📌 LinkedIn’in kullanıcı verilerini generatif Yapay Zekâ” (AI) modellerini eğitmek üzere kullanacağına dair güncel duyurusu (Update To Our Terms and Data Use) üzerine İrlanda Veri Koruma Otoritesi’nden açıklama geldi. Resmi kaynak için bkz; https://lnkd.in/dhgMVNnR
İrlanda Veri Koruma Otoritesi (DPC), LinkedIn’in AB/AEA kullanıcı verilerini generatif yapay zekâ model eğitimi amacıyla kullanma planına ilişkin resmî açıklamasını yayımladı!
DPC, özetle, LinkedIn’in ilgili aksiyon öncesinde planını komisyona bildirdiğini, ardından yapılan bilgi/belge incelemesi ve görüşmeler neticesinde kapsamlı bir değerlendirme yürüttüğünü ve bu süreçte sürece özgü bazı risk ve tehditlerin saptandığını tespit ettiğini ifade ediyor. Tespit edilen hususlarda, yapılan iyileştirme ve sunulan taahhütler ile LinkedIn tarafından uygulanan somut ek önlemler, DPC’nin endişelerini yeterince gidermiş ve şu anda daha fazla düzenleyici müdahaleye gerek duyulmadığı belirtilmiştir.
DPC’nin somut iyileştirici öneri ve kriterlerini incelersek, ICO rehberinde belirlenen açık kriterler ile örtüştüğünü ve belirttiğim gibi böylesine süreçlerde, anılan rehberin adeta bir yönerge olarak dikkate alınabileceğini vesilesi ile bir kez daha paylaşmak istedim 🙂
Bu doğrultuda, ICO rehberinde “meşru menfaat denge testi” adına aynen yer alan üçlü test yapısına (amaç, gereklilik, denge) somut karşılık gelen önerilerde bulundu:
– Amaç testi kapsamında: LinkedIn’in işleme gerekçesini daha net ve belirli şekilde tanımlaması için detaylı risk ve meşru menfaat değerlendirmeleri (LIA, DPIA) talep edildi.
– Gereklilik testi yönüyle: Veri kapsamının ve zaman aralığının daraltılması istendi — yani belirtilen amaca ulaşabilmek için işlenmesi planlanan “ne kadar verinin” gerçekten gerekli olduğu sorgulandı.
– Denge testi açısından: Şeffaflık bildirimlerinin geliştirilmesi, hassas verilerin filtrelenmesi (örn. sendika üyelik bilgisi), 18 yaş altı kullanıcıların dışlanması gibi kullanıcı lehine sınırlandırmalar uygulamaya alındı.
Aynı zamanda Kullanıcılar, LinkedIn’den, kişisel verilerinin LinkedIn’in yapay zeka modellerinin eğitimi amacıyla kullanılmasını devre dışı bırakarak GDPR kapsamındaki itiraz haklarını nasıl kullanabilecekleri konusunda bildirimler almış olmalıdır şeklindeki değerlendirmeden hareketle; LinkedIn’in süreci (opt-out) temelli yaklaşım ile yürütmüş ve üyelerine bu faaliyetin kendileri için devre dışı bırakılmasına imkan sağlamıştır.
İlave olarak GDPR kapsamında ayrıntılı risk değerlendirmelerinin Veri Koruma Etki Değerlendirmesi ve Uyumluluk Değerlendirmesi gibi diğer gerekli belgelerin sağlanması da gerekli görülmüş olup, Veri Koruma Komitesi (DPC), LinkedIn’in de belirtilen amaca özgü veri işleme faaliyetinin başlamasından itibaren beş ay içinde bir rapor hazırlamasını da talep etmektedir. Süreç, DPC’nin yakın takibinde kalmaya devam edecek!
Bu süreç, Web Kazıma, Üretken Yapay Zeka ve Meşru Menfaat: ICO Kararı’nı da okumayı gerektirir.Kararı detaylıca okuduğumuzda, böylesine veri işleme faaliyetleri açısından şu prensipler ön plana çıkıyor.
1)Hukuki İşleme Şartı – Meşru Menfaat: ICO, detaylı incelediği diğer hukuki sebeplerin bu bağlamda uygulanabilir olmadığını belirtmiş ve mevcut uygulamalara göre geriye tek makul yasal dayanak olarak “meşru menfaat” kaldığını vurgulamıştır. (Rızaya ilişkin değerlendirmesini mutlaka okumanızı tavsiye ederim, genel olarak sunduğu perspektif çok yol gösterici)
2)Meşru Menfaat Testi: Yalnızca meşru menfaate dayalı elbette yeterli değildir; geliştiricinin üç aşamalı testi (amaç, gereklilik, denge) başarıyla geçtiğini gösterebilmesi şarttır.
3)Özel Nitelikli Kişisel Veriler: ICO başlangıçta özel nitelikli kişisel verileri kapsam dışında tutmuş olsa da, pek çok tarafın bu konuya dikkat çekmesi üzerine bu alanda da çalışmanın sürdüğünü belirtmektedir. (Hangi hassas veriler web platformlarında açık kaynak şekilde yer alıyor düşünmek istemiyorum)
Sonuç
ICO’nun rehber niteliğindeki kararı, web kazıma yoluyla elde edilen kişisel verilerin yapay zeka eğitiminde kullanılmasında tek gerçekçi yasal dayanağın meşru menfaat olduğunu ancak bunun uygulanabilmesi için çok sıkı bir değerlendirme süreçinden geçilmesi gerektiğini ortaya koyuyor. Amaç, gereklilik ve denge testleri ise kağıt üzerinde kalmamalı, testi geçmek güvenli alanda kalmak için önem arz ediyor. LinkedIn’in son duyurusu da, meşru menfaat zemininde dahi bölgesel kısıtlamalar ve opt-out mekanizmaları ile temkinli hareket etmek zorunda