Makale
Bilişim teknolojilerindeki gelişimle hayatımıza giren yapay zekâ ve profilleme faaliyetleri, veri koruma hukukunun en önemli odak noktalarından biri hâline gelmiştir. Bu makalede, algoritmik sistemlerin ve profilleme uygulamalarının uluslararası mevzuat ile Avrupa Birliği düzenlemelerindeki hukuki çerçevesi kapsamlı biçimde incelenmektedir.
Yapay Zekâ ve Profilleme Uygulamalarının Hukuki Çerçevesi
Bilişim teknolojilerinde yaşanan baş döndürücü hızdaki gelişmeler, kişisel verilerin işlenmesi usullerini derinden etkilemiş ve yapay zekâ temelli algoritmalar aracılığıyla gerçekleştirilen profilleme faaliyetlerini hayatımızın merkezine taşımıştır. Büyük veri (big data) analitiğinin gelişmesiyle birlikte bankacılık, sağlık, sigortacılık, elektronik ticaret ve insan kaynakları gibi pek çok farklı sektörde otomatik sistemler yoğun olarak kullanılmaktadır. Bu sistemler, kişilerin ekonomik durumlarını, işteki performanslarını, kişisel tercihlerini ve ilgi alanlarını analiz ederek kapsamlı profiller oluşturmaktadır. Söz konusu teknolojik dönüşüm, inovasyon ve verimlilik sağlasa da özel hayatın gizliliği ve kişisel verilerin korunması bağlamında yeni hukuki meydan okumaları beraberinde getirmiştir. Özellikle makine öğrenmesi ve derin öğrenme teknikleriyle donatılan sistemlerin hukuki bir zemine oturtulması ihtiyacı, hukuk dünyasının birincil gündem maddelerinden biri hâline gelmiştir.
Yapay Zekâ ve Profilleme Kavramlarının Hukuki Niteliği
Hukuk terminolojisinde profilleme, kişisel verilerin bir gerçek kişiyle ilgili belirli kişisel özellikleri değerlendirmek, analiz etmek veya tahmin etmek amacıyla kullanılmasını içeren her türlü otomatik işleme faaliyeti olarak tanımlanmaktadır. Yapay zekâ sistemleri ise aldığı girdiden, fiziksel veya sanal ortamları etkileyebilecek içerikler, tahminler, öneriler veya kararlar gibi çıktıların nasıl üretileceğini çıkaran makine tabanlı sistemler şeklinde ifade edilmektedir. Bu sistemlerin yetenekleri, büyük veri setlerini işleyerek kişiler hakkında çıkarımlar (inferred data) ve türetilmiş veriler (derived data) oluşturma noktasında insan kapasitesinin çok ötesine geçmektedir. Küresel boyutta bu uygulamaların gelişimi, yasal bir denetim mekanizmasının kurulmasını ve hukuki sınırların çizilmesini elzem kılmıştır.
Avrupa Birliği Düzenlemelerinde Profilleme ve Yapay Zekâ
Avrupa Birliği, dijital çağın getirdiği risklere karşı bireyleri korumak amacıyla dünyada öncü bir yasal çerçeve inşa etmiştir. Bu hukuki çerçevenin temel taşı olan Genel Veri Koruma Tüzüğü (GDPR), profilleme kavramını açıkça tanımlayan ilk düzenlemelerden biri olmuştur. GDPR uyarınca profilleme faaliyetleri, kişilerin işteki performansı, ekonomik durumu, sağlığı ve davranışları gibi unsurları analiz eden süreçler olarak sıkı hukuki kurallara bağlanmıştır. Ayrıca Avrupa Konseyi bünyesinde hazırlanan 108+ sayılı Sözleşme de otomatik veri işleme süreçlerine karşı bireylerin korunmasına yönelik uluslararası standartları belirleyerek mevzuat altyapısına katkı sunmuştur. AB müktesebatı, veri odaklı ekonomi ile temel haklar arasında denge kurmayı hedefleyen bir yaklaşım sergilemektedir.
Avrupa Birliği Yapay Zekâ Tüzüğü ve Risk Temelli Yaklaşım
Yapay zekâ uygulamalarının barındırdığı spesifik risklere yönelik olarak hazırlanan ve dünyadaki ilk kapsamlı hukuki metin olan Yapay Zekâ Tüzüğü (AIA), risk temelli bir yaklaşımla tasarlanmıştır. Bu düzenleme, yapay zekâ sistemlerini taşıdıkları tehlike potansiyeline göre kategorize etmektedir. AIA kapsamında hukuka aykırı bulunarak yasaklanan yapay zekâ uygulamaları şunlardır:
- Kişileri manipüle eden bilinçaltı (dark patterns) teknikler kullanan sistemler,
- Bireyleri kategorize eden sosyal puanlama (social scoring) uygulamaları,
- İnsanları ırk, siyasi görüş veya dini inançlarına göre ayıran biyometrik kategorizasyon sistemleri,
- Kamuya açık alanlarda kullanılan gerçek zamanlı uzaktan biyometrik tanıma sistemleri.
Diğer yandan, işe alım, eğitim veya bankacılık kredi puanlamasında kullanılanlar yüksek riskli yapay zekâ sistemleri sayılarak katı veri yönetişimi kurallarına tabi tutulmuştur.
Dijital Hizmetler Tüzüğü ve Çevrim İçi Platformların Sorumluluğu
Çevrim içi platformların ve arama motorlarının yarattığı dijital ekosistemi regüle etmek amacıyla yürürlüğe giren Dijital Hizmetler Tüzüğü (DSA), profilleme ve algoritma kullanımı konusunda önemli kurallar ihdas etmiştir. DSA, çevrim içi platformların özel nitelikli kişisel verileri kullanarak profilleme yapmasını ve bu profillere dayalı olarak hedefli reklamlar sunmasını açıkça yasaklamıştır. Platformlar, kullanıcılara sundukları tavsiye sistemleri (recommender systems) aracılığıyla gerçekleştirdikleri profil oluşturma faaliyetlerini şeffaf hâle getirmekle yükümlüdür. Özellikle çok büyük çevrim içi platformlar (VLOP), algoritmalarının işleyiş yapısını açıkça beyan etmeli ve profillemeye dayanmayan alternatif seçenekleri kullanıcılarına sunmak zorundadır. Bu hukuki adımlar, dijital piyasalarda güvenilir ve denetlenebilir bir yasal altyapı yaratmayı amaçlamaktadır.