Teknolojik inovasyon hayatımızı hızlı şekilde değiştirmeye başladı. Özellikle robotik teknolojide yaşanan gelişme yakın bir gelecekte sosyal hayatımızda da hissedilecek. Endüstriyel alanda yoğun şekilde kullanılan robotlar artık hizmet sektörüne de destek sunmaya başladı. Örneğin, humanoid robot üretiminde önemli bir şirket olan Pal Robotics geceleri ürünleri kontrol etmek amacıyla mağazaların içinde gezen Stockbot’u fuarlarda görücüye çıkardı.
Yine önemli teknoloji şirketlerinden Oppent’in otonom araçları, hastanelerde çamaşırları ya da atık malzemeleri taşıyor, 100 yıllık geçmişi olan Yaskawa şirketinin Motoman robotu laboratuvar örnekleri hazırlıyor, Bristol merkezli OC Robotics nükleer santraller ya da uçak kanatlarının içi gibi tehlikeli noktalarda denetim yapması için yılan kollu robotlar üretiyor.
Fonksiyonlarının genişlemesi ve hizmet robotlarının çalışma ortamları nedeniyle güvenlik gereksinimleri de değişiyor ve karmaşıklaşıyor. Örneğin evin içinde internete bağlanabilen bir robotun kullanılması evin iç mekanının görüntülenebilmesinin yolunu açıyor. Bunlar saat kaçta eve gelip gittiğinizden kimlerle görüştüğünüze kadar hayatınıza dair tüm bilgileri kaydedebiliyor. Bu sayede kullanıcıların kişisel verilerine erişmenin de yolu açılmış oluyor.
Ayrıca yine internet bağlantısı sayesinde robota erişebilen kötü niyetli kişilerin ev sahibinin diğer birçok kişisel bilgisine ulaşması da söz konusu olabiliyor. Bu açıdan, tüketicilere yönelik makinelerde veri güvenliğinin de ön planda olması gerekiyor. Toplanan verilerin kime ait olacağı, hangi biometrik verilerin veya hangi verilerin sensör tarafından toplandığı, ne kadar veri toplandığı, bu verilerin nasıl kullanılacağı konularında şu an tam bir açıklık bulunmamaktadır. (S. Peppet, Regulating the Internet of Things: First Steps Toward Managing Discrimination, Privacy, Security, and Consent, sf.95)
Robotlar açısından hukuksal anlamda bu konuya uygulanabilecek doğrudan bir düzenleme bulunmuyor. Avrupa Birliği’nin düzenlemelerine ve Türkiye’deki uygulamalara bakıldığında bunlar söz konusu problemlere çözüm için fikir verebilir. AB’nin 2002/58/EC Direktifi’ne göre , genel olarak kötü amaçlı yazılım saldırısı gibi belirli riskler söz konusu olduğunda, hizmet sağlayıcı tarafından kişiler bilgilendirilmeli ve bilgilerinin gizliliği sağlanmalıdır. (kısım 4, md.1) Burada kişilerin temel hak ve özgürlüklerini koruma adına hizmet sağlayıcının da yükümlülüklerinin belirlenmesi gerekir.
Türkiye’de KVKK açısından bir değerlendirme yapıldığında veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri bulunmaktadır. Ancak söz konusu yapay zekaya sahip bir robot tarafından kaydedilen veriler olduğunda veri sorumlusu ve veri işleyenin belirlenmesi önemli sorun teşkil etmektedir. KVKK açısından veri sorumlusu, her hangi bir temsilci, sorumlu kişi anlamında değil, doğrudan ilgili gerçek kişi veya tüzel kişi olarak tanımlanmış durumdadır. Örneğin, bir anonim şirketin kendisi bu kanun anlamında tüzel kişi olarak veri sorumlusudur. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Her ne kadar kanunda gerçek kişi veya tüzel kişi olarak belirlenmişse de kendi başına karar alıp uygulayabilen yapay zekalı bir robotça işlenmiş kişisel veriler bakımından veri sorumlusu ve veriyi işleyen kavramlarının yeniden belirlenmesi gerekecektir.
Bu konuya dair düzenlenmiş kanunlar istisnalar getirse de kişisel veriler ilgili kişinin rızası olmaksızın işlenemez. Sosyal hayatta hizmet sektöründe kullanılan veya evimizde bulunan robotların kameralar ve internet bağlantısı yoluyla tam olarak hangi bilgilerimize eriştiğini fark edemeyebiliriz. Bu robotlarca toplanan kişisel verinin amacının dışında kullanılmaması gerekir. Yine AB’nin 2009/136/EC Direktifi’nde, kişisel veri ihlali durumunda hizmet sağlayıcının, kişilere gerekli önlemleri almaları için bildirimde bulunması, bu bildirimin ihlali gidermek için alınan önlemlerin yanı sıra ilgili kişiye tavsiyeler de içermesi gerektiği belirtilmektedir. ( md.61)
KVKK düzenlemesinde de veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Yukarıda belirtilmiş olduğu gibi burada da kullanılan robotik teknoloji açısından yazılımcı ve üretici bakımından veri sorumlusu kavramının aydınlatılması gerekir.
Kişisel veriler ilgili kişinin açık rızası olmadan aktarılmamalıdır. Ancak özellikle bulut teknolojisinin robotlara uygulanmasıyla verilerin gizliliği ve güvenliği açısından daha büyük bir risk altına giriliyor. Robotların internet aracılığıyla aralarında veri transferi yapması kişisel verilerin aktarılması tehlikesini artırıyor. Bu noktada kişisel verilerin güvenliğinin sağlanması amacıyla örneğin, yetkisiz erişimi, kötücül kod dağıtımını önleme gibi tedbirler alınmalıdır. EU 2016/679 sayılı Tüzük’teki düzelemeye baktığımızda, veri güvenliği değerlendirilirken oluşabilecek maddi veya maddi olmayan zararlar nedeniyle kişisel veri işleme yoluyla oluşan risklere dikkat edilmesi vurgulanmaktadır. (md.49) KVKK’da da, kişisel verilerin üçüncü kişilere aktarılmasında ilgili kişinin açık rızası aranmaktadır. Ancak bir robotun hangi bilgileri kaydettiğini ve bu verileri hangi üçüncü kişilere, ne zaman aktardığını, sonrasında ise oluşabilecek zarardan sorumluluğu tespit şu an büyük bir belirsizlik yaratıyor.
Değinilmesi gereken başka bir nokta ise bireylerin kendilerine ait verilerin toplanmasına ve aktarılmasına önceden izin verip veremeyeceğidir. Robotta bulunan ve birtakım verileri kaydedeceğini bildiğimiz çipin aktif halde bulunmasını istemeyebiliriz. Burada karşımıza yeni bir hak çıkar “çipi etkisiz hale getirme hakkı”. Bu bir opt-out (vazgeçme/çekilme) usulüdür. Çip başlangıçta aktiftir, kullanıcı daha sonra çipi etkisiz hale getirebilmektedir. Bir başka usul ise opt-in(dahil olma)dir. Burada ise çip başta aktif değildir, kullanıcı aktif hale getirip getirmemeye karar verir.(Yrd. Doç. Dr. A. Ebru Bozkurt Yüksel, Nesnelerin İnternetinin Hukuki Yönden İncelenmesi, sf.123)
Kullanıcının bilgisi dahilinde olmadan, önceden yerleştirilmiş çiplerin veya eklentilerin kişilere ait özel nitelikli verileri, açık rıza olmaksızın işlemesi de bir yaptırımla düzenlenmelidir. Ayrıca kişiler, robot tarafından uygun olarak işlenmiş olan verilerin, unutulma hakkının bir karşılığı olarak, silinmesini isteme hakkına da sahip olmalıdır. İşlenmesini gerektiren veriler re’sen veya ilgili kişinin talebi üzerine anonim hale getirilebilir. Ancak evlerde kullanılan robotlar özel hayata dair en hassas bilgileri kaydedebildiğinden bu verilerin anonim hale getirilmesi de pek mümkün gözükmüyor.
Genel olarak, yapay zekalı robot teknolojisinin henüz gelişme aşamasında olduğunu söyleyebiliriz. Bu alanda bireylerin toplanan verilerinin nasıl kullanılacağı, gizliliğinin ve güvenliğinin nasıl sağlanacağı konusunda bir açıklık söz konu değil. KVKK ve ilgili yönetmeliğe bakıldığında, kişisel verilerin işlenmesinde uyulması gereken ilkeler, verilerin işlenme şartları, silinmesi, yok edilmesi ve anonim hale getirilmesi, aktarılması, kişilerin bilgilendirilmesi ve yükümlülükler gibi pek çok önemli nokta düzenlemiş olmakla birlikte kullanıcıların bilgilerinin gizliliği, genel veri korumasına dair AB ile uyumu sağlayan düzenlemelere ihtiyaç var. Şu aşamada robotik teknolojinin getirdiği sorunlara mevcut düzenlemelerin yorumlanması yoluyla çözüm üretilebilse de gelecekte yapay zekalı robotlara yönelik standartların belirlendiği özel düzenlemelerin yapılması gerekecektir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Bu güzel yazı için teşekkürler, “Yılan kollu robotlar” kısmına yerleştirdiğiniz linkte bir sorun var, iyi günler.