İşe Alım Süreçlerinde Yapay Zekâ ve Kişisel Verilerin Korunması

Bu çerçevede Avrupa Veri Koruma Denetçisi (EDPS) ve Birleşik Krallık Bilgi Komiserliği Ofisi (ICO) ile Kişisel Verileri Koruma Kurumu (KVKK) gibi veri koruma otoriteleri tarafından yayımlanan rehber ve kararlar, işe alımda otomatik karar verme sistemlerinin hukuki sınırlarını netleştirmektedir. Söz konusu otoritelerin ortak yaklaşımı; bu sistemlerin ancak anlamlı ve etkili insan gözetimi, şeffaflık ve risk temelli yönetişim mekanizmaları ile işletilmesi hâlinde temel haklarla uyumlu kabul edilebileceği yönündedir.

Bu yazıda, işe alım süreçlerinde yapay zekâ kullanımının hukuki niteliği, insan müdahalesinin kapsamı, ayrımcılık ve algoritmik önyargı riskleri ile veri koruma etki değerlendirmesinin rolü; uluslararası EDPS, ICO ve KVKK tarafından yayımlanan rehberler ışığında ele alınmaktadır.

1. Otomatik Karar Verme ve Hukuki Niteliği

1.1. ICO ve UK GDPR Çerçevesi

UK GDPR'ın 22. maddesi uyarınca, ilgili kişi hakkında hukuki veya benzeri şekilde önemli etki doğuran ve yalnızca otomatik işleme dayanan kararlara karşı özel koruma mekanizmaları öngörülmüştür. ICO, işe alım bağlamında adayın elenmesi veya kısa listeye alınmaması gibi sonuçların “legal or similarly significant effect/ ilgili kişi üzerinde hukuki sonuç doğuran veya benzer ağırlıkta önemli etkiler yaratan karar” kapsamında değerlendirilmesi gerektiğini açıkça belirtmektedir.

ICO rehberine göre, bir kararın “solely automated / insan müdahalesi olmaksızın verilen karar” sayılmaması için süreçte anlamlı ve etkili insan müdahalesi bulunmalıdır. Bu müdahale:

• Kararın esaslı değerlendirmesini içermeli,
• Algoritma önerisini değiştirebilme yetkisine sahip olmalı,
• Sembolik veya formalite niteliğinde olmamalıdır.

Aksi takdirde, sürecin “insan denetimi altında” olduğu iddiası hukuken geçerli kabul edilmeyebilir.

1.2. EDPS Yaklaşımı: "İnsan Gözetimi"nin Sınırları

EDPS'nin TechDispatch #2/2025 – Human Oversight of Automated Decision-Making ve 2018 yılında yayımladığı rehberlerde, insan gözetimi kavramının yalnızca prosedürel bir unsur olarak değerlendirilmemesi gerektiği vurgulanmaktadır.

EDPS’e göre insan gözetiminin etkili sayılabilmesi için yalnızca süreçte bir insanın bulunması yeterli değildir. İnsan müdahalesinin gerçekten anlamlı olabilmesi belirli asgari şartlara bağlıdır. Bu çerçevede EDPS, etkili insan gözetiminin dört temel unsura dayanması gerektiğini belirtmektedir:

1. Gerçek müdahale yetkisi: İnsan operatör, sistemin verdiği kararı yalnızca görüntüleyen veya onaylayan kişi olmamalıdır. Gerekli gördüğünde süreci durdurabilmeli, kararı değiştirebilmeli veya sistemi devre dışı bırakabilmelidir.
2. Kararı değerlendirebilecek bilgiye erişim: Operatör, sistem çıktısının hangi kriterlere ve hangi veriye dayanarak üretildiğini anlayabilecek düzeyde bilgiye sahip olmalıdır. Kararın arka planı bilinmeden yapılan inceleme, fiilen denetim niteliği taşımaz.
3. Bağımsız ve özgür karar verme imkânı: Operatörün sistem kararını değiştirmesi hâlinde kurumsal baskı, performans kaygısı veya yaptırım endişesi yaşamaması gerekir. İnsan müdahalesi, sadece teorik değil, fiilen uygulanabilir olmalıdır.
4. Adalet ve temel hak odaklı kurumsal yaklaşım: İnsan gözetimi, yalnızca prosedürel bir gereklilik olarak değil; ayrımcılık riskini azaltma ve temel hakları koruma amacıyla tasarlanmalıdır. Kurum kültürü bu amaca uygun biçimde yapılandırılmadıkça insan gözetimi etkisiz kalabilir.

EDPS ayrıca “automation bias” (otomasyon yanlılığı) riskine dikkat çekmektedir. İnsan operatörlerin, sistem çıktısını teknik olarak daha “doğru” veya “tarafsız” kabul etme eğilimi nedeniyle algoritma önerisini sorgulamadan onaylayabilecekleri ifade edilmektedir. Bu durumda karar şeklen insan tarafından verilmiş görünse de, gerçekte algoritmanın belirleyici olduğu bir yapı ortaya çıkmaktadır. Literatürde bu durum “quasi-automation” olarak adlandırılmaktadır.

Bu yaklaşım, insan gözetiminin yalnızca mevcut olması ile gerçekten etkili olması arasında açık bir ayrım yapmaktadır. EDPS’e göre, insanın süreçte yer alması tek başına yeterli değildir; önemli olan, bu katılımın kararın sonucunu gerçekten etkileyebilecek nitelikte olmasıdır.

1.3. Türk Hukuku ve KVKK Perspektifi

KVKK'da, GDPR'ın 22. maddesine benzer açık bir otomatik karar verme düzenlemesi bulunmamaktadır. Bununla birlikte, Kanun’un 4. maddesinde yer alan genel ilkeler — özellikle hukuka ve dürüstlük kurallarına uygunluk, amaçla bağlantılı ve ölçülü olma ile veri minimizasyonu — otomatik karar süreçlerine doğrudan uygulanmaktadır.

KVKK'nın "Yapay Zekâ Alanında Kişisel Verilerin Korunmasına İlişkin Tavsiyeler" rehberinde; algoritmik sistemlerin şeffaflık, hesap verebilirlik ve insan gözetimi ilkeleri doğrultusunda tasarlanması gerektiği vurgulanmaktadır.

Kurul kararlarında da iş ilişkisi bağlamında açık rızanın geçerliliği ve ölçülülük ilkesi sıkı biçimde yorumlanmaktadır. Örneğin, işverenin veri işleme faaliyetlerinde güç dengesizliği nedeniyle açık rızaya dayanmasının çoğu zaman geçerli olmayabileceği yönündeki değerlendirmeler, işe alım sürecinde aday rızasının da dikkatle ele alınması gerektiğini göstermektedir.

2. Ayrımcılık ve Algoritmik Önyargı

ICO ve EDPS rehberleri, işe alımda kullanılan algoritmaların eğitim verilerindeki tarihsel önyargıları yeniden üretebileceğini açıkça belirtmektedir.

Örneğin:

• Erkek ağırlıklı geçmiş işe alım verileri, algoritma tarafından “başarı profili” olarak kodlanabilir.
• CV boşlukları otomatik olarak “risk göstergesi” sayılabilir.
• Aksan veya konuşma biçimi performans göstergesi olarak yanlış yorumlanabilir.

Bu tür sonuçlar dolaylı ayrımcılık riskini gündeme getirir. Anayasa'nın 10.maddesindeki eşitlik ilkesi ve 4857 sayılı İş Kanunu'nun 5. maddesinde düzenlenen eşit davranma borcu, algoritmik değerlendirme sistemlerini de kapsayacak şekilde yorumlanmalıdır. KVKK'nın 4. maddesinde yer alan “hukuka ve dürüstlük kurallarına uygunluk” ilkesi, ayrımcılığa yol açan veri işleme faaliyetlerini hukuka aykırı kılabilir.

3. Şeffaflık ve Aday Hakları

ICO, tamamen otomatik karar verme hâlinde adaylara “meaningful information about the logic involved” sağlanması gerektiğini belirtmektedir.

Benzer şekilde EDPS, bireyin kararı anlayabilmesi ve etkili biçimde itiraz edebilmesi için yeterli açıklama yapılmasının zorunlu olduğunu ifade etmektedir.

Adaylara en azından şu hususlar açıklanmalıdır:

• Otomatik sistem kullanıldığı,
• Kararın hangi kriterlere dayandığı,
• İnsan müdahalesi olup olmadığı,
• Karara itiraz ve yeniden değerlendirme hakkı.

KVKK'nın 10. maddesi uyarınca veri sorumlusu; veri işleme amacını, yöntemini ve hukuki sebebini ilgili kişiye bildirmekle yükümlüdür. Yapay zekâ kullanımının gizlenmesi veya kararın otomatik niteliğinin açıklanmaması aydınlatma yükümlülüğünün ihlali sonucunu doğurabilecektir. Bu noktada ticari sır gerekçesi, temel açıklama yükümlülüğünü ortadan kaldırmayacaktır.

4. Veri Koruma Etki Analizi ve Risk Temelli Yaklaşım

ICO, işe alımda otomatik karar verme kullanımını yüksek riskli işlem olarak değerlendirmekte ve DPIA yapılmasını zorunlu görmektedir.

EDPS de insan gözetiminin ancak sistematik risk değerlendirmesi ile anlamlı olabileceğini vurgulamaktadır.

KVKK’da açık bir DPIA yükümlülüğü bulunmamakla birlikte, 12. maddesinde düzenlenen teknik ve idari tedbir alma yükümlülüğü ile hesap verebilirlik ilkesi birlikte değerlendirildiğinde, yüksek riskli yapay zekâ uygulamalarında önceden etki analizi yapılması gerektiği sonucuna ulaşılmaktadır.

4.1. Veri Koruma Etki Analizi Nasıl Yapılmalıdır?

İşe alım süreçlerinde yapay zekâ ve otomatik karar verme sistemlerinin kullanımı, adaylar üzerinde hukuki ve fiilî sonuçlar doğurabilecek nitelikte olduğundan, bu tür uygulamaların devreye alınmasından önce kapsamlı bir veri koruma etki değerlendirmesi yapılması gerekmektedir. Bu değerlendirme, şekli bir belge üretim süreci değil; karar öncesi riskleri tespit etmeye, ölçmeye ve yönetmeye yönelik somut bir analiz süreci olarak kurgulanmalıdır.

Etkili bir etki değerlendirmesi öncelikle işlenen veri kategorilerinin açık biçimde ortaya konulmasını gerektirir. Hangi kişisel verilerin toplandığı, bu verilerin hangi kaynaklardan elde edildiği ve hangi amaçlarla işlendiği netleştirilmelidir. Özellikle biyometrik analiz, yüz tanıma, ses analizi, duygu tanıma veya davranışsal çıkarım gibi yöntemler kullanılıyorsa, özel nitelikli veri işleme veya dolaylı özel nitelikli veri çıkarımı riski ayrıca değerlendirilmelidir. Sistem doğrudan sağlık verisi toplamasa dahi, adayın psikolojik durumu ya da engellilik durumuna ilişkin çıkarım üretme ihtimali mevcutsa, bu risk ayrıca analiz edilmelidir.

Etki değerlendirmesi kapsamında ikinci olarak işleme faaliyetinin hukuki dayanağı somutlaştırılmalıdır. İşlemenin açık rızaya mı, sözleşmenin kurulması için zorunluluğa mı, yoksa veri sorumlusunun meşru menfaatine mi dayandığı açıkça belirlenmelidir. İş ilişkisi bağlamında açık rızanın özgür iradeye dayanıp dayanmadığı dikkatle incelenmeli; meşru menfaate dayanılıyorsa, adayın temel hak ve özgürlükleri ile veri sorumlusunun menfaati arasında denge testi yapılmalı ve bu test yazılı olarak dokümante edilmelidir.

Ayrıca yapay zekâ kullanımının gerekliliği ve orantılılığı sorgulanmalıdır. Aynı amaca daha az müdahaleci yöntemlerle ulaşılabiliyorsa, yüksek riskli otomatik sistem kullanımının tercih edilmesi ölçülülük ilkesine aykırılık oluşturabilir. Bu bağlamda, otomatik eleme yerine insan destekli ön inceleme gibi alternatif yöntemlerin mümkün olup olmadığı değerlendirilmelidir.

Etki değerlendirmesinin en kritik unsurlarından biri ayrımcılık ve önyargı analizidir. Modelin farklı demografik gruplar üzerinde farklı sonuç üretip üretmediği istatistiksel olarak test edilmelidir. Yanlış pozitif ve yanlış negatif oranlar ölçülmeli; belirli grupların sistematik biçimde dezavantajlı hâle gelip gelmediği analiz edilmelidir. Bu analiz yalnızca teorik değil, veri temelli ve düzenli aralıklarla tekrarlanan bir kontrol mekanizması olarak kurgulanmalıdır.

İnsan müdahalesinin tasarımı da etki değerlendirmesinin ayrılmaz bir parçasıdır. Kararın hangi aşamada insana devredildiği, insan operatörün sistemi durdurma veya kararı değiştirme yetkisinin bulunup bulunmadığı ve yapılan müdahalelerin kayıt altına alınıp alınmadığı değerlendirilmelidir. İnsan gözetimi yalnızca prosedürel bir onay aşaması olmamalı, kararın sonucunu etkileyebilecek nitelikte olmalıdır.

Veri güvenliği ve aktarım sıklığı da analiz edilmelidir. Sistem bulut tabanlı çalışıyorsa, verilerin hangi ülkede saklandığı ve yurt dışı aktarımın hukuki zemini incelenmelidir. Tedarikçi şirketin veri işleyen mi yoksa ortak veri sorumlusu mu olduğu belirlenmeli, rol ve sorumluluklar sözleşmesel olarak açıkça düzenlenmelidir.

Bunun yanında aday verilerinin saklama süresi ve imha politikası belirlenmelidir. Reddedilen adaylara ait verilerin süresiz saklanması ölçülülük ilkesine aykırılık oluşturabilir. Saklama süresi açıkça tanımlanmalı ve otomatik imha mekanizmaları oluşturulmalıdır.

Son olarak, adayların karara itiraz ve yeniden değerlendirme talep edebilme imkânı somutlaştırılmalıdır. İtiraz süresi, başvuru yöntemi ve inceleme prosedürü belirli olmalı; bu mekanizma fiilen erişilebilir ve işlevsel olmalıdır.

Etki değerlendirmesi sürecinin sonucunda, belirlenen risklerin giderilip giderilemeyeceği objektif biçimde değerlendirilmelidir. Eğer ayrımcılık riski makul teknik ve organizasyonel tedbirlerle azaltılamıyorsa, insan müdahalesi gerçek anlamda kurgulanamıyorsa veya şeffaflık sağlanamıyorsa, sistemin devreye alınmaması hukuken daha güvenli bir tercih olacaktır.

Bu nedenle veri koruma etki değerlendirmesi, bir sistemin kullanılmasını otomatik olarak meşrulaştıran bir prosedür değil; gerektiğinde sistemin uygulanmaması yönünde karar alınmasını sağlayan bir yönetişim aracıdır. Yapay zekâ temelli işe alım uygulamalarında etki analizi, hukuki sorumluluğun ve temel haklara saygının en önemli göstergelerinden biridir.

5. Sonuç

ICO, EDPS ve KVKK yaklaşımları birlikte değerlendirildiğinde, işe alımda yapay zekâ kullanımına ilişkin ortak hukuki çerçeve şu esaslara dayanmaktadır:

• Hukuki veya benzeri önemli etki doğuran kararlar tamamen otomatik sistemlere bırakılamaz.
• İnsan müdahalesi gerçek, bağımsız ve etkili olmalıdır.
• Ayrımcılık ve önyargı riski düzenli olarak test edilmelidir.
• Adaylar şeffaf biçimde bilgilendirilmeli ve itiraz hakkına sahip olmalıdır.
• Yüksek riskli uygulamalar için önceden etki analizi yapılmalıdır.

Sonuç olarak, işe alımda yapay zekâ kullanımı bir teknoloji tercihi değil; temel hakların korunması bağlamında değerlendirilmesi gereken hukuki bir sorumluluk alanıdır. İnsan gözetimi, sistem tasarımındaki eksiklikleri meşrulaştıran bir formalite değil; hak temelli yönetişimin asli unsuru olarak kurgulanmalıdır.

Kaynakça

1. ICO (Information Commissioner’s Office), Guidance on AI and Data Protection, updated version, available at: https://ico.org.uk
2. ICO, Automated Decision-Making and Profiling Guidance, UK GDPR Article 22 guidance documents.
3. UK GDPR, Article 22 – Automated individual decision-making, including profiling.
4. EDPS (European Data Protection Supervisor), TechDispatch #2/2025 – Human Oversight of Automated Decision-Making, 2025.
5. EDPS, Guidelines on Automated Individual Decision-Making and Profiling, 2018.
6. KVKK (Kişisel Verileri Koruma Kurumu), Yapay Zekâ Alanında Kişisel Verilerin Korunmasına İlişkin Tavsiyeler, Ankara.
7. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK).
8. Türkiye Cumhuriyeti Anayasası, m.10 (Eşitlik İlkesi).
9. 4857 sayılı İş Kanunu, m.5 (Eşit Davranma Borcu).
10. European Data Protection Board (EDPB), Guidelines on Automated Decision-Making and Profiling under Regulation 2016/679, WP251 rev.01.