Kamu Kurumlarında Üretken Yapay Zekâ: KVKK, Sorumluluk ve Politika Tasarımı

Üretken yapay zekâ (ÜYZ) modelleri (büyük dil modelleri, kod oluşturucuları, görüntü ve ses üreticileri gibi) son birkaç yılda özel şirketlerle beraber kamu kurumlarının da çalışma hayatına girdi. Chatbotlar dökümantasyon hazırlamaya, hukuk metinlerini özetlemeye, kod ve rapor taslaklarını oluşturmaya başladı. Hız ve verimlilik vaat eden bu araçlar aynı zamanda kişisel verilerin gizliliği, tarafsızlık, şeffaflık ve sorumluluk gibi kamu hukukunun temel ilkeleri için riskler barındırıyor. Avrupa Birliği’nin 2024’te kabul ettiği AI Act, Kanada’nın zorunlu Algoritmik Etki Değerlendirmesi (AIA) ve Birleşik Krallık ile ABD’nin kamu sektörüne yönelik rehberleri tüm bu riskleri değerlendirmek için örnek çerçeveler sunuyor. Ancak Türkiye’de veri koruma kuralları, memurların sır saklama yükümlülükleri ve idare hukuku müeyyideleri çerçevesinde daha spesifik çözümlere ihtiyaç duyuluyor. Bu yazıda, Türkiye’de kamu kurumlarında ÜYZ kullanımının neden olduğu hukuki riskleri incelemeye ve AI Act uyumlu bir dizi öneri sunmaya çalışacağım. Hazırsanız başlayalım…

Veri Koruma ve Sır Saklama Yükümlülükleri

KVKK’nın 4. maddesi veri işleme faaliyetlerinin hukuka ve dürüstlük kuralına uygun, amaçla bağlantılı, sınırlı ve ölçülü olmasını şart koşuyor. Öte yandan, ÜYZ modelleri büyük miktarda eğitim verisine ihtiyaç duyuyor ve bulut servisleriyle çalışıyorlar. Yüksek hacimli veri girişi yapılması, kurum içindeki gizli bilgilerin komutlar (prompt) içine yerleştirilmesi veya hassas kişisel verilerin yanlışlıkla modele aktarılması KVKK ihlalleri doğurabilir.

657 sayılı Kanun ve sır saklama yükümlülüğü

657 sayılı Devlet Memurları Kanunu memurlara “devlet sırlarını” saklama ve görevleri sırasında öğrendikleri gizli bilgileri açıklamama yükümlülüğü getirir. ÜYZ modellerine sözleşmeler, proje planları, mali tablolar veya gizli yazışmalar girmek bu yükümlülüğün ihlali anlamına gelir. Birleşik Krallık Cabinet Office’in bir rehberi, kamu çalışanlarına “hiçbir resmi (official) veya hassas (sensitive) bilgiyi halka açık ÜYZ uygulamalarına girmeyin” uyarısını yapıyor [1]. 'Aksi takdirde, model sağlayıcının bulut sunucularında kayıt altına alınan komutlar, ileride denetlenemez ve kurum dışına sızdırılmış olur' denilmiş.

Bulut hizmetleri ve verinin yurt dışına aktarımı

Birçok ÜYZ modeli, veri merkezleri Avrupa veya ABD’de bulunan küresel sağlayıcılar üzerinden sunuluyor. KVKK’nın 9. maddesinde ise yurtdışına veri aktarımı için Kurul izni veya yeterlilik kriterleri aranıyor. Bu durum, bulut tabanlı modellerle kamu verilerinin yurt dışına çıkması riskini gündeme getiriyor. AI Act’in yüksek riskli sistemler için öngördüğü veri yönetişimi kuralları arasında yüksek kaliteli, hatasız ve mahremiyeti koruyan eğitim veri setleri oluşturma yükümlülüğü yer alıyor; buna göre, sistemler eğitim sırasında uygun gizlilik koruma teknikleri kullanmalı ve verilerin amaç dışı kullanımını engellemelidir. Türkiye’de bu zorunluluk, verinin anonimleştirilmesi, yerel sunucular veya özel bulut bölgeleri tercih edilmesi ve veri minimizasyonu ile karşılanabilir.

