LPD, şirketlerde kullanılan ChatGPT veya Copilot gibi yapay zeka araçlarına uygulanıyor mu?
Evet. Bu araçlar, kimliği belirlenebilir gerçek kişilere ait kişisel verileri (isimler, e-posta adresleri, çalışan veya müşteri bilgileri) işlediği sürece nLPD uygulanır. Bu araçları kullanan şirket, veri işlemeden sorumludur. Amacın belgelendiğinden, kişilerin bilgilendirildiğinden ve verilerin sağlayıcının öngörmediği amaçlarla yeniden kullanılmadığından emin olmalıdır. Sağlayıcının sözleşme koşullarının, özellikle veri konumu ve model eğitimi amacıyla yeniden kullanım konularında incelenmesi zorunludur.
Yapay zeka kullanmak için şirketimin bir Veri Koruma Yetkilisi (VKY) ataması gerekiyor mu?
nLPD, VKY'yi RGPD/GDPR ile aynı koşullarda zorunlu kılmamaktadır. Bununla birlikte, şirketiniz büyük ölçekte kişisel verileri veya hassas verileri işleyen yapay zeka sistemleri kullanıyorsa bir veri koruma sorumlusu atamak ya da görevlendirmek güçlü biçimde tavsiye edilir. Bu sorumlunun şirket içinden veya dışından (hukuki danışman, uzman danışman) olması mümkündür. Görevleri: uyumluluğu denetlemek, DPIA'ları gerçekleştirmek, ilgili kişilerin taleplerini yönetmek ve gerektiğinde PFPDT ile iletişimi sağlamak.
DPIA nedir ve bir yapay zeka projesi için hangi durumlarda zorunludur?
Veri Koruma Etki Değerlendirmesi (DPIA), bir veri işlemenin ilgili kişilerin hak ve özgürlükleri üzerindeki risklerinin belgelenmiş bir değerlendirmesidir. nLPD kapsamında, işlem yüksek risk taşıması muhtemel olduğunda zorunludur: büyük ölçekte hassas veri işleme, kapsamlı profilleme, önemli etkili otomatik kararlar ya da sistematik gözetim. Kurumsal ortamdaki iddialı yapay zeka projelerinin büyük çoğunluğu (İK yapay zekası, müşteri skorlaması, davranış analizi) için DPIA gereklidir. Dağıtımdan önce yapılmalıdır.
Bir yapay zeka modeli müşteri veya çalışan verileriyle eğitilebilir mi?
Evet, belirli koşullarla. Her şeyden önce bu yeni işlem için geçerli bir hukuki dayanak bulunmalıdır (amacın farklı olması halinde verilerin başlangıçtaki toplanması yeterli değildir). İlgili kişiler bu kullanım hakkında bilgilendirilmelidir. Veriler hassassa, açık rıza veya başka güçlü bir hukuki dayanak gereklidir. Modelin konumu belirleyicidir: İsviçre veya AEA dışındaki sunucularda barındırılan bir model, ek güvencelere tabi olan uluslararası veri aktarımı anlamına gelir. Bu kararların işlem kaydınıza eklenmesi zorunludur.
nLPD tarafından yasaklanan yapay zeka uygulamaları hangileridir?
nLPD kapsamlı bir liste belirlememektedir; ancak PFPDT, bazı uygulamaların koruduğu temel haklarla bağdaşmadığını açıklamıştır: kamusal alanlarda büyük ölçekte gerçek zamanlı yüz tanıma, bireylerin davranışlarını sistematik biçimde değerlendiren sosyal derecelendirme sistemleri ve sağlam bir hukuki dayanak olmaksızın biyometrik veya hassas verilerin toplanması ya da işlenmesi. Bu uygulamaların bir kısmını açıkça yasaklayan AB Yapay Zeka Yasası, AB sakinlerinin verilerini işleyen İsviçreli şirketlere dolaylı olarak uygulanabilir.
