Günümüzde Üretken Yapay Zekâ sistemlerinin sağlık, finans, hukuk, insan kaynakları, eğlence gibi sektörler başta olmak üzere yaygın olarak kullanıldığı görülmektedir. Üretken Yapay Zekâ sistemlerinin karmaşık yapıları saniyeler içerisinde çözümleyebilmesi, örüntüleri tespit edebilmesi, kod yazabilmesi yeni girişimcilerin çalışmalarını kolaylaştırmakta kalabalık ekiplerin yerini almaktadır. Ancak “Akıllı Casus Asistanları” incelediğimiz yazımızda da vurguladığımız üzere üretken yapay zekâ sistemlerini kullanan veri sorumlusu sıfatıyla hareket eden kişilerin, ilgili kişilerin uluslararası sözleşmeler ve Anayasa ile güvence altında olan temel hak ve özgürlükleri zedelemeden hareket etmeleri gerektiğine şüphe bulunmamaktadır (Link).

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan 113 yayın numaralı “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (“Rehber”) Üretken Yapay Zekâ Sistemlerinin kullanımının yukarıda bahsi geçen hususlar yönünden ciddi etik, toplumsal ve hukuki sorunlara yol açabileceğini gözeterek insan haklarına ve temel özgürlüklere saygılı, şeffaf, denetlenebilir ve insan merkezli bir yaklaşımla geliştirilmesi ve uygulanması için dikkat edilmesi gereken hususların altını çizmiştir.

Üretken Yapay Zekalar, geleneksel yapay zekalara kıyasla belirli sınırlar çerçevesinde kalmadan içerik üretebilen daha aktif bir öğrenme metoduyla insan tarafından verilen verilerden bağımsız yepyeni çıktılar üretebilen yapay zekâ modelleridir. Bu şekilde ifade edildiğinde her ne kadar masum bir teknoloji gibi gözükse de üretken yapay zekalar “deep fake” teknolojilerinde kullanılabilmesi açısından içerisinde çok ciddi risk ve sakıncalar barındırmaktadır. Tüm dünyanın çok yakın bir zaman içerisinde karşı karşıya kaldığı “Grok” isimli yapay zekâ modelinin insanların fotoğraflarını müstehcen içeriklerle değiştirmesi, sorulan sorulara sinkaflı yanıtlar üretmesi durumun ne kadar korkutucu olabileceğini gözler önüne serdi. Konu özelinde Avrupa Birliği tarafından X’in Grok’u programa entegre ederken bu tarz durumların önüne geçebilmek adına gerekli önlemleri alıp almadığını araştırılmaktadır. (Link) Yazımızın konusunu oluşturan bu rehber de önlemlerin alınıp alınmadığının, Kurum tarafından denetleneceğinin ve önlemlerin alınmadığının tespit edilmesi durumunda çok ciddi idari para cezalarıyla karşı karşıya kalınabileceğini göstermektedir.

Riskler bununla sınırlı olmayıp üretken yapay zekanın beraberinde getirdiği riskler yine rehberin devamında irdelenmiştir. Fikri mülkiyet hakkı ihlallerinden, verilerin gizliliği ve güvenliğine ilişkin risklerden, halüsinasyonlardan (hatalı çıktılar) ve ön yargı ve yanlı çıktılara ilişkin risklerden bahsedilmiştir. Ancak kurum tarafından üzerinde durulan bu riskler soyut durumların örneklenmesinin ötesindedir. Grok örneğine benzer şekilde Çin tarafından geliştirilen “Deep Seek”’in Doğu Türkistan, Tiananmen ve Tayvan gibi konular özelindeki yanıtlarının, tamamen devlet politikasına uygun şekilde yanıtlar verdiği bilinmektedir. Yine sosyal medya ve haberlerde pek çok kişinin yapay zekâ kullanarak açılan davalarda, tarafların üretken yapay zekaların halüsinasyonları ve yanlı çıktıları sebebiyle vatandaşların çok ciddi hak kayıpları ve maddi sonuçlarla karşılaştığı da kamuoyuna yansımaktadır. Hal böyleyken üretken yapay zekaların tasarlanması ve kullanılmasında uyulacak ilke ve esasların belirlenmesinin ne kadar önemli olduğu ve karşılaşılabilecek sorunların ne denli sakıncalı olabileceği farklı örneklerle sık sık gündeme gelmektedir.

Rehberin devamında üretken yapay zekalar ile veri işleme faaliyetleri yapılırken genel ilkelerin nasıl uygulanacağı detaylıca açıklanmıştır. Kısaca, rehberde belirtilen hususların özetlenmesi gerekirse hukuka ve dürüstlük kurallarına uygun olma ilkesi kapsamında sistemin hangi kaynaklarla eğitildiği, veri işleme faaliyeti kapsamında geçerli bir dayanağın olup olmadığı ve ilgili kişilere gerekli aydınlatmanın yapılması gerektiğinin üzerinde durulmuştur. Ayrıca bu ilkenin genel bir ilke olduğundan, dar yorumlanmaması gerektiğinden, ilgili kişilerin veri işleme faaliyeti kapsamında verilerinin güvenliğine ilişkin beklentileriyle örtüşen, temel hak ve özgürlükleri zedelemeyen ve veri işleme faaliyetinin potansiyel etkilerinin öngörülebilir olmasının da gerektiğinden isabetli şekilde bahsetmiştir. Kurum, özellikle ince ayar adı verilen gözetimli öğrenme yolunun kullanılmasının bu ilkeye uygun bir veri işleme faaliyeti olması için gerekli olduğunu açıkça belirtmektedir.

Doğru ve gerektiğinde güncel olma ilkesi kapsamında üretken yapay zekaların eğitim aşamasında kullandığı veri paketlerinin doğru ve güncel olması yapay zekâ çıktılarının doğruluğu ve güncelliği açısından önemlidir. Bu bakımdan veri sorumluları, modelin eğitim aşamasından itibaren kullandığı ve/veya yapay zekâ tarafından üretilen verilerin denetim ve filtrelemesini gerçekleştirmelidir. Aynı zamanda bu denetim ve filtrelemeye ilişkin kayıtlar da özenle saklanmalıdır. Kurum tarafından bu ilke kapsamında en çok vurgulanan husus ise “mahremiyetin tasarıma entegre edildiği bir yaklaşımı benimsemeleri” ifadesidir. Somut örnekler üzerinden açıklandığı üzere yapay zekâ çıktılarının kişi mahremiyetini açıkça ihlal etmeye elverişli olduğu gözetildiğinde; veri sorumluları açısından en çok risk taşıyan üretken yapay zekalar aracılığıyla yapılan veri işleme faaliyetlerinin olduğu söylenebilecektir.

“Belirli, Açık ve Meşru Amaçlar için İşlenme ile İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkeleri” kapsamında da veri işleme faaliyetleri yönünden en temel kural olan veri minimizasyonunun sağlanması, verinin gerekli olduğu ölçüde işlenmesi ve ilgili kişilere yapılacak aydınlatmalarda amaç olarak yapa zekâ sistemlerinin eğitilmesi gibi genel geçer cümlelerden kaçınılarak şeffaflığın sağlanması gerektiğine vurgu yapılmıştır.

Son olarak ise ismiyle müsemma olan “İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilme İlkesine” riayet edilmesi gerektiği, mümkün olduğu ölçüde verilerin veri işleme amacı için makul olan en kısa süreyle muhafaza edilerek bu sürenin sonunda kişisel verilerin imha edilmesi gerektiğinin altı çizilmiştir.

Rehber kapsamında veri işleme faaliyetinin hukuki dayanakları ve verilerin yurt dışına aktarımına ilişkin esaslar da açıklanmış olmakla birlikte, üzerinde ayrıca durulması gereken bir diğer husus ilgili kişilerin haklarının bu yeni teknolojiler karşısında nasıl korunacağıdır.

Nitekim üretken yapay zekâ sistemlerinin “kara kutu” niteliğindeki karmaşık yapısı, çoğu zaman ilgili kişilerin veri işleme faaliyetleri üzerindeki denetimini güçleştirmektedir. Ancak bu durum, veri sorumlularının hukuki yükümlülüklerini ortadan kaldırmamaktadır. Aksine, kişisel verilerin korunmasına ilişkin şeffaflık, hesap verebilirlik ve denetlenebilirlik yükümlülükleri bu sistemler bakımından çok daha büyük önem taşımaktadır.

Bu noktada yalnızca veri sorumlularının değil, kullanıcıların da dikkatli hareket etmesi gerekmektedir. Günlük kullanımda farkında olmaksızın kimlik bilgileri, sağlık verileri, finansal bilgiler, mesleki sırlar veya üçüncü kişilere ait kişisel veriler üretken yapay zekâ sistemlerine aktarılabilmektedir. Oysa bu verilerin sistem içerisinde saklanması, analiz edilmesi veya farklı amaçlarla işlenmesi ciddi mahremiyet ihlallerine yol açma riski taşımaktadır. Bu nedenle veri minimizasyonu ilkesi doğrultusunda, mümkün olduğu ölçüde anonimleştirilmiş ve kişiyle ilişkilendirilemeyecek içeriklerle hareket edilmesi büyük önem arz etmektedir.

Öte yandan çocukların bu teknolojiler karşısındaki kırılgan konumu da göz ardı edilmemelidir. “Deep fake içerikler”, manipülatif çıktılar ve yapay zekâ destekli yanlış bilgilendirme mekanizmaları çocuklar bakımından daha ağır sonuçlar doğurabilmektedir. Sonuç olarak üretken yapay zekâ, doğru sınırlar içerisinde kullanıldığında önemli fırsatlar sunmaktadır. Ancak kişisel verilerin korunmasına ilişkin ilke ve esaslar gözetilmediğinde ciddi hukuki ve toplumsal riskler barındırmaktadır.

Son bir not olarak belirtmek gerekir ki bu kapanış paragrafı, ele aldığımız risk ve fırsatların bizzat konusu olan üretken yapay zekâ desteğiyle oluşturulmuştur. Belki de bu paragraf bile tek başına çağımızın çarpıcı gerçeğini ortaya koymaktadır: Yapay zekâ artık yalnızca tartıştığımız bir teknoloji değil; düşünme, üretme ve yazma süreçlerimizin doğrudan bir parçasıdır. Bu nedenle asıl mesele, yapay zekânın hayatımızda yer alıp almayacağı değil; bu yerin hukuk, etik ve insan onuru ekseninde nasıl şekillendirileceğidir.