MAKALE

DÜNYANIN İLK “YAPAY ZEKÂ YASASI” NA VE VERİ HUKUKU İLE OLAN BAĞLANTISINA GENEL BİR BAKIŞ

Abone Ol

Yapay zeka (YZ) sistemlerinin temel bir özelliği, çıkarım yapma kabiliyetleridir. Bu çıkarım yapma kabiliyetleri kapsamında bu sistemlerden tahminler, öneriler veya kararlar elde etme ve/veya türetme yapılabilmektedir. İnsanlara ait bilişsel yetenekleri insanlara benzer şekilde ve hatta daha hızlı, hatasız şekilde yerine getiren, akıl yürüten ve sonuç çıkartan yetenek (1) olarak tanımlanan YZ sistemlerinin kullanım alanı oldukça yaygın hale gelmiştir.

YZ sistemlerin doğrudan bir hukuki kaideye bağlanmamış oluşundan ötürü fazlası ile endişe mevcuttu. Bir makine programının düşünmesi ve öğrenmesi olarak da tanımlanan (2) YZ sayesinde bugün düşünmesi imkansız yada güç görünen birçok faaliyeti kolayca ve hızlı şekilde yapan bizler, YZ ile gitgide iç içe geçen bir yaşam tarzı içerisine girmiş durumdayız. YZ kullanıyoruz, ondan faydalanıyoruz ama tam olarak tanımadan, nerelere kadar etki alanı doğuracağını bilmeden hayatımızın içine aldığımız ve Pandoranın kutusu gibi görünen bu sistemin tüm hatlarının belirgin olmamasından ötürü de endişelerimiz mevcut. İnsanlığa hizmet/fayda sağlayacağına inanılan YZ sistemlerinin, diğer taraftan insan zekâsını aşarak ve hatta insan zekâsı yerine geçmek suretiyle insan değerlerini, bedenini, zihnini, varlığını tehdit etme potansiyeline sahip olduğu çoğu yerde dile getirilen bir endişedir. Bu konudaki günümüz endişelerini dile getirirken bir yandan da günümüzden çok daha öncesinde bilim insanı Isaac Asimov’un, 1950 yılında yazdığı bilim kurgu romanında ‘Sıfırıncı Yasa’ olarak adlandırdığı yasadan da kısaca bahsetmek istiyorum; ‘Sıfırıncı yasa’ gereği, ‘Bir robot, “insanlığa” zarar veremez ya da insanlığın zarar görmesine seyirci kalamaz(3). İnsan-robot ilişkisini romanında yasalaştıran Isaac Asimov’un zarar kavramını vurgulamasından mütevellit bu ilişkiye bir kaide getirmiş olmasında günümüzle benzer endişelerden yola çıktığını düşünüyorum. “İnsanlığa” zarar verme ya da insanlığın zarar görmesine’’ sebep olma gibi bazı endişeleri hala gündemde olan günümüz İnsan-YZ ilişkisine dönecek olursak, günümüz insanına fazlası ile temas eden YZ’nin doğrudan hukuken belli kurallar ve sınırlar içine alınması uzun bir süredir beklenen bir durumdu. Bu beklentiler neticesinde, Avrupa Birliği (AB) YZ yasasının 1. maddesinde ve genelinde kanunun getiriliş amacından bahsedilirken, YZ sistemlerinin zararlı etkilerinden korunmak ve inovasyonu desteklemek, tek tip bir yasal çerçeve belirleyerek iç pazarın işleyişini iyileştirmek konularına değinilmiştir. YZ yasası ile AB’ye göre iç pazarın sorunsuz bir şekilde işlenmesi sağlanmalı ve bu sistemlerin mal ve hizmetlerin serbest dolaşımı ilkesinden faydalanmasına izin verilmelidir.  YZ Yasası içeriğinde dahi YZ uygulamalarının riskler yaratabileceği ve AB hukuku tarafından korunan kamu çıkarlarına ve temel haklara fiziksel, psikolojik, toplumsal veya ekonomik zararlar dahil olmak üzere maddi veya maddi olmayan zararlar verebileceği belirtilmiş oluşundan aslında hem ticari kaygılardan hem de oluşabilecek zararlardan yola çıkıldığı sonucuna varmak yanlış olmayacaktır.

Kademeli “Yapay Zekâ Yasası”

Hukuki çerçeve ve standartlar yönüyle beklentiler ve gereklilikler sonucunda; YZ teknolojilerinin temel haklara halel getirmeden ekonomiye ve topluma yapacağı katkılarını en üst seviyeye taşımayı hedefleyerek ve risk temelli bir yaklaşımla hazırlanan “Yapay Zeka Hakkında Uyumlaştırılmış Kurallar Getiren ve Bazı Birlik Yasama Tasarruflarını Değiştiren (AB) 2024/1689 sayılı Tüzük” (Yapay Zekâ Yasası) Avrupa Parlamentosu (AP) tarafından kabul edilmiş, 12 Temmuz 2024 tarihinde Avrupa Birliği (AB) Resmi Gazetesi’nde yayımlanmış ve 1 Ağustos 2024 tarihinde dünyadaki ilk “Yapay Zekâ Yasası” (YZY veya Yasa) yürürlüğe girmiştir. Yasa’nın bazı hükümleri 2026'ya kadar yürürlüğe girmeyecek olup, bir  geçiş süresi belirlenmiştir. Bu kademeli yaklaşımla YZY yürürlüğe girdikten;

- 6 ay sonra AB üye devletler yasaklanmış bazı sistemlerle karşılaşacaktır; YZY/m.5 içerisinde yasaklanmış uygulamalar sıralanmış olup manipülatif veya aldatıcı teknikler kullanan yapay zeka sistemlerinin bu kapsamda ele alındığı görülmektedir.

- 12 ay sonra genel amaçlı yapay zeka yönetimine ilişkin yükümlülükler devreye girecektir,

- 24 ay sonra YZY/M.6’da bahsi geçen yüksek risklere ilişkin kaideler de içinde olmak üzere tüm kurallar geçerli olacaktır.

“Risk Temelinde Yaklaşım”

YZY ilk yasal çerçeveyi belirlemiş olmakla çok yeni olan bu regülasyonun desteklenmeye ve gelişmeye çok açık olacağı tahmin edilebilecek bir durumdur. Yukarıda belirtildiği üzere, YZY, risk temelli yaklaşımla bir sistematiği benimsenmekle; düşük risk, sınırlı risk, yüksek risk ve kabul edilemez risk düzeylerinde farklı kategorilerde risk değerlendirmesi yapmıştır. Örneğin, elektronik posta spam filtresi asgari riskli bir kategoride iken, kamu hizmetlerine erişim-kolluk kuvvetleri alanında kullanılan bazı YZ sistemleri yüksek kategoride riskli sistemlerdir. Risk kategorilerine göre belirli kurallar ve sorumluluklar belirlenmiştir.  Yüksek riskli olarak belirlenen YZ sistemlerin, faaliyetlerin kaydedilmesi, risk azaltma sistemleri, yüksek düzeyde sağlamlık, doğruluk ve siber güvenlik dâhil olmak üzere sıkı koşullara uyması gerekecektir. Temel insan haklarını tehdit eden, kabul edilemez risk kapsamı içerisinde yer alan YZ uygulamaları önümüzdeki yılın başlarında tamamen yasaklanacaktır. Risk temelli yaklaşım çerçevesinde etik ilkelerin önemi de YZY içerisinde belirtilmiş olup gerçek kişiler tarafından etkin bir şekilde denetlenebilecek şekilde insan gözetimi; teknik sağlamlık ve güvenlik; gizlilik ve veri yönetimi; şeffaflık; çeşitlilik, ayrımcılık yapmama ve adalet; toplumsal ve çevresel refah ve hesap verebilirlik etik değerlerine Yasa’da yer verilmiştir.  Risk kategorilerine göre değişen ‘Risk Yönetim Sisteminde’ düzenli olarak gözden geçirme ve güncellenme, belgeleme önemli unsurlar olarak belirtilmiştir.

