Yapay zekâ sistemleri çoğu zaman kişisel veri işleyerek çalışır. Bu veriler müşteri davranışları, çalışan performans bilgileri, sağlık verileri, konum verileri veya biyometrik veriler olabilir. Türkiye’de kişisel veri işleme faaliyetleri Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında düzenlenmiştir.
AI projelerinde en kritik hukuki konulardan biri açık rıza meselesidir. Özellikle otomatik karar verme, profil çıkarma ve üretken yapay zekâ uygulamalarında açık rızanın nasıl alınacağı ve nasıl yönetileceği büyük önem taşır.
Bu yazıda AI sistemlerinde açık rızanın hukuki niteliğini, nasıl alınması gerektiğini ve uygulamada dikkat edilmesi gereken noktaları ayrıntılı şekilde ele alıyoruz.
Açık Rıza Nedir?
KVKK’ya göre açık rıza;
- Belirli bir konuya ilişkin,
- Bilgilendirmeye dayanan,
- Özgür iradeyle açıklanan
onaydır.
Dolayısıyla açık rıza:
- Genel ve belirsiz olamaz
- Zorunlu hizmet şartına bağlanamaz
- Önceden işaretli kutucuklarla alınamaz
AI sistemlerinde rızanın geçerli sayılabilmesi için bu unsurların tamamı sağlanmalıdır.
AI Sistemlerinde Açık Rıza Ne Zaman Gereklidir?
Her veri işleme faaliyeti açık rıza gerektirmez. KVKK’da bazı hukuka uygunluk sebepleri vardır (sözleşme ifası, hukuki yükümlülük, meşru menfaat gibi).
Ancak AI sistemlerinde açık rıza özellikle şu durumlarda önemlidir:
- Özel nitelikli kişisel veri işleniyorsa
- Profil çıkarma yapılıyorsa
- Otomatik karar birey üzerinde ciddi etki doğuruyors
- Pazarlama ve davranış analizi yapılıyorsa
- Eğitim verisi kişisel veri içeriyorsa
Bu tür durumlarda açık rıza en güvenli hukuki dayanak haline gelir.
Açık Rıza Metni Nasıl Olmalıdır?
AI projelerinde açık rıza metni hazırlanırken şu unsurlar açıkça belirtilmelidir:
- Hangi veriler işlenecek?
- Hangi amaçla işlenecek?
- Otomatik karar süreci var mı?
- Veri yurt dışına aktarılacak mı?
- Ne kadar süre saklanacak?
Belirsiz ifadeler (örneğin “verileriniz çeşitli amaçlarla işlenebilir”) hukuken geçersiz sayılabilir.
Otomatik Karar Verme ve Rıza
AI sistemleri otomatik karar veriyorsa, ilgili kişinin bu süreci anlaması gerekir.
Örneğin:
- Kredi başvurusu otomatik reddedilecek mi?
- İşe alım algoritması skor üretecek mi?
- Sigorta primi otomatik hesaplanacak mı?
Bu tür durumlarda yalnızca genel veri işleme rızası yeterli olmayabilir. Kararın otomatik niteliği ayrıca açıklanmalıdır.
Özel Nitelikli Verilerde Açık Rıza
Sağlık verileri, biyometrik veriler ve genetik veriler özel nitelikli veri olarak kabul edilir.
Yapay zekâ destekli:
- Yüz tanıma sistemleri
- Sağlık teşhis algoritmaları
- Biyometrik güvenlik çözümleri
bu tür verileri işliyorsa açık rıza daha sıkı şartlara tabidir.
Rıza:
- Yazılı veya elektronik ortamda
- Açık ve anlaşılır
- Belirli bir işleme faaliyetini kapsayacak şekilde
alınmalıdır.
Açık Rıza Nasıl Alınmalı?
Uygulamada AI sistemlerinde açık rıza şu yöntemlerle alınabilir:
- Dijital onay kutusu (önceden işaretli olmamalı)
- Elektronik imza
- Mobil uygulama içi açık onay ekranı
- Sözleşme eki olarak ayrı rıza metni
Rıza metni ile aydınlatma metni birbirinden ayrı olmalıdır.
Rızanın Geri Alınması
KVKK’ya göre açık rıza her zaman geri alınabilir.
AI sistemlerinde rıza geri alındığında:
- Veri işleme durdurulmalı
- Veri silinmeli veya anonimleştirilmeli
- Profil çıkarma faaliyetleri sonlandırılmalıdır
Bu nedenle teknik altyapının rıza yönetimine uygun tasarlanması gerekir.
Yurt Dışına Veri Aktarımı
Birçok AI sistemi bulut altyapısı kullanır. Eğer veri yurt dışına aktarılıyorsa açık rıza daha da kritik hale gelir.
Yurt dışına veri aktarımı için:
- Açık rıza
veya - Yeterli koruma bulunan ülke
- Taahhütname
gibi şartlar aranır.AI servis sağlayıcısı yurt dışındaysa bu husus mutlaka rıza metninde belirtilmelidir.
Rıza Yönetiminde Teknik Gereklilikler
AI projelerinde yalnızca hukuki metin yeterli değildir. Teknik sistem de rıza yönetimini desteklemelidir.
Gereken teknik unsurlar:
- Rıza kayıtlarının loglanması
- Zaman damgası tutulması
- Rıza versiyon takibi
- Geri çekme mekanizması
- Veri silme otomasyonu
Bu unsurlar yoksa hukuki uyum eksik kalır.
Meşru Menfaat mi, Açık Rıza mı?
Bazı AI projelerinde şirketler “meşru menfaat” gerekçesine dayanmayı tercih eder. Ancak meşru menfaat ile açık rıza arasında denge kurulmalıdır.
Eğer veri işleme:
- Beklenmedik bir analiz içeriyorsa
- Birey üzerinde ciddi sonuç doğuruyorsa
- Profil çıkarma yoğunluğu yüksekse
açık rıza daha güvenli bir dayanak olacaktır.
Açık Rızada Sık Yapılan Hatalar
AI projelerinde sık karşılaşılan hatalar şunlardır:
- Tek metin içinde hem aydınlatma hem rıza almak
- Genel ve soyut ifadeler kullanmak
- Önceden işaretli kutucuklar kullanmak
- Rıza olmadan eğitim verisi toplamak
- Geri alma mekanizması oluşturmamak
Bu hatalar idari para cezası riskini artırır.
Uluslararası Boyut
General Data Protection Regulation (GDPR) otomatik karar verme ve açık rıza konusunda daha ayrıntılı düzenlemeler içerir.
AB ile çalışan Türk şirketleri için KVKK uyumu tek başına yeterli olmayabilir; GDPR standartları da dikkate alınmalıdır.
AI Tasarımında “Privacy by Design” Yaklaşımı
Açık rıza yalnızca hukuki bir formalite değildir. AI sistemleri tasarlanırken:
- Veri minimizasyonu
- Amaç sınırlılığı
- Varsayılan gizlilik ayarları
- Rıza kontrol paneli
gibi unsurlar en baştan planlanmalıdır.Bu yaklaşım “privacy by design” olarak adlandırılır ve gelecekte daha da önem kazanacaktır.
Açık Rıza ve Yapay Zekâ Arasında Hukuki Denge
AI sistemlerinde açık rıza, bireyin veri üzerindeki kontrolünü koruyan temel araçtır. Ancak rıza; gerçek anlamda özgür, bilinçli ve spesifik olmalıdır.
Bugün için temel ilkeler şunlardır:
- Açık rıza belirli ve anlaşılır olmalıdır.
- Otomatik karar süreçleri ayrıca açıklanmalıdır.
- Özel nitelikli verilerde daha sıkı şartlar uygulanır.
- Rıza her zaman geri alınabilir.
- Teknik altyapı rıza yönetimini desteklemelidir.
Yapay zekâ projelerinde hukuki riskleri azaltmanın en önemli yolu, açık rızayı yalnızca bir metin değil; bütüncül bir veri yönetişimi süreci olarak ele almaktır.
