Giriş

Algoritma, bir problemi veya bir problem sınıfını çözmek için kullanılan bir prosedürdür. Tipik olarak, bazı girdi verilerini alan ve çıktılara döndüren bir dizi talimat veya kuraldan oluşur.Örnek olarak, bir sıralama algoritması bir sayı listesi oluşturmak için ve önce listenin en büyük öğesini, ardından listenin geri kalanındaki en büyük öğesini alır ve liste bitinceye kadar böyle devam eder. (Kaynak)

Algoritmik Karar Sistemi (ADS); uygulamada, karar verme mekanizmasının desteklenmesi amacıyla belirli algoritmaların kullanılmasıdır. ADS, makine öğrenimine dayalı olsun ya da olmasın, genellikle çeşitli verilerin analizine dayanır. Bu analizin belirli kısımlarında insan müdahalesi de bulunmaktadır.(Kaynak)

Otomatik karar verme sistemleri günümüzde çeşitli alanlarda karşımıza çıkmaktadır. Örneğin (Kaynak);
  • Sağlık hizmeti algoritmaları, sağlık kaynaklarının en iyi nasıl dağıtılacağını belirlemede hastane sistemleri için tahmine dayalı analiz sağlamaktadır.
  • Öğretmen değerlendirme algoritmaları, bireysel başarı, aile ortamı, mesleki tecrübe gibi başarıyı etkileyen faktörlerden ziyade standart başarı puanlamasına dayalı olarak, öğretmenin öğrenci başarısı üzerindeki etkisini ölçmek için kullanılmaktadır.
  • Sosyal medya izleme algoritmaları, birçok alanda kolluk kuvvetleri tarafından kullanılan bir araçtır. Tutuklama gerekçesini desteklemek için kanıt toplamada, potansiyel suçları tanımlamada, şiddet veya başka bir olumsuz sonuç doğurabilecek potansiyel olaylar belirlemede kullanılmaktadır.
  • Yüz tanıma algoritmaları, bazı binalarda bina sakinlerinin ve misafirlerin; işyerlerinde çalışanların giriş-çıkışının takibi için tercih edilen biyometrik tarama teknolojisidir.
  • Otomatik plaka okuma algoritmaları, görüntülenen tüm plaka numaralarının yanı sıra aracın konumu, tarihi ve saati ile aracın, sürücülerinin ve yolcularının fotoğraflarını otomatik olarak yakalayan, yüksek hızlı, bilgisayar kontrollü kamera sistemleridir. Bir sürücünün sonrasında nerede olabileceğini tahmin etmek için de kullanılmaktadır
  • Okulda zorbalık riski değerlendirme algoritmaları, cinayet ve intihar gibi olaylar bakımından okullarda risk oluşturabilecek öğrencilerin belirlenmesi için tasarlanan araçlardır.

Bunların haricinde karşılaşılan reklamların,  dinlenen müziklerin, arkadaş önerilerinin, haberlerin ve daha birçok alanın kişiselleştirilmesi amacıyla kullanılmaktadır. Bu sayede reklam ve pazarlamayı geliştirmekte ayrıca algı yönetimini kontrol edebilmektedir.

Doğası gereği, veriler rakipsizdir veya sınırsızca kullanılabilir. Bu durum aynı verilerin, farklı işletmelerdeki mühendisler ve çeşitli üniversitelerdeki bilim adamları tarafından aynı anda kullanılabilmesini sağlamaktadır. Makine öğrenimindeki son gelişmeler, verilerin değerini keskin bir şekilde artmıştır. Örneğin Google ve Facebook, reklamlarını hedeflemek için verileri kullanır; Tesla ve Waymo, araçları özerk bir şekilde sürmek için algoritmaları eğitmek için verileri kullanır; Netflix ve Spotify, film ve şarkı önermek için verileri kullanır. (Agrawal ve ark. (2018) (Kaynak)

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11/1-g bendine göre ilgili kişinin “İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme”; Avrupa Genel Veri Koruma Yönetmeliği (GDPR)’nin 22. maddesine göre ise “Veri sahibinin kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama” hakkı bulunur. 

Kişisel Verileri Koruma Kurumu’nun 15 Eylül 2021 tarihinde yayınlanan Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeleri:

Kişisel veri işleme temelli yapay zekâ ve veri toplama çalışmaları; kişilerin temel hak ve özgürlüklerini koruyan bir yaklaşım içerisinde hukuka uygunluk, dürüstlük, ölçülülük, hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olmalıdır. 

Veri işleme faaliyetinin bireyler ve toplum üzerine etkileri değerlendirildiğinde ilgili kişi açısından kontrolü mümkün olmalıdır.

Yapay zekâ teknolojilerinin geliştirilmesi ve uygulanmasında aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, verilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilmelidir.

Veri toplama da dâhil olmak üzere veri işlemenin her aşamasında, temel hak ve özgürlükler gözetilerek, ilgili kişiler üzerinde meydana gelebilecek ayrımcılık riski veya diğer olumsuz etkiler ve önyargılar önlenmelidir.

Bağlamından koparılmış algoritma (Başlangıçta belirli bir yapay zekâ modeli için tasarlanmış algoritmaların amacı dışında farklı bir amaç yada yapay zekâ modelinde kullanılmasını ifade eder) modelleri, bireyler ve toplum üzerinde olumsuz etkilere sebep olma riski açısından dikkatle değerlendirilmelidir.

Karar alma süreçlerinde insan müdahalesinin rolü tesis edilmelidir. Bireylerin, yapay zekâ uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğü korunmalıdır.

Online Reklamcılık:

Ticari dünyada mikro hedefleme yoluyla şirketler sosyal medyadaki insan deneyimini ürün olarak giderek daha fazla talep etmektedirler. Gerekçeleri de basitçe: “Eğer ürün için para ödemiyorsanız, ürün sizsiniz”. Burada reklamcılara satılan ürün ise kullanıcıların ilgi alanlarıdır. (Kaynak)

Sosyal medya reklamcılığında ortak kontrolörler olarak her iki taraf (sosyal medya sağlayıcısı ve hedefleyici) kişisel verilerin işlenmesini GDPR’ın 6. maddesine uygun olarak yerine getirmelidir. Avrupa Veri Koruma Kurulu’nun 2 Eylül 2020 tarihli Sosyal Medya Kullanıcılarının hedeflenmesi’ne ilişkin yayınladığı rehbere göre veri sahiplerine, veri işlemeye başlamadan önce işlenme amaçlarına itiraz hakkı verilmelidir. Sosyal medya kullanıcılarının sadece reklamların gösterilmesini, reddetme hakkı olmamalı ayrıca reklam verme amacını reddetmeleri halinde aynı amacı taşıyan reklamlar gösterilmemelidir. (Kaynak)

GDPR’ın gerekçesindeki 58. maddeye göre, çevrimiçi reklamcılıkta, bireylere özgü, anlaşılması kolay bilgiler sağlanması gerekmektedir. ICO’nun yayınladığı doğrudan pazarlamaya ilişkin rehberinde ise “Çevrimiçi davranışsal reklamcılık ve bazı sosyal medya pazarlaması türleri, PECR kapsamında elektronik posta olarak sınıflandırılmaz, ancak bunların yine de doğrudan pazarlama teknikleri” olduğu belirtilmiştir.

Belçika veri koruma otoritesi 2 Şubat 2022 tarihli kararı ile  Interactive Advertising Bureau Europe’s (“IAB Europe”) hakkında GDPR’ın birçok hükmünü ihlal ettiği gerekçesiyle 250.000 Euro para cezası verilmesi ve pop-uplar aracılığıyla toplanan kişisel verilerin silinmesine karar verdi. Kararın sebebi olarak;

Kullanıcılara sağlanan bilgilerin, işlemenin doğası ve kapsamı bakımından çok genel ve belirsiz olduğundan, kullanıcıların kişisel verileri üzerinde kontrol sahibi olmalarını zorlaştırması ve veri koruma ilkesine uygun olan kurumsal ve teknik önlemleri uygulamada başarısız olması gösterilmiştir. (Kaynak)

Kişisel Verileri Koruma Kurumu’nun 04/06/2021 tarihli 2021/545 sayılı Kararı’nda ise;

Veri sorumlusu sıfatını haiz Hastane tarafından ilgili kişinin telefonuna reklam ve pazarlama amaçlı SMS gönderildiği, bununla birlikte ilgili kişi tarafından veri sorumlusuna kişisel verilerin işlenmesi konusunda açık rıza verilmediği ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Kurum; veri sorumlusunun, ilgili kişinin kişisel verisi niteliğindeki telefon numarasına Kanunun 5 inci maddesinde sayılan şartlardan birine dayanmaksızın SMS göndermesi suretiyle gerçekleşen kişisel veri işleme faaliyeti nedeniyle Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmediği dikkate alındığında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında idari para cezası uygulanmasına karar vermiştir.

