ChatGPT’nin Güncel Gelişmeleri & GDPR ve KVKK Kapsamında Değerlendirilmesi  

Bildiğiniz gibi sıklıkla duyduğumuz, OpenAl tarafından geliştirilen yapay zekaya dayalı sohbet robotu ChatGPT bu sıralar gündemimizi oldukça meşgul ediyor. Peki ChatGPT nedir ve nasıl kullanılır? ChatGPT’nin kişisel veri güvenliği açısından riskleri nelerdir? ChatGPT Avrupa Veri Koruma Tüzüğü (‘‘GDPR’’) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında nasıl değerlendirilir? Bu gibi sorular ve daha fazlasının cevaplarından bu ayki blog yazımızda bahsedeceğiz!

Yapay Zeka Robotu ChatGPT Nedir ve Nasıl Kullanılır? 

ChatGPT OpenAl tarafından üretilen, google arama motoru üzerinde yaptığı aramalar sayesinde kullanıcıların sorularına ilişkin tatmin edici cevaplar verebilen, yapay zekaya dayalı bir sohbet robotudur.

ChatGPT nasıl kullanılır konusuna gelecek olursak, sorumuzun cevabı aslında çok basit olacaktır. Sohbet robotunu kullanabilmek adına ilk adım olarak kullanıcıların chat.openai.com adresine girmesi, eğer daha önce kayıtlı bir hesabı bulunmuyorsa “Sign up”  butonu vasıtasıyla bir hesap oluşturup devamında telefona gelecek olan doğrulama kodunun girilmesi ChatGPT sohbet ekranına ulaşmak için yeterli olacaktır.

ChatGPT ve Kişisel Veri Güvenliği Açısından Riskleri

ChatGPT'nin kullanımı bazı  kişisel güvenlik ve gizlilik risklerini de beraberinde getirmektedir. ChatGPT, kullanıcıların chat botuna sorduğu soruları kaydedebilmekte ve bu bilgileri kullanarak daha iyi bir performans sergilemek adına robot içi eğitimlerde kullanabilmektedir. Kullanıcılar tarafından chat botuna yazılacak metinlerde kişisel verilerin yazılabilmesi ve özellikle özel nitelikli kişisel verilerin yazılması ihtimali sebebiyle ChatGPT tarafından kişisel verilerin işlenmesi ve saklanması söz konusu olabilmektedir. ChatGPT’nin işbu verileri saklaması ve kullanması, kullanıcılar özelinde kişisel verilere ilişkin hak ihlallerinin oluşmasında büyük bir risk oluşturmaktadır. Ayrıca çocuklara ilişkin etkili bir kontrol mekanizmasının olmaması da çocuk verilerinin işlenmesi açısından oldukça büyük risk teşkil etmektedir.

Kullanıcılar ChatGPT sohbet robotu ile sohbetleri esnasında gizlilik ve güvenlik risklerini azaltmak amacıyla, ChatGPT ile sohbet ederken kişisel verilerini paylaşmamalı ve sohbet robotu kullanımı esnasında şüpheli mesajları veya yanıtları dikkatlice değerlendirmelidir.

ChatGPT’nin Güncel Gelişmeleri ve ChatGPT’nin GDPR ve KVKK Kapsamında Uyumluluğunun Değerlendirilmesi 

Son zamanlarda giderek yaygınlaşan ChatGPT yapay zeka sohbet robotuna ilişkin tartışmalar veri koruma alanında da hızla artmaktadır. ChatGPT’nin popülerleşmesiyle beraber uluslararası veri koruma otoriteleri tarafından ChatGPT yakın mercek altına alınmış ve uygulamanın kullanımının yasaklanmasına kadar giden hususlar veri koruma otoriteleri tarafından tartışmaya başlanmıştır.

Bilindiği üzere Mart ayı sonlarında İtalya Veri Koruma Otoritesi (‘‘Garante’’) tarafından, ChatGPT’nin, dil modelini eğitmek amacıyla kullanıcılara ilişkin kişisel verilerin toplu olarak toplamasının yasal bir dayanağının olmaması, 13 yaş altı çocukların platformu kullanmasına ilişkin herhangi bir yaş kontrol mekanizması olmaması,  verilerin toplanma usulüne ilişkin kullanıcılara bilgi verilmemesi, verilerin nasıl işlendiğinin netleştirilmemesi ve veri yönetimi seçeneklerinin sunulmamasından dolayı OpenAl’e GDPR ile uyumlu olunması için 30 günlük süre verilmiş ve bu sürede ChatGPT geçici olarak İtalya’da engellenmiştir. 

