Yapay Zekâ Sohbet Robotları ve Veri Gizliliği: Sohbet Robotları Verilerinizle Ne Yapıyor?

Teknoloji alanındaki hızlı dönüşümün bir yansıması olarak yapay zekâ sohbet robotları, gündelik yaşamın vazgeçilmez unsurlarından biri haline gelme yolunda ilerlemektedir. Bu uygulamalar, kullanıcıların her türlü ihtiyacına yanıt verebilecek düzeye ulaşmış olmakla birlikte, sürekli veri toplayan yapıları nedeniyle ciddi kaygılara da zemin hazırlamıştır. Söz konusu kaygılar, veri koruma otoriteleri ve kişisel verilerin güvenliği ile gizliliği alanında çalışan uzmanlar arasında giderek daha fazla tartışılmaya başlanmıştır.

Yapay zekâ sohbet robotlarının kullanıcı verilerini hangi yöntemlerle topladığı ve işlediği meselesi; yayımlanan kararlar, akademik çalışmalar ve basın açıklamaları aracılığıyla güncelliğini korumaya devam etmektedir. Bu bağlamda Kişisel Verileri Koruma Kurumu (KVKK), 08.11.2024 tarihinde "Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu" başlıklı bir çalışma yayımlamış; insan-teknoloji etkileşimini mümkün kılan bu uygulamaların kişisel veri toplama ve işleme faaliyetlerini odağına almıştır. Söz konusu bilgi notu, yapay zekâ destekli sohbet robotlarına dair çeşitli tespitler içermekte; aynı zamanda uygulayıcılara ve geliştiricilere kişisel verilerin korunması hukuku perspektifinden yerine getirilmesi gereken yükümlülükler konusunda yol göstermektedir.

Sohbet robotları; kullanıcılarla karşılıklı etkileşim kurarak sorulara yanıt veren ve bilgi sunan yapay zekâ uygulamaları olarak tanımlanabilir. Kurum ise bu uygulamaları; "kullanıcının bir arayüz aracılığıyla ilettiği görev ve yönergeleri yerine getirmeye çalışan, son kullanıcıyla insana benzer bir diyalog simüle eden yazılımlar" olarak nitelendirmiştir.

Yapay zekâ sistemlerinde verinin merkezi bir öneme sahip olduğu bilinmektedir. Bunun temel nedeni, bu sistemlerin optimum düzeyde çalışabilmek için doğaları gereği geniş kapsamlı ve çeşitli veri kümelerine ihtiyaç duymalarıdır. Bu çerçevede; daha kaliteli kullanıcı deneyimi sunmak, analiz yapmak, mevcut hizmetleri iyileştirmek ve yeni ürünler geliştirmek gibi birbirinden farklı amaçlarla veri işlenmektedir. İşlenen veriler arasında başlıca şunlar sayılabilir: ad-soyad ve iletişim bilgileri, ödeme kartı bilgileri, IP adresi, tarayıcı türü ve ayarları, konum verileri, erişim zamanları, kullanılan cihaza dair bilgiler, arama geçmişi, çerez verileri ile kullanıcılar tarafından iletilen metin, ses ve benzeri içerikler. Bu liste sınırlı sayıda olmayıp işlenen veriler bunlarla kalmamaktadır.

ChatGPT gibi yapay zekâ sohbet robotu uygulamaları söz konusu olduğunda, kişisel verilerin korunmasına ilişkin yaklaşımların ülkeden ülkeye farklılık gösterdiği görülmektedir. Türkiye özelinde ise bu uygulamaların Kişisel Verilerin Korunması Kanunu'nun (KVKK) ilke ve kuralları dışında tutulması mümkün değildir; uygulamaların Kanun çerçevesinde eksiksiz biçimde incelenmesi ve değerlendirilmesi zorunludur. Bu düzenlemeler, bireylerin veri mahremiyeti ve güvenliğine ilişkin haklarını korurken sohbet robotu sağlayıcılarına da çeşitli yükümlülükler yüklemektedir. Söz konusu uygulamaların, Kanun'un 4. maddesi kapsamında düzenlenen "Genel İlkeler" çerçevesinde, kişisel verilerin işlenmesine ilişkin temel prensipler bakımından titizlikle değerlendirilmesi gerekmektedir.

