” Çıkarımsal Veri ” Kavramının Hukuki Niteliği
Günümüzde kişisel verilerin meta değerini bireylerin kendi rızalarıyla paylaştıkları ad, soyad veya doğum tarihi gibi ham veriler oluşturmamaktadır. Asıl ekonomik değer, bu ham verilerin algoritmik yöntemlerle işlenmesiyle ulaşılan kullanıcının tüketim eğilimlerini, siyasi görüşünü veya kredi risklerini ortaya koyan “çıkarımsal verilerde” yoğunlaşmaktadır.
Algoritmalar, kişileri onların dijital hareketlerine göre “yüksek değerli müşteri” veya “yüksek riskli kredi başvurucusu” gibi etiketlerle sınıflandırmaktadırlar. Bu etiketler kişinin hangi ürünü, hangi fiyata göreceğine kadar hayatını doğrudan etkilemektedir.
Bütün bunların oluşturduğu ekonomiyi yaratan ‘‘çıkarımsal veri’’ ‘nin henüz hukuk dünyasında düzenlenmemiş olması özellikle gelecekte birçok sorunu beraberinde getirecektir.
Yazımızda çıkarımsal verilerin düzenlenmesini; kanaatimizce zorunlu kılan şu soruyu irdeleyeceğiz: Veri sorumlusunun kendi yatırımı, yazılımı ve algoritmik emeğiyle ürettiği bu çıkarımlar, kişisel verinin bir uzantısı mıdır yoksa veri sorumlusunun fikri ve ekonomik bir ürünü müdür? Yani kişisel verilerin korunması hukuku ve fikri mülkiyet hukuku kapsamında kendine özgü niteliğe sahip bu kavramın hukuki nitelendirilmesini tartışacağız.
Çıkarımsal Verinin “Karma Nitelik” ‘i.
Kişisel verilerin korunması hukuku, kişilerin doğrudan veya dolaylı olarak paylaştığı veriler üzerinden şekillenmiştir. Günümüzde ise kişiler üzerinde daha etkili sonuçlar doğuran unsurlar, bu ham verilerden ziyade çıkarımsal verilerin sonuçlarından oluşmaktadır. Kişilerin veri öznesi olarak haklarının sadece paylaştıkları ham verilerle sınırlı tutulması, kişilerin sistemin kendisi hakkında ne düşündüğünü ve kendisini nasıl konumlandırdığını asla öğrenememesi sonucunu doğuracaktır. Bu durum da algoritmaların insanlar hakkında çıkarımlarının daha fazla dikkate alındığı gelecekte mağduriyetlere yol açacağı açıktır. Mağduriyet ve hak kayıplarının önüne geçilebilmesi için bu verilerin denetimi ve çıkan sonuçlarına karşı kişilere itiraz mekanizmalarının tanınması önemlidir.
Çıkarımsal verilerin hukuk düzeninde açıkça tanımlanmamış olmasını fırsat bilerek bu verilerin tamamen veri sorumlusunun mülkiyet alanı içinde değerlendirilmesi kişisel verilerin korunması hukukunun temel ilkelerine aykırıdır. Bu çalışmada savunduğum temel tez, çıkarımsal verilerin salt mülkiyet alanında olmadığı kişisel verilerin korunması hukuku kapsamında da değerlendirilerek karma nitelikli olduğudur. Karma niteliğe iki taraftan (veri sorumlusu ve veri öznesi) da bakacak olursak; bu veriler kişiyle ilişkilendirildikleri ve o kişi hakkında fiili sonuç doğurdukları ölçüde kişisel verinin uzantısıdır; aynı zamanda veri sorumlusunun emeğiyle ortaya çıktıkları için onun mülkiyet alanına aittir.
Ezcümle meselenin “veri mülkiyeti” ekseninde ele alınması yeterli olmayacaktır. Çıkarımsal veri kavramının, kişilerin veri öznesi sıfatıyla sahip oldukları hakları ile ham verilerin işlenmesiyle çıkarımsal verileri ortaya çıkaran veri sorumlusunun menfaatleri arasında adil ve dengeli bir sınır çizilerek düzenlenmesi gerekmektedir.
Menfaatler Dengesi: Erişim ve İtiraz Hakkının Sınırları
Bu dengenin kurulabilmesi için konuya mülkiyet odaklı değil; erişim, itiraz ve şeffaflık unsurları çerçevesinde yaklaşılmalıdır.
