Avrupa Veri Koruma Denetçisi Yapay Zeka Risk Yönetimi Rehberi

Edux Academy

Sun, 07 Dec 2025

EDPS Yapay Zeka Risk Yönetimi Rehberi ve Türk Hukukuyla Karşılaştırması

Rehberin Amacı ve Risk Yönetim Metodolojisi

Avrupa Veri Koruma Denetçisi (EDPS) tarafından kaleme alınan bu rehber, Avrupa Birliği Kurumları, Organları, Ofisleri ve Ajansları'nın (EUI'ler) kişisel veri işleyen YZ sistemlerini geliştirme, tedarik etme ve kullanma süreçlerinde karşılaşacakları riskleri yönetmeleri için hazırlanmış stratejik bir yol haritasıdır. Temel amaç, EUI'lerin, veri sorumlusu sıfatıyla, YZ sistemlerinin veri öznelerinin temel hak ve özgürlüklerine yönelik oluşturduğu önemli riskleri usulüne uygun olarak tanımlamasını ve hafifletmesini sağlamaktır. Rehber, ISO 31000:2018 uluslararası standardına uygun bir risk yönetim metodolojisi benimseyerek, YZ'ye özgü riskleri risk kaynağı, olay, sonuç ve kontrol olarak ayrıştırmakta ve sistematik bir risk değerlendirme ve risk giderme süreci sunmaktadır. Rehberde, riskin tespiti ve riskin tedavi edilmesi (hafifletici önlemler) üzerinde durulmakta, risk analizi ve değerlendirmesi ise her kurumun kendi özel bağlamına bırakılmaktadır.

YZ Yaşam Döngüsünün Anlaşılması ve Kritik Aşamalar

Rehber, risklerin YZ sisteminin yaşam döngüsünün farklı aşamalarında ortaya çıkabileceğini vurgulamakta ve bu döngüyü ayrıntılı olarak incelemektedir. YZ geliştirme süreci Başlangıç/Analiz, Veri Edinimi ve Hazırlanması, Geliştirme, Doğrulama ve Geçerli Kılma, Uygulama, Operasyon ve İzleme, Sürekli Geçerli Kılma, Yeniden Değerlendirme ve Emekliye Ayırma olmak üzere dokuz adımdan oluşur. Ayrıca, EUI'lerin sıklıkla YZ sistemlerini tedarik etme yoluna gitmesi nedeniyle, tedarik sürecinin aşamalarına (İhale Çağrısı, Seçim, Uygulama vb.) özel olarak değinilmekte ve risk değerlendirmesinin bütçe taahhüt edilmeden önce yapılması gerektiği belirtilmektedir. Rehber, her bir riskin YZ yaşam döngüsünün hangi aşamasında ortaya çıkabileceğini (mavi kutularla gösterilen) açıkça işaretleyerek kurumların önlemleri doğru zamanda almasını hedefler.

Temel Veri Koruma İlkelerine İlişkin Özel Riskler ve Önlemler

Rehber, özellikle teknik kontrol gerektiren veri koruma ilkelerine odaklanmıştır.

1. Yorumlanabilirlik ve Açıklanabilirlik (Sine Qua Non)

YZ sistemlerinin iç işleyişinin ve karar mekanizmasının insan kullanıcılar için şeffaf olmadığı "kara kutu" olarak çalışması, uyum için önemli bir risk taşır. Rehber, YZ sistemlerinin işleyişinin anlaşılmasını sağlayan Yorumlanabilirlik (Interpretability) ile spesifik kararların nedeninin açıklanmasını sağlayan Açıklanabilirlik (Explainability) kavramlarını birbirinden ayırır. Bu risk için olası önlemler arasında, kullanılan YZ mimarisi, eğitim verilerinin kaynağı, potansiyel önyargılar ve sistemin sınırlamaları hakkında uygun dokümantasyon oluşturulması , ve LIME veya SHAP gibi açıklanabilirlik tekniklerinin kullanılması yer alır.

2. Adillik İlkesi ve Önyargı Yönetimi

Adillik ilkesi, kişisel verilerin veri özneleri için haksız, ayrımcı veya beklenmedik bir şekilde işlenmemesini gerektirir. Bu bağlamda en önemli risk kaynağı önyargıdır (bias). Rehber, önyargının birden fazla kaynaktan gelebileceğini belirtir:

• Eğitim Verisi Kalitesizliğinden Kaynaklanan Önyargı (Risk 5.1.1): "Çöp girerse, çöp çıkar" prensibi gereği, doğru olmayan veya eksik eğitim verilerinin sistemin yanlış çıktılar vermesine yol açması. Önlemler arasında, temsili ve çeşitli veri setleri, düzenli kalite denetimleri ve aykırı değerleri tespit etmek için istatistiksel tekniklerin kullanılması bulunur.
• Eğitim Verisindeki Doğal Önyargı (Risk 5.1.2): Veri toplamada örnekleme hataları nedeniyle popülasyon önyargısı veya toplumdaki mevcut eşitsizlikleri yansıtan tarihsel önyargının sistem tarafından öğrenilmesi. Önlemler, temsil edici veri setleri, hassas öznitelikleri (ırk, cinsiyet vb.) kodlayan veya dolaylı olarak temsil eden özelliklerden kaçınma ve yeniden ağırlıklandırma (re-weighting) gibi veri hafifletme tekniklerini içerir.
• Algoritmik Önyargı (Risk 5.1.4): Önyargının algoritmanın tasarımından (örneğin optimizasyon için seçilen matematiksel işlevlerden) kaynaklanması. Bu riski azaltmak için Adillik-farkında algoritmaların (Fairness-aware algorithms) seçilmesi, objektif fonksiyonun yalnızca doğruluğu değil, farklı gruplar arasındaki adilliği de gözetmesi ve YZ modeli yorumlanabilirliğinin sağlanması önerilir.

3. Doğruluk İlkesi

Rehber, yasal anlamdaki doğruluk (kişisel verinin yanlış veya yanıltıcı olmaması) ile YZ bağlamındaki istatistiksel doğruluk (modelin doğru cevap oranını ölçen bir performans metriği) arasında ayrım yapar.

• Yanlış Kişisel Veri Çıktısı (Risk 5.2.3): YZ modelinin, özellikle Büyük Dil Modelleri'nin (LLM'ler), eğitim verilerinde veya girdide bulunmayan yanlış veya mantıksız bilgiler "halüsinasyonlar" üretmesi. Önlemler, yüksek kaliteli eğitim verileri, uç durumların (edge cases) test edilmesi, Hiperparametre Optimizasyonu (HPO) ve hata olasılığını azaltmak için İnsan Gözetimi (Human-Al Collaboration) içerir.
• Veri Kayması (Data Drift) Nedeniyle Yanlış Çıktı (Risk 5.2.4): YZ sistemi operasyondayken, girdi verilerinin istatistiksel özelliklerinin zamanla değişmesi (örneğin ekonomik kriz ortamında kredi skorlama modeli) ve modelin performansının düşmesi. Önlemler, veri kayması tespit yöntemlerinin uygulanması, veri kalitesi izleme sistemleri ve modelin düzenli olarak yeniden eğitilmesidir.

4. Güvenlik İlkesi

Rehber, YZ sistemlerine özgü güvenlik risklerini ele alır.

• YZ Sistemi Çıktısının Eğitim Verisini İfşa Etmesi (Risk 5.4.1): Modelin çıktılarının, eğitim kümesindeki bireylere ait hassas bilgileri yanlışlıkla açığa çıkarması (Model Tersine Çevirme, Üyelik Çıkarımı veya Veri Tekrarlama saldırıları). Önlemler, eğitim verisinin anonimleştirilmesi/takma adlaştırılması, diferansiyel gizlilik/gürültü ekleme gibi veri karıştırma teknikleri ve sentetik veri kullanımıdır.
• API'ler Aracılığıyla Kişisel Veri Sızıntısı (Risk 5.4.3): Üçüncü taraf YZ modellerine erişimde kullanılan Uygulama Programlama Arayüzlerinin (API) yetkisiz erişim veya yanlış yapılandırma nedeniyle veri sızıntısına yol açması. Önlemler, Çok Faktörlü Kimlik Doğrulama (MFA), Rol Tabanlı Erişim Kontrolü (RBAC), trafik kontrolü için Kısıtlama (Throttling) ve düzenli güvenlik denetimlerini içerir.

5. Veri Sahibinin Hakları ve Uygulama Zorlukları

YZ sistemlerinin karmaşık yapısı, veri sahiplerinin erişim, düzeltme ve silme haklarını kullanmasını zorlaştırmaktadır.

• İşlenen Kişisel Verinin Eksik Tespiti (Risk 5.5.1): YZ modelinin parametrelerine emilen (absorbed) kişisel verinin, özellikle yapılandırılmamış veri setlerinde, tespit edilememesi. Önlem olarak, kişisel verileri kolayca belirlemeyi sağlayan üst verilerin (metadata) tutulması ve veri sahibine kendi verisini güvenli bir şekilde sunacak veri erişim araçlarının oluşturulması önerilir.
• Eksik Düzeltme veya Silme (Risk 5.5.2): Veri sahibinin verisinin modelden tam olarak silinmesinin zorluğu. Önlemler, modelin belirli verileri unutmasını sağlayan Makine Unutma (Machine Unlearning) tekniklerinin kullanılması veya bu tekniklerin mümkün olmadığı durumlarda çıktıların kişisel bilgileri ifşa etmesini engelleyen çıktı filtrelemedir.

???????? Türk Hukuku (KVKK) ile Karşılaştırmalı Analiz

Bu rehberin dayandığı AB mevzuatı (EUDPR/GDPR), Türkiye'deki 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile temelde aynı ilkeleri (hukuka uygunluk, doğruluk, amaçla sınırlılık) paylaşsa da, YZ risklerinin ele alınış biçiminde ve beklenen teknik detayda önemli bir ayrışma söz konusudur.

İlkelerdeki Paralellik ve Teknik Detay Farkı

KVKK, kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesini ve doğru ve güncel olmasını şart koşar. AB Rehberi'ndeki Adillik (Fairness) ilkesi, KVKK'daki dürüstlük kuralının YZ bağlamındaki teknik bir yansımasıdır. Rehberin önyargıyı veri ve algoritmik seviyede ele alması, KVKK'nın genel ilkesinin somut, teknik bir uygulamasıdır. Örneğin, veri setlerindeki tarihsel önyargının tespiti ve yeniden ağırlıklandırma ile giderilmesi gibi yöntemler, KVKK'nın talep ettiği dürüstlük kuralının YZ sistemlerinde nasıl yerine getirileceğine dair pratik bir rehber sunar. Türk hukuku bu teknik detayları zorunlu kılan spesifik bir ikincil mevzuata sahip olmamasına rağmen, bu tür önlemlerin alınması KVKK'nın hesap verebilirlik ve teknik tedbir alma yükümlülüklerinin bir parçası olarak değerlendirilebilir.

Açıklanabilirlik ve Veri Sahibinin Hakları Üzerindeki Etkisi

AB Rehberi'nin Yorumlanabilirlik/Açıklanabilirlik konusuna getirdiği "olmazsa olmaz" yaklaşım, KVKK karşısında en keskin ayrımı oluşturur. KVKK'nın 11. maddesi, veri sahibine otomatik sistemlerle analiz edilen aleyhe sonuçlara itiraz etme hakkı tanır. Ancak bu hak, YZ sisteminin itiraz edilen kararı nasıl verdiğine dair tam, teknik ve yorumlanabilir bir açıklama sunulması zorunluluğunu, AB Rehberi'nin talep ettiği derinlikte getirmemektedir. AB'deki bu teknik gereklilik, bir kararın yasal, adil ve şeffaf olup olmadığının denetimini garanti altına almayı hedefler. Benzer şekilde, AB Rehberi'nin Makine Unutma (Machine Unlearning) gibi tekniklerle silme hakkının tam olarak yerine getirilmesini şart koşması, KVKK'nın silme ve yok etme yükümlülüğünü YZ modelleri için son derece karmaşık ve maliyetli bir boyuta taşır.

Güvenlik ve Veri Minimasyonunda Teknik Uyum

Veri Minimasyonu ilkesinde de benzer bir teknik derinlik farkı vardır. YZ'nin "ne kadar çok veri, o kadar iyi" prensibine karşı çıkan rehber, veri örneklemesi (sampling) ve sentetik veri kullanımı gibi pratik, teknik çözümler sunar. KVKK'da veri sorumlusunun veri güvenliğini sağlama yükümlülüğü (md. 12) geneldir; oysa AB Rehberi, API güvenliği, veri zehirlenmesi ve model ifşa gibi YZ'ye özgü siber tehditlere karşı alınması gereken MFA, RBAC ve Throttling gibi spesifik teknik önlemleri listeler.

Sonuç

Sonuç olarak, AB Rehberi, YZ teknolojisinin yarattığı kendine özgü algoritmik ve gizlilik risklerini merkeze alan, önleyici ve teknik odaklı bir uyum çerçevesi sunmaktadır. KVKK, genel veri koruma standartlarını sağlamakla birlikte, YZ risk yönetimi için bu rehberde sunulan detaylı teknik kontrol listeleri ve azaltma yöntemleri (özellikle açıklanabilirlik ve veri sahibinin haklarının uygulanması konusunda) Türk mevzuatının henüz erişmediği bir uygulama derinliğini temsil etmektedir. Bu nedenle, uluslararası en iyi uygulamalara ve YZ sistemlerinin teknik zorluklarına karşı hazırlıklı olmak isteyen Türkiye'deki kurumlar için bu rehberin teknik çerçevesi, KVKK yükümlülüklerinin ötesinde kritik bir öneme sahiptir

Yazar: Av. Ali ERŞİN (LL.M.)