Yapay Zeka (YZ) Yasası’nın Ağustos 2024’te yürürlüğe girmesinden sonra, Genel Veri Koruma Yönetmeliği (GDPR) ile etkileşimi açık bir sorudur. YZ Yasası, kişisel verilerin korunması hakkı da dahil olmak üzere bireylerin temel hak ve özgürlüklerine saygı gösterirken, insan merkezli, güvenilir ve sürdürülebilir YZ’yi teşvik etmeyi amaçlamaktadır. YZ Yasası’nın ana hedeflerinden biri, ‘yüksek riskli YZ sistemlerinin’ geliştirilmesi, konuşlandırılması ve kullanımında ayrımcılığı ve önyargıyı azaltmaktır.
Bunu başarmak için yasa, bu tür yeni teknolojiler kullanılırken ortaya çıkabilecek ayrımcılığı belirlemek ve önlemek için tasarlanmış bir dizi koşula (örneğin gizliliği koruyan önlemler) dayalı olarak ‘özel kategorilerdeki kişisel verilerin’ işlenmesine izin vermektedir. Ancak GDPR bu açıdan daha kısıtlayıcı görünmektedir. Bunun yarattığı yasal belirsizliğin yasal reform veya daha fazla rehberlik yoluyla ele alınması gerekebilir.
Yapay zeka sistemleri ve algoritmik ayrımcılık: Bazı senaryolar
Bazı YZ sistemleri ayrımcılığa neden olabilir ve bireylerin temel haklarına zarar verebilir.
– Üretken YZ sistemleri: Sohbet robotları gibi bazı üretken YZ sistemleri ilk bakışta tehlikeli görünmese de temel hak ve özgürlükler için tehdit oluşturabilir, örneğin
Örneğin nefret söylemi ürettiklerinde. Üretken YZ, yüksek riskli olarak sınıflandırılmamaktadır.
Bununla birlikte, temel haklara zarar veren bazı üretici YZ sistemleri, YZ Yasasında belirtildiği gibi, düzenleyicilerin periyodik olarak güncelleyebileceği yüksek riskli sistem listesine dahil edilebilir.
– Otonom arabalar: Ayrımcılık, sigorta hesaplamalarında veya yapay zeka yapay görme sistemlerinde de ortaya çıkabilir – örneğin, otonom arabalar daha açık tenli yayaları daha koyu tenli olanlara göre daha doğru tespit edecek şekilde geliştirilirse.
– İşe alım ve istihdam: iş başvurusunda bulunanları seçen algoritmalar, örneğin cinsiyet veya sağlık açısından önyargı içerebilir.
– Kredi skorlama ve bankacılık: Yapay zeka sistemleri, bankacılık ve kredi sektörlerinde kredi veya ipoteklerin verilmesini değerlendirmek için bir destek aracı olarak giderek daha fazla kullanılmaktadır. Bu sistemler, müşterilerin ikametgahı veya etnik kökeni gibi faktörlere dayalı olarak ayrımcılığı gizleyen veya önyargıyı maskeleyen karar süreçlerini takip edebilir.
Algoritmik ayrımcılık ve özel kişisel veri kategorileri.
YZ Yasası, yukarıda listelenen sorunların üstesinden gelmeyi amaçlamaktadır. YZ sistemlerinde önyargı tespiti ve düzeltmesini sağlamak için, YZ Kanunu Madde 10(5), temel haklara saygı için uygun güvencelere bağlı olarak, özel kategorilerdeki kişisel verilerin “yüksek riskli YZ sistemleriyle ilgili olarak önyargı izleme, tespit ve düzeltme sağlamak amacıyla … kesinlikle gerekli olduğu ölçüde” işlenmesine izin vermektedir.
Özel kişisel veri kategorileri kavramı GDPR Madde 9’da tanımlanmıştır (ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar, sendika üyeliği, genetik veriler, biyometrik veriler, sağlık verileri, cinsel yaşam veya cinsel yönelim). Bazı akademisyenler, istihdam sektöründe kullanılan bir algoritmanın etnik köken temelinde ayrımcılık yapıp yapmadığını tespit etmek için, ilke olarak, ilgili kuruluşun işe başvuranların etnik kökenini bilmesi gerektiğine dikkat çekmiştir.
Madde 10(5) YZ Yasası sadece yüksek riskli sistemler için geçerlidir. Yasa, YZ sistemlerini bireylerin temel hak ve özgürlüklerine karşı oluşturdukları risk derecesine göre sınıflandırdığı için ‘risk temelli bir yaklaşım’ benimsemektedir. Bir sistemin yüksek riskli olarak nitelendirilip nitelendirilmediğini belirlerken (YZ Yasası Madde 6), belirli bir sistemin kapsamına ve gerçekleştirdiği belirli göreve vurgu yapılır.
