İŞ İLİŞKİSİNDE KİŞİSEL VERİLERİN YAPAY ZEKÂ İLE İŞLENMESİ

I. GİRİŞ

Günümüzde yapay zekâ teknolojilerinin çalışma hayatına entegrasyonu, işveren ile çalışan arasındaki ilişkilere dair geleneksel hukuk anlayışını önemli ölçüde dönüştürmektedir. Özellikle işe alım, performans değerlendirmesi, görev atamaları, disiplin süreçleri ve işyeri gözetimi gibi alanlarda kullanılan yapay zekâ destekli sistemler, işverenlere daha hızlı, veriye dayalı ve maliyet etkin karar alma olanakları sunmaktadır. Ancak bu teknolojilerin yaygınlaşması, beraberinde çalışanların kişisel verilerinin toplanması, işlenmesi ve analiz edilmesi gibi süreçlerde çeşitli hukuki, etik ve temel haklara ilişkin sorunları da gündeme getirmektedir. Bu bağlamda, yapay zekâ teknolojilerinin kişisel veri işleme süreçlerinde nasıl kullanıldığı, bu uygulamaların hangi yasal sınırlar içinde meşru kabul edilebileceği ve işçilerin temel hak ve özgürlüklerinin nasıl korunabileceği soruları giderek daha fazla önem kazanmaktadır.

Bu çalışmada, iş ilişkilerinde yapay zekâ destekli veri işleme uygulamaları hukuki ve normatif bir çerçevede ele alınmaktadır. Türkiye özelinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 6098 sayılı Türk Borçlar Kanunu (“TBK”) ve 4857 sayılı İş Kanunu (“İş Kanunu”) kapsamında veri sorumlusu ve veri işleyen kavramları incelenmiş, işverenin gözetim ve denetim yetkileri ile işçilerin mahremiyet hakkı arasındaki denge tartışılmıştır. Avrupa Birliği mevzuatı çerçevesinde ise Genel Veri Koruma Tüzüğü (“GDPR”) ve Yapay Zekâ Tüzüğü (“AI Act”) doğrultusunda, iş ilişkisinde otomatik karar alma sistemlerine getirilen sınırlamalar ve yükümlülükler değerlendirilmiştir. Ayrıca ABD’de federal düzeydeki eksikliklere karşın eyalet bazlı düzenlemelerin işveren sorumluluklarına nasıl yön verdiği ele alınmıştır. Makalede, yapay zekâ uygulamaları bağlamında şeffaflık, hesap verebilirlik, ayrımcılığın önlenmesi, veri minimizasyonu ve etik sorumluluk gibi ilkeler de ayrıntılı biçimde tartışılmıştır. Ayrıca ulusal ve uluslararası mahkeme kararları ile düzenleyici kurumların yayımladığı rehberler ışığında, otomatik karar mekanizmalarının sınırları ve işçilerin sahip olduğu itiraz hakları analiz edilmiştir.

II. KİŞİSEL VERİ KAVRAMI

Kişisel verilerin korunması, günümüzde bireyin temel hak ve özgürlükleri bağlamında büyük önem arz eden hukuki ve toplumsal bir mesele haline gelmiştir. Bu kapsamda Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verilerin işlenmesine ilişkin esasları belirleyerek, bireylerin özel hayatının gizliliğini ve temel haklarını korumayı amaçlamaktadır. Kanun’un 1. maddesi1 uyarınca, kişisel verilerin işlenmesinde bireylerin mahremiyetinin gözetilmesi temel bir ilke olarak benimsenmiş; verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uymaları gereken usul ve esaslar açıkça düzenlenmiştir.

Kanun çerçevesinde kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmakta olup; isim-soy isim, iletişim bilgileri, sağlık verileri, internet üzerindeki gezinme geçmişi ve kişisel yazışmalar gibi unsurlar bu kapsamda değerlendirilmektedir. Kişisel verilerin işlenmesi kavramı ise, verilerin otomatik yollarla ya da bir veri kayıt sistemine bağlı olmak kaydıyla manuel yöntemlerle elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, açıklanması, aktarılması, sınıflandırılması veya kullanılmasının engellenmesi gibi çok çeşitli işlemleri kapsamaktadır. Söz konusu faaliyetlerin, Kanun’da öngörülen yasal çerçeve dışında gerçekleştirilmesi ise hukuka aykırı veri işleme fiili olarak kabul edilmekte ve bu durum hem idari yaptırımlar hem de cezai sorumluluklar doğurmaktadır.

6098 sayılı Türk Borçlar Kanunu (“TBK”), iş ilişkileri çerçevesinde kişisel verilerin korunmasına ilişkin özel düzenlemelere de yer vermektedir. TBK’nın 419. maddesi2 uyarınca, işveren, işçiye ait kişisel verileri yalnızca işçinin işe uygunluğunun değerlendirilmesi ya da iş sözleşmesinin gereğinin yerine getirilmesi amacıyla ve bu amaçlarla sınırlı olarak işleyebilecektir. Bu düzenleme, işverenin kişisel veri işleme yetkisini amaçla bağlantılılık ve ölçülülük ilkeleri çerçevesinde sınırlandırmaktadır. Dolayısıyla, işçinin işle ilgisi bulunmayan özel hayatına ilişkin verilerin toplanması veya işlenmesi, bu maddeye aykırılık teşkil etmekte olup hukuka uygunluk taşımamaktadır. Nitekim Yargıtay içtihatlarında da işverenin, çalışanının özel yaşamına keyfi müdahalede bulunmasının (örneğin, kişisel e-posta hesapları ya da özel mesajlaşmaları üzerinde izinsiz incelemeler yapmasının) işçinin kişilik haklarının ihlali anlamına geleceği açıkça vurgulanmaktadır.

4857 sayılı İş Kanunu (“İş Kanunu”), doğrudan olmasa da bazı hükümleri aracılığıyla çalışanların kişisel verilerinin gizliliğini korumaya yönelik hükümler içermektedir. Özellikle İş Kanunu’nun 75. maddesi3, işverene her bir çalışan için bir özlük dosyası oluşturma yükümlülüğü getirmektedir. Bu dosyada yer alan bilgilerin, mevzuata ve dürüstlük kuralına aykırı biçimde üçüncü kişilerle paylaşılması yasaklanmıştır. Bu düzenleme, çalışanlara ait kişisel verilerin korunmasını ve gizliliğin sağlanmasını hedeflemektedir. Öte yandan, 5237 sayılı Türk Ceza Kanunu’nun (“TCK”) 135. maddesi4 ve devamındaki hükümler, kişisel verilerin hukuka aykırı biçimde elde edilmesi, paylaşılması veya ifşasını suç olarak düzenlemekte olup bu hükümler, iş ilişkisi çerçevesinde de uygulanabilir niteliktedir.

III. İŞ İLİŞKİSİNDE KİŞİSEL VERİ KAVRAMI

KVKK kapsamında veri sorumlusu, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen; ayrıca veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Buna karşılık veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak ve onun adına kişisel verileri işleyen gerçek ya da tüzel kişiyi ifade etmektedir. Kanun’un madde gerekçesinde, veri işleyenin yalnızca veri sorumlusunun talimatları doğrultusunda hareket ettiği vurgulanmıştır. Bu bağlamda, iş ilişkileri özelinde yapılan değerlendirmelerde, işverenin veri sorumlusu, işyerindeki diğer çalışanların ise veri işleyen olarak kabul edilmesi gerektiği, genel olarak kabul edilmektedir.

Bununla birlikte, kişisel verileri işlenen çalışanlar ve iş başvurusunda bulunan adaylar, KVKK bağlamında ilgili kişi statüsünde değerlendirilir. Söz konusu çalışanlar ve adaylar bakımından sadece temel kimlik bilgileri değil; dijital ortamlarda veya özlük dosyalarında tutulan adli sicil kayıtları, mesleki bilgiler, psikolojik değerlendirme sonuçları, sendika ya da siyasi parti üyelik durumları gibi özel nitelikli kişisel veriler de KVKK kapsamındaki korumadan yararlanmaktadır. KVKK, işveren konumundaki veri sorumlularına yalnızca kişisel verilerin işlenmesiyle ilgili değil, aynı zamanda veri güvenliğinin sağlanması konusunda da çeşitli yükümlülükler getirmektedir. KVKK’nın 12. maddesinin birinci fıkrasına göre5, veri sorumluları; kişisel verilerin hukuka aykırı biçimde işlenmesini önlemek, yetkisiz erişimlerin engellenmesini sağlamak ve verilerin güvenli biçimde muhafazasını temin etmek amacıyla, uygun düzeyde teknik ve idari önlemleri almakla yükümlüdür.

Bu çerçevede, işverenlerin çalışanlara ait kişisel verilerin korunmasına yönelik olarak gerekli tüm önlemleri almaları yasal bir zorunluluk hâlini almıştır. Aynı maddenin ikinci fıkrasında ise, kişisel verilerin veri sorumlusunun adına başka gerçek veya tüzel kişiler tarafından işlenmesi durumunda, veri sorumlusu ile veri işleyen kişiler arasında bu önlemlerin alınması açısından ortak sorumluluğu bulunduğu belirtilmiştir. Böylece, veri güvenliğine ilişkin yükümlülüklerin yalnızca veri sorumlularına değil, veri işleyen konumundaki kişi ve kuruluşlara da uygulanacağı açıkça hüküm altına alınmıştır.

KVKK ayrıca işverenin, işyerinde yürütülen veri işleme faaliyetlerinin KVKK’ya uygunluğunu sağlamak adına iç denetim gerçekleştirmesini veya bu konuda dış bir denetim yaptırmasını zorunlu kılmaktadır. Bunun dışında hem veri sorumlusu olan işverenlerin hem de veri işleyen konumundaki kişilerin sır saklama yükümlülüğü bulunmaktadır ve bu yükümlülük, iş ilişkisinin sona ermesinden sonra da devam etmektedir. Son olarak, işlenen kişisel verilerin üçüncü kişiler tarafından hukuka aykırı yollarla elde edilmesi hâlinde, veri sorumlusu olan işverenin durumu ivedilikle Kişisel Verileri Koruma Kurulu’na ve ilgili kişilere bildirmesi yasal bir zorunluluktur.

KVKK, kişisel verileri işlenen işçilere, işverenlerine karşı kullanabilecekleri çeşitli haklar tanımaktadır. Bu haklar, KVKK’nın 11. maddesinde6 “ilgili kişinin hakları” başlığı altında düzenlenmiştir. Anılan hüküm çerçevesinde işçiler, öncelikle işverenlerine başvurarak kendilerine ait kişisel verilerin işlenip işlenmediğini öğrenme hakkına sahiptir. Aynı zamanda, işlenen veriler hakkında bilgi talep edebilme ve bu verilerin hangi amaçla işlendiğini, bu amaçlara uygun olarak kullanılıp kullanılmadığını ve verilerin aktarıldığı üçüncü kişilerin kimlik bilgilerini öğrenme hakları da bulunmaktadır. Bu haklar, aynı zamanda işverenin aydınlatma yükümlülüğünün bir parçası olarak değerlendirilmektedir.

Bunun yanı sıra, işçiler kişisel verilerinde tespit ettikleri eksiklik veya yanlışlıkların düzeltilmesini ya da verilerin silinmesini ve yok edilmesini talep etme hakkına da sahiptir. Bu taleplerin, kişisel verilerin aktarıldığı üçüncü taraflara da bildirilmesi gerekmektedir. Ayrıca, işçilerin kişisel verilerinin KVKK’da belirtilen usul ve esaslara aykırı biçimde işlenmesi nedeniyle bir zarara uğramaları hâlinde, zararın tazminini talep etme hakları bulunmaktadır.

KVKK, işçilere işlenen kişisel verilerdeki maddi hataların düzeltilmesini isteme hakkının yanı sıra, bu verilerin otomatik sistemler aracılığıyla işlenmesi sonucunda ortaya çıkabilecek olumsuz nitelikteki sonuçlara itiraz etme imkânı da tanımaktadır. Bununla birlikte, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması durumunda, işçiler işverenlerinden verilerinin silinmesini veya yok edilmesini talep edebileceklerdir. Bu silme ve yok etme hakkının, “unutulma hakkı” kavramıyla bağlantılı olduğu yönünde görüşler bulunmaktadır.

IV. İŞ İLİŞKİSİNDE KİŞİSEL VERİLERİN YAPAY ZEKA İLE İŞLENMESİ

Yapay zekâ teknolojileri, insan benzeri öğrenme yeteneği, örüntü tanıma ve karar alma kabiliyeti ile donatılmış algoritma ve yazılımlara dayanan sistemlerdir. Bu sistemler, büyük miktarda veriyi analiz ederek belirli görevleri otomatikleştirebilme ve süreçleri daha verimli hâle getirebilme potansiyeline sahiptir. İşçi-işveren ilişkisi açısından değerlendirildiğinde, yapay zekâ uygulamalarının özellikle işe alım süreçlerinden başlayarak iş sözleşmesinin devamı süresince pek çok alanda kullanıldığı görülmektedir. Nitekim, işe alım aşamasında kullanılan yapay zekâ tabanlı programlar; adayların özgeçmişlerini analiz ederek, önceden tanımlanmış ölçütlere göre filtreleme yapmakta ve adayları başarı puanlarına göre sıralamaktadır. Bu uygulamalar, özellikle çok sayıda başvuru alan şirketlerin insan kaynakları süreçlerini daha hızlı ve sistematik şekilde yürütmesine imkân tanımaktadır.

İşe alım süreçlerinde, video aracılığıyla elde edilen görsel ve işitsel verilerin yapay zekâ teknolojileri kullanılarak işlenmesi uygulamaları, işverenler arasında giderek yaygınlaşmaktadır. Yapay zekâ destekli çevrimiçi sistemler, adaylara uygulanan kişilik, bilgi ve yetenek testlerinin analizini gerçekleştirebilmekte; ayrıca mülakat esnasında adayın verdiği yanıtlar ile birlikte mimiklerinden, solunum hızına ve ses tonuna kadar çeşitli parametreleri eş zamanlı olarak işleyerek kapsamlı değerlendirmeler yapabilme kapasitesine sahiptir.

İş ilişkisi kurulduktan sonra da yapay zekâ sistemleri, çalışanların performanslarının ölçülmesi, üretkenliklerinin izlenmesi ve genel işyeri denetiminin sağlanması gibi birçok süreçte etkin biçimde kullanılmaktadır. Örneğin, çalışanların bilgisayar kullanım verileri, e-posta trafiği, görev tamamlama süreleri ve mola zamanları gibi davranışsal bilgileri toplayan yazılımlar, yapay zekâ algoritmaları aracılığıyla analiz edilmekte ve işverenlere otomatik raporlamalar sunmaktadır. Ayrıca, güvenlik gerekçesiyle işyerlerinde kullanılan yapay zekâ destekli akıllı kamera sistemleri; yüz tanıma, konum belirleme ve olağandışı hareketlerin tespiti gibi ileri düzey işlevler sunarak işverenlere sürekli gözetim imkânı sağlamaktadır.

Yapay zekâ sistemleri, işçilerin performans takibinde önemli bir işlev görmektedir. Bu bağlamda, performans ölçümü gerekçesiyle gerçekleştirilen takip ve gözetim uygulamaları, işverenlere işçilerin kişisel verilerini işleme konusunda meşru bir dayanak sağlamaktadır. Nesnelerin interneti ve GPS gibi teknolojilerdeki ilerlemelerin yapay zekâ ile entegrasyonu, daha önce dikkate alınmayan çeşitli parametrelerin ölçülmesine olanak tanımıştır. Böylece, işçilerin iş görme borcunu yerine getirirken işveren tarafından sağlanan araçların kullanım alışkanlıkları, çalışma süreleri ve ürettikleri çıktılar kişisel veri olarak ele alınarak işlenebilmektedir. Yapay zekâ sistemleri, çalışma süresi boyunca işverenlere üretim süreçleri ve çalışanlar üzerinde sürekli denetim ve anlık müdahale imkânı sunmaktadır. Bu nedenle, daha önce ifade edilen bilgilendirme yükümlülüğü doğrultusunda, işçilerin hangi araçlar (örneğin robotik donanımlar veya yapay zekâ destekli görüntüleme cihazları) aracılığıyla verilerinin toplandığı ve bu verilerin nasıl işlendiği konusunda kapsamlı bilgilendirilmesi büyük önem taşımaktadır. Ayrıca, yapay zekâ sistemleri ve giyilebilir teknolojilerdeki gelişmelerin kullanımının yaygınlaşması, işverenlere işçilerin izlenmesi ve veri toplama süreçlerinde yeni olanaklar sağlamaktadır.

Bununla birlikte, söz konusu teknolojiler bazı durumlarda otomatik karar verme özelliği taşıyabilecek sonuçlar doğurabilir. Örneğin, algoritmik değerlendirme sonucunda yeterli puanı alamayan bir adayın işe alınmaması ya da performansı düşük olarak değerlendirilen bir çalışanın disiplin işlemlerine tabi tutulması gibi örnekler, doğrudan yapay zekâ sistemlerinin etkisiyle ortaya çıkabilmektedir. Bu nedenle, yapay zekâ tabanlı uygulamaların iş hukukunun temel ilkeleri olan şeffaflık, hesap verebilirlik, ayrımcılık yasağı ve özel hayatın korunması ilkeleriyle uyumlu olacak şekilde tasarlanması büyük önem taşımaktadır. Aksi durumda, çalışanların kişilik haklarının ihlali, özel yaşamlarının izinsiz şekilde gözetlenmesi ya da eşitlik ilkesine aykırı muamele görmeleri gibi ciddi hukuki ve etik sorunlar gündeme gelebilecektir.

V. TÜRKİYE’DE İŞ İLİŞKİSİNDE KİŞİSEL VERİLERİN YAPAY ZEKA ARACILIĞIYLA İŞLENMESİ

Türkiye’de yapay zekâ teknolojilerinin iş ilişkilerinde kullanımına ilişkin hukuki ve teknik tartışmalar artmakla birlikte, bu alanda somut uygulama örnