Yapay Zeka Çözümlerinde Verilerin Korunması ve Yönetiminde Güncel Düzenlemeler
Bu blog yazısı, yapay zeka çözümlerinde veri güvenliği ve yönetimi kapsamında yürürlükte olan güncel düzenlemeleri ele almaktadır. GDPR, KVKK ve ISO/IEC 42001 standartlarını temel hatlarıyla açıklayarak, kişisel verilerin korunması, etik yapay zeka yönetimi ve yasal uyumluluk süreçlerinin kurumlar için neden kritik olduğunu sade ve anlaşılır bir şekilde ortaya koymaktadır.
GDPR Nedir?
GDPR, “General Data Protection Regulation” teriminin kısaltmasıdır. Türkçeye “Genel Veri Koruma Tüzüğü” olarak çevrilebilir. Bu yasa Avrupa Birliği (AB) üye ülkelerini kapsayan, AB üye ülke vatandaşlarının kullanıcı verilerinin işlenmesi ve güvenliğinin sağlanmasını amaçlayan düzenlemeleri içermektedir. 25 Mayıs 2018 tarihinden itibaren yürürlüğe girmiştir. GDPR tamamen 1995 yılından beri kullanılan Veri Koruma Direktifi 95/46/AT mevzuatının yerini almıştır.
GDPR, AB sınırları içinde faaliyet gösteren bütün kurum, kuruluş ve işletmeleri bağlayıcıdır. AB üye ülkeleri kendi yasa ve kanunlarına bağlı olarak GDPR’yi temel alan daha ağır yaptırımlarda uygulayabilmektedir. Bu açıdan GDPR, kullanıcı verilerinin korunması ve işlenmesi ile alakalı en temel gereklilikleri ve düzenlemeleri içeren bir yasadır. GDPR’nin kapsamı kişisel kullanıcı verileri isim, adres, kimlik numarası, konum, IP adresi, internet verileri, biyometrik ve fiziksel görünüme ait veriler (fotoğraf vs.), ırk ve köken bilgileri, tıbbı veriler gibi bilgileri içermektedir.
GDPR için yaptırım kapsamı, kullanıcı verilerinin işlenme sürecinin AB sınırları içinde faaliyete başlayan veya bu sınırlar içinde operasyonlarına başlayan işletmeleri içermektedir. Bu hizmetler AB sınırları dışında devam etse bile GDPR uyumluluğu beklenmektedir. Kullanıcı verilerinin kullanılmaya başlanması için kullanıcan onay alınmalı, kullanıcı rıza metni açık ve kolay anlaşlır olmalıdır. Kullanıcılar hangi verilerinin nasıl işleneceğini, nerede, nasıl ve ne süreyle saklanacağı gibi bilgileri bilme hakkına sahiptirler. Aynı zamanda bu bilgilere erişim, güncelleme, kısıtlama, silme ve unutulma haklarına sahiptirler.
KVKK nedir?
07.04.2016 tarihli ve 29677 sayılı “Kişisel Verilerin Korunması Kanunu” Resmi Gazete’de yayınlanmasıyla Türkiye için tanımlanmış kişisel verileri işleyen gerçek vey tüzel kişilerin yükümlülükleri ile uyacakları kişisel veri kurallarını belirten usul ve esasları ifade eder. Bu kanun verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olarak işleyen, herhangi bir veri kayıt sistemine üye olmakla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler için uygulanır. Günümüzde AB sınırları içinde geçerli olan GDPR’ye karşılık gelmektedir.
KVKK, veri gizliliği ve güvenliği hakkında farkında oluşturmayı ve veri güvenliğini kurum, kuruluşların bir parçası haline gelerek benimsemesini amaçlamaktadır. KVKK içindeki temel ilkeler kişisel verilerin işlenmesi dair her türlü faaliyet ve operasyonun içinde bulunmalı ve bu ilkeler göz önünde bulunudurularak yürütülmelidir. Bu temel ilkeler veri işleme süreçlerinin hukuk kurallarına uygun olması, verilerin belirtilen amaçlar kapsamında işlenmesi, doğru ve güncel olması, gereken en az verinin saklanması, verilerin yasal olarak uygun yerlerde işlenmesi ve bu işlemler için gerekli olan süre kadar saklanması gibi durumlar olarak belirtilebilir. Daha detaylı bilgi için ilgili Resmi Gazete sayısını okuyabilirsiniz. 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete.
ISO/IEC 42001 nedir?
ISO/IEC 42001 yapay zeka üreticilerinin çözümlerini oluştururken uygulamaları, sürdürmeleri ve yapay zeka yönetim sistemlerini (AIMS - Artificial Intelligence Management System) sürekli olarak iyileştirmeleri için gereksinimleri belirleyen uluslararası bir standarttır. Uluslararası Standardizasyon Organizasyonu ISO (International Organization for Standardization) tarafından ISO/IEC 42001:2023 adıyla ilk defa 2023 yılının Aralık alında yayınlandı.
IOS/IEC 42001 yapay zekanın getirdiği etik konuları, şeffaflık ilkeleri vb. konularda yapay zeka üreticileri için rehberlik sağlamayı amaçlayan, dünyanın ilk yapay zeka yönetim sistemi standartıdır. Günümüz dünyasında yapay zeka ile ilgili her geçen gün daha gelişmiş ve yeni çalışmalar yapıldıkça bu standart daha da önemli bir konuma gelmektedir. Yapay zeka sistemlerinin kontrol edilmesi ve belgelendirilmesi aşamalarında üreticiler için yol gösterici olacaktır. Daha detaylı bilgiye ISO/IEC 42001:2023 web sayfasından satın alarak ulaşabilirsiniz.