Algoritmik Karar Mekanizmalarının Farklı Hukuk Sistemlerinde Değerlendirmesi

Algoritmik Sistemlerle Karar Verme

Otomatik sistemlerle karar verme teriminin anlamı İngiliz Veri Koruma otoritesi ICO’ya göre: “Herhangi bir insan müdahalesi olmaksızın otomatik araçlarla karar verme sürecidir. Bu kararlar, gerçek verilere dayanabileceği gibi dijital olarak oluşturulmuş profillere veya çıkarılan  verilere de dayanabilir.”

ICO ilgili metinde: “Önceden programlanmış algoritmalar ve kriterler ile işe alım için kullanılan bir yetenek testi.” örnek olarak vermiştir. Gerçektende, işe alımlarda, kişilerin kredi başvurularına ilişkin alınacak kararlarda, sigorta süreçlerinde bu tip algoritmalar yaygın olarak kullanılmaktadır.

Bu algoritmaların yaygın kullanımı ve aldığı kararlar bir takım tartışmaları da beraberinde getirmiştir.

Algoritmik Sistemlerle Karar Vermenin Kişisel Verilerin İşlenmesi Kapsamında Değerlendirilmesi

Kişisel verilerin işlenmesi kavramı, Kanunun 3. Maddesinin e fıkrasında: “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,” olarak tanımlanmış, 6698 Sayılı Kanunda Yer Alan Temel Kavramlar rehberinde detaylandırılmıştır. Buna göre Kurumun 6698 Sayılı Kanunda Yer Alan Temel Kavramlar rehberine göre:

“Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir. Kanunun 2. maddesinde, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, veri işleme olarak tanımlanmıştır. Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme veya anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.”  rehberin devamında ayrıca:

  • Elde edilme veya kaydetme
  • Depolama/Muhafaza Etme 
  • Değiştirme/Yeniden Düzenleme
  • Aktarılma/Devralınma

 

İşlemlerinin de kişisel veri işleme faaliyeti olduğundan bahsedilmiştir. Bu kapsamda algoritmik sistemlerle karar alma mekanizmaları da veri işleme faaliyeti sayılmaktadır.

Kişisel Verilerin Korunması Kanunundaki Düzenleme

6698 Sayılı Kişisel Verilerin Korunması Kanununda (“KVKK”)algoritmik karar alma mekanizmaları detaylı bir şekilde düzenlenmemiştir. Kanunun 11. Maddesinin 1. fıkrasının g bendine göre: “İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme”  hakkı bulunmaktadır.

Bu maddeye ilişkin detaylar Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporununu ilgili maddeye ait  gerekçe kısmında bulunmaktadır. Buna göre: “Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin, bir çalışanın performansının, onun tarafından yapılan işlerin, otomatik bir sistemde işlenip analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir”

Buradan da anlaşılabileceği üzere, bentte kastedilen kavram ICO’nun tanımında bahsedilen kavram ile aynıdır. Her ne kadar, Kişisel Verilerin Korunması Kanunu Avrupa Birliği Parlamentosunun 95/46/EC sayılı direktifi örnek alınarak hazırlandıysa da, algoritmik sistemlere dair düzenlemelerde hakkında yapılan düzenlemeler direktifteki kadar detaylı değildir.

Avrupa Birliği Genel Veri Korume Tüzüğündeki Düzenleme

Otomatik Sistemlerle karar verme kavramı, Genel Veri Koruma Tüzüğünün 22. Maddesinde düzenlenmiştir. İlgili maddeye göre:

“Madde 22

Profil çıkarma da dahil olmak üzere otomatik münferit karar verme

  • Veri sahibinin kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı bulunur.
  • Kararın aşağıdaki özellikleri taşıması halinde, 1. paragraf uygulanmaz:
  • Veri sahibi ve bir veri kontrolörü arasında bir sözleşme yapılması veya uygulanması için gerekli olması;
  • Kontrolörün tabi olduğu ve veri sahibinin hakları ile özgürlükleri ve meşru menfaatlerinin güvence altına alınması amacıyla uygun tedbirlerin de belirtildiği Birlik veya üye devlet hukukun çerçevesinde izin verilmesi veya
  • Veri sahibinin açık rızasına dayanması.
  • 2. paragrafın (a) ve (c) bentlerinde atıfta bulunulan hallerde, veri kontrolörü en azından kontrolör açısından insan müdahalesinin sağlanması hakkı başta olmak üzere veri sahibinin kendi görüşünü ifade etme ve karara karşı çıkma yönündeki hakları ile özgürlükleri ve meşru menfaatlerinin güvence altına alınması amacı ile uygun tedbirler uygular.”

