Yapay Zeka ile Müşteri İletişimi Döneminde KVKK Uyumu

Çoğu işletme yapay zeka araçlarını gizlilik uygulamalarını güncellemeden benimsedi. Bir prompt'a müşteri adı yazılıyor, AI destekli bir erişim aracına telefon listesi yükleniyor, destek e-postası üçüncü taraf bir model tarafından özetleniyor — ve başka herhangi bir tedarikçi için sorulacak veri koruma soruları asla sorulmuyor. Türkiye'de KVKK ve AB'de GDPR düzenleyicileri bunu fark ediyor. İyi haber şu: yükümlülükleri anladığınızda uyum karmaşık değil. Kötü haber: "yapay zeka kullanıyoruz" kimseyi muaf tutmuyor.

Temel soru: veri sorumlusu kim?

Hem KVKK hem GDPR veri sorumlusu fikrine dayanır — kişisel verinin neden ve nasıl işleneceğine karar veren kurum. Müşterilerinizin verileri üzerinde bir yapay zeka aracı kullandığınızda sorumlu sizsiniz ve yapay zeka tedarikçisi neredeyse her zaman sizin adınıza hareket eden bir veri işleyendir. Bunun somut sonuçları var: onlarla sözleşme yapmanız gerekiyor (VİS veya eşdeğeri), verileri nerede işlediklerini bilmeniz gerekiyor ve yaptıkları her şeyden sorumlu kalmaya devam ediyorsunuz.

En yaygın hata yapay zeka araçlarını tedarikçi gibi değil, arama motoru gibi — gündelik kullandığınız bir şey gibi — görmektir. Yasa onları tedarikçi olarak görür ve gizlilik yönetiminiz de öyle görmelidir.

Yapıştırmadan önce veri minimizasyonu

En basit uyum kazanımı aynı zamanda en çok göz ardı edilendir: görev gerçekten gerektirmiyorsa bir yapay zeka aracına kişisel veri göndermeyin. Bir müşteri e-postası taslaklaştırmak için yardım istiyorsanız, müşterinin adı ve e-posta adresi genellikle gerekmez — bir yer tutucu yeterlidir. Bir destek talebini özetlemek istiyorsanız, önce müşterinin kişisel detaylarını çıkarın ve sonunda yeniden ekleyin.

Bu teorik bir endişe değil. Üçüncü taraf bir modele yapıştırdığınız her kişisel veri parçası bir veri aktarımıdır ve her aktarım uyum yükü taşır. Kaynakta minimize etmek, sonrasındaki yükümlülüklerin çoğunu önler.

Yapay zeka destekli iletişimin hukuki dayanağı

WhatsApp veya e-posta kampanyaları — kişiselleştirilmiş olsalar bile — her iki düzenlemede de hukuki dayanağa ihtiyaç duyar. Müşteri iletişimi için uygulanabilir iki dayanak rıza (alıcı açıkça onay verdi) ve meşru menfaattir (var olan bir ilişkiniz var ve mesaj makul). Yapay zeka dayanağı değiştirmez. Sadece daha fazla iletişim üretmeyi kolaylaştırır, bu da sınırı aşmayı kolaylaştırır.

Pratik bir kural: alıcı sizden mesaj beklemiyorsa veya belgelendirebileceğiniz bir şekilde onay vermediyse, mesajı göndermeyin — yapay zeka yardımıyla veya olmadan.

Sınır ötesi veri aktarımı en büyük tuzak

Çoğu yapay zeka tedarikçisi Amerika Birleşik Devletleri'nde veya AB/Türkiye dışındaki ülkelerde veri işler. GDPR kapsamında bu aktarımların yasal bir mekanizmaya ihtiyacı var (Standart Sözleşme Hükümleri yaygın olanı). KVKK kapsamında yurt dışı aktarımı, veri sahibinden açık rıza veya hedef ülke için KVKK Kurulu onayı gerektirir. Her ikisi de yönetilebilir ama her ikisi de birçok işletmenin sahip olmadığı belgeleme gerektirir.

Bir yapay zeka tedarikçisini devreye almadan önce, veri işleme eklerini okuyun. Üç şeye bakın: verileri nerede işliyorlar, uluslararası aktarımlar için hangi güvenlik önlemleri var ve modellerini eğitmek için verilerinizi kullanıp kullanmıyorlar. Cevapları anlamıyorsanız, aracı benimsemeyin.

Eğitim verisiyle ilgili rıza sorunu

Bazı yapay zeka araçları varsayılan olarak modellerini iyileştirmek için girdilerinizi kullanır. Bu sessiz bir uyum felaketidir — prompt'a yapıştırdığınız müşteri verisi, başka müşterilerin daha sonra sorguladığı bir modele katkıda bulunabilir. Neredeyse hiçbir işletme müşterilerinden bu kullanım için geçerli rıza alamaz.

Çözüm, verileriniz üzerinde eğitim yapılmayacağını garanti eden iş sınıfı planları olan araçları seçmektir. Ciddi tedarikçilerin çoğu bunu sunar. Ücretsiz veya bireysel seviyeler genellikle sunmaz — bu da iş bağlamında ücretsizin nadiren ücretsiz olmasının başka bir nedenidir.

Saklama: AI araçları unutmak istediğiniz şeyleri hatırlar

Promptlar, yanıtlar ve bazen yüklenen dosyalar AI aracı tarafından değişen sürelerde kaydedilir. Bir müşteri GDPR Madde 17 veya KVKK Madde 7 kapsamındaki silme hakkını kullandığında, bunu yerine getirmenin bir yolu olması gerekir — kullandığınız yapay zeka araçlarında dahil. Tedarikçi hedefli silme sunmuyorsa, bir probleminiz var demektir.

Bir yapay zeka aracını geniş kapsamlı dağıtmadan önce sorun: promptları ve çıktıları ne kadar süre saklıyorlar, istek üzerine belirli kayıtları silebilir miyim ve bir denetim kaydı var mı? Cevaplar belirsizse, farklı bir araç seçin.

Minimal bir uyum kontrol listesi

Uyumlu olmak için tam bir gizlilik programına ihtiyacınız yok — ekibinizin gerçekten takip ettiği kısa, dürüst bir kontrol listesine ihtiyacınız var. İşte bizimki:

• Kullandığımız her yapay zeka tedarikçisinin imzalı bir VİS'i ve yayınlanmış alt-işleyen listesi var.
• Promptlarda kişisel veri kesinlikle gerekmedikçe varsayılan olarak minimize edilmiş, anonimleştirilmiş veya takma adlı veri kullanıyoruz.
• Gizlilik politikamız yapay zeka tedarikçilerini, amacı ve işleme için hukuki dayanağı belirtiyor.
• Müşteriler silme talep edebilir ve tüm araçlarımızda bunu yerine getirmek için test edilmiş bir sürecimiz var.
• Hiçbir ekip üyesi müşteri verisi için ücretsiz yapay zeka araçları kullanmıyor — yalnızca incelediğimiz iş planları.

Kuralın ruhu, sadece lafzı değil

Düzenlemeler hayatı zorlaştırmak için yok. Kişisel veriler gerçekten hassas olduğu ve insanlar nasıl kullanıldığını bilmeyi hak ettiği için varlar. Yapay zeka araçları hem faydayı hem de riski büyütür. Yapay zeka uyumunu gerçek bir taahhüt olarak ele alan — evrak egzersizi olarak değil — bir işletme uzun vadede daha hızlı ilerleyecektir, çünkü güven birikir ve hatalar da birikir.

Araçlarınızı dikkatle seçin, seçimlerinizi belgeleyin ve bir prompt'a her yapıştırmayı küçük bir gizlilik kararı olarak ele alın. İşin çoğu budur.