Genel Veri Koruma Yönetmeliği (“GDPR”) Mayıs 2018’de Avrupa Birliği bünyesinde Veri Koruma Direktifi’nin yerini almıştır. Düzenlemenin arkasındaki mantık; hem veri sorumlularının veri işleme faaliyetlerini meşru amaçlar için yürütmesini sağlamak, hem de kişisel verileri korumaktır.
GDPR aynı zamanda, kontrolün gittikçe yitirildiği Büyük Veri ve Yapay Zekâ alanlarında veri kullanımını asgari düzeyde tutmayı hedeflemektedir. Yani, bu teknolojilerin hızla büyümesi için önyargılı ve kirli sayılacak kişisel verilerin kullanımının önüne geçip ilgili kişileri otomatik verilen kararlardan korumayı amaçlamaktadır. Bu bağlamda bazı maddelere yer verilse de, eksik kalan noktalar oldukça fazladır.
Öncelikle bir algoritma tarafından verilen kararın GDPR kapsamında değerlendirilebilmesi için bazı şartlar öngörülmüştür:
- Ortada bir “karar” olmalıdır,
- Bu karar tamamıyla algoritma tarafından verilmiş olmalıdır,
- Bu kararın ilgili kişi için yasal veya benzer şekilde önemli etkileri olmalıdır.
Dikkatimizi çekmesi gereken ilk şey kararın “tamamıyla” algoritma tarafından verilecek olmasıdır. Yani, sembolik bir insan müdahalesi bile bu kararı GDPR’ın kapsamı dışında bırakacaktır. Oysa Avrupa Parlamentosu, algoritmalar henüz insan müdahalesi olmadan sofistike kararlar üretme kabiliyetine sahip olmadığından, karar sürecindeki insan katılımının sınırlarını belirlemek için “yarı otonom” tabirini kullanmakta ısrar etmiştir. Fakat, bu tabire nihai dokümanda yer verilmemiştir. Bu da birçok yarı otonom sürecin GDPR koruması kapsamına alınamamasına sebebiyet vermiştir.
Literatürde tartışılan bir diğer konu ise “karar”ın algoritmik karar verme sürecinde tam olarak neyi temsil ettiğidir. 22. Madde uyarınca, GDPR kapsamında gerekli olan ilk şeyin bir karar olduğu belirtilmiştir ancak kavram ve bağlamın ne olduğu açıklığa kavuşturulmamıştır. “Karar” açık ve net bir terim gibi görünse de, “bir algoritma tarafından verilen karar” söz konusu olduğunda, terimin anlamı aydınlatılmalıdır. Düzenlemeler insan odaklı metinler olduğu için konu teknolojiye geldiğinde aynı terminolojinin kullanılması birçok karışıklığa neden olmaktadır.
“Karar”; algoritmaya sağlanan girdiler mi, girdilerin çıktılara dönüştüğü ara süreçler mi, yoksa çıktılar olarak mı kabul edilecektir? Karar, “girdiler” ise bu sentezlenmemiş veri kümesinden başka bir şey değildir; “girdilerin çıktılara dönüşme süreci” ise, bu süreç algoritma içinde dışarıya kapalı (“Black Box”) yürütüldüğünden gözleme açık değildir; “çıktılar” ise, bu da yine insanlara yardımcı olacak sentezlenmiş veriler olacaktır. Yani, üç ihtimâlde de düzenlemenin uygulama alanı değişkenlik gösterecek, hangi süreçlerin bir “karar” olarak kabul edilebileceği de tartışmalı olacaktır. Bu kapsamda, içtihatlar kanununun uygulanabilirliği yönünden yol gösterici nitelikte olacaksa da bu denli kafa karıştırabilecek bir ayrımın daha net olması beklenirdi.
Diğer bir husus ise Madde 4’ün otomatik karar verme sistemleri için bir tanım barındırmıyor olmasıdır. Ne ilgili maddeler/recitaller ne de GDPR, otomatik karar verme süreçlerinin ne ifade ettiğini açıklayan bir tanım bulundurmamaktadır. Bu da, Madde 22’de sayılan şartların tam olarak ne ifade ettiğini tanımlamayı elzem kılmaktadır.
Yukarıda bahsedilen atıl kalmış alanlar dışında GDPR, günümüzde algoritmik kararlara yer veren önemli bir düzenlemedir. Gerek veri gerekse algoritma kullanımı bakımından kurum ve kuruluşların ayağını denk almasına sebebiyet vermiş; diğer ülkeleri kişisel verilerin korunması adına düzenleme hazırlamaya teşvik etmiştir.