Özel kategorilerdeki kişisel verilerin işlenmesi için GDPR Madde 9’da listelenen belirli gerekçelere uyulmalıdır (örn. veri sahibinin açık rızası). GDPR Madde 9 kapsamına giren YZ Yasası Madde 10(5) uygulanırken de bu gerekçelere riayet edilmelidir. Yasa, YZ Yasası ile GDPR’nin çatıştığı durumlarda GDPR’nin geçerli olacağını açıklığa kavuşturmakta ve hükümlerinin GDPR’nin uygulanmasını etkilememesi gerektiğini açıkça belirtmektedir.
Bazıları, YZ Yasası Madde 10 uyarınca kişisel verilerin işlenmesine GDPR’nin ‘önemli kamu yararı gerekçesi’ kapsamında da izin verilebileceğini savunmaktadır. Gerçekten de GDPR Madde 9(2)(g), aşağıdaki durumlarda özel kategorilerdeki verilerin işlenmesine izin vermektedir.
İzlenen amaçla orantılı olacak, veri koruma hakkının özüne saygı gösterecek ve veri sahibinin temel haklarını ve menfaatlerini korumak için uygun ve özel önlemler sağlayacak şekilde Birlik veya Üye Devlet hukuku temelinde önemli kamu yararı nedenleriyle gereklidir.
Bu bağlamda, YZ Yasası ilgili Birlik yasası olarak işlev görecek ve ayrımcılıkla mücadele ilgili kamu yararı olacaktır.
Temel zorluklar
Belçika Denetim Otoritesi, Eylül 2024 tarihli raporunda, YZ sistemleri için eğitim verilerindeki yanlılığın düzeltilmesinin hem GDPR’de belirtilen verilerin ‘adil işlenmesi’ ilkesiyle hem de veri işleyenler tarafından toplanan kişisel bilgilerin doğru olmasını sağlama ihtiyacıyla nasıl tutarlı olduğunu vurgulamıştır.
YZ Yasası Madde 10(5)’in GDPR ile tam uyumlu olarak yorumlanabilmesi için bazı koşulların karşılanması gerekmektedir:
– GDPR tarafından talep edildiği gibi, özel kategorilerdeki kişisel verilerin işlenmesi, veri sızıntılarını önlemek için sağlam siber güvenlik önlemleri ile gerçekleştirilmelidir;
– Kişisel verileri işleyen YZ sistemleri, veri minimizasyonu, amaç ve depolama sınırlaması, bütünlük ve gizlilik ve tasarım ve varsayılan olarak gizlilik gibi GDPR ilkelerine uymak zorundadır;
– GDPR’nin temel bir ilkesi olan gereklilik şartı, kuruluşların özel kategorilerdeki verileri yalnızca ayrımcılık yapmama gibi diğer temel hakların korunması için kesinlikle gerekli olduğunda işlemesine izin verecek şekilde düşünülmelidir;- Veri işlemenin hukuka uygun olması için GDPR Madde 9’da hassas verilerin işlenmesi için belirtilen gerekçelerin mevcut olması gerekir.
GDPR Madde 9’da listelenen özel veri kategorilerine ek olarak, engellilik, yaş veya cinsiyet gibi diğer faktörleri ortaya çıkaran kişisel verilerin işlenmesi sonucunda ayrımcılık ortaya çıkabilir. Bunlar AB hukuku uyarınca özel veri kategorileri değil, ‘yalnızca’ kişisel verilerdir. Bu nedenle, bu verilerin işlenmesi için yasal dayanaklar GDPR Madde 6’da listelenenler olacaktır.
GDPR Madde 6, GDPR Madde 9’dan daha geniş bir içeriğe sahiptir ve kişisel verilerin işlenmesi için daha fazla sayıda yasal dayanak sağlar (örneğin meşru menfaat). Bu, özel kişisel veri kategorileri olarak kabul edilmeyen faktörlerle ilgili olarak ayrımcılık ortaya çıktığında, önyargıyı azaltmak için verilerin işlenmesinin, kamu yararı veya özel rızaya göre daha yumuşak ve kanıtlanması daha kolay olan 6. Madde gerekçeleri uyarınca gerçekleşebileceği anlamına gelir.
Genel anlamda, YZ Yasası’nın ayrımcılıktan kaçınmak için özel kategorilerdeki kişisel verilerin işlenmesine ilişkin hükmünün nasıl yorumlanması gerektiği konusunda ortak bir belirsizlik hakim görünmektedir. Özel kategorilerdeki kişisel verilerin işlenmesine sınırlamalar getiren GDPR, ekonominin birçok sektöründe YZ kullanımının hakim olduğu ve kişisel ve kişisel olmayan verilerin toplu olarak işlenmesiyle karşı karşıya kalınan bir bağlamda kısıtlayıcı olabilir. GDPR’de yapılacak bir reform veya YZ Yasası ile etkileşimine ilişkin daha fazla kılavuz ilke, bu sorunların ele alınmasına yardımcı olabilir.
https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)769509
Daha fazla okuma için: https://www.ab.gov.tr/ab-genel-veri-koruma-tuzugu-gdpr-turkceye-cevrildi_53650.html