Open menu
07Temmuz2021

GDPR Kapsamında Algoritmik Şeffaflık

GDPR Kapsamında Algoritmik Şeffaflık

GDPR, 95/46 sayılı Direktif'in öngördüğü ana ilkeleri benimseyen ve sürdüren bir metin olmakla birlikte, yeni teknolojilerin ortaya çıkardığı, yeni ihtiyaçlara yönelik günün gereksinimleriyle daha uyumlu olmak amacıyla bazı konularda daha ayrıntılı düzenlemeler getirdi.1 Bununla birlikte, 95/46 sayılı Direktif içerisinde kişisel verilerin işlenmesine yönelik hukuki meşruiyet sağlayan unsurlar olan "rıza" ve "açık rıza" kavramları ve bu kavramlar çerçevesinde oluşturulan terminoloji, AB Genel Veri Koruma Tüzüğü'nde kullanılmayı sürdürülmüştür. 95/46 sayılı Direktif içerisinde "rıza" için "muğlak olmayan şekilde" verilmiş olma şartı aranmaktadır. Özel nitelikli verilerin işlenmesi söz konusu olduğunda ise "açık rıza" koşulunun sağlanması öngörülmüştür. Rızanın geçerliliğinin koşulları ise AB Genel Veri Koruma Tüzüğü'nün 4'üncü maddesinde ayrıca düzenlenmiştir. Bu maddede belirtilen unsurlar her iki tür rızanın da geçerliliğini sağlayacaktır.

"İlgili kişinin rızası; ilgili kişi bir beyan yoluyla ya da açık bir onay eylemiyle, kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir."

Ayrıca, AB Genel Veri Koruma Tüzüğü'nde özel nitelikli kişisel verilerin işlenmesinin yanı sıra yurt dışına aktarılacak ve otomatik karar alma süreçlerine konu olacak veriler bakımından da "açık rıza" şartı aranmıştır. Rızanın açık olması, ilgili kişi tarafından rızanın ifade ediliş şekliyle ilişkilidir. Açık rıza, yazılı beyan veyahut internet ortamında kimlik doğrulama prosedürü işleyecek şekilde alınmalıdır.

Özellikle bilgilendirme yükümlülüğü ve özgür irade ile verilmiş olma şartı, her tür rızanın geçerliliği açısından önem arz etmekte ve yeni teknolojik gelişmelerle birlikte düşünülmelidir. Bilgilendirme yükümlülüğü, rızanın geri çekilmesine ilişkin prosedürler, en temelde ilgili kişinin kendi kişisel verilerine yönelik olarak kontrolünü sağlamaya ve ilgili kişinin veri sorumlusu karşısındaki konumunu ona eş bir şekilde belirlemeye yöneliktir. Zira kişisel verilerin açık rıza ile işlenmemesi bir kural, işlenmesi ise istisnai bir faaliyettir. Konu algoritmalar olduğunda bu gerekliliklerin sağlanması zor olabilmektedir. Kişisel verilerin algoritmalar aracılığıyla işlenmesi, bir bilgi asimetrisi yaratabilmektedir. Şeffaf olmayan algoritmalar nedeniyle ortaya çıkan, veri işleyen ile ilgili kişi arasındaki bilgi asimetrisi, bireylerin kendi verileri üzerinde kontrol sağlama imkanını etkilediğinden, rızanın geçerliliğini, bilgilendirme ve özgür irade açısından sakatlayan bir durum olarak karşımıza çıkabilmektedir.

İtalyan Temyiz Mahkemesi (The Italian Court of Cassation) 25 Mayıs 2021'de, aslen Roma Mahkemesi (Court of Rome) tarafından bozulan, İtalyan Veri Koruma Kurumu'nun 2016 yılında Mevaluate Italia s.r.l hakkında verdiği karara ilişkin olarak, kullanıcılar tarafından gönüllü olarak yüklenen belgeleri analiz eden ve puanlayan yapay zeka sisteminin askıya alınmasına karar vermiştir. Sistemin yasal olduğuna karar veren Roma Mahkemesi'nin ret kararı, Mevaluate'in veri işleme algoritmasına yönelik olarak kullanıcılar tarafından verilen rızanın şeffaflık açısından eksik olduğu gerekçesiyle bozulmuştur. Kararda rızanın ancak ilgili kişinin işleme amaçları hakkında uygun bir şekilde bilgilendirilmesi ile belirli bir konuya ilişkin ve özgür iradesi ile rıza göstermesi hâlinde geçerli olabileceği belirtilmiştir. Buna ek olarak, Temyiz Mahkemesi tarafından, algoritmanın çalışma mantığının ilgili kişiler tarafından bilinmemesi ve anlaşılamaması durumunda, bu faaliyete ilişkin olarak verilen rızanın geçerli sayılamayacağı da vurgulanmıştır. AB Genel Veri Koruma Tüzüğü'nün kişisel verilerin işlenmesine meşruiyet sağlayan hukuki bir gerekçe olarak "rıza" ve "açık rıza" kavramlarına ilişkin ayrımı ve düzenlemeleri ile birlikte değerlendirildiğinde, algoritmik şeffaflığın, bilgilendirme yükümlülüğünün bir parçası olduğu anlaşılmaktadır.

İtalyan Temyiz Mahkemesi kararının detaylarına buradan ulaşabilirsiniz.

Ek bilgiye ihtiyaç duymanız hâlinde lütfen müşteri temsilciniz ile irtibata geçiniz.


1Elif Küzeci, Kişisel Verilerin Korunması, 3. Bası, Turhan Kitabevi, Ankara, 2019, s. 193.

Written by Onur Saygın, Posted in Kişisel Verilerin Korunması Mevzuatı

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler yalnızca bilgilendirme amaçlı olup CottGroup® firmalarına ait bir hizmettir. Kaynak gösterilmeden iktibas edilemez. Makalenin hazırlanmasında gerekli özen ve dikkat gösterilmiş olmakla birlikte; CottGroup® ve üye şirketleri, işbu genel çerçevede bilgi veren ve yorum içerebilen makaledeki bilgilerin yanlışlık veya eksikliklerinden kaynaklanabilecek hiçbir sorumluluğu kabul etmemekte olup bu bilgilerin güvenilirliği nedeniyle oluşabilecek herhangi bir zarardan sorumlu tutulamaz.

    Her bir somut olaya ilişkin olarak, her koşulda özel olarak profesyonel bir danışmana başvurmanız tavsiye edilir. Lütfen duyuru ile ilgili işlem yapmadan önce müşterimiz iseniz müşteri temsilcinizden, değilseniz bir uzmandan görüş alınız.

Yazar

Bu web sitesi çerez kullanıyor.
Bu internet sitesinde, kullanıcı deneyimini geliştirmek, verimli çalışmasını sağlamak ve istatistiki verileri takip etmek için çerezler kullanılmaktadır. Sitemizi kullanarak çerezleri kabul etmiş olursunuz. Çerezleri nasıl kullandığımız ile ilgili detaylı bilgi için lütfen Çerezler (Cookies) sayfasını okuyunuz. Bu seçim 30 gün süreyle ya da tarayıcınızdaki çerezleri siz silene kadar geçerlidir.
x