info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Yapay Zekâ ve Kişisel Veriler: Hukuki Sorumluluklar ve Düzenlemeler

23 Tem 2025
0

1. Giriş

Yapay zekâ (YZ) teknolojileri; büyük veri analizi, yüz tanıma, ses komutları, öneri algoritmaları gibi birçok alanda kişisel verilerin yoğun şekilde işlenmesine neden olmaktadır. Bu durum, kişisel verilerin korunması hakkı açısından ciddi tartışmaları gündeme getirmiştir.
Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gibi düzenlemeler, YZ uygulamalarında veri güvenliği ve kişisel hakların korunması için çerçeve oluşturur. Ancak yapay zekâ, öngörülemez karar mekanizmaları ve otomatik profil oluşturma gibi özellikleriyle mevcut hukuki çerçeveyi zorlamaktadır.

2. Yapay Zekâ ve Kişisel Veri İlişkisi

2.1. Kişisel Veri Nedir?

KVKK m.3’e göre “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilir. Yapay zekâ uygulamaları, kullanıcıların:

  • Kimlik bilgilerini,

  • Konum verilerini,

  • Sosyal medya davranışlarını,

  • Biyometrik verilerini (yüz, parmak izi, ses),
    işleyebilir.

2.2. Yapay Zekâ Tarafından Veri İşleme

YZ algoritmaları, otomatik veri işleme ile kullanıcıların tercihlerini analiz eder, profiller oluşturur ve öngörülerde bulunur. Ancak bu süreçlerde:

  • Kullanıcının açık rızası alınmamış olabilir.

  • Kişisel veriler üçüncü kişilerle paylaşılabilir.

  • Veri anonimleştirilmeden analiz edilebilir.

Bu durum, hem KVKK hem de GDPR kapsamında veri sorumluları için ciddi hukuki sorumluluk doğurur.

3. KVKK Çerçevesinde Yapay Zekâ

3.1. Hukuki Dayanaklar

  • KVKK m.4: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun, belirli ve açık amaçlarla işlenmelidir.

  • KVKK m.5: Açık rıza alınmadan kişisel verilerin işlenmesi kural olarak yasaktır.

  • KVKK m.12: Veri güvenliğini sağlamayan sorumlular hakkında idari para cezası uygulanabilir (2025 yılı için üst sınır 5 milyon TL’yi aşabilmektedir).

3.2. Özel Nitelikli Veriler

YZ uygulamaları, sağlık verisi, biyometrik veri, dini inanç gibi özel nitelikli verileri işlediğinde KVKK m.6 uyarınca daha sıkı tedbirlere tabidir. Aksi durumda hem cezai hem idari sorumluluk doğar.

4. GDPR ve Uluslararası Düzenlemeler

AB Genel Veri Koruma Tüzüğü (GDPR), yapay zekâ için en katı veri koruma standartlarından birini belirler:

  • Madde 22: Otomatik karar alma süreçlerinde, bireyler insan müdahalesi talep etme hakkına sahiptir.

  • “Privacy by Design” İlkesi: Yapay zekâ sistemleri tasarlanırken veri güvenliği en baştan entegre edilmelidir.

  • İhlal Bildirimi: Veri ihlalleri 72 saat içinde ilgili otoriteye bildirilmek zorundadır.

5. Yapay Zekâ ve Hukuki Sorumluluk Tartışmaları

  1. Veri Sorumlusu Kim?
    YZ’yi geliştiren şirket mi, uygulamayı kullanan işletme mi, yoksa platform sağlayıcı mı veri sorumlusu sayılacaktır? KVKK m.3’e göre bu sorumluluk, veriyi işleme amacını belirleyen kişiye aittir.

  2. Anonimleştirme Sorunu:
    Yapay zekâ, anonim verilerden bile yeniden kimlik çıkarma (re-identification) yapabilmektedir. Bu durum KVKK’nın anonim veri istisnasını tartışmalı hale getirir.

  3. Profil Oluşturma ve Ayrımcılık:
    YZ sistemleri, kullanıcılar hakkında otomatik profil oluştururken ayrımcılığa yol açabilecek algoritmik hatalar yapabilir. Bu durum, Anayasa m.10’daki eşitlik ilkesi ve KVKK m.4’teki dürüstlük kuralı ile çelişebilir.

6. Yargıtay ve AİHM Perspektifi

Henüz Türkiye’de yapay zekâ kaynaklı kişisel veri ihlalleri üzerine netleşmiş Yargıtay kararları bulunmamaktadır. Ancak AİHM, kişisel verilerin izinsiz toplanması ve gözetim teknolojilerinin kullanımında özel hayatın gizliliği (AİHS m.8) ilkesine dikkat çekmektedir.

7. Yapay Zekâ Uygulamaları İçin Öneriler

  • Açık Rıza Yönetimi: Kullanıcıların bilgilendirilmiş onayı olmadan veri işlenmemelidir.

  • Veri Minimizasyonu: YZ algoritmaları yalnızca gerekli olan veriyi toplamalıdır.

  • Bağımsız Denetim: YZ sistemleri, düzenli olarak siber güvenlik testlerinden geçmelidir.

  • Anonimleştirme ve Şifreleme: Hassas veriler güvenli şekilde işlenmeli ve saklanmalıdır.

  • Sözleşme Düzenlemeleri: YZ platformları, veri sorumluluklarını açıkça belirten sözleşmeler imzalamalıdır.

8. Sonuç

Yapay zekâ, kişisel verilerin işlenmesi konusunda klasik veri koruma kurallarını zorlayan bir teknoloji olarak öne çıkmaktadır. KVKK ve GDPR, temel bir çerçeve sunmakla birlikte, algoritmik şeffaflık, sorumluluk zinciri ve otomatik karar alma gibi konularda yeni hukuki düzenlemelere ihtiyaç vardır.
Türkiye’de Kişisel Verileri Koruma Kurumu (KVKK Kurulu), önümüzdeki yıllarda YZ’ye özel rehberler ve düzenlemeler yayımlayabilir.

About Post Author

Leave a Reply

Call Now Button