InPost Mobil uygulamasında Aralık ayından bu yana SpeakLeash Vakfı’nın geliştirdiği Bielik AI yapay zeka modeli kullanılmaktadır. Kullanıcılar, sohbet aracılığıyla bu modeli eğiten “Nakarm Bielik” eylemi için ayrı bir gizlilik politikası veya düzenleme bulunmamaktadır. Polonya Kişisel Verileri Koruma Ofisi (UODO), konuyla ilgili soruşturma yürütmediğini ancak veri işleminin RODO’ya uygun olmasını zorunlu tuttuğunu belirtmiştir.
InPost Mobil uygulamasında Aralık ayından bu yana, SpeakLeash Vakfı tarafından geliştirilen Bielik AI yapay zeka modeli kullanılmaktadır. Kullanıcılar, uygulama içindeki sohbet aracılığıyla bu modeli eğitmektedir. Bu etkinliğe “Nakarm Bielik” adı verilmiştir.
UODO Soruşturma Yürütmemektedir
DGP gazetesi, “Nakarm Bielik” eylemi için ayrı bir gizlilik politikası veya düzenleme bulunmadığını belirtmiştir. Bu durumun endişe yaratıp yaratmadığını sormak üzere Polonya Kişisel Verileri Koruma Ofisi’ne (UODO) başvurulmuştur. UODO’dan gelen yanıtta, UODO’nun Bielik AI modeli veya “Nakarm Bielik” hizmeti hakkında herhangi bir idari soruşturma yürütmediği belirtilmiştir.
Yanıtta, UODO Başkanı’nın yalnızca bir idari kararda, soruşturma yapıldıktan ve deliller incelendikten sonra net bir tutum alabileceği vurgulanmıştır. Ayrıca, veri işleyicinin, verileri nasıl ve hangi teknolojilerle işlediğine bakılmaksızın, kişisel verilerin korunması genel düzenlemesi (RODO) kapsamındaki kurallara uyması gerektiği ifade edilmiştir.
RODO’ya Uygun Veri İşleme Esasları
UODO, düzenlemenin 6. maddesinde, kişisel veri işlemenin yasal olması için karşılanması gereken şartları sıralamaktadır: ilgili kişinin onayı; veri işlemenin, ilgili kişinin tarafı olduğu sözleşmenin ifası için gerekli olması; veri işleyenin kanuni bir yükümlülüğünü yerine getirmek, ilgili kişinin veya bir başkasının hayati çıkarlarını korumak, kamu yararına bir görevin yerine getirilmesi veya veri işleyenin meşru menfaatlerinin gerçekleştirilmesi için gerekli olması.
Eğer veri işleyici bu şartlardan birine sahipse, RODO’nun 5. maddesinde belirtilen ilkeleri uygulamak zorundadır. Bu ilkeler arasında kişisel verilerin uygun güvenlik sağlanarak işlenmesi, yasa dışı işlenmeye karşı korunması yer almaktadır.
Kişisel Veriler ve Cloud Act
DGP’nin “Nakarm Bielik” eylemi kapsamındaki veri işleme konusunda SpeakLeash Vakfı’ndan gelen yanıtta, kullanıcıların girdileri (promp’lar ve eylem cevapları) InPost’ın özel bulutunda, tamamen Avrupa Birliği sınırları içinde saklanmaktadır. Uygulamanın bir kısmı (frontend, ara hizmetler) Google Cloud çözümlerini kullanmaktadır, ancak yalnızca Avrupa veri merkezlerinde (Beyond.pl ve ACK Cyfronet).
Google ise sorduğumuz soruya, Google Cloud’un “Nakarm Bielik” eyleminde yer almadığını ve hem kendi altyapısında hem de ortakların sağladığı verilerde serbest bir erişiminin olmadığını belirtmiştir. Google, verilerin şifrelendiğini ve bu bilgilere erişimin doğrudan müşterileri veya ortaklarının müşterileri olan sahipler tarafından yönetildiğini ifade etmiştir.
Barta Litwiński Hukuk Bürosu’ndan ortak avukat Paweł Litwiński, daha önceki yazımızda, verilerin nerede olduğunun önemli olmadığını, önemli olanın ise kimin erişimine sahip olduğuna dikkat çekmiştir. ABD yasalarına (Cloud Act) göre, Avrupa Birliği’nde kişisel verileri işleyen Amerikan kuruluşlarının (örneğin Google veya Microsoft), ABD makamları talep ettiğinde bu verileri sunmak zorunda olduklarını ve bu durumun AB vatandaşları verileri için de geçerli olduğunu belirtmiştir. Avukat, Google’ın projede varlığının, verilerin Cloud Act kapsamına girebileceğini ve dolayısıyla ABD makamlarının erişimine açık olabileceği anlamına gelebileceğini vurgulamıştır.
Konuyla ilgili UODO’ya da sorulmuş, UODO Cloud Act’ın, sunucuların nerede bulunmasına bakılmaksızın Amerikan kuruluşlarına belirli yükümlülükler getirdiğini yanıtlamıştır. UODO, üçüncü ülkelere veri aktarımı konusunda RODO’nun V. bölümünde yer alan şartların yerine getirilmesi gerektiğini ve AB Komisyonu’nun yeterlilik kararlarının kontrol edilmesi gerektiğini belirtmiştir. Bu kararlar, AB-ABD Veri Koruma Çerçevesi veya Birleşik Krallık için geçerlidir.
Gizlilik Politikası ve Avukat Görüşleri
Zalewski Legal Hukuk Bürosu’nun kurucusu avukat Tomasz Zalewski, InPost’ın gizlilik politikasının “Nakarm Bielik” eylemine ilişkin herhangi bir bilgi içermediğini ve bu nedenle ayrı bir bölüm bulunması gerektiğini belirtmiştir. Zalewski, InPost’ın mobil hizmetler sözleşmesinde hizmetlerin geniş bir tanımı bulunduğunu (“InPost Mobil’de sunulan tüm hizmetler ve işlevler”) ve bu nedenle Bielik’in bu tanım altında sayılabileceğini düşünmüş olabilir dedi.
Gizlilik politikasında “InPost chat AI” adında bir bölüm bulunmaktadır. İşleme amacı, “diyalogları sağlayan sanal bir sohbete elektronik yoldan erişim sunarak hizmet sunmak” olarak belirtilmiştir. Avukat Zalewski’ye göre, Bielik bu genel tanım altına alınabilir. Ancak Zalewski, ileride “müşteri desteği sağlayan, online sohbet yoluyla kullanıcıları destekleyen ve kişisel veri kullanabilen yapay zeka ajanımızın hizmetlerinden yararlanabilirsiniz” ifadesinin bulunduğunu belirtmektedir. Bu ifadenin, müşteri desteği sağlayan bir sohbetten farklı bir hizmete işaret ettiğini savunmaktadır.
Zalewski, ayrıca bu sohbetin (MAT adıyla bilinir) Bielik’ten bağımsız olarak mobil uygulamanın İletişim bölümünden erişilebilir olduğunu, ancak “Nakarm Bielik” hizmetinin daha geniş bir kapsama sahip (herhangi bir konuda sohbet edilebilir) olduğunu vurgulamıştır.
UODO, bu konuya da yanıt vermiştir. InPost uygulamasındaki “Nakarm Bielik” işlevi için ayrı bir düzenleme bulunmaması sorusuna, UODO bu işlev için gizlilik politikasının eklendiğini ve bilgi yükümlülüklerini içerdiğini belirtmiştir. Ancak, bu işlevle ilgili veri işleme süreçlerinin tam olarak karşılanıp karşılanmadığının net bir şekilde anlaşılabilmesi için yalnızca bir idari soruşturma yoluyla mümkün olacağını ifade etmiştir.
Kullanıcı Hakları ve UODO Tavsiyeleri
UODO, kişisel verilerinin doğru bir şekilde işlenmediğini düşünmesi halinde, haklarının ihlal edildiği dahil herhangi bir kişinin UODO Başkanı’na şikayette bulunma hakkı olduğunu belirtmiştir. Ayrıca, kişisel verilerinin yasa dışı işlendiğini düşünen herkes, mahkeme önünde haklarını arayabilir (RODO 79. madde). Eğer bir kişi, RODO düzenlemelerine aykırı bir durum nedeniyle maddi veya manevi bir zarara uğradığını düşünürse, veri işleyen veya işlemeye tabi kurumdan tazminat veya manevi tazminat talep edebilir (RODO 82. madde).
UODO ayrıca, RODO’nun gerektirdiği gibi, veri işleyicinin gizlilik testi (DPIA – veri işleme etkisi değerlendirmesi, RODO 25, 35. maddeler; FRIA – temel haklara etkileri değerlendirmesi) yapması gerektiğini belirtmiştir. Bu test, yapay zeka kullanımı planlanan işlemler için çok titizlikle yapılmalı ve veri işlemenin tüm risklerini (örneğin, aynı yapay zeka modelinin diğer kurumlara veri açıklama riski) kapsamalıdır, bu riskler kapalı bir ortamda (dışarıdan erişimi olmayan) çalışan modeller için geçerli değildir.
UODO, bu ilkelerin tüm veri işleme süreçleri ve kullanılan teknolojiler için geçerli olduğunu vurgulamıştır.
Kaynak : GazetaPrawna