YZY’nin Önemli Başlıkları

YZY ile getirilen bir kısım önem arz eden hususları aşağıda kısaca belirtmek gerekirse;

- Temel insan haklarını tehdit eden YZ uygulamaları önümüzdeki yılın başlarında şubat ayında tamamen yasaklanacaktır.

- YZ teknolojilerinin güvenli, şeffaf ve etik bir şekilde kullanılması hedeflenmektedir. 

- YZ teknolojilerinin uyumlu standartlara uyumu, sağlayıcıların YZY gerekliliklerine uyumu göstermelerinin bir yolu olarak belirtilmiş olup, standartlar, uygunluk değerlendirmesi, sertifikalar, kayıt detayları YZY içinde detaylı belirtilmiştir.

- YZ teknolojilerinin insan haklarına saygılı olması, ayrımcılığı önlemesi ve insan kontrolünde olması önem arz eden prensiplerdir. 

- Sağlayıcılarına, kullanıcılarına, ithalatçılarına yüksek risk taşıyan yapay zekâ sistemleri için bir dizi ağır yaptırım getirilmiş olup ihlal derecesine göre ve yıllık küresel cironun belli oranlarında para cezaları öngörülmektedir. Küçük ve orta ölçekli şirketler için daha düşük eşikler, diğer şirketler için ise daha yüksek eşikler olmak üzere bir talebe yanıt olarak yanlış, eksik veya yanıltıcı bilgi verilmesi halinde dahi ceza söz konusudur.

- Kabul edilemez risk taşıyan yapay zekanın yasakları 2 Şubat 2025 tarihinde geçerli hale gelecek olup, 2 Ağustos 2025 tarihinde Genel Amaçlı Yapay Zekâ Sistemleri için yükümlülükler, 2 Ağustos 2026 tarihinde Yüksek Riskli YZ Sistemleri için tüm kurallar, 2 Ağustos 2027 tarihinde diğer tüm yüksek riskli sistemler için yükümlülükler geçerli hale gelecektir.

“Yapay Zekâ” ve “Veri” 

YZY genel bir çerçeveyi belirtmiş ve yukarıda bu çerçeve içerisinde önem arz eden bazı hususlara yer verilmeye çalışılmıştır. YZY söz konusu oldukça gündeme gelecek ve bu yasa ile her zaman omuz omuza bir bağlantısı olacak hukuk dallarından birisi de Veri Hukuku olacaktır. Yapay Zeka Yasasında, YZ sistemlerin bu yasanın tamamlayıcısı olduğu veri koruması konularında mevcut AB hukukuna halel getirmemesi gerekliliği belirtilerek bir yandan veri koruma hukukunun tamamlayıcılığı da dile getirilmiş durumdadır. YZY içerisinde, belli durumlarda Avrupa Veri Koruma Kuruluna danışılmasının uygunluğu, gizlilik hakkı ve kişisel verilerin korunması hakkının YZ sisteminin tüm yaşam döngüsü boyunca garanti altına alınması hususları da belirtilmiştir. YZY ve 4 Mayıs 2016 tarihinde AB Resmi Gazetesi’nde yayımlanan  ve 25 Mayıs 2018 tarihinde uygulanmaya başlayan AB 2016/679 sayılı, AB Genel Veri Koruma Tüzüğü (GDPR) özelinde  sınır ötesi uygulamada benzerlik olacağı kuşkusuzdur. AB pazarına hizmet sunan, bu pazara ürün/hizmet yerleştiren şirketlerin, sağlayıcıların, dağıtıcıların YZY ile uyumlu ilerlemesi kaçınılmaz olacaktır. GDPR’ın küresel teknoloji devlerinin hizmetlerini/politikalarını güncellemesine yol açması gibi YZY ile de bu güncellemenin mecburi olarak küresel şirketler yönüyle gündeme geleceğini rahatlıkla söylemek mümkündür. AB pazarına giriş yapmak isteyen, hali hazırda bu Pazar içerisinde yer alan Türk şirketlerinin, girişimcilerin, AB pazarında piyasaya sürülen ve AB’de kullanılan yapay zekâ sistemlerinin AB'nin YZ Yasaları’na, etik prosedürlerine uyumlu ürünler ve hizmetler geliştirmeleri, kendilerini güncellemeleri gerekecektir. YZ sistemleri AB pazarındaysa veya bunların kullanımı doğrudan Avrupa Birliği’ndeki insanları etkiliyorsa AB dışındaki kuruluşlara da YZY prensipleri uygulanacağından gelinen çerçevede AB YZ yasalarının Türkiye'deki düzenleyici çerçevelere uyarlanması da  şartları haiz durumlarda kaçınılmaz olacaktır. Yapay Zekâ Yasası’nın ülke sınırları dışındaki uygulaması GDPR’a oldukça benzemektedir.  Bir veri işleme faaliyeti olduğunda ve bu faaliyetin AB ülkelerinde gerçekleşmesi söz konusu olduğunda sadece Türkiye’de mevcut düzenlemeler değil AB ve işleme yapılacak ülke özelinde düzenlemeler de gündeme geldiğinden kişisel veriler hukukunda yeknesaklık zordur. Aynı husus YZ uygulamalarında da kısaca yukarıda bahsedildiği üzere yakın zamanda fazlaca gündeme geleceği için bu düzenlemeler nezdinde de yeknesaklık olması zor bir durumdur. Çoğunlukla sınır ötesi uygulama alanı olan iki hukuk dalının ortaya çıkış amaçları da benzer olup GDPR’da olduğu gibi YZ ile ilgili regülasyonlara yaklaşımlarda da yine ana etken konulardan birinin ekonomik hususlar, ticari ve ekonomik ilişkiler olduğu görülmektedir. Zira GDPR’ın konu ve amaçlar kısmında serbest dolaşıma ilişkin kurallar ortaya konurken bir yandan gerçek kişilere koruma sağlama amacıyla yola çıkıldığı, YZY’nin amaç kısımlarında inovasyon-ekonomi ve bir yandan da insanların zarar görmemesi yönünde ekonomi-insan ana hatları noktasından yola çıkıldığı gözetildiğinde iki hukuk dalında amaç benzerliği de ortaya çıkmaktadır. İki hukuk dalında otoriteler, temsilciler ( AB Yapay Zekâ Yasası’nın ulusal düzeyde uygulanmasını denetleyecek piyasa gözetim otoriteleri, AB’de bir yetkili temsilci ataması gerekliliği birçok bakımdan GDPR’da  yer alan veri koruma temsilcisine ve otoritelerine benzerdir) dahi benzer olup tüm bu benzerlik, bağlantılılık, tamamlayıcı özellik ve sınır ötesi uygulama alanları kapsamında genel olarak şartları haiz tüm şirketler için sadece YZY ve etik kurallar değil aynı zamanda GDPR uyumluluğu da her zaman güncel olması gereken çok önemli konular olacaktır.

Sürekli biçimde tekrarlanan işlerin otomatikleştirilmesi suretiyle insanlara zaman/hız kazandırılması, türlü avantajların sağlanması gayesinde olan YK sistemlerinde verilerin işlenmesi genel olarak kaçınılmaz bir sonuçtur. Bir YZ sisteminin meydana getirilmesindeki genel gaye, kazanacağı öğrenme becerisi ile öğrendiklerini tahlil ederek değerlendirme süreci sonucunda bir karar vermesi (4), tahminde bulunması gibi kullanıcıya bir avantajı, kolaylığı ve/veya faydayı sağlamasıdır. YZ teknolojilerinin kullanımının kaçınılmaz ve büyük ölçüde bağlantılı olacağı veri işleme faaliyetlerinde verilerin işlenmesinde ve verilerin YZ sistemi ile yönetilen dijital platformlara ve çeşitli yerlere aktarılışında, önemli konulardan biri de her zaman veri koruma ve gizliliği olacaktır.

Uygulama alanları ve çoğu yönleriyle benzerlik göstermekte olan bu iki hukuk dalının birbiriyle olan bağlantısı her zaman çok önemli olacaktır.

Sonuç

Türk şirketlerinin YZ sistemleriyle ilgili yasal uyumluluk ve yükümlülükleri yerine getirmeleri, bu yönde ciddi ve etkin adımlar atmaları YZY gereği karşılarına gelebilecek ciddi yaptırımlardan kaçınmaları için elzemdir. YZ Yasası ile, şirketler, geliştiriciler, sağlayıcılar ve girişimciler için YZ odaklı teknolojiler tasarlanırken artık sadece inovasyon değil, buna ek olarak yasal uyumluluk, standardizasyon ile etik sorumluluklar her zaman gündem konuları olacaktır. Bu gündemleri içerisinde şirketlerin ve ilgililerin; YZ’ye ilişkin uyum politikaları geliştirmeleri, sözleşmelerini bu uyum çerçevesinde güncellemeleri, ve veri güvenliği standartlarını yükseltmeleri bu geçiş sürecini başarıyla yönetmeleri için ele almaları gereken önemli başlıkları olacaktır. Uyumluluk çerçevesinde her şirket, sağlayıcı ya da dağıtıcının risk kategorileri kapsamında itina ile hukuki uyum sürecini bir an önce planlayıp hayata geçirmesi olası cezalardan kaçınmak haricinde yasal uyumsuzluk nedeniyle ticari hayatlarında bir sekteye uğramamaları açısından da önem arz etmektedir.

YZY’den çok daha önce yasal bir çerçeve olmaksızın hayatımıza giren YZ sistemleri yönüyle ilk yasal adımın atılması ile belirlenen hukuki standartlar ilgililer özelinde oturmaya/uygulanmaya başlanacak ve yasa çerçevesinde Şirket politikalarına yansımalar gerçekleşecektir. Sadece Kişisel Verileri Koruma Kanunu'na (KVKK) veya GDPR'a uyumlu olmanın YZY anlamında veri yönetimini hukuka uygun yürütmek anlamına gelmeyebileceğinin YZ sistemi içerisinde yer alan ilgililerce önemle dikkate alınması gereklidir; yapay zeka süreçleri KVKK’ya  veya GDPR'a ‘tam uyumlu’ hale getirilmelidir. Kalite yönetim sistemi-risk yönetim sistemi gibi sistemler YZY içerisinde detaylı şekilde belirtilmiş olup ilgili şirketlerin, ‘Veri Yönetim Sistemini’ de itina ile oluşturması; bu kapsamda yazılı politikaları, prosedürlerini ve talimatlarını sistematik ve düzenli bir şekilde belgelendirebileceği tarzda bir an önce hazırlaması bu süreçte atmaları gereken en önemli uyum adımlarından olacaktır.

Av. Arb. Melisa TELSAÇ 

KAYNAKÇA:

1- Akkurt, Sinan Sami, Yapay Zekânın Otonom Davranışlarından Kaynaklanan Hukukî Sorumluluk, Uyuşmazlık Mahkemesi Dergisi, S.13, Haziran 2019, s.39.,  https://www.coe.int/en/web/artificial-intelligence/glossary

2- Esenal, Ersin, Yapay Zekâ ve Hukuk, Adalet İstanbul Dergisi, S.12, Aralık 2018, s.89.

3- Erdoğan, Melih, “Sıfırıncı Yasa”, Muhasebe Bilim Dünyası Dergisi, C.19, S.3, 2017, s.755 ve s.757.

4- Erdoğan, Gökhan, Yapay Zekâ ve Hukukuna Genel Bir Bakış, Adalet Dergisi, S.66, 2021, s.126.

5- https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.pdf

6- https://www.coe.int/en/web/artificial-intelligence/glossary

7- https://ec.europa.eu/commission/presscorner/detail/en/QANDA_21_1683

8- https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai