Makale
İşe alım süreçlerinde yapay zekâ kullanımı, veri sorumlusu işverenler açısından çeşitli hukuki yükümlülükler doğurmaktadır. Makalede, adayların kişisel verilerinin korunması, aydınlatma ve veri güvenliği yükümlülükleri, KVKK mevzuatı çerçevesinde incelenmektedir.
Yapay Zekâlı İşe Alımlarda KVKK ve Veri Sorumlusu Yükümlülükleri
Dijitalleşmenin iş hayatına entegrasyonuyla birlikte insan kaynakları yönetiminde köklü bir dönüşüm yaşanmaktadır. Günümüzde geleneksel işe alım yöntemlerinin yerini giderek yapay zekâ destekli sistemler, özellikle de asenkron video mülakat uygulamaları almaktadır. Bu uygulamalar, adayların ses tonu, yüz ifadeleri, mimikleri ve kullandıkları kelimeler gibi sayısız veriyi otomatik olarak analiz ederek işe uygunluk değerlendirmesi yapmaktadır. İnsan kaynakları süreçlerini hızlandıran ve maliyetleri düşüren bu teknolojik gelişmeler, aynı zamanda ciddi hukuki sorumlulukları da beraberinde getirmektedir. İşe alım sürecinde adayların verilerini toplayan, kaydeden ve bu veriler üzerinden profilleme yapan işverenler, Kişisel Verilerin Korunması Kanunu kapsamında doğrudan veri sorumlusu sıfatını haizdir. Bu sıfat, işverenlere veri işleme faaliyetlerinin başından sonuna kadar hukuka ve dürüstlük kurallarına uygun hareket etme zorunluluğu yüklemektedir. Bu makale, yapay zekâ sistemlerinin işe alımlarda kullanılması durumunda işverenlerin kişisel verilerin korunması kapsamındaki yükümlülüklerini ve veri işleme şartlarını detaylı bir şekilde ortaya koymayı amaçlamaktadır.
Veri Sorumlusu Sıfatıyla İşverenin Konumu ve Sorumluluğu
Kişisel verilerin işlenmesi faaliyetine ilişkin temel kararları alan, sürecin gidişatını tayin eden ve verilerin hangi amaçlarla, hangi teknolojik vasıtalarla işleneceğine karar veren gerçek veya tüzel kişiler mevzuatımızda veri sorumlusu olarak tanımlanmaktadır. İşe alım sürecinde aday havuzunu oluşturmak veya değerlendirmek amacıyla yapay zekâ destekli video mülakat sistemlerini tercih eden işverenler, adayların kişisel verilerini elde etme, kaydetme, depolama ve analiz etme süreçlerini bizzat yönettikleri için tartışmasız bir şekilde veri sorumlusu statüsündedir. Bu süreçte işveren adına veri işleme faaliyetini yürüten, sistemin yazılımsal ve teknik altyapısını sağlayan aracı insan kaynakları veya teknoloji firmaları ise veri işleyen konumunda yer almaktadır. İş sözleşmesinin henüz kurulmadığı görüşmeler aşamasında bile adayların temel hak ve özgürlüklerini koruma zorunluluğu hukuken mevcut olduğundan, işverenler bu unvanın gerektirdiği idari ve teknik tedbirleri almaktan kaçınamazlar.
Veri sorumlusu olan işveren ile veri işleyen konumundaki aracı teknoloji şirketi arasındaki ilişki, çoğu zaman isimsiz bir kişisel veri işleme sözleşmesi çerçevesinde şekillenmektedir. Ancak işe alım sürecinde kullanılan otomatik değerlendirme uygulamasının teknik yönetiminin dışarıdan hizmet veren bir kuruma devredilmiş olması, işverenin veri sorumlusu olarak taşıdığı yasal yükümlülükleri ve sorumluluğu kesinlikle ortadan kaldırmaz. İşveren, ilgili yazılım sisteminin emredici hükümlere tam uyumlu olarak çalışmasını sürekli şekilde denetlemekle ve hukuka aykırı bir veri ihlali veya sızıntısı yaşandığında kuruma ve ilgili kişiye karşı doğrudan hesap vermekle mükelleftir. İşe alımda faydalanılan yapay zekâ sistemleri; adayların özgeçmişlerinde yer alan eğitim, iletişim ve kimlik bilgileri gibi genel nitelikli kişisel verilerinin ötesinde, kişinin fizyolojik yapısına ve davranışlarına dayanan biyometrik veri niteliğindeki yüz hatları, mimikleri ve ses özelliklerini de yoğun biçimde işlemektedir. Bu nedenle işverenin, söz konusu yüksek risk barındıran özel nitelikli kişisel veri kategorisindeki bilgilerin toplanmasından güvenle imha edilmesine kadar geçen yaşam döngüsünün her adımında koruyucu önlemleri aktif olarak işletmesi şarttır.
Kişisel Verilerin İşlenmesinde Temel İlkeler ve Sınırlar
Kişisel verilerin korunması mevzuatı uyarınca, ister genel nitelikli isterse özel nitelikli veri olsun, işleme faaliyetlerinin tamamında uyulması gereken birtakım emredici genel ilkeler bulunmaktadır. Veri sorumlusu işverenlerin yapay zekâ algoritmaları vasıtasıyla gerçekleştirdiği işlemler, öncelikle hukuka ve dürüstlük kurallarına uygun olmak zorundadır. Bu ilke, işçi adayının makul beklentilerinin karşılanmasını, verilerinin gizlice veya kendisi için haksızlık yaratacak biçimde işlenmemesini ifade eder. İkinci temel ilke, verilerin belirli, açık ve meşru amaçlar için işlenmesidir. İşverenin mülakat aşamasında yapay zekâ yazılımını hangi somut gaye ile kullandığını önceden açıkça tespit etmiş olması gerekir. Sistem tarafından elde edilen görüntü ve ses kayıtlarının yalnızca işe uygunluk değerlendirmesi sınırları içinde kullanılması meşru amaç kapsamında değerlendirilir. Elde edilen verilerin, gelecekte ortaya çıkabilecek belirsiz pazarlama veya başka ticari stratejiler için ileride lazım olur düşüncesiyle geniş bir çerçevede depolanması açıkça hukuka aykırılık teşkil edecektir.
Bir diğer hayati sınır ise verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekliliğini yansıtan veri minimizasyonu ilkesidir. Yapay zekâ sistemlerinin doğası gereği mümkün olan en yüksek hacimde veriyi elde etme ve analiz etme eğilimi, bu temel ilke ile doğrudan çatışma riski taşır. İşverenin, aranan açık pozisyonun niteliklerini değerlendirmek için gerçekten ihtiyaç duymadığı davranışsal veya psikolojik özellikleri sistem aracılığıyla toplamaktan kaçınması zorunludur. Ayrıca işlenen verilerin doğru ve gerektiğinde güncel olmasının sağlanması, sistemin vereceği kararların isabetliliği açısından hem işverenin hem de işçi adayının menfaatinedir. Yanlış veya güncel olmayan veriler üzerinden çalışan bir algoritmanın adayı haksız yere elemesi, ciddi mağduriyetlere yol açabilecektir. Son olarak, işlenen veriler mevzuatta öngörülen veya meşru amacın gerektirdiği süre kadar muhafaza edilmeli; işe alım sürecinin olumsuz sonuçlanması halinde bu kayıtlar işveren tarafından gecikmeksizin güvenli bir biçimde silinmeli, yok edilmeli veya geri döndürülemeyecek şekilde anonim hale getirilmelidir.
Açık Rıza ve Diğer Hukuka Uygunluk Sebepleri
Kişisel verilerin korunması hukukunda veri işlemenin dayandığı en temel kural, ilgili kişinin, yani işçi adayının, şüpheye yer bırakmayacak biçimde açık rıza beyanında bulunmasıdır. Açık rıza; belirli bir konuya ilişkin, detaylı bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay olarak tanımlanmaktadır. İşe alım sürecinde yapay zekâ destekli araçlar kullanılmadan önce adaydan alınacak rızanın belirli sınırları çizilmiş olmalıdır; ucu açık, genel geçer ifadelerle alınan battaniye rızalar hukuken geçersiz sayılmaktadır. Bununla birlikte işveren ve işçi adayı arasındaki sosyoekonomik güç dengesizliği, rızanın özgür irade ile verilip verilmediği konusunu tartışmalı hale getirebilir. Adayın işe girme zorunluluğu ve işverenin bu süreci bir dayatmaya dönüştürmesi, hukukta bağlantı yasağı ihlali olarak değerlendirilir. Yani adayın mülakat sürecine dahil olabilmesi ve işe alınabilmesi, mutlak surette kişisel verilerinin yapay zekâ tarafından işlenmesine izin vermesi şartına bağlanıyorsa, bu durumda geçerli ve özgür bir iradeden bahsedilemeyecek ve veri işleme faaliyeti temelinden sakatlanacaktır.
