Anasayfa/ Makale/ Otomatik Karar Alma Süreçlerinde Temel Veri Koruma İlkeleri

Otomatik Karar Alma Süreçlerinde Temel Veri Koruma İlkeleri

Otomatik karar alma süreçlerinde kişisel verilerin işlenmesi; hukuka uygunluk, hakkaniyet, şeffaflık, veri minimizasyonu, doğruluk, amaçla sınırlılık ve hesap verebilirlik gibi temel veri koruma ilkelerine titizlikle dayanmalıdır. Bu ilkeler, algoritmik sistemlerin şeffaf, adil ve birey haklarına saygılı bir biçimde çalışmasını sağlar.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK HUKUKA AYKIRILIK AYDINLATMA YÜKÜMLÜLÜĞÜ GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Yapay zekâ ve algoritmik sistemlerin hızla gelişmesiyle birlikte, otomatik karar alma ve profilleme faaliyetleri hayatımızın ayrılmaz bir parçası hâline gelmiştir. Bu teknolojiler, verimliliği artırsa da kişisel verilerin korunması bağlamında önemli riskler barındırmaktadır. Bu noktada, veri sorumlularının kişisel verilerin işlenmesi süreçlerinde uygulamakla yükümlü oldukları temel veri koruma ilkeleri, bireylerin temel hak ve özgürlüklerinin korunması için adeta bir kalkan vazifesi görmektedir. Genel Veri Koruma Tüzüğü (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında belirlenen bu ilkeler, tüm veri işleme faaliyetlerine şamil olduğu gibi, karmaşık algoritmik sistemlerinin kullanıldığı otomatik süreçlerde de titizlikle gözetilmelidir. Esnek ve yeniliklere açık yapılarıyla bu temel prensipler, hem hukuki uyumluluğun sağlanmasında hem de algoritmik ön yargı ve ayrımcılık gibi teknolojik tehlikelerin bertaraf edilmesinde anahtar rol üstlenmektedir.

Hukuka Uygunluk, Hakkaniyet ve Şeffaflık İlkesi

Hukuka uygunluk ilkesi, kişisel verilerin yalnızca mevzuatta öngörülen belirli işleme şartları çerçevesinde işlenebilmesini zorunlu kılar. Özellikle tamamen otomatik karar alma söz konusu olduğunda, bu sürecin kanuni bir dayanağının veya kişinin açık rızasının bulunması elzemdir. Hakkaniyet ilkesi ise, yapay zekâ sistemlerinin kararlarında algoritmik ön yargı ve ayrımcılığın önlenmesini, azınlık veya dezavantajlı gruplar aleyhine sonuçlar doğmamasını temin eder. Bu ilkenin bir uzantısı olarak, sistemlerin adil sonuçlar üretebilmesi için eğitim veri setlerinin kaliteli ve tarafsız olması gereklidir. Şeffaflık ilkesi de, genellikle karmaşık olan ve kara kutu problemi olarak adlandırılan algoritmaların işleyişinin anlaşılabilir olmasını hedefler. Veri sorumluları, işlemin mantığı ve potansiyel sonuçları hakkında veri sahiplerini aydınlatmalı, açık ve sade bir dille aydınlatma yükümlülüğü çerçevesinde bilgilendirme yapmalıdır.

Amacın Sınırlandırılması ve Veri Minimizasyonu

Amacın sınırlandırılması ilkesi, kişisel verilerin belirli, açık ve meşru amaçlarla toplanmasını ve bu amaçlarla bağdaşmayan ikincil kullanımlardan kaçınılmasını emreder. Otomatik karar alma süreçleri genellikle büyük veri kümelerinin analizini gerektirse de, algoritmaların sonradan öngörülemeyen veya başlangıçtaki maksadı aşan şekilde veri işlemesi hukuka aykırılık teşkil eder. Veri minimizasyonu ilkesi ise, işlemenin amacı için yalnızca ilgili, yeterli ve gerekli olanla sınırlı kişisel verilerin kullanılmasını zorunlu tutar. Algoritmik modeller genellikle makine öğrenimi için olabildiğince çok veriye ihtiyaç duysa dahi, veri sorumluları bu ihtiyacı ölçülülük ilkesi çerçevesinde sınırlandırmak mecburiyetindedir. İşleme amacına ulaşmak için yeterli olan en asgari veri setiyle yetinilmeli, aşırı veri toplanmasının önüne geçilerek mahremiyete en az müdahale eden yöntemler tercih edilmelidir.

Doğruluk, Saklama Süresi ve Veri Güvenliği

Otomatik sistemlerin isabetli ve adil kararlar alabilmesi için işlenen verilerin niteliği büyük önem taşır. Bu bağlamda, otomatik karar almada dikkate alınması gereken diğer önemli veri koruma ilkeleri şunlardır:

  • Doğruluk İlkesi: Algoritmik sistemlerin hatalı sonuçlar veya asılsız profiller üretmesini engellemek için, girdi ve çıktı verilerinin güncel ve doğru olması zorunludur. Hatalı kişisel veriler, ayrımcı kararlar alınmasına ve mağduriyetlere doğrudan yol açabilir.
  • Saklama Süresinin Sınırlandırılması İlkesi: Kişisel veriler, yalnızca işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, ardından derhal silinmeli veya anonim hâle getirilmelidir. Büyük verinin cazibesine kapılıp verilerin süresiz olarak tutulması yasaktır.
  • Bütünlük ve Gizlilik İlkesi: Veri sorumluları, siber güvenlik önlemlerini alarak kişisel verilerin hukuka aykırı erişimlere, kayıplara ve yetkisiz işlemlere karşı korunmasını sağlamak için her türlü uygun idari ve teknik tedbirler bütününü uygulamalıdır.

Hesap Verebilirlik İlkesi ve Öz Denetim

Hesap verebilirlik ilkesi, veri sorumlularının yalnızca veri koruma mevzuatına uymalarını değil, aynı zamanda bu uyumu belgeleyerek kanıtlayabilmelerini şart koşar. Özellikle yüksek risk barındıran profilleme ve otomatik karar alma süreçleri söz konusu olduğunda, bu ilkenin önemi katlanarak artmaktadır. Veri sorumluları, sistemin tasarım aşamasından itibaren tasarımdan ve başlangıçtan itibaren mahremiyet prensiplerini uygulamalı, olası riskleri önceden saptayabilmek adına veri koruma etki analizi (DPIA) gibi mekanizmaları aktif olarak kullanmalıdır. Algoritmaların yapısından kaynaklanan risklerin asgariye indirilmesi için insan gözetimi süreçlerinin tasarlanması, düzenli denetimlerin yapılması ve sistem çıktılarının tarafsızlığının test edilmesi gereklidir. Özetle, veri sorumlusu, kendi sistemlerinin şeffaf, adil ve yasalara uygun olarak işlediğini her an kanıtlayabilir durumda olmalıdır.

Şirketler yapay zekayla hakkımda otomatik karar verebilir mi, bu yasal mı? expand_more
Tamamen otomatik karar alma süreçleri, ancak yasal bir dayanağınızın veya açık rızanızın bulunması hâlinde hukuka uygun kabul edilmektedir. Veri sorumluları, hukuka uygunluk ilkesi gereği bu katı şartlara uymakla mükelleftir. Ayrıca şeffaflık ilkesi kapsamında, söz konusu algoritmanın işleyiş mantığı ve olası sonuçları hakkında sizi sade bir dille aydınlatmak zorundadırlar. Şayet bu süreçlerde şeffaflık sağlanmıyor ve işlemin kanuni bir temeli bulunmuyorsa, verilerinizin hukuka aykırı işlendiği sonucuna varılır.
Yapay zeka sistemlerinin hakkımdaki her türlü bilgiyi toplaması yasal mı? expand_more
Hayır, veri sorumlularının algoritmaları eğitmek veya profil oluşturmak amacıyla sınırsız kişisel veri toplaması hukuka açıkça aykırıdır. Veri minimizasyonu ve ölçülülük ilkeleri uyarınca, sistemler yalnızca belirlenen meşru amaca ulaşmak için ilgili, yeterli ve en asgari düzeydeki verilerinizi işleyebilir. İhtiyaç duyulanın ötesinde aşırı mahiyette veri toplanması ve bu verilerin mahremiyeti ihlal edecek şekilde kullanılması engellenmelidir. Toplanan bu verilerin, başlangıçtaki maksadı aşan veya bu amaçla bağdaşmayan ikincil işlemlere tabi tutulması da yasal olarak kesinlikle yasaklanmıştır.
Yapay zeka benim hakkımda yanlış ve ayrımcı bir karar verirse ne olacak? expand_more
Yapay zeka sistemlerinin azınlık veya dezavantajlı gruplar aleyhine ayrımcı sonuçlar üretmemesi hakkaniyet ilkesinin temel bir gereğidir. Sistemlerin asılsız profiller veya hatalı sonuçlar üreterek mağduriyete yol açmasını engellemek adına, işlenen girdi ve çıktı verilerinin güncel ve doğru olması zorunludur. Şirketler, adil sonuçlar elde edebilmek için sistemleri eğittikleri veri setlerinin kaliteli ve tarafsız olmasını sağlamakla yükümlüdür. Hatalı kişisel verilerin işlenmesi sonucunda alınan ayrımcı kararlar, veri koruma mevzuatının doğrudan ihlali anlamına gelir ve hukuki sorumluluk doğurur.
Şirketlerin kullandığı bu yapay zeka sistemlerini kim, nasıl denetliyor? expand_more
Hesap verebilirlik ilkesi gereği, veri sorumlusu konumundaki şirketler kendi kurdukları sistemlerin şeffaf, adil ve yasalara uygun işlediğini her an kanıtlamak zorundadır. Yüksek risk barındıran otomatik karar alma süreçlerinde şirketler, tasarım aşamasından itibaren mahremiyet prensiplerini sisteme entegre etmelidir. Olası risklerin önceden saptanıp engellenebilmesi adına, işletmelerin veri koruma etki analizi (DPIA) gibi özel mekanizmaları aktif olarak kullanması yasal bir zorunluluktur. Ayrıca algoritmik riskleri asgariye indirmek için düzenli denetimler yapılmalı ve süreçlere mutlaka insan gözetimi dâhil edilmelidir.
Sistemlerin topladığı kişisel verilerim sonsuza kadar ellerinde mi kalacak? expand_more
Büyük veri analizinin şirketlere sunduğu cazibeye rağmen, kişisel verilerinizin veri tabanlarında süresiz olarak muhafaza edilmesi kesinlikle yasaktır. Saklama süresinin sınırlandırılması ilkesi, verilerinizin yalnızca işlendikleri özel amaç için gerekli olan süre kadar sistemde tutulmasına izin verir. İlgili hukuki veya meşru amaç ortadan kalktığı anda, söz konusu verilerin veri sorumlusu tarafından derhal silinmesi gerekmektedir. Silme işleminin alternatifinin ise verilerin geriye döndürülemeyecek biçimde anonim hâle getirilmesi olduğu mevzuatta açıkça düzenlenmiştir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir