Aralık 2024 tarihinde, İtalyan Veri Koruma Otoritesi GDPR ihlali nedeniyle yapay zeka şirketine 15 Milyon Euro ceza kesti. Cezanın tarihi yakın ve tutarı büyük. Kişisel verileri işleyen üretken AI geliştiriyor veya kullanıyorsanız kendinize şu soruları sormalısınız:

1. Kişisel verileri işlemek için yasal dayanağınız nedir?

Kişisel verileri işliyorsanız, rıza veya meşru çıkarlar gibi uygun bir yasal dayanak belirtmelisiniz.

☐ İşleme faaliyetlerimizin amaçlarını gözden geçirdik ve her faaliyet için en uygun yasal dayanağı (veya dayanakları) seçtik.

☐ İşlemenin ilgili amaç için gerekli olduğunu kontrol ettik ve bu amaca ulaşmanın makul ve daha az müdahaleci başka bir yolunun olmadığına kanaat getirdik.

☐ Uyumluluğumuzu göstermemize yardımcı olması için hangi yasal dayanağın geçerli olduğuna dair kararımızı belgeledik.

☐ Privacy Policy isimli dokümanımızda hem veri işlemenin amaçları hem de veri işlemenin yasal dayanağı hakkında bilgi verdik.

☐ Özel nitelikli verileri işlediğimiz durumlarda, özel nitelikli verileri işlemeye ilişkin bir yasal dayanak da belirledik ve bunu belgeledik.

☐ Sabıka kaydı verilerini işlediğimiz durumlarda, bu verileri işlemek için bir koşul belirledik ve bunu belgeledik.

2. Veri Sorumlusu, ortak veri sorumlusu veya veri işleyen misiniz?

Kişisel verileri kullanarak üretken AI geliştiriyorsanız, veri denetleyicisi olarak yükümlülükleriniz vardır. Başkaları tarafından geliştirilen modelleri kullanıyor veya uyarlıyorsanız, veri sorumlusu, ortak veri sorumlusu veya veri işleyen olabilirsiniz.

3. Veri Koruma Etki Değerlendirmesi (DPIA) hazırladınız mı?

Kişisel verileri işlemeye başlamadan önce DPIA süreci aracılığıyla herhangi bir veri koruma riskini değerlendirmeli ve azaltmalısınız . İşleme ve işlemenin etkileri geliştikçe DPIA'nızı güncel tutulmalısınız.

DPIA farkındalık kontrol listesi

☐ Kişisel verileri içeren herhangi bir planın erken aşamalarında DPIA'yı dikkate almanın gerekliliğini çalışanlarımızın anlamaları için eğitim sağlıyoruz.

☐ Mevcut politikalarımız, süreçlerimiz ve prosedürlerimiz DPIA gerekliliklerine referanslar içermektedir.

☐ DPIA gerektiren işlem türlerini anlıyoruz ve gerektiğinde DPIA ihtiyacını belirlemek için tarama kontrol listesini kullanıyoruz.

☐ Bir DPIA süreci oluşturduk ve belgeledik.

☐ İlgili personele DPIA'nın nasıl yapılacağı konusunda eğitim veriyoruz.

DPIA tarama kontrol listesi

☐ Kişisel verilerin kullanımını içeren her büyük projede DPIA gerçekleştirmeyi değerlendiriyoruz.

Aşağıdaki çalışmalardan birini yapmayı planlıyorsak DPIA yapmayı düşünürüz:

☐ değerlendirme veya puanlama;

☐ önemli etkilere sahip otomatik karar alma;

☐ sistematik izleme;

☐ hassas verilerin veya son derece özel nitelikteki kişisel verilerin işlenmesi;

☐ büyük ölçekte işleme;

☐ savunmasız veri sahiplerine ilişkin verilerin işlenmesi;

☐ yenilikçi teknolojik veya organizasyonel çözümler;

☐ Veri sahiplerinin bir hakkını kullanmasını veya bir hizmeti veya sözleşmeyi kullanmasını engelleyen işleme .

Aşağıdakileri planlıyorsak her zaman bir DPIA gerçekleştiririz :

☐ İnsanlar hakkında önemli kararlar almak için sistematik ve kapsamlı profilleme veya otomatik karar verme yöntemlerini kullanma;

☐ özel nitelikli verileri ve sabıka kaydı verilerini büyük ölçekte işlemek;

☐ kamuya açık bir yeri büyük ölçekte sistematik olarak izlemek;

☐ Avrupa yönergelerindeki kriterlerden herhangi biriyle birlikte yenilikçi teknolojiyi kullanmak;

☐ Birinin........

© Hukuki Haber