Yapay Zekâ Yasası Avrupa Parlamentosu Tarafından Kabul Edildi
Giriş
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi.[1] Böylece Avrupa Parlamentosu, son dönemde gündemden hiç düşmeyen yapay zekâ uygulamaları için dönüm noktası olabilecek bir düzenlemenin adımlarını resmi olarak atmış oldu. Bu aşamayı takiben Avrupa Birliği Bakanlar Konseyi, Avrupa Komisyonu ve Avrupa Parlamentosu arasındaki üçlü müzakereler devam edecek olup ve müzakerelerin 2023 yılının sonlarına doğru sonuçlandırılması öngörülmektedir. Bu nedenle, söz konusu yasal düzenlemenin 2024 yılından itibaren yürürlüğe girmesi beklenmektedir.
Bu makalede dünyadaki ilk yapay zekâ düzenlemesi olarak adlandırılan yasanın önem arz eden hükümlerine mercek tutularak öngörülen kural ve düzenlemelerin şirketlere yansıması ele alınacaktır.
Yapay Zekâ Yasasının Kapsamı
Avrupa Parlamentosu internet sitesinde yapılan açıklamaya[2] göre, gelecekteki yapay zekâ sistemlerine de uygulanabilecek nitelikte tek tip bir tanım[3] oluşturma isteğiyle hareket eden Parlamento’nun önceliği Avrupa Birliği’nde (“AB”) kullanılan yapay zekâ sistemlerinin güvenli, şeffaf, izlenebilir olmasını ve temel hak ve özgürlüklerin korunmasını sağlamaktır. Ayrıca Parlamento yapay zekâ yatırımlarını ve yeniliklerini teşvik etmeyi, yönetişim ve uygulamayı geliştirmeyi amaçlamakta ve yapay zekâ için tek bir AB pazarını teşvik etmektedir. Bu doğrultuda Parlamento kabul ettiği metinde, risk temelli bir yaklaşım benimseyerek kabul edilemez risk oluşturan yapay zekâ uygulamalarını yasaklamayı tercih etmiş ve yüksek riskli kullanım durumları için ise sıkı kurallar belirlemiştir.
Söz konusu yasa, AB’de yerleşik olup olmadığına bakılmaksızın Birlik içerisinde yapay zekâ sistemlerini piyasaya süren veya hizmete sunan sağlayıcılar, Birlik içerisinde yerleşik yapay zekâ sistemi dağıtıcıları, bazı kriterlerin sağlanması halinde yapay zekâ sistemlerinin ithalatçıları ve distribütörleri ile üreticiler açısından uygulama alanı bulacaktır. Yasanın kapsamı geniş tutularak yapay zekâ sistemleri tarafından üretilen bir çıktının AB içerisinde kullanılması halinde, AB sınırları dışında (örneğin Türkiye’de) bulunan yapay zekâ sistem sağlayıcılarının da mevzuata tabi olacağı düzenlenmiştir. Dolayısıyla, yasanın dünya çapında birçok paydaşı etkileyen küresel bir etkisi olacağı görülür.
Buna karşılık, temel hak ve özgürlüklerin korunmasına ilişkin yeterli ve uygun güvencelerin sağlanması halinde, AB dışında yerleşik kamu kurum ve kuruluşları ve uluslararası organizasyonların AB üye devletleri ya da Birlik ile adli iş birliği için imzaladığı uluslararası anlaşmalar çerçevesinde yapay zekâ sistemlerinin kullanılması ise kapsam dışında tutulmuştur. Yasanın kapsamı dikkate alındığında en çok etkilenecek tarafların OpenAI, Google ve Microsoft gibi teknoloji şirketleri olduğu ortadadır.
Yasa metninde gizlilik konusunda bazı düzenlemelere işaret edilerek kişisel verilerin korunması, mahremiyet ve iletişimin gizliliğine dair AB hukukunun, yapay zekâ düzenlemeleriyle bağlantılı olarak kişisel veri işlenen tüm süreçlere uygulanacağı da vurgulanmaktadır.
Yasa Neler Öngörüyor?
Yapay Zekâ Yasası genel hatlarıyla incelendiğinde, Parlamentonun dört temel risk kategorisine (düşük, sınırlı, yüksek ve kabul edilemez) dayanan bir sistematik oluşturduğu, yapay zekadan kaynaklanan risk düzeyine bağlı olarak yapay zekâ modellerinin geliştirilmesi, kullanımı ithalatı, dağıtımı veya üretiminde rol alan tüm tarafların sorumlu olacağı birtakım kurallar belirlediği görülür. Yüksek risk olarak sınıflandırılan sistemler, bireylerin sağlığına, güvenliğine veya temel hak ve özgürlüklerine önemli ölçüde zarar verme potansiyeli taşıyan sistemler olup kabul edilemez risk kapsamında ise bilinçaltı teknikleri ve biyometrik tanımlama kullanan uygulamalar listelenmiştir.
