Meta, Yapay Zekayı Eğitmek İçin Kullanıcı Verilerini Kullanabilir: Alman Kararı Ne Diyor?

23 Mayıs 2025'te Meta'nın, müşterileri tarafından erişime açılan kamusal içeriği yapay zeka modellerini eğitmek için kullanma hakkını tanıyan Köln Yüksek Mahkemesi'nin kararının gerekçeleri nihayet kamuoyuna açıklandı ve Büyük Teknoloji'nin "Meta'nın çıkarlarına daha az müdahaleci yollarla etkili bir şekilde ulaşmak için izleyebileceği makul bir alternatif olmadığı" yönündeki argümanı kabul edildi.

Tartışmanın kökeni

Karar, Meta'nın tercihi nedeniyle müşterilerinin kişisel verilerinin korunması hakkının ihlal edildiği şikayetiyle Alman tüketici derneğinin açtığı dava sonucunda verildi.

Dernek, Meta'yı müşterilerinin verilerini bir yapay zekayı eğitmek için kullanmanın Genel Veri Koruma Yönetmeliği (GDPR) uyarınca gerekli ve uygun olduğunu gösterememekle ve söz konusu faaliyetin, GDPR tarafından sağlanan istisnalardan hiçbirini ileri süremeden, "özel" kişisel verilerin (örneğin sağlık verileri) işlenmesini de içermesi nedeniyle yasak olduğunu ileri sürmekle suçladı.

Meta, platformlarında dolaşan ve GDPR ile uyumlu kamusal içerikleri kullanma konusunda "meşru bir çıkarı" olduğunu ve bireylerin haklarına yönelik riskleri kabul edilebilir bir düzeye indiren bir dizi önlem aldığını iddia ederek kendini savundu.

Özellikle, hüküm veren devletler, Meta'nın verilerin kullanımını müşteriler tarafından kamuya açıklananlarla sınırladığını, içeriklerin statüsünü kamudan özele değiştirme olanağı sağladığını ve böylece bunları kullanımdan dışladığını, müşterileri bilgilendirdiğini ve onlara işleme karşı etkili bir şekilde itiraz etme olanağı verdiğini, tekil bireylere ilişkin bilgileri kimliksizleştirdiğini, bunları "tokenleştirdiğini" (yani, modelin hesaplama işlemlerini gerçekleştirmesine olanak sağlamak için gerekli matematiksel değerlere indirgediğini) ve dolayısıyla bunları bireylerin kişisel kimliklerinden ayırdığını ve modelin geliştirme döngüsü boyunca güvenlik önlemleri aldığını beyan etmiştir.

Alman mahkemesi, Meta lehine karar vererek, kişisel verilerin korunmasına ilişkin mevzuatın yaygın yorumunu (İtalya'da bile) büyük ölçüde daraltan bir dizi ilkeyi, yapay zeka ile ilgili konuların dışında da geçerli olan bir dizi ilkeyi onaylayarak, açık ve net bir şekilde ortaya koydu.

GDPR yalnızca bireylerin haklarını değil, ekonomik çıkarları da korur

Mahkeme, Avrupa Birliği Adalet Divanı'nın, bir spor federasyonunun sporcularına ait verileri iletmesindeki ticari çıkarının önemini kabul eden kararını hatırlatarak, "Hukuki ve ideolojik çıkarların yanı sıra ekonomik çıkarlar da meşru çıkarlar olarak kabul edilir" diye yazıyor.

Ayrıca, karar devam ediyor, "Bu tür veri kümelerinin anonimleştirilmesi uygulanabilir değildir, çünkü makul çabayla veri sahiplerinin onayını almak genellikle zordur. Bu yorum ayrıca, yalnızca kişisel verileri korumakla kalmayıp aynı zamanda bu tür verilerin serbest dolaşımını ve dolayısıyla kullanılabilirliğini de sağlamaya hizmet eden GDPR'nin koruma amaçlarının "ikiliğini" de yansıtmaktadır."

Yani, gerçekte bunu belirten kişisel verilerin korunmasına ilişkin yönetmelik olsa ve bunu söylemeye gerek olmasa bile, karar, şirketlerin çıkarlarının bireylerin haklarıyla aynı onura sahip olduğunu belirtiyor. Daha da farklı terimlerle: Kişisel verilerin ekonomik faaliyet bağlamında kullanılmasını engelleyen bir "ilke" üstünlüğü yok. Mahkeme, önemli olanın, bu kullanımın, yasa tarafından açıkça öngörülmemiş olsa bile , yasal bir sonuç elde etmek için gerçekten gerekli ve vazgeçilmez olduğunu tekrar vurguluyor.

Bu ilkenin kapsamını anlamak için, internet trafiği verilerinin ve e-posta meta verilerinin depolanmasıyla ilgili sorunları, analitik kullanımıyla ilgili sorunları veya "öde veya onayla" modelinden türetilen sorunları - veya daha doğrusu "parayla öde veya veriyle öde" - düşünün. Bu karar ışığında, bu faaliyetlerin kendi başlarına hukuka aykırı olduğu doğru değildir, ancak müşteriye somut olarak dayatılan "fedakarlık" ile tedarikçinin hedefleri arasındaki ilişki, vaka bazında doğrulanmalıdır. Pratikte, kişinin temel hak ve özgürlükleri için riskler yeterince sınırlıysa, bir şirketin ilgili kişisel verileri işlemesi engellenemez.

Dikkate alınması gereken riskler yalnızca modelin işleyişiyle doğrudan bağlantılı olanlardır

Avrupa Birliği'nde yapay zekanın geliştirilmesine yönelik bir diğer temel ilke ise, kişisel verilerin işlenmesinin sonuçlarının değerlendirilmesinde yalnızca yapay zekanın eğitimiyle ilgili olanların dikkate alınması gerektiğidir.

Hakimler bu noktada şunları yazıyor: “Yapay zekanın müteakip işleyişinden kaynaklanabilecek diğer olası hukuk ihlalleri (dezenformasyon, manipülasyonlar, diğer zararlı uygulamalar gibi) şu anda yeterince öngörülebilir değildir ve ayrı olarak kovuşturulabilir. Her halükarda, bu tür risklerin yapay zekanın meşru kullanımını imkansız kılacak ve nihayetinde veri işlemenin uygunluğunu sorgulayacak ölçüde gerçekleşmesi olasılığı uzaktır.”

Hakimler, kişisel verilerin bir yapay zekayı eğitmek için kullanılıp kullanılamayacağını değerlendirmek için yalnızca söz konusu verilerin kullanımından kaynaklanan doğrudan sonuçların dikkate alınması gerektiğini ve birisinin gelecekte yasadışı eylemlerde bulunmak için modeli kullanabileceği gerçeğinin dikkate alınmaması gerektiğini aşırı bir açıklıkla teyit ediyor. Bu durumda, mahkeme, diğer mevcut kuralların geçerli olduğunu, çünkü çıkarım yapıldığına göre, yapay zeka modelinin yasaların ihlal edildiği araç olduğunu ve ihlalin yazarı olmadığını belirtiyor.

Tam anonimleştirme gerekli değildir

Taraflar arasındaki bir diğer anlaşmazlık konusu ise kişilere ilişkin verilerin silinmesi yoluyla kimliksizleştirme yapılması ancak fotoğrafların kalıcılığı konusunda oldu.

Meta, tam adlar, e-posta adresleri, telefon numaraları, ulusal kimlik numaraları, kullanıcı tanımlayıcıları, kredi/banka kartı numaraları, banka hesap numaraları/banka kodları, araç plakaları, IP adresleri ve posta adresleri gibi verilerin ortadan kaldırılmasını ve bunların yapılandırılmamış ve "tokenleştirilmiş" bir forma dönüştürülmesini yeterli gördü. Bu noktada, "Bu, kimliksizleştirmeye rağmen, bireysel vakalarda kimlik tespitinin yine de meydana gelebileceği gerçeğini dışlamasa da, mahkeme bu önlemlerin genel olarak riski azaltacağını düşünüyor" diyor.

Bir yapay zekayı eğitmek, belirli bir bireye yönelik bir tedavi değildir

Burada da hükmü aynen aktarmak yerinde olacaktır: “Çok büyük veri kümelerine dayalı Büyük Dil Modellerinin geliştirilmesi genellikle kişisel verilerin hedefli işlenmesi veya belirli bir kişinin tespit edilmesiyle ilgili değildir” ve yine “ hedefli olmayan işleme izin veren ön koşullar, olasılıkları hesaplamak için genel modeller oluşturmayı amaçlayan ve bireysel kişileri profillemeyi amaçlamayan yapay zeka eğitiminin amacı ve davalılar tarafından benimsenen çok sayıda koruyucu önlem tarafından yeterince karşılanmaktadır.”

Bu, kararın merkezi bir pasajıdır çünkü GDPR'nin (İtalyan) uygulamasında pratik olarak hiç dikkate alınmamış başka bir yönü tekrar vurgulamaktadır: düzenleme, belirli bir kişiyi tanımlayan veya tanımlanabilir kılan işlemlere uygulanır ve kategorilere veya gruplara uygulanmaz. Bu nedenle, Meta'nın sosyal ağlarında yayılan gönderilerin içeriklerinin belirteçleştirilmesinin bireylerin yeterli şekilde kimliksizleştirilmesi yoluyla sağlandığı göz önüne alındığında, bu şekilde elde edilen verilerin işlemleri yasayı ihlal etmemektedir.

Burada da hukuki ilkenin pratik sonuçları yapay zekanın kapsamını aşmaktadır, çünkü örneğin, cihazları veya yazılımları tanımlayan ve bunları kimin kullandığını belirlemeyen izleyiciler, IP numaraları veya diğer araçlar kullanılarak gerçekleştirilen tüm profilleme faaliyetlerinin sistematik olarak yasayı ihlal ettiği tezini çürütmektedir.

Avrupa Komisyonu ve ulusal veri koruma otoritelerine bir mesaj

Birkaç kez tekrarlandığı üzere, bu süreç, standartlaştırmanın ideolojik ön kabulleri ile teknolojik gelişmenin endüstriyel sonuçları arasındaki ilişkiyi ilgilendirdiği için Meta soruyu aşan daha genel bir değer kazanır.

Yaklaşık on yıldır GDPR'nin, "gizlilik" (Avrupa düzenlemesinde de bulunmayan bir terim) fetişleştirilmesi adına, yenilik yapanların meşru çıkarları aleyhine tek taraflı olarak yorumlandığı oldukça açıktır.

Bu nedenle, ulusal koruma makamları, yönetmeliğin yayımlandığı tarihten bu yana öngördüğü hususları gerektiği gibi dikkate almayan yumuşak hukuk hükümleri ve tedbirleri benimsemişlerdir: Kanun sınırları içinde kalındığı sürece, kişisel verilerin işlenmesine ilişkin mutlak yasaklar yoktur, ancak çıkarların dengelenmesi söz konusudur ve çıkarların dengelenmesi her bir vaka için ayrı ayrı kontrol edilmelidir.

GDPR elbette mükemmel değil ve baştan aşağı kökten bir revizyon gerektiriyor; ancak bu karar, araştırma ve ticareti koruyan kurallar da dikkate alındığında makul bir şekilde yorumlanabileceğini gösteriyor.

Açık olmak gerekirse, burada söz konusu olan Büyük Teknoloji'ye veya genel olarak işletmelere "serbest hareket" çağrısı yapmak ve dolayısıyla kişiyi kâr sunağında kurban etmek değil; ancak bunun tersi de yapılamaz; çünkü bilgi teknolojilerinin toplumumuzu dönüştürmede oynayabileceği ve oynaması gereken rol konusunda hiçbir zaman netleştirilmemiş bir belirsizlik söz konusudur.

Avrupa Komisyonu'nun AI düzenlemesinin operasyonel eylemlerini benimserken ve nihayet tartışılan GDPR'deki değişiklikleri belirlerken dikkate alması gereken nokta budur.