Veri madenciliği büyük ölçekli olarak tanımlanan ve milyonlarca veriye sahip yazılım sistemlerinden, ihtiyacı karşılayacak değerli verilerin elde edilmesi işlemine denilmektedir. Bu sayede veriler arasındaki ilişkileri ortaya koymak ve gerektiğinde ileriye yönelik doğru tahminlerde bulunmak mümkün hale gelmektedir. Madenciliğin temel amacı, kurumlardaki karar destek mekanizmaları olarak adlandırılan sistemler için değerli olan veriyi belirli yöntemler ve işlem süreçleri sonrası ortaya çıkarmaktır.
II. VERİ MADENCİLİĞİ VE KULLANIM ALANLARI
Kamusal alandaki veri madenciliği, hastalık kontrol merkezleri tarafından çeşitli salgın hastalıkların tespiti için, vatandaşların vergi borçlarının takibinde, terörist aktivitelerin saptanması amaçlı herhangi bir şablon değeri taşıyacak davranışların varlığının belirlenmesinde kullanılmaktadır. Özel sektörde veri madenciliği genel hatlarıyla, yeni iş olanaklarının tespitinde, müşteri ihtiyaçlarının belirlenmesinde, satış̧ eğilimlerinin belirlenmesinde, iş performans değerlendirmelerinde ve hedefli reklamcılık alanlarında sıklıkla kullanılmaktadır.
Gündelik hayatta yapay zeka eliyle veri işlenmesinin en yaygın ve anlaşılabilir örneklerinden bazıları internet reklamlarının kişilerin arama motorlarında arattığı kelimelerle ilişkili olması, sosyal medya uygulamalarının kişilere tanıyor olabilme ihtimali olan kişileri önermesi, internet ortamında maruz kalınan her türlü profilleme, harita uygulamalarının trafiğin en uygun olduğu güzergahı önermesidir.
Nitekim veri madenciliğinin kullanım alanı sosyal medya ile bir adım daha öteye gitmiş ve bilişim teknolojilerinin iş yapma biçimini değiştirmesi, dönüştürmesi, kullanımının yaygınlaşması ve bu teknolojiyi oluşturan bileşenlere herkes tarafından ulaşılabilir olması, üretilen ve işlenen verinin büyüklüğünün de her geçen gün artması durumunu beraberinde getirmiştir. Verinin büyüklüğünün her geçen gün artması sayesinde internet, mobil cihazlar gibi çeşitli kaynaklardan gelen farklı veriler analiz edilerek anlamlı veriler elde edilmiş ve kamu, sağlık, sosyal bilimler ve ticari iş uygulamalarından, suçlarla mücadeleye kadar birçok alanda büyük ilerlemelere zemin hazırlanmışsa da elektronik ortamda yapılan işlemlerde kişisel verilerin hukuka ve dürüstlük kurallarına aykırı olarak kullanılması; kişilerin rızası alınmaksızın kendilerine ait bilgilerinin ifşa edilmesi ve başka yerlerde kolaylıkla aktarılması riskini de artırmıştır.
III. TÜRKİYE’DE KİŞİSEL VERİLERİN KORUMASI İLE İLGİLİ MEVZUAT
Büyük veri teknolojileri sayesinde, kişisel verilerin derleme, sınıflandırma, saklama işlemlerine tabi tutulması ve istendiğinde hızlıca sunulabilmesi kolaylaşmış̧, ilgilinin rızası alınmadan başkalarına açıklanması ve bilginin bulunduğu yerden başka bir yere kolayca aktarılması mümkün hale gelmişse de veri madenciliği yöntemlerinin gelişmesiyle veri toplama ve yorumlama sürecinin mahremiyet üzerindeki etkileri de karmaşık ve tartışmalı hale gelmiştir. Veri madenciliğinde gizlilik kavramı kapsamında kişisel veriler bir birey ile ilgili olan her türlü tanımlayıcı olan/tanımlayıcı olabilen bilgiyi içermektedir. Bu sebeple, kişisel verilerin nasıl korunacağına dair bir çerçeve çizilirken bilgiyi paylaşmak ve saklamak arasında, hem bilgiyi veren kişi hem de toplumsal açıdan faydayı en üst düzeye çıkaracak bir dengeyi gözetmek gereklidir.
Bu verilerin hukuka uygun olarak nasıl işleneceği ve anayasal ilkelerle korunmaya çalışılan bireyin özel hayatının gizliliği ile kişisel verilerin korunması gibi mahremiyete ilişkin temel haklara halel gelmemesinin nasıl sağlanacağı hususu Anayasamızın 20. maddesinde düzenlenen “Özel Hayatın Gizliliği ve Korunması Hakkı”, kişinin temel hak ve özgürlüklerinden biri olup Anayasal düzeyde tanınan ve korunan bir haktır. 5982 Sayılı Kanun vasıtasıyla 2010 yılında yapılan değişiklik ile AY m.20’ye bir ek fıkra eklenmiştir. İşbu düzenleme ile Kişisel Verilerin Korunması Hakkı Anayasal güç ve güvenceye kavuşmuştur. Anılan Anayasa değişikliği, veri sahiplerine kişisel verilerinin korunmasını isteme, bilgi alma ve ancak rızasının varlığında verilerin işlenmesi hak ve güvencelerini sağlamaktadır.
Bununla birlikte Türkiye’de veri koruma hukuku alanında temel düzenleme sayılan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun büyük verinin getirdiği değişim bağlamında değerlendirildiğinde; 6698 sayılı Kanun ile getirilen temel kural ile kişisel verilerin ancak kişinin rızası ya da bir hukuka uygunluk sebebinin bulunması durumunda işlenebilmekte olduğu görülmektedir. Kişisel verilerin hukuka uygun olarak işlenmesinde 6698 sayılı Kanunla verinin ilgilisinden talep edilen rıza alelade bir rıza olmayıp açıkça, belirli bir konuyla bağlantılı ve aydınlatılmış bir iradeye dayanan özgür bir rıza olmalıdır. Bu bağlamda, verinin ikincil kullanımı gibi durumlarda, söz konusu işlenme başlangıçta alınan rızanın kapsamı dışında bir işlemi içeriyorsa, bireyin yeniden açık rızasının talep edilmesi gerekecektir. Bu bağlamda büyük verinin karakteristik özelliklerinden biri verilerin çokluğudur ve büyük hacimli veri setleri sayesinde yeni ve faydalı sonuçların elde edilmesi mümkün olmaktadır. Büyük veride olabildiğince fazla verinin toplanması ve işlenmesi kural iken büyük verinin; toplandığı ve rızanın açıklandığı sırada bütün işlenme amaçlarının kapsamlı bir biçimde öngörülmesi mümkün görülmemektedir. Sınırlı ve ölçülü veri işlemeyi gerektiren bu ilke AB hukukundaki veri minimizasyonu ilkesine karşılık gelmekte ve büyük verinin doğasıyla uyumsuzluk arz etmektedir.
Avrupa Konseyi tarafından 1981 yılında kabul edilen 108 sayılı “Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme” kişisel verilerin korunması konusunda kişinin bilgi edinme hakkının kabul edilmesini öngörmektedir. 1981’de hazırlanan ve Türkiye tarafından da aynı yıl imzalanan 108 sayılı Sözleşme, 30/01/2016 tarih ve 6669 sayılı Kanun ile TBMM tarafından kabul edilerek yürürlüğe girmiştir. Sözleşmeye ek 181 sayılı Protokol de hazırlandığı yıl olan 2001 tarihinde imzalanmış olup Protokol’ün TBMM’de uygun bulunarak onaylanmasına ilişkin hukuki süreç̧ 20/04/2016 tarihli ve 6705 sayılı Kanun’la kabul edilmesiyle tamamlanmış bulunmaktadır. Türkiye 108 sayılı Sözleşmeyi 2016 yılında usulüne göre yürürlüğe koymuş ve böylelikle Sözleşme’nin tarafı olmuştur. Dolayısıyla Anayasanın 90. maddesi 5. fıkrası uyarınca Sözleşme, kanun hükmündedir ve hatta bu sözleşme ile kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Sözleşme hükümleri esas alınacaktır.
108 sayılı Sözleşme, kişisel verilerin korunması alanında uluslararası alanda bağlayıcı ilk ve tek sözleşmedir ve bir çerçeve düzenleme niteliğindedir. Dolayısıyla, taraf devletlerin buradaki hükümleri iç̧ hukuklarında kabul edecekleri uygulayıcı düzenlemelerine dercetmeleri gerekmektedir. Bu Sözleşme, kişisel verilerin korunması alanında önemli bir sözleşme olmuş̧ ve tüm dünyada bu alanda hayata geçirilen hukuki düzenlemelerde model kabul edilmiştir. Avrupa Konseyi 108 no.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi Danışma Komitesi’nin konuya ilişkin rehberine göre;
· Kişiler ve toplum açısından etki doğurabilecek yapay zekâ teknolojilerinin geliştirilmesi ve kullanılmasında temel insan hakları ve özellikle kişisel verilerin korunması hakkı esas alınmalıdır.
· Yapay zekâ alanında sorumlu yatırımlar yapılmalı, kişisel verilerin işlenmesine ilişkin risklerden kaçınmak ve bu riskleri gidermek temel yaklaşım olmalıdır.
· Veri işlemede risk (etki analizi) değerlendirmesi, yapay zekanın ve büyük verinin özellikleri gözetilerek daha hassas bir şekilde yapılmalıdır.
· Yapay zekâ teknolojileri ilgili kişilerin (KVKK m.11’de düzenlenen) haklarını gözeterek ve bu haklarını kullanabilmelerine imkân tanıyacak şekilde tasarlanmalıdır.
· Yapay zekâ geliştiren, satan ve kullananlar ilgili kişilerin yapay zekâ eliyle kişisel verilerinin işleneceği konusunda yeterli ve doğru bir şekilde bilgilenmesini ve şartları bulunduğunda itiraz haklarını kullanabilmesini sağlamalıdır.
· Yapay zekâ eliyle işlenen veriler bakımından ilgili kişilerin verileri ve sürecin sonuçları üzerindeki kontrolü (hakimiyeti) sağlanmalıdır.
· Otomatik karar alma süreçlerine itiraz etme hakkı kapsamında yapay zekâ tarafından verilerin otomatik olarak işlenip, kişiler bakımından sonuç doğuracak kararlar alınması durumunda ilgili kişilere itiraz etme hakkı tanınmalıdır.
· Tüm geliştiriciler işlenecek kişisel verilerin türünü, niteliğini, kaynağını ve miktarını değerlendirmeli gereksiz ve aşırı işleme faaliyetlerinin önü alınmalıdır.
· Yapay zekanın veri işlemede bağlam dışına çıkması ve bu şekilde amaç dışı veri işlemesine ilişkin riskler saptanmalı ve gerekli algoritmik formüllerle önlenmelidir.
· Yapay zekâ geliştiren, satan ve kullananlar, yapay zekanın veri işlemesinde her aşama ve süreçte hesap verebilir bir algoritma kurmalı ve sorumlulukların kime ait olacağını (veri sorumlusunun kim olacağı) kurgulamalıdır.
Bugün 108 sayılı Sözleşmenin temel amacı; her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır. Bu bağlamda kişisel veri koruma hukuku uyarınca yapay zekâ teknolojileri ile veri işlenmesi bağlamında yapay zekâ geliştiricileri, satıcıları ve kullanıcıları tarafından gözetilmesi gereken ilke ve kuralların belirlenmesinde Avrupa Konseyi 108 no.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi Danışma Komitesi’nin konuya ilişkin rehberi yol gösterici niteliktedir.
—-
Daha fazla bilgi ve sorularınız için:
Stj. Av. Berfin GÖLCÜK – ([email protected])
-© Hansu Hukuk Bürosu
-Hansu Hukuk Bürosu Yerli ve Yabancı müvekkillerine özellikle gayrimenkul, şirketler, vergi, enerji ve fikri mülkiyet hukuku alanında hizmet veren bir avukatlık bürosudur. Bu bülten Türkiye’ de hukuk alanındaki gelişmeleri paylaşmak amacıyla hazırlanmıştır. Bülten hukuki bir görüş veya yönlendirme olarak düşünülmemelidir. Özel sorular ve sorunlar bakımından hukuki danışman görüşü alınmalıdır.