Türkiye’de Kişisel Verilerin Korunmasında Yeni Dönem: Yapay Zekâ ile Otomatik Karar Alma ve Ekonomik Etkileri

Yapay Zekâ Destekli Otomatik Kararlar: Uyumun Gerçek Sahnesi

Türkiye’de veri ekonomisi hızlandıkça, kişisel verilerin “sadece toplanıp saklanması” meselesi olmaktan çıkıyor. İşin aslı şu ki; veriler artık otomatik karar mekanizmalarının yakıtı. Ve yakıtın kalitesi, kullanım şekli, nerede durduğu, ne kadar süreyle işlendiği… hepsi birer risk parametresi. Tam da bu yüzden yapay zekâ tabanlı otomatik karar süreçlerine ilişkin uyum, gündemin merkezine yerleşmiş durumda. Perakendeden finansal hizmetlere, sigortadan e-ticarete; hatta kamu hizmetlerinde bile “profil çıkarma” ve “otomatik değerlendirme” uygulamaları yaygınlaştıkça, hukuki dayanaklar ile teknik tasarımın aynı masada konuşulması şart hâle geliyor.

Peki ama neden bu kadar kritik? Çünkü kredi skorlama, dolandırıcılık tespiti, fiyatlama optimizasyonu, işe alımda ön eleme, sağlık ya da sigorta kapsamı gibi alanlarda otomatik kararlar; hem veri minimizasyonunu hem de şeffaflık ilkesini çıplak biçimde sınar. Şirketler, “biz zaten model kurduk” diyerek işin içinden çıkamıyor. Modelin eğitiminde kullanılan veri kaynağı, veri kalitesi, kararların nasıl üretildiği ve bu kararların kişiye yansıyan sonuçları; denetlenebilir bir zemine oturtulmak zorunda. Yoksa uyum, bir metin değil; bir itiraz konusu hâline geliyor.

Türkiye’de Çerçeve: Dayanaklar Net, Beklentiler Daha Net

Türkiye’de kişisel verilerin korunmasına dair çerçeve; veri sorumlularının aydınlatma yükümlülükleri, işleme şartları (açık rıza, sözleşmenin kurulması ve ifası, hukuki yükümlülük gibi) ve ilgili kişinin hakları üzerinden ilerliyor. Yapay zekâ destekli sistemler ise bu tabloya yeni bir katman ekliyor: otomatik karar üretimi. Bu katman, pratikte riskin nerede saklandığını gösteriyor. Çünkü kararın kendisi otomatik üretilince, “ilgili kişi neyi biliyor?” sorusu daha da sertleşiyor.

İşin aslı şu ki şirketler, veri işleme süreçlerini sadece hukuken değil; operasyonel olarak da izlenebilir kılmak zorunda. Model türü, eğitim verisinin kaynağı, veri setinin güncelliği, kararların sonuçları… Bunlar birer teknik detay olmaktan çıkıp uyumun iskeletine dönüşüyor.

İtirazın Gerçekten İşlemesi: Kâğıt Üstünde Değil, Süreçte

Otomatik karar alma süreçlerinde en kritik başlıklardan biri, ilgili kişiye bilgi verilmesi ve itiraz/inceleme mekanizmasının gerçekten çalışması. Burada “aydınlatma metni var” demek yetmiyor. Hedef; hangi verilerin işlendiğini, kararın otomatik şekilde üretildiğini, kararın olası sonuçlarını ve itiraz sürecinin nasıl yürütüleceğini açıkça ortaya koymak.

Bir de şu var: Otomatik kararlar insan müdahalesi olmadan tek başına sonuç doğuruyorsa, denetim ve log kayıtları artık “iyi olur” değil, “olmazsa olmaz”. Şikâyetlerin hızlı değerlendirilmesi, model performansının periyodik kontrolü ve karar üretim hattının izlenmesi için kurumsal iş akışları yeniden kurgulanıyor. Çünkü itiraz gelince, elinizde kanıt yoksa süreç büyüyor; büyüdükçe maliyet de büyüyor.

Uyumun Fiyat Etiketi: Veri Envanteri, Etki Değerlendirmesi, Sözleşme Revizyonu

Ekonomik tarafta mesele sadece “uyum bütçesi” değil. Uyum, doğrudan maliyet kalemlerini etkiliyor. Veri envanteri çıkarılması, veri akış haritalarının güncellenmesi, veri koruma etki değerlendirmeleri, sözleşmelerin gözden geçirilmesi ve üçüncü taraflarla veri işleme anlaşmalarının yenilenmesi… Bunların hepsi birer proje başlığı gibi ele alınıyor.

Üstelik yapay zekâ sistemlerinde verinin kaynağı, saklama süreleri ve eğitim setinin kapsamı; hem hukuki riski hem de operasyonel yükü belirliyor. Yanlış kurgulanmış bir otomatik karar sistemi, birey haklarına aykırılık iddialarına kapı aralayabilir. Kapı aralanınca yalnızca hukuki süreçler değil; itibar kaybı ve müşteri kaybı da beraberinde geliyor. İşin “en pahalı” kısmı genellikle sonradan ortaya çıkan düzeltme masrafı oluyor.

Küresel Yönelim: Hesap Verebilirlik Artıyor, Teknik Beklentiler Sertleşiyor

Dünya genelinde düzenleyici kurumların odağı “hesap verebilirlik” tarafına kayıyor. AB’deki yaklaşımlar da göz önüne alındığında Türkiye’deki şirketlerin yönü giderek daha fazla teknikleştirmeye doğru ilerliyor. Yani uyum, sadece doküman üretme işi değil; altyapı kurma, erişimi kontrol etme, veriyi güvence altına alma işi.

Bu yüzden şirketler; anonimleştirme/psödoanonimleştirme teknikleri, veri maskeleme, erişim kontrolü, şifreleme ve güvenli veri işleme mimarileri kurarak riski azaltmaya çalışıyor. Bulut altyapılarında veri konumlandırma, erişim yetkilendirmeleri ve yedekleme politikaları da uyumun ayrılmaz parçası hâline geliyor. Çünkü veri yanlış yerdeyken, yanlış kişiye görünürken uyumun “kâğıt üzerinde” kalması kaçınılmaz oluyor.

Kamu Hizmetlerinde Otomasyon: Süreç Sahipleri, Kayıtlar ve Bilgilendirme

Türkiye’de bir başka belirleyici alan kamu kurumları ve yerel yönetimler. Dijital hizmetler genişledikçe e-devlet entegrasyonları, belediyelerin çağrı merkezleri, sosyal yardım başvurularında otomatik ön eleme ve hizmet planlama süreçlerinde kullanılan analitik sistemler devreye giriyor. Bu noktada uyum yalnızca yazılımın doğru çalışmasıyla bitmiyor.

Süreç sahiplerinin sorumlulukları, başvuru akışlarının kayıt altına alınması ve itirazların yönetilmesi için kurumsal iş akışlarının yeniden düzenlenmesi gerekiyor. Otomasyon büyüdükçe, şeffaflık talebi de büyüyor. Ve şeffaflık talebi büyüyünce, “kim neyi neden yaptı?” sorusu kaçınılmazlaşıyor.

Model Önyargısı ve Veri Kalitesi: Uyumun Görünmez Ama En Tehlikeli Noktası

Otomatik kararlarda model önyargısı ve veri kalitesi konusu, uyumun en “sessiz” ama en “sonuç üreten” bölümüdür. Eğitim verilerinin temsil gücü, veri seti güncelliği, veri hatalarının tespiti ve modelin hangi tür hatalar ürettiği; doğrudan ilgili kişinin kaderini etkileyebilir.

Bu yüzden şirketler model izleme (model monitoring) ve performans metrikleriyle birlikte kararların gerekçelendirilmesini sağlayacak mekanizmalar kurmaya yöneliyor. Kredi veya dolandırıcılık skorlama gibi alanlarda, kararın hangi değişkenlerle üretildiğinin denetlenebilir olması hem müşteri şikâyetlerinin yönetimini hem de olası hukuki süreçlerin seyrini etkiler. Çünkü soru şu hâle geliyor: “Siz bunu nasıl gördünüz?”

