ICO Yapay Zekâ Denetimi

Hatırlayacağınız üzere “Yapay Zekâ Denetimi” isimli yazımızda yapay zekâ denetiminin ne olduğunu ve yapay zeka denetimi için önerilen bazı farklı çerçeveleri açıklamıştık. Bu yazımızda yapay zekâ denetimi için geliştirilmiş "A Guide to ICO Audit: Artificial Intelligence (AI) Audits" adlı bir rehber üzerinde duracağız.

Adından da anlaşılacağı gibi, bu kılavuz Mayıs 2022'de Bilgi Komiserliği Ofisi (ICO) tarafından yayınlandı. ICO, "Birleşik Krallık'ın bilgi haklarını korumak için kurulmuş bağımsız organıdır." [1]. Denetimler, ICO'nun Güvence departmanı tarafından uygulanacaktır.

Rızaya Dayalı ve Zorunlu Denetimler

Kılavuz, denetimin zorunlu olup olmadığına göre belirlenen iki tür denetim önermektedir: rızaya dayalı denetimler ve zorunlu denetimler. “Yapay Zekâ Denetimi” yazımızdan da hatırlayacağınız üzere, denetçinin denetlenenle olan ilişkisine göre denetimi çeşitlere ayırmak da mümkündür: birinci taraf, ikinci taraf ve üçüncü taraf denetimleri. Bu sınıflandırmaya göre rehberde ele alınan denetim türü üçüncü taraf denetimidir çünkü üçüncü taraf olan ICO tarafından yürütülecektir.

ICO, Veri Koruma Yasası 2018 (DPA 2018) tarafından sağlanan hem rızaya dayalı hem de zorunlu denetimleri yürütme yetkisine sahiptir. DPA 2018'in S129'daki hükümleri, ICO'nun çoğunlukla yürüttüğü türden rızaya dayalı denetim gerçekleştirmesini sağlar [2]. Öte yandan, DPA 2018 S146'daki bir hüküm, ICO'nun zorunlu denetimler yapmasına olanak tanır [2]. S146, ICO'ya değerlendirme bildirimleri yayınlama yetkisi verir ve kontrolörlerin, veri koruma mevzuatına uyum sağlayıp sağlamadıklarını değerlendirmesi için ICO'ya izin vermelerini gerektirir [2].

 

Önemli Notlar

• Aşağıdaki faktörlere göre, ICO yüksek riskli denetleyicileri belirleyecek ve bir denetim programı geliştirecektir:

- “rapor edilen ihlaller;

- Bilgi Komiseri tarafından alınan şikâyetlerin sayısı ve niteliği;

- kontrolörlerin kontrol ve diğer kamuya açık bilgilere ilişkin yıllık beyanları;

- medya raporları gibi iş zekâsı ve

- diğer ilgili bilgiler.” [2].

• Aşağıdaki faktörlere göre uyumsuzluğun potansiyel etkisi değerlendirilecektir:

- “potansiyel olarak etkilenen bireylerin sayısı;

- işlenmekte olan verilerin niteliği ve hassasiyeti ve

- uyumsuzluktan kaynaklanan olası herhangi bir hasar veya sıkıntının niteliği ve kapsamı [2].

• Kılavuz, denetlenebilecek kuruluşları beş kategoride sınıflandırır:

- gönüllü kuruluşlar;

- risk değerlendirme süreci tarafından belirlenen kuruluşlar;

- araştırmalarla belirlenen ve ICO'nun ilgi alanları açısından ilgili öğrenme fırsatları sağlayan kuruluşlar;

- "diğer ICO departmanları tarafından yapılan bir denetimden potansiyel olarak yararlanan" olarak belirlenen kuruluşlar;

- ICO Soruşturma Ekibinin araştırmalarıyla belirlenen kuruluşlar [2].

Süreç nasıl işleyecek?

Süreç şu şekilde işleyecektir:

• “Denetim onaylandıktan sonra denetim ekibi ile kuruluş arasında bir tanışma toplantısı yapılacak;

• Ardından, denetimin kapsamını içeren resmi bir taahhüt mektubu düzenlenecektir;

• Doküman incelemesi aşamasında, denetim öncesinde, denetim kapsamına ilişkin politika ve prosedürler talep edilecek ve denetim ekibi tarafından incelenecektir;

• Denetim öncesi kilit üyeler ve ilgili süreçler belirlenecek;

• Mülakatlar, grup toplantıları veya sunumlar planlanacaktır;

• Denetim, sürecin ve pratik hususların tartışılacağı bir açılış toplantısı ile başlayacaktır;

• Operasyonel etkinliği değerlendirmek için denetim ekibi ile kilit personel arasındaki iletişim sağlanacaktır ve aşağıdakiler bu oturumları tamamlayacaktır:

  • Potansiyel veri analizi, anahtar performans göstergelerinin gözden geçirilmesi, kişisel verilerin YZ sistemi içinde seçilen işleme örnekleri, kontrollerin test edilmesi;

• Veri ihlali durumunda yapılması gerekenler ve bundan sonraki adımlar hakkında kuruluş bilgilendirilir;

• Önemli belgelere, kayıtlara ve sistemlere erişilecek;

• Her günün sonunda ilgili alanların iletilmesi sağlanacaktır;

• Başlıca endişelere, denetime genel bir bakışa ve sonraki adımlara odaklanan bir kapanış toplantısı düzenlenecektir;

• Her kapsam alanı için bir güvence derecelendirmesini, uygunsuzlukları, ilgili riski ve önceliklendirilmiş tavsiyeleri kapsayan bir taslak rapor;

• Kuruluş önerileri kabul edip etmeyeceğine karar verecek ve bir eylem planı hazırlayacaktır;

• Son olarak, bir nihai rapor ve yönetici özeti sunulacaktır [2].

Yazan : Gamze Büşra Kaya

Referanslar
[1] “Who we are | ico - information commissioner's office.” [Online]. Available: https://ico.org.uk/about-the-ico/who-we-are/. [Accessed: 23-Jan-2023].

[2] “A guide to ICO audit artificial intelligence (AI) audits.” [Online]. Available: https://ico.org.uk/media/for-organisations/documents/4022651/a-guide-to-ai-audits.pdf. [Accessed: 23-Jan-2023].