Yapay zekâ sistemleri, veri ile beslenen ve veri üzerinden öğrenen teknolojilerdir. Bu durum, yapay zekâyı hem büyük bir fırsat hem de ciddi bir hukuki risk alanı haline getirmektedir. Özellikle kişisel verilerin işlenmesi, saklanması ve analiz edilmesi sürecinde ortaya çıkan veri sızıntıları, yalnızca idari para cezası meselesi değil; aynı zamanda ceza hukuku boyutu olan bir sorumluluk alanıdır.
Günümüzde veri sızıntıları yalnızca klasik “hack” vakalarıyla sınırlı değildir. Yapay zekâ modellerinin yanlış yapılandırılması, eğitim verisinin hukuka aykırı elde edilmesi, çalışanların dikkatsizliği veya sistem açığı gibi birçok faktör, veri ihlali riskini doğurabilmektedir. Bu yazıda, yapay zekâ ile bağlantılı veri sızıntılarının ceza hukuku bakımından nasıl değerlendirildiğini; Türk Ceza Kanunu, KVKK ve uluslararası düzenlemeler çerçevesinde detaylı şekilde inceleyeceğiz.
Veri Sızıntısı Nedir? Yapay Zekâ Bağlamında Değerlendirme
Veri sızıntısı, hukuka aykırı olarak kişisel verilerin üçüncü kişiler tarafından ele geçirilmesi, ifşa edilmesi veya yetkisiz şekilde erişilebilir hale gelmesidir.
Yapay zekâ bağlamında veri sızıntısı şu şekillerde ortaya çıkabilir:
- AI modelinin eğitiminde kullanılan verilerin izinsiz paylaşılması
- Chatbot sistemlerinde kullanıcı verilerinin başka kullanıcılara görünmesi
- Bulut tabanlı AI sistemlerinde güvenlik açığı
- API entegrasyonları nedeniyle veri dışa akışı
- Prompt injection veya model extraction saldırıları
Bu noktada hukuki değerlendirme yalnızca “veri gitti mi?” sorusuyla sınırlı değildir. Aynı zamanda verinin niteliği, işlenme amacı, kast unsuru ve güvenlik önlemlerinin yeterliliği de önem taşır.
Türk Ceza Kanunu’nda Veri Suçları
Yapay zekâ ile bağlantılı veri sızıntılarında temel referans noktası, 5237 sayılı Türk Ceza Kanunu’dur. Özellikle 135 ila 140. maddeler arası hükümler kritik önemdedir.
Kişisel Verilerin Kaydedilmesi (TCK m.135)
Hukuka aykırı olarak kişisel verilerin kaydedilmesi suçtur. Eğer bir AI sistemi, hukuka aykırı şekilde elde edilmiş verilerle eğitilmişse, burada suçun oluşup oluşmadığı tartışma konusu olabilir.
Örneğin:
Bir şirket, internetten scraping yöntemiyle topladığı kişisel verileri izinsiz şekilde AI modeline yüklerse, bu durum TCK 135 kapsamında değerlendirilebilir.
Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (TCK m.136)
Bu madde, veri sızıntılarında en sık uygulanan hükümdür. Kişisel verileri hukuka aykırı olarak başkasına veren, yayan veya ele geçiren kişi 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
Yapay zekâ bağlamında şu durumlar örnek verilebilir:
- AI sisteminin yanlış yapılandırılması nedeniyle müşteri verilerinin ifşa edilmesi
- İçerideki bir çalışanın model çıktıları üzerinden veri sızdırması
- Güvenlik açığının bilinmesine rağmen önlem alınmaması
Eğer veri özel nitelikli kişisel veri ise (sağlık, biyometrik veri vb.) ceza daha ağır değerlendirilir.
Verileri Yok Etmeme (TCK m.138)
Kanuni süresi dolmasına rağmen verilerin silinmemesi de suçtur. AI sistemlerinde “veri minimizasyonu” ilkesi ihlal edilirse, yani gereksiz veri tutulmaya devam edilirse, bu madde devreye girebilir.
KVKK ve Ceza Hukuku İlişkisi
6698 sayılı Kişisel Verilerin Korunması Kanunu esasen idari para cezaları öngörür. Ancak KVKK ihlali aynı zamanda TCK kapsamında suç teşkil edebilir.
Örneğin:
- Veri güvenliğine ilişkin teknik ve idari tedbirlerin alınmaması
- Açık rıza olmaksızın veri işlenmesi
- Veri sorumlusunun ihlali Kurul’a bildirmemesi
KVKK m.12 gereği veri sorumluları, veri güvenliğini sağlamakla yükümlüdür. Eğer bir yapay zekâ sistemi yeterli siber güvenlik önlemi olmadan kullanılırsa ve bu nedenle veri sızıntısı yaşanırsa, idari yaptırımın yanında ceza sorumluluğu da gündeme gelebilir.
Yapay Zekâ Sistemlerinde Kusur ve Kast Unsuru
Ceza hukukunda sorumluluk için kusur şarttır. Bu nedenle her veri sızıntısı otomatik olarak ceza sorumluluğu doğurmaz. Değerlendirme şu unsurlar üzerinden yapılır:
- Bilinçli taksir var mı?
- Güvenlik açığı biliniyor muydu?
- Önlem alınması mümkün müydü?
- Kasten mi hareket edildi?
