KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN SOHBET ROBOTLARI HAKKINDA BİLGİ NOTU YAYIMLANDI

12.11.2024

KİŞİSEL VERİLERİ KORUMA KURUMU TARAFINDAN SOHBET ROBOTLARI HAKKINDA BİLGİ NOTU YAYIMLANDI

Kişisel Verileri Koruma Kurumu (“Kurum”) sitesinde 8 Kasım 2024 tarihinde yayımlanan Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu’nda (“Bilgi Notu”) sohbet robotunun ne olduğu, yapay zeka sohbet robotlarının işlevi, hangi kişisel verilerin işlendiği, kişisel veri güvenliği açısından riskler ve sohbet robotu uygulamaları geliştirirken nelere dikkat edilmesi gerektiği hususlarına yer verilmiştir. Bilgi Notu’nda öne çıkan hususlar aşağıda özetlenmiştir:

• Sohbet robotunun (“Chatbot(lar)”), kullanıcının bir arayüz aracılığı ile kendisine verdiği görevleri veya direktifleri yerine getirmeye çalışan, son kullanıcıyla insan konuşmasını simüle eden bir yazılım olarak tanımlanabileceği belirtilmiştir.
• Chatbotlar’ın kullanıcı girdilerini anlamak amacıyla doğal dil işleme (“Natural Language Processing-NLP”) tekniklerinden faydalandığı ve özellikle yapay zeka Chatbotlar’ı bakımından bağlam, niyet ile duyguyu anlamlandırma kabiliyetinin ve önceki etkileşimlerinden elde ettikleri bilgi ile süreklilik arz eden öğrenme ve gelişme süreçlerinin mevcudiyeti vurgulanmıştır.
• Chatbotlar’ın NLP’nin yanı sıra NLP’nin alt dalları olan doğal dil anlama ve doğal dil üretimi teknolojilerinden faydalanması sonucunda müşteri destek, soru cevaplama, kod programlama, bilgi arama, metinleri kontrol etme, içerik oluşturma, çeviri yapma, duygu analizi gerçekleştirme ve benzeri işlevler ile insan ihtiyacını en alt seviyeye indirerek zaman, maliyet ve performans tasarrufu sağladığı ve böylece kullanıcıların, kısa zamanda bilgi, çözüm veya sonuca ulaşmasını mümkün kıldığına yer verilmiştir.
• Chatbotlar’ın günlük hayata adaptasyonları hızlanırken birçok kurumsal şirketin de yapay zeka Chatbotları hizmetlerini bünyelerine dahil etmeye başladığı belirtilerek OpenAI'ın ChatGPT, Apple'ın Siri, Amazon’un Alexa ve Google'ın Gemini akıllı sanal asistanları örnek olarak verilmiştir.

• Yapay zeka Chatbotlar’ı kullanılırken temel olarak;

• Hesap oluşturulduğunda ad, iletişim, hesap kimlik ve hesap bilgilerinin,
• Uygulamalar kullanıldığında sağlanan girdilere, dosya yüklemelerine veya geri bildirimlere dahil olan içerik bilgilerinin,
• Gönderilen mesajların içeriğinin ve iletişim bilgilerinin,
• Sosyal medya sayfaları ile iletişimde bulunulduğunda paylaşılan sosyal medya bilgilerinin,
• Tarayıcının veya cihazın otomatik olarak gönderdiği İnternet Protokolü (IP) adresi, tarayıcı türü ve ayarları, erişim zamanları, bilgisayar, mobil cihazın türü ve benzeri bilgilerin,
• Çerez bilgileri ile kişiler tarafından sağlanan metin içeriği, konuşma, ses verisi ve benzeri diğer verilerin

hizmet sağlamak, yönetmek, sürdürmek ve/veya analiz etmek, daha iyi bir kullanıcı deneyimi sağlamak, hizmetleri geliştirmek, kullanıcılar ile iletişime geçmek, bilgi teknolojileri sistemlerinin güvenliğini sağlamak, yeni programlar ve hizmetler geliştirmek, yasal yükümlülüklerin yerine getirilmesi ve veri sorumlularının meşru menfaatlerinin korunması şeklinde birçok amaçla işlenebileceği öngörülmüştür.

• İlgili uygulamaların kullanımında, öncelikli olarak kişilerin kullanım amaçları ve farkındalık düzeylerinin önem arz ettiği belirtilmiştir. Kişisel veri güvenliği kapsamında, şeffaflık konusu yapay zeka Chatbotlar’ı bakımından dikkate alınması gereken bir husus olarak ifade edilmiştir. Bu kapsamda, (i) verilerin nasıl ve hangi amaçlar doğrultusunda kullanıldığı, (ii) kimlerle paylaşılacağı, (iii) hangi verilerin ne kadar süreyle saklanacağı ve (iv) veri sorumlusunun ve varsa temsilcisinin kimliği ile ilgili kişilerin sahip olduğu haklar ve benzeri konularda yeterli bilgilendirmenin yapılması, ilgili kişilerin kişisel verileri üzerindeki kontrol sağlayabilmesi açısından önem arz etmektedir. İlgili kişilerin mahremiyetlerini riske atabilecek düzeyde bilgi paylaşması olarak karşılaşılan kullanıcı farkındalığının düşüklüğünden kaynaklı problemler yaşanabileceği gibi Chatbot uygulamalarındaki teknik zafiyetlerin kötüye kullanılması yoluyla siber saldırılar ve veri ihlalleri ve benzeri problemlerin yaşanması riskinin söz konusu olduğuna değinilmiştir.

• Uygulamaların geliştirilmesi aşamasında ise, (i) kişisel verileri işlemeye başlamadan önce risk değerlendirmesi yapılması, (ii) uygulamalar oluşturulurken hesap verebilirlik ilkesine uygun hareket edilmesi, (iii) faaliyetlerin kişisel verileri koruma mevzuatında belirlenen genel ilkelere uygun gerçekleştirilmesi, (iv) kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. ve 6. maddelerine uygun olarak işlenmesi ve eğer işleniyorsa yasal dayanağının açıkça belirtilmesi, (v) Kanun’un 10. maddesi çerçevesinde veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi ve (vi) kişisel veri güvenliğine ilişkin gerekli teknik ve idari tedbirlerin alınması şeklinde dikkat edilecek hususlara yer verilmiştir.
• Kişisel veri işleme faaliyetinin söz konusu olduğu bu tür uygulamalarda, mahremiyetin korunması ve veri güvenliğinin sağlanması amacıyla uluslararası standartlara uygunluk, sertifikasyon ve veri iletişiminde metin, ses, konuşma ve görüntü girdilerinin güvenli ortamlarda iletilmesi adına yine güvenli yöntemlerin tercih edilmesi de dahil olmak üzere her aşamada mahremiyet odaklı yaklaşımların dikkate alınmasının önemi vurgulanmıştır.
• Yapay zeka alanında faaliyet gösteren geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcıların Kişisel Verileri Koruma Kurulu tarafından belirlenen tavsiyelere dikkat etmesi ve veri sorumlusu ya da veri işleyen olarak kişisel verilerin korunması mevzuatı kapsamındaki yükümlülüklerin yerine getirilmesi gerektiğine değinilmiştir.
• Özellikle, çocuklara yönelik olarak olumsuz deneyimlerin engellenmesi adına proaktif bir yaklaşım benimsenmesi ve yaş tespitinin de doğru ve güvenilir şekilde yapılması gerektiğinin üzerinde durulmuştur.

Bilgi Notu’na buradan ulaşabilirsiniz.