Yapay zeka bağlamında nLPD ihlali durumunda yaptırımlar nelerdir?
nLPD, şirketi değil, gerçek kişileri yaptırıma tabi kılar. Para cezaları ihlal başına 250.000 CHF'ye ulaşabilir. Yöneticiler, bilişim sorumluları ve ilgili çalışanlar kişisel olarak maruz kalır. En fazla yaptırıma konu olan ihlaller şunlardır: ilgili kişileri bilgilendirmemek, veri ihlalini bildirmemek ya da otomatik bireysel kararlara ilişkin kurallara uymamak. Bir süreç başlatmak için şikayet yapılması gerekmektedir. İtibar riski çoğunlukla para cezasının kendisinden daha kaygı vericidir.
nLPD ve RGPD/GDPR İsviçreli şirketim için aynı anda geçerli mi?
Bu, faaliyetinize bağlıdır. AB sakinlerinin (müşteriler, ortaklar, potansiyel müşteriler) verilerini işliyorsanız, şirketiniz İsviçre'de olsa da bu işlemler için RGPD/GDPR geçerlidir. nLPD ise İsviçre'deki kişilere ait tüm veri işlemelerine uygulanır. Pratikte pek çok İsviçreli şirket her iki çerçeveye de uymak zorundadır. İyi haber: her ikisi büyük ölçüde örtüşmektedir ve iyi kurgulanmış bir uyumluluk politikası, birkaç farka (yaptırımlar, VKY, bildirim süreleri) dikkat edilmesi koşuluyla her ikisini de karşılar.
Avrupa Yapay Zeka Yasası İsviçre'de faaliyet gösteren şirketleri etkiler mi?
AB Yapay Zeka Yasası, AB üyesi olmayan İsviçre'de doğrudan uygulanmaz. Ancak şirketiniz Avrupa pazarına yapay zeka sistemleri sunuyorsa veya sistemleriniz AB'deki kişiler üzerinde etki doğuruyorsa Yapay Zeka Yasası kuralları sizin için geçerli olabilir. Öte yandan İsviçre, Avrupa Konseyi Yapay Zeka Sözleşmesi'ni (Mart 2025) imzalamış olup onaylanması özellikle yüksek riskli yapay zeka sistemleri için tamamlayıcı yükümlülükler getirecektir.
nLPD uyumlu bir yapay zeka sağlayıcısı nasıl seçilir?
Üç temel kriter: veri konumu (çerçevesiz uluslararası aktarımdan kaçınmak için İsviçre veya AB/AEA'daki sunucuları tercih edin), verilerin yeniden kullanım politikası (sağlayıcı verilerinizi model eğitimi amacıyla kullanıyor mu? Kullanıyorsa hangi hukuki dayanağa dayanıyor?), ve sözleşme şeffaflığı (sağlayıcı alt işleyici kaydı, veri işleme anlaşması ve belgelenmiş güvenlik güvenceleri sunabiliyor mu?). Kendi altyapınızda veya Avrupa altyapısında konuşlandırılan açık kaynak modeller genellikle bu üç kriteri en iyi karşılayan seçeneklerdir.
nLPD, şirket içinde konuşlandırılan açık kaynak yapay zeka modellerine uygulanıyor mu?
Evet. nLPD, veri sorumlusuna, yani şirketinize uygulanır; modelin niteliği (açık kaynak veya tescilli, şirket içinde veya üçüncü taraf barındırmalı) farklılık yaratmaz. Açık kaynak modeliniz kişisel verileri işliyorsa nLPD'nin tüm yükümlülükleri uygulanır: bilgilendirme, minimizasyon, güvenlik, yüksek risk varsa DPIA vb. Şirket içinde konuşlandırılan açık kaynak modelin avantajı, veriler üzerinde tam kontrolü size vermesi ve istenmeyen üçüncü taraf aktarım riskini ortadan kaldırmasıdır.