıksız çıkarımlara meydan okunmasını sağlayan ek bir aktüel mekanizma ile desteklenmektedir. Bununla birlikte, makul çıkarım hakkı, AB içtihadıyla uzlaştırılmalı ve IP ve ticari sırlar kanunu ile ifade özgürlüğü ve AB Temel Haklar Şartı’nın 16. Maddesi: bir işi yürütme özgürlüğü ile dengelenmelidir.”

 

Makale ile ilgili bağlantı adresini ve makalenin orijinalini aşağıda bulabilirsiniz:

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3248829

Yapay Zekâ, Veri Güvenliği ve GDPR

Yapay Zekâ, Veri Güvenliği ve GDPR

 

 

Günümüzde pek çok sektörde kullanılmaya başlanana yapay zekâ ve makine öğreniminin öne çıkan özellikleri arasında, verileri programatik araçlardan ve insandan çok daha hızlı analiz edebilmesi ve verilerin nasıl işleneceğini kendi kendine öğrenebiliyor olması bulunuyor.

Özellikle son yıllarda hem kamu hem de özel sektörde sıklıkla kullanılan profilleme ve otomatik karar verme sistemleri, artan verimlilik ve kaynakların korunması bakımından bireylere ve kurumlara çeşitli faydalar sunarken aynı zamanda riskleri de beraberinde getiriyor. Bu sistemlerin aldığı kararlar bireyleri etkileyebiliyor ve karmaşık yapısı dolayısıyla kararlarının gerekçesini izlemek mümkün olamayabiliyor. Örneğin, yapay zekâ, bir kullanıcıyı belirli bir kategoriye kilitleyip, önerilen tercihlere göre kısıtlayabiliyor. Bu, dolayısıyla onların kitap, müzik veya haber yazısı gibi belirli ürün ve hizmetleri seçme özgürlüklerini de daraltabiliyor. (Article 29 Data Protection Working Party, WP251, sf.5)

Mayıs ayında Avrupa’da yürürlüğe girecek olan GDPR, profilleme ve otomatik karar vermenin bireylerin hakları üzerinde olumsuz bir etki doğuracak şekilde kullanılmaması için çeşitli hükümler barındırıyor. GDPR, profillemeyi madde 4’te şöyle tanımlıyor: “Profilleme, belirli bir şahısla ilgili onun kişisel yönlerini değerlendirmek için kişisel verilerinin kullanılması; özellikle bu kişinin işteki performansı, ekonomik durumu, sağlık bilgileri, ilgi alanları, güvenilirlik, davranış, konum veya hareketlerinin analiz edilmesi veya tahmin edilmesidir.” (WP251, sf.6) Profilleme, çeşitli kaynaklardan bireylerle ilgili elde edilen verilerin kullanılarak, kişilerle ilgili tahminlerde bulunmada kullanılır. Bu açıdan, yaş, cinsiyet, kilo gibi özelliklere dayanarak bireylerin değerlendirilmesi ya da sınıflandırılması olarak da düşünülebilir.

Otomatik karar verme ise insan müdahalesi olmaksızın teknolojik araçlarla (yapay zekâ gibi) karar verme özelliğidir. Otomatik karar verme herhangi bir veri türüne dayanabilir. Örneğin, kişiler tarafından doğrudan sağlanan veriler (ankete verilen cevaplar); kişilerden sağlanan veriler (uygulama aracılığıyla konum verisinin toplanması); önceden oluşturulmuş, türetme ya da sonuç çıkarmaya dayalı bireyin profili.

Potansiyel olarak bir profilleme için ise üç yol vardır:

-i. Genel profilleme,

-ii. Karar verme temelli profilleme,

-iii. Yalnızca otomatik karar verme içeren profilleme (madde 22)

(ii) ve (iii) arasındaki fark, (ii)’de tamamen otomatik araçlarla üretilen bir profile dayalı insan kararı vardır. (iii)’te ise kararı algoritma verir ve karar anlamlı insan girdisi olmaksızın bireye otomatik olarak teslim edilir. (WP251, sf.8)

Burada karşılaşılacak önemli sorular ise şunlardır:

-Algoritma bu verilere nasıl erişiyor?

-Verinin kaynağı doğru mu?

-Algoritmanın verdiği karar, kişi üzerinde yasal etkiler doğuruyor mu?

-Bireyler otomatik işlemeye dayalı verilen karar karşısında birtakım haklara sahip olabilir mi?

-Veri sorumluları bu durumda ne gibi önlemler almak zorunda?