- Dijital Temsile Erişim Hakkı: Veri öznesi olan kişi sistemdeki ham verilerinin yanında kendisi hakkında üretilen profil ve etiketleri de öğrenebilmelidir. Erişim hakkı veri sorumlusunun ticari sır niteliğindeki algoritmik modellerini açığa çıkaracak kadar sınırsız yorumlanamaz. Kişi üretilen sonuca erişebilmeli ancak bu sonucun arkasındaki model mantığına müdahale edememelidir. Örneğin; bankanın sizin hakkınızda verdiği “Yüksek Riskli Müşteri – Kredi Verilemez” hükmünü ve bu hükmün gerekçesi olan etiketi bilmeye hakkınız vardır fakat bankanın bu hükme varırken kullandığı algoritmanın formülünü almaya hakkınız yoktur
- Dijital Temsile Karşı İtiraz Hakkı: Günümüzde kredi skorlaması kadar müşteri sınıflandırması gibi algoritmik kararlar da bireylerin hayatını doğrudan etkilemektedir. Bu nedenle veri öznesine, “Hakkımda hangi veriler var?” sorusundan ziyade, “Bu veriler bana karşı nasıl kullanılıyor?” sorusunu sorma ve alınan otomatik kararlara karşı etkili bir itiraz hakkı tanınmalıdır. Örneğin; sık sık seyahat eden biri olduğunuzu ve sürekli aynı online otel rezervasyon platformunu kullandığınızı düşünelim. Platformun algoritması sizin geçmiş harcamalarınızı, tıkladığınız otelleri, sisteme giriş yaptığınız cihazın modelini, sistemde ne kadar süre kalarak satın almayı tamamladığını veya seyahat etme alışkanlıklarınızı analiz ediyor. Akabinde bu ham verilerden hareketle hakkınızda “Fiyat Esnekliği Düşük / Yüksek Fiyat Ödemeye Razı Müşteri” çıkarımsal verisini üretiyor. Bir gün acil bir iş seyahati için sisteme girdiğinizde algoritma bu etiketi devreye sokuyor ve normalde 3.000 TL olan bir otel odasını size 4.500 TL olarak gösteriyor. Aynı odaya ilk kez bakan bir başkası ise odayı 3.000 TL olarak görüyor. Halihazırda veri sorumlusunun veri özneleri hakkında bir etiket koyması halinde bunu açıklama zorunluluğu veya buna ilişkin bir yol bulunmadığından sizin bu duruma karşı yapabileceğiniz tek şey o siteden bir daha rezervasyon yapmamak olurdu, o da bu fiyat farkını anlayabilmeniz halinde. Veri öznesi olan kişilerin veri sorumlusuna “Bu veriler bana karşı nasıl kullanılıyor?” sorusunu sorma hakkı olduğunu düşünseydik; sistemin sizin geçmiş alışkanlıklarınızdan hareketle bir “profilleme” yaptığını ve bu profil nedeniyle size daha yüksek bir fiyat tarifesi uyguladığını kolayca öğrenebilirdiniz. Dolayısıyla etkili bir itiraz mekanizmasının düzenlenmesi sizin “Yüksek Fiyat Ödemeye Razı Müşteri” etiketi yapıştırılmasına ve cebinizden daha fazla para çıkmasına yol açan bu otomatik işleme karşı koyabilmenizi sağlardı.
SONUÇ
Çıkarımsal veriler ne tamamen kişisel verilerin korunması hukuku kapsamında veri öznesinin hakimiyetine bırakılabilir ne de fikri ve sınai haklar hukuku kapsamında veri sorumlusunun ticari sır argümanının arkasına sığınarak mülkiyet hakkı çerçevesinde değerlendirilebilir. Halihazırda ve gelecekte daha çok ihtiyacımız olacak olan, veri sahipliği tartışması yerine; platformlara karşı çıkarımsal verilere erişim, itiraz ve otomatik işlemlere karşı koruma esasına dayanan kişisel veri ve mülkiyet hukuku arasında dengeli bir hak rejimidir. Çıkarımsal verilerin bu karma yapısına uygun spesifik hukuki düzenlemeler yapılmadığı sürece dijital düzende ne kişilerin bu hususta haklarını korumak ne de veri sorumlularının ticari menfaatlerini güvence altına almak mümkün olacaktır.
Av. İsmail ÖZDEMİR