30 July 2021
GDPR Kapsamında Algoritmik Şeffaflık
GDPR, 95/46 sayılı Direktif'in öngördüğü ana ilkeleri benimseyen ve sürdüren bir metin olmakla birlikte, yeni teknolojilerin ortaya çıkardığı, yeni ihtiyaçlara yönelik günün gereksinimleriyle daha uyumlu olmak amacıyla bazı konularda daha ayrıntılı düzenlemeler getirdi.1 Bununla birlikte, 95/46 sayılı Direktif içerisinde kişisel verilerin işlenmesine yönelik hukuki meşruiyet sağlayan unsurlar olan "rıza" ve "açık rıza" kavramları ve bu kavramlar çerçevesinde oluşturulan terminoloji, AB Genel Veri Koruma Tüzüğü'nde kullanılmayı sürdürülmüştür. 95/46 sayılı Direktif içerisinde "rıza" için "muğlak olmayan şekilde" verilmiş olma şartı aranmaktadır. Özel nitelikli verilerin işlenmesi söz konusu olduğunda ise "açık rıza" koşulunun sağlanması öngörülmüştür. Rızanın geçerliliğinin koşulları ise AB Genel Veri Koruma Tüzüğü'nün 4'üncü maddesinde ayrıca düzenlenmiştir. Bu maddede belirtilen unsurlar her iki tür rızanın da geçerliliğini sağlayacaktır.
"İlgili kişinin rızası; ilgili kişi bir beyan yoluyla ya da açık bir onay eylemiyle, kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir."
Ayrıca, AB Genel Veri Koruma Tüzüğü'nde özel nitelikli kişisel verilerin işlenmesinin yanı sıra yurt dışına aktarılacak ve otomatik karar alma süreçlerine konu olacak veriler bakımından da "açık rıza" şartı aranmıştır. Rızanın açık olması, ilgili kişi tarafından rızanın ifade ediliş şekliyle ilişkilidir. Açık rıza, yazılı beyan veyahut internet ortamında kimlik doğrulama prosedürü işleyecek şekilde alınmalıdır.
Özellikle bilgilendirme yükümlülüğü ve özgür irade ile verilmiş olma şartı, her tür rızanın geçerliliği açısından önem arz etmekte ve yeni teknolojik gelişmelerle birlikte düşünülmelidir. Bilgilendirme yükümlülüğü, rızanın geri çekilmesine ilişkin prosedürler, en temelde ilgili kişinin kendi kişisel verilerine yönelik olarak kontrolünü sağlamaya ve ilgili kişinin veri sorumlusu karşısındaki konumunu ona eş bir şekilde belirlemeye yöneliktir. Zira kişisel verilerin açık rıza ile işlenmemesi bir kural, işlenmesi ise istisnai bir faaliyettir. Konu algoritmalar olduğunda bu gerekliliklerin sağlanması zor olabilmektedir. Kişisel verilerin algoritmalar aracılığıyla işlenmesi, bir bilgi asimetrisi yaratabilmektedir. Şeffaf olmayan algoritmalar nedeniyle ortaya çıkan, veri işleyen ile ilgili kişi arasındaki bilgi asimetrisi, bireylerin kendi verileri üzerinde kontrol sağlama imkanını etkilediğinden, rızanın geçerliliğini, bilgilendirme ve özgür irade açısından sakatlayan bir durum olarak karşımıza çıkabilmektedir.
İtalyan Temyiz Mahkemesi (The Italian Court of Cassation) 25 Mayıs 2021'de, aslen Roma Mahkemesi (Court of Rome) tarafından bozulan, İtalyan Veri Koruma Kurumu'nun 2016 yılında Mevaluate Italia s.r.l hakkında verdiği karara ilişkin olarak, kullanıcılar tarafından gönüllü olarak yüklenen belgeleri analiz eden ve puanlayan yapay zeka sisteminin askıya alınmasına karar vermiştir. Sistemin yasal olduğuna karar veren Roma Mahkemesi'nin ret kararı, Mevaluate'in veri işleme algoritmasına yönelik olarak kullanıcılar tarafından verilen rızanın şeffaflık açısından eksik olduğu gerekçesiyle bozulmuştur. Kararda rızanın ancak ilgili kişinin işleme amaçları hakkında uygun bir şekilde bilgilendirilmesi ile belirli bir konuya ilişkin ve özgür iradesi ile rıza göstermesi hâlinde geçerli olabileceği belirtilmiştir. Buna ek olarak, Temyiz Mahkemesi tarafından, algoritmanın çalışma mantığının ilgili kişiler tarafından bilinmemesi ve anlaşılamaması durumunda, bu faaliyete ilişkin olarak verilen rızanın geçerli sayılamayacağı da vurgulanmıştır. AB Genel Veri Koruma Tüzüğü'nün kişisel verilerin işlenmesine meşruiyet sağlayan hukuki bir gerekçe olarak "rıza" ve "açık rıza" kavramlarına ilişkin ayrımı ve düzenlemeleri ile birlikte değerlendirildiğinde, algoritmik şeffaflığın, bilgilendirme yükümlülüğünün bir parçası olduğu anlaşılmaktadır.
İtalyan Temyiz Mahkemesi kararının detaylarına buradan ulaşabilirsiniz.
Ek bilgiye ihtiyaç duymanız hâlinde lütfen müşteri temsilciniz ile irtibata geçiniz.
1Elif Küzeci, Kişisel Verilerin Korunması, 3. Bası, Turhan Kitabevi, Ankara, 2019, s. 193.
Bilgilendirme Metni!