Yapay zekâ sistemlerinin performansı, büyük ölçüde eğitim sürecinde kullanılan veri setlerinin kalitesine bağlıdır. Makine öğrenmesi ve derin öğrenme modelleri; milyonlarca hatta milyarlarca veri örneği üzerinden eğitilir. Ancak bu veriler çoğu zaman kişisel veri içerebilir.Bu noktada hukuki soru şudur: Yapay zekâ eğitimi sırasında kişisel verilerin kullanımı hangi hukuki çerçeveye tabidir?
Türkiye’de kişisel veri işleme faaliyetleri Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında düzenlenmektedir. AI model eğitimi süreci de veri işleme faaliyeti olarak değerlendirilir.Bu yazıda yapay zekâ eğitiminde veri işleme hukukunu; hukuka uygunluk şartları, anonimleştirme, açık rıza ve uluslararası boyutlarıyla ele alıyoruz.
AI Eğitim Verisi Nedir?
Eğitim verisi; bir yapay zekâ modelinin öğrenmesi için kullanılan veri setidir. Bu veriler:
- Metinler
- Görseller
- Ses kayıtları
- Video içerikler
- Kullanıcı davranış kayıtları
- Sağlık veya finans verileri
olabilir.Eğer bu veriler belirli veya belirlenebilir bir gerçek kişiye aitse, kişisel veri olarak kabul edilir.
AI Eğitimi Veri İşleme Faaliyeti midir?
KVKK’ya göre kişisel verinin:
- Toplanması
- Kaydedilmesi
- Depolanması
- Analiz edilmesi
- Sınıflandırılması
- Kullanılması
veri işleme faaliyeti sayılır.Yapay zekâ model eğitimi bu faaliyetlerin birçoğunu içerdiği için açıkça veri işleme kapsamındadır.
Hukuka Uygunluk Dayanakları
AI eğitimi sırasında kişisel veri işleniyorsa hukuka uygunluk şartlarından biri bulunmalıdır.
Başlıca dayanaklar:
- Açık rıza
- Sözleşmenin kurulması veya ifası
- Hukuki yükümlülük
- Meşru menfaat
Örneğin bir müşteri destek sisteminin geçmiş çağrı kayıtları üzerinden eğitilmesi, meşru menfaat kapsamında değerlendirilebilir. Ancak veri yoğun ve kapsamlı analiz içeriyorsa açık rıza daha güvenli bir dayanak olabilir.
Açık Rıza Gereken Durumlar
Özellikle şu durumlarda açık rıza önem kazanır:
- Eğitim verisi özel nitelikli veri içeriyorsa
- Veri model geliştirme amacıyla üçüncü taraflara aktarılıyorsa
- Kullanıcı verisi beklenmedik şekilde yeniden işleniyorsa
- Profil çıkarma yoğunluğu varsa
Rıza, belirli ve bilgilendirmeye dayalı olmalıdır.
Özel Nitelikli Veriler
Sağlık verileri, biyometrik veriler ve genetik bilgiler özel nitelikli kişisel veri olarak kabul edilir.
Bu verilerin AI eğitiminde kullanılması durumunda:
- Açık rıza
veya - Kanuni istisna
gerekir.Özellikle sağlık alanında geliştirilen teşhis algoritmalarında veri güvenliği yükümlülüğü daha da ağırlaşır.
Anonimleştirme ve AI Eğitimi
Eğer veri anonim hale getirilmişse KVKK kapsamı dışında kalır.
Ancak anonimleştirmenin:
- Geri döndürülemez olması
- Kişi ile ilişkilendirilememesi
gerekir.
AI modellerinde anonimleştirme zor olabilir; çünkü model dolaylı olarak yeniden kimliklendirme riski taşıyabilir.Bu nedenle anonimleştirme teknik olarak titizlikle yapılmalıdır.
Eğitim Verisinin Saklama Süresi
KVKK’ya göre veriler, işlendikleri amaç için gerekli olan süre kadar saklanmalıdır.
AI eğitiminde sık yapılan hata:
- Eski verilerin süresiz saklanması
- Eğitim tamamlandıktan sonra verinin silinmemesi
Bu durum hukuka aykırılık oluşturabilir.
Yurt Dışı Veri Aktarımı
Birçok AI modeli bulut altyapısında eğitilir. Eğer eğitim verisi yurt dışına aktarılıyorsa, KVKK kapsamında ek şartlar aranır.
Yurt dışı aktarım için:
- Açık rıza
veya - Yeterli koruma bulunan ülke
- Taahhütname
gibi mekanizmalar gerekir.Özellikle global AI servis sağlayıcıları kullanıldığında bu husus dikkatle değerlendirilmelidir.
Telif ve Veri Kaynağı Sorunu
AI eğitimi yalnızca veri koruma değil; telif hukuku açısından da risk barındırır.
Kamuya açık verilerin kullanılması, her zaman serbest olduğu anlamına gelmez. Eğitim verisinin kaynağı hukuka uygun olmalıdır.
Bu noktada Fikir ve Sanat Eserleri Kanunu da devreye girebilir.
Veri Güvenliği Yükümlülüğü
KVKK m.12 uyarınca veri sorumlusu, kişisel verilerin güvenliğini sağlamakla yükümlüdür.
AI eğitim sürecinde riskler:
- Veri sızıntısı
- Yetkisiz erişim
- Eğitim verisinin üçüncü kişilerce ele geçirilmesi
- Model üzerinden veri çıkarımı
şeklinde ortaya çıkabilir.Teknik ve idari tedbirlerin alınması zorunludur.
Uluslararası Standartlar
General Data Protection Regulation (GDPR), veri minimizasyonu ve otomatik karar süreçlerine ilişkin daha detaylı hükümler içerir.
AB ile çalışan Türk şirketleri için AI eğitim süreçleri GDPR standartlarıyla da uyumlu olmalıdır.
Veri Etki Analizi (DPIA) Gerekliliği
Yüksek riskli AI projelerinde veri etki analizi yapılması önerilir.
Bu analiz:
- İşlenen veri türlerini
- Risk seviyesini
- Güvenlik önlemlerini
- Olası hak ihlallerini
değerlendirir.Bu yaklaşım hukuki riskleri önceden azaltmaya yardımcı olur.
Şirketler İçin Uyum Stratejisi
AI eğitimi sürecinde şirketlerin:
- Veri envanteri oluşturması
- Hukuki dayanağı belirlemesi
- Aydınlatma metnini güncellemesi
- Açık rıza gerekiyorsa alması
- Anonimleştirme süreçlerini belgeleyerek uygulaması
- Saklama süresini belirlemesi
- Güvenlik testleri yapması
gereklidir.
Veri Odaklı İnovasyon ve Hukuki Denge
Yapay zekâ eğitimi, veri olmadan mümkün değildir. Ancak veri kullanımı sınırsız değildir.
Bugün için temel ilkeler şunlardır:
- AI eğitimi veri işleme faaliyetidir.
- KVKK hükümleri uygulanır.
- Hukuka uygunluk dayanağı gereklidir.
- Özel nitelikli verilerde daha sıkı kurallar geçerlidir.
- Anonimleştirme dikkatle yapılmalıdır.
- Yurt dışı aktarım kontrol edilmelidir.
- Veri güvenliği zorunludur.
Yapay zekâ eğitiminde veri işleme hukuku, teknolojik gelişmenin en kritik sınırlarından biridir. İnovasyon ile temel haklar arasındaki dengeyi kurmak, sürdürülebilir ve güvenli AI ekosisteminin temelini oluşturur.