Maddenin ifadesinden de anlaşılacağı üzere ilgili kişi, otomasyon sistemlerin alacağı kararlara tabi olmamayı tercih edebilmektedir. Bu bağlamda KVKK’dan daha geniş bir koruma sağlanmasına rağmen 2. fıkranın c bendi, açık rızanın bulunması halinde, tabi olmama hakkının sadece itiraz hakkı ve insan müdahalesinin sağlanması hakkı olacak şekilde kısıtlanacağından bahsetmiştir. Bu açıdan Tüzük, veri işleyene otomasyon sistemlerin kullanılması için bir çözüm yolu vermiştir. KVKK’da bulunan hak tabi olmama hakkı kadar geniş olmamakla beraber, KVKK’da bulunan itiraz hakkının kısıtlanması mümkün değildir.

Algoritmik sistemlerle karar almaya ilişkin Amsterdam mahkemesinde görülen bir davada: dört şöförün Uber hesabı geçici olarak kapatılmıştır. Bu sürücülerden ikisinin hesabının geçici olarak kapatılmasında birden çok uyarıda bulunulduğu, kapama işleminin otomasyon bir şekilde yapıldığı tespit edilmiştir. Ancak kapama işleminin geçici olmasından ötürü GDPR’ın 22. Maddesi uygulanmamıştır. Somut olayda Uber haklı bulunmuştur. Diğer iki sürücü için gerekli bilgilendirmenin yapılmadığından bahsedilmiştir ve bu sebeple alınan kararın doğruluğunun tespiti için verilere erişim hakkını içeren 15. Maddenin uygulanması uygun görülmüştür.

 

Kaliforniya Mevzuatındaki Düzenleme (CPRA-CCPA)

2018’de Kaliforniya Tüketici Gizlilik Kanunu adıyla çıkan, 2020 yılında Kaliforniya Gizlilik Hakları Kanunu adıyla güncellenen mevzuata göre:

a) 1 Temmuz 2020’de veya öncesinde, Eyalet Başsavcısı geniş halk katılımı talep edecek ve aşağıdaki alanlar dahil ancak bunlarla sınırlı olmamak üzere bu unvanın amaçlarını ilerletmek için düzenlemeler yapacaktır:

(16) Profil oluşturma ve işletmelerin bu karar alma süreçlerinde yer alan mantık hakkında anlamlı bilgiler içermesi için erişim taleplerine yanıt vermelerini gerektirme de dahil olmak üzere, işletmelerin otomatik karar verme teknolojisini kullanımına ilişkin erişim ve devre dışı bırakma haklarını düzenleyen düzenlemeler çıkarmak, ve ayrıca sürecin tüketici açısından muhtemel sonucunun bir açıklaması.

Bu bağlamda Eyalet Senatosu, vatandaşlara, kendileri hakkında algoritmik karar alan sistemler nezdinde bilgi edinebilme hakkı vermiştir. Bu açıdan GDPR ve KVKK ile benzerlik göstermektedir. Ayrıca bu konuda düzenleme yapma yetkisi Eyalet Başsavcısına verilmiştir.  Bunun dışında algoritmik karar alma sistemleri hakkında bir düzenleme getirilmemiştir. Kanun 2023 yılında itibaren yürürlüğe gireceğinden konu ile ilgili düzenlemeler Eyalet Savcısı tarafından ilerleyen yıllarda belirlenecektir.

Sonuç:

  • Türk Hukukunda Otomasyon Karar Alma Sistemleri ile ilgili düzenlemeler Kişisel Verilerin Korunması Kanununun 11. Maddesinin g fıkrasında düzenlenmiştir. Bu fıkraya göre sadece otomasyon sistem tarafından alınan karara itiraz hakkı bulunmaktadır.
  • GDPR’da algoritmik karar alma sistemlerine tabi olmama hakkı bulunmaktadır. Ancak bu hak açık rızanın alınması halinde sadece itiraz ve insan müdahelesinin sağlanması hakkına dönüşmektedir
  • CPRA’deki düzenlemeye göre erişim hakkı, karar mekanizmasının mantığı hakkında bilgi edinme hakkı, sürecin tüketici için muhtemel sonucunun açıklanmasını talep etme hakkı gibi haklar düzenlenmiştir. Ancak bunların sınırları önümüzdeki yıllarda Eyalet Başsavcısı tarafından düzenlenecektir.

 

Daha fazla okuma için: https://www.eralp.av.tr/ticari-reklam-ve-haksiz-ticari-uygulamalar-hakkinda-degisiklikler/

https://www.eralp.av.tr/saglik-sektorunu-ilgilendiren-kisisel-verilerin-korunmasi-karar-ve-uygulamalari/

Algoritmik Karar Mekanizmalarının Farklı Hukuk Sistemlerinde Değerlendirmesi

Algoritmik Sistemlerle Karar Verme

Otomatik sistemlerle karar verme teriminin anlamı İngiliz Veri Koruma otoritesi ICO’ya göre: “Herhangi bir insan müdahalesi olmaksızın otomatik araçlarla karar verme sürecidir. Bu kararlar, gerçek verilere dayanabileceği gibi dijital olarak oluşturulmuş profillere veya çıkarılan  verilere de dayanabilir.”

ICO ilgili metinde: “Önceden programlanmış algoritmalar ve kriterler ile işe alım için kullanılan bir yetenek testi.” örnek olarak vermiştir. Gerçektende, işe alımlarda, kişilerin kredi başvurularına ilişkin alınacak kararlarda, sigorta süreçlerinde bu tip algoritmalar yaygın olarak kullanılmaktadır.

Bu algoritmaların yaygın kullanımı ve aldığı kararlar bir takım tartışmaları da beraberinde getirmiştir.

Algoritmik Sistemlerle Karar Vermenin Kişisel Verilerin İşlenmesi Kapsamında Değerlendirilmesi

Kişisel verilerin işlenmesi kavramı, Kanunun 3. Maddesinin e fıkrasında: “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,” olarak tanımlanmış, 6698 Sayılı Kanunda Yer Alan Temel Kavramlar rehberinde detaylandırılmıştır. Buna göre Kurumun 6698 Sayılı Kanunda Yer Alan Temel Kavramlar rehberine göre:

“Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir. Kanunun 2. maddesinde, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, veri işleme olarak tanımlanmıştır. Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme veya anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.”  rehberin devamında ayrıca:

  • Elde edilme veya kaydetme
  • Depolama/Muhafaza Etme 
  • Değiştirme/Yeniden Düzenleme
  • Aktarılma/Devralınma

 

İşlemlerinin de kişisel veri işleme faaliyeti olduğundan bahsedilmiştir. Bu kapsamda algoritmik sistemlerle karar alma mekanizmaları da veri işleme faaliyeti sayılmaktadır.

Kişisel Verilerin Korunması Kanunundaki Düzenleme

6698 Sayılı Kişisel Verilerin Korunması Kanununda (“KVKK”)algoritmik karar alma mekanizmaları detaylı bir şekilde düzenlenmemiştir. Kanunun 11. Maddesinin 1. fıkrasının g bendine göre: “İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme”  hakkı bulunmaktadır.

Bu maddeye ilişkin detaylar Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporununu ilgili maddeye ait  gerekçe kısmında bulunmaktadır. Buna göre: “Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin, bir çalışanın performansının, onun tarafından yapılan işlerin, otomatik bir sistemde işlenip analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir”

Buradan da anlaşılabileceği üzere, bentte kastedilen kavram ICO’nun tanımında bahsedilen kavram ile aynıdır. Her ne kadar, Kişisel Verilerin Korunması Kanunu Avrupa Birliği Parlamentosunun 95/46/EC sayılı direktifi örnek alınarak hazırlandıysa da, algoritmik sistemlere dair düzenlemelerde hakkında yapılan düzenlemeler direktifteki kadar detaylı değildir.

Avrupa Birliği Genel Veri Korume Tüzüğündeki Düzenleme

Otomatik Sistemlerle karar verme kavramı, Genel Veri Koruma Tüzüğünün 22. Maddesinde düzenlenmiştir. İlgili maddeye göre:

“Madde 22

Profil çıkarma da dahil olmak üzere otomatik münferit karar verme

  • Veri sahibinin kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı bulunur.
  • Kararın aşağıdaki özellikleri taşıması halinde, 1. paragraf uygulanmaz:
  • Veri sahibi ve bir veri kontrolörü arasında bir sözleşme yapılması veya uygulanması için gerekli olması;
  • Kontrolörün tabi olduğu ve veri sahibinin hakları ile özgürlükleri ve meşru menfaatlerinin güvence altına alınması amacıyla uygun tedbirlerin de belirtildiği Birlik veya üye devlet hukukun çerçevesinde izin verilmesi veya
  • Veri sahibinin açık rızasına dayanması.
  • 2. paragrafın (a) ve (c) bentlerinde atıfta bulunulan hallerde, veri kontrolörü en azından kontrolör açısından insan müdahalesinin sağlanması hakkı başta olmak üzere veri sahibinin kendi görüşünü ifade etme ve karara karşı çıkma yönündeki hakları ile özgürlükleri ve meşru menfaatlerinin güvence altına alınması amacı ile uygun tedbirler uygular.”

Maddenin ifadesinden de anlaşılacağı üzere ilgili kişi, otomasyon sistemlerin alacağı kararlara tabi olmamayı tercih edebilmektedir. Bu bağlamda KVKK’dan daha geniş bir koruma sağlanmasına rağmen 2. fıkranın c bendi, açık rızanın bulunması halinde, tabi olmama hakkının sadece itiraz hakkı ve insan müdahalesinin sağlanması hakkı olacak şekilde kısıtlanacağından bahsetmiştir. Bu açıdan Tüzük, veri işleyene otomasyon sistemlerin kullanılması için bir çözüm yolu vermiştir. KVKK’da bulunan hak tabi olmama hakkı kadar geniş olmamakla beraber, KVKK’da bulunan itiraz hakkının kısıtlanması mümkün değildir.

Algoritmik sistemlerle karar almaya ilişkin Amsterdam mahkemesinde görülen bir davada: dört şöförün Uber hesabı geçici olarak kapatılmıştır. Bu sürücülerden ikisinin hesabının geçici olarak kapatılmasında birden çok uyarıda bulunulduğu, kapama işleminin otomasyon bir şekilde yapıldığı tespit edilmiştir. Ancak kapama işleminin geçici olmasından ötürü GDPR’ın 22. Maddesi uygulanmamıştır. Somut olayda Uber haklı bulunmuştur. Diğer iki sürücü için gerekli bilgilendirmenin yapılmadığından bahsedilmiştir ve bu sebeple alınan kararın doğruluğunun tespiti için verilere erişim hakkını içeren 15. Maddenin uygulanması uygun görülmüştür.

 

Kaliforniya Mevzuatındaki Düzenleme (CPRA-CCPA)

2018’de Kaliforniya Tüketici Gizlilik Kanunu adıyla çıkan, 2020 yılında Kaliforniya Gizlilik Hakları Kanunu adıyla güncellenen mevzuata göre:

a) 1 Temmuz 2020’de veya öncesinde, Eyalet Başsavcısı geniş halk katılımı talep edecek ve aşağıdaki alanlar dahil ancak bunlarla sınırlı olmamak üzere bu unvanın amaçlarını ilerletmek için düzenlemeler yapacaktır:

(16) Profil oluşturma ve işletmelerin bu karar alma süreçlerinde yer alan mantık hakkında anlamlı bilgiler içermesi için erişim taleplerine yanıt vermelerini gerektirme de dahil olmak üzere, işletmelerin otomatik karar verme teknolojisini kullanımına ilişkin erişim ve devre dışı bırakma haklarını düzenleyen düzenlemeler çıkarmak, ve ayrıca sürecin tüketici açısından muhtemel sonucunun bir açıklaması.

Bu bağlamda Eyalet Senatosu, vatandaşlara, kendileri hakkında algoritmik karar alan sistemler nezdinde bilgi edinebilme hakkı vermiştir. Bu açıdan GDPR ve KVKK ile benzerlik göstermektedir. Ayrıca bu konuda düzenleme yapma yetkisi Eyalet Başsavcısına verilmiştir.  Bunun dışında algoritmik karar alma sistemleri hakkında bir düzenleme getirilmemiştir. Kanun 2023 yılında itibaren yürürlüğe gireceğinden konu ile ilgili düzenlemeler Eyalet Savcısı tarafından ilerleyen yıllarda belirlenecektir.

Sonuç:

  • Türk Hukukunda Otomasyon Karar Alma Sistemleri ile ilgili düzenlemeler Kişisel Verilerin Korunması Kanununun 11. Maddesinin g fıkrasında düzenlenmiştir. Bu fıkraya göre sadece otomasyon sistem tarafından alınan karara itiraz hakkı bulunmaktadır.
  • GDPR’da algoritmik karar alma sistemlerine tabi olmama hakkı bulunmaktadır. Ancak bu hak açık rızanın alınması halinde sadece itiraz ve insan müdahelesinin sağlanması hakkına dönüşmektedir
  • CPRA’deki düzenlemeye göre erişim hakkı, karar mekanizmasının mantığı hakkında bilgi edinme hakkı, sürecin tüketici için muhtemel sonucunun açıklanmasını talep etme hakkı gibi haklar düzenlenmiştir. Ancak bunların sınırları önümüzdeki yıllarda Eyalet Başsavcısı tarafından düzenlenecektir.

 

Daha fazla okuma için: https://www.eralp.av.tr/ticari-reklam-ve-haksiz-ticari-uygulamalar-hakkinda-degisiklikler/

https://www.eralp.av.tr/saglik-sektorunu-ilgilendiren-kisisel-verilerin-korunmasi-karar-ve-uygulamalari/