ADM (Otomatik Karar Verme) nedir?
Otomatik Karar Verme (ADM), bireyler hakkında yalnızca otomatik araçlarla — profilleme dahil — anlamlı insan katılımı olmaksızın alınan kararları kapsar (GDPR Madde 22). Madde 22, veri sahiplerine “hukuki etki” doğuran veya “benzer şekilde önemli” etkileyen bu tür kararlara tabi tutulmama hakkı tanır. Yaygın ADM örnekleri: otomatik kredi skorlama, otomatik CV eleme, dinamik fiyatlandırma, otomatik dolandırıcılık engelleri.
Madde 22 yasağı ve istisnalar
- Varsayılan yasak: veri sahipleri yalnızca otomatik kararlara — hukuki/önemli etkili — tabi tutulmama hakkına sahiptir.
- İstisnalar: (a) sözleşmenin ifası için gerekli; (b) güvencelerle Üye Devlet hukuku tarafından yetkilendirilmiş; (c) açık rızaya dayalı.
- Tüm durumlarda güvenceler: insan müdahalesi alma, veri sahibinin görüşünü ifade etme, karara itiraz etme hakkı.
ADM ve AI Act örtüşmesi
AB AI Act, yüksek-riskli ADM’ye (örn. işe alım skorlama, kredi değerliliği) ek görevler yükler: risk yönetimi, veri yönetişimi, şeffaflık, insan gözetimi (Madde 14). Yüksek-riskli AI olarak sınıflandırılan ADM sistemleri için GDPR Madde 22 ve AI Act Madde 9-15 eş zamanlı uygulanır.
KVKK kapsamında ADM
KVKK Madde 11(g) “münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkını veri sahibine tanır — GDPR Madde 22’nin paralelidir. Türk pratiğinde özellikle bankacılık (kredi skorlama), sigortacılık (prim hesaplama) ve istihdam (ön eleme algoritmaları) için açıklanabilirlik ve insan müdahalesi mekanizmaları artıyor. SPK, BDDK ve KVKK Kurulu sektör spesifik rehberler yayınlıyor.
Yapın: hukuki dayanağı (sözleşme gerekliliği / rıza / yasa) belgeleyin; insan inceleme yollarını UX’e dahil edin; mantığı ve sonuçları aydınlatma metinlerinde açıklayın.
Yapmayın: “kenar vakaları gözden geçiren bir insanımız var” iddiasına güvenmeyin — GDPR sonucu değiştirme yetkisine sahip birinin anlamlı müdahalesini gerektirir.