Rehber, hukuki jargon olmadan

İsviçre'de yapay zeka ve LPD/nLPD: ne anlama geliyor

Yeni Veri Koruma Kanunu'nun yapay zeka projeleriniz için neyi değiştirdiğine ve veri yerleşimine saygı göstererek nasıl inşa ettiğimize dair net bir bakış. Önemli: hukuki tavsiye vermiyoruz.

Avrupa barındırmasıAçık kaynakİzlenebilir

14'053+ son 30 günde oluşturulan site

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Avrupa barındırması
Açık kaynak
İzlenebilir

1 Eylül 2023'ten itibaren İsviçre'de yeni veri koruma yasası (nLPD) yürürlüktedir. Bu yasa yapay zekayı doğrudan adıyla anmaz; bu bilinçli bir tercihtir: yasa teknolojik tarafsızlık ilkesiyle kaleme alınmıştır. Doğrudan sonucu şudur: gerçek kişilere ait kişisel verileri işleyen her yapay zeka sistemi nLPD kapsamındadır, nokta. Bu kılavuz, bir yapay zeka aracı kullanan ya da kullanmayı düşünen İsviçreli bir şirket için bunun pratikte ne anlama geldiğini açıklamaktadır; ister dahili bir sohbet robotu, ister otomatik bir işe alım aracı, ister bir tavsiye motoru, isterse bir müşteri analiz çözümü olsun.

14'053+
son 30 günde oluşturulan site
16
dil
100%
AB barındırma
0
US cloud

Bilinmesi gereken temel noktalar

Önemli olanlar, basitçe açıklanmış.

Veri yerleşimi

Verilerinizin nerede saklanıp işlendiği önemlidir. Avrupa barındırması ve açık kaynaklı modellerle inşa ediyoruz.

Veri minimizasyonu

Yalnızca gerekli verileri işlemek: riski azaltan basit bir ilke.

Şeffaflık ve izlenebilirlik

Yapay zekanın verilerinizle ne yaptığını bilmek, kayıt altına alınan ve denetlenebilir işlemlerle.

Alt yükleniciler

Verilerinizi kontrol edilemeyen üçüncü taraf bulutlara maruz bırakmayan hizmet sağlayıcılar seçmek.

nLPD ve yapay zeka: teknolojik tarafsızlık ilkesi

Federal Veri Koruma ve Bilgi Komiseri (PFPDT), Kasım 2023'te tutumunu doğruladı: mevcut veri koruma yasası yapay zekaya doğrudan uygulanmaktadır. İsviçre, Avrupa Birliği'nin Yapay Zeka Yasası'nın aksine, yapay zekaya özgü bir mevzuata sahip değildir. İsviçre yasa koyucu, bilinçli olarak teknolojik tarafsızlığa dayalı bir yaklaşım seçmiştir: mevcut kurallar (nLPD, Borçlar Kanunu, FADP) yapay zeka dahil her teknolojiye uygulanır. Bu şu anlama gelir: yapay zeka destekli CRM sağlayıcınız, tahmine dayalı analiz aracınız veya dahili sohbet botunuz, kimliği belirlenebilir bir kişiye ait verileri işlediği anda nLPD kapsamına girer.

  • İsviçre'de bugün itibarıyla özel bir yapay zeka yasası bulunmamaktadır: nLPD ana çerçeve işlevi görmektedir
  • Teknolojik tarafsızlık: yasal metin yapay zekayı adıyla anmaz ancak ona tamamıyla uygulanır
  • PFPDT bu yorumu Kasım 2023'te resmi olarak teyit etmiştir
  • Avrupa Konseyi Yapay Zeka Çerçeve Sözleşmesi (İsviçre tarafından 27 Mart 2025'te imzalanmıştır) bu mekanizmayı 2026-2027 itibarıyla güçlendirecektir
  • Avrupa Yapay Zeka Yasası, AB sakinlerinin verilerini işleyen İsviçreli şirketlere dolaylı olarak uygulanabilir

Her yapay zeka kullanımı için beş temel yükümlülük

Dağıtılan yapay zeka sisteminin niteliği ne olursa olsun, nLPD'nin beş ilkesi veri işlemeden sorumlu şirketi bağlar.

  • Şeffaflık: ilgili kişiler, bir yapay zeka sisteminin verilerini hangi amaçla ve hangi hukuki dayanağa göre işlediğini bilmelidir. Kasıtlı opaklik bir ihlaldir.
  • Belirlenmiş amaç: belirli bir amaçla toplanan veriler, ayrı bir hukuki dayanak olmaksızın bir yapay zeka modelini eğitmek veya geliştirmek amacıyla yeniden kullanılamaz.
  • Veri minimizasyonu: bir yapay zeka sistemi yalnızca takip edilen amaca kesinlikle gerekli olan verileri işlemelidir. Olası senaryolar için veri toplamak bu ilkenin ihlalidir.
  • Doğruluk: bir yapay zeka sistemini besleyen veriler güncel tutulmalıdır. Güncel olmayan verilere dayalı otomatik bir karar şirketin sorumluluğunu doğurur.
  • Güvenlik ve izlenebilirlik: yapay zeka işlemleri günlüğe kaydedilmeli ve erişimler denetlenmelidir. Veri ihlali durumunda nLPD, yetkili makamlara gecikmeksizin bildirim yapılmasını zorunlu kılar (RGPD/GDPR için ise 72 saattir).

Otomatik kararlar ve itiraz hakkı: kullanıcılarınız neleri talep edebilir?

nLPD, ilgili kişilere yalnızca otomatik bir işleme dayanılarak alınan ve üzerlerinde hukuki veya benzer nitelikteki önemli etkiler doğuran kararlara itiraz hakkı tanır. Somut olarak: yapay zeka aracınız otomatik olarak bir başvuruyu reddediyor, bir sigorta tarifesi belirliyor ya da insan müdahalesi olmaksızın kredi reddediyorsa, ilgili kişi bir gerçek kişinin kararı yeniden incelemesini talep edebilir. PFPDT bunu yüksek düzeyde dijital özerklik terimleriyle ifade eder: şirketler, ilgili kişilere kendilerini etkileyen otomatik kararları anlamaları ve gerektiğinde itiraz etmeleri için araçlar sunmalıdır. Bu itiraz hakkı isteğe bağlı değildir: sistemin devreye alınmasından önce, sonra değil, işler hale getirilmiş olmalıdır.

  • Hukuki veya önemli etkileri olan otomatik kararlara itiraz hakkı
  • Talep üzerine insan incelemesi mekanizması öngörme yükümlülüğü
  • Algoritmanın işleyişine ilişkin şeffaflık, bu hakkın ön koşuludur
  • Özellikle maruz kalan sektörler: İK (başvuru taraması), sigortacılık (tariflendirme), bankacılık (kredi skorlaması), e-ticaret (ayrımcı kişiselleştirme)

Veri Koruma Etki Değerlendirmesi (DPIA) ne zaman zorunludur?

nLPD, ilgili kişilerin temel hak ve özgürlükleri açısından yüksek risk taşıması muhtemel her işlemden önce Veri Koruma Etki Değerlendirmesi (DPIA) yapılması yükümlülüğünü getirmektedir. Yapay zeka sistemleri için yüksek risk eşiğine hızla ulaşılır. Özellikle şu durumlarda DPIA gereklidir: işlem büyük ölçekte hassas verileri (sağlık, siyasi görüşler, biyometrik veriler) kapsıyorsa, sistem bireyleri kapsamlı biçimde profiliyorsa, otomatik kararların önemli hukuki veya ekonomik etkileri varsa ya da işlem, halka açık bir alanda sistematik gözetim içeriyorsa. DPIA, lansmandan önce yapılmalı, belgelenmeli ve sistem gelişirse güncellenmelidir. Değerlendirme yüksek artık riski ortaya koyuyorsa PFPDT'ye danışılabilir.

  • Büyük ölçekte hassas veri işleme: DPIA zorunlu
  • Kapsamlı profilleme veya otomatik skorlama: DPIA zorunlu
  • Önemli hukuki veya ekonomik etkileri olan otomatik kararlar: DPIA zorunlu
  • Kamuya açık alanlarda sistematik gözetim: DPIA zorunlu
  • DPIA bir olaydan sonra değil, dağıtımdan önce yapılmalıdır
  • Yüksek artık risk devam ediyorsa PFPDT'ye danışılabilir

nLPD tarafından yasaklanan yapay zeka uygulamaları

nLPD yasaklı yapay zeka kullanımlarının kapsamlı bir listesini belirlememekle birlikte, bazı uygulamalar koruma altına aldığı temel haklarla ve PFPDT'nin tutumlarıyla açıkça bağdaşmamaktadır.

  • Kamusal alanlarda büyük ölçekte gerçek zamanlı yüz tanıma: nLPD ve temel haklarla bağdaşmaz
  • Bireyleri tüm davranışları üzerinden sistematik biçimde değerlendiren sosyal derecelendirme (social scoring) sistemleri: LPD tarafından güvence altına alınan bilişsel özerklikle bağdaşmaz
  • Sağlam bir hukuki dayanak, meşru ve belgelenmiş bir amaç olmaksızın biyometrik verilerin toplanması ve işlenmesi
  • Kişisel verilerin ayrı bir hukuki dayanak olmaksızın asıl amaçlarından saptırılarak yapay zeka modellerini eğitmek amacıyla kullanılması
  • Açık rıza veya kabul görmüş başka bir hukuki dayanak olmaksızın hassas verilerin (sağlık, ırk kökeni, siyasi görüşler) işlenmesi

Dahili verilerinizle bir yapay zeka modeli eğitmek: nLPD ne söylüyor?

İşletmelerde en sık karşılaşılan durumlardan biri: bir yapay zeka modelini eğitmek veya ince ayar yapmak için dahili verileri (e-postalar, İK dosyaları, müşteri geçmişleri, sözleşmeler) kullanmak. nLPD burada birçok güvence mekanizması öngörür. Her şeyden önce amaç: müşteri sözleşmelerini yönetmek amacıyla toplanan veriler, ayrı bir hukuki dayanak olmaksızın bir yapay zeka modelini eğitmek amacıyla yeniden kullanılamaz. Ardından konum: model İsviçre veya AEA dışındaki bir sağlayıcı tarafından barındırılıyorsa, nLPD'nin yeterli güvencelerine tabi olan uluslararası bir veri aktarımı gerçekleşmiş olur. Son olarak modellerin opakliği: bir model eğitildikten sonra hiçbir kişisel verinin ayıklanamayacağını veya çıkarsanamayacağını garanti etmek güçleşir. Avrupa altyapısında veya kendi sunucularınızda konuşlandırılan egemen bir mimari, bu soruna en sağlam yanıttır.

  • Yapay zeka için dahili verileri yeniden kullanmadan önce hukuki dayanağı doğrulayın
  • Eğitim amacını belgeleyin ve başlangıçtaki toplama amacıyla uyumluluğunu doğrulayın
  • Uluslararası bir aktarım gerçekleşip gerçekleşmediğini belirleyin (ABD sağlayıcısı, AEA dışı bulut) ve yeterli güvenceleri sağlayın
  • Hangi verilerin bir modeli besleyebileceğine karar vermeden önce verilerinizi sınıflandırın (kamuya açık, dahili, gizli, hassas)
  • Ekstrateritoryal uygulama riskinden kaçınmak için Avrupa altyapısında dağıtılan açık kaynak modelleri tercih edin
  • Mimari kararları bir işlem kayıt defterinde belgeleyin

nLPD yaptırımları: kişisel sorumluluk ve miktarlar

Sıklıkla göz ardı edilen bir husus: kurumları yaptırıma tabi kılan RGPD/GDPR'nin aksine, nLPD öncelikle gerçek kişileri yaptırıma bağlar. Kovuşturulabilecek ve kişisel para cezasına çarptırılabilecek olanlar yöneticiler, bilişim sorumluları ve ilgili çalışanlardır. Azami tutar ihlal başına 250.000 CHF'dir. En fazla maruz kalınan ihlaller şunlardır: bilgilendirme yükümlülüğüne uyulmaması, yetkili makama veri ihlali bildiriminde bulunulmaması ya da otomatik bireysel kararlara ilişkin kurallara uyulmaması. Yaptırım otomatik değildir: bir şikayetin yapılması gerekir. Ancak kamuya açık bir dava halinde itibar riski, cezanın kendisinden çok daha ağır olabilir.

  • Azami yaptırım: ihlal başına 250.000 CHF (şirkete değil, kişiye verilen para cezası)
  • Maruz kalan kişiler: yöneticiler, BT sorumluları, VKY, ilgili çalışanlar
  • En sık yaptırıma bağlanan ihlaller: bilgilendirme eksikliği, ihlal bildirimi yapılmaması, otomatik kararlara ilişkin kurallara uyulmaması
  • Otomatik para cezası yoktur: şikayet gereklidir (RGPD/GDPR'nin aksine)
  • İtibar riski çoğunlukla para cezasının kendisinden daha yüksektir

LPD ile RGPD/GDPR karşılaştırması: yapay zeka projeleri için temel farklar

Pek çok İsviçreli şirket Avrupa'da ikamet edenlerin verilerini de işlemektedir ve bu nedenle nLPD'nin yanı sıra RGPD/GDPR'ye de tabidir. Her iki çerçeve özde birbirine benzemekle birlikte birkaç önemli noktada ayrışmaktadır. Aşağıda bir yapay zeka projesi için en belirleyici farklılıklar yer almaktadır.

  • Yaptırımlar: RGPD/GDPR şirketleri hedef alır (küresel ciron 4%'üne kadar), nLPD gerçek kişileri hedef alır (azami 250.000 CHF)
  • VKY: RGPD/GDPR kapsamında belirli durumlarda zorunludur; nLPD kapsamında tavsiye edilir ancak zorunlu değildir
  • İhlal bildirimi: RGPD/GDPR için 72 saat; nLPD için gecikmeksizin (daha esnek ancak daha muğlak)
  • Rıza: nLPD, RGPD/GDPR'nin merkezi bir dayanak olarak ele aldığının aksine, tek hukuki dayanak olarak açık rıza şartı aramaz
  • Ekstrateritoryal kapsam: RGPD/GDPR, şirket İsviçre'de olsa bile bir AB sakini söz konusu olduğu anda uygulanır
  • AB Yapay Zeka Yasası: İsviçre'de doğrudan uygulanmaz; ancak AB'de ticari faaliyette bulunan bir İsviçreli şirket bu kapsama girebilir

2025-2027 düzenleyici görünüm: neler geliyor

Yapay zekaya ilişkin İsviçre hukuki çerçevesi değişim halindedir. Yapay zeka sistemleri kullanan şirketlerin önceden hazırlanması gereken birkaç gelişme öne çıkmaktadır.

  • Avrupa Konseyi Yapay Zeka Sözleşmesi (CETS 225): İsviçre 27 Mart 2025'te imzaladı. Onaylanması, özellikle yüksek riskli yapay zeka sistemleri ve otorite denetimi konularında ek yükümlülükler doğuracak
  • AB Yapay Zeka Yasası 2026'ya kadar aşamalı olarak yürürlüğe giriyor: AB pazarında faaliyet gösteren İsviçreli şirketler özellikle yüksek riskli yapay zeka sistemleri (İK, kredi, sağlık, kritik altyapı) açısından etkilenebilir
  • nLPD'nin olası revizyonu: Federal Konsey Avrupa'daki gelişmeleri yakından izlemekte olup 2026-2027 ufkunda bir uyarlama değerlendirilebilir
  • İdari yapay zeka kullanımına ilişkin federal yönetmelik: danışma aşamasında olup özel sektör için sektörel normlara ilham kaynağı olabilir
  • PFPDT'nin artan önemi: chatbot, profilleme ve üretken yapay zeka gibi belirli yapay zeka kullanımlarına yönelik daha fazla sektörel tutum açıklaması

Kontrol listesi: nLPD uyumlu yapay zeka için on somut adım

Bu liste, yapay zeka araçları kullanan veya kullanmayı düşünen şirketler için operasyonel bir başlangıç noktası sunmaktadır. Bu liste hukuki danışmanlık niteliği taşımamaktadır: durumunuza özgü konular için uzman bir hukuççuya danışın.

  • 1. Haritalama: kuruluşunuzda kullanılan tüm yapay zeka araçlarını listeleyin ve hangilerinin kişisel veri işlediğini belirleyin
  • 2. Verileri sınıflandırın: bir modeli besleyebilecek verilere karar vermeden önce kamuya açık, dahili, gizli ve hassas verileri birbirinden ayırt edin
  • 3. Amacı belgeleyin: her yapay zeka işlemi için kesin amacı işlem faaliyetleri kaydınıza not edin
  • 4. Riski değerlendirin: bir işlemin DPIA gerektirip gerektirmediğini belirleyin (hassas veriler, profilleme, etkili otomatik kararlar)
  • 5. Bilgilendirin: gizlilik politikası ve işlem bildirimleri gibi bilgilendirme metinlerinin yapay zeka kullanımlarını açıkça kapsadığından emin olun
  • 6. İtirazı öngörün: önemli otomatik kararlar için işlevsel bir insan itiraz mekanizması oluşturun
  • 7. Alt işleyicileri denetleyin: yapay zeka sağlayıcılarınızın sunduğu güvenceleri (konum, aktarımlar, sertifikalar) doğrulayın
  • 8. Ekipleri eğitin: çalışanları yapay zeka bağlamındaki nLPD yükümlülükleri konusunda bilinçlendirin; özellikle İK, pazarlama ve BT ekiplerini
  • 9. Test edin ve denetleyin: uyumluluğu ve ayrımcı önyargı bulunmadığını doğrulamak için yapay zeka sistemlerini düzenli aralıklarla denetleyin
  • 10. Canlı bir kayıt tutun: yapay zeka sistemi veya mevzuat her değiştiğinde belgeleri güncelleyin

nLPD ile RGPD/GDPR karşılaştırması: yapay zeka projeleriniz için temel farklar

İsviçreli şirketlerin büyük çoğunluğu her iki çerçeveyle aynı anda çalışmak zorundadır. Yapay zeka projelerinizi yapılandırmak için bilmeniz gereken en önemli farklılıklar aşağıdadır.

KriternLPD (İsviçre)RGPD/GDPR (AB)
Yürürlüğe giriş1 Eylül 202325 Mayıs 2018
YaptırımlarAzami 250.000 CHF, kişisel para cezasıKüresel ciron 4%'üne kadar, şirkete verilen para cezası
VKY (veri koruma yetkilisi)Tavsiye edilir; KOBİ'ler için zorunlu değilBelirli durumlarda zorunlu
İhlal bildirim süresiGecikmeksizin (daha esnek)Azami 72 saat
Hukuki dayanak olarak rızaBirden fazla seçenekten biri (daha esnek)Merkezi ancak çerçevelenmiş
DPIA zorunluluğuEvet, yüksek riskli işlemler içinEvet, yüksek riskli işlemler için
Ekstrateritoryal kapsamİsviçre'deki kişilere ait verileri işleyen şirketlere uygulanırBir AB sakini söz konusu olduğu anda uygulanır
Özel yapay zeka yasasıYok (teknolojik tarafsızlık)Yapay Zeka Yasası 2026'ya kadar aşamalı olarak yürürlüğe giriyor

Bizim rolümüz

Verilerinize saygı göstererek inşa ediyoruz

Hukuk işi yapmıyoruz, ancak yapay zekayı verilerinizin yerleşimine ve gizliliğine saygı gösterecek şekilde inşa ediyoruz.

Avrupa barındırması

Avrupa'da altyapı (Hetzner), ABD bulutu yok.

Açık kaynak

Kendi altyapımızda açık kaynaklı modeller, verileriniz model eğitmek için kullanılmaz.

İzlenebilir

Kayıt altına alınan ve denetlenebilir işlemler.

swissIa.lpdNlpdSuisse.localContextTitle

İsviçre'nin bağımsız ve özel bir otoritesi vardır: Federal Veri Koruma ve Bilgi Komiseri (PFPDT), Bern'de kurulu olup tavsiyeler yayımlar ve ön soruşturma başlatabilir.
Vaud, Genève, Fribourg ve Neuchâtel kantonlarının, kanton kamu kurumlarına uygulanabilir kendi kanton veri koruma mevzuatı bulunmaktadır. Özel şirketler için federal nLPD önceliklidir.
Fransızca konuşulan İsviçre'de nLPD ve yapay zeka uyumluluğu konusunda uzmanlaşmış birkaç aktör bulunmaktadır: uzman hukuk büroları (özellikle Genève ve Lausanne'da), veri koruma danışmanları ve tasarım aşamasından itibaren uyumluluğu entegre eden teknoloji sağlayıcıları.
İsviçre finans sektörü (bankalar, sigortacılar, varlık yöneticileri), işlenen verilerin hassas niteliği ve sık karşılaşılan otomatik kararlar (skorlama, sahtekarlık tespiti, otomatik danışmanlık) nedeniyle yapay zeka bağlamında nLPD yükümlülüklerine özellikle maruz durumdadır.
Avrupa Konseyi Yapay Zeka Çerçeve Sözleşmesi (İsviçre tarafından 27 Mart 2025'te imzalanmıştır) yapay zeka konusundaki ilk hukuken bağlayıcı uluslararası anlaşmadır. İsviçre Parlamentosu tarafından onaylanması ek resmi yükümlülükler doğuracaktır.

Sıkça sorulan sorular

LPD, şirketlerde kullanılan ChatGPT veya Copilot gibi yapay zeka araçlarına uygulanıyor mu?

Evet. Bu araçlar, kimliği belirlenebilir gerçek kişilere ait kişisel verileri (isimler, e-posta adresleri, çalışan veya müşteri bilgileri) işlediği sürece nLPD uygulanır. Bu araçları kullanan şirket, veri işlemeden sorumludur. Amacın belgelendiğinden, kişilerin bilgilendirildiğinden ve verilerin sağlayıcının öngörmediği amaçlarla yeniden kullanılmadığından emin olmalıdır. Sağlayıcının sözleşme koşullarının, özellikle veri konumu ve model eğitimi amacıyla yeniden kullanım konularında incelenmesi zorunludur.

Yapay zeka kullanmak için şirketimin bir Veri Koruma Yetkilisi (VKY) ataması gerekiyor mu?

nLPD, VKY'yi RGPD/GDPR ile aynı koşullarda zorunlu kılmamaktadır. Bununla birlikte, şirketiniz büyük ölçekte kişisel verileri veya hassas verileri işleyen yapay zeka sistemleri kullanıyorsa bir veri koruma sorumlusu atamak ya da görevlendirmek güçlü biçimde tavsiye edilir. Bu sorumlunun şirket içinden veya dışından (hukuki danışman, uzman danışman) olması mümkündür. Görevleri: uyumluluğu denetlemek, DPIA'ları gerçekleştirmek, ilgili kişilerin taleplerini yönetmek ve gerektiğinde PFPDT ile iletişimi sağlamak.

DPIA nedir ve bir yapay zeka projesi için hangi durumlarda zorunludur?

Veri Koruma Etki Değerlendirmesi (DPIA), bir veri işlemenin ilgili kişilerin hak ve özgürlükleri üzerindeki risklerinin belgelenmiş bir değerlendirmesidir. nLPD kapsamında, işlem yüksek risk taşıması muhtemel olduğunda zorunludur: büyük ölçekte hassas veri işleme, kapsamlı profilleme, önemli etkili otomatik kararlar ya da sistematik gözetim. Kurumsal ortamdaki iddialı yapay zeka projelerinin büyük çoğunluğu (İK yapay zekası, müşteri skorlaması, davranış analizi) için DPIA gereklidir. Dağıtımdan önce yapılmalıdır.

Bir yapay zeka modeli müşteri veya çalışan verileriyle eğitilebilir mi?

Evet, belirli koşullarla. Her şeyden önce bu yeni işlem için geçerli bir hukuki dayanak bulunmalıdır (amacın farklı olması halinde verilerin başlangıçtaki toplanması yeterli değildir). İlgili kişiler bu kullanım hakkında bilgilendirilmelidir. Veriler hassassa, açık rıza veya başka güçlü bir hukuki dayanak gereklidir. Modelin konumu belirleyicidir: İsviçre veya AEA dışındaki sunucularda barındırılan bir model, ek güvencelere tabi olan uluslararası veri aktarımı anlamına gelir. Bu kararların işlem kaydınıza eklenmesi zorunludur.

nLPD tarafından yasaklanan yapay zeka uygulamaları hangileridir?

nLPD kapsamlı bir liste belirlememektedir; ancak PFPDT, bazı uygulamaların koruduğu temel haklarla bağdaşmadığını açıklamıştır: kamusal alanlarda büyük ölçekte gerçek zamanlı yüz tanıma, bireylerin davranışlarını sistematik biçimde değerlendiren sosyal derecelendirme sistemleri ve sağlam bir hukuki dayanak olmaksızın biyometrik veya hassas verilerin toplanması ya da işlenmesi. Bu uygulamaların bir kısmını açıkça yasaklayan AB Yapay Zeka Yasası, AB sakinlerinin verilerini işleyen İsviçreli şirketlere dolaylı olarak uygulanabilir.