Yapay zekâ çıktılarının resmî belge niteliği

ÜYZ'ye girilen komutların getirdiği veri sızıntısı riskinin yanında, ÜYZ tarafından üretilen dokümanlar da kamu kurumları için riskler barındırıyor. Öyle ki ÜYZ’den alınan yanıtlar, kontrol edilmeden resmî belge gibi kullanıldığında hem hukuki geçerlilik hem de etik açısından sorun yaratabilir. Kanunen geçerli bir belge belirli imza ve onay süreçlerinden geçmelidir. Birleşik Krallık tarafından yayımlanan bir rehber, ÜYZ çıktılarının yanlış bilgi ve halüsinasyon içerebileceğini ve mutlaka bir uzmanın incelemesi gerektiğini hatırlatmış [2]. ChatGPT Taskforce raporu ise üretilen metinlerin olasılıksal doğası nedeniyle yanlı veya uydurma olabileceğini ve çıktının doğruluğunun garanti edilemeyeceğini vurguluyor [3]. Bu nedenle, sistemler tarafından üretilen her taslağın üzerine “YZ destekli taslak – insan incelemesi gerektirir” etiketi eklenmesi önerilmiş. Kamu kurumlarından da benzer şekilde, ÜYZ çıktısı olan (yada bir kısmı ÜYZ tarafından üretilmiş) dokümanların bu etiketlemeye sahip olması kritik öneme sahip.

Uluslararası Çerçeve ve Politika Örnekleri

Avraupa Birliği (AB) AI Act (Regulation (EU) 2024/1689)

AI Act, risk temelli yaklaşımı benimsiyor ve yüksek riskli sistemler için sıkı önlemler alınmış. Yüksek riskli sistemlerin eğitim verilerinin “temsil edici, hatasız ve önyargısız” olmasını ve veri yönetişimi planları oluşturulmasını şart koşmuş. Ayrıca, teknik dokümantasyon ve kayıt tutma zorunluluğu getirmiş; sisteme ilişkin algoritmaların, veri setlerinin, test ve validasyon yöntemlerinin kayıt altına alınması gerektiğinin altı çizilmiş. AI Act, yüksek riskli sistemlerin çıktılarının insan denetimine tâbi olmasını ve “en az iki kişi tarafından doğrulanmasını” tavsiye ediyor. Ayrıca kurallara uymayan sağlayıcılara ciddi idari para cezaları uygulanabileceği vurgulanmış.

Birleşik Krallık rehberleri

Birleşik Krallık Cabinet Office’in rehberi, ÜYZ kullanımında pratik kurallar sunmuş: “Gizli veya kişisel verileri asla ÜYZ’ye girmeyin, kaynakları kontrol edin ve çıktıları doğrulayın” [2]. Rehber ayrıca kamu çalışanlarının bilgi girişinde dikkatli olmalarını, hangi sistemleri kullandıklarını ve bilgi paylaşmanın sonuçlarını düşünmelerini önermiş.

Kanada Algorithmic Impact Assessment (AIA)

Kanada Hazine Kurulu Sekreterliği, kamu kurumlarının her algoritmik sistemi AIA aracılığıyla değerlendirmesini zorunlu kılıyor. AIA “65 risk sorusu ve 41 azaltım sorusu” içeren kapsamlı bir anket olup; otomasyon projesinin tasarımı, veri seti özellikleri, kararın etki alanı, hak ve eşitlik etkileri, gizlilik ve güvenlik gibi başlıklarda risk düzeyini belirlemeye çalışıyor [4].

Amerika Birleşik Devletleri (ABD) OMB M‑24‑10

ABD yönetimi, 2024 tarihli OMB M‑24‑10 memorandumu ile federal kurumlara yapay zeka kullanımında risk yönetimi standartları getirmiş. Memorandum, hak ve güvenlik etkisi olan yapay zeka sistemleri için 1 Aralık 2024’e kadar “asgari risk yönetimi uygulamalarının” benimsenmesini, aksi hâlde yapay zeka kullanımının durdurulmasını zorunlu kılmış [5]. Her kurumun bir Chief AI Officer ataması ve AI envanteri oluşturması istenmiş.

Türkiye’ye Uygulanabilirlik

Üretken yapay zekânın kurumlar açısından taşıdığı riskleri masaya yatırdık. Bu riskleri minimize etmek için öneriler sunmadan önce, somut örnek bir vaka üzerinden ilerlemenin konuyu daha iyi anlamak için faydalı olacağına inanıyorum.

