LEGIER ve "SANDIC by LEGIER" Grubunun AI Etik Kuralları

İçindekiler tablosu

Not: Otomatik dizin boş görünüyorsa, lütfen Word'de sağ tıklayın → "Alanı güncelle".

1. önsöz ve uygulama kapsami

Bu Kurallar, LEGIER Group'ta yapay zekanın geliştirilmesi, tedarik edilmesi, işletilmesi ve kullanılmasına yönelik bağlayıcı ilkeleri, süreçleri ve kontrolleri belirler. Grup genelinde çalışanlar, yöneticiler, sözleşmeli işleyiciler, tedarikçiler ve ortaklar için geçerlidir.

Mevcut Grup yönergelerini (veri koruma, dijital hizmet süreçleri, kurumsal yönetim, sürdürülebilirlik, insan hakları politikası, modern kölelik beyanı) entegre eder ve bunları yapay zekaya özgü gereksinimleri içerecek şekilde genişletir.

Hedef faydaları ve yenilikleri mümkün kılmak, riskleri yönetilebilir hale getirmek ve kullanıcıların, müşterilerin ve genel kamunun haklarını korumaktır.

2. temel değerler ve yol gösteri̇ci̇ i̇lkeler

İnsan onuru ve temel haklar ekonomik verimliliğin üzerinde durur. Yapay zeka insanlara hizmet eder - asla tersi olmaz.
Yasal uygunluk: ile Uyumluluk AB Yapay Zeka Yasası, GDPR, DSA ve sektöre özgü standartlar. Yasaklanmış uygulamaların kullanılmaması.
Sorumluluk ve Hesap Verebilirlik: Her YZ sistemi için sorumlu bir sahip atanır; kararlar izlenebilir ve itiraz edilebilir.
Orantılılık: Amaç, risk, müdahale yoğunluğu ve sosyal etki dengesi.
Şeffaflık ve açıklanabilirlik: İşlevsellik, veri durumları ve sınırlamalar hakkında yeterli bilgi, dokümantasyon ve iletişim kanalları.
Adalet ve kapsayıcılık: Sistematik önyargı testi, hassas grupların korunması, erişilebilirlik ve çok dillilik.
Güvenlik ve esneklik: Tasarım yoluyla güvenlik, derinlemesine savunma, sürekli sertleştirme ve izleme.
Sürdürülebilirlik: Modellerin ve veri merkezlerinin verimliliği (enerji, PUE/CFE), verilerin/modellerin yaşam döngüsü görünümü.

3. Yönetişim ve sorumluluklar (YZ Etik Kurulu, RACI)

Yapay Zeka Etik Kurulu (AIEB): Disiplinler arası (teknoloji, hukuk/uygunluk, veri koruma, güvenlik, editoryal/ürün, insanlar). Görevler: Politikaların güncellenmesi, onayların verilmesi (özellikle yüksek riskli), çatışmalara karar verilmesi, raporların izlenmesi.

Roller: Use Case Owner, Model Owner, Data Steward, DPO, Security Lead, Responsible Editor, Service Owner, Procurement Lead.

Komiteler ve Geçitler: Faaliyete geçmeden önce AIIA onayı; önemli değişiklikler için değişiklik danışma kurulu; yıllık yönetim incelemeleri.

RACI prensibi: Her bir faaliyet için sorumluluğun açık bir şekilde belirlenmesi (Sorumlu, Hesap Verebilir, Danışılan, Bilgilendirilen).

4. Yasal ve standardizasyon çerçevesi (AB AI Yasası, GDPR, DSA, telif hakkı, ticaret hukuku)

EU-AI-Act: Yasaklar, yüksek riskli sistemler için yükümlülükler, dokümantasyon, kayıt tutma, yönetişim, şeffaflık yükümlülükleri içeren risk temelli çerçeve; 2025/2026'dan itibaren kademeli uygulanabilirlik.
GDPR: Yasal dayanaklar (Md. 6/9), veri sahiplerinin hakları, tasarım/varsayılan gizlilik, veri koruma etki değerlendirmesi (DPIA), üçüncü ülke transferleri (Md. 44 vd.).
DSA: Bildirim, şikayet, şeffaflık raporları, büyük platformların risk değerlendirmeleri için platform süreçleri.
Telif hakkı ve komşu haklar / kişisel haklar: Açık lisans zincirleri, imaj/isim hakları, üçüncü taraf ikamet hakları.
Sektöre özgü gereksinimler (örneğin havacılık/denizcilik hukuku/sağlık) da uyulmalıdır.