Yapay zeka bağlamında nLPD ihlali durumunda yaptırımlar nelerdir?

nLPD, şirketi değil, gerçek kişileri yaptırıma tabi kılar. Para cezaları ihlal başına 250.000 CHF'ye ulaşabilir. Yöneticiler, bilişim sorumluları ve ilgili çalışanlar kişisel olarak maruz kalır. En fazla yaptırıma konu olan ihlaller şunlardır: ilgili kişileri bilgilendirmemek, veri ihlalini bildirmemek ya da otomatik bireysel kararlara ilişkin kurallara uymamak. Bir süreç başlatmak için şikayet yapılması gerekmektedir. İtibar riski çoğunlukla para cezasının kendisinden daha kaygı vericidir.

nLPD ve RGPD/GDPR İsviçreli şirketim için aynı anda geçerli mi?

Bu, faaliyetinize bağlıdır. AB sakinlerinin (müşteriler, ortaklar, potansiyel müşteriler) verilerini işliyorsanız, şirketiniz İsviçre'de olsa da bu işlemler için RGPD/GDPR geçerlidir. nLPD ise İsviçre'deki kişilere ait tüm veri işlemelerine uygulanır. Pratikte pek çok İsviçreli şirket her iki çerçeveye de uymak zorundadır. İyi haber: her ikisi büyük ölçüde örtüşmektedir ve iyi kurgulanmış bir uyumluluk politikası, birkaç farka (yaptırımlar, VKY, bildirim süreleri) dikkat edilmesi koşuluyla her ikisini de karşılar.

Avrupa Yapay Zeka Yasası İsviçre'de faaliyet gösteren şirketleri etkiler mi?

AB Yapay Zeka Yasası, AB üyesi olmayan İsviçre'de doğrudan uygulanmaz. Ancak şirketiniz Avrupa pazarına yapay zeka sistemleri sunuyorsa veya sistemleriniz AB'deki kişiler üzerinde etki doğuruyorsa Yapay Zeka Yasası kuralları sizin için geçerli olabilir. Öte yandan İsviçre, Avrupa Konseyi Yapay Zeka Sözleşmesi'ni (Mart 2025) imzalamış olup onaylanması özellikle yüksek riskli yapay zeka sistemleri için tamamlayıcı yükümlülükler getirecektir.

nLPD uyumlu bir yapay zeka sağlayıcısı nasıl seçilir?

Üç temel kriter: veri konumu (çerçevesiz uluslararası aktarımdan kaçınmak için İsviçre veya AB/AEA'daki sunucuları tercih edin), verilerin yeniden kullanım politikası (sağlayıcı verilerinizi model eğitimi amacıyla kullanıyor mu? Kullanıyorsa hangi hukuki dayanağa dayanıyor?), ve sözleşme şeffaflığı (sağlayıcı alt işleyici kaydı, veri işleme anlaşması ve belgelenmiş güvenlik güvenceleri sunabiliyor mu?). Kendi altyapınızda veya Avrupa altyapısında konuşlandırılan açık kaynak modeller genellikle bu üç kriteri en iyi karşılayan seçeneklerdir.

nLPD, şirket içinde konuşlandırılan açık kaynak yapay zeka modellerine uygulanıyor mu?

Evet. nLPD, veri sorumlusuna, yani şirketinize uygulanır; modelin niteliği (açık kaynak veya tescilli, şirket içinde veya üçüncü taraf barındırmalı) farklılık yaratmaz. Açık kaynak modeliniz kişisel verileri işliyorsa nLPD'nin tüm yükümlülükleri uygulanır: bilgilendirme, minimizasyon, güvenlik, yüksek risk varsa DPIA vb. Şirket içinde konuşlandırılan açık kaynak modelin avantajı, veriler üzerinde tam kontrolü size vermesi ve istenmeyen üçüncü taraf aktarım riskini ortadan kaldırmasıdır.

Verilerinize saygı gösteren bir yapay zeka projesi mi?

Vakanızdan konuşalım. Veri yerleşimine saygı göstererek inşa ediyoruz.

Ozel Demo Talep Edin

Ekibinizi bize anlatin ve 24 saat icinde sizinle iletisime gececegiz.

Bilgilerinizi asla paylasmayin. 24 saat icinde yanitlayin.

İsviçre'de yapay zeka ve LPD/nLPD | Ne anlama geliyor (rehber)