Anasayfa/ Makale/ AB Hukukunda GDPR, Yapay Zekâ ve Emsal Kararlar

AB Hukukunda GDPR, Yapay Zekâ ve Emsal Kararlar

Avrupa Birliği hukukunda profilleme ve otomatik karar alma süreçleri, Genel Veri Koruma Tüzüğü, Yapay Zekâ Yasası ve Dijital Hizmetler Yasası ile sıkı kurallara bağlanmıştır. Bu mevzuatlar, bireylerin temel haklarını gözetirken, Avrupa Birliği Adalet Divanı ve ulusal veri koruma otoritelerinin emsal kararlarıyla da desteklenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AÇIK RIZA

Dijital teknolojilerin ve yapay zekâ sistemlerinin hızla gelişmesi, bireylerin kişisel verilerinin sistematik bir biçimde analiz edilmesini ve otomatik kararlara tabi tutulmasını beraberinde getirmiştir. Avrupa Birliği, bu dijital dönüşümün bireylerin temel hak ve özgürlükleri üzerindeki olası olumsuz etkilerini en aza indirmek amacıyla dünya çapında öncü bir hukuki çerçeve inşa etmiştir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile başlayan bu süreç, teknolojik yeniliklere uyum sağlamak üzere Yapay Zekâ Yasası (AI Act) ve Dijital Hizmetler Yasası (DSA) gibi sektörel düzenlemelerle genişletilmiştir. Bu kapsamlı mevzuat ağı, sadece teorik kurallar bütünü olmaktan çıkmış, Avrupa Birliği Adalet Divanı (ABAD) ve ulusal denetleyici otoritelerin verdiği emsal kararlarla şekillenerek yaşayan bir hukuk dalı haline gelmiştir. Dijital platformların, finansal kuruluşların ve büyük teknoloji şirketlerinin veri işleme faaliyetleri, şeffaflık ve hesap verebilirlik ilkeleri merkeze alınarak yeniden tasarlanmaya zorlanmaktadır.

GDPR Çerçevesinde Profilleme ve Otomatik Karar Alma

GDPR, kişisel verilerin otomatik olarak işlenmesi yoluyla bireylerin belirli özelliklerinin analiz edilmesi sürecini özel bir koruma kalkanı altına almıştır. Tüzüğün yirmi ikinci maddesi uyarınca, bireylerin yalnızca otomatik işlemeye dayalı ve kendileri üzerinde hukuki veya benzer şekilde önemli sonuçlar doğuran kararlara tabi tutulmaması temel bir hak ve veri sorumluları için genel bir yasak olarak düzenlenmiştir. Bu kuralın istisnaları; kararın bir sözleşmenin ifası için zorunlu olması, Birlik veya üye devlet hukukunda öngörülmüş olması ya da veri sahibinin açık rızasına dayalı olması durumlarıyla sınırlandırılmıştır. Özellikle özel nitelikli kişisel verilerin veya çocuklara ait verilerin bu sistemlerde kullanılması, çok daha sıkı koruma tedbirlerine ve istisnai koşullara bağlanmıştır. Veri sorumlularına yüklenen şeffaflık ve hesap verebilirlik yükümlülükleri, algoritmik sistemlerin karar mantığının bireylere anlaşılır bir şekilde açıklanmasını ve anlamlı bir insan müdahalesinin sürece entegre edilmesini zorunlu kılmaktadır.

Yapay Zekâ Yasası (AI Act) ve Dijital Hizmetler Yasası

Avrupa Parlamentosu tarafından 2024 yılında kabul edilen Yapay Zekâ Yasası, algoritmik sistemlere risk temelli bir yaklaşım getiren dünyadaki ilk kapsamlı düzenlemedir. İstihdam, eğitim ve kredilendirme gibi alanlarda kullanılan yapay zekâ sistemleri yüksek riskli sistemler olarak sınıflandırılmış olup, bu sistemlerin piyasaya sürülmeden önce sıkı uyumluluk ve risk değerlendirmesi süreçlerinden geçmesi şart koşulmuştur. Ayrıca, sistemin işleyişine her aşamada anlamlı insan gözetimi eklenmesi zorunluluğu getirilmiştir. Diğer yandan, 2022'de kabul edilen Dijital Hizmetler Yasası, çok büyük çevrimiçi platformların ve arama motorlarının yürüttüğü hedeflenmiş reklamcılık faaliyetlerini denetim altına almıştır. Bu yasa, hassas kişisel verilere dayanan veya çocukları hedef alan reklamcılık uygulamalarını kesin bir biçimde yasaklamış, platformların algoritmik şeffaflık sunmasını emretmiştir.

Mevzuat Temel Odak Noktası Düzenleme Kapsamı
GDPR (Genel Veri Koruma Tüzüğü) Bireysel Veri Koruması Otomatik karar alma yasağı, şeffaflık, açık rıza ve hesap verebilirlik.
AI Act (Yapay Zekâ Yasası) Sistemik Risk Yönetimi Yüksek riskli yapay zekâ sistemlerinin denetimi, insan müdahalesi şartı.
DSA (Dijital Hizmetler Yasası) Dijital Platform Sorumluluğu Hedeflenmiş reklamcılık sınırlamaları, büyük platformların şeffaflığı.

Avrupa Adalet Divanı ve Ulusal Otoritelerin Emsal Kararları

Avrupa Birliği hukukundaki bu teorik altyapı, mahkemelerin ve veri koruma otoritelerinin verdiği dönüm noktası niteliğindeki kararlarla somutlaşmıştır. ABAD’ın Schrems II kararı, uluslararası veri transferlerinde dahi bireylerin gizli profilleme tehlikelerine karşı korunması gerektiğini, teknik aktarımın ötesinde temel hakların ihlal riskini vurgulayarak ortaya koymuştur. Bir diğer önemli gelişme olan SCHUFA kararı (C-634/21) kapsamında ABAD, finansal kuruluşlar tarafından yapılan kredi skorlamalarının doğrudan krediye erişimi belirlediği durumlarda, bu işlemin GDPR'ın yirmi ikinci maddesi kapsamındaki otomatik karar alma yasağına girdiğine hükmetmiştir. Benzer şekilde, Fransa veri koruma otoritesi CNIL, çerezler ve hedefli reklamcılık ihlalleri sebebiyle Meta ve Google'a devasa idari para cezaları kesmiş, Clearview AI şirketinin yüz tanıma teknolojisiyle profilleme yapmasını cezalandırmıştır. Son olarak, Alman Rekabet Otoritesi'nin başlattığı ve ABAD'ın da onayladığı Meta kararı, veri koruma ihlallerinin aynı zamanda rekabet hukuku kapsamında piyasa hakimiyetinin kötüye kullanılması sayılabileceğini kanıtlayarak çok boyutlu bir hukuki etkileşim yaratmıştır.

Banka kredi başvurumu yapay zeka ile otomatik reddetti, buna itiraz edebilir miyim? expand_more
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında bireylerin yalnızca otomatik işlemeye dayalı ve üzerlerinde hukuki veya önemli sonuçlar doğuran kararlara tabi tutulmaması temel bir haktır. Avrupa Birliği Adalet Divanı'nın emsal niteliğindeki SCHUFA kararına göre, kredi skorlamalarının doğrudan krediye erişimi belirlediği durumlarda bu işlem otomatik karar alma yasağına girmektedir. Veri sorumlularına yüklenen hesap verebilirlik yükümlülükleri gereğince, bu algoritmik sistemin karar mantığının size anlaşılır bir şekilde açıklanması gerekir. Dolayısıyla, hakkınızda verilen bu karara itiraz ederek sürece mutlaka anlamlı bir insan müdahalesinin entegre edilmesini talep etme hakkınız bulunmaktadır.
Çocuğuma internette sürekli ona özel reklamlar çıkıyor, bu yasal mı? expand_more
Dijital teknolojilerin gelişmesiyle birlikte çocukların verilerinin işlenmesi, mevzuatta çok daha sıkı koruma tedbirlerine ve istisnai koşullara bağlanmıştır. Özellikle kabul edilen Dijital Hizmetler Yasası (DSA), çocukları hedef alan veya hassas kişisel verilere dayanan reklamcılık uygulamalarını kesin bir biçimde yasaklamaktadır. Bu yasa ile birlikte çok büyük çevrimiçi platformların ve arama motorlarının yürüttüğü hedefli reklamcılık faaliyetleri sıkı bir denetim altına alınmıştır. Bu nedenle, dijital platformların çocuklara yönelik özel olarak filtrelenmiş reklam faaliyetleri yürütmesi hukuka aykırıdır ve ilgili platformların ciddi idari para cezalarıyla karşılaşması muhtemeldir.
İşe alımda beni sadece bir algoritma eledi, insan kararı gerekmez mi? expand_more
Avrupa Parlamentosu tarafından kabul edilen Yapay Zekâ Yasası (AI Act) uyarınca, istihdam ve işe alım gibi alanlarda kullanılan yapay zekâ sistemleri "yüksek riskli sistemler" statüsünde değerlendirilmektedir. Bu hukuki düzenleme, yüksek riskli yapay zekâ sistemlerinin işleyişine her aşamada anlamlı bir insan gözetiminin eklenmesini yasal bir şart olarak koşmaktadır. Ayrıca, GDPR'ın 22. maddesi çerçevesinde bireylerin hukuki sonuç doğuran konularda salt otomatik karar alma süreçlerine tabi tutulmaması kuralı da geçerlidir. Bu veriler ışığında, yalnızca bir algoritmanın kararıyla elenmenize hukuken itiraz edebilir ve karar alma sürecine yetkili bir insanın dahil edilmesini isteyebilirsiniz.
Şirketler internetteki verilerimi toplayıp beni fişleyebilir mi? expand_more
Şirketlerin kişisel verilerinizi otomatik olarak işleyip hakkınızda profil oluşturması Avrupa Birliği hukuku kapsamında sıkı kurallara ve özel bir koruma kalkanına tabi tutulmuştur. Bu tarz bir profilleme işlemi ancak bir sözleşmenin ifası için zorunluysa, ilgili kanunlarda açıkça öngörülmüşse veya veri sahibi olarak sizin açık rızanız bulunuyorsa hukuka uygun kabul edilebilir. Nitekim, Fransa veri koruma otoritesinin (CNIL) yüz tanıma teknolojisiyle profilleme yapan şirketlere idari para cezası uygulaması bu yasağın somut bir örneğidir. Emsal kararlar ve yasal sınırlar ışığında, kanuni istisnalar veya geçerli bir açık rızanız olmadan dijital ortamlardaki verileriniz üzerinden hakkınızda gizli profilleme yapılması hukuka aykırıdır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir