ARTICLE
29 April 2025

Yapay Zekâ Teknolojileri Kapsamında Kişisel Verilerin Korunması Ve İlgili Kişi Hakları

G+
Gun + Partners

Contributor

Gün + Partners is a full-service institutional law firm with a strategic international vision, providing transactional, advisory and dispute resolution services since 1986. The Firm is based in Istanbul, with working offices Ankara and Izmir. The Firm advises in life sciences, energy, construction & real estate, technology, media and telecoms, automotive, FMCG, chemicals and the defence industries.”
Yapay zekâ teknolojilerinin kullanılması sırasında kişisel verilerin işlenmesi kaçınılmazdır. Kişisel verilerin temel ilkelere uygun şekilde işlenmesi ve ilgili kişilerin haklarının korunması...
Turkey Privacy

Yapay zekâ teknolojilerinin kullanılması sırasında kişisel verilerin işlenmesi kaçınılmazdır. Kişisel verilerin temel ilkelere uygun şekilde işlenmesi ve ilgili kişilerin haklarının korunması ve taleplerinin doğru ve yeterli şekilde cevaplandırılması esasen yapay zekâ teknolojilerinde kişisel verilerin işlenmesi ile kişilerin zarara uğrama risklerini en aza indirecek ve kişilik haklarının her daim korunmasına hizmet edecektir.

Kişisel Verilerin Korunması Kanunu (KVKK) esasen kişisel verilerin işlenmesindeki temel kuralları düzenlemektedir. KVKK madde 4 çerçevesinde Kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma kişisel verilerin işlenmesindeki genel temel ilkelerdir. Bu ilkelere uyum yapay zeka teknolojilerinde de geçerlidir. Diğer yandan KVKK madde 11 ile ilgili kişiye münhasıran otomatik sistemler aracılığıyla analiz edilen verileri sonucunda kendisi aleyhine oluşturulan bir sonuca itiraz etme hakkı verilmiştir. Bu iki düzenleme yapay zekâ teknolojilerinde kişisel verilerin işlenmesi ve sonuçların kişilere etkisi ile kişilik haklarının korunması bakımından temeldir. Ayrıca kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır ve kişisel verilerin hukuka aykırı şekilde işlenmesi halinde de ilgili kişilerin zararlarının tazmin etme hakları vardır.

Avrupa Genel Veri Koruma Tüzüğü (GDPR) ise Yapay Zekâ Regülasyonu'ndan çok daha önce madde 22 altında otomatik karar alma sistemleri (automated decision making – ADM) yoluyla kişisel verilerin işlenmesi süreçlerini düzenlemiştir. Kaldı ki, yapay zekâ hakkında özel bir düzenleme yapılmış olsa dahi, kişisel verilerin ADM sistemleri yoluyla işlenmesi konusunda doğrudan uygulama alanı bulacak olan düzenlemeler GDPR madde 22 altında yer almaya devam etmektedir.

GDPR 22. maddesi ilgili kişiye –bazı istisnalar dışında- otomatik işlemeye dayalı bir karara, ortaya çıkan sonucun lehe veya aleyhe olması fark etmeksizin, tabi olmama hakkı tanımaktadır. İlgili kişilerin böylesi durumlarda anlamlı bir insan müdahalesini talep etme, kendi görüşünü ifade etme ve karara itiraz etme gibi hakları bulunmaktadır.

ADM sistemleri, insan kaynakları bakımından adayların özgeçmişleri ve çevrimiçi mülakatlarının değerlendirilmesi, sosyal medyada içeriklerin filtrelenmesi, reklamcılıkta kişiselleştirilmiş reklamların sunulması, bankacılıkta kredi derecelendirmelerinin yapılması gibi çeşitli şekillerde kişilerin haklarına etki etmektedir.

Türkiye'deki uygulamaya bakıldığında ise ilgili kişiler çoğu zaman münhasıran ADM sistemleri aracılığıyla kendisi hakkında meydana sonucun olumlu veya olumsuz olduğunu dahi bilemeyebilmektedir. Diğer taraftan ilgili kişilere bu kararlara karşı- kararların kişileri olumsuz etkilemesi halinde- yalnızca bir itiraz hakkı verilmekle birlikte bir ön korunma hakkı verilmemektedir. Yine otomatik yollarla karar alma sistemleri aracılığıyla oluşturulan sonuçların akıbeti gibi konular da belirsiz kalmaktadır. Bu konudaki aydınlatmaların çoğunlukla yetersiz olduğu ve yapay zekâ sistemlerinin karmaşıklığı da göz önüne bulundurulduğunda ilgili kişi haklarının risk altında olduğu ve yeterince korunmadığı söylenebilir.

Avrupa Birliği (AB) uygulamasının ise hem mevzuat kapsamı hem de uygulaması bakımından daha koruyucu olduğunu söylemek mümkündür. GDPR m. 22'nin kendisine uygulama alanı bulabilmesi için 3 unsurdan bahsedilmektedir:

  • İlgili kişiye yönelik verilen bir "karar" olması,
  • İlgili kişiye yönelik verilen kararın "münhasıran ADM sistemi tarafından" verilmesi – karar alma sürecinde anlamlı bir insan müdahalesinin bulunmaması,
  • Verilen kararın önemli bir etkisinin bulunması.

Görüldüğü üzere AB mevzuatı müdahale için "olumsuz bir sonuç" değil "doğrudan" veya "önemli bir etki" aramaktadır. Bu etkininin kişinin lehine veya aleyhine olması önem arz etmemektedir.

GDPR m. 22'de ADM sistemlerinin bir sözleşmenin kurulması veya ifası için zorunlu olması, AB yahut üye devlet tarafından verilmiş bir yetkiye dayanması ve ilgilinin açık rızasının bulunması hallerinde otomatik yollarla karar alma sistemlerinin kullanılması mümkün kılınmıştır. Ancak belirtmek gerekir ki bu durumlarda da kişisel verilerin işlenmesine ilişkin adillik, şeffaflık, orantılılık, amaca uygunluk gibi genel ilkeler ve kişisel verilerin işlenmesinin kanunda yer alan hukuki dayanaklardan birine dayanması gibi genel kurallar her zaman uygulama alanı bulacaktır. Kaldı ki, ilgili kişinin açık rızasının bulunması ya da bir sözleşmenin kurulması veya ifası için zorunlu olması halinde otomatik işleme dayalı bir karar alma mekanizmasına tabi tutulan kişilerin insan müdahalesi talep etme, kendi görüşünü ifade etme ve karara itiraz etme hakları vardır.

Örneğin İtalyan Veri Koruma Otoritesi, Temmuz 2021'de Deliveroo isimli yemek teslimat şirketine algoritmik yönetim uygulamalarındaki hukuka aykırılıklar nedeniyle idari para cezası kesmiştir. Söz konusu olayda ADM algoritmasının sürücülerle olan sözleşmesel ilişkiyi yönetmek için gerekli olabileceği kabul edilmekle birlikte şirket, bu süreçte genel veri koruma kurallarının ihlal ettiği gerekçesiyle cezalandırılmıştır.

Farklı bir olayda Norveç Veri Koruma Otoritesi, Uluslararası Bakalorya'nın (IB) pandemi sırasında sınavları iptal edip öğrencileri okul geçmişi ve bağlamına göre notlandırmasının GDPR ilkelerini ihlal ettiğine karar vermiştir. Bu yaklaşımın adil olmadığı, bireysel akademik başarıyı yansıtmadığı ve okul temelli ayrımcılığa yol açabileceği belirtilmiştir. IB'nin notlandırma algoritmasının mantığının açıklanmaması ise şeffaflık ilkesine aykırı bulunmuştur.

Türkiye'de 1 Haziran 2024'te yürürlüğe giren kanun değişiklikleriyle birlikte Kanun, GDPR'a yaklaştırılmış ve uygulamada karşılaşılan pek çok soruna çözüm üretilmiştir. Ancak günümüzde gelişen yapay zekâ teknolojileri karşısında ilgili kişilerin haklarının daha sıkı korunması gerekir. Yapay zekâ sistemlerinin karmaşıklığı ve çalışma sistemlerinin tam olarak açıklanamaması gibi durumlar nedeniyle bu alanda kişisel verilerin işlenmesinin kontrolünün sağlanması kolay olmayıp kişilerin haklarına etki eden sonuçlar doğurmaları çok muhtemeldir. İlgili kişiler en azından eldeki mevzuat çerçevesinde kişisel verilerinin hukuka uygun işlenip işlenmediğini öğrenme, KVKK madde 11 kapsamında bilgi talep etme ve özellikle işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve zarara uğramaları halinde tazminat talep etme hakları mevcuttur. Bununla birlikte, otomatik sistemler vasıtasıyla karar alma mekanizmalarının hukuka aykırı sonuç doğurmalarını önleyici ve kişilerin itiraz ve düzeltme haklarını daha proaktif şekilde kullanabilecekleri daha öncül düzenlemelere ihtiyaç olduğu şüphesizdir.

Katkılarından dolayı İsmail Arslan'a teşekkürler.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More