Özellikle son yıllarda hem kamu hem de özel sektörde sıklıkla kullanılan profilleme ve otomatik karar verme sistemleri, artan verimlilik ve kaynakların korunması bakımından bireylere ve kurumlara çeşitli faydalar sunarken aynı zamanda riskleri de beraberinde getiriyor. Bu sistemlerin aldığı kararlar bireyleri etkileyebiliyor ve karmaşık yapısı dolayısıyla kararlarının gerekçesini izlemek mümkün olamayabiliyor. Örneğin, yapay zekâ, bir kullanıcıyı belirli bir kategoriye kilitleyip, önerilen tercihlere göre kısıtlayabiliyor. Bu, dolayısıyla onların kitap, müzik veya haber yazısı gibi belirli ürün ve hizmetleri seçme özgürlüklerini de daraltabiliyor. (Article 29 Data Protection Working Party, WP251, sf.5)
Mayıs ayında Avrupa’da yürürlüğe girecek olan GDPR, profilleme ve otomatik karar vermenin bireylerin hakları üzerinde olumsuz bir etki doğuracak şekilde kullanılmaması için çeşitli hükümler barındırıyor. GDPR, profillemeyi madde 4’te şöyle tanımlıyor: “Profilleme, belirli bir şahısla ilgili onun kişisel yönlerini değerlendirmek için kişisel verilerinin kullanılması; özellikle bu kişinin işteki performansı, ekonomik durumu, sağlık bilgileri, ilgi alanları, güvenilirlik, davranış, konum veya hareketlerinin analiz edilmesi veya tahmin edilmesidir.” (WP251, sf.6) Profilleme, çeşitli kaynaklardan bireylerle ilgili elde edilen verilerin kullanılarak, kişilerle ilgili tahminlerde bulunmada kullanılır. Bu açıdan, yaş, cinsiyet, kilo gibi özelliklere dayanarak bireylerin değerlendirilmesi ya da sınıflandırılması olarak da düşünülebilir.
Otomatik karar verme ise insan müdahalesi olmaksızın teknolojik araçlarla (yapay zekâ gibi) karar verme özelliğidir. Otomatik karar verme herhangi bir veri türüne dayanabilir. Örneğin, kişiler tarafından doğrudan sağlanan veriler (ankete verilen cevaplar); kişilerden sağlanan veriler (uygulama aracılığıyla konum verisinin toplanması); önceden oluşturulmuş, türetme ya da sonuç çıkarmaya dayalı bireyin profili.
Potansiyel bir profilleme için ise üç yol vardır:
-i. Genel profilleme,
-ii. Karar verme temelli profilleme,
-iii. Yalnızca otomatik karar verme içeren profilleme (madde 22)
(ii) ve (iii) arasındaki fark, (ii)’de tamamen otomatik araçlarla üretilen bir profile dayalı insan kararı vardır. (iii)’te ise kararı algoritma verir ve karar anlamlı insan girdisi olmaksızın bireye otomatik olarak teslim edilir. (WP251, sf.8)
Burada karşılaşılacak önemli sorular ise şunlardır:
-Algoritma bu verilere nasıl erişiyor?
-Verinin kaynağı doğru mu?
-Algoritmanın verdiği karar, kişi üzerinde yasal etkiler doğuruyor mu?
-Bireyler otomatik işlemeye dayalı verilen karar karşısında birtakım haklara sahip olabilir mi?
-Veri sorumluları bu durumda ne gibi önlemler almak zorunda?
Günümüzde çoğu şirket müşterilerinin davranışlarını onlardan topladıkları verilerle analiz edebiliyor. Örneğin, bir sigorta şirketi, sürücünün sürüş davranışlarını izleyerek sigorta primlerini otomatik karar verme yoluyla belirleyebilir. Bunun yanında özellikle reklam ve pazarlama uygulamalarında farklı kişilerin verilerinden yola çıkarak yapılan profilleme ve otomatik karar verme sistemleri, diğer bireyler üzerinde de etkili sonuçlar doğurabiliyor. Varsayımsal olarak, bir kredi kartı şirketi, bir müşterinin kart limitini, kendi ödeme geçmişine dayanmadan aynı bölgede yaşayan ve aynı mağazadan alışveriş yapan diğer müşterileri analiz ederek azaltabilir. Dolayısıyla bu, başkalarının eylemlerine dayalı olarak, bir fırsattan mahrum kalma anlamına gelir.
Bu nokta dikkat edilmesi gereken husus, toplanan veya paylaşılan verilerdeki hatalar ya da önyargılar otomatik karar verme sürecinde yanlış sınıflandırmalara ve kesin olmayan sonuçlara dayalı değerlendirmelere neden olup bireyler açısından olumsuz etkiler doğurabilmesidir. Kararlar güncel olmayan verilere dayanabilir ya da dışarıdan alınan veriler sistem tarafından yanlış yorumlanabilir. Yani otomatik karar vermede kullanılan veri doğru değilse bu durumda sonuçtaki karar ya da profilleme de doğru olmayacaktır.
Yapay zekâ ve makine öğrenmesinin kullanıldığı bu gibi sistemlerde oluşabilecek benzeri muhtemel hatalar karşısında “veri sorumlusunun” birtakım yükümlülükleri doğacaktır. Veri sorumlusu, kullanılan ya da dolaylı olarak elde edilen verilerin doğru ve güncel olması için yeterli önlemleri almalıdır. Ayrıca verilerin saklanma süreleri de doğruluk ve güncelliğin sağlanması için sakıncalar yaratabileceği gibi, orantılılık ilkesi ile de çelişeceğinden uzun süreli veri saklanması konusunda da veri sorumlusu gerekli adımları atmalıdır.
Diğer önemli husus ise özel nitelikli kişisel verilerin bu sistemlerce işlenip kullanılmasıdır. GDPR, özel nitelikli kişisel verilerin işlenmesinde ilgili kişinin açık rızasını aramaktadır. Ancak, bu durumda veri sorumlusunun unutmaması gereken şey, profillemenin özel nitelikli kişisel veri olmayan verilerin birleşimi ile özel nitelikli kişisel veri oluşturabilir olmasıdır. Örneğin, bir kişinin sağlık durumu, gıda alışverişi kayıtlarından, gıdaların kalite ve enerji içeriği ile ilgili verilerinden elde edilmesi ile mümkün olabilir. (WP251, sf.22)
GDPR, verileri kullanılarak otomatik karar verme işlemlerinden etkilenen kişilerin bu durum karşısında bazı hakları olduğundan da bahseder. GDPR’ın temelini oluşturan şeffaflık ilkesi göz önüne alındığında, madde 13 ve 14’e göre, veri sorumlusu bireylere açık bir şekilde profilleme veya otomatik karar verme sürecinin nasıl işlediğini açıklamalıdır.
Profilleme, hata riskini artıran bir tahmin unsuru içerebilir. Girdi verileri yanlış veya alakasız olabilir ya da bağlam dışı kalabilir. Bireyler kullanılan verilerin ve gruplandırmanın doğruluğunu sorgulamak isteyebilir. Bu noktada, madde 16’ya göre, ilgili kişinin düzeltme hakkı da söz konusu olacaktır.
Benzer şekilde, madde 17’de belirtilen silme hakkı da bu çerçevede ilgili kişi tarafından talep edilebilir. Profillemenin temeli için rıza gösterilirse ve bu rıza sonradan geri çekilirse veri sorumlusu profilleme için başka yasal dayanak olmadığı sürece ilgili kişinin kişisel verilerini silmek zorundadır.
Çocukların kişisel verilerinin önemi
Profilleme ve otomatik karar vermede dikkat edilmesi gereken bir başka nokta ise çocukların kişisel verilerinin kullanılmasıdır. Çocuklar özellikle çevrimiçi ortamlarda daha duyarlı olabilir ve daha kolay etkilenebilir. Örneğin, çevrimiçi oyunlarda profilleme, algoritmanın daha fazla kişiselleştirilmiş reklam sunmasının yanı sıra, oyunda para harcamasının daha olası olduğunu düşündüğü oyuncuları hedeflemesi için de kullanılabilir. GDPR madde 22’de işlemenin çocuklar ve yetişkinler ile ilgili olup olmadığı konusunda ayrım yapmıyor. Ancak yine de çocuklar bu tür pazarlama çalışmalarından kolayca etkilenebileceği için, veri sorumlusu, çocuklar için uygun önlemleri almalı ve bu önemlerin çocukların haklarını, özgürlüklerini ve meşru çıkarlarını korumada etkili olduğundan emin olmalıdır.
Sonuç olarak, yapay zekâ ve makine öğrenimi gibi sistemlere dayanarak yapılan profilleme ve otomatik karar verme, birey hakkında önemli sonuçlar doğurabilir. Bu teknolojiyle bağlantılı olarak toplanan verilerin, kişilerin rızası alınarak toplanması ya da yasal bir zemine oturtulması gerekir. Akabinde kullanılacak olan bu verilerin toplandıkları amaçla bağlantılı olarak kullanılması da önemlidir. Sistemin aniden alışılmadık kararlar almaya başlaması halinde ne gibi yol haritaları izleneceği de dâhil olmak üzere, veri sorumlusu gereken önlemleri almalı ve ilgili kişilerin hak ve özgürlüklerini de gözetmelidir.
Siber Bülten abone listesine kaydolmak için formu doldurun