Uçtan Uca Yaklaşım: Ürün, Veri Bilimi, Güvenlik ve Müşteri İlişkileri Aynı Hat Üzerinde

Veri uyumu yalnızca uyum biriminin işi değil. Ürün geliştirme, veri bilimi, siber güvenlik ve müşteri ilişkileri ekipleri aynı hedefe bakmadığında otomatik karar süreçleri kırılganlaşıyor. Kurumlar bu nedenle otomatik karar süreçlerini ürün gereksinimlerine gömerek “veri koruma by design” yaklaşımını benimsiyor.

Bu yaklaşımda amaç; veri toplama aşamasından model eğitimine, karar üretiminden kullanıcı bildirimlerine kadar uzanan uçtan uca süreci dokümante etmek. Dokümantasyon; denetim talepleri, bilgi edinme başvuruları ve olası incelemelerde kurumsal hesap verebilirliği destekler. Yani iş, bir raporun içine sığdırılmaktan çıkıp bir yönetim disiplini hâline gelir.

Üçüncü Taraflar: Sözleşme Kâğıdı Değil, Uyumun Taşıyıcı Duvarı

Veri işleme faaliyetlerinin üçüncü taraflarla yürütülmesi uyum maliyetlerini artırır; çünkü sorumluluk sınırlarını doğru çizmek gerekir. Bulut sağlayıcıları, analitik platformlar, veri etiketleme firmaları veya danışmanlık şirketleri… Hepsinin rolü var ve bu rollerin “veri sorumlusu–veri işleyen” ayrımıyla netleşmesi şart.

Sözleşmelerde veri işleme kapsamı, alt işleyenler, güvenlik önlemleri, veri iade/silme yükümlülükleri ve denetim hakkı gibi maddelerin taş gibi net olması gerekir. Alt işleyen değiştiğinde yeniden değerlendirme süreçlerinin kurgulanması da ayrı bir güvenlik katmanı sağlar. Çünkü uyum, tek seferlik bir imza değil; sürekli bir takip işidir.

Rekabet ve Risk: Uyumsuzluk Zincirleme Etki Yaratır

Türkiye’deki uygulamalar ekonomik gündemle de yakından bağlantılı. Global ekonomi dalgalanırken ve Türkiye ekonomisi zorlanırken maliyet ile risk yönetimi daha görünür hâle gelir. Uyumsuzluk riski arttıkça, kredi maliyetlerinden müşteri kazanımına kadar zincir etkiler domino gibi devreye girebilir. Bu yüzden otomatik karar alma sistemlerine ilişkin uyum süreçleri, şirketlerin dijital dönüşüm stratejisinde “opsiyonel” değil; çoğu zaman kaçınılmaz bir yatırım kalemi olarak konumlanıyor.

Yeni Gündem: Şeffaflık, İtiraz, İzlenebilirlik ve Güncellenen Sözleşmeler

Yapay zekâ ile otomatik karar alma alanı, Türkiye’de artık yalnızca hukuki bir başlık değil; aynı zamanda ekonomik ve operasyonel bir gerçeklik. Kurumların; ilgili kişinin bilgilendirilmesi, itiraz ve inceleme mekanizmalarının işletilmesi, veri güvenliği ve teknik izlenebilirliğin sağlanması, model izleme süreçlerinin kurulması ve üçüncü taraf sözleşmelerinin güncellenmesi gibi konularda somut adımlar atması gerekiyor.

İleriye dönük bakınca, veri uyumu yatırımlarının derinleşmesi; yapay zekâ tabanlı ticari uygulamaların güvenilirliğini ve sürdürülebilirliğini belirleyen ana unsur olarak öne çıkıyor. Çünkü mesele sadece “uyduk mu?” değil. Mesele şu: “Ne kadar iyi uyduk, ne kadar hızlı kanıtlayabildik ve ne kadar tutarlı kaldık?”