KVKK Sohbet Robotları Hakkında Bilgi Notunu Yayınladı

Kişisel Verileri Koruma Kurumu teknolojinin gelişmesiyle birlikte kullanımı giderek artan sohbet robotlarının kullanımı hakkında hazırladığı bilgi notunu 08.11.2024 tarihinde yayınladı.[1] Sohbet robotlarının tanımını ve yapay zeka destekli sohbet robotlarına ilişkin bilgileri içeren bilgi notu, aynı zamanda uygulayıcılar ve geliştiriciler için kişisel verilerin korunması hukuku çerçevesinde yapılması gerekenlere dair bilgiler sunmaktadır.

Sohbet Robotu Nedir?

Kurum, sohbet robotunu “kullanıcının bir arayüz aracılığı ile kendisine verdiği görevleri/direktifleri yerine getirmeye çalışan, son kullanıcıyla insan konuşmasını simüle eden bir yazılım” olarak tanımlamıştır. Sözlü ya da yazılı olarak iletişim kurulabilen bu robotlar, kullanıcıların direktiflerini analiz ederek yürüttükleri işlemler sonucunda kullanıcıların bilgiye ulaşımını hızlandırmaktadır.

Teknolojinin her alanında karşımıza çıkan yapay zeka sohbet robotları ile de entegre bir şekilde çalışmaktadır. Bu alandaki en bilindik örnekler arasında ChatGPT (OpenAI), Siri (Apple), Alexa (Amazon) yer almaktadır. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin Chatbot Uygulamaları ve ChatGPT Örneği Değerlendirme Raporu’na[2] da atıfta bulunulan bilgi notunda, yapay zeka sohbet robot teknolojilerinin kullanım alanlarına da yer verilmiştir.

Hangi Kişisel Veriler İşleniyor?

Yapay zeka sistemlerinde veri, vazgeçilmez bir kaynaktır ve bu veriler zaman zaman kişisel verileri de içerebilmektedir. Rapora göre temel olarak yapay zeka sohbet robotlarında işlenebilen veriler arasında:

• Ad, iletişim bilgisi, hesap kimlik bilgileri, ödeme kartı bilgileri ve işlem geçmişi de dahil olmak üzere hesap bilgileri,
• Uygulamalar kullanıldığında sağlanan girdilere, dosya yüklemelerine veya geri bildirimlere dahil olan içerik bilgileri,
• Gönderilen mesajların içeriği ve iletişim bilgileri,
• Sosyal medya sayfaları ile iletişimde bulunulduğunda verilmesi seçilen sosyal medya bilgileri,
• Tarayıcının veya cihazın otomatik olarak gönderdiği İnternet Protokolü (IP) adresi, tarayıcı türü ve ayarları, erişim zamanları, bilgisayar veya mobil cihazın türü gibi bilgiler,
• Çerez bilgileri ile kişiler tarafından sağlanan (metin içeriği, konuşma ve ses verisi vb.) diğer veriler

bulunmaktadır.

Veri Güvenliği Açısından Nelere Dikkat Edilmeli?

Kişisel verilerin işlenmesinde, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 4. maddesinde belirtilen genel ilkelere dikkat edilmelidir. Yapay zeka sohbet robotları özelinde işlenen kişisel veriler için de bu ilkelerin göz ardı edilmemesi gerekir.

Bilgi notunda özellikle şeffaflık ilkesine dikkat çekilmiştir. Bu kapsamda ilgili kişilerin verileri üzerindeki kontrolünü kaybetmemesi için, bu tür sohbet robotları aracılığıyla işlenen kişisel verilere ilişkin açık ve sade bir dille hazırlanmış aydınlatma metinleriyle bilgilendirilmesi gerekmektedir. Aydınlatma metinlerinin Kanun’un 10.maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ile Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi’ne uyumlu şekilde hazırlanması gerektiği unutulmamalıdır.[3]

Bilgi notu, kullanıcıları belirli bir farkındalık düzeyinde olmaları ve kişisel verilerine ilişkin aşırı paylaşım yapmamaları konusunda uyarmaktadır.

Ayrıca sohbet robotlarındaki teknik tedbirlerin gerektiği gibi alınmaması durumunda veri ihlallerine yol açabileceği vurgulanmış ve özellikle çocuklara yönelik yaş tespiti gibi yeterli önlemlerin alınması gerektiği belirtilmiştir.

Sohbet Robotu Geliştirilirken Nelere Dikkat Edilmeli?

Bilgi notu sohbet robotu uygulaması geliştirenlere rehberlik edecek önemli konulara da değinmiştir. Bu konular şu şekilde özetlenebilir:

• Kişisel verilere temas etmeden önce risk değerlendirmesi yapılmalıdır.
• Hesap verilebilirlik ilkesine ve Kanun’da yer alan genel ilkelere uygun hareket edilmelidir.
• İşleme faaliyetleri Kanun’un 5. ve 6. maddelerine uygun olarak gerçekleştirilmelidir.
• Aydınlatma yükümlülüğüne riayet edilmelidir.
• Kişisel veri güvenliğine ilişkin gerekli teknik ve idari tedbirler alınmalıdır.

Bilgi notunda yer alan bir diğer önemli husus ise başlangıçtan itibaren mahremiyet ve varsayılan mahremiyet yaklaşımlarının, uygulama geliştirme sürecinin her aşamasında dikkate alınması gerektiğinin vurgulanmasıdır. İlgili yaklaşımlar ile Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 25. maddesinde yer alan “privacy by design” ve “privacy by default” ilkelerine atıf yapıldığı anlaşılmaktadır.

Bilgi notunda, sohbet robotu geliştiricilerinin çocuklara yönelik işleme faaliyetlerinde dikkatli olmaları gerektiği bir kez daha vurgulanmıştır. Özellikle son dönemde Avrupa Birliği nezdinde çocuklara ilişkin veri ihlallerine ve yaş doğrulaması mekanizmasının yeterince kurulamamasına yönelik cezaların artması ile birlikte, çocukların kişisel verilerinin işlenmesinde azami özenin gösterilmesine dikkat edilmelidir.