Artık herkes “bilmeden de olsa” yapay zeka kullanıyor. Bu kullanım, söz konusu şirketler, kurumlar ve işletmeler olduğunda ise yasal düzenlemeler, “ne kullandığımızı bilmemiz gerektiğini” işaret ediyor.
Kurum ve şirketlerin işe alım süreçleri ve personel adaylarını seçmek için kullandığı üçüncü parti yazılım ve platformlar, adayların yetkinlik değerlendirmesi için yapılan testler, çalışanların performansını ölçen yazılımlar, ofis asistan yazılımları, müşteri yazılımları, sohbet robotları, kişiselleştirilmiş öneriler için kullanılan yazılımlar, sahtecilik ve dolandırıcılık tespiti için kullanılan yazılımların neredeyse hepsinde artık yapay zeka alt yapısı var.
Bu yazılımların kullanımında hukuki riskleri azaltmak ve gereklilikleri yerine getirmek için dikkat edilmesi gereken önemli noktalar mevcut.
Eğitim ve İlkeler Önemli
Öncelikle şirketlerdeki tüm departmanların, yapay zeka ile ilgili temel bilgi sahibi olması gerekir, çünkü yapay zekalı yazılımları, sadece onların işleyişini bilen bilgi işlem ve teknik departmanların kullanımında değil. İnsan kaynakları, muhasebe, hukuk, satış ve pazarlama gibi departmanlar da sıklıkla yapay zekalı yazılım kullanıyor. Bu nedenle çalışanların ve “özellikle yazılımları kullanacak olan çalışanların” artık yapay zeka ile ilgili temel bilgi sağlayacak eğitimleri almaları gerekiyor.
Temel bilgiyi edindikten sonra, kurumun kendi geliştirdiği veya üçüncü bir parti geliştiriciden hizmet şeklinde aldığı yazılımın 6698 Sayılı Kişisel Verilerin Korunması Kanunun (“KVKK”) 4. maddesindeki ilkelere uygunluğunun değerlendirilmesi gerekir. Veriler işlenirken hukuka uygunluk, dürüstlük, ölçülülük, hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ve veri güvenliği ilkelerine uygunluk değerlendirmesinin de yapılması gerekir. Özellikle minimizasyon ve ölçülülük ilkesi gereğince, yazılım amacını daha az veri ile yerine getirebiliyorsa, gereğinden fazla veri işlenmediğinden emin olmak önemli bir nokta.
Müşteriniz gerçek bir danışman yerine bir sohbet robotu ile mi konuşuyor? Öyleyse, bunu mutlaka müşterilerinize bildirmelisiniz. Aynı şekilde, KVKK 10. madde gereğince hazırlanan aydınlatma metinlerinde de yapay zekalı yazılımın hangi verileri topladığı ve hangi amaçlarla işlediği konusunda şeffaf olunması gerekiyor. Ne yazık ki uygulamada, aydınlatma metinlerinde yapay zekalı yazılım kullanıldığı ve veri toplama yöntemi bilgisine nadiren rastlıyoruz.
KVKK 11. maddede ilgili kişinin hakları arasında “İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” sayılıyor. Uygulamada ise genellikle kurum ve şirketler, yapay zekalı yazılım ile değerlendirmeye tuttuğu çalışan adayına, “size sunduğumuz testte yaptığınız kuleden hareketle yazılımımız, bu iş için sabrınız olmadığı sonucunu çıkardı” gibi bir açıklama yapmıyor.
İnsan Müdahalesi Sağlanmalı
Kişilerin durumunu etkileyen “karar alma süreçlerinde” mutlaka insan müdahalesi tanımlanması belki de en önemli nokta olabilir. Bir kişinin işe alınması, işten çıkarılması, terfi ettirilmesi, prim verilmesi, hukuki statüsü veya sağlığı ile ilgili bir işlem yapılması gibi durumlarda, yapay zekanın sadece bir asistan olması ve kararların “gerçek insanlar” tarafından verilmesi gerekir.
Size yapay zeka yazılımı sağlayan taraflar, bu yazıda yazdıklarımız konusunda bilgi sahibi değilse, aldığınız hizmeti tekrar değerlendirmelisiniz. Hizmet sağlayıcılarla yapılan sözleşmelerin yeterli veri güvenliği hükümleri içermesi, yapay zekalı yazılımın veri koruma ilkelerine uygunluğu konusunda gerekli bilgileri sağlaması gerekir. Aynı zamanda, belirli aralıklarla veri güvenliği, risk analizi ve etki değerlendirme testlerinin hizmet alan taraflara sunulması için gerekli hükümlerin de sözleşmelerde yer alması çok önemli.
Şu günlerde biraz da geri planda kalan önemli bir konuda, yapay zekanın eğitilmesi. Kullandığınız yazılımda sağladığınız veriler, hizmet sağlayıcı tarafından tüm müşterilerine sunduğu modeli eğitmek için kullanılıyor olabilir. Bu durum, kurumunuzun ya da şirketinizin tercihine kalmalıdır. “Sağlanan veriler modeli eğitmekte kullanılacak mı, bu veriler sadece kurum-içi kullanılan modeli eğitmek için mi kullanılacak, yoksa yapay zekalı yazılım sentetik veriler tarafından mı eğitilecek?” gibi sorular mutlaka geliştiricilere sorulmalıdır.
Daha detaylı bilgi için Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan YAPAY ZEK ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER rehberine göz atabilirsiniz.
(Yazıyla ilgili görüş ve düşüncelerinizi [email protected] adresine göndererek yazarımızla paylaşabilirsiniz.)