Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, yapay zekâ alanında yapılan/yapılacak çalışma ve uygulamalarda kişisel verilerin korunması amacıyla, bu alanda faaliyet gösteren geliştirici, üretici, servis sağlayıcı ve karar alıcılar için tavsiyeler yayımlanmıştır.
Yayımlanan tavsiyelerde yapay zekâ uygulama ve çalışmaları yürütülürken genel olarak; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuat, insan hakları, temel hak ve özgürlükler, demokrasi, sosyal ve etik değerler ile ayrımcılık riskinin her daim gözetilmesi gerektiğinin altı çizilmiştir. Bu bağlamda, özellikle kişisel veri işleme temelli yapay zekâ çalışmalarında (i) kişisel verilerin korunması açısından risk mevcutsa mahremiyet etki değerlendirmesinin yapılması, (ii) her projeye özel veri koruma uyum programının geliştirilmesi, (iii) veri sorumlusu ve veri işleyen statülerinin projenin başında belirlenmesi, (iv) kişisel veriler işlenmeksizin aynı sonuca ulaşılması halinde verilerin anonim hale getirilerek işlenmesi gerektiği belirtilmiştir.
Kurum tavsiyelerin devamında, yapay zekâ tasarımlarında kişisel veri mahremiyetinin esas alınması gerektiğini belirtmiş, bir yapay zekâ modeli için tasarlanmış algoritmalarının farklı bir amaç veya yapay zekâ modelinde kullanılması halinde birey ve toplum üzerindeki risklerin dikkatlice değerlendirilmesi gerektiğini vurgulamış, insan hakları temelli uygulamaların tasarlanmasına katkıda bulunabilecek akademik kurum veya tarafsız uzman kişi ve kuruluşlarla iletişim halinde bulunulmasını, yapay zekâ uygulama ve çalışmalarında yer alan tüm paydaşların hesap verebilirliğini sağlayacak algoritmaların oluşturulmasını önermiştir. Bunun yanı sıra Kurum, yapay zekâ kullanıcılarını gözeterek, ilgili kişilerin katılımına dayalı risk değerlendirmelerinin yapılması, otomatik işleme ile kendilerini etkileyecek bir karara maruz kalmamalarını sağlayacak ürün ve hizmetlerin tasarlanması, haklarına daha az müdahale eden seçeneklerin kullanıcılara sunulması yönünde tavsiyelerde bulunmuştur.
Karar alıcılara yönelik önerilerde ise Kurum;
- Hesap verilebilirlik ilkesinin her aşamada gözetilmesi,
- Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürlerinin benimsenmesi ve sektör/uygulama/donanım/yazılım temelinde bir uygulama matrisi oluşturulması,
- Davranış kuralları ve sertifikasyon mekanizmaları ve benzeri uygun yöntemlerin alınması,
- Yapay zekâ modelinin kullanım sürecinin takibi amacıyla kaynak ayırılması,
- Karar alma süreçlerinde insan müdahalesinin rolünün belirlenmesi,
- Kişilerin hak ve özgürlüklerinin önemli ölçüde etkileneceği öngörülüyor ise, yapay zeka alanında düzenleme ve/veya denetleme yapmaya yetkili kurum ve kuruluşlara başvurulması,
- Açık yazılım tabanlı mekanizmaların teşvik edilmesi,
- Dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılması,
- Uygulama geliştiricileri için veri mahremiyeti çerçevesinde eğitimlerin gerçekleştirilmesi
gerektiğini belirtmiştir.