AI Act risk sınıflandırmasının kuruma uyarlanması

AI Act, riskleri “yasaklanmış uygulamalar”, “yüksek riskli”, “sınırlı riskli” ve “asgari riskli” olarak sınıflandırır. Kamu kurumlarında kullanılan ÜYZ araçları genellikle “yüksek riskli” kategoride değerlendirilmelidir çünkü idari kararların hazırlanmasına etki eder. Kurumlar, Algoritmik Etki Değerlendirmesi (AIA) gibi yöntemlerle her yeni ÜYZ kullanımını puanlayabilir ve riskleri şu şekillerde yönetebilir:

• Yüksek riskli: İdari kararların hazırlanmasında veya tavsiye üretilmesinde kullanılan ÜYZ araçları. İnsan onayı olmadan sonuçların uygulanmaması, risk analizi yapılması, veri kaydı tutulması.
• Sınırlı riskli: İç iletişimde veya eğitim amaçlı metin/görsel üretiminde kullanılan modeller. Düzenli log denetimi ve veri girişi kısıtlamaları.
• Asgari riskli: Kamuya açık, anonim ve genel bilgiler üzerinden çalışan chatbotlar. Basit kullanım politikasının yeterli olduğu durumlar.

KVKK uyumunun sağlanması

ÜYZ kullanımı için kurum politikasını hazırlarken KVKK madde 4 ve madde 9’dan yararlanabilir. Buna göre:

• Amaç ve kapsam: ÜYZ’nin hangi görevlerde kullanılacağı, hangi verilerin asla girilmeyeceği (kişisel veriler, gizli bilgiler) tanımlanmalıdır.
• Veri minimizasyonu*: Komuta sadece gerekli anahtar kelimeler kullanılmalı, isim, kimlik numarası ve proje kodu gibi bilgiler maskelenmelidir.
• Yerel altyapı: Mümkünse on-premise (sunucunun kurum içinde olması ve dışarıya açık olmaması anlamına geliyor) veya sadece sunucuları Türkiye içerisinde olan modeller tercih edilmeli; gizli veriler buluta aktarılmamalıdır.
• Kullanım yasakları: Devlet sırrı, ticari sır veya özel hayatın gizliliğini içeren verilerin modele girişi kesin olarak yasaklanmalıdır.

Kamu Personeli ile ÜYZ Kullanım Taahhüdü Yapılması

Kurum personelinin üretken yapay zekaya erişimi sağlanmadan evvel aşağıdakine benzer bir taahhütnameyi imzalaması zorunlu tutulabilir. Bu taahhütnameyi sadece örnek teşkil etmesi amacıyla hazırladım. Gerçek senaryoda tüm uluslararası örneklerin incelenmesi ve kapsamlı bir ön çalışma yapılması önem arz ediyor.

Sonuç

Üretken yapay zekâ, kamu hizmetlerini hızlandırma ve verimliliği artırma potansiyeline sahip olsa da, veri gizliliği, önyargı, şeffaflık ve sorumluluk alanlarında ciddi riskler taşıyor. AI Act ve benzeri uluslararası çerçeveler, risk temelli yaklaşım ve insan denetimi mekanizmalarıyla bu sorunlara çözüm aramaya devam ediyor. Türkiye’de ise KVKK, 657 sayılı Kanun ve idari sorumluluk kuralları, ÜYZ kullanımını disipline etmek için temel referans noktaları olabilir. Kamu kurumlarımıza; AIA benzeri değerlendirmeler, açık kullanım politikaları, loglama ve denetim mekanizmaları, sözleşmesel önlemler ve sürekli eğitim programlarıyla riskleri minimize etme yolunda büyük iş düşüyor.

Bir yazımızın daha sonuna geldik, umuyorum sizlere faydası olmuştur. Bir sonraki yazıda görüşmek üzere, kendinize çok iyi bakın.

Sağlıcakla kalın...

Referanslar:

[1] Generative AI framework for HM Government, Central Digital and Data Office (https://assets.publishing.service.gov.uk/media/65c3b5d628a4a00012d2ba5c/6.8558_CO_Generative_AI_Framework_Report_v7_WEB.pdf)

[2] Guidance to civil servants on use of generative AI (https://www.gov.uk/government/publications/guidance-to-civil-servants-on-use-of-generative-ai/guidance-to-civil-servants-on-use-of-generative-ai)

[3] Report of the work undertaken by the ChatGPT Taskforce, European Data Protection Board, 2024 (https://www.edpb.europa.eu/system/files/2024-05/edpb_20240523_report_chatgpt_taskforce_en.pdf)

[4] Algorithmic Impact Assessment tool, Government of Canada (https://www.canada.ca/en/government/system/digital-government/digital-government-innovations/responsible-use-ai/algorithmic-impact-assessment.html)

[5] Advancing Governance, Innovation, and Risk Management for Agency Use of Artificial Intelligence, Executive Office of The President - Office of Management And Budget, 2024. (https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf)