Yapay zekâ sistemleri, büyük veri analizi ve makine öğrenmesi teknikleriyle bireylerin davranışlarını, tercihlerini ve risk durumlarını analiz edebilir. Bu analiz süreci çoğu zaman “profil çıkarma” (profiling) olarak adlandırılır.
Bankaların kredi skoru üretmesi, e-ticaret sitelerinin kişiye özel öneri sunması, sigorta şirketlerinin risk analizi yapması veya işverenlerin aday değerlendirme algoritmaları kullanması profil çıkarma faaliyetlerine örnektir.
Peki yapay zekâ ile profil çıkarma hukuka uygun mudur? Türkiye’de bu faaliyet hangi sınırlar içinde yapılabilir? Bu yazıda konuyu veri koruma hukuku, sorumluluk rejimi ve ayrımcılık riski çerçevesinde detaylı olarak ele alıyoruz.
Profil Çıkarma Nedir?
Profil çıkarma; bir gerçek kişinin davranışlarını, ekonomik durumunu, sağlık verilerini, ilgi alanlarını veya performansını analiz ederek belirli bir kategoriye yerleştirilmesidir.
Yapay zekâ sistemleri profil çıkarırken:
- Geçmiş davranış verilerini
- Demografik bilgileri
- Alışveriş geçmişini
- Konum verilerini
- Dijital etkileşimleri
kullanabilir.Bu süreç, çoğu zaman otomatik karar verme ile birleşir.
KVKK Kapsamında Profil Çıkarma
Türkiye’de veri işleme faaliyetleri Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında düzenlenmektedir.Profil çıkarma, kişisel veri işleme faaliyetidir. Bu nedenle hukuka uygunluk şartlarından birine dayanmalıdır.
KVKK’ya göre veri işleme:
- Hukuka ve dürüstlük kurallarına uygun olmalı
- Belirli, açık ve meşru amaçlara dayanmalı
- İşlendikleri amaçla bağlantılı ve ölçülü olmalı
Profil çıkarma faaliyeti bu ilkelere aykırıysa hukuka aykırı sayılır.
Açık Rıza Gerekir mi?
Her profil çıkarma faaliyeti için açık rıza şart değildir. Ancak aşağıdaki durumlarda açık rıza daha güvenli hukuki dayanak olabilir:
- Özel nitelikli kişisel veri işleniyorsa
- Birey üzerinde ciddi ekonomik sonuç doğuruyorsa
- Otomatik karar tamamen algoritmaya dayanıyorsa
- Profil çıkarma kapsamı geniş ve yoğun ise
Özellikle davranışsal reklamcılık ve detaylı kullanıcı analizi uygulamalarında açık rıza önemlidir.
Otomatik Karar Verme Boyutu
Profil çıkarma çoğu zaman otomatik karar verme ile birlikte çalışır.
Örneğin:
- Kredi başvurusunun otomatik reddi
- Sigorta priminin algoritmik belirlenmesi
- İş başvurusunun otomatik elenmesi
Bu tür kararlar birey üzerinde doğrudan etki yaratır.
KVKK kapsamında ilgili kişi:
- Verisinin işlenip işlenmediğini öğrenme
- Profilin içeriğini öğrenme
- Yanlış verinin düzeltilmesini isteme
haklarına sahiptir.
Ayrımcılık Riski
Yapay zekâ ile profil çıkarma faaliyetlerinde en büyük hukuki risklerden biri ayrımcılıktır.
Algoritma:
- Cinsiyet
- Yaş
- Etnik köken
- Sosyoekonomik durum
gibi unsurları dolaylı olarak dikkate alabilir.Bu durum eşitlik ilkesinin ihlali anlamına gelebilir.
İş Kanunu eşit davranma yükümlülüğünü düzenler. Ayrımcı algoritmik uygulamalar iş hukukunda tazminat sorumluluğu doğurabilir.
Veri Güvenliği ve Şeffaflık
Profil çıkarma sistemleri büyük veri setleriyle çalışır. Veri güvenliği yükümlülüğü KVKK m.12 kapsamında veri sorumlusuna aittir.
Riskler şunlardır:
- Profil verisinin sızdırılması
- Yetkisiz erişim
- Model manipülasyonu
- Eğitim verisinin kötüye kullanımı
Şirketler teknik ve idari tedbir almak zorundadır.
Yurt Dışı Veri Aktarımı
Birçok AI sistemi bulut altyapısında çalışır. Eğer profil çıkarma sürecinde veri yurt dışına aktarılıyorsa, ek hukuki yükümlülükler doğar.
Yurt dışına aktarım için:
- Açık rıza
- Yeterli koruma bulunan ülke
- Taahhütname
gibi şartlar aranır.
Uluslararası Perspektif
General Data Protection Regulation (GDPR), profil çıkarma ve otomatik karar verme konusunda daha açık düzenlemeler içerir.
GDPR’ye göre bireyler:
- Sadece otomatik işlemeye dayalı karara tabi olmama hakkına sahiptir
- Kararın mantığını öğrenme hakkına sahiptir
- İnsan müdahalesi talep edebilir
AB ile çalışan Türk şirketleri için bu standartlar fiilen bağlayıcı hale gelebilir.
Hukuka Uygun Profil Çıkarma İçin Şartlar
Yapay zekâ ile profil çıkarma hukuka uygun olabilir; ancak şu şartların sağlanması gerekir:
- Hukuka uygun işleme dayanağı bulunmalı
- Veri minimizasyonu uygulanmalı
- Açık ve anlaşılır aydınlatma yapılmalı
- Ayrımcılık riski analiz edilmeli
- Güvenlik tedbirleri alınmalı
- Otomatik karar süreci şeffaf olmalı
- İtiraz ve düzeltme mekanizması kurulmalı
Bu unsurlar yoksa hukuki risk artar.
Meşru Menfaat Dengesi
Profil çıkarma çoğu zaman şirketin ticari menfaati ile bireyin mahremiyeti arasında denge gerektirir.
Eğer:
- İşleme yoğun ve kapsamlıysa
- Beklenmedik analizler yapılıyorsa
- Kişi üzerinde ciddi sonuç doğuruyorsa
meşru menfaat yeterli olmayabilir.
Profil Çıkarma Yasak mı?
Profil çıkarma kategorik olarak yasak değildir. Bankacılık, sigorta, e-ticaret ve pazarlama alanlarında yaygın şekilde kullanılmaktadır.
Ancak:
- Ölçüsüz veri kullanımı
- Şeffaflık eksikliği
- Ayrımcılık
- Rıza ihlali
hukuka aykırılık oluşturur.
Hukuki Risk Yönetimi
Şirketler profil çıkarma faaliyetlerinde şu adımları atmalıdır:
- Veri envanteri oluşturma
- Etki analizi yapma
- Ayrımcılık testi uygulama
- Algoritma denetimi yapma
- Rıza ve aydınlatma metinlerini güncelleme
- Teknik güvenlik önlemleri alma
Bu süreç, hukuki uyum için kritik öneme sahiptir.
Sonuç Yerine Değerlendirme Çerçevesi
Yapay zekâ ile profil çıkarma hukuka aykırı değildir; ancak sınırsız ve denetimsiz şekilde yapılamaz.
Bugün için temel ilkeler şunlardır:
- Profil çıkarma KVKK kapsamındadır.
- Hukuka uygunluk dayanağı gerektirir.
- Otomatik karar süreçleri şeffaf olmalıdır.
- Ayrımcılık riski analiz edilmelidir.
- Veri güvenliği sağlanmalıdır.
Dijital çağda profil çıkarma, ticari rekabet için güçlü bir araçtır. Ancak hukuki sınırlar gözetilmeden yürütülen AI temelli analiz faaliyetleri ciddi idari para cezaları ve tazminat sorumluluğu doğurabilir. Bu nedenle yapay zekâ projeleri teknik tasarım aşamasından itibaren veri koruma perspektifiyle planlanmalıdır.