Avrupa Adalet Divanı’nın 6 Ekim 2015 tarihli mahkeme kararından özetle:

Avusturya’da ikamet eden bir Avusturya vatandaşı olan Bay Schrems, 2008’den beri Facebook sosyal ağının (‘Facebook’) kullanıcısıdır. 25 Haziran 2013’te Bay Schrems, Komiser’e şikayette bulundu ve Komiser’den Facebook İrlanda’nın kişisel verilerini Amerika Birleşik Devletleri’ne transfer etmesini yasaklayarak yasal yetkilerini kullanmasını istedi. Şikayetinde, o ülkede yürürlükte olan yasa ve uygulamanın, kendi topraklarında tutulan kişisel verilerin, orada kamu makamları tarafından yürütülen gözetim faaliyetlerine karşı yeterli düzeyde korunmasını sağlamadığını ileri sürmüştür. Bay Schrems bu bağlamda Edward Snowden tarafından ABD istihbarat servislerinin, özellikle Ulusal Güvenlik Teşkilatının (“NSA”) faaliyetleriyle ilgili ifşalara atıfta bulundu.

Komisyon, Bay Schrems tarafından şikayette dile getirilen konuları soruşturması gerekmediği kararını almış ve bu talebi Avrupa Komisyonu’nun ABD’nin uygun seviyede koruma sağladığına dair 2000/520 sayılı Güvenli Liman (Safe Harbor) Kararı’na dayanarak reddetmiştir. Komisyon, Bay Schrems’in kişisel verilerine NSA tarafından erişildiğine dair hiçbir kanıt bulunmadığını da belirtmiştir. Bay Schrems bu sefer İrlanda Yüksek Mahkemesi’ne başvurdu.

Mahkeme; güvenli liman ilkelerinin içeriğinin incelenmesine gerek olmaksızın, 2000/520 sayılı Kararın 1. maddesinin 95/46 sayılı Direktifin 25(6) maddesinde belirtilen gerekliliklere uymadığı sonucuna varmış ve 2000/520 sayılı Kararın geçersiz olduğu sonucuna ulaşmıştır.

Siyasi Etkileri:

Sosyal medya algoritmaları, kullanıcılarına davranışlarına göre hangi içeriğin sunulacağını belirleme gücünü elinde tutmaktadır – örneğin, Facebook veya Twitter, gönderileri kişinin akışında öne ve merkeze koyabilir, çünkü bu gönderiler yakın arkadaşları arasında popüler olabilmektedir. Bu durum da, algoritmanın sadece yalan habere inananların arkadaş çevresindekileri ya da coğrafi olarak yakınında olanları etkilemediğini aynı zamanda daha fazla insanı yalan habere maruz bırakarak bu haberlere olan inancı artırabileceği anlamına geliyor. (Kaynak) Bu kapsamda Avrupa Komisyonu yayınladığı Avrupa Demokrasi Eylem Planı ile Avrupa demokrasisine ilişkin, vatandaşların hukuka aykırı müdahale ve manipülasyondan uzak, bilinçli karar verme yoluyla demokratik sisteme katılabilmelerini sağlamayı ayrıca seçim bütünlüğü, medya özgürlüğü, medya çoğulculuğu ve dezenformasyona  ilişkin önlemleri içermesi planlanmaktadır.

Şirketlerin bireylerin fikir ve tercihlerini manipüle etme becerilerin en çarpıcı sonuçlarından biri ise 2016 ABD başkanlık seçimlerinde yaşanmıştır. Söz konusu manipülasyon olayının çok öncesinde, Barack Obama’nın 2008 yılı ABD başkanlık seçim kampanyasının çevrimiçi ayağını yürüten Blue State Digital’in kurucu ortağı Clay Johnson, Facebook’un duygusal bulaşma deneyinin ürkütücü boyutlara ulaştığının altını çizmiştir. (Kaynak)

Nitekim, 2016 ABD başkanlık seçimlerine gelindiğinde, ABD Başkanı Donald Trump’ın sosyal medya sorumlusu tarafından söz konusu seçimlerde gizli Facebook paylaşımlarının kullanıldığı açıklanmış, çalışmada kullanılan algoritmanın ise vatandaşları iknayı değil, hiç oy .vermemelerini sağlamayı hedeflediği ifade edilmiştir. Örneğin seçimlerde kritik önemi bulunan Philadelphia eyaletinde yaşayan Afro-Amerikan erkekler doğrudan hedef kitle olarak belirlenmiştir. Görünürlüğünü kampanya ekibinin kontrol ettiği, böylelikle yalnızca görmesini istedikleri insanların görebileceği, herkese açık olmayan, hedefli paylaşımlar tasarlanmış, böylece söz konusu insanların doğrudan kararlarını etkileyebildikleri ifade edilmiştir. Kampanyada kullanılan gizli paylaşımlarda ne olduğu bilgisi ise halen Facebook tarafından kamuoyuna açıklanmamıştır.(Kaynak)

2017 yılı sonunda ise, Facebook üzerinden uygulama üreten bir dizi firmanın üyelerin .kişisel verilerini hukuka aykırı olarak işledikleri, Facebook tarafından da kabul edilmiştir. Başta İngiltere merkezli Cambridge Analytica adlı veri analiz firması olmak üzere Facebook üzerinde .çalışan pek çok uygulama üreticisi firma 50 milyon hesaptan kişisel veri toplamıştır. Cambridge Analytica’nın bu verileri 2016 yılında yapılan ABD seçimleri ile İngiltere Brexit referandumunu etkilemek için kullandığı iddiaları sebebiyle İngiltere Bilgi Komisyonu (Information Commissoners’ Office-ICO), söz konusu iddiaların detaylı bir şekilde incelenmesi için soruşturma başlatmıştır. Kişisel veriler kullanılarak siyasi seçimlerin manipüle edildiği iddiaları sebebiyle Cambridge Analytica ve Facebook’un hukuki soruşturması 2018 yılı itibarıyla sürmektedir.(Kaynak)

Kredi Sonuç Tahmini:

Çin Devlet Konseyi tarafından Haziran 2014’te “Sosyal Bir Kredi Sisteminin Tesisi İçin Plan Taslağı” başlıklı bir belge yayımlanmıştır. Çalışmalarına 2010 yılında başlanan ve Jiangu bölgesinde pilot proje olarak uygulanmakta olan “Sosyal Kredi .Sistemi”nin 2020 yılından itibaren tüm ülkede uygulanması hedeflenmektedir. Hükümet tarafından sekiz özel şirkete sosyal kredi puanı sistemi tasarlaması ve bu amaçla algoritmalar geliştirmesi amacıyla yetki verilmiştir. Hâlihazırda yalnız gönüllü vatandaşların katıldığı sisteme, 2020 yılından itibaren katılım zorunlu hale gelecektir. Sisteme geçişle birlikte ülkede tüm vatandaşlara kişisel kredi notu verilmeye başlanması öngörülmektedir. Vatandaşların mobil cihazlarına yüklenecek bir uygulama sayesinde vatandaşların davranışlarının anlık olarak denetlenmesi ve böylece bireylerin hem sanal hem de gerçek yaşantılarının devlet takibi altında tutularak puanlanması planlanmaktadır. (Kaynak)

The None of your business–European Center for Digital Rights (‘NOYB’), 4 Ağustos 2020’de Avusturya veri koruma otoritesine (‘DSB’)’ne 28 eyalette faaliyet gösteren ajans CRIF’in, elektrik sözleşmesi için başvuran kişinin kredi notuyla ilgili olumsuz değerlendirmesiyle bağlantılı olarak bir davada bilgi .edinme, veri doğruluğu ve şeffaflık hakkını ihlal ettiği için şikayette bulunduğunu duyurdu. NOYB, başvuranın, CRIF’in Genel Veri Koruma Tüzüğü’nün (‘GDPR’) 15. Maddesi uyarınca bilgi edinme hakkını ve şeffaflık ilkesini ihlal ettiğini ihlal ettiğini vurguladı. (Kaynak)

Sonuç:

  • Kişisel veri işleme temelli yapay zekâ ve veri toplama çalışmaları; kişilerin temel hak ve özgürlüklerini. koruyan bir yaklaşım içerisinde hukuka uygunluk, dürüstlük, ölçülülük, hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve .güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olmalıdır. (Kaynak)
  • Yapay zekâ teknolojilerinin geliştirilmesi ve uygulanmasında aynı sonuca kişisel veri işlenmeksizin ulaşılabiliyorsa, verilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilmelidir.(Kaynak)
  • GDPR’nin 58. gerekçesine göre, çevrimiçi reklamcılıkta, bireylere özgü, anlaşılması kolay bilgiler sağlanması gerekmektedir.

Sosyal medya reklamcılığında ortak kontrolörler olarak her iki taraf (sosyal medya sağlayıcısı ve hedefleyici) kişisel verilerin işlenmesini GDPR’ın 6. maddesine uygun olarak yerine getirmelidir. Veri sahiplerine, veri işlemeye başlamadan önce işlenme amaçlarına itiraz hakkı verilmelidir. (Kaynak)

Diğer yazılarıma aşağıdaki linklerden ulaşabilirsiniz:

İcra Ve İflâs Kanunu Uyarınca Elektronik Ortamda Yapılacak Satışların Usulü Hakkında Yönetmelik

Akdenize Kıyısı Olan Avrupa Birliği Ülkelerinde Dernek Kurulması

Kvkk Kapsamında Yol Kameralarının Kullanımı

17.12.2021 Tarihli KVKK Karar Özetleri