Günümüzde çoğu şirket müşterilerinin davranışlarını onlardan topladıkları verilerle analiz edebiliyor. Örneğin, bir sigorta şirketi, sürücünün sürüş davranışlarını izleyerek sigorta primlerini otomatik karar verme yoluyla belirleyebilir. Bunun yanında özellikle reklam ve pazarlama uygulamalarında farklı kişilerin verilerinden yola çıkarak yapılan profilleme ve otomatik karar verme sistemleri, diğer bireyler üzerinde de etkili sonuçlar doğurabiliyor. Varsayımsal olarak, bir kredi kartı şirketi, bir müşterinin kart limitini, kendi ödeme geçmişine dayanmadan aynı bölgede yaşayan ve aynı mağazadan alışveriş yapan diğer müşterileri analiz ederek azaltabilir. Dolayısıyla bu, başkalarının eylemlerine dayalı olarak, bir fırsattan mahrum kalma anlamına gelir.

Hataların hesabı veri sorumlusundan sorulacak

Bu nokta dikkat edilmesi gereken husus, toplanan veya paylaşılan verilerdeki hatalar ya da önyargılar otomatik karar verme sürecinde yanlış sınıflandırmalara ve kesin olmayan sonuçlara dayalı değerlendirmelere neden olup bireyler açısından olumsuz etkiler doğurabilmesidir. Kararlar güncel olmayan verilere dayanabilir ya da dışarıdan alınan veriler sistem tarafından yanlış yorumlanabilir. Yani otomatik karar vermede kullanılan veri doğru değilse bu durumda sonuçtaki karar ya da profilleme de doğru olmayacaktır.

Yapay zekâ ve makine öğrenmesinin kullanıldığı bu gibi sistemlerde oluşabilecek benzeri muhtemel hatalar karşısında “veri sorumlusunun” birtakım yükümlülükleri doğacaktır. Veri sorumlusu, kullanılan ya da dolaylı olarak elde edilen verilerin doğru ve güncel olması için yeterli önlemleri almalıdır. Ayrıca verilerin saklanma süreleri de doğruluk ve güncelliğin sağlanması için sakıncalar yaratabileceği gibi, orantılılık ilkesi ile de çelişeceğinden uzun süreli veri saklanması konusunda da veri sorumlusu gerekli adımları atmalıdır.

Diğer önemli husus ise özel nitelikli kişisel verilerin bu sistemlerce işlenip kullanılmasıdır. GDPR, özel nitelikli kişisel verilerin işlenmesinde ilgili kişinin açık rızasını aramaktadır. Ancak, bu durumda veri sorumlusunun unutmaması gereken şey, profillemenin özel nitelikli kişisel veri olmayan verilerin birleşimi ile özel nitelikli kişisel veri oluşturabilir olmasıdır. Örneğin, bir kişinin sağlık durumu, gıda alışverişi kayıtlarından, gıdaların kalite ve enerji içeriği ile ilgili verilerinden elde edilmesi ile mümkün olabilir. (WP251, sf.22)

GDPR, verileri kullanılarak otomatik karar verme işlemlerinden etkilenen kişilerin bu durum karşısında bazı hakları olduğundan da bahseder. GDPR’ın temelini oluşturan şeffaflık ilkesi göz önüne alındığında, madde 13 ve 14’e göre, veri sorumlusu bireylere açık bir şekilde profilleme veya otomatik karar verme sürecinin nasıl işlediğini açıklamalıdır.

Profilleme, hata riskini artıran bir tahmin unsuru içerebilir. Girdi verileri yanlış veya alakasız olabilir ya da bağlam dışı kalabilir. Bireyler kullanılan verilerin ve gruplandırmanın doğruluğunu sorgulamak isteyebilir. Bu noktada, madde 16’ya göre, ilgili kişinin düzeltme hakkı da söz konusu olacaktır.

Benzer şekilde, madde 17’de belirtilen silme hakkı da bu çerçevede ilgili kişi tarafından talep edilebilir. Profillemenin temeli için rıza gösterilirse ve bu rıza sonradan geri çekilirse veri sorumlusu profilleme için başka yasal dayanak olmadığı sürece ilgili kişinin kişisel verilerini silmek zorundadır.

Çocukların kişisel verilerinin önemi

Profilleme ve otomatik karar vermede dikkat edilmesi gereken bir başka nokta ise çocukların kişisel verilerinin kullanılmasıdır. Çocuklar özellikle çevrimiçi ortamlarda daha duyarlı olabilir ve daha kolay etkilenebilir. Örneğin, çevrimiçi oyunlarda profilleme, algoritmanın daha fazla kişiselleştirilmiş reklam sunmasının yanı sıra, oyunda para harcamasının daha olası olduğunu düşündüğü oyuncuları hedeflemesi için de kullanılabilir. GDPR madde 22’de işlemenin çocuklar ve yetişkinler ile ilgili olup olmadığı konusunda ayrım yapmıyor. Ancak yine de çocuklar bu tür pazarlama çalışmalarından kolayca etkilenebileceği için, veri sorumlusu, çocuklar için uygun önlemleri almalı ve bu önemlerin çocukların haklarını, özgürlüklerini ve meşru çıkarlarını korumada etkili olduğundan emin olmalıdır.

Sonuç olarak, yapay zekâ ve makine öğrenimi gibi sistemlere dayanarak yapılan profilleme ve otomatik karar verme, birey hakkında önemli sonuçlar doğurabilir. Bu teknolojiyle bağlantılı olarak toplanan verilerin, kişilerin rızası alınarak toplanması ya da yasal bir zemine oturtulması gerekir. Akabinde kullanılacak olan bu verilerin toplandıkları amaçla bağlantılı olarak kullanılması da önemlidir. Sistemin aniden alışılmadık kararlar almaya başlaması halinde ne gibi yol haritaları izleneceği de dâhil olmak üzere, veri sorumlusu gereken önlemleri almalı ve ilgili kişilerin hak ve özgürlüklerini de gözetmelidir.

Ayrıca bakınız:

Yapay Zekâ, Veri Güvenliği ve GDPR

Otomatik Bireysel Karar Verme ve Profilleme

Otomatik Bireysel Karar Verme ve Profilleme

 

Ä°lgili resim

MADDE 29 VERİ KORUMASI ÇALIŞMA GRUBU

3 Ekim 2017       17/EN WP 251 

 

GİRİŞ

Genel Veri Koruma Tüzüğü (GDPR), özellikle profilleme ve profilleme içeren otomatik bireysel karar vermeye dikkat çekiyor.

Profilleme ve otomatik karar verme hem özel sektörde hem de kamuda artan miktarda kullanılıyor. Bankacılık, finans, sağlık hizmetleri, vergi, sigortacılık, pazarlama ve reklamcılık, profillemenin karar vermeye yardımcı olması için düzenli olarak kullanıldığı yerlerden sadece birkaç örneğini oluşturur.

Teknolojideki ilerleme ve büyük veri analizindeki yetkinlik, yapay zeka ve makine öğrenmesi, bireylerin haklarını ve özgürlüklerini önemli ölçüde etkileme potansiyeline sahip profillemeyi ve otomatik kararlar almayı kolaylaştırdı.

Kişisel verilerin internette ve nesnelerin interneti cihazlarındaki yaygın kullanılabilirliği, ilişki bulma yeteneği ve bağlantı kurması, bir bireyin kişiliğinin veya davranışının yönünü, ilgilerini ve alışkanlıklarını belirlemeye, analiz ve tahmin etmeye izin veriyor.

Profilleme ve otomatik karar verme bireyler ve organizasyonlar için olduğu kadar ekonomi ve toplumun tamamı bakımından da artan verimlilik ve kaynakların kullanımı gibi faydalar sağlıyor.

Bunların pek çok ticari uygulaması mevcut, örneğin, piyasaları daha iyi bölümlere ayırmak ve bireysel ihtiyaçlarla uyumlu hizmetleri ve ürünleri uyarlamak için kullanılabilirler. İlaç, eğitim, sağlık hizmeti ve nakliye gibi bu süreçlerin hepsinde faydalı olabilirler.

Yine de profilleme ve otomatik karar verme, uygun güvenlik önlemleri gerektirmekte olan bireylerin hakları ve özgürlükleri için önemli riskler oluşturabilir.

Bu süreç anlaşılmaz olabiliyor. Bireyler profillendiğini bilmeyebilir ya da dahil olduğunu anlamayabilir.

Profilleme, mevcut yargı kalıplarını ve sosyal ayrımcılığı devam ettirebilir. Bir insanı belli bir kategoride kilitleyebilir ve önerdiği tercihlerle kısıtlayabilir. Bu, örneğin kitap, müzik ya da haber bültenleri gibi belirli ürünleri ya da hizmetleri seçme özgürlüğünü zayıflatabilir. Bazı durumlarda yanlış tahminlere, hizmet ve malların reddine ve haksız ayrımcılığa yol açabilir.

GDPR, mahremiyetle sınırlı olmamak üzere, özellikle profilleme ve otomatik karar verme sürecinden kaynaklanan riskleri ele almak için yeni hükümler getirmektedir. Bu rehberin amacı bu hükümlere açıklık getirmektir.

Bu doküman şu bölümleri kapsamaktadır:

  • Profilleme ve otomatik karar verme tanımları ile genel olarak GDPR’ın bunlara yaklaşımı- Bölüm II
  • Madde 22’de tanımlanan otomatik karar verme ile ilgili özel hükümler- Bölüm III
  • Profilleme ve otomatik karar verme ile ilgili genel hükümler- Bölüm IV
  • Çocuklar ve Profilleme-Bölüm V
  • Veri koruma etki değerlendirmesi-Bölüm VI

Ekler ise, AB Üye Devletlerinde kazanılan deneyime dayanarak en iyi uygulama önerilerini sunmaktadır.

 

Rehberin tamamına aşağıdaki bağlantıdan ulaşabilirsiniz:

http://ec.europa.eu/newsroom/document.cfm?doc_id=47742