KVKK kapsamında, kullanıcı verilerinin toplanması ve işlenmesi sürecinde açık rızanın alınması temel bir yükümlülük olarak öne çıkmaktadır. Sohbet robotlarıyla etkileşime giren kullanıcılardan açık rıza alınması ve veri işleme süreçlerinin şeffaf biçimde kamuoyuna duyurulması, Kanun'a uyumun sağlanmasında belirleyici ilkeler arasında yer almaktadır. Şeffaflığın sağlanması ise; verilerin hangi amaçlarla işlendiği, kimlerle paylaşıldığı, hangi süre boyunca saklandığı ve ilgili kişilerin hangi haklara sahip olduğu gibi konularda kullanıcılara yeterli ve anlaşılır bilgi sunulmasına bağlıdır. Kullanıcıların verilerini kendi denetimleri altında tutabilmeleri için özenle hazırlanması gereken bu aydınlatma metinlerinin; açık ve anlaşılır bir dil taşıması, Aydınlatma Yükümlülüğünün Yerine Getirilmesine İlişkin Usul ve Esaslar Hakkında Tebliğ ile ilgili mevzuata uygun olması gerekmektedir.

Şeffaflık yükümlülüğünün yanı sıra, veri işleme faaliyetlerinin Kanun'da öngörülen genel ilkelerle de uyumlu olması zorunludur. Bu kapsamda kişisel veriler; belirli, açık ve meşru amaçlarla işlenmeli, işlendikleri amaçla bağlantılı olmalı ve bu amacın gerektirdiği ölçüyü aşmamalıdır.

ChatGPT'nin gizlilik politikası incelendiğinde; kullanıcılardan toplanan verilerin hizmetlerin sunulması, analiz faaliyetleri, yeni ürün özelliklerinin geliştirilmesi, kullanıcılarla iletişim kurulması, kötüye kullanımın önlenmesi, yasal yükümlülüklerin ifası ve şirketin meşru menfaatlerinin korunması gibi amaçlarla işlendiği görülmektedir. Bunun yanı sıra kullanıcılara, söz konusu verilerin model eğitimi amacıyla kullanılmasını istemedikleri takdirde ilgili tercihlerini değiştirebilme imkânı da tanınmıştır. Bu noktada veri işlemenin hukuki dayanaklar çerçevesinde yürütüldüğü ve kullanıcılara sohbet geçmişlerinin uygulama geliştirme süreçlerinde kullanılıp kullanılmaması konusunda belirli bir denetim yetkisi tanındığı söylenebilir. Kullanıcılara bu konuda seçim hakkı tanınması, kişisel verilerin korunması açısından olumlu bir adım olarak değerlendirilmelidir. Verilerin silinmesi meselesine gelince; geçici sohbet modunun tercih edilmesi durumunda verilerin güvenlik amacıyla en fazla 30 gün süreyle saklanacağı belirtilmekle birlikte, bu güvencenin Türkiye'deki kullanıcılar için yeterli koruma sağlayıp sağlamadığı tartışmalı olmaya devam etmektedir. Bu husus ayrıca Kanun'da düzenlenen "amaç için gerekli olduğu süre kadar muhafaza etme" ilkesi çerçevesinde de ayrıca değerlendirilmeyi gerektirmektedir.

Sonuç olarak yapay zekâ tabanlı sohbet robotu uygulamalarının, kişisel verilerin korunması alanında henüz giderilmemiş belirsizlikler barındırdığı ve bu uygulamaların geliştirilmesi ile kullanıma sunulması süreçlerinde veri gizliliğine daha büyük bir özen gösterilmesi gerektiği açıktır. Kurum'un yayımladığı bilgi notu, bu alandaki tartışmalar için önemli bir başlangıç noktası işlevi görmüştür. Nitekim söz konusu belgede Kurum; kullanıcıları kişisel verilerini aşırı ölçüde paylaşmamaları konusunda uyarmanın yanı sıra sohbet robotu geliştirme süreçlerine yönelik olarak "kişisel verilere temas etmeden önce risk değerlendirmesi yapılması", "hesap verilebilirlik ilkesine ve Kanun'da öngörülen genel ilkelere uygun hareket edilmesi" ve "aydınlatma yükümlülüğünün eksiksiz yerine getirilmesi" gibi temel prensiplere de yer vermiştir.

Bu tür uygulamaların belirtilen ilkelerle uyumlu biçimde tasarlanması ve kullanıcı verilerinin korunması için gerekli adımların kararlılıkla atılması büyük önem taşımaktadır. Veri koruma otoritelerinin de sistemin mevzuata uyumlu işleyişini güvence altına almak amacıyla bu alanda düzenli denetim ve çalışmalar yürütmesi gerekmektedir. Yapay zekâ teknolojilerinin giderek artan karmaşıklığı gözetildiğinde, daha ayrıntılı ve kapsamlı rehber dokümanların hazırlanması; bireylerin kişisel verilerinin ve mahremiyetinin korunmasına katkı sağlayacak, sektördeki uygulamaların kişisel verilerin korunması ilkeleriyle uyumlu biçimde şekillenmesine de önemli bir katkı sunacaktır.

Av. Selin Ünverdi