SON DAKİKA
Teknoloji Pazar 27 Ekim 2024 16:51

VERİ GÜVENLİĞİNE YATIRIM YAPILMIYOR

Avukat Özlem Kurt, "Türkiye'de şirketlerin veri güvenliğine yeterli yatırımı yaptıklarını söyleyemiyorum. Hatta tam tersine veri güvenliği riskinin patlamaya hazır bir bomba olduğunu vurgulamak isterim" dedi

Veri güvenliğine yatırım yapılmıyor

Avukat Özlem Kurt, dijital dünyanın hukuki boyutlarını açıkladı

2016’da çıkan KVKK ile birlikte Türkiye’de şirketler veri güvenliğine yeterli yatırımı yapıyorlar mı? 

Ne yazık ki Türkiye’de şirketlerin veri güvenliğine yeterli yatırımı yaptıklarını söyleyemiyorum. Hatta tam tersine veri güvenliği riskinin patlamaya hazır bir bomba olduğunu vurgulamak isterim.  Siber saldırıların günlük maliyeti 1 milyon doları dahi bulabiliyor. Oysaki bu alana yapılacak yatırım, alınacak önlemlerin maliyeti çok daha düşük.  

2016 itibariyle Kişisel Verilerin Korunması Kanunu yürürlüğe girdi ve şirketlere uyum için iki yıllık bir geçiş süreci tanındı. Aynı zamanda belirli çalışan sayısı veya bilanço büyüklüğü eşiklerini aşan şirketler için Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt yapılması yükümlülüğü getirildi ve kayıt için tanınan bu süre birkaç kez uzatıldı.  Ancak pandemi sonrasında tüm dünyada yaşanan ekonomik kriz şirketlerin bu alandaki yatırımlarını sınırlı tutmasına neden oldu. 

Dijitalleşmenin hayatımızda edindiği yer düşünüldüğünde yerel ve uluslararası şirketlerin ölçeklerine bakmaksızın bu uyum çalışmalarını tamamlaması ve gerekli idari, hukuki ve teknik önlemleri almaları hukuken zorunlu olmanın ötesinde, kendileri için de zamanın ihtiyaçlarının başında geliyor. Çoğu şirket ve profesyonel bu konunun önemini ve yapılması gerekenleri biliyor. Ancak burada dikkat edilmesi gereken derinliği olmayan, şirket operasyonel yapısına, faaliyet alanı ve ihtiyaçlarına uygun olmayan, yalnızca zorunlu dokümantasyon ve prosedürün kağıt üstünde kaldığı, kültürel değişim ve uygulama ile desteklenmeyen çalışmaların, gerçek anlamda ve sürdürülür bir veri koruma yapısı kurulmasına ve şirketlerin korunmasına hizmet etmeyeceğidir.  

Şirketlere çağrı

 

Siber güvenlik tehditlerinin artması ve kişisel verilerin korunması gerekliliği çok belirgin hale gelmişken bir hukuk danışmanı olarak şirket ve kurumlara hangi çağrılarda bulunmak istersiniz? Ülkemizde özellikle hangi sektörler siber saldırıların tehdidi altında? 

Hızla gelişen teknoloji ve dijitalleşme, veri güvenliği endişelerini de artırıyor. Dijital çağda kimlik doğrulama hem bireyler hem de kurumlar için kritik bir öneme sahip olurken siber güvenlik tehditlerinin artması ve kişisel verilerin korunması gerekliliğini daha da belirgin hâle getiriyor. Teknolojinin hemen her alana yayılmasıyla birlikte artan siber saldırılar milyonlarca ve hassas kişisel verinin sızmasına yol açıyor ve kişilerin mahremiyetlerinin zarar görmesi tehdidi ile karşı karşıya bırakıyor.  

Öncelikle artık çağımızda verinin önemini ve ekonomik değerinin farkında olmak ve bunun beraberinde getirdiği riskleri kabul etmek gerekiyor. Sadece kişiler değil şirketler olarak bu risk ile karşı karşıya olunduğunu bilerek, önce önlem alarak korunmanın alt yapısını kurup uygulanmasını sağlamak, sonra da tüm bunlara rağmen bir ihlale maruz kalınırsa hukuken nasıl hareket edilmesi gerektiğini bilmek gerekiyor.