5. Risk Sınıflandırması ve Yapay Zeka Etki Değerlendirmesi (AIIA)

Sınıflandırma:

Yasaklanmış uygulamalar (izin verilmeyen)
Yüksek riskli sistemler (katı yükümlülükler)
Sınırlı risk (şeffaflık)
Minimize edilmiş risk

AIIA prosedürü: Tanım Amaç/kapsam, paydaşlar, yasal dayanak, veri kaynakları; risk analizi (yasal, etik, güvenlik, önyargı, çevresel etki); etki azaltma planı; karar (AIEB onayı).

Yeniden değerlendirmeler: Önemli değişiklikler için, yüksek risk için yıllık olarak; merkezi kayıtta dokümantasyon.

6. veri etiği ve veri koruma (yasal dayanak, DPIA, çerezler, üçüncü ülke)

Veri minimizasyonu ve amaç sınırlaması; Takma adlandırma/anonimleştirme tercih edilir.
Şeffaflık: Veri koruma bilgileri, bilgilendirme ve silme kanalları; taşınabilirlik; itiraz seçenekleri.
Çerezler/İzleme: Onay yönetimi; iptal; IP anonimleştirme; yalnızca onaylı araçlar.
Üçüncü ülke transferleri: Sadece uygun garantilerle (SCC / yeterlilik); alt işleyicilerin düzenli olarak test edilmesi.
DPIA: Yüksek riskli işleme için zorunlu; teknik/organizasyonel önlemleri (TOM'lar) belgeleyin.

7. model ve veri yaşam döngüsü (ML yaşam döngüsü, veri kartları, model kartları)

Veri Yaşam Döngüsü: Edinme → Küratörlük → Etiketleme → Kalite kapıları → Versiyonlama → Saklama/Silme.

Model Yaşam Döngüsü: Problem tanımı → Mimari seçimi → Eğitim/ayarlama → Değerlendirme (çevrimdışı/çevrimiçi) → Yayınlama → İşletim → İzleme → Yeniden eğitim/emeklilik.

Veri Kartları: Kaynak, temsil gücü, kalite, yanlılık bulguları, kullanım kısıtlamaları.

Model Kartları: Amaç, eğitim verileri, kıyaslamalar, ölçütler, sınırlamalar, beklenen hata modelleri, yapılması/yapılmaması gerekenler.

Kanıtlanabilirlik ve Tekrar Üretilebilirlik: Hash'ler, veri/model versiyonları, boru hattı doğrulamaları.

8. şeffaflık, açıklanabilirlik ve kullanıcı talimatları

Yapay zeka etkileşimi ve yapay zeka tarafından oluşturulan içerik için etiketleme.
Açıklanabilirlik: Vakaya özel, meslekten olmayanlara uygun açıklamalar kullanın (yerel/küresel).
Kullanıcı talimatları: Amaç, ana etkileyen faktörler, sınırlar; geri bildirim ve düzeltme yöntemleri.

9. döngüdeki̇ i̇nsan ve denetleme görevleri̇

İlgili kararlar için standart olarak insan gözetimi (özellikle yüksek risk).
Editoryal/sosyal açıdan hassas görevler için dört göz prensibi.
Geçersiz kılma/iptal etme işlevleri; yükseltme yolları; dokümantasyon.

10. güvenlik, sağlamlık ve kırmızı-teaming (hızlı enjeksiyon, jailbreak)

Tehdit modellemesi (STRIDE + Yapay zekaya özel): İstem enjeksiyonu, eğitim verisi zehirlenmesi, model hırsızlığı, veri koruma sızıntısı.
Kırmızı takım ve düşman testleri; jailbreak önleme; hız sınırlama; çıktı filtreleme; gizli tarama.
Sağlamlık: Geri dönüş uyarıları, korkuluklar, geri alma planları; kanarya sürümleri; güvenlik için kaos testleri.

11. Tedarik zinciri, insan hakları ve adil çalışma (Modern Kölelik, LkSG-analog)

İnsan hakları durum tespiti: Risk analizi, tedarikçi davranış kuralları, sözleşme taahhütleri, denetimler, düzeltici faaliyetler.
Modern Kölelik: Yıllık beyan, duyarlılaştırma, raporlama kanalları.
Çalışma standartları: Adil ücret, çalışma saatleri, sağlığın korunması; ihbarcıların korunması.

12. önyargı yönetimi, adalet ve kapsayıcılık (hassas müşteriler, erişilebilirlik)

Önyargı kontrolleri: Veri seti analizleri, dengeleme, çeşitli test grupları, adalet ölçümleri; belgelenmiş hafifletme.
Risk altındaki müşteriler: Koruma hedefleri, alternatif kanallar, açık bir dil; bilişsel zayıflıkların istismar edilmemesi.
Erişilebilirlik: WCAG-Uygunluk; çok dillilik; kapsayıcı yaklaşım.

13. üretken yapay zeka, menşe kanıtı ve etiketleme (C2PA, filigran)

Etiketleme: Yapay zeka içeriği için görünür etiketler/meta veriler; etkileşimler için ipucu.
Menşe garantileri: C2PA-teknik olarak mümkün olduğu ölçüde bağlam, imzalar/damgalar.
Telif hakları/hizmetlerin korunması: Lisansları netleştirin; veri uyumluluğunu eğitin; haklar zincirini belgeleyin.

14. içerik, moderasyon ve DSA süreçleri (raporlama, şikayetler, şeffaflık)

Raporlama kanalları: Düşük eşikli kullanıcı raporlaması; yasadışı içeriğin öncelikli olarak işlenmesi.
Şikâyet süreçleri: Şeffaf gerekçe, itiraz, yükseltme.
Şeffaflık raporları: İlgili kilit rakamların ve önlemlerin periyodik olarak yayınlanması.

15. Alana özel kullanım (haberler, veri, sağlık, havacılık, yatlar, emlak, ödeme/ticaret/tröst/madeni para, arabalar)

Haberler/Yayıncılık: Araştırma yardımı, çeviri, moderasyon; üretici içeriğin açık bir şekilde etiketlenmesi.
SKANDİK VERİLER: Güvenli AI/HPC altyapısı, istemci ayrımı, HSM/KMS, gözlemlenebilirlik, uyumluluk eserleri.
Sağlık: Kanıta dayalı kullanım, insan nihai kararı, test edilmemiş teşhis yok.
Havacılık/Yatlar: Güvenlik süreçleri, insan denetimi, acil durum prosedürleri.
Emlak: Adillik kontrolleri ile değerleme modelleri; ESG entegrasyonu.
Ödeme/Ticaret/Güven/Para: Dolandırıcılık önleme, KYC/AML, piyasa gözetimi, açıklanabilir kararlar.
Arabalar: Sıkı veri koruması ile kişiselleştirilmiş hizmetler.

16. üçüncü taraflar, tedari̇k ve satici ri̇sk yöneti̇mi̇

İşe almadan önce durum tespiti: Güvenlik/veri koruma seviyesi, veri konumları, alt işleyiciler, sertifikalar.
Sözleşmeler: Denetim hakları, şeffaflık ve düzeltme maddeleri, SLA/OLA ölçümleri.
İzleme: Performans KPI'ları, bulguların/olayların paylaşımı, çıkış planları.

17. operasyon, gözlemlenebilirlik, acil durum ve yeniden başlatma planları

Operasyon: Gözlenebilirlik (loglar, metrikler, izler), SLO/SLI yönetimi, kapasite planlama.
Acil durum: Çalışma kitapları, DR testleri, kurtarma süreleri, iletişim planları.
Konfigürasyon/gizlilik yönetimi: En az ayrıcalık, rotasyonlar, sertleştirme.

18. Olaylar ve çözüm yolları (etik, veri koruma, güvenlik)

Etik olaylar: İstenmeyen ayrımcılık, dezenformasyon, kaynağı belirsiz - acil önlemler ve AIEB incelemesi.
Veri koruma vakaları: DPO'ya/denetime raporlama süreçleri; etkilenen taraflar için bilgilendirme; kök neden analizi.
Güvenlik olayları: CSIRT prosedürleri, adli tıp, çıkarılan dersler, önleyici tedbirler.

19. ölçümler, KPI'lar ve güvence (dahili/harici)

Zorunlu KPI'lar: 100 % üretken yapay zeka kullanım vakalarının AIIA kapsamı; 95 % eğitim oranı; 0 açık kritik denetim bulgusu.
Adalet ölçütleri: Eşitsiz etki, eşitlenmiş oranlar (vakaya özgü kullanın).
Sürdürülebilirlik: Veri merkezlerinin enerji/PUE/karbon rakamları; modellerin verimliliği.

20. eği̇ti̇m, farkindalik ve kültürel deği̇şi̇m

Zorunlu eğitim (yıllık): Yapay zeka etiği, veri koruma, güvenlik, medya etiği; hedef gruba özel modüller.
Farkındalık kampanyaları: Rehberler, kahverengi çanta oturumları, danışma saatleri; dahili uygulama toplulukları.
Kültür: Rol model olarak liderlik, hata kültürü, sorumlu davranışın ödüllendirilmesi.

21. uygulama ve yol hari̇tasi (0-6 / 6-12 / 12-24 ay)

0-6 ay: YZ kullanım durumlarının envanteri; AIIA süreci; minimum kontroller; eğitim dalgası; tedarikçi taraması.
6-12 ay: Kırmızı ekip çalışmasının yaygınlaştırılması; ilk şeffaflık raporları; enerji programı; RACI'nin tamamlanması.
12-24 ay: ISO/IEC-42001 uyumu; sınırlı güvence; sürekli iyileştirme; CSRD/ESRS hazırlığı (varsa).

22. rulolar ve RACI matrisi

Kullanım Örneği Sahibi (A): Amaç, faydalar, KPI'lar, bütçe, yeniden değerlendirmeler.
Model Sahibi (R): Veri/Eğitim/Değerlendirme, Model Kartı, Sürüklenme İzleme.
DPO (veri koruma için C/A): Yasal dayanak, DPIA, veri sahiplerinin hakları.
Güvenlik Lideri (C): Tehdit modelleme, kırmızı ekip oluşturma, TOM'lar.
Sorumlu Editör (C): Medya etiği, etiketleme, düzeltme kaydı.
Hizmet Sahibi (R): Operasyon, SLO, olay yönetimi.
Satın Alma Lideri (R/C): Üçüncü taraflar, sözleşmeler, çıkış planları.

23. Kontrol listeleri (AIIA kısa, veri yayınlama, canlıya geçiş kapısı)

AIIA hızlı kontrol: Amaç? Yasal dayanak? Etkilenen taraflar? Riskler (yasal/etik/güvenlik/önyargı/çevresel)? Hafifletme? HIL kontrolleri?
Veri açıklaması: Kaynak yasal mı? Minimizasyon? Saklama? Erişim? Üçüncü ülke?
Go-Live-Gate: Artefaktlar tamamlandı mı (veri/model kartları, günlükler)? Kırmızı Ekip sonuçları ele alındı mı? İzleme/DR kuruldu mu?

24. formlar ve şablonlar (model kartı, veri kartı, olay raporu)

Model-Kart-Template: Amaç, veriler, eğitim, kriterler, sınırlamalar, riskler, sorumlu kişiler, iletişim.
Veri Kartı Şablonu: Kaynak, lisans, kalite, temsil gücü, yanlılık kontrolleri, kullanım kısıtlamaları.
Olay raporu şablonu: Olay, etkileri, etkilenen kişiler, acil önlemler, kök neden, çözüm, alınan dersler.

25 Sözlük ve Referanslar

Sözlük: AI sistemi, üretken AI, yüksek riskli sistem, AIIA, HIL, C2PA, kırmızı ekip oluşturma, DPIA, RACI, SLO / SLI.

Referanslar:

AB Yapay Zeka Yasası
GDPR
DSA
OECD Yapay Zeka İlkeleri
NIST AI RMF
ISO/IEC 42001
İç yönergeler (veri koruma, DSA süreçleri, modern kölelik, sürdürülebilirlik)

Not: Bu YZ Kuralları, diğerlerinin yanı sıra, mevcut LEGIER kılavuzlarını tamamlamaktadır: (Veri Koruma, Dijital Hizmetler, İnsan Hakları/Tedarik Zinciri, Kurumsal Yönetişim, Sürdürülebilirlik, Modern Kölelik). LEGIER Group'un (LEGIER Beteiligungs mbH) uyumluluk çerçevesinin ayrılmaz bir parçasıdır.