Parlamento tarafından onaylanan yasa metninde, spam filtreleri ve video oyunları minimum riskli yapay zekâ olarak kabul edilirken robotik cerrahi ve sürücüsüz araçlar yüksek riskli yapay zekâ olarak kategorize edilerek sıkı kurallara tabi tutulmuştur. Buna karşılık, bilinçaltı teknikleri, gerçek zamanlı biyometrik sınıflandırma, sosyal puanlama, önleyici kolluk, tahmine dayalı polislik, internete bağlı yüz tanıma veri tabanları ve duygu tanıma yazılımlarının kolluk kuvvetleri, sınır yönetimi, işyeri ve eğitimde yasaklanması öngörülmüştür. Dolayısıyla, yasanın yürürlüğe girmesiyle birlikte kamusal alanlarda akıllı kameralar aracılığıyla yapılan yüz tanıma uygulamalarının yasaklanacağı sonucuna varılabilir. Bankaların internet sitelerindeki sohbet robotları ise sınırlı riskli olarak kabul edilerek özel olarak şeffaflık yükümlülüklerine uymakla yükümlü kılınmıştır.
Madde 6 uyarınca, bir ürünün güvenlik bileşeni olarak kullanılması amaçlanıyorsa veya Ek-2’de listelenen[4] AB uyum mevzuatı kapsamındaysa ve sağlık ve güvenlik riskleriyle ilgili bir üçüncü taraf uygunluk değerlendirmesinden geçmesi gerekiyorsa, bu sistem yüksek riskli olarak kabul edilecektir. Ek-3’te ise, gerçek kişilerin sağlık, güvenlik veya temel haklarına önemli ölçüde zarar verme riski oluşturmaları halinde yüksek riskli olarak kabul edilen 8 kullanım durumu listelenmektedir. Bu listede biyometrik tabanlı sistemler, mesleki eğitim sistemleri, istihdamı ve çalışan yönetimini etkileyen sistemler, kolluk kuvvetlerinde kullanılan sistemler, göç, iltica ve sınır kontrol yönetiminde kullanılan sistemler ve adalet ve demokratik süreçlerin idaresinde kullanılan sistemler yer alır. Bu doğrultuda, örneğin, işe alım veya seçim için kullanılması amaçlanan sistemler, mülakat veya testlerdeki performansı değerlendirmek için kullanılan sistemler ve başvuruları elemek veya filtrelemek ya da test veya mülakatlarda adayları değerlendirmek için kullanılan sistemlerin yanı sıra davranış veya kişisel özelliklere dayalı olarak terfi, fesih ve görev tahsisi hakkında karar vermek için kullanılan sistemler ile performans ve davranışı izlemek ve değerlendirmek için kullanılan sistemler yüksek riskli olarak kabul edilecektir.
Yukarıda verilen örnekte olduğu gibi yüksek riskli olarak kabul edilecek sistemler için öngörülen yükümlülükler sistemle ilişkili kuruluşun türüne göre değişmekle birlikte temelde uyulması gereken 7 yükümlülük olduğu söylenebilir: (i) Risk yönetim sistemi kurulmalıdır; (ii) veri yönetişimi uygulamaları oluşturulmalıdır; (iii) sistem piyasaya sürülmeden önce gerekli teknik belgeler hazırlanmalıdır; (iv) kayıt tutma kolaylaştırılmalıdır; (v) sistem şeffaflığa (kullanıcılara bilgi sağlanmasına) izin verecek şekilde geliştirilmelidir; (vi) sağlık, güvenlik veya temel haklara yönelik riskleri önlemek veya en aza indirmek için uygun insan gözetimine izin verecek tasarım yapılmalıdır; (vii) sistemin yaşam döngüsü boyunca uygun bir siber güvenlik seviyesi kurgulanmalıdır. Yüksek riskli sistemlerin ayrıca bir uygunluk değerlendirmesinden (conformity assessment) geçmeleri gerekir. Bu değerlendirmenin söz konusu model piyasaya sürülmeden önce tamamlanması ve bahse konu modellerin ayrıca oluşturulacak bir AB veri tabanına kaydedilmesi gerekir.
Hangi risk grubu kapsamına girdiğine bakılmaksızın tüm yapay zekâ modellerinin uygulayıcıları için, yapay zekâ ile ilgili Davranış Kurallarını (Code of Conduct) uygulaması tavsiye edilmektedir.
Yasa Kapsamındaki Şirketler Ne Yapmalıdır?
Yapay Zekâ Yasası uyarınca, kapsamda olduğunu değerlendiren kurumlar ve şirketler öncelikle geliştirdikleri veya piyasaya sürmüş oldukları yapay zekâ modelleri olup olmadığını ya da bu kapsamda nitelendirilebilecek bir ürünü üçüncü taraf bir sağlayıcıdan tedarik edip etmediklerini değerlendirmeli ve tanımladıkları yapay zekâ modellerini bir model havuzunda listelemelidir. Oluşturulacak bu envanter ile birlikte yapay zekâ modellerinin amacı, nitelikleri ve yetenekleri netleştirilmelidir.
Yasa metninde yer alan tanımlardan hareketle bir yapay zekâ sağlayıcısı, kullanıcısı, ithalatçısı, dağıtıcısı pozisyonunda kabul edilecek taraflar, tabii oldukları kural ve yükümlülükleri gözden geçirmeli ve bu kurallarla uyumlu olduğundan emin olmalıdır. Uyumu ve uyumun sürekliliğini sağlamak için farkındalığı artırmalı ve bilinçlendirme çalışmaları yapmalı, yapay zekâ sistemleri ile ilişkili riskleri değerlendirmeli, sorumlulukları tespit etmeli, Yapay Zekâ Yasasına uyum için resmi bir yönetişim sistemi oluşturmalı ve yükümlülüklerinin ifası için gerekli altyapıyı oluşturmalıdır.
Yaptırımlar
Yapay Zekâ Yasasında öngörülen kural ve yükümlülüklere aykırılık halinde uygulanabilecek yaptırımlar sektör aktörleri açısından ciddi sonuçlar doğurabilecek niteliktedir. Zira, yasada ihlalin büyüklüğüne bağlı olarak 10 milyon ila 40 milyon Euro ya da yıllık global cironun %2’si ila %7’si arasında değişen oranda para cezaları öngörülmektedir. Bu nedenle, yapay zekâ sistemlerinin üretiminden dağıtımına kadar rol alan tüm paydaşların sorumlu olduğu kuralları gözden geçirmesi ve yasaya tam uyum sağlama amacıyla gerekli adımları atması önem arz etmektedir.
Sonuç
Yapay zekâ sistemleri dünyamızı tahmin edilemez ve geriye dönülemez şekilde dönüştürmeye devam etmektedir. Kişiselleştirilmiş sağlık hizmetleri, sürücüsüz arabalar, sanal asistanlar ve sohbet robotları gibi pek çok yapay zekâ uygulaması günlük hayatlarımızın neredeyse vazgeçilmez birer parçası haline gelmiştir. Ancak yapay zekâ sistemlerinin bu denli hızlı yükselişi bireylerin temel hak ve özgürlüklerinin korunması noktasında birçok endişeye yol açmış ve hatta bazı kurumlar söz konusu endişeleri bertaraf edebilmek adına bu tarz sistem ve uygulamaları yasaklamayı tercih etmiştir.
Buna karşılık, yayımladığı Avrupa Veri Stratejisinde kendisini bir lider olarak tanımlayan AB yapay zekâ sistemlerine ilişkin tarihin ilk resmi yasal düzenlemesinin somut adımlarını atarak yapay zekâ modellerinin geliştiricilerini direkt olarak etkileyen katı bir rejim öngörmüştür. Her ne kadar söz konusu düzenleme henüz yürürlüğe girmemiş olsa da kapsam dahilindeki kuruluşların yasa metnini, haklarını, tabi oldukları kural ve yükümlülükleri incelemesi ve uyum sağlamak için şimdiden hazırlıklara başlaması gerektiği değerlendirilir.
- Avrupa Parlamentosu tarafından kabul edilen Yapay Zekâ Yasası metnine https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.pdf linki üzerinden ulaşılabilir (Erişim Tarihi: 07.08.2023).
- Avrupa Parlamentosu’nun 14 Haziran 2023 tarihli açıklaması için bknz. https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence, (Erişim Tarihi 07.08.2023).
- "Yapay zekâ sistemi" (YZ sistemi), değişen seviyelerde özerklikle çalışmak üzere tasarlanmış ve açık veya örtük hedefler için fiziksel veya sanal ortamları etkileyen tahminler, öneriler veya kararlar gibi çıktılar üretebilen makine tabanlı bir sistem olarak tanımlanmaktadır.
- Ek-2, oyuncakların, asansörlerin, basınçlı ekipmanların ve teşhis amaçlı tıbbi cihazların güvenliğine ilişkin yasalar kapsamındaki ürünleri içerir.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
