gavel GDPR Nedir ve Kimleri Kapsar?
GDPR, 25 Mayıs 2018'de yürürlüğe giren AB veri koruma tüzüğüdür. Kapsamı coğrafi sınırları aşar: AB'de yerleşik bireylerin verilerini işleyen herhangi bir şirket ya da kuruluş — dünyanın neresinde bulunursa bulunsun — bu yasaya uymak zorundadır. Bir Türk e-ticaret sitesi Alman kullanıcılara hizmet veriyorsa, bir Amerikan SaaS şirketi Fransız şirketlere yazılım satıyorsa GDPR geçerlidir. Yapay zeka şirketleri için bu durum kritiktir: eğitim verilerinin toplanması, model çıktılarının saklanması ve otomatik karar sistemleri hepsi kapsam dahilindedir.
Yedi Temel Veri İşleme İlkesi
verified Hukuka Uygunluk ve Şeffaflık
Veri işleme için yasal dayanak gereklidir: açık rıza, sözleşme, yasal yükümlülük veya meşru menfaat. Bireylere verilerinin nasıl kullanıldığı açıkça bildirilmeli.
center_focus_strong Amaç Sınırlılığı
Veriler yalnızca belirtilen amaç için toplanabilir ve kullanılabilir. Bir AI modelini eğitmek için toplanan veri, reklam hedeflemesinde kullanılamaz.
compress Veri Minimizasyonu
Yalnızca amaca uygun, gerekli ve orantılı miktarda veri toplanmalıdır. Gereksiz veri toplamak GDPR ihlalidir.
shield Bütünlük, Gizlilik ve Hesap Verebilirlik
Veriler teknik ve idari önlemlerle korunmalı; şirketler uyumu belgelemelidir. Veri ihlali 72 saat içinde ilgili otoriteye bildirilmeli.
smart_toy Yapay Zeka Sistemlerine Etkisi: Madde 22
GDPR'ın AI açısından en kritik hükmü Madde 22'dir: Bireyler, yalnızca otomatik işleme dayanan ve hukuki ya da benzer şekilde önemli sonuçlar doğuran kararların muhatabı olmaktan kaçınma hakkına sahiptir. Bu, aşağıdaki AI kullanım senaryolarını doğrudan etkiler: Kredi ve finans: Kredi notu hesaplayan algoritmalar insan denetimine açık olmalı. İşe alım: CV eleme sistemleri insan doğrulaması gerektiriyor. Sigorta ve sağlık: Otomatik risk değerlendirmeleri itiraz mekanizması sunmalı. Adli ve güvenlik: Yüz tanıma veya profilleme sistemlerine sıkı kısıtlamalar. Ayrıca 'algoritmik şeffaflık' gereklilikleri, bireylere kararın mantığı, önemi ve beklenen sonuçları hakkında anlamlı bilgi verilmesini zorunlu kılar.
person Bireylerin GDPR Hakları
- check_circle Erişim Hakkı: Bireyler, şirketlerin hakkında tuttuğu veriyi görme ve bir kopyasını talep etme hakkına sahiptir. Şirketin 30 gün içinde yanıt vermesi zorunludur.
- check_circle Düzeltme Hakkı: Yanlış veya eksik verilerin düzeltilmesini talep etme hakkı. AI sistemlerinde yanlış profillemeye karşı önemli bir güvencedir.
- check_circle Silme / Unutulma Hakkı: Belirli koşullar altında kişisel verilerin silinmesini talep etme hakkı. AI eğitim veri kümeleri için karmaşık teknik zorluklar yaratır.
- check_circle Veri Taşınabilirliği: Verilerini yapılandırılmış, makine okunabilir formatta alıp başka bir sağlayıcıya aktarabilirler. Platform bağımlılığını azaltır.
- check_circle İtiraz ve Kısıtlama Hakkı: Meşru menfaate dayalı işleme, doğrudan pazarlama ve profilleme faaliyetlerine itiraz etme hakkı.
balance Yaptırımlar ve Türkiye Bağlamı
- check_circle GDPR Cezaları: İki kademe: Daha az ciddi ihlaller için yıllık küresel ciron yüzde ikisine veya 10 milyon Euro'ya; ağır ihlaller için yüzde dördüne veya 20 milyon Euro'ya kadar. 2023 Meta cezası: 1,2 milyar Euro.
- check_circle KVKK — Türkiye'nin GDPR'ı: 6698 sayılı Kişisel Verilerin Korunması Kanunu (2016), GDPR'a büyük ölçüde paralel bir yapı sunar. Kişisel Verileri Koruma Kurumu (KVKK) denetleme ve yaptırım yetkisine sahiptir. Türk şirketler için AB pazarına açılmada GDPR uyumu kritiktir.
- check_circle AB-Türkiye Veri Transferi: AB, Türkiye'yi veri koruma açısından 'yeterli ülke' saymamaktadır. Bu nedenle AB'den Türkiye'ye veri transferi için Standart Sözleşme Maddeleri (SCCs) veya Bağlayıcı Şirket Kuralları (BCRs) gereklidir.