Genellikle faaliyeti e-ticaret, veri işlemek veya mali veriler olan şirketlerin bu saldırıların hedefi olduğu yanılgısı hakim. Ancak durum tam olarak böyle değil. Her ölçek ve faaliyet konusu şirket için ve hatta kişisel veri işleme faaliyeti büyük oranda yalnızca çalışanlarının verisinden ibaret olan üretim şirketleri için dahi aynı oranda risk söz konusu. Bununla beraber elbette bazı sektörler daha çok dikkat çekiyor ve bir ihlal olduğunda basında daha çok yankı uyandırıyor. Bankacılık sektörü bunların başında geliyor. Uluslararası bir rapora göre Amerika’daki bankaların cirolarının bilişime oranı yüzde 4 ila 16 arasında değişirken, Türkiye’de ise bu oran çok altında kalıyor. 

Hacken saldırıları

Hacker saldırıları veri güvenliğini tehdit ediyor. Kurumlar ve şirketler hacker saldırılarına karşı yeterli önlemleri alıyorlar mı? 

Şirketlerin çoğu ne yazık ki veri güvenliğine dair ihtiyaçlarını bu konuda bir risk ortaya çıkıp sorun haline geldiğinde gündemlerine alıyorlar. Bu tehditlerin başında bilişim sistemine dışarıdan müdahale edildiği “hacker saldırıları” geliyor. Oysaki olması gereken hem hukuken hem de riski önleme adına, veri ihlali ile karşı karşıya kalmadan veri güvenliği ve gizliliği için gerekli hukuki, idari ve teknik adımların atılmasıdır.  Hukuki uyumluluk tam olarak bunu amaçlamaktadır. 

Her ne kadar dışarıdan yapılan müdahaleler yani hacker saldırıları daha çok dikkat çekiyor olsa da uygulamada kişisel veri koruma alanındaki ihlallerin büyük kısmının şirket içinden çalışanın ihmal, hata veya kastından kaynaklandığını görüyoruz. Bu bağlamda şirket içinde gerekli yetki matrisi ve erişim yapısının kurulması ve işletilmesi, bu konuda sürdürülür uygulama için kurum kültürünün düzenli eğitimlerle desteklenmesi ve en nihayetinde alt yapıda teknik güvenlik önlemlerinin alınması büyük önem taşıyor. 

Bahsi geçen önlemlerin her zaman çok kapsamlı ve maliyetli olduğu yanılgısı da hakim. Oysaki, şirketler hukuken zorunlu siber güvenlik önlemlerini alıyor ama flash bellek ile veri aktarımı konusundaki basit güvenlik riskini önleyemeyebiliyor. Bu bakış açısı bütüncül bir koruma ve mahremiyet sistemi kurulması ile söz konusu olabilir. 

Veri ihlalleri ile şirketlerin kaybettikleri verinin değeri ve itibarın maliyetine dikkat çekiyoruz ve bunlar elbette çok daha önemli ama diğer yandan Kişisel Verileri Koruma Kurumu tarafından cezalar da şirketler için önemli büyüklükte. 2024 yılında veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde verilecek idari para cezalarının üst sınırı her bir ihlal için 9 milyon 463 bin 213 lira olarak uygulanmakta. 

Hukuksal yaklaşımlar

Yapay zeka kullanımında hukuki tanımlar, makinelerin düşünebileceğine dair hukuksal yaklaşımlar nasıl gelişti? 

Yapay Zeka (YZ) tanımının ortak bir tanımı olmamakla birlikte tarih boyunca birden çok tanımı yapılmıştır. YZ tanımının tarihçesine baktığımızda, tartışmaların doğuşu, Alan Turing'in 1950'de yayınlanan eseri "Computing Machinery and Intelligence" ile başlamaktadır. Alan Turing makalesinde "Makineler düşünebilir mi?" sorusundan yola çıkar ve bir bilgisayarın, belirli koşullar altında insani tepkileri taklit edip edemeyeceğini sorgulayarak, makine öğrenmesine yönelik ilk düşüncenin temellerini atar. 

