Yapay Zeka ve Veri Koruma Yasalarına Uyum: Kuruluşlar için Bir Kılavuz

Yapay Zeka (YZ) araçlarının kullanımı hem kurumsal hem de kişisel bağlamlarda giderek yaygınlaşmaktadır. YZ araçlarının yelpazesi ve işledikleri bilgi türleri hızla genişlemektedir. 

Bu makalede, kuruluşların veri koruma yasalarına uyum sağlamak için yapay zeka araçlarını kullanırken akıllarında bulundurmaları gereken temel hususlar ele alınmaktadır. 

Birleşik Krallık Veri Koruma Yasaları 

Birleşik Krallık'ın veri koruma çerçevesi aşağıdakilerden oluşmaktadır: 

• AB hukukunun muhafaza edilen versiyonu Genel Veri Koruma Yönetmeliği (AB 2016/679); 

• Bu Veri Koruma Yasası 2018 (DPA 2018); 

• Bu Gizlilik ve Elektronik İletişim (AT Direktifi Yönetmelikleri 2003 (SI 2003/2426) 

Şunu belirtmek önemlidir ki AB'nin Genel Veri Koruma Yönetmeliği (AB 2016/679) ülke dışı etkiye sahiptir ve AB içinde faaliyet gösteren Birleşik Krallık veri kontrolörleri ve işleyicileri için de geçerli olabilir. 

Yapay Zeka Araçları ve Verileri 

Son yıllarda, büyük ölçüde kişisel verilere dayanan yapay zeka araçlarının geliştirilmesine tanık olduk. Örneğin, Birleşik Krallık sakinleri tarafından yaygın olarak kullanılan Amazon'un Alexa'sı, rutin olarak aşağıdakiler de dahil olmak üzere önemli miktarda veri toplamaktadır: 

• Ödeme bilgileri 

• Canlı konum 

• Kişisel verileri içerebilecek iletişim taleplerinin kayıtları 

• Satın alma geçmişi 

• Alışveriş alışkanlıkları 

Benzer şekilde, bir medya, sosyal ve tüketici yapay zeka aracı olan Meltwater, canlı sohbetler, sosyal medya hesapları ve satın alma geçmişleri dahil olmak üzere çeşitli kaynaklardan gelen verileri işleyerek müşteri davranışları hakkında içgörüler üretir. 

YZ araçları hızla geliştikçe, veri toplama işlevlerinin ayrılmaz bir parçası olmaya devam etmektedir. Bazı YZ araçları tarafından toplanan verilerin kişisel verileri, özel kategori verilerini ve potansiyel olarak çocuklarla ilgili verileri içereceği neredeyse kesindir. 

Bu durum göz önünde bulundurulduğunda, kuruluşların veri koruma yasalarına uyum sağlaması çok önemlidir. 

Yapay Zeka Rehberliği 

Bilgi Komiserliği (ICO), yapay zeka ve veri koruma konusunda bir kılavuz hazırlamıştır. "Yapay Zeka Rehberliği") kuruluşların ilgili veri koruma yasalarını YZ'ye uygulandıkları şekilde yorumlamalarına yardımcı olmak. YZ Kılavuzu ayrıca, YZ'nin bireylere yönelik oluşturabileceği riskleri azaltmak için kurumsal ve teknik önlemlere yönelik iyi uygulamalar hakkında tavsiyelerde bulunmaktadır. 

ICO, YZ'yi çeşitli teknolojileri kapsayan standart bir endüstri terimi olarak kabul ederek geniş bir şekilde tanımlamaktadır. YZ'nin önemli bir alanı, büyük veri kümelerinden istatistiksel modeller oluşturmak için hesaplama tekniklerinin kullanılmasını içeren 'makine öğrenimi'dir. Bu modeller daha sonra yeni veriler hakkında tahminler veya sınıflandırmalar yapmak için kullanılır ve YZ'ye olan mevcut ilginin çoğu makine öğrenimi etrafında döner. 

Bu nedenle YZ Kılavuzu, öncelikle makine öğrenimi tabanlı YZ'nin ortaya çıkardığı veri koruma risklerini ve zorluklarını ele almaktadır. Bununla birlikte, diğer YZ biçimlerinin ek veri koruma zorlukları ortaya çıkarabileceğini de kabul etmektedir. 

YZ Kılavuzu Kimler İçin Geçerlidir? 

YZ Kılavuzu iki geniş kitleye yöneliktir: 

1. Uyumluluk odaklı olanlardahil olmak üzere: 

• Veri koruma görevlileri 

• Genel danışman 

• Risk yöneticileri 

• Üst yönetim 

• ICO'nun kendi denetçileri, veri koruma mevzuatı kapsamındaki denetim işlevlerini bilgilendirmek için AI Kılavuzunu kullanacaktır. 

2. Teknoloji uzmanlarıdahil olmak üzere: 

• Makine öğrenimi geliştiricileri ve veri bilimcileri 

• Yazılım geliştiriciler/mühendisler 

• Siber güvenlik ve BT risk yöneticileri 

Bu makale, YZ Kılavuzunun uyum odaklı olanlarla ilgili yönlerine odaklanmaktadır. Ancak, kuruluşların YZ Kılavuzunun tamamını dikkate almaları teşvik edilmektedir. 

YZ Kılavuzunun Temel Unsurları 

YZ Kılavuzu kapsamlı ve ayrıntılıdır. Aşağıda, YZ kullanan kuruluşlar için önemli noktaları vurguluyoruz. 

Yapay zekanın hesap verebilirlik ve yönetişim üzerindeki etkileri nelerdir? 

Kuruluşlar şunları yapmalıdır: 

• İç yapılarını, rol ve sorumluluklarını, eğitim gereksinimlerini, politikalarını ve teşviklerini YZ yönetişim ve risk yönetimi stratejileriyle uyumlu hale getirmelidir. 

• Tasarım ve varsayılan yükümlülükler yoluyla veri korumayı nasıl ele aldıklarını sürekli olarak göstermelidirler. 

• Yönetişim ve risk yönetimi yeteneklerinin yapay zeka kullanımlarıyla orantılı olmasını sağlamak. 

• Veri koruma yasaları kapsamında hesap verebilirliklerini göstermek için bir temel olarak genel bir hesap verebilirlik çerçevesi geliştirin ve bunun üzerine YZ hesap verebilirliğine yaklaşımlarını inşa edin. 

Yapay zekada şeffaflık nasıl sağlanır? 

• Kuruluşların, şeffaflık ilkesine uymak için YZ sistemleri içinde kişisel verileri nasıl işledikleri konusunda şeffaf olmaları gerekmektedir. 

• Kişisel verilerin işlenmesine başlamadan önce, bir kuruluşun kişisel verilerini işlemeyi planladığı bireylere karşı şeffaflık yükümlülüklerini göz önünde bulundurması gerekir. 

• Kuruluş, gizlilik bilgilerine kişisel verilerin işlenme amaçları, bu verilerin saklama süreleri ve paylaşılacağı kuruluşlar hakkında ayrıntıları dahil etmelidir. 

• Veriler doğrudan bireylerden toplanıyorsa, gizlilik bilgileri, bir modeli eğitmek veya bu modeli uygulamak için kullanılmadan önce, toplama sırasında sağlanmalıdır. Veriler başka kaynaklardan toplanmışsa, gizlilik bilgileri en geç bir ay olmak üzere makul bir süre içinde sağlanmalıdır. 

YZ'de yasalara uygunluk nasıl sağlanır? 

• Yasallık ilkesine uymak için bir kuruluşun her bir farklı işleme faaliyetini ayrıştırması, her biri için amacı ve uygun bir yasal dayanağı belirlemesi gerekir. 

• İster yeni bir yapay zeka sistemini eğitmek ister mevcut bir sistemi kullanarak tahminler yapmak için olsun, kişisel veriler her işlendiğinde, kuruluşun bunu yapmak için uygun bir dayanağı olmalıdır. 

Kuruluşların adalet ve istatistiksel doğruluk hakkında bilmesi gerekenler nelerdir? 

• İstatistiksel doğruluk, bir yapay zeka sistemi tarafından üretilen doğru ve yanlış cevapların oranını ifade eder. 

• YZ sistemleri, kişisel verilerin işlenmesinin adalet ilkesine uygun olmasını sağlamak için istatistiksel olarak yeterince doğru olmalıdır. 

• Adillik ilkesine uymak için kuruluşlar, kişisel verilerin bireylerin makul olarak beklediği şekilde ele alınmasını ve üzerlerinde haksız olumsuz etkilere yol açmayacak şekilde ele alınmasını sağlamalıdır. 

• Kuruluşlar, kişisel verileri ilgili bireyler için gereksiz yere zararlı, beklenmedik veya yanıltıcı olacak şekilde işlemekten kaçınmalıdır. Bir YZ sisteminin çıktısının istatistiksel doğruluğunu tutarlı bir şekilde iyileştirmek, adalet ilkesine uyumu sağlamanın bir yoludur. 

Kuruluşlar yapay zekada güvenlik ve veri minimizasyonunu nasıl değerlendirmelidir? 

• Kişisel verileri işlerken, kuruluşlar yetkisiz veya yasadışı işleme, kazara kayıp, imha veya hasara karşı uygun güvenlik seviyelerini sağlamalıdır. 

• Bir kuruluşun benimsediği güvenlik tedbirleri belirli işleme faaliyetlerinden kaynaklanan risklerin seviyesi ve türüyle orantılı olmalıdır. 

• Eğitim verilerinin güvenliğini sağlamak için teknik ekipler kişisel verilerin tüm hareketlerini ve depolanmasını kaydetmeli ve belgelemelidir. Ayrıca, artık gerekli olmayan kişisel verileri içeren tüm ara dosyalar silinmelidir. 

• Yapay zeka sistemlerinin kurum içinde mi, dışarıdan mı yoksa her ikisinin bir kombinasyonuyla mı geliştirildiğine bakılmaksızın, kuruluşlar bunları güvenlik riskleri açısından değerlendirmelidir. 

• Personel, güvenlik risklerini ele almak için gerekli bilgi ve becerilerle donatılmalıdır. 

Kuruluşlar YZ sistemlerinde bireysel hakları nasıl güvence altına alıyor? 

• Veri koruma yasaları, bireylere kişisel verileriyle ilgili çeşitli haklar sağlamaktadır. YZ bağlamında, bu haklar, kişisel verilerin bir YZ sisteminin geliştirilmesi ve konuşlandırılmasında herhangi bir aşamada kullanıldığı her durumda geçerlidir. 

• Örneğin düzeltme hakkı, bir yapay zeka sistemini eğitmek için kullanılan kişisel veriler için geçerli olabilir. Bu verilerin doğruluğunun önemi arttıkça, kuruluşlar bu verilerin doğruluğunu teyit etmek ve gerektiğinde düzeltmek için daha fazla çaba harcamalıdır. 

• Kuruluşlar eğitim verileri dahilindeki kişisel verilerin silinmesine yönelik talepler de alabilirler. Silme hakkı mutlak olmamakla birlikte, veriler yasal bir zorunluluk veya kamu görevi kapsamında işlenmediği sürece bu tür talepler dikkate alınmalıdır. 

• Adaleti ve şeffaflığı sağlamak için kuruluşlar, kişisel verilerinin bir yapay zeka sistemini eğitmek için kullanılması durumunda bireyleri bilgilendirmelidir. Bu bilgi, veri toplama noktasında sağlanmalıdır. 

Bize Ulaşın - Yapay Zeka ve Veri Koruma Avukatları 

Sali Zaher, Ticari Davalar Associate, yapay zeka ve veri koruma ile ilgili anlaşmazlıklarda yardımcı olabilir. Bu konuyla ilgili herhangi bir sorunuz varsa, lütfen iletişime geçin Sali Zaher e-posta yoluyla S.Zaher@rfblegal.co.uk veya telefonla 020 7467 5766.