Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında üretken yapay zekâ sistemlerinin veri toplama, eğitim ve çıktı aşamalarında uyması gereken ilkeleri ele alan bir rehber yayımlamıştır. Rehber; Kurumun otomatik karar verme süreçlerine ilişkin önceki kılavuzunu tamamlamakta ve üretken yapay zekâ araçlarının müşteri yolculuğuna giderek daha çok yerleşmesiyle birlikte veri sorumlularına uygulanabilir bir uyum çerçevesi sunmayı amaçlamaktadır.
Arka Plan ve Kapsam
Rehber; büyük dil modelleri, görsel üretim modelleri ve benzeri temel modellerle ilgili veri işleme faaliyetlerini kapsamakta; sistemin kurum içinde geliştirilmesi, bir sağlayıcıdan lisans alınması veya yönetilen hizmet olarak kullanılması arasında ayrım yapmamaktadır. KVKK kapsamındaki sorumluluğun fiili işleme rolüne göre dağıtıldığını netleştirmekte; müşteri verisi üzerinde ince ayar (fine-tune) yapan veri sorumlusunun bu faaliyet bakımından veri sorumlusu kalmaya devam edeceğini, altta yatan sağlayıcının ise sözleşmesel yapıya bağlı olarak veri işleyen sıfatıyla hareket edebileceğini ifade etmektedir.
Veri Toplama ve Eğitim
Veri toplama aşamasında, rehber KVKK m.5'teki hukuki sebep gerekliliklerinin tam olarak uygulandığını yinelemektedir. Eğitim veri setleri kişisel veri içeriyorsa veri sorumlusu geçerli bir hukuki sebep belirlemek zorundadır; m.5/1 kapsamındaki açık rıza veya m.5/2'deki meşru menfaat gibi koşullardan biri yapılandırılmış bir değerlendirme ile belgelenmelidir. Özel nitelikli kişisel veriler bakımından KVKK m.6'nın dar çerçevesi dışında açık rıza olmaksızın eğitim yapılamaz.
KVKK m.10 ve m.11'deki şeffaflık yükümlülükleri; aydınlatma metinlerinin yapay zekâ eğitiminin kullanımını, kullanılan veri kategorilerini, eğitim amacını ve ilgili kişi haklarını açık biçimde ifade etmesini gerektirmektedir. Rehber, web kazıma (scraping) ile elde edilen verilerin hukuki statüsüne de değinmekte; kamuya açık verilerin tek başına bir hukuki sebep oluşturmadığını, belgelenmiş bir meşru menfaat dengesi testinin, saklama kontrollerinin ve itiraz mekanizmalarının gerekli olduğunu vurgulamaktadır.
Çıktı ve Konuşlandırma
Üretken yapay zekâ sistemleri müşteri süreçlerine entegre edildiğinde, veri sorumlusu ilgili kişilerin KVKK m.11 haklarını kullanabilmesini sağlamalıdır; bu haklar arasında erişim, düzeltme ve tamamen otomatik kararlara itiraz yer almaktadır. Rehber; veri sorumlularından prompt-injection ve çıktı filtreleme kontrollerini devreye alarak model çıktıları aracılığıyla kişisel veri ifşasını önlemelerini, KVKK m.12 güvenlik yükümlülükleriyle uyumlu olay müdahale prosedürlerini sürdürmelerini beklemektedir.
Uyum Kontrol Listesi
Veri sorumlularının; VERBİS kayıtlarını, işleme envanterlerini, aydınlatma metinlerini ve Veri Etki Değerlendirme dokümanlarını üretken yapay zekâ kullanım senaryolarını yansıtacak şekilde güncellemeleri tavsiye edilmektedir. Tedarikçi sözleşmelerinin KVKK rollerini paylaştırmak ve KVKK m.9 kapsamında yurt dışı veri aktarımı gereksinimlerini ele almak için yeniden gözden geçirilmesi gerekmektedir. Ofisimiz; yapay zekâ özelinde uyum programlarının kurulmasında, model-card tarzı şeffaflık materyallerinin hazırlanmasında ve Kişisel Verileri Koruma Kurumu nezdindeki süreçlerde müvekkillere destek olmaktadır.