Macaristan Veri Koruma Otoritesi, veri işlemenin yasallığını, şeffaflığını, veri koruma faaliyetleri gerçekleştirilirken varsayılan tasarımların doğruluğunu ve yapay zekâ tabanlı yeni teknolojilerin boyutlarını tartışarak konuya ilişkin ihlal kararı vermiştir.
Söz konusu olayda Macaristan Otoritesi tarafından, başka bir prosedür kapsamında yaptığı inceleme esnasında veri kontrolörü Budapest Bank Zrt.’in Müşteri Hizmetleri departmanının gerçekleştirdiği telefon görüşmelerinde otomatik analiz yaptığı tespit edildi. Budapest Bank Zrt., bu veri işleme faaliyeti esnasında ilgili kişilere gerekli ve yeterli açıklamayı yapmadığı için, Otorite, veri kontrolörünün genel veri işleme uygulamalarını gözden geçirerek 2021 yılında re’sen soruşturma başlattı.
Kontrolör, gün içinde gerçekleşen ve müşterilerin talep, şikâyet veya sorunlarını anlattığı telefon görüşmelerini kaydederek; mesai saati tamamlandıktan sonra yapay zekâ destekli bir yazılım ile ses kayıtlarını analiz etmektedir. Bahsi geçen yazılım, farklı alanlarda yüzden fazla anahtar kelimeyi tarayarak, telefon kayıtlarında bekleme, konuşma ve iç çekme dahil olmak üzere insani tepkileri algılayarak müşterinin duygusal durumunu tahmin etmeye çalışmaktadır. Yapılan analiz sonucu ise, sesli aramalar da dahil olmak üzere, sistemin veri tabanında 45 gün boyunca saklanmaktadır.
Yapay zekânın oluşturduğu raporlarda, Müşteri Hizmetleri departmanının ses kayıtlarına dayalı olarak memnuniyetsizlik, öfke ve çözümsüzlük ölçeklerinin sıralandığı bir kişi listesi yer almaktadır. Aynı departman tarafından görevlendirilmiş bazı çalışanlar bu rapor çıktıları sonucunda müşterilerin memnuniyetsizlik nedenlerini değerlendirmeye çalışırken, bazı çalışanlar da çıkan sonuçlara göre aranması gereken müşterileri işaretlemektedir. İlgili kişilere ise, söz konusu veri işleme faaliyetleri hakkında herhangi bir bilgi verilmemiştir.
Veri kontrolörünün yapmış olduğu etki değerlendirmesi ile, incelemeye alınan veri işleme faaliyeti sırasında yapay zekâ kullanıldığı ve bu durumun veri sahiplerinin temel hakları açısından yüksek risk oluşturduğu doğrulanmıştır. Fakat kontrolörün gerçekleştirdiği etki değerlendirmesi veya meşru menfaat değerlendirmeleri sonucunda, fiili risk azaltılmayarak, kontrolörün yalnızca kâğıt üzerinde aldığı önlemlerin (bilgi edinme hakkı, itiraz hakkı vb.) yetersizliği veya yokluğu kanıtlanmıştır.
Otorite yaptığı açıklama kapsamında yapay zekânın doğası gereği şeffaf ve güvenli bir şekilde kullanılmasının zor olduğunu, konu hakkında ek güvenlik tedbirlerinin mutlak suretle alınması gerektiğini ifade etmiştir. Yapılan çalışma neticesinde yapay zekâ tarafından işlenen kişisel verilerin sonuçlarının doğrulanmasının ehemmiyeti ve insan zihni ile düşünemeyen yalnızca insan beynini taklit ederek çalışan makinelerin çoğu zaman önyargılı olabileceği belirtilmiştir.
Tüm bunların üzerine Macaristan Veri Koruma Otoritesi, GDPR’ın** uzun süre ve ciddi bir şekilde ihlal edildiğini tespit ederek; veri kontrolörüne müşterilerin duygusal durumlarını belirleyen yapay zekâ uygulamasını kullanmamasını, bu işleme faaliyetini durdurmasını ve yalnızca GDPR hükümleri kapsamında uyumlu hale geldiğinde veri işlemeye devam etmesini emretti. Bununla birlikte ihlale ilişkin, Budapest Bank Zrt. hakkında yaklaşık 650.000 EUR değerinde idari para cezası uyguladı.
Livanur Sefer
* Data protection issues arising in connection with the use of Artificial Intelligence, https://edpb.europa.eu/news/national-news/2022/data-protection-issues-arising-connection-use-artificial-intelligence_en
** Kişisel Verilerin İşlenmesine İlişkin İlkeler başlığında yer alan m. 5(1)(a), m. 5(1)(b); İşleme Faaliyetinin Hukuka Uygunluğu başlığında yer alan m. 6(1), m. 6(4); Veri Sahibinin Haklarının Kullanımına İlişkin Şeffaf Bilgilendirme, Bildirim ve Yöntemler başlığında yer alan m. 12(1); Veri Sahibinden Kişisel Verilerin Toplandığı Hallerde Sağlanacak Bilgiler başlığında yer alan m. 13; İtiraz Hakkı ve Otomatik Münferit Karar Verme başlığında yer alan m. 21(1), m.21(2); Kontrolörün Sorumluluğu başlığında yer alan m. 24(1) ve Özel ve Olağan Veri Koruma başlığında yer alan m. 25(1) ile m. 25(2)