AVRUPA YAPAY ZEKÂ TÜZÜĞÜ TEKLİFİ HAKKINDA

-HUKUK BÜLTENİ-

                                               BÜLTEN TARİHİ: 02/07/2021

I) GİRİŞ

             Avrupa kurumlarının Yapay Zekâ’yı (“YZ”) hukuki regülasyona tabi tutmak hususunda uzun yıllara yayılan çalışmaları sonucunda Avrupa Birliği’nin (“AB”) politikalarını yürütmekle sorumlu olan Avrupa Komisyonu (“Komisyon”), 21 Nisan 2021 tarihinde ilk defa YZ’ya yönelik bir düzenleme teklifi yayımlamıştır[1]. Tüzük taslağının “mükemmellik ve güven” çevresinde yoğunlaştığı ileri sürülmüş ve amacın hem araştırma ve endüstri kapasitesini geliştirmek hem de temel hak ve özgürlükleri temin etmek olduğu belirtilmiştir. Söz konusu çerçeve belge, YZ kullanımını teknik, ekonomik ve yasal yönlerden ele almasının yanı sıra;

          - YZ uygulamaları tarafından oluşturulan riskleri ortaya koyarak bu riskleri kategorik olarak düzenlemekte,

          - Yüksek riskli uygulamaların listesini oluşturmakta ve bunlar için açık gereksinimler öngörmekte,

          - YZ kullanıcıları ve servis sağlayıcıları için hususi yükümlülükler tanımlamakta,

      - YZ sistemleri hizmete girmeden veya piyasaya sürülmeden önce yapılmak üzere bir uygunluk denetimi getirmekte,

          -  Yürürlüğe giren uygulamaların denetim ve yaptırımını düzenlemekte, bu kapsamda Avrupa Yapay Zekâ Kurulu ve benzeri yeni kurumsal organizasyon oluşturarak Avrupa seviyesinde ve ulusal düzlemlerde yeni bir yönetişim yapısı tasarlamaktadır.

            Tüzük taslağının yürürlüğe girerek icrailik kazanabilmesi için Avrupa Parlamentosu’nun (“AP”) ve üye devletlerin onayı gerekmektedir. Bu nedenle, taslak hükümlerde değişiklikler yapılması olası olmakla birlikte bültenimizde mevcut çerçeve üzerinden incelemelerde bulunulacaktır.

II) DÜZENLEMENİN ARKA PLANI

            Bu taslak, AB kurumları tarafından yürütülen uzun ve karmaşık bir çalışmanın ürünüdür. 2017’de AP, robotiğe ilişkin özel hukuk kurallarını kabul etmiş[2], 2018 yılında YZ üzerine Avrupa Stratejisinin[3] yayımlanması akabinde Komisyon üye devletler için YZ üzerine Koordineli Planı ilan etmiş[4]; Şubat 2020’de ise YZ, Nesnelerin İnterneti (IoT) ve Robotik Güvenlik ve Sorumluluk Etkileri hakkındaki raporunu[5] ve YZ üzerine beyaz kağıdı[6] yayımlamıştır. Sonrasında AP, Komisyon’a tavsiye teşkil etmek üzere YZ için özel hukuk sorumluluk rejimini düzenleyen bir kararı Ekim 2020’de kabul etmiş[7] ve mevcut hukuk düzenlerinin YZ sistemlerinin sorumluluğunu düzenlemekte yetersiz kaldığını, zira mevcut durumda YZ sistemlerinden zarar uğrayan kişi/lerin, operatörün kusurunu kanıtlayamadığı takdirde genellikle zararlarını tazmin edemediğini vurgulamıştır. Sonuç olarak Komisyon’un 21 Nisan 2021’de tarihinde yayımladığı 108 sayfa ve 9 ekten oluşan Tüzük taslağı böyle bir süreç sonucunda ortaya çıkmıştır. Mezkûr düzenleme “Tüzük” niteliğinde olduğundan yürürlüğe girdiği takdirde tüm AB üyesi devletlerde doğrudan uygulama alanı bulacaktır.

III) TÜZÜĞÜN AMACI, KONUSU, KAPSAMI VE TERMİNOLOJİSİ

A) AMAÇ

            Politik boyutla ilgili olarak Komisyon, Tüzük ile yeknesak bir çerçeve oluşturarak ulaşmak istediği 4 temel amaç belirlemiştir. Bunlar;

         - Birlik pazarına girecek olan YZ sistemlerinin güvenli olması ve temel hak özgürlükler ile AB değerlerine saygılı olması,

          - YZ alanındaki inovasyon ve yatırımları kolaylaştıracak hukuki güvenliğin sağlanması,

     - Hâlihazırda YZ sistemlerine uygulanabilir temel haklar ve güvenliğe ilişkin hukukun yönetişimini ve etkin uygulamasını geliştirmek,

        - Yasal, güvenli ve güvenilir YZ uygulamaları için tek pazar oluşumunu desteklemek ve piyasa ayrışmasını (market fragmentation) önlemek.

B) KONU

            Tüzüğün 1’inci maddesine göre üzerinde durulan temel konular aşağıdaki gibidir[8]:

          - YZ sistemlerinin Birlik içinde pazara sunulması veya hizmete sokulmasına dair uyumlu kurallar oluşturulması,

          - Belirli YZ Sistemlerinin yasaklanması,

      - Gerçek kişiler ile etkileşimde olması amaçlanan YZ Sistemleri, duygu tanıma sistemleri, biyometrik kategorizasyon sistemleri ve görüntü, ses ve video içeriklerinin üretilmesi veya manipülasyonu için kullanılan YZ Sistemlerine dair uyumlu şeffaflık kuralları getirilmesi,

             -  Pazar izlenmesi ve gözetimine dair kurallar oluşturulması.

C) KAPSAM

            Tüzüğün 2’nci maddesi, uygulama alanını AB Genel Veri Koruma Tüzüğüne (“GDPR”) benzer bir biçimde düzenlemektedir. Bu da demektir de Tüzük yalnızca AB sınırları içerisinde bulunan kişi ve kurumları ilgilendirmemekte; aynı zamanda belirli koşulların sağlanması durumunda AB sınırları dışında mukim YZ sistemi sağlayıcısı veya kullanıcılarını da bağlamaktadır. Tüzüğün 2/1’inci maddesi uyarınca Tüzük kapsamına dâhil olanlar;

           1) Birlik içinde kurulmuş olup olmadığına bakılmaksızın, Birlik içinde bir YZ Sistemini pazara sokan veya hizmete geçiren YZ sağlayıcıları;

            2) Birlik sınırları içinde yerleşik kullanıcılar[9];

            3) Ürettiği çıktıları Birlik içinde kullanılan Yapay Zekâ Sisteminin üçüncü ülkelerdeki sağlayıcı veya kullanıcıları.

D) TERMİNOLOJİ

            Tüzük taslağı tanımlamalarında teknoloji tarafsız (technology-neutral) yaklaşımıyla öne çıkmaktadır. Böylelikle ileride yaşanabilecek teknolojik gelişmelerle uyumlu olabilmesi ve ortaya çıkabilecek ihtiyaçlara cevap verebilmesi amaçlanmaktadır. Örneğin Yapay Zekâ Sistemi (AI System), “Ek I’de sayılan (gözetimli-gözetimsiz makine öğrenmesi, derin öğrenme başta olmak üzere, bkz: dipnot1)tekniklerden biri veya birkaçı ile geliştirilen ve insan tarafından belirlenen amaçlar doğrultusunda içerik, tahmin, tavsiye veya karar gibi içerikler üreterek etkileşimde olduğu çevreyi etkileyen yazılım”[10] olarak tanımlanmıştır.

            Kullanıcı (user) kavramı ise “Kişisel/mesleki faaliyet dışı olanlar hariç olmak üzere, YZ Sistemini kendi otoritesi altında kullanan gerçek veya tüzel kişiler[11]” olarak tanımlanmaktadır. Dolayısıyla mesleki faaliyetler kapsamında YZ sistemlerinden faydalanan serbest avukatlar veya serbest muhasebeci mali müşavirler Tüzük kapsamında olacaktır. Buna karşılık, başka bir avukat veya şirket bünyesinde bağlı çalışan avukat “kullanıcı” sayılmayacaktır. Türkiye’deki gerçek ve tüzel kişi kullanıcılar da ürettikleri çıktılar Birlik içerisinde kullanıldığı takdirde Tüzük uyarınca birtakım yükümlülüklere tabi olacaktır.

            Son olarak, “sağlayıcı” (provider) kavramının üzerinde durmakta yarar vardır. Tüzük bağlamında sağlayıcı “Kendi adı veya markası ile bedel karşılığı veya ücretsiz olarak pazara sunmak veya hizmete sokmak amacı ile bir YZ Sistemini geliştiren veya ona sahip olan gerçek veya tüzel kişi, kamu otoritesi veya yetkili kurum veya kuruluşlardır.[12]”

IV) RİSK TEMELLİ YAKLAŞIM

            Tüzük risk temelli bir yaklaşım benimsemek suretiyle YZ sistemlerini 4 farklı kategori altında sınıflandırmıştır:

            Kabul Edilemez Risk (Unacceptable Risk): Tüzüğün 5’inci maddesinde, kabul edilemez risk içerdiği belirlenen birtakım YZ sistemleri açık bir şekilde yasaklanmıştır. Sayılan kullanımlar insanların güvenliğine, geçim kaynaklarına ve haklarına açık bir tehdit olarak değerlendirilmektedir. Bunlar arasında çocuklar ve engelliler gibi dezavantajlı durumdaki kişilerin zayıflıklarından yararlanarak manipülatif ve sömürücü sonuçlara yol açabilecek YZ sistemleri, kamu otoriteleri tarafından uygulanan sosyal puanlama sistemleri ile objektif zorunluluk halleri haricinde[13] gerçek zamanlı uzaktan biyometrik tanımlama YZ sistemleri bulunmaktadır.

            Kabul edilemez risk teşkil eden bir YZ uygulamasının kullanıldığı tespit edildiği takdirde Tüzük hükümleri uyarınca 30 Milyon Euro’ya kadar idari para cezası öngörülmüştür. İhlal eden bir tüzel kişiyse, önceki yıl global çapta elde ettiği cironun %6’sının bu tutarı aşması halinde söz konusu yüzdelik oran uygulanacaktır.

            Yüksek Risk (High Risk): Bu sınıflandırmaya tabi tutulan YZ sistemleri ancak yasal zorunlulukların yerine getirilmesi koşuluyla serbesttir. Yüksek risk sınıflandırmasında YZ sisteminin kullanım amacı dikkate alınmakla birlikte kendi içerisinde de iki farklı sınıfa ayrılmıştır. Bunlar, uyum değerlendirmesine tabi ürünlerin güvenlik unsuru olan YZ sistemleri ile Ek-III’te sayılan bağımsız (stand alone) YZ sistemleridir. Yüksek risk kapsamında bulunan YZ kullanım alanlarından bazıları aşağıdaki gibidir:

               - Vatandaşların hayatını ve sağlığını riske atabilecek kritik altyapılar (örneğin ulaşım),

               - Eğitim ve kişinin yaşamının mesleki seyrini etkileyebilecek mesleki eğitim (örneğin sınavların puanlanması),

               - Ürünlerin güvenlik bileşenleri (örneğin robot destekli cerrahide YZ uygulaması,

           - İstihdam, işçi yönetimi ve serbest mesleğe erişim (örneğin işe alım süreçleri için özgeçmiş derecelendirme yazılımı),

              - Temel özel ve kamu hizmetleri (örneğin vatandaşların kredi imkânını kısıtlayan kredi puanlama uygulaması),

           - Temel insan haklarını ilgilendiren hukuki uygulamalar (örneğin delillerin güvenilirliğini değerlendiren uygulama),

              - Göç, iltica ve sınır kontrolü yönetimi (örneğin seyahat belgelerinin geçerliliğinin doğrulanması),

              - Adalet idaresi ve demokratik süreçler (örneğin kanunun somut bir dizi olaya uygulanması),

            Yüksek riskli YZ sistemleri piyasaya sürülmeden önce katı yükümlülükleri yerine getirmesi gerekmektedir:

           - Yeterli risk değerlendirme ve azaltma sistemlerinin kurulması,

           - Riskleri ve ayrımcı sonuçları en aza indirmek için sistemi besleyen veri setlerinin yüksek kalitesi,

           - Sonuçların izlenebilirliğini sağlamak için aktivite günlüğü oluşturulması,

       - Yetkililerin uygunluğu değerlendirmeleri için sistem ve amacı hakkında gerekli tüm bilgileri sağlayan ayrıntılı belgelerin temini,

          -  Kullanıcılar için açık ve yeterli bilgi setlerinin oluşturulması,

          - Riski en aza indirmek için uygun insan gözetim sistemi oluşturulması,

          - Yüksek düzeyde sağlamlık, güvenlik ve doğruluğun sağlanması.

            Yukarıda sayılan ilkeler esas olarak AB Yüksek Uzman Heyeti tarafından 2019 yılında düzenlenen Güvenilir YZ için Etik İlkeler Rehberinde sayılan ilkelere dayanmaktadır. Bu sınıf kapsamına giren YZ sistemleri, pazar öncesi ve sonrası yasal sorumlulukların yerine getirilmesi haricinde uyum denetimi, AB veritabanına kayıt, pazar sonrası denetim ve CE işareti alınması gibi süreçlere tabidir.

        Yüksek riskli YZ sistemleri AB çapında bir veritabanına sistem sağlayıcıları tarafından kaydedilecektir. Kayıt sırasında sunulacak bilgiler aşağıdakileri içermektedir:

         - Sağlayıcı hakkında bilgi, YZ sisteminin tescilli ismi ve açıkça tanınmasına ve izlenebilirliğine izin veren ek bilgiler,

             - YZ sisteminin matuf olduğu amaca ilişkin açıklama,

             - YZ sisteminin durumu (piyasada aktif, piyasada bulunmuyor, geri çekilmiş vb.),

           - Onaylı kuruluş tarafından verilen sertifikanın türü, numarası, son kullanma tarihi ile bu onaylı kuruluşun adı veya kimlik numarası,

              - Uygunluk sertifikasının kopyası (gerekli olduğu takdirde),

              - YZ sisteminin piyasaya sürüldüğü veya sürüleceği üye devletler,

              - Ek kullanım talimatları,

              - Ek bilgi içeren URL linki (opsiyonel).

            Yüksek riskli YZ sisteminin piyasaya girmesinin aşamaları aşağıdaki gibi tablolaştırılabilir:

            Bu yükümlülüklere uyulmadığının tespiti halinde Tüzük hükümleri uyarınca 20 Milyon Euro’ya kadar idari para cezası öngörülmüştür. İhlal eden bir tüzel kişiyse, önceki yıl global çapta elde ettiği cironun %4’ünün bu tutarı aşması halinde söz konusu yüzdelik oran uygulanacaktır.

            Sınırlı Risk (Limited Risk): Spesifik şeffaflık yükümlülüklerine tabi YZ sistemleridir. Örneğin kullanıcı sohbet botuyla etkileşime geçtiği takdirde bunun farkında olabilmeli ve buna göre devam edip etmemeye bilinçli bir şekilde karar verebilmelidir. Tüzüğün 69’uncu maddesinde çeşitli ihtiyari davranış kuralları (code of conduct) düzenlenmiştir.

            Minimum Risk: Tüzük, video oyunları ve spam filtreleri gibi amaçlarla YZ uygulamalarının serbestçe kullanımına izin vermektedir. Şu an için AB’de kullanılan YZ sistemlerinin büyük çoğunluğu bu kapsamdadır.

V) TÜZÜĞÜN UYGULANMASI

            Tüzük, Avrupa Yapay Zekâ Kurulu’nun ve ulusal otoritelerin kurulmasını öngörmektedir. Bu kapsamda, uygulamaların denetimi ve yaptırımlar da detaylı olarak düzenlenmiştir.

            Avrupa Yapa Zekâ Kurulu (European Artificial Intelligence Board “EAIB”): Tüzük ile ilgili Avrupa Komisyonu’na yardım tavsiye bulunmak ve yardım etmek üzere Kurul kurulacaktır. Kurul, ulusal denetim makamlarıyla Komisyon arasında etkin işbirliği sağlanmasını kolaylaştırır, Komisyon’un rehberliğini koordine eder ve Tüzüğün yeknesak ve istikrarlı uygulanması için hem ulusal denetim makamlarına hem de Komisyona yardımcı olur.

            Ulusal Yetkili Otoriteler (National Competent Authorities): Üye devletler YZ Tüzüğü hakkında rehberlik etmek ve tavsiye vermek üzere ulusal yetkili makamlar ve bir ulusal denetim otoritesi ihdas eder.

            İcrailik: Üye Devlet yetkililerinin YZ sistemlerinin piyasa gözetimini yapma yükümlülüğü bulunmaktadır. Bir yetkili, bir YZ sisteminin sağlık, güvenlik veya temel haklar için bir risk oluşturduğuna inanıyorsa, yetkili makam AI sisteminin bir değerlendirmesini yapmalı ve gerektiğinde düzeltici eylem uygulamalıdır.

            Yaptırımlar: Tüzüğün ihlali, 10-30 milyon Euro idari para cezası veya şirketin yıllık cirosunun %2-%6 arası tutarında idari para cezası gerektirmektedir. Hangisi daha yüksekse o tutar geçerli olmaktadır. Cezanın miktarı, ihlalin niteliğine göre değişmektedir.

            Tüzük, denetleyici makamlar tarafından uygulanacaktır ve bu nednel bireyler için bir şikâyet sistemi veya doğrudan hak sağlamaz. Üye Devletlerin “yetkili otorite” rolünü yerine getirmek için veri koruma denetim makamlarını, ulusal standart ajanslarını veya diğer ajansları atayıp atamayacağı belirsizdir. YZ Tüzüğü, GDPR’da uygulanan "tek durak noktası" (one stop shop) sistemini esas almadığından 27 Üye Devlet arasında tutarlılık ve işbirliğinin sağlanması konusunda endişeler mevcuttur.

VI) GELECEK SÜREÇLER VE SONUÇ

            İnceleme konusu Tüzüğün bir geçiş dönemiyle birlikte 2022’nin ikinci yarısında yürürlüğe girmesi beklenmektedir. Bu geçiş döneminde geliştirilen standartlar zorunlu kılınacak ve oluşturulan yönetişim yapıları işler hale getirilecektir. Tüzüğün tam olarak uygulanabilmesi ve uygunluk değerlendirilmelerinin yapılmaya başlanması için öngörülen en erken tarih ise 2024’ün ikinci yarısıdır[15].

            Tüzük, internetin ortaya çıkmasından bu yana en hızlı gelişen ve ekonomik açıdan da önem taşıyan yapay zekâ alanını düzenlemesi nedeniyle hem büyük önem taşıyor hem de oldukça cesur ve kapsamlı bir hareketi temsil ediyor. Yapay zekânın nesnelerin interneti (IoT) araçlarına, otomobillere, mobil aygıtlara, toptan ve perakendeciliğe, tıp ve çok daha farklı sektörlerde kullanılmaya başlanması önemli fırsatlar yaratıyor. Bununla birlikte yapay zekâ, kişisel güvenlik, mahremiyet ve eşitlik (ayrımcılık yasağı bağlamında) gibi insan haklarını büyük zarara uğratma potansiyeline de sahip. AB, YZ sistemi geliştiricileri ve kullanıcıları için riske dayalı bir yaklaşım düzenleyip buna da sınırlar ötesi etki tanıyarak aynı GDPR’da olduğu üzere küresel standart haline gelebilecek bir yasal ve etik çerçeve oluşturmuştur.

Saygılarımızla

Forensis Hukuk Bürosu

Not: Bültenimizde yer verilen açıklamalar, ilgili mevzuat çerçevesinde konuyu genel hatlarıyla ele alır tarzda hazırlanmıştır. Size özel detaylı bilgi için bir hukuk bürosuyla bağlantıya geçmenizi tavsiye ederiz.