Bu görüş, Kasım ayında İrlanda Veri Koruma Otoritesi'nin (DPA) AI eğitiminde kişisel verilerin AB yasalarına aykırı olmadan kullanılabileceğine dair açıklama talebi üzerine yayımlandı. İrlanda DPA, Dublin'de bulunan birçok büyük ABD teknoloji şirketine denetim yapmaktadır.
Anonimlik ve Meşru Çıkar Hakkında Açıklamalar
EDPB'nin görüşü, AI modellerinin anonim kabul edilebilmesi için, verilerle bireylerin kimliklerinin belirlenme olasılığının "ihmal edilebilir" olması gerektiğini vurgulamaktadır. Ayrıca, şirketlerin kişisel verileri AI geliştirmek için işleme hakkı kazanabileceği "meşru çıkar" durumlarını belirleyecek bir çerçeve sunulmuştur.
Meşru çıkarı değerlendirmek için önerilen üç aşamalı test şunları içeriyor: 1) işleme amacının belirlenmesi, 2) bu amaca ulaşmak için işlemenin gerekli olup olmadığının değerlendirilmesi, 3) çıkarın, bireylerin temel haklarını aşmadığının garantilenmesi. EDPB ayrıca, bireylerin verilerinin nasıl toplandığı ve kullanıldığı konusunda bilgilendirilmesi gerektiği konusunda şeffaflık ilkesinin önemine dikkat çekmiştir.
Ulusal Otoritelerin Rolü ve Uygulama
Sonuç olarak, nihai değerlendirme ulusal veri koruma otoritelerine bırakılmaktadır ve kişisel verilerin AI geliştirme amacıyla işlenmesinin GDPR'yi ihlal edip etmediği, her vaka için ayrı ayrı değerlendirilecektir. Yasadışı şekilde elde edilen veya işlenen verilerle geliştirilen modellerin kullanılmasına izin verilmediği belirtilmiştir.
Sanayi ve Sivil Toplum Tepkileri
Karar, AI modelleri geliştiren büyük teknoloji şirketlerini temsil eden Bilgisayar ve İletişim Endüstrisi Derneği (CCIA) tarafından memnuniyetle karşılanmıştır. CCIA Avrupa Kıdemli Politika Yöneticisi Claudia Canelles Quaroni, “Bu, AI modellerinin kişisel verilerle doğru bir şekilde eğitilmesini sağlar ve AI çıktılarının doğruluğu ile önyargıların azaltılmasına yardımcı olur,” demiştir. Ancak, dernek gelecekteki belirsizlikleri önlemek için daha fazla yasal netlik çağrısında bulunmuştur.
Dijital haklar savunucuları ise, özellikle AI modellerinin anonimliği konusunda endişelerini dile getirmiştir. EDRi Politika Danışmanı Itxaso Dominguez de Olazabal, anonimleşmiş veriler ile kimlik belirlenebilir veriler arasındaki ayrımın yapılmasının, etkili veri korumasını sağlama konusunda zorluklar yaratabileceğine dikkat çekmiştir. Ayrıca, ulusal otoritelerin geniş takdir yetkisine sahip olmasının, tutarsız uygulamalara yol açabileceği ve temel hakların korunmasını tehdit edebileceği konusunda uyarıda bulunmuştur.
Gelecek: Web Scraping Yönergeleri
EDPB, AI modellerini eğitmek ve kapasitelerini geliştirmek için web sitelerinden veri toplama (web scraping) gibi yeni sorunları ele almak amacıyla daha fazla yönerge yayınlamayı planlamaktadır. Bu ek açıklamalar, AI geliştirmesinin büyük veri miktarlarına dayandığı bir dönemde büyük önem taşımaktadır.