Makale
Profilleme ve otomatik karar alma süreçleri, kişisel verilerin işlenmesine hâkim olan temel hukuk ilkeleri çerçevesinde yürütülmelidir. Hukuka ve dürüstlük kurallarına uygunluk, şeffaflık, amaçla sınırlılık ve ölçülülük gibi veri koruma prensipleri, algoritmik sistemlerin adil ve hesap verebilir bir zeminde işlemesinin yegâne güvencesidir.
Profilleme ve Otomatik Kararların Hukuki Temelleri
Teknolojinin ve büyük veri analitiğinin hızla gelişmesiyle birlikte hayatımızın ayrılmaz bir parçası haline gelen profilleme ve otomatik karar alma sistemleri, bireylerin kişisel verilerinin işlenmesini temel almaktadır. Bu sistemlerin merkezinde, doğrudan bireyleri tanımlayan ya da kişileri tanımlanabilir hale getiren verilerin analizi yatmaktadır. Bu sebeple, söz konusu teknolojik süreçlerin tamamen serbest bir alanda değil, katı hukuki sınırlar ve kişisel verilerin korunması hukukuna yön veren genel ilkeler çerçevesinde yürütülmesi yasal bir zorunluluktur. Uygulamada algoritmaların, bireylerin davranışları, ekonomik durumları veya ilgi alanları hakkında tahminsel sonuçlar üretebilmesi, bireylerin özerkliğini korumak adına bu süreçlerin hukuki temellere sıkı sıkıya bağlı olmasını gerektirir. Veri işleme zincirinde, gerçekleştirilen ilk toplamadan silme aşamasına kadar her bir adımın, mevzuatta öngörülen emredici kurallara, hukuka ve dürüstlük kurallarına, amaçla sınırlılık ve hesap verebilirlik ilkelerine kümülatif olarak uygun şekilde tasarlanması ve hayata geçirilmesi şarttır.
Hukuka ve Dürüstlük Kurallarına Uygunluk
Profilleme süreçlerinde verilerin işlenmesi aşamasında en temel referans norm, faaliyetin hukuka ve dürüstlük kurallarına uygun olarak gerçekleştirilmesidir. Bu ilke, veri işleme faaliyetinin yalnızca yazılı kanun normlarına değil, aynı zamanda genel hukuk kurallarına, evrensel hukuk ilkelerine ve dürüstlük standartlarına uygun şekilde yürütülmesini emreder. Veri sorumlularının bir veri işleme faaliyetini hukuka uygun sayabilmesi için mevzuatta öngörülen meşru bir işleme şartına dayanması zorunludur. Dürüstlük kuralı ise, veri sorumlusunun işlemleri yürütürken ilgili kişinin makul beklentilerini ve çıkarlarını gözetmesini zorunlu kılar. Şeklen hukuka uygun görünse dahi, bireyin öngöremeyeceği, manipülatif veya mahremiyetini ihlal edecek şekilde tasarlanan örtülü algoritmik işlemler dürüstlük kuralının açık bir ihlalini oluşturur.
Şeffaflık ve Aydınlatma Yükümlülüğünün Rolü
Dürüstlük kuralının ayrılmaz bir parçası olarak karşımıza çıkan şeffaflık ilkesi, veri sahiplerinin kendi verileri üzerindeki hâkimiyetini sürdürebilmesi açısından büyük bir öneme sahiptir. Veri sorumluları, yürüttükleri profilleme ve karar süreçlerinde sadece veri toplamakla yetinemez; bireylere işleme faaliyetinin amacı, kapsamı ve dayanılan hukuki zemin hakkında açık, somut ve erişilebilir bir bilgilendirme sunmakla da yükümlüdür. Algoritmaların karmaşık doğası arkasına sığınılarak aydınlatma yükümlülüğünden kaçınılması veya yanıltıcı arayüzler kullanılarak bireylerin yanlış yönlendirilmesi hukuka aykırıdır. Şeffaflığın tam anlamıyla tesis edilmediği ve kullanıcıların kendi aleyhlerine doğabilecek potansiyel sonuçlar hakkında yeterince bilgilendirilmediği bir sistemde, bireyin verileri üzerindeki kontrol hakkı ciddi şekilde zedelenir.
Belirli, Açık ve Meşru Amaçlara Uygunluk
Kişisel veri işleme faaliyetlerinde keyfiliğin önlenmesi ve süreçlerin öngörülebilir olması için verilerin belirli, açık ve meşru amaçlarla işlenmesi şarttır. Profilleme süreçlerinde veri sorumlusu, faaliyetin hangi hedefe hizmet edeceğini en baştan açıkça tanımlamalı ve muğlak ifadelerden kesinlikle kaçınmalıdır. Algoritmaların öğrenme sürecini beslemek adına ileride nasılsa lazım olur düşüncesiyle, net bir sınır çizilmeden yapılan belirsiz veri toplama faaliyetleri bu temel ilkeye açıkça aykırılık teşkil eder. Ayrıca, belirlenen amacın meşru olması, yürütülen faaliyetin veri sorumlusunun yasal operasyonlarıyla doğrudan bağlantılı olmasını ve güncel mevzuata uygunluk taşımasını ifade eder. İşleme amacının sonradan değişmesi halinde ise bu durumun yeni bir hukuki işleme şartına dayandırılması yasal bir zorunluluktur.
Veri Minimizasyonu ve Ölçülülük İlkesi
Belirlenen yasal amaca ulaşmak için kullanılacak verilerin kapsamı hiçbir zaman sınırsız değildir. Bu bağlamda devreye giren amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi, veri minimizasyonu kavramının temel hukuki sınırlarını oluşturur. Otomatik karar alma sistemleri, teknik doğası gereği oldukça büyük hacimli verilere ihtiyaç duysa da, veri sorumlusu sadece elde edilmek istenen karar için mutlak surette zorunlu olan minimum veriyi işlemek zorundadır. Algoritmik işlemlerin etkinliği ve veri madenciliğinin ticari faydası, hiçbir zaman aşırı ve gereksiz veri işlenmesinin yasal bir gerekçesi olarak öne sürülemez. Ölçülülük değerlendirmesi yapılırken, daha az müdahaleci bir yöntemle aynı sonuca ulaşılabiliyorsa, hassas nitelikli veya gereğinden fazla veri işlenmesi veri sorumlusunun hukuki sorumluluğunu doğurur.
Veri Doğruluğu, Güncellik ve Hesap Verebilirlik
Otomatik karar mekanizmalarının ürettiği sonuçların adil olması, doğrudan analiz edilen verilerin doğruluğuna ve kalitesine bağlıdır. Bu sebeple doğruluk ve gerektiğinde güncellik ilkesi, hem bireylerin haksız profillemelere maruz kalmasını engeller hem de sistemin güvenilirliğini temin eder. Veri sorumluları, hatalı verileri düzeltmek ve yanlış sonuç doğurabilecek eski profilleri sistemden temizlemek için her türlü makul adımı atmalıdır. Tüm bu yasal gerekliliklere uyumun çatısını ise hesap verebilirlik ilkesi oluşturur. Veri sorumluları yalnızca kurallara uygun davranmakla yetinemez; uyguladıkları algoritmik sistemlerin meşruiyetini ve bu süreçlerde aldıkları teknik güvenlik tedbirlerini yetkili otoriteler nezdinde her an kanıtlayabilir durumda olmalıdır.
Verilerin Muhafazası ve İşleme Zincirinde Temel Sınırlar
Profilleme ve otomatik karar süreçlerinde toplanan kişisel veriler sınırsız bir süre boyunca veri havuzlarında saklanamaz. İşlenen verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir. Zaman aşımına uğramış, bağlamından kopmuş ve eskimiş veriler kullanılarak oluşturulan profillerin adil ve doğru kararlar üretmesi beklenemez. Bu noktada veri sorumlularının profilleme faaliyetlerinde dikkate alması gereken temel işlem kısıtlamaları şu şekilde sıralanabilir:
- Verilerin işlenme amacının ortadan kalkması durumunda gecikmeksizin imha veya anonimleştirme prosedürlerinin işletilmesi,
- Geçmiş verilere dayanarak bireyler üzerinde kalıcı ve ömür boyu sürecek dezavantajlı profillerin oluşturulmasının engellenmesi,
- Yalnızca sistemin algoritmasını sürekli beslemek ve veriyi elde tutmak amacıyla yasal saklama sürelerinin hukuka aykırı şekilde uzatılmasından kaçınılması.
Böylelikle, veri sorumlusunun ticari ve analitik çıkarları ile bireylerin veri özerkliği ve mahremiyet hakları arasında adil bir denge kurularak hukuki sınırlar güvence altına alınmış olur.