İtalyan Veri Koruma Otoritesinin ChatGPT erişim engeli kararı
2022’nin sonlarında hayatımıza giren ChatGPT yapay zeka teknolojisi tüm dünyada büyük ilgi yaratmıştı. Microsoft temelli Amerikan OpenAI start-up'ının yarattığı ChatGPT’nin gizlilik politikası Amerika’ya kıyasla daha sıkı kural ve düzenlemelere sahip AB’de veri koruma engeline takıldı. Bu yönde ilk soruşturma başlatan ve tüm dünyada etki yaratan karara imza atan İtalyan Veri Koruma Kurulu, 31 Mart’ta ChatGPT’nin GDPR hükümlerine aykırı kişisel veri işleme faaliyeti yürüttüğünü tespit etti. Verilen karar bir uyarı niteliğinde olup, verilen süre içerisinde GDPR hükümlerine uygun gizlilik politikası, gerekli altyapıların oluşturulmaması halinde idari para cezası uygulanacağı belirtildi.
Yapay zeka teknolojileri uzun zamandan beri günlük hayatımızda
navigasyon sistemleri, araçlardaki abs fren sistemi olmak üzere kendi kendine
park etme, yabancı dil tercüme programları, dijital asistan şekillerinde
karşımıza çıkmakta ve kullanmaktayız. Günümüz teknolojisinin gelişimi ile
robotik ve sanal gerçeklik bağlantılı uygulamalarla karşılaşıyoruz. Bu
teknolojilerin hizmet sunabilmesi için veriye ihtiyacı var ve bu veriyi machine
learning teknolojisi ve kullandığı algoritmalar ile veriyi dönüştürerek tahmin
ve kararlar oluşturabilmesi, kişisel verilerin korunmasından rekabete,
tüketicilerin korunmasına, fikri haklara kadar birçok hukuk alanını ihlal etme
potansiyelini yaratmıştır.
İtalyan Veri Koruma Kurulu’nun ChatGPT kararı
Kişisel verilerin korunmasına dair sıkı düzenlemeler ve uygulamalar
içeren AB içerisinden ChatGPT’ye yönelik ilk hamle İtalya’dan geldi. İtalyan
Veri Koruma Kurulu yayınladığı basın bülteninde, 30 Mart 2023 tarihinde
verdikleri hüküm ile ChatGPT’nin yasal olmayan şekilde veri topladığına, ve
küçükler için kimlik doğrulama önlemi getirmediğine dair tespitlerde bulunarak
OpenAI’nin Amerika merkezli olması sebebiyle AET’de bulunan temsilcisine,
belirtilen ihlal gerekçelerine yönelik gerekli önlemlerin alınması için 20 gün
süre vermiş, aksi halde 20 milyon Euroya kadar para cezası veya dünya çapındaki
toplam cirosunun 4%’nün uygulanacağına karar vermiştir. Bu süre zarfında da
İtalya’daki kullanıcıların ChatGPT’ye olan erişimini geçici olarak
kısıtlamıştır.
a. Kişisel verilerin işlenmesine dair temel ilkeler bakımından
İtalyan Veri Koruma Otoritesi’nin soruşturma başlatmasının
dayanağı; 20 Mart’ta ChatGPT kullanıcılarının görüşmelerine ve abonelik
sisteminde ödeme bilgilerine yönelik veri ihlali olduğunun rapor edilmesi
olarak belirtilmiştir. Yapılan inceleme kapsamında İtalyan Veri Koruma Kurulu,
kullanıcılara ve veri süjelerine, kişisel verilerinin toplandığına dair
bilgilendirme yapılmadığını, programın dayanağı olan algoritmaları çalıştırmak
için kişisel verilerin toplanması ve işlenmesine dair yasal dayanağın
olmadığını tespit etmiştir. Program üzerinde yapılan testlerde, chatbot’un
sunduğu bilgilerin zaman zaman gerçekle bağdaşmadığını bunun da hatalı kişisel
verilerin işlenmesine neden olduğunu belirtmiştir.
Kişisel verilerin işlenmesinin hukuka uygunluk nedenleri GDPR 6.
maddede düzenlenmiştir. Bunlardan ChatGPT açısından en önemli hukuka uygun işleme
nedenlerinin veri sahibinin rızası ve kullanıcılar arasındaki sözleşme ilişkisi
olduğu söylenebilir. İtalyan Veri Koruma Kurulu vermiş olduğu geçici kısıtlama
kararı GDPR 58 maddenin 2 fıkrası uyarınca işleme faaliyetlerinin GDPR
hükümlerine uygun hale getirmek için süre verilmesi yönünde bir talimat
niteliği taşıdığı için basın bülteni şeklinde yayınlanan kararın detayları yer
almamaktadır. Ancak yapılan incelemelerde, ChatGPT uygulamasına OpenAI
üzerinden bağlanıldığı, OpenAI’nin ya da ChatGPT’nin açılışında kişisel
verilerin işleneceğine dair bilgi penceresinin açılmadığı görülmektedir. Bu
eksiklik sebebiyle kullanıcıların hangi kişisel verilerinin hangi amaçlarla, ne
kadar süre ile işleneceğine dair bilgilenme hakkından yoksun kaldıkları gibi
arka planda programın dayanağı olan algoritmaları çalıştırmak için kişisel
verilerinin toplanması ve işlenmesine rıza göstermedikleri
anlaşılmaktadır.
Hukuka uygun zemine sahip bir veri toplamanın, işlemenin
olmadığının tespit edilmesinin dışında verilerin işlenmesinde gözetilmesi
gereken ilkelere uygun bir hizmetin olmadığı da belirtilmiştir. GDPR 5. madde
kapsamında bu ilkeler; ‘hukuka uygun, adil ve şeffaf’ biçimde işlenmesi
gerektiği, meşru amaca uygun olarak ‘amacın sınırlandırılması’, meşru
amaçla bağlantılı seviyede olmak üzere ‘verilerin en az seviyeye
indirilmesi’, işleme amacına göre ‘doğru’ verinin işlenmesi, işleme
amacına uygun süre ile olmak üzere ‘veri saklama süresinin
sınırlandırılması’, yasa dışı işleme riskini düşünerek teknik tedbirlerin
uygulanması suretiyle ‘doğruluk ve gizlilik’ ve son olarak veri
işleyenin bu ilkelere uygun hareket ettiğine yönelik ‘hesap verebilirlik’
ilkeleri düzenlenmiştir.
Veri işleyenin bilgilendirme yükümlülüğü kapsamında da bu ilkeler
gözetilmekte ve GDPR 12(1) maddesinde özellikle yapılacak bilgilendirmenin ‘öz,
şeffaf, anlaşılır ve kolayca erişilebilir’ olması gerekmekle birlikte ‘açık
ve sade bir dil kullanılması’ gerektiği belirtilmiştir.
Yukarıda belirtildiği gibi, OpenAI’nin ya da ChatGPT’nin açılışında
kişisel verilerin işlenme amaçlarına, meşru dayanaklarına, bilgilendirme
yükümlülüğüne uygun tedbirlerin alındığına dair emare görülmemektedir. Bununla
birlikte ChatGPT uygulamasına OpenAI üzerinden bağlanıldığı dikkate alındığında
kolay erişilebilirliğin sağlanmadığı da görülmektedir. OpenAI ile ChatGPT
arasındaki bağı bilmek zorunda olmayan vatandaşlar, gizlilik politikasına
erişmekte zorluk yaşayacaktır.
b. Çocukların kullanımı bakımından
Kurul ayrıca, ChatGPT’yi yaratan OpenAI start-up'ının yayınlanan
hizmet şartlarında 13 yaş üzeri kullanıcılar için uygun olduğu belirtilmesine
rağmen programın kullanımında, kullanıcıların yaşını doğrulama mekanizmasının
bulunmadığını da tespit etti.
GDPR 8. maddesine göre kişisel verileri işlenen kişinin çocuk olması
halinde verilen rızanın geçerli olabilmesi için çocuğun en az 16 yaşında olması
gerekmektedir. 16 yaşından küçükler için ise velayet hakkına sahip kişiler
tarafından verilmesi ya da küçük çocuk tarafından verilen rızanın onaylanması
gerekmektedir. Ancak üye devletler 16 yaş sınırını 13 yaşa kadar
indirebilirler.
Yukarıda belirtildiği gibi; açık ve diğerlerinden ayırt edilebilir,
anlaşılır ve geçerli bir rızanın verildiğini gösteren herhangi bir işaretleme
kutucuğu bulunmadığı gibi, belirlenen hizmet yaşının sınırını belirlemeye
yönelik kimlik doğrulama sistemi de bulunmaması, veri korumanın en temel
prensibinin ihlal edildiği görülmektedir.
c. Uygulanan yaptırım bakımından
İtalyan Veri Koruma Kurulu, ChatGPT teknolojinin piyasaya
sürülmesinden yaklaşık 4 ay sonra inceleme başlatmıştır. Yapılan incelemeler
çerçevesinde Kurul, GDPR 58/2’de düzenlenen Kurulun yetkileri arasından
düzeltme yetkisini kullanarak işleme faaliyetlerinin verilen süre içerisinde
GDPR hükümlerine uygun hale getirilmesine, bunu yerine getirmek üzere
temsilciye talimat verilmesine, ihlalin bu süre zarfında devam etmemesi adına
geçici kısıtlama kararı vermiştir. Şayet verilen süre içerisinde gerekli
düzeltmelerin yapılmaması, uygun tedbirlerin alınmaması halinde ise GDPR 83/6
gereğince 20 milyon Euroya kadar veya dünya çapındaki toplam cirosunun % 4’ü
kadar para cezası uygulanacağını belirtilmiştir.
Amerika merkezli bir programın GDPR hükümlerini ihlal eden
uygulamalar nedeniyle İtalya, kısa sürede aksiyon almış ve uyarıda bulunarak
erişimi kısıtlamıştır. Böylelikle hem tüm dünyada popüler olan bir hizmete
direkt olarak para cezası uygulamak gibi orantısız bir karara gidilmemiş hem de
İtalya’daki kullanıcıları korumak adına geçici erişim engeli getirilmiştir.
Verilen ihlal giderme kararının ve kullanıcıların erişimi bakımından hem onları
korumak hem de hizmete ulaşımlarını engellememek adına 20 gün gibi kısa bir
süre tanınmasının orantılı olduğu düşünülmektedir.
4. Karar sonrasında yaşanan gelişmeler
İtalya, OpenAI’nin chatbot teknolojisi olan ChatGPT’nin veri ihlali
yaptığına dair inceleme yapan ve ihlal tespiti ile düzeltme isteyen ilk Avrupa
ülkesi olmuştur. Karar, tüm dünyada büyük etki yaratmış ve tartışma konusu
olmuştur. Kararı haklı bulup harekete geçen ülkeler olduğu gibi, İtalyan
Ulaştırma Bakanı gibi ulusal ticarete ve yeniliğe zarar verebileceği endişesi
ile kararı orantısız bulanlar da vardı. Karar, Amerika’da da ciddi etki yaratmış ve OpenAI yetkilileri İtalyan Veri
Koruma Kurulundan toplantı talep etti.
Yapılan görüşme sonrasında OpenAI bir dizi çözüm önerisi
taahhüdünde bulundu. 13 Nisan’da yayınlanan basın bülteni ile OpenAI’nin söz
konusu karar çerçevesinde GDPR’e uyum sağlamak amacıyla getirdiği çözüm
önerileri genel hatları ile şöyledir: Veri
sahibinin haklarının kullanımına ilişkin şeffaf bilgilendirme dahil, kayıtlı
olsun olmasın İtalya’dan bağlantı sağlayan her kullanıcı verilerinin nasıl ve
ne amaçla işlendiğinin bildirilmesi; web sitesinde veri işleme amacına itiraz
hakkının kullanılması için gerekli altyapının ve yöntemlerin oluşturulmasını
sağlamak, kullanıcının işlenen kişisel verilerinin düzetilmesi ya da silinmesi
talebini yönlendirebileceği ve kolay erişilebilir araç oluşturmak, veri işleme
faaliyetinin yasal dayanağının rıza ve/veya meşru menfaat olduğuna dair
değişiklik yapmak olarak 30 Nisan’a kadar belirlenen bu taahhütlerin yerine
getirileceği belirtilmiştir. Çocuklar için ise 13 yaşının altında olanlarla
birlikte 18 yaşın altında olan çocukların hizmete erişimlerinde ebeveynlerinin
rızalarının olduğunu tespit eden, geçerli rıza olmadığı takdirde çocuk
kullanıcılar yönünde hizmete erişimin sonlanacağı bir sistem oluşturulacağı
taahhüt edilmiş ancak uygulamasına ancak 30 Eylül’de geçilebileceği
belirtilmiştir.
Şu an için 30 Nisan’a kadar taahhüt edilen çözümlerin yerine
getirilerek GDPR’e uyumluluğun sağlanması halinde İtalyan Veri Koruma
Kurulu’nun bunu nasıl değerlendireceği merak konusu. Geçici olarak engellediği
erişimi kullanıcılara açacak mı yoksa çocuklar için gerekli altyapının da
oluşturulmasını bekleyecek mi?
Taraflar arasında çözüm yollarına yönelik toplantılar, kararlar
devam ederken Kanada ile birlikte diğer AB üye devletleri de bu örnek karar
doğrultusunda aksiyon almaya başladılar. Almanya veri Koruma Otoritesi şu ana
kadar İtalya’dan karar gerekçesine dair bilgi ve belge talebinde bulunmuştur. Fransız
Veri Koruma Kurulu (CNIL) ve İspanya Veri Koruma Kurulu (AEPD) de vakit
kaybetmeden resen soruşturma başlatan ülkeler oldu. AEPD yayınladığı basın
bülteninde, bireylerin temel hak ve özgürlüklerini ihlal etmeden teknolojik
gelişmenin olabileceğini vurgulayarak, yapay zeka teknolojilerinin de çalışma
prensiplerinin hak ve özgürlüklere saygılı biçimde olması gerektiğine dikkat
çekmiştir. İspanya Veri Koruma Kurulu’nun çağrısı ile AB veri koruma
otoriteleri arasında işbirliğini ve GDPR’nin doğru uygulanmasını sağlamaya
amacı ile kurulan Avrupa Veri Koruma Kurulu (EDPB), veri koruma
otoriteleri tarafından verilen mevcut ve olası yaptırım kararlarını
değerlendirmek ve bilgi paylaşımını sağlamak için özel bir görev gücü
oluşturmaya karar verdiklerini duyurdu.
Sonuç
İtalyan Veri Koruma Kurulu’nun yapay zeka teknolojilerinin GDPR
hükümlerini ihlal ettiğine yönelik ilk kararı bu değildi. 2023 yılının
başlarında yine Amerika menşeili Replika isimli uygulama için de benzer
gerekçelerle aynı madde hükmüne dayanarak gizlilik politikalarının GDPR’e uyumlu hale getirilmesi yönünde karar vermişti. Ancak buradaki tek fark,
ChatGPT’de de eksiklikler tamamlanana kadar ChatGPT uygulamasına geçici erişim
engeli de getirilmiş olmasıydı. Bu nedenle daha büyük yankılara sebep olmuştur.
Karara ilişkin tartışmaların odağını daha çok geçici süre ile erişimin
kısıtlanması olmuştur. Kararı haklı bulanlar olduğu gibi özellikle devlet
yetkilileri tarafından aşırı ve yeniliklerin gelişmesini engelleyici
bulunmuştur.
Kişisel veriler bir yandan yapay zeka teknolojilerinin kullandığı
algoritmaları beslerken diğer taraftan da algoritmalar kişisel verileri
beslemektedir. Dolayısıyla AI ve personal data birbirine ihtiyaç duymaktadır. Burada
üzerinde durulması gereken husus şudur ki amaç yapay zeka teknolojilerinin
sunduğu hizmetleri engellemek, inovasyona ket vurmak değildir. Burada
hassasiyetle yaklaşılan durum, bireylerin temel hak ve özgürlüklerinin daha
ağır bastığı somut durumda bireylerin kişisel verilerinin işlenmesinin GDPR’e uyumlu olması, inovatif yapay zeka teknolojileri üretilirken bireylerin,
çocukları ve kişisel verilerin korunmasına saygılı olunmasıdır.
AB ülkelerinde GDPR hükümlerinin tavizsiz uygulandığı bir kez daha
görülmüştür. Yukarıda değinilen kararın gerekçeleri dikkate alındığında, verilen
kararın orantısız olduğu düşünülmemektedir. Kişisel verilerin daha fazla zarar
görmesine yol açmasını engellemek adına erişimin kısıtlanması, düzeltme hakkı
verilmeksizin yüksek miktarda idari para cezası uygulanmasına yönelik verilecek
karardan daha hakkaniyetlidir. Çünkü bu teknolojinin varlığı büyük
data setlerine bağlıdır ve teknolojiyi geliştirmek adına kullanım esnasında
kullanıcıların kişisel verileri de işlenmektedir.
Kararın yankısı Kanada dahil diğer EU ülkelerine de sirayet
etmiştir ve resen soruşturmalar/incelemeler başlatılmıştır. Bu noktada, mesela
Türkiye gibi, kişisel verilerin korunmasına yönelik mevzuatının GDPR’a uyumlu
olması gereken ülkelerde bu uygulamaya nasıl yaklaşılacağı merak konusudur. Şu
ana kadar yapılmış bir inceleme/soruşturma başvurusu bulunmamaktadır ancak
vakit kaybetmeksizin gerekli incelemeler yapılarak kişisel verilerin korunması
esaslarına göre kararlar verilmesi gerekmektedir.
Bir diğer merak konusu da 30 Nisan’a kadar OpenAI firmasının taahhüt ettiği çözüm önerilerinin hayata geçmesinden sonra İtalyan Veri Koruma Kurulu’nun özellikle erişimin engellenmesi yönündeki kararını kaldırmaya yeterli olup olmayacağıdır.