Makale
Avrupa Birliği hukukunda profilleme ve otomatik karar alma süreçleri, Genel Veri Koruma Tüzüğü, Yapay Zekâ Yasası ve Dijital Hizmetler Yasası ile sıkı kurallara bağlanmıştır. Bu mevzuatlar, bireylerin temel haklarını gözetirken, Avrupa Birliği Adalet Divanı ve ulusal veri koruma otoritelerinin emsal kararlarıyla da desteklenmektedir.
AB Hukukunda GDPR, Yapay Zekâ ve Emsal Kararlar
Dijital teknolojilerin ve yapay zekâ sistemlerinin hızla gelişmesi, bireylerin kişisel verilerinin sistematik bir biçimde analiz edilmesini ve otomatik kararlara tabi tutulmasını beraberinde getirmiştir. Avrupa Birliği, bu dijital dönüşümün bireylerin temel hak ve özgürlükleri üzerindeki olası olumsuz etkilerini en aza indirmek amacıyla dünya çapında öncü bir hukuki çerçeve inşa etmiştir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile başlayan bu süreç, teknolojik yeniliklere uyum sağlamak üzere Yapay Zekâ Yasası (AI Act) ve Dijital Hizmetler Yasası (DSA) gibi sektörel düzenlemelerle genişletilmiştir. Bu kapsamlı mevzuat ağı, sadece teorik kurallar bütünü olmaktan çıkmış, Avrupa Birliği Adalet Divanı (ABAD) ve ulusal denetleyici otoritelerin verdiği emsal kararlarla şekillenerek yaşayan bir hukuk dalı haline gelmiştir. Dijital platformların, finansal kuruluşların ve büyük teknoloji şirketlerinin veri işleme faaliyetleri, şeffaflık ve hesap verebilirlik ilkeleri merkeze alınarak yeniden tasarlanmaya zorlanmaktadır.
GDPR Çerçevesinde Profilleme ve Otomatik Karar Alma
GDPR, kişisel verilerin otomatik olarak işlenmesi yoluyla bireylerin belirli özelliklerinin analiz edilmesi sürecini özel bir koruma kalkanı altına almıştır. Tüzüğün yirmi ikinci maddesi uyarınca, bireylerin yalnızca otomatik işlemeye dayalı ve kendileri üzerinde hukuki veya benzer şekilde önemli sonuçlar doğuran kararlara tabi tutulmaması temel bir hak ve veri sorumluları için genel bir yasak olarak düzenlenmiştir. Bu kuralın istisnaları; kararın bir sözleşmenin ifası için zorunlu olması, Birlik veya üye devlet hukukunda öngörülmüş olması ya da veri sahibinin açık rızasına dayalı olması durumlarıyla sınırlandırılmıştır. Özellikle özel nitelikli kişisel verilerin veya çocuklara ait verilerin bu sistemlerde kullanılması, çok daha sıkı koruma tedbirlerine ve istisnai koşullara bağlanmıştır. Veri sorumlularına yüklenen şeffaflık ve hesap verebilirlik yükümlülükleri, algoritmik sistemlerin karar mantığının bireylere anlaşılır bir şekilde açıklanmasını ve anlamlı bir insan müdahalesinin sürece entegre edilmesini zorunlu kılmaktadır.
Yapay Zekâ Yasası (AI Act) ve Dijital Hizmetler Yasası
Avrupa Parlamentosu tarafından 2024 yılında kabul edilen Yapay Zekâ Yasası, algoritmik sistemlere risk temelli bir yaklaşım getiren dünyadaki ilk kapsamlı düzenlemedir. İstihdam, eğitim ve kredilendirme gibi alanlarda kullanılan yapay zekâ sistemleri yüksek riskli sistemler olarak sınıflandırılmış olup, bu sistemlerin piyasaya sürülmeden önce sıkı uyumluluk ve risk değerlendirmesi süreçlerinden geçmesi şart koşulmuştur. Ayrıca, sistemin işleyişine her aşamada anlamlı insan gözetimi eklenmesi zorunluluğu getirilmiştir. Diğer yandan, 2022'de kabul edilen Dijital Hizmetler Yasası, çok büyük çevrimiçi platformların ve arama motorlarının yürüttüğü hedeflenmiş reklamcılık faaliyetlerini denetim altına almıştır. Bu yasa, hassas kişisel verilere dayanan veya çocukları hedef alan reklamcılık uygulamalarını kesin bir biçimde yasaklamış, platformların algoritmik şeffaflık sunmasını emretmiştir.
| Mevzuat | Temel Odak Noktası | Düzenleme Kapsamı |
|---|---|---|
| GDPR (Genel Veri Koruma Tüzüğü) | Bireysel Veri Koruması | Otomatik karar alma yasağı, şeffaflık, açık rıza ve hesap verebilirlik. |
| AI Act (Yapay Zekâ Yasası) | Sistemik Risk Yönetimi | Yüksek riskli yapay zekâ sistemlerinin denetimi, insan müdahalesi şartı. |
| DSA (Dijital Hizmetler Yasası) | Dijital Platform Sorumluluğu | Hedeflenmiş reklamcılık sınırlamaları, büyük platformların şeffaflığı. |
Avrupa Adalet Divanı ve Ulusal Otoritelerin Emsal Kararları
Avrupa Birliği hukukundaki bu teorik altyapı, mahkemelerin ve veri koruma otoritelerinin verdiği dönüm noktası niteliğindeki kararlarla somutlaşmıştır. ABAD’ın Schrems II kararı, uluslararası veri transferlerinde dahi bireylerin gizli profilleme tehlikelerine karşı korunması gerektiğini, teknik aktarımın ötesinde temel hakların ihlal riskini vurgulayarak ortaya koymuştur. Bir diğer önemli gelişme olan SCHUFA kararı (C-634/21) kapsamında ABAD, finansal kuruluşlar tarafından yapılan kredi skorlamalarının doğrudan krediye erişimi belirlediği durumlarda, bu işlemin GDPR'ın yirmi ikinci maddesi kapsamındaki otomatik karar alma yasağına girdiğine hükmetmiştir. Benzer şekilde, Fransa veri koruma otoritesi CNIL, çerezler ve hedefli reklamcılık ihlalleri sebebiyle Meta ve Google'a devasa idari para cezaları kesmiş, Clearview AI şirketinin yüz tanıma teknolojisiyle profilleme yapmasını cezalandırmıştır. Son olarak, Alman Rekabet Otoritesi'nin başlattığı ve ABAD'ın da onayladığı Meta kararı, veri koruma ihlallerinin aynı zamanda rekabet hukuku kapsamında piyasa hakimiyetinin kötüye kullanılması sayılabileceğini kanıtlayarak çok boyutlu bir hukuki etkileşim yaratmıştır.