Kişisel Verileri Koruma Kurumu’nun (“Kurum”) resmi internet sitesinde 08.11.2024 tarihinde ChatGPT Örneği Özelinde Sohbet Robotlarına İlişkin Bilgi Notu (“Bilgi Notu”) yayımlanmıştır. Söz konusu Bilgi Notu’na ilişkin özetimizi aşağıdan inceleyebilirsiniz.

1. Sohbet Robotu (Chatbot) Nedir?

Kurum tarafından, sohbetrobotları; kullanıcıların bir arayüz aracılığıyla sohbet robotlarına ilettikleri görevleri ve/veya direktifleri yerine getirmek amacıyla insani konuşmaları simüle eden yazılımlar olarak tanımlanmıştır. Bununla birlikte; kullanıcıların; sesli veya yazılı olarak ilettikleri görev ve/veya direktiflerin sohbet robotları tarafından anlamlandırılması için doğal dil işleme (“Natural Language Processing” veya “NLP”) gibi tekniklerden faydalandığı belirtilmiştir. Bir başka ifadeyle; NLP, insanların dilini bilgisayarların anlayabilmesi, analiz edebilmesi ve yanıt verebilmesini sağlayan bir yapay zeka teknolojisidir. Ancak belirtmek isteriz ki; NLP haricinde başkaca chatbot yapay zeka teknolojileri bulunmaktadır. Ör; kural tabanlı chatbotlar, makine öğrenmesi temelli chatbotlar, derin öğrenme temelli chatbotlar, duygu analizi tabanlı chatbotlar, gelişmiş diyalog yöntemi tabanlı chatbotlar vb.

Kurum tarafından; yapay zekâ destekli sohbet robotlarının görev ve direktifleri anlamalarına ek olarak kullanıcıların niyet ve duygularını anlamlandırabildiği ve hatta etkileşim süresince kullanıcılar hakkında bilgi toplayarak her etkileşimleri ile birlikte kendilerini geliştirdiği vurgulanmıştır. Bu öğrenme sürecinin, yapay zekâ destekli sohbet robotlarını diğer sohbet robotlarından ayıran önemli bir özellik olarak ifade edilmiştir.

2. Yapay Zekâ Sohbet Robotları Hangi İşlevleri Sağlamaktadır?

Bilgi Notu’nda yapay zekâ sohbet robotlarının, NLP’nin alt dalları olan doğal dil anlama (“NLU”)ve doğal dil üretimi (“NLG”) teknolojilerini kullandığı belirtilerek aşağıdaki işlevleri yerine getirdiği ifade edilmiştir:

• Müşteri destek,
• Soru cevaplama,
• Kod oluşturma ve programlama,
• Bilgi arama,
• Metinleri kontrol etme ve gözden geçirme,
• İçerik oluşturma,
• Çeviri yapma,
• Duygu analizi gerçekleştirme.

Kurum tarafından; yukarıdaki işlevleri yerine getiren sohbet robotlarına örnek olarak ChatGPT (OpenAI), Siri (Apple), Alexa (Amazon) ve Gemini (Google) akıllı sanal asistanları örnek olarak gösterilmiştir. Ek olarak, işbu akıllı sanat asistanların;, günlük hayatımıza gitgide adapte olduğu, müşterilere ve çalışanlara yardımcı olduğu ve kullanımlarının günden güne arttığı ifade edilmiştir.

3. Sohbet Robotları Tarafından Hangi Kişisel Veriler İşlenmektedir?

Kurum tarafından; yapay zekâ sohbet robotlarının, performanslarını optimize etmek için geniş veri setlerine ihtiyaç duydukları belirtilmiştir. Sohbet robotlarının; hizmet sağlamak, yönetmek, sürdürmek ve/veya analiz etmek, daha iyi bir kullanıcı deneyimi sağlamak, hizmetleri geliştirmek, kullanıcılar ile iletişime geçmek, bilgi teknolojileri sistemlerinin güvenliğini sağlamak, yeni programlar ve hizmetler geliştirmek, yasal yükümlülüklerin yerine getirilmesi ve veri sorumlularının meşru menfaatlerinin korunması gibi birçok amaç kapsamında aşağıdaki kişisel verileri (“Kişisel Veri” veya “Veri”) işlemekte oldukları vurgulanmıştır. Sohbet robotları tarafından aşağıdaki kişisel veriler işlenmekte olduğu sıralanmıştır:

• Hesap Bilgileri (ad-soyad, iletişim bilgileri, hesap kimlik bilgileri, ödeme kartı bilgileri ve işlem geçmişi vb.),
• Uygulama Bilgileri (uygulamanın kullanılmasıyla, uygulamaya dosya yüklenmesiyle veya geri bildirimlerin olmasıyla toplanan içerik bilgileri),
• Gönderilen Görev ve Direktiflerin İçeriğine İlişkin Bilgiler,
• Sosyal Medya Bilgileri (Sosyal Medya Sayfaları ile İletişimde Bulunulması Halinde),
• IP adresi,
•  Tarayıcı Türü ve Ayarları,
• Erişim Zamanı Bilgisi,
• Bilgisayar veya Mobil Cihazın Türü Bilgisi,
• Çerezler Aracılığıyla Toplanan Bilgiler (metin içeriği, konuşma ve ses verisi vb.).

4. Kişisel Veri Güvenliği Bakımından Sohbet Robotlarının Değerlendirilmesi

Kurum tarafından bu tür uygulamaların kullanılması aşamasında öncelikli olarak kullanıcıların farkındalık düzeyi ve kullanım amaçlarının önemi vurgulanmıştır. Bununla birlikte, sohbet robotu aracılığıyla kullanıcılardan toplanan kişisel verilerin nasıl kullanıldığına ilişkin olarak kullanıcıların bilgilendirmesinin ve veri işleme süreçlerinde şeffaflık unsurunun sağlanmasının önemli olduğu ifade edilmiştir. Kullanıcılara kişisel verileri üzerindeki kontrolü sağlamanın gerekli olduğu ise ayrıca belirtilmiştir.

Tüm bunlara ek olarak; kullanıcıların farkındalık eksikliği nedeniyle aşırı bilgi paylaşımının gerçekleşmesinin mahremiyet riskini artırabileceği, siber saldırı riskinin mevcut olduğu, sohbet robotlarındaki teknik açıkların veri ihlali riskini beraberinde getirdiği ifade edilmiştir. Son olarak, Kurum tarafından çocuklara yönelik yaş tespiti (yaş güvencesisistemleri) için yeterli önlemlerin alınmamasının veri güvenliği bakımından risk yaratabileceği belirtilmiştir.

5. Sohbet Robotları Geliştirilirken Nelere Dikkat Edilmesi Gerekmektedir?

Kurum tarafından sohbet robotlarının geliştirirken aşağıdaki hususlara dikkat edilmesi gerektiği vurgulanmıştır:

• Kişisel verileri işlemeye başlamadan önce risk değerlendirmesi yapılması,
• Oluşturulurken hesap verebilirlik ilkesine uygun hareket edilmesi,
• Kişisel verilerin korunması mevzuatındaki genel ilkelere uygun olarak veri işlenmesi,
• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5. ve 6. maddelerine uygun olarak veri işlenmesi,
• Kişisel verilerin işlenmesinde hukuki sebeplerin açıkça belirtilmesi,
• KVKK’nın 10. maddesi kapsamında aydınlatma yükümlülüğünün yerine getirilmesi,
• Kişisel veri güvenliğine ilişkin gerekli teknik ve idari tedbirler alınması.

 Bilgi Notu’nda, işbu sohbet robotlarının;

• Mahremiyetin korunması ve veri güvenliğinin sağlanması amacıyla uluslararası kabul görmüş standartlara uygun olması,
• Sertifikalarının bulunması,
• Başlangıçtan itibaren mahremiyet ve varsayılan mahremiyet yaklaşımlarının tasarım sürecinde her aşamada dikkate alınması (Privacy by Desing & Privacy by Default),
• Metin, ses, konuşma vegörüntü gibi iletilerin bulunacağı ortamlara yönelik güvenli yöntemler tercih edilmesi,
• Yapay zekâ alanında faaliyet gösteren geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcıların Kişisel Verileri Koruma Kurulu tarafından belirlenen tavsiyelere dikkat etmesi,
• Veri sorumlusu ya da veriişleyen olarak kişisel verilerin korunması mevzuatı kapsamındaki yükümlülüklerin yerine getirilmesi, 
• Çocuklara yönelik olarak yaş tespitinin doğru ve güvenilir şekilde gerçekleştirilmesi,
• Özellikle çocukların olumsuz deneyimler yaşamasını engellemek için proaktif bir yaklaşım benimsenmesi.