Av. Ege Oğuzhan KAPICI

Çağımızda teknolojik gelişmeler, baş döndürücü bir hızla gerçekleşiyor. Yapay zeka alanında da son yıllarda önemli atılımlar gerçekleştirildi. Uluslararası şirketler, büyük veri kümeleri, devasa yatırımlarla önemli yeniliklere imza atmaktadırlar. Bu kapsamda yapay zeka teknolojilerine dayalı ürün üretmek isteyen tüm şirketlerin ‘veri toplama’ ve ‘veri etiketleme’ işlemlerini gerçekleştirmeleri gerekmekte. Bu açıdan şirketleri dünyadaki değişik bölgelere göre birtakım hukuki süreçler beklemektedir:

Avrupa Birliği’nde kişisel veri işleme faaliyetleri Genel Veri Koruma Tüzüğü (GDPR) ile sıkı bir biçimde düzenlenmiştir. Veri sahiplerine bu düzenleme ile erişim, düzeltme, silme (“unutulma hakkı”), işlemeyi kısıtlama, itiraz ve veri taşınabilirliği gibi haklar tanınmıştır. Yapay zeka şirketleri veri toplama aşamasında kişisel verileri ‘Anonimleştirme’ veya ‘Pseudonymeştirme’ tekniklerini kullanarak anonim hale getirmektedirler. GDPR’ye göre anonim hale getirilmiş veri artık kişisel veri sayılmaz ve bu sayede pek çok kısıtlamadan muaf olur. Verileri tam anonimleştirmenin zorluğu nedeniyle “pseudonymized” (takma adlı hale getirilmiş) verilerle çalışmak pratik bir ara çözüm olabilmektedir; yine de bu tür veriler GDPR kapsamında kalmaya devam eder ve ek teknik/organizasyonel tedbirler gerektirir.

Veri etiketleme; makine öğrenimi projelerinde ham veriye anlamlı etiketler eklenmesi sürecidir ve genellikle dış kaynak kullanımı ile yapılır (freelancer’lar, etiketleme platformları veya taşeron firmalar aracılığıyla). AB hukukunda, eğer etiketlenen veri kişisel veri ise, etiketleme hizmetini sağlayan şirket bir “veri işleyen” konumundadır ve veri sorumlusu konumundaki yapay zeka şirketiyle aralarında GDPR’nin gerektirdiği unsurları barındıran bir sözleşme bulunması şarttır. Bu sözleşme, verilerin sadece talimat doğrultusunda işleneceği, gizli tutulacağı, alt işleyici kullanımı varsa izne tabi olacağı, iş bitiminde silineceği gibi maddeleri içerir. Şirket eğer Avrupa Birliği’nde ise veya AB verisiyle bir etiketleme projesi yürütüyorsa, şirket ile etiketleyiciler arasında bir Veri İşleme Sözleşmesi (Data Processing Agreement, DPA) akdedilmesi gerekmektedir.

Birleşik Krallık, 2018 yılında yürürlüğe giren Veri Koruma Yasası ve GDPR’nın kendi hukukuna uyarlanmış versiyonu olan UK GDPR ile kişisel veri korumasını sürdürmektedir. Brexit sonrasında AB GDPR doğrudan uygulanmazken, büyük ölçüde aynı kurallar İngiliz mevzuatında korunmuştur. UK GDPR, AB GDPR ile içerik olarak çok benzerdir: Veri işleme ilkeleri, birey hakları, veri sorumlusu ve işleyenin yükümlülükleri neredeyse aynıdır. İngiliz şirketleri, eğer sadece Birleşik Krallık’ta veri........

© Ekonomim