ChatGPT ve Benzeri Sohbet Robotları Hakkında Bilgi Notu Yayımlandı

08.11.2024 tarihinde Kişisel Verileri Koruma Kurumu tarafından, Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu (Bilgi Notu) yayımlandı.

Bilgi Notu uyarınca sohbet robotu, kullanıcının bir arayüz aracılığı ile kendisine verdiği görevler ve direktifleri yerine getirmeye çalışan, son kullanıcıyla insan konuşmasını simüle eden bir yazılımdır. Buna göre, ChatGPT, Siri, Alexa ve Gemini gibi sohbet robotları; müşteri desteği, bilgi arama, metin oluşturma, kod yazma, çeviri ve duygu analizi gibi birçok alanda kullanıcıya hızlı çözümler sunar.

Yapay zekâ destekli sohbet robotları, performanslarını geliştirmek için büyük miktarlarda veriye ihtiyaç duyduklarından, kullanıcıların adları, iletişim bilgileri, sosyal medya bilgileri, IP adresleri gibi çeşitli kişisel verileri, hizmet sağlamak, kullanıcı deneyimini iyileştirmek, bilgi güvenliğini sağlamak, yasal yükümlülükleri yerine getirmek ve yeni hizmetler geliştirmek gibi amaçlarla işleyebilmektedir. Bu çerçevede, geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar tarafından yasal yükümlülüklerin yerine getirilmesi gerektiğini belirten Bilgi Notu, özellikle aşağıda yer alan konulara vurgu yapar.

• Kişisel verilerin nasıl kullanıldığı, kimlerle paylaşıldığı, hangi amaçlarla işleneceği, saklama süresi, veri sorumlusunun kimliği ve ilgili kişilerin hakları gibi konularda kullanıcıların veriler elde edilmeden önce şeffaf bir şekilde bilgilendirilmesi gerekir.
• Yapay zekâ sohbet robotlarının çocuklar tarafından da kullanılabileceği göz önünde bulundurulduğunda, çocuklara yönelik yaş doğrulamasının sağlanması ve olumsuz deneyimlerin önüne geçilebilmesi için proaktif önlemler alınması gerekir. Kullanıcı farkındalığının düşük olması nedeniyle oluşabilecek veri ihlali ve siber güvenlik risklerine karşı kullanıcıların bilinçlendirilmesi önem arz etmektedir.
• Sohbet robotu uygulamaları geliştirilirken kişisel verileri işlemeye başlamadan önce risk değerlendirmesi yapılmalı, hesap verebilirlik ilkesine uygun hareket edilmeli ve kişisel veri işleme faaliyetleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) belirlenen genel ilkelere ve hukuka uygunluk nedenlerine uygun gerçekleştirilmelidir. Kişisel veriler işleniyorsa bunun yasal dayanağı açıkça belirtilmelidir.
• Veri güvenliğine ilişkin gerekli teknik ve idari tedbirler alınmalıdır. Bu kapsamda, mahremiyetin korunması ve veri güvenliğinin sağlanması adına uluslararası kabul görmüş belirli standartlara uygunluk sağlanması ve ilgili sertifikaların bulunması önem arz eder. Ayrıca, sohbet robotları, metin, ses, konuşma ve görüntü gibi veri girişlerini güvenli ortamlarda saklayıp iletmek için güvenli yöntemler kullanmalıdır.
• Kişisel Verileri Koruma Kurulu tarafından belirlenen Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler’e dikkat edilmeli ve KVKK’dan kaynaklanan yükümlülükler yerine getirilmelidir.