Avrupa Birliği'nin kişisel veri koruma yasası; AI sistemlerinde şeffaflık, otomatik karar kısıtlamaları ve bireysel haklar getiren temel mevzuat.

GDPR (General Data Protection Regulation — Genel Veri Koruma Tüzüğü), 25 Mayıs 2018'de yürürlüğe giren Avrupa Birliği veri koruma yasasıdır. AB'de yerleşik bireylerden veri toplayan ya da onlarla ilgili kararlar veren her kuruluşu — coğrafi konum fark etmeksizin — kapsamaktadır. Yapay zeka sistemleri için özel bir düzenleme olmasa da, kişisel veri işleyen her AI uygulamasını doğrudan etkiler. Madde 22, kişileri yalnızca otomatik işleme dayanan ve önemli sonuçlar doğuran kararlardan korur; bu, kredi skorlama, iş başvurusu değerlendirmesi veya sigorta fiyatlandırması yapan AI sistemlerinin insan denetimine açık olmasını zorunlu kılar. GDPR yedi temel ilke üzerine kuruludur: hukuka uygunluk ve şeffaflık, amaç sınırlılığı, veri minimizasyonu, doğruluk, depolama sınırlılığı, bütünlük ve gizlilik, hesap verebilirlik. İhlaller durumunda yıllık küresel ciron yüzde dördüne veya 20 milyon Euro'ya — hangisi yüksekse — kadar para cezası uygulanabilir. Türkiye'nin 2016'da çıkardığı KVKK (Kişisel Verilerin Korunması Kanunu) GDPR'a büyük ölçüde paralel bir yapıya sahiptir.

gavel GDPR Nedir ve Kimleri Kapsar?

GDPR, 25 Mayıs 2018'de yürürlüğe giren AB veri koruma tüzüğüdür. Kapsamı coğrafi sınırları aşar: AB'de yerleşik bireylerin verilerini işleyen herhangi bir şirket ya da kuruluş — dünyanın neresinde bulunursa bulunsun — bu yasaya uymak zorundadır. Bir Türk e-ticaret sitesi Alman kullanıcılara hizmet veriyorsa, bir Amerikan SaaS şirketi Fransız şirketlere yazılım satıyorsa GDPR geçerlidir. Yapay zeka şirketleri için bu durum kritiktir: eğitim verilerinin toplanması, model çıktılarının saklanması ve otomatik karar sistemleri hepsi kapsam dahilindedir.

Yedi Temel Veri İşleme İlkesi

verified Hukuka Uygunluk ve Şeffaflık

Veri işleme için yasal dayanak gereklidir: açık rıza, sözleşme, yasal yükümlülük veya meşru menfaat. Bireylere verilerinin nasıl kullanıldığı açıkça bildirilmeli.

center_focus_strong Amaç Sınırlılığı

Veriler yalnızca belirtilen amaç için toplanabilir ve kullanılabilir. Bir AI modelini eğitmek için toplanan veri, reklam hedeflemesinde kullanılamaz.

compress Veri Minimizasyonu

Yalnızca amaca uygun, gerekli ve orantılı miktarda veri toplanmalıdır. Gereksiz veri toplamak GDPR ihlalidir.

shield Bütünlük, Gizlilik ve Hesap Verebilirlik

Veriler teknik ve idari önlemlerle korunmalı; şirketler uyumu belgelemelidir. Veri ihlali 72 saat içinde ilgili otoriteye bildirilmeli.

smart_toy Yapay Zeka Sistemlerine Etkisi: Madde 22

GDPR'ın AI açısından en kritik hükmü Madde 22'dir: Bireyler, yalnızca otomatik işleme dayanan ve hukuki ya da benzer şekilde önemli sonuçlar doğuran kararların muhatabı olmaktan kaçınma hakkına sahiptir. Bu, aşağıdaki AI kullanım senaryolarını doğrudan etkiler: Kredi ve finans: Kredi notu hesaplayan algoritmalar insan denetimine açık olmalı. İşe alım: CV eleme sistemleri insan doğrulaması gerektiriyor. Sigorta ve sağlık: Otomatik risk değerlendirmeleri itiraz mekanizması sunmalı. Adli ve güvenlik: Yüz tanıma veya profilleme sistemlerine sıkı kısıtlamalar. Ayrıca 'algoritmik şeffaflık' gereklilikleri, bireylere kararın mantığı, önemi ve beklenen sonuçları hakkında anlamlı bilgi verilmesini zorunlu kılar.

person Bireylerin GDPR Hakları

  • check_circle Erişim Hakkı: Bireyler, şirketlerin hakkında tuttuğu veriyi görme ve bir kopyasını talep etme hakkına sahiptir. Şirketin 30 gün içinde yanıt vermesi zorunludur.
  • check_circle Düzeltme Hakkı: Yanlış veya eksik verilerin düzeltilmesini talep etme hakkı. AI sistemlerinde yanlış profillemeye karşı önemli bir güvencedir.
  • check_circle Silme / Unutulma Hakkı: Belirli koşullar altında kişisel verilerin silinmesini talep etme hakkı. AI eğitim veri kümeleri için karmaşık teknik zorluklar yaratır.
  • check_circle Veri Taşınabilirliği: Verilerini yapılandırılmış, makine okunabilir formatta alıp başka bir sağlayıcıya aktarabilirler. Platform bağımlılığını azaltır.
  • check_circle İtiraz ve Kısıtlama Hakkı: Meşru menfaate dayalı işleme, doğrudan pazarlama ve profilleme faaliyetlerine itiraz etme hakkı.

balance Yaptırımlar ve Türkiye Bağlamı

  • check_circle GDPR Cezaları: İki kademe: Daha az ciddi ihlaller için yıllık küresel ciron yüzde ikisine veya 10 milyon Euro'ya; ağır ihlaller için yüzde dördüne veya 20 milyon Euro'ya kadar. 2023 Meta cezası: 1,2 milyar Euro.
  • check_circle KVKK — Türkiye'nin GDPR'ı: 6698 sayılı Kişisel Verilerin Korunması Kanunu (2016), GDPR'a büyük ölçüde paralel bir yapı sunar. Kişisel Verileri Koruma Kurumu (KVKK) denetleme ve yaptırım yetkisine sahiptir. Türk şirketler için AB pazarına açılmada GDPR uyumu kritiktir.
  • check_circle AB-Türkiye Veri Transferi: AB, Türkiye'yi veri koruma açısından 'yeterli ülke' saymamaktadır. Bu nedenle AB'den Türkiye'ye veri transferi için Standart Sözleşme Maddeleri (SCCs) veya Bağlayıcı Şirket Kuralları (BCRs) gereklidir.