TDK’de kelime anlamı olarak YZ şu şekilde tanımlanmaktadır: ‘’Bir bilgisayarın, bilgisayar kontrolündeki bir robotun veya programlanabilir bir aygıtın insana benzer biçimde algılama, öğrenme, fikir yürütme, karar verme, sorun çözme, iletişim kurma vb. işlevleri sergileyebilme yeteneği’’. 

Yapay zekanın gelişimi ve kullanım alanlarının hızla genişlemesi ve artık dünyanın en büyük teknoloji şirketlerinin bu alana yapmış oldukları yatırımların büyüklüğü konunun önemini açıkça göstermektedir.  Ancak yapay zekanın öngörülemeyen bu gelişim hızı sebebiyle tüm Dünya’da bazı belirsizlikler endişe yaratmaktadır.  Yapay zekayı; güçlü yapay zeka (AGI) ve zayıf yapay zeka olarak temel bir ayrıma tabi tutabiliriz. Zayıf veya dar yapay zeka; sürücüsüz araçlara, algoritmik görüntü oluşturuculara ve sohbet robotlarına güç veren yapay zeka türü olarak sınıflandırılmaktadır.  Zayıf yapay zekaya örnek olarak ChatGPT, Midjourney, Stable Diffusion, DALL-E ve Bard gibi yapay zeka araçları örnek olarak verilebilmektedir. AGI’nın güçlü yapay zeka olarak değerlendirilmesi ise hesaplama gücünün, analitik düşünme ve diğer entelektüel yetenekler de dahil olmak üzere insan beyninin yeteneklerini taklit edebileceği inancına dayanmaktadır. 

AGI, hala geliştirilmesi gereken ve bir insan gibi öğrenen, düşünen ve davranan bir yapay zeka tipidir. Günümüzde bu tip bir yapay zeka modeli, “bildiğimiz kadarıyla” hala mevcut olmadığından AGI’ye somut bir örnek verilememektedir.

Yapay zeka öğrenme sürecinde

Yapay zeka kullanımında telif hakkını açabilir misiniz? 

Büyük Veri (Big Data) ve yapay zeka arasında karşılıklı ve çok önemli bir ilişki vardır. 

Yapay zeka hala öğrenme sürecindedir ve büyük miktarda ve çeşitli kaynaklardan toplanan metinler, kitaplar, makaleler, web içerikleri ve daha fazlası ile gelişmeye devam etmektedir. Tam bu noktada yapay zekanın kendisini geliştirmek üzere açık kaynaklardan telif bedeli ödenmeden kullandığı veriler ile ilgili hukuki sorunlar karşımıza çıkmaktadır. 

Telif hakkı, her türlü fikrî emek ile meydana getirilen bilgi, düşünce, sanat eseri ve ürününün kullanılması, kopyalanması, çoğaltılması gibi eser sahibinin mülkiyet haklarını ifade eder.  

OpenAI‘nın herhangi bir telif ücreti ödemeden ChatGPT-3.5 ve ChatGPT-4 gibi son teknolojik dil modellerinin eğitilmesi sırasında üçüncü kişilere ait verileri izinsiz kullanması telif haklarına aykırılık teşkil ettiği tartışmaları sıkça gündeme gelmektedir ve özellikle başta ABD olmak üzere telif düzenlemesinin etkin işletildiği ülkelerde yapay zekanın eğitilmesi sırasında kullanılan kazıma robotunun veri işleme sorunu artan sayıda uyuşmazlığa konu olmaktadır. 

Bu uyuşmazlıklardan biri de Newyork Times Gazetesi’nin Chatgpt ve Microsoft’a telif hakkı ihlaline ilişkin davasıdır. Newyork Times dava dilekçesinde; Davalıların, Times’ın telif hakkıyla korunan içeriğini, Times’a herhangi bir lisans veya başka bir bedel ödemeden defalarca kopyaladıklarını ve milyonlarca Times eserinin, GPT modellerini ‘eğitmek’ amacıyla birçok kez kopyalayarak kullandıklarını iddia etmiştir.

Türk hukuku açısından yapay zekanın eğitilmesi ve mülkiyet sorununa nasıl yaklaşılmaktadır? 

Türkiye’de telif hakları Fikir ve Sanat Eserleri Kanunu (FSEK) uyarınca bir eserin, sahibinin izni olmaksızın her türlü görüntü, ses veya işaret iletimini sağlayan cihazlar aracılığıyla işlenmesi, çoğaltılması, yayımlanması veya temsili halinde eser sahipliğinden doğan haklar ihlal edilmiş sayılmaktadır.  YZ sistemlerinin eğitimi sırasında, eğer FSEK kapsamında telif hakkı ile korunan eserler izinsiz kullanılırsa, eser sahibi bu kullanımı durdurabilir ve kullanım için telif ödenmesini dava yoluyla talep edebilir. Bu bağlamda artık gelişiminin durdurulmasının zor olacağı aşikar olan yapay zeka sistemlerinin, telif haklarını ihlal etmeyecek şekilde eğitilmesine imkan verecek alt yapılar kurulması önemlidir. Hem hukuki sorunları önlemek hem de telif haklarına saygılı bir davranış modeli oluşturmak bakımından bu önemlidir.  

Yapay zeka, hayatımızın her alanına girmekle beraber çeşitli eserler üretme konusunda da kendini geliştirmiştir. Günümüzde yapay zeka ile resim (Dall-E), müzik (Jukebox; Annie), hikaye/roman (Rytr), şiir (Annie), çizgi roman (GPT-3+Dall-E) vs. eserler üretmek mümkündür. Bu eserler FSEK kapsamında korunan eserler olup üretilmesi durumunda karşımıza çıkacak temel hukuki sorun “mülkiyet hakkı” sorunudur. Yani yapay zekanın ürettiği eserlerin mülkiyeti hakkı kime ait olacaktır? üzerinde tartışılacaktır. FSEK kapsamında “eser” ve “eser sahibi” tanımlanmıştır ve “sahibinin hususiyetini taşıyan ve ilim ve edebiyat, musiki, güzel sanatlar veya sinema eserleri olarak sayılan her nevi fikir ve sanat mahsulleri”, eser sahibi ise “eseri meydana getiren kişidir” denmiştir. Yapay zeka konusunda sorun tam da buradadır. Bahsi geçen eser sahibi yapay zeka olduğunda mülkiyet hakkı kime ait sayılır? 

Türk hukukunda yalnızca gerçek kişiler ve belirli tüzel kişilere kişilik verildiğinden bu husus bakımından yapay zekanın eser sahipliğinden bahsetmenin şu anki mevcut düzenlemeler bakımından mümkün olmadığını ve mevcut düzenlemelerin bu konuda yetersiz kaldığını söyleyebiliriz.

AB Yapay Zeka Yasası

Avrupa Birliği (AB), yapay zeka alanında düzenlemeler getiren ve 2025’te yürürlüğe girecek olan “AB Yapay Zeka Yasası” üzerinde anlaşmaya vardı. Dünya yapay zekaya erişimin kısıtlanmasına mı gidiyor?

Evet, Avrupa Birliği (AB), yaklaşmakta olduğumuz 2025 yılı için yapay zeka alanında düzenlemeler getiren “AB Yapay Zeka Yasası” üzerinde anlaşmaya vardı. Avrupa Parlamentosu tarafından hazırlanan ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT gibi dil tabanlı yapay zeka araçlarını doğrudan etkileyecek kural ve düzenlemeler içeren yasa 14 Haziran 2023 tarihinde gerçekleşen oylamada oyçokluğuyla kabul edilmiştir. Dünya çapında daha güvenli ve şeffaf bir standart belirlenmesi için ChatGPT gibi büyük modellere önemli yükümlülükler getirmektedir.

Düzenlemede yapay zeka, "düşük riskli, sınırlı riskli, yüksek riskli ve kabul edilemez" olarak dört ana kategoride tanımlandı. Yasa şu düzenlemeleri içermektedir:

(i) Spam filtreleri ve video oyunları gibi minimum riskli yapay zekaya izin verilecektir.

(ii) Bankacılık veya havayolu internet sitelerindeki sohbet robotları gibi sınırlı riskli yapay zeka, şeffaflık yükümlülüklerine uymak zorundadır.

(iii) Kendi kendine giden taşıtlar ve robotik cerrahi gibi yüksek riskli yapay zeka katı kontrollere tabi olacaktır.

(iv) Sosyal puanlama için yapay zeka kullanımı kesinlikle yasaklanacak. Vatandaşların davranışlarını analiz eden ve bu temelde değerlendiren sistemlere izin verilmeyecektir.

Ayrıca ChatGPT’yi kullanan çocukları yaşına uygun olmayan cevaplara maruz bırakması sebebiyle 13 yaş altı kullanıcılar için ChatGPT kullanımının İtalya’da olduğu gibi Türkiye’de de yasaklanması gerekmektedir. Nitekim İtalya’da 13 yaş altı için kullanımı yasak olmasına karşın 13 ila 18 yaş arasındaki çocukların ise velilerinden izin alması gerektiğine yer vererek kullanıcıdan onay alınmasını sağlayan bir mekanizma kurmuştur.  

Yapay zekaya erişimin kısıtlanmasının doğuracağı sonuçlar nelerdir? Biz Türkiye olarak neler yapmalıyız? 

YZ’nin insanlık tarihi için yazının buluşu kadar önemli olduğu unutulmamalı ve teknoloji alanındaki güncel gelişmelerinin doğuracağı sosyolojik ve hukuki sonuçların zamanında ve doğru şekilde değerlendirilerek önlemler alınması büyük önem taşır. Yapay zekanın sebebiyet verdiği fiillerin hukuki ve cezai sorumluluğu ve buna ilişkin düzenlemelerin yapılmasının gerekliliği ve önemi her geçen gün artmaktadır. 

Türkiye’de mevzuat yapay zekaya ilişkin olarak henüz hala çok yetersizdir. Biz uygulayıcılar hali hazırda mevcut mevzuat, doktriner görüşler ve özellikle de AB düzenlemelerini dikkate alarak bu alandaki ihtiyaçlarda yorum yapıyoruz ve bir anlamda bu alandaki hukuk uygulamasının temellerini atıyoruz.

Bu anlamda Türkiye’deki mevzuatın da Dünya’daki gelişmelerin takipçisi olarak bir an önce güncellenme gerekliliği önem arz etmektedir.

Dijital vatandaşlık nedir? 

Dijitalleşmeyle birlikte tüm dünyayı, devletleri ve kişileri etkileyen bir dönüşüm yaşanmaktadır. Bu dönüşüm, vatandaşlık kavramının yeniden şekillenmesini de beraberinde getirmektedir. Dijital çağda her şeyin bir "sayısal" karşılığı bulunmakta ve bu durum, geleneksel vatandaşlık anlayışından oldukça farklı yeni bir kavram olan dijital vatandaşlığın ortaya çıkmasına neden olmaktadır.

Dijital vatandaşlık, coğrafi sınırlardan bağımsız olarak tüm dünyada geçerli bir olgudur ve internette var olabilmek, belirli sözleşmeleri kabul etmek bu vatandaşlık türünü kazanmak ve kullanmak için yeterli görülmektedir. Dijital ortamdaki verilerle yeni bir vatandaşlık statüsü oluşturulması henüz resmiyette olmasa da uygulamada mümkün görünmektedir. 

Dijital vatandaşlık, geleneksel vatandaşlık kavramını zayıflatıyor mu? 

Salgın döneminde hızlanan dijitalleşme, vatandaşların kendi toplumlarıyla olan bağlarını zayıflatırken, dijital ortamlarda daha yoğun ilişkiler kurmalarına yol açmıştır.

Coğrafi sınırlara dayalı geleneksel vatandaşlık anlayışının küreselleşme ile birlikte zayıflaması ve dijital platformların tüm dünyada yaygın şekilde ve vatandaşlık hukuki bağından bağımsız olarak erişilebilir olması gibi etkenler, dijital vatandaşlık kavramının önem kazanmasına yol açmıştır.

Vatandaşlık, birey ile devlet arasında karşılıklı haklar, görevler ve yükümlülükleri tanımlayan hukuki bir ilişkidir. En temel anlamıyla, vatandaşlık bireyin bir devlete ait olma durumunu ifade eder. "Dijital" kelimesi ise sayısal verilerin, elektronik bir ekran üzerinde gösterilmesi veya işlenmesi ile ilgilidir. Dijital vatandaşlık, dijital dünyada, çevrim içi ortamlarda bir birey olarak bilgisayar, internet ve diğer dijital iletişim araçlarını sorumlu bir şekilde kullanarak, tanıdık veya tanımadık kişilerle veya yapılarla (örneğin internet siteleri ile) çevrimiçi ortamlarda kurallara uygun ve güvenli bir şekilde iletişim kurmasına dair bir yaklaşımdır.  Klasik vatandaşlık kişinin devlete bağlılığı ve sorumluluklarını olması gereke şekilde yerine getirmesine odaklanmışken, Dijital vatandaşlık ise en genel kapsamı itibariyle teknoloji kullanımına ilişkin hak ve sorumluluklar bütününde yer alan, herkes için güvenli, doğru etik, amaca uygun ve herkese karşı sorumluluk içeren davranış normları olarak ifade edilebilir.

Pekiyi kişiye yüklenen bu yeni tanımlama ve bu kapsamda hak ve sorumluluklar neleri kapsamaktadır? 

Dijital vatandaş, her şeyden önce kendine ve kendi kişisel verileninin korunmasına dair sorumluluklar taşırken, aynı zamanda ortamdaki diğer bireyler için de aynı sorumlulukla hareket etme bakış açısına sahip olmalıdır. Dijital dünyada en sık karşılaşılan sorunlardan biri artık bilgiye kolay erişebilirken, diğer taraftan bilginin doğru ve güvenilirliğinin tespitinin zor olmasıdır.

Bu bağlamda dijital vatandaş olarak sorumluluklarımız içinde her zaman bilginin içeriğini, kaynağını ve iletişim taraflarını sorgulamak, çevrimiçi yapılan davranışların fiili ve etik sonuçlarının farkında olmak, teknolojiyi başkalarına zarar vermeyecek şekilde kullanma sorumluluğunu taşımak, internet ortamında iletişim ve bilgi edinme hakkını kullanırken diğer yandan yaptığı paylaşımlarında ve iş birliğinde doğru tutumu sergilemek ve başkalarını da bu yönde teşvik etmek sayılabilir.

Bu mecralarda yapılan her türlü faaliyet kapsamında özellikle güvenlik açısından alışkanlık haline getirilmesi gereken uygulamalar bakımından, bilginin kaynağının kontrolü, bilginin çift doğrulama ile güvenliği, şifre güvenliği, kimlik kontrolü, kullanılan bağlanma ortamındaki siber güvenlik kontrolü sayılabilir. 

Bu mecralardaki her türlü kullanımda ve her zaman gizlilik kaygısı ve kişilik haklarına saygı duyulmalı, haber alma özgürlüğünün bilincinde olup bu hak kullanılırken diğer yandan sınırları bilinmelidir.

Dijital vatandaşlığın temel unsurları nelerdir? 

Dijital haklar ve sorumluluklar, dijital vatandaşlığın temel unsurlarıdır. Bireylerin dijital dünyada sahip oldukları beklentileri ve yükümlülükleri tanımlarlar. Fiziksel hayatımızda hak ve sorumluluklarımız olduğu gibi, çevrimiçi etkileşimlerimizde de bunlara sahibiz. 

Dijital vatandaşlık dokuz alt boyutta değerlendirmeye tabi tutulmaktadır. Bu dokuz boyut; Dijital Etik, Dijital Kanun, Dijital Hak & Sorumluluklar, Dijital Sağlık, Dijital Güvenlik, Dijital Erişim, Dijital Ticaret, Dijital İletişim, Dijital Okur & Yazarlık oluşmaktadır. 

Dijital hakları ve sorumlulukları anlamak ve desteklemek, güvenli, kapsayıcı ve etik bir dijital ortam oluşturmak için çok önemlidir.