Aryan Legal Hukuk Bürosu | Yapay Zekâ Hukuku & KVK Uyumu
Yapay zekâ teknolojileri günümüzde, teknoloji şirketlerinin kullandığı yenilikçi araçlar olmaktan çıkmış, günlük iş süreçlerinin doğal bir parçası hâline gelmiştir. Özellikle ChatGPT, CoPilot, Gemini, Claude benzeri üretken yapay zekâ sistemleri; insan kaynaklarından müşteri ilişkilerine, hukuk departmanlarından pazarlama ekiplerine kadar birçok alanda aktif olarak kullanılmaktadır. Şirketler açısından bu araçlar önemli bir hız ve verimlilik avantajı sağlasa da, aynı zamanda ciddi hukuki riskleri de beraberinde getirmektedir. Avrupa Birliği’nin kabul ettiği AI Act ile birlikte yapay zekâ kullanımına ilişkin hukuki yaklaşımın köklü şekilde değişmeye başladığı görülmektedir. Artık yalnızca yapay zekâ sistemlerini geliştiren şirketler değil, bu sistemleri iş süreçlerinde kullanan işverenler de belirli yükümlülüklerin muhatabı hâline gelmektedir.
Bugün birçok çalışan, çoğu zaman kurumsal bir politika veya denetim mekanizması bulunmaksızın üretken yapay zekâ araçlarını aktif biçimde kullanmaktadır. Özellikle sözleşme taslaklarının hazırlanması, rapor oluşturulması, müşteri e-postalarının yazılması, veri analizleri yapılması, işe alım süreçlerinin hızlandırılması veya kod üretimi gibi alanlarda bu sistemlerden yoğun şekilde faydalanılmaktadır. Ancak çalışanların bu araçlara hangi verileri yüklediği, verilerin hangi ülkelerde işlendiği, model eğitiminde kullanılıp kullanılmadığı veya üçüncü taraflarla paylaşılıp paylaşılmadığı çoğu zaman yeterince değerlendirilmemektedir. Oysa bu durum hem veri güvenliği hem de ticari sırların korunması bakımından önemli riskler doğurmaktadır.
Özellikle kişisel verilerin üretken yapay zekâ sistemlerine aktarılması, şirketler açısından en kritik hukuki sorunlardan biridir. Bir çalışanın müşteri bilgilerini, çalışan verilerini, sağlık kayıtlarını, sözleşme içeriklerini veya şirket içi raporları ChatGPT benzeri sistemlere yüklemesi, birçok durumda üçüncü tarafa veri aktarımı anlamına gelebilecektir. Bu durum ise yalnızca KVKK bakımından değil, GDPR ve AI Act çerçevesinde de ciddi yükümlülüklerin gündeme gelmesine neden olabilmektedir. European Data Protection Board tarafından yayımlanan değerlendirmelerde, üretken yapay zekâ sistemlerinin veri işleme faaliyetleri bakımından dikkatle analiz edilmesi gerektiği, özellikle hukuki işleme sebepleri, veri minimizasyonu ve doğruluk ilkesi yönünden önemli riskler barındırdığı açıkça vurgulanmaktadır.
Üretken yapay zekâ sistemlerinin bir diğer önemli riski, şirket sırlarının ve gizli bilgilerin kontrolsüz şekilde dış sistemlere aktarılmasıdır. Çalışanların çoğu zaman iyi niyetle gerçekleştirdiği veri yüklemeleri, aslında şirket açısından son derece stratejik bilgilerin üçüncü taraf sistemlere taşınması sonucunu doğurabilmektedir. Özellikle müşteri listeleri, fiyatlandırma politikaları, birleşme ve devralma süreçlerine ilişkin belgeler, iç denetim raporları, güvenlik açıkları veya yazılım kaynak kodları gibi verilerin üretken yapay zekâ araçlarına aktarılması, şirketler açısından geri dönülmesi güç sonuçlara neden olabilir. Bu risk yalnızca veri güvenliğiyle sınırlı değildir; aynı zamanda ticari sırların korunması ve rekabet hukuku bakımından da önemli sonuçlar doğurabilir.
Üretken yapay zekâ sistemlerinin hukuki açıdan en problemli yönlerinden biri de hatalı veya gerçeğe aykırı çıktı üretme ihtimalidir. Akademik çalışmalarda ve Avrupa’daki düzenleyici kurumların değerlendirmelerinde, üretken yapay zekâ sistemlerinin “hallucination” olarak ifade edilen yanlış bilgi üretme riskine özellikle dikkat çekilmektedir. Bir çalışanın yalnızca yapay zekâ çıktısına güvenerek hukuki analiz hazırlaması, finansal değerlendirme yapması veya işe alım sürecinde aday değerlendirmesi gerçekleştirmesi ciddi sorumluluk riskleri doğurabilir. Çünkü hukuken sorumluluk çoğu durumda yapay zekâ sistemine değil, bu sistemi kullanan şirkete ait olacaktır. AI Act’in temel yaklaşımı da bu doğrultudadır. Düzenleme, yapay zekâ sistemleri üzerinde insan gözetiminin korunmasını temel ilkelerden biri olarak kabul etmektedir.
İnsan kaynakları süreçlerinde kullanılan yapay zekâ sistemleri ise ayrı bir risk kategorisi oluşturmaktadır. Özellikle CV eleme sistemleri, aday puanlama araçları, çalışan performans analizleri ve davranış değerlendirme uygulamaları AI Act kapsamında yüksek riskli yapay zekâ sistemi olarak değerlendirilebilmektedir. Bu durum, işverenler açısından çok daha ağır yükümlülüklerin gündeme gelmesi anlamına gelmektedir. Avrupa Birliği düzenlemelerinde özellikle çalışanların biyometrik verileri üzerinden duygu analizi yapılması veya davranışsal değerlendirmelerde bulunulması son derece hassas bir alan olarak kabul edilmektedir. Bu tür uygulamalar yalnızca veri koruma hukuku bakımından değil, ayrımcılık yasağı, insan onuru ve temel haklar bakımından da ciddi tartışmalara neden olmaktadır.
Şirketler açısından en büyük eksikliklerden biri ise kurumsal yapay zekâ politikalarının bulunmamasıdır. Günümüzde birçok çalışan kişisel hesapları üzerinden, herhangi bir eğitim almaksızın ve çoğu zaman hiçbir denetim mekanizması olmadan üretken yapay zekâ araçlarını kullanmaktadır. Bu durum “shadow AI” olarak adlandırılan kontrolsüz yapay zekâ kullanımını ortaya çıkarmaktadır. İşverenlerin çoğu, çalışanların hangi yapay zekâ araçlarını kullandığını, hangi verileri bu sistemlere yüklediğini veya yapay zekâ çıktılarının hangi süreçlerde kullanıldığını dahi bilmemektedir. Oysa AI Act sonrası dönemde bu yaklaşımın sürdürülebilir olması mümkün görünmemektedir.
Bu nedenle şirketlerin öncelikle kurumsal yapay zekâ kullanım politikaları oluşturması gerekmektedir. Yapay zekâ araçlarının hangi amaçlarla kullanılabileceği, hangi verilerin bu sistemlere yüklenemeyeceği, çalışanların hangi güvenlik kurallarına uyması gerektiği ve yapay zekâ çıktılarının nasıl denetleneceği açık şekilde belirlenmelidir. Özellikle özel nitelikli kişisel veriler, müşteri sırları, finansal bilgiler, dava dosyaları ve şirket içi stratejik belgeler bakımından çok daha sıkı bir koruma yaklaşımı benimsenmelidir. Bunun yanında çalışanlara yapay zekâ okuryazarlığı konusunda düzenli eğitimler verilmesi de büyük önem taşımaktadır. AI Act’in 4. maddesi, yapay zekâ sistemlerini kullanan kişilerin yeterli düzeyde “AI literacy” bilgisine sahip olmasını öngörmektedir. Bu yaklaşım, yalnızca teknik bilgi verilmesini değil; veri güvenliği, etik riskler, ayrımcılık ihtimali, yanlış çıktı riski ve insan gözetimi gibi konularda da farkındalık oluşturulmasını gerektirmektedir.
Şirketlerin ayrıca kullandıkları yapay zekâ sağlayıcılarını hukuki açıdan detaylı biçimde incelemesi gerekmektedir. Verilerin hangi ülkede işlendiği, sağlayıcının veri saklama politikası, alt işleyen ilişkileri, güvenlik önlemleri ve model eğitim süreçleri dikkatle değerlendirilmelidir. Özellikle bulut tabanlı üretken yapay zekâ sistemlerinde verilerin yurt dışına aktarılması riski son derece önemlidir. Bu nedenle şirketlerin yalnızca teknolojik avantajlara odaklanması değil, aynı zamanda veri koruma ve bilgi güvenliği perspektifiyle hareket etmesi gerekmektedir.
Sonuç olarak üretken yapay zekâ sistemleri iş dünyasında geri döndürülemez bir dönüşüm yaratmaktadır. Ancak bu dönüşümün hukuki riskleri dikkate alınmadan gerçekleştirilmesi, şirketler açısından ciddi idari yaptırımlar, veri ihlalleri, ticari sır kayıpları ve itibar zararları doğurabilir. Özellikle AI Act sonrası dönemde işverenlerin yapay zekâyı yalnızca verimlilik sağlayan bir araç olarak değil, aynı zamanda hukuki uyum ve risk yönetimi perspektifiyle ele alması gerekecektir. Bu nedenle şirketlerin kontrollü, denetlenebilir ve hukuki açıdan sürdürülebilir bir yapay zekâ yönetim modeli oluşturması artık bir tercih değil, kurumsal uyumun temel unsurlarından biri hâline gelmiştir.
Bu yazı yalnızca genel bilgilendirme amacıyla hazırlanmıştır. Yapay zeka sistemlerinin kullanımına ilişkin hukuki ihtiyaçlarınız için ofisimiz ile iletişime geçebilirsiniz.