Aralık 2024 tarihinde, İtalyan Veri Koruma Otoritesi GDPR ihlali nedeniyle yapay zeka şirketine 15 Milyon Euro ceza kesti. Cezanın tarihi yakın ve tutarı büyük. Kişisel verileri işleyen üretken AI geliştiriyor veya kullanıyorsanız kendinize şu soruları sormalısınız:
1. Kişisel verileri işlemek için yasal dayanağınız nedir?
Kişisel verileri işliyorsanız, rıza veya meşru çıkarlar gibi uygun bir yasal dayanak belirtmelisiniz.
☐ İşleme faaliyetlerimizin amaçlarını gözden geçirdik ve her faaliyet için en uygun yasal dayanağı (veya dayanakları) seçtik.
☐ İşlemenin ilgili amaç için gerekli olduğunu kontrol ettik ve bu amaca ulaşmanın makul ve daha az müdahaleci başka bir yolunun olmadığına kanaat getirdik.
☐ Uyumluluğumuzu göstermemize yardımcı olması için hangi yasal dayanağın geçerli olduğuna dair kararımızı belgeledik.
☐ Privacy Policy isimli dokümanımızda hem veri işlemenin amaçları hem de veri işlemenin yasal dayanağı hakkında bilgi verdik.
☐ Özel nitelikli verileri işlediğimiz durumlarda, özel nitelikli verileri işlemeye ilişkin bir yasal dayanak da belirledik ve bunu belgeledik.
☐ Sabıka kaydı verilerini işlediğimiz durumlarda, bu verileri işlemek için bir koşul belirledik ve bunu belgeledik.
2. Veri Sorumlusu, ortak veri sorumlusu veya veri işleyen misiniz?
Kişisel verileri kullanarak üretken AI geliştiriyorsanız, veri denetleyicisi olarak yükümlülükleriniz vardır. Başkaları tarafından geliştirilen modelleri kullanıyor veya uyarlıyorsanız, veri sorumlusu, ortak veri sorumlusu veya veri işleyen olabilirsiniz.
3. Veri Koruma Etki Değerlendirmesi (DPIA) hazırladınız mı?
Kişisel verileri işlemeye başlamadan önce DPIA süreci aracılığıyla herhangi bir veri koruma riskini değerlendirmeli ve azaltmalısınız . İşleme ve işlemenin etkileri geliştikçe DPIA'nızı güncel tutulmalısınız.
DPIA farkındalık kontrol listesi
☐ Kişisel verileri içeren herhangi bir planın erken aşamalarında DPIA'yı dikkate almanın gerekliliğini çalışanlarımızın anlamaları için eğitim sağlıyoruz.
☐ Mevcut politikalarımız, süreçlerimiz ve prosedürlerimiz DPIA gerekliliklerine referanslar içermektedir.
☐ DPIA gerektiren işlem türlerini anlıyoruz ve gerektiğinde DPIA ihtiyacını belirlemek için tarama kontrol listesini kullanıyoruz.
☐ Bir DPIA süreci oluşturduk ve belgeledik.
☐ İlgili personele DPIA'nın nasıl yapılacağı konusunda eğitim veriyoruz.
DPIA tarama kontrol listesi
☐ Kişisel verilerin kullanımını içeren her büyük projede DPIA gerçekleştirmeyi değerlendiriyoruz.
Aşağıdaki çalışmalardan birini yapmayı planlıyorsak DPIA yapmayı düşünürüz:
☐ değerlendirme veya puanlama;
☐ önemli etkilere sahip otomatik karar alma;
☐ sistematik izleme;
☐ hassas verilerin veya son derece özel nitelikteki kişisel verilerin işlenmesi;
☐ büyük ölçekte işleme;
☐ savunmasız veri sahiplerine ilişkin verilerin işlenmesi;
☐ yenilikçi teknolojik veya organizasyonel çözümler;
☐ Veri sahiplerinin bir hakkını kullanmasını veya bir hizmeti veya sözleşmeyi kullanmasını engelleyen işleme .
Aşağıdakileri planlıyorsak her zaman bir DPIA gerçekleştiririz :
☐ İnsanlar hakkında önemli kararlar almak için sistematik ve kapsamlı profilleme veya otomatik karar verme yöntemlerini kullanma;
☐ özel nitelikli verileri ve sabıka kaydı verilerini büyük ölçekte işlemek;
☐ kamuya açık bir yeri büyük ölçekte sistematik olarak izlemek;
☐ Avrupa yönergelerindeki kriterlerden herhangi biriyle birlikte yenilikçi teknolojiyi kullanmak;
☐ Birinin bir hizmete, fırsata veya faydaya erişimiyle ilgili kararları almaya yardımcı olmak için profil oluşturma, otomatik karar alma veya özel kategori verilerini kullanmak;
☐ geniş ölçekte profilleme yapmak ;
☐ Avrupa yönergelerindeki kriterlerden herhangi biriyle birlikte biyometrik veya genetik verileri işlemek;
☐ birden fazla kaynaktan gelen verileri birleştirmek, karşılaştırmak veya eşleştirmek;
☐ Avrupa yönergelerindeki kriterlerden herhangi biriyle birlikte doğrudan bireye Privacy Policy sunmadan kişisel verileri işlemek;
☐ Avrupa yönergelerindeki kriterlerden herhangi biriyle birlikte, bireylerin çevrimiçi veya çevrimdışı konumlarını veya davranışlarını izlemeyi içeren bir şekilde kişisel verileri işlemek ;
☐ çocukların kişisel verilerini profil oluşturma veya otomatik karar alma veya pazarlama amaçlarıyla işlemek veya onlara doğrudan çevrimiçi hizmetler sunmak;
☐ güvenlik ihlali durumunda fiziksel zarar riskiyle sonuçlanabilecek kişisel verileri işlemek;
☐ İşlemelerimizin niteliğinde, kapsamında, bağlamında veya amaçlarında bir değişiklik olması durumunda yeni bir DPIA gerçekleştirme;
☐ DPIA yapmamaya karar verirsek, bunun nedenlerini belgelendirme.
DPIA süreç kontrol listesi
☐ İşlemenin niteliğini, kapsamını, bağlamını ve amaçlarını açıklıyoruz.
☐ Veri işleyenlerimizden, işleme faaliyetlerini anlamamıza ve belgelememize ve ilişkili riskleri belirlememize yardımcı olmalarını istiyoruz.
☐ Bireylere (veya temsilcilerine) ve diğer ilgili paydaşlara en iyi şekilde nasıl danışabileceğimizi biliyoruz.
☐ Veri koruma yetkilimizin(DPO) tavsiyelerini alırız.
☐ Veri işlemenin amaçlarımız için gerekli ve orantılı olduğunu kontrol ediyoruz ve veri koruma ilkelerine uyumunu nasıl sağlayacağımızı açıklıyoruz .
☐ Bireylerin hak ve çıkarlarına yönelik herhangi bir riskin olasılığını ve ciddiyetini objektif bir şekilde değerlendiriyoruz .
Objektif bir değerlendirme için dikkat etmeniz gerekenler:
- Planlarınız amacınıza ulaşmanıza yardımcı oluyor mu?
- Aynı sonuca ulaşmanın başka makul bir yolu var mı?
Madde 29 yönergeleri ayrıca, gereklilik ve orantılılığın iyi bir ölçüsü olan veri koruma uyumluluğunu nasıl sağlayacağınızı da değerlendirmelisiniz. Özellikle, aşağıdaki başlıkları gözden geçirmelisiniz
- işleme ilişkin yasal dayanağınız;
- fonksiyon kaymasını nasıl önleyeceksiniz;
- Veri kalitesini nasıl sağlamayı planlıyorsunuz;
- veri minimizasyonunu nasıl sağlamayı planlıyorsunuz;
- bireylere gizlilik bilgilerini nasıl sağlamayı planladığınız;
- Veri kalitesini nasıl sağlamayı planlıyorsunuz;
- veri minimizasyonunu nasıl sağlamayı planlıyorsunuz;
- bireylere gizlilik bilgilerini nasıl sağlamayı planladığınız;
- bireylerin haklarını nasıl uygular ve desteklersiniz;
- işlemcilerinizin uyumlu olmasını sağlamak için önlemler; ve
- Uluslararası transferlere ilişkin güvenceler
☐ Yüksek riskleri ortadan kaldırmak veya azaltmak için uygulayabileceğimiz önlemleri belirleriz.
☐ Veri Koruma Görevlisi(DPO) veya danışılan kişilerle olan her türlü görüş ayrılığı da dahil olmak üzere, DPIA sonucunda aldığımız kararları kayıt altına alıyoruz.
☐ Belirlediğimiz önlemleri hayata geçiriyor ve proje planımıza entegre ediyoruz.
☐ Yüksek riskleri azaltamıyorsak, işleme başlamadan önce Veri Koruma Otoritesine danışıyoruz.
☐ DPIA'larımızı sürekli gözden geçiriyor ve gerektiğinde yeniden değerlendiriyoruz.
İyi bir DPIA yazdık mı?
☐ Neden bir DPIA'ya ihtiyaç duyduğumuzu açıkladık, bunu bir gereklilik haline getiren amaçlanan işlem türlerini ayrıntılı olarak açıkladık;
☐ belgeyi açık, sistematik ve mantıksal bir şekilde yapılandırdık;
☐ DPIA'yı uzman olmayan bir kitleyi düşünerek, kullandığımız tüm teknik terimleri ve kısaltmaları açıklayarak sade bir dilde yazdık;
☐ uygun durumlarda hem metin hem de veri akış diyagramları kullanarak veri sorumlusu, veri işleyen, ilgili kişileri ve sistemler arasındaki ilişkileri açıkça ortaya koyduk;
☐ İnsanlar, sistemler, kuruluşlar ve ülkeler arasındaki kişisel veri akışlarının özelliklerini açıkladık;
☐ GDPR kapsamındaki Veri Koruma İlkelerinin her birine nasıl uyduğumuzu açıkça belirttik ve işlemeye ilişkin yasal dayanağımızı açıkladık;
☐ ilgili kişilerin haklarını nasıl desteklemeyi planladığımızı açıkladık;
☐ Bireylerin hak ve özgürlüklerine ilişkin tüm ilgili riskleri belirledik, bunların olasılığını ve ciddiyetini değerlendirdik ve tüm ilgili hafifletici önlemleri ayrıntılı olarak açıkladık;
☐ önerilen herhangi bir azaltma önleminin söz konusu tespit edilen riski nasıl azalttığını yeterince açıkladık;
☐ aynı işleme amaçlarına ulaşmak için daha az riskli alternatifleri değerlendirdiğimizi ve neden bunları seçmediğimizi kanıtladı;
☐ DPIA'mızda atıfta bulunduğumuz tüm ek belgeleri ekledik, örneğin Pirvacy Policy, onay belgeleri;
☐ Veri Koruma Görevlimizin (ilgili olduğu durumlarda) tavsiyelerini ve önerilerini kaydettik ve Veri Koruma Görevlisinin (DPIA) uygun kişiler tarafından imzalanmasını sağladık;
☐ DPIA'yı düzenli olarak veya veri işlemenin niteliğini, kapsamını, bağlamını veya amaçlarını değiştirdiğimizde gözden geçirmek için bir program üzerinde anlaştık ve belgelendirdik;
☐ Azaltamayacağımız yüksek riskler varsa veri koruma otoritesine danıştık .
4. Şeffaflığı nasıl sağlayacaksınız?
Bir muafiyet geçerli olmadığı sürece veri işlemeyle ilgili bilgileri herkese açık hale getirmelisiniz. Orantısız bir çaba gerektirmiyorsa, bu bilgileri doğrudan verilerin ilişkili olduğu kişilere iletmelisiniz.
5. Güvenlik risklerini nasıl azaltacaksınız?
Kişisel veri sızıntısı risklerine ek olarak, model ters çevirme ve üyelik çıkarımı, veri zehirlenmesi ve diğer düşmanca saldırı biçimlerinin risklerini de göz önünde bulundurmalı ve azaltmalısınız.
6. Gereksiz işlemeyi nasıl sınırlayacaksınız?
Yalnızca belirtilen amacınızı yerine getirmek için yeterli olan verileri toplamalısınız. Veriler alakalı olmalı ve gerekli olanla sınırlı olmalıdır .
7. Bireysel hak taleplerine nasıl uyacaksınız?
İnsanların erişim, düzeltme, silme veya diğer bilgi hakları taleplerine yanıt verebilmelisiniz .
8. Yalnızca otomatik kararlar almak için üretken AI kullanacak mısınız?
Eğer öyleyse - ve bunların yasal veya benzer şekilde önemli etkileri varsa (örneğin büyük sağlık teşhisleri) - bireylerin Birleşik Krallık GDPR'nin 22. Maddesi uyarınca daha fazla hakları vardır.
Kaynak
https://ico.org.uk/about-the-ico/media-centre/blog-generative-ai-eight-questions-that-developers-and-users-need-to-ask/
https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/how-do-we-do-a-dpia/#how9
https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-consultation-series-on-generative-ai-and-data-protection/
https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection/
https://www.lexology.com/library/detail.aspx?g=4e8c7db4-8fe3-4ec5-9a22-7fca8f4868ad