Nisan ayı sonuyla OpenAl tarafından; kişilerin sohbet geçmişlerini devre dışı bırakmasına (varsayılan olarak kapalı) imkan tanıyan bir sistem geliştirilmiş, GDPR kapsamında kullanıcıların kişisel verilerini kaldırmak için başvurabilecekleri yeni bir form oluşturulmuş, İtalya’daki kullanıcıların yaşı, üyelik aşamasında doğrulanacağı OpenAl tarafından belirtilmiş ve GDPR’a uygun veri koruma görevlisine nasıl ulaşılacağı dahil olmak üzere, ChatGPT’nin kişisel bilgileri nasıl topladığını açıklayan bir yardım merkezi makalesi yayımlanmıştır. Tüm bu adımların akabinde ChatGPT Nisan ayı sonuyla İtalya’da kullanıma tekrardan açılmıştır. 

Garante’nin soruşturması, zaten yakın mercek altında olan OpenAl üzerinde dikkatleri toplamıştır. Avrupa Veri Koruma Kurulu (‘‘EDPB’’) OpenAl’e yönelik bilgi paylaşımını artırmak için özel bir ‘‘veri koruma ekibi’’ kurulmasına karar verirken, Alman Kişisel Verilerin Korunması ve Bilgi Özgürlüğü sorumluları tarafından ‘‘veri güvenliği endişeleri sebebiyle gerekirse ChatGPT’nin engelleneceği’’ ifade edilmiş ve  "bir veri koruma etki değerlendirmesi yapılıp yapılmadığını ve veri koruma risklerinin kontrol altında olup olmadığını bilmek istendiği" söylenip GDPR’dan kaynaklı sorunlar için OpenAl’e 11 Haziran’a kadar süre verilmiştir. 

Tüm bu kararlardan anlaşılacağı üzere bir yandan Avrupa yasama organları Al Act (Yapay Zeka Yasası)’ını ilerletirken diğer yandan OpenAl Şirketi Avrupa Veri Koruma Otoritelerince gözlem altında tutulmaktadır ve Şirket’in bundan sonra izleyeceği kişisel verileri korumaya ilişkin politikaları GDPR’a uyumluluk açısından oldukça önem arz edecektir.

KVKK kapsamında mevzuatımızın,doktrindeki birçok görüşe göre, yapay zeka uygulamaları açısından AB mevzuatı paralelinde güncellenme ihtiyacı duyduğu yadsınamaz bir gerçek olmakla beraber; KVKK kapsamındaki yükümlülüklerin sağlanması adına OpenAl yapay zeka sohbet robotunun aşağıdaki ilkeler ilkeler çerçevesinde hareket etmesi KVKK ve GDPR’a uyumluluğu açısından önem arz edecektir;

• Yasallık, Şeffaflık: 

  • Veri işlemek için uygun yasal dayanağın oluşturulması (Anayasa md.20/3 ve KVKK). Özel nitelikli kişisel verilerin işlenmesi hususunda gerekiyorsa KVKK m.6’daki gereklilikler mutlaka yerine getirilmelidir.

  • Kullancılara kişisel verilerinin nasıl ve neden kullanıldığı, kimlerle paylaşılacağı ve saklama süreleri konusunda başlangıçtan itibaren açık ve şeffaf olunmalıdır.

• Veri Minimizasyonu ve Güvenlik: 

  • Veri güvenliği ve risk yönetimi açısından tedbirler alınmalıdır.

  • Amacın gerçekleştirilmesi için yalnızca minimum şekilde veriler işlenmelidir. Bu kapsamda KVKK m.4/1(ç)’de kapsamında kişisel veriler işlendikleri amaçla, bağlantılı ve sınırlı olmalıdır.

• Hesap Verilebilirlik: 

  • Veri sorumlularının kişisel verileri işlemelerinden kaynaklanabilecek riskleri hesaba katmalıdır

• Veri Sahibinin Hakları

  • İlgili kişilere KVKK m.11 kapsamındaki bilgilendirme, erişim, düzeltme ve silme hakları uygun bir şekilde hatırlatılmalıdır.

Sonuç

ChatGPT her ne kadar hayatımızı kolaylaştırıcı şekilde bizlere hizmet verse de gerek KVKK gerekse GDPR kapsamındaki uyumluluğunun sağlanması adına OpenAl tarafınca önlemlerin alınması kişisel verilerin güvenliği açısından ve Şirket’in yaptırıma maruz kalmaması adına büyük önem arz etmektedir. Söz konusu uyumluluk uluslararası veri koruma otoriteleri tarafından yakın mercek altına alınarak takip edilmekle beraber; ilerleyen günlerde ulusal mevzuatımız açısından da gerekli yükümlülüklerin yerine getirilip getirilmediğinin takibinin Kurul tarafından irdelenmesi  beklenmektedir.