Kanun, açık rıza dışında da veri işlenmesini hukuka uygun hale getiren alternatif şartlar düzenlemiştir. İş sözleşmesinin kurulması veya doğrudan doğruya ifasıyla ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması veya işverenin meşru menfaatleri gibi hallerde açık rıza aranmaksızın genel nitelikli veriler işlenebilmektedir. Ancak söz konusu uygulamalar, adayların ses ve yüz hatları gibi biyometrik verilerini yoğun olarak analiz ettiğinden bu veriler yasa kapsamında özel nitelikli kişisel veri statüsündedir. Özel nitelikli veriler, temel hak ve özgürlükler bakımından daha yüksek risk taşıdıkları için kanunda daha sıkı kurallara bağlanmıştır. Yapılan son yasal değişikliklerle birlikte, bu veriler istihdam ve iş sağlığı güvenliği alanlarındaki hukuki yükümlülüklerin yerine getirilmesi amacıyla belirli şartlarda rızasız işlenebilse de, yapay zekâ ile yapılan çok boyutlu davranışsal analizlerin doğrudan bu istisnalara dahil edilmesi oldukça dar yorumlanmalıdır. Bu nedenle uygulamada, güvenli yol olarak halen adayın geçerli rızasının usulüne uygun şekilde temin edilmesi büyük önem taşımaktadır.
Veri Sorumlusu İşverenin Aydınlatma Yükümlülüğü
Yapay zekâ uygulamalarının işe alım mülakatlarında kullanılması durumunda işverenlerin yerine getirmesi gereken en kritik görevlerin başında aydınlatma yükümlülüğü gelir. Kanun, veri sorumlusuna veri toplama aşamasından önce, ilgili kişiyi işleme faaliyetinin tüm süreçleri hakkında anlaşılır, şeffaf ve eksiksiz bir biçimde bilgilendirme ödevi yüklemiştir. Adaya; verilerin hangi veri sorumlusu tarafından işlendiği, işlenme amacı, kimlere hangi hukuki sebeplerle aktarılabileceği ve veri toplama yönteminin yasal dayanakları somut olarak açıklanmalıdır. Yapay zekâ sistemlerinin kapalı yapısı algoritmanın tam olarak nasıl çalıştığının detaylı izahını zorlaştırsa da, adaya sistemin hangi tür verileri topladığı, bu verilerin nasıl bir sonuç doğuracağı ve işe alım kararını ne yönde etkileyeceği makul bir düzeyde ifade edilmelidir. Aksi halde, gizli veya muğlak yöntemlerle yürütülen bir veri madenciliği faaliyeti, şeffaflık ilkesini ve dürüstlük kuralını temelden ihlal edecektir.
Veri Sorumluları Sicili kaydı gibi idari ödevlerin yanı sıra işveren, aydınlatma metninde adayların kanundan doğan haklarını da net bir biçimde belirtmelidir. Aday, verilerinin işlenip işlenmediğini öğrenme, yanlış işlenmişse düzeltilmesini talep etme ve kanunda belirtilen diğer haklarını kullanma özgürlüğüne sahiptir. Aşağıda, ilgili mevzuat uyarınca adaya karşı yerine getirilmesi gereken bilgilendirme süreçlerinde asgari düzeyde yer alması zorunlu olan ve veri sorumlusunun aydınlatma metnine eklemesi gereken unsurlar listelenmiştir:
- Veri sorumlusunun ve varsa yetkili temsilcisinin tam kimliği,
- Kişisel verilerin ve biyometrik verilerin hangi spesifik amaçla işleneceği,
- Toplanan dijital ve görsel verilerin kimlere ve hangi meşru amaçla aktarılabileceği,
- Veri toplama faaliyetinin tamamen otomatik yollarla yapıldığının vurgulanması,
- Kişisel veri toplamanın hukuki sebebi ve mevzuattaki dayanağı,
- Otomatik analiz neticesinde kişinin aleyhine bir sonuç çıkması halinde itiraz hakkı.
Otomatik Karar Alma Süreçlerine İtiraz Hakkı
Aydınlatma yükümlülüğünün doğrudan bir uzantısı olarak, adayların yalnızca otomatik sistemler vasıtasıyla haklarında verilen kararlara itiraz etme hakkı büyük önem taşır. Kanun, işlenen verilerin münhasıran yapay zekâ gibi otomatik algoritmalar vasıtasıyla analiz edilmesi sonucunda adayın aleyhine, örneğin işe alınmama gibi, olumsuz bir netice ortaya çıkarsa, kişinin bu duruma itiraz etmesine yasal zemin sağlamaktadır. İşverenler, kullandıkları yazılımların tamamen otonom kararlar vererek insan unsurunu devreden çıkardığı durumlarda bu itirazlarla karşı karşıya kalabilecektir. Bu nedenle, hukuki riskleri asgariye indirmek ve adil bir süreç yönetmek adına, yapay zekânın sadece destekleyici bir değerlendirme aracı olarak kullanılması ve nihai işe alım kararının mutlaka bir insan denetici tarafından verilmesi, işverenler için en güvenilir yöntem olarak öne çıkmaktadır. İnsan gözetimi odaklı bu yaklaşım, hem teknolojik hataların önüne geçecek hem de adayların hukuki güvenliğini tahkim edecektir.
Veri Güvenliğinin Sağlanması ve Sır Saklama Yükümlülüğü
Veri sorumlusu sıfatını taşıyan işverenin bir diğer asli yükümlülüğü ise veri güvenliğini her şart altında tesis etmektir. İşe alım sürecinde kullanılan yazılımlar üzerinden toplanan ses kayıtları, yüz taramaları ve duygu durum analizleri gibi son derece hassas nitelikteki bilgilerin, hukuka aykırı erişimlere ve yetkisiz paylaşımlara karşı üst düzey teknik önlemlerle korunması emredici bir yasal zorunluluktur. İşveren; siber saldırılar, veri sızıntıları veya sistem içi ihmaller neticesinde bu verilerin üçüncü şahısların eline geçmesini engellemek üzere güncel siber güvenlik protokollerini uygulamak, erişim loglarını düzenli tutmak ve gerekli şifreleme altyapılarını kullanmakla mükelleftir. İlgili veri kayıt sistemini bizzat işletmese dahi, aracı yazılım şirketi ile birlikte oluşabilecek tüm güvenlik zafiyetlerinden müştereken sorumludur. Sistem üzerinden elde edilen veriler dışarı sızdığında, veri sorumlusu durumu en kısa sürede ilgili kişiye ve yetkili kuruma bildirmek mecburiyetindedir.
Güvenlik tedbirlerinin yanı sıra, işverenin ve süreçte rol alan tüm aracı kurum çalışanlarının katı bir sır saklama yükümlülüğü bulunmaktadır. Mülakat aşamasında yapay zekâ tarafından aday hakkında üretilen psikolojik tahliller, karakter profilleri ve uygunluk skorları, sadece ilgili açık pozisyonun değerlendirilmesinde görevli dar bir personel grubu ile paylaşılmalıdır. Bu bilgilerin, aday işe alınsın veya alınmasın, şirket içindeki alakasız departmanlara aktarılması veya yetkisiz diğer şirket çalışanları arasında hukuka aykırı bir istihbarat malzemesi haline getirilmesi ağır bir mahremiyet ihlalidir. Görevleri sona erse dahi süresiz olarak devam eden bu sır saklama yükümlülüğünün ihlali halinde, işveren çok ağır cezai işlemler ile karşı karşıya kalabileceği gibi, duruma göre ilgililer hakkında yasal mevzuat kapsamında adli soruşturmalar dahi başlatılabilir. Yaptırımların caydırıcılığı dikkate alındığında, işverenlerin bu konuda tavizsiz bir güvenlik politikası yürütmesi şarttır.
Hukuki Yaptırımlar ve İhlal Durumunda Doğacak Sonuçlar
Mevzuat çerçevesinde belirlenen kurallara ve yükümlülüklere uyulmaması, veri sorumlusu olan işverenler için çok yönlü yaptırımları tetiklemektedir. İşveren, adayların biyometrik ve kişisel verilerini işlerken aydınlatma yükümlülüğünü eksik bırakır, açık rızayı hukuka aykırı yöntemlerle alır veya gerekli veri güvenliği standartlarını sağlayamazsa idari para cezaları ile karşı karşıya kalır. Yetkili kurul, yapılan şikayetler veya resen yürüttüğü incelemeler neticesinde, işveren aleyhine yüksek tutarlarda idari yaptırımlara hükmedebilir. Bu idari cezalar, veri ihlallerini önlemek ve caydırıcılığı sağlamak amacıyla oldukça ağır maddi boyutlara ulaşabilmektedir. İdari para cezalarının yanı sıra denetleyici otorite, hukuka aykırı şekilde işlenen verilerin derhal silinmesi veya sistemlerin mevzuata uyumlu hale getirilmesi gibi telafi edici bağlayıcı kararlar da alabilmekte ve işverenler bu kararlara harfiyen uymakla yükümlü tutulmaktadır. Verilen emredici kararlara riayet etmemek, idari yaptırımların katlanarak artmasına zemin hazırlar.
İhlallerin boyutu sadece idari cezalarla sınırlı kalmayıp ceza hukuku anlamında adli suçlara da dönüşebilmektedir. Kişisel verilerin hukuka aykırı olarak kaydedilmesi, başka kişilere verilmesi, ele geçirilmesi veya yasal saklama süreleri dolmasına rağmen yok edilmemesi doğrudan hapis cezasını gerektiren suçlar kapsamında değerlendirilmektedir. Tüzel kişi olan şirketler için doğrudan hapis cezası uygulanamasa da, şirket yöneticileri ve sürece dahil olan yetkili gerçek kişiler hakkında cezai soruşturmalar açılabilmekte ve şirket aleyhine güvenlik tedbirlerine hükmedilebilmektedir. Ayrıca, adayın bu ihlallerden dolayı uğradığı maddi veya manevi bir zarar mevcutsa, borçlar hukuku hükümleri çerçevesinde haksız fiil sorumluluğu ve sözleşme görüşmelerinden doğan özen yükümlülüğünün ihlali gerekçesiyle hukuk mahkemelerinde doğrudan tazminat davaları açılabilir. İşverenlerin böylesine ağır bir hukuki, idari ve cezai tabloyla karşılaşmamak adına yapay zekâ entegrasyonlarında azami dikkati göstermesi mutlak surette bir yasal zorunluluktur.
Sonuç itibarıyla, işe alım süreçlerinde yapay zekâ destekli video mülakat teknolojilerinin benimsenmesi, iş dünyasına operasyonel verimlilik ve hız katarken, veri sorumlusu sıfatını taşıyan işverenlerin omuzlarındaki hukuki yükü de ciddi şekilde artırmaktadır. İşçi adaylarının kişisel ve biyometrik verilerinin geniş çapta işlenmesi; aydınlatma yükümlülüğünün titizlikle yerine getirilmesini, hukuken geçerli ve özgür iradeye dayanan bir açık rızanın tesis edilmesini ve en üst düzeyde veri güvenliği tedbirlerinin alınmasını zorunlu kılmaktadır. Veri minimizasyonu, amaca uygunluk ve şeffaflık ilkelerinden sapılarak kurulan algoritmik sistemler, ağır idari para cezalarının yanı sıra ciddi tazminat taleplerine ve cezai yaptırımlara zemin hazırlayacaktır. Bu sebeple işverenlerin, yapay zekâ altyapılarını şirket süreçlerine entegre ederken yalnızca teknolojik avantajlara odaklanmak yerine, süreci mutlak surette mevzuatın getirdiği sıkı hukuki denetimlerden ve insan gözetiminden geçirmesi, sürdürülebilir ve adil bir insan kaynakları politikasının vazgeçilmez temelini oluşturur.