Avrupa Birliği’nin veri koruma kurallarının OpenAI’ın popüler chatbotu ChatGPT’ye nasıl uygulanacağına dair bir yıldan fazla süredir süren çalışmalarını yürüten veri koruma görev gücü, Cuma günü ön sonuçlarını açıkladı. En önemli sonuç, gizlilik denetçilerinin, OpenAI’ın veri işleme faaliyetlerinin yasal olup olmadığı ve adil olup olmadığı gibi temel hukuki konularda hala kararsız olduğu.
Bu durum önemli, çünkü bloğun gizlilik rejiminin ihlalleri için belirlenen cezalar, küresel yıllık cironun %4’üne kadar çıkabilir. Denetçiler, uyumsuz işlemleri durdurma emri de verebilir. Teoride, OpenAI, AB’de önemli bir düzenleyici riskle karşı karşıya. Özel AI yasalarının eksikliği ve hatta AB’de bu yasaların tam olarak işler hale gelmesinin yıllar alacağı düşünüldüğünde bu risk daha da önem kazanıyor.
AB veri koruma denetçilerinden ChatGPT’ye yönelik mevcut veri koruma yasalarının nasıl uygulanacağı konusunda netlik olmadan, OpenAI’nin işlerini olduğu gibi sürdürmeye devam edeceği tahmin ediliyor. Halbuki, teknoloji şirketinin bloğun Genel Veri Koruma Yönetmeliği’ni (GDPR) ihlal ettiğine dair artan sayıda şikayet bulunuyor.
GDPR Şikayetleri ve Uygulama Eksikliği
Teorik olarak, kişisel veriler toplandığında ve işlendiğinde GDPR uygulanır. Büyük dil modelleri (LLM’ler) olan OpenAI’nin GPT modeli, ChatGPT’nin arkasındaki yapay zeka modeli, kamu internetinden veri kazıyarak modellerini eğitirken geniş ölçekte kişisel veriler toplar ve işler. AB düzenlemesi, uyumsuz işlemleri durdurma yetkisi de verir. Bu, GDPR uygulayıcılarının harekete geçmesi durumunda ChatGPT’nin arkasındaki AI devinin bölgede nasıl faaliyet gösterebileceğini şekillendirmek için çok güçlü bir kaldıraç olabilir.
Geçen yıl İtalya’nın gizlilik gözlemcisinin ChatGPT’nin yerel kullanıcılarının verilerini işlemesine geçici bir yasak getirdiği görüldü. Bu eylem, GDPR’de yer alan acil durum yetkileri kullanılarak yapıldı ve AI devinin ülkede hizmeti geçici olarak kapatmasına neden oldu.
ChatGPT, İtalya’da yalnızca DPA’nın taleplerine yanıt olarak kullanıcılarına sunduğu bilgi ve kontrollerde değişiklikler yaptıktan sonra yeniden hizmete girdi. Ancak İtalyan soruşturması, OpenAI’nin AI modellerini eğitmek için insanların verilerini işlemenin yasal dayanağı gibi temel konuları içermeye devam ediyor. Bu nedenle, araç AB’de hala yasal bir belirsizlik altında.
GDPR kapsamında, insanlar hakkında veri işlemek isteyen herhangi bir kuruluşun bu işlem için yasal bir dayanağa sahip olması gerekir. Düzenleme altı olası dayanak belirler, ancak çoğu OpenAI’nin bağlamında geçerli değildir. İtalyan DPA, AI devine, AI’larını eğitmek için insanların verilerini işlemenin sözleşmeye dayalı bir gereklilik olduğunu iddia edemeyeceğini belirtti ve geriye yalnızca iki olası yasal dayanak bıraktı: ya kullanıcıların verilerini kullanmak için izin istemek ya da denge testi gerektiren geniş kapsamlı meşru menfaat (LI) dayanağını kullanmak.
Meşru Menfaat ve Önerilen Çözümler
İtalya’nın müdahalesinden bu yana, OpenAI görünüşe göre kişisel verileri model eğitimi için işlemeye yönelik LI dayanağına geçti. Ancak Ocak ayında DPA’nın taslak kararında OpenAI’nin GDPR’yi ihlal ettiği bulundu. Taslak bulguların detayları yayımlanmadı, bu yüzden yetkilinin yasal dayanak konusundaki tam değerlendirmesini henüz görmedik. Şikayete ilişkin nihai karar bekleniyor.
Görev gücünün raporu, ChatGPT’nin kişisel veri işlemenin tüm aşamaları için geçerli bir yasal dayanağa ihtiyaç duyduğunu belirterek bu karmaşık yasalılık sorununu ele alıyor. Bu aşamalar arasında eğitim verilerinin toplanması; verilerin ön işlenmesi; eğitimin kendisi; istemler ve ChatGPT çıktıları; ve ChatGPT istemleri üzerinde yapılan eğitimler yer alır.
Görev gücü, verilerin toplanmasını sınırlamak ve bireyler üzerindeki etkileri azaltmak için “teknik önlemler”, “kesin toplama kriterleri tanımlama” ve/veya sosyal medya profilleri gibi belirli veri kategorilerini veya kaynakları engelleme gibi “uygun önlemler” önermektedir.
Adil ve Şeffaflık İlkesinin Uygulanması
Görev gücünün raporu ayrıca, GDPR’nin adillik ilkesi üzerinde durarak, gizlilik riskinin kullanıcıya devredilemeyeceğini vurguluyor. Ayrıca, kullanıcıların girdilerinin eğitim amacıyla kullanılabileceği konusunda açık ve gösterilebilir bir şekilde bilgilendirilmesi gerektiğini belirtiyor. OpenAI’nin kullanıcıları bilgilendirme konusunda daha şeffaf olması gerektiğini savunuyor.
Rapor, veri doğruluğu ilkesine uyulması gerektiğini vurgulayarak, OpenAI’nin chatbotun “sınırlı güvenilirlik seviyesini” belirtmesi gerektiğini belirtiyor. Kullanıcıların yanlış kişisel bilgilerin düzeltilmesini isteme haklarının da kolayca kullanılabilmesi gerektiğini ifade ediyor.
AB Veri Koruma Kurulu’nun Rolü ve Denetimlerin Geleceği
ChatGPT görev gücü, geçen yıl İtalya’nın OpenAI’a yönelik dikkat çekici müdahalesinin ardından kurulmuştu ve AB veri koruma kurallarının bu yeni teknolojiye uygulanmasını hızlandırmayı amaçlıyordu. Görev gücü, AB yasalarının uygulanmasını yönlendiren Avrupa Veri Koruma Kurulu (EDPB) bünyesinde faaliyet gösteriyor. Ancak, DPA’lar bağımsız kalır ve GDPR uygulamasının merkezi olmadığı yerlerde kendi bölgelerinde yasayı uygulamakta yetkilidir.
Görev gücünün varlığı, OpenAI’nın chatbotuna yönelik GDPR uygulamalarını geciktirerek şikayetlerin soruşturmalarının yavaşlamasına neden olabilir. Örneğin, Polonya’nın veri koruma yetkilisi, OpenAI’a yönelik soruşturmasının görev gücünün çalışmalarını tamamlamasını beklemesi gerektiğini belirtti.