Örneğin bir şirket, AI modelinin kullanıcı verilerini logladığını biliyor ancak bunu düzeltmiyorsa, burada bilinçli taksir veya olası kast tartışması yapılabilir.
Yapay Zekâ Kaynaklı Sızıntılarda Kim Sorumlu?
En kritik meselelerden biri sorumluluğun kime ait olduğudur.
Olası sorumlular şunlar olabilir:
- Yazılım geliştirici
- Veri sorumlusu şirket
- Sistem yöneticisi
- Üçüncü taraf hizmet sağlayıcı
- Çalışan
Ceza hukukunda tüzel kişilere doğrudan hapis cezası verilmez; ancak güvenlik tedbirleri uygulanabilir. Gerçek kişiler ise fiilleri oranında sorumlu tutulur.
Otonom Sistemler ve Ceza Sorumluluğu
Yapay zekâ sistemleri otonom karar verebilir. Ancak mevcut hukuk sisteminde yapay zekânın cezai ehliyeti yoktur. Dolayısıyla sorumluluk insanlara yüklenir.
Bu noktada tartışma şudur:
AI sistemi öngörülemeyen şekilde veri sızdırdıysa, geliştirici sorumlu tutulabilir mi?
Genel yaklaşım, öngörülebilirlik ve kontrol kriterine dayanır. Eğer risk makul şekilde öngörülebilir ve önlenebilir idiyse, sorumluluk doğabilir.
Deepfake, Model Extraction ve Ceza Hukuku
Yapay zekâ ile veri sızıntısı yalnızca “veri çalındı” şeklinde olmaz.
- Deepfake ile kişisel verilerin manipülasyonu
- Model extraction ile eğitim verisinin geri çıkarılması
- Prompt injection ile gizli bilgilerin ifşa edilmesi
Bu tür saldırılar hem bilişim suçları hem de kişisel verilerin korunmasına ilişkin suçlar kapsamında değerlendirilebilir.
Uluslararası Boyut ve AI Act
Avrupa Birliği’nin kabul ettiği Artificial Intelligence Act (AI Act), yüksek riskli AI sistemlerinde sıkı güvenlik ve veri yönetişimi yükümlülükleri getirmektedir.
AI Act kapsamında:
- Veri yönetişimi sistemi zorunluluğu
- Risk değerlendirmesi
- Şeffaflık yükümlülüğü
- Güvenlik testleri
Bu yükümlülüklerin ihlali, AB içinde ciddi para cezalarına neden olabilir. Türk şirketleri AB pazarında faaliyet gösteriyorsa dolaylı olarak bu düzenlemelere tabidir.
Ayrıca General Data Protection Regulation (GDPR) kapsamında veri ihlallerinin 72 saat içinde bildirilmesi zorunludur.
Sağlık, Finans ve Kamu Alanında Risk
Yapay zekâ sistemleri özellikle şu sektörlerde daha yüksek ceza riski taşır:
- Sağlık (hasta verileri)
- Finans (müşteri finansal verileri)
- Kamu (nüfus ve biyometrik veriler)
Özel nitelikli kişisel verilerin sızması durumunda cezalar ağırlaşır ve kamu güvenliği boyutu da devreye girebilir.
Şirketler İçin Cezai Riskten Korunma Stratejileri
Cezai sorumluluk riskini azaltmak için:
- AI risk analizi yapılmalı
- Veri minimizasyonu uygulanmalı
- Erişim kontrolleri güçlendirilmeli
- Log kayıtları düzenli denetlenmeli
- Çalışanlara eğitim verilmeli
- Hukuki uygunluk denetimi yapılmalı
Yapay zekâ sistemleri “teknik bir araç” olarak görülmemeli; hukuki risk unsuru olarak da değerlendirilmelidir.
Yargı Kararları ve Gelecek Perspektifi
Türkiye’de doğrudan “AI kaynaklı veri sızıntısı” konulu emsal kararlar henüz sınırlıdır. Ancak bilişim suçlarına ilişkin içtihatlar, AI vakalarında da kıyasen uygulanmaktadır.
Gelecekte şu tartışmaların artması beklenmektedir:
- Yapay zekâya sınırlı hukuki statü verilmesi
- Ürün sorumluluğu rejiminin genişletilmesi
- Algoritmik şeffaflık zorunluluğu
- Zorunlu siber güvenlik sertifikasyonu
Hukuki Değerlendirme ve Genel Çerçeve
Yapay zekâ ile veri sızıntısı, yalnızca teknik bir güvenlik açığı değil; ceza hukuku açısından ciddi sonuçlar doğurabilecek bir ihlaldir. TCK hükümleri, KVKK yükümlülükleri ve uluslararası düzenlemeler birlikte değerlendirildiğinde; veri güvenliği artık şirketler için bir “uyum meselesi” değil, aynı zamanda bir “cezai risk alanı”dır. Yapay zekâ sistemlerinin hızla yaygınlaşması, veri işleme hacmini artırmakta ve ihlal riskini büyütmektedir. Bu nedenle şirketlerin yalnızca teknik değil, hukuki risk yönetimi perspektifiyle hareket etmesi gerekmektedir.
Önümüzdeki dönemde yapay zekâ kaynaklı veri sızıntılarının yargı kararlarına daha fazla konu olacağı ve ceza hukukunun bu alanda daha net kriterler geliştireceği öngörülmektedir. Bu süreçte proaktif uyum politikaları geliştiren kurumlar, cezai riskten önemli ölçüde korunacaktır.