Yapay Zekanın İtirafı: “Ben GDPR Uyumlu Değilim!” – Google AI Modu ve Veri Koruma Çıkmazı
Bir bilişim hukukçusu olarak yıllardır savunduğumuz “teknolojinin hukuktan hızlı ilerlemesi” tezi, bugün bizzat teknolojinin kendisi tarafından tescillendi. The First Digit tarafından yayımlanan çarpıcı bir analiz, Google’ın yapay zekasına “GDPR uyumlu musun?” diye sorulduğunda alınan yanıtın koca bir “Hayır” olduğunu ortaya koydu. Bu sadece teknik bir hata değil; dijital dönüşümün felsefesi ve hukuk güvenliği açısından bir “itiraf” niteliğindedir.
Yapay Zeka Neden Hukuka Direniyor?
Google AI modunun GDPR (ve dolayısıyla bizim mevzuatımızdaki karşılığı olan KVKK) ile uyumsuzluğu, temel bir mimari sorundan kaynaklanıyor: Verinin Silinememesi. GDPR’ın “Unutulma Hakkı” (Right to be Forgotten) maddesi, kullanıcının verisinin sistemden tamamen kazınmasını emrederken; LLM (Büyük Dil Modelleri) eğitim sürecine giren bir veriyi “unutmak” yerine onu sadece “maskeliyor”.
Oyun Değiştirici Perspektifi: Bir Hata mı, Yoksa Tasarım mı?
ODTÜ Felsefe perspektifinden baktığımızda, yapay zekanın bu dürüstlüğü (!) aslında algoritmik bir determinizmin sonucudur. Google’ın kendi yapay zekası, sistemin veri işleme metodolojisinin Avrupa Birliği standartlarındaki “şeffaflık” ve “amaçla sınırlılık” ilkelerini çiğnediğini matematiksel olarak görebiliyor. Girişimciler ve yatırımcılar için buradaki mesaj nettir: Regülasyonu (mevzuatı) tasarıma (privacy by design) dahil etmeyen her teknoloji, günün sonunda hukuki bir “liability” (yükümlülük) haline dönüşür.
KVKK ve Türkiye Perspektifi
Bu durum Türkiye’deki şirketler için de ciddi bir uyarı fişeğidir. Google altyapısını kullanan veya AI entegrasyonu yapan startup’lar, “Google uyumludur herhalde” varsayımıyla hareket ederken aslında Kişisel Verileri Koruma Kurulu’nun radarına giren birer “veri sorumlusu” haline geliyorlar.
- Soru: Google AI modunun GDPR uyumlu olmadığı iddiası neye dayanıyor? Cevap: Bizzat Google’ın yapay zekasına sorulan sorulara verilen yanıtlarda, sistemin veri işleme süreçlerinin GDPR’ın katı unutulma hakkı ve şeffaflık ilkelerini tam olarak karşılayamadığını kabul etmesine dayanıyor.
- Soru: Unutulma hakkı yapay zekada neden uygulanamıyor? Cevap: Yapay zeka modelleri veriyi statik bir veritabanı gibi tutmaz; veri, modelin ağırlıklarına (weights) işlenir. Bu veriyi modelden geri dönülemez şekilde silmek teknik olarak şu anki mimaride neredeyse imkansızdır.
- Soru: Bu durum Türk şirketlerini nasıl etkiler? Cevap: KVKK uyumu arayan şirketlerin, AI araçlarını kullanırken “aydınlatma yükümlülüğü” ve “açık rıza” mekanizmalarını Google’ın beyanlarından bağımsız olarak kurgulamaları gerekir.
- Soru: “Privacy by Design” (Tasarımdan Gelen Gizlilik) nedir? Cevap: Bir teknolojinin daha kodlama aşamasındayken hukuki kurallara ve mahremiyet ilkelerine uygun olarak inşa edilmesidir.
- Soru: Yatırımcılar AI girişimlerinde neye dikkat etmeli? Cevap: Girişimin sadece algoritmasına değil, o algoritmanın yasal regülasyonlara (GDPR, KVKK, EU AI Act) ne kadar “yazılımsal olarak” dirençli olduğuna bakmalıdır.
KAYNAKLAR
- The First Digit – Google AI Mode is Not GDPR Compliant Article
- General Data Protection Regulation (GDPR) – Official Text
- Kişisel Verileri Koruma Kurumu (KVKK) Resmi Sitesi
- European Commission – EU AI Act
- Özgür Eralp – Bilişim Hukuku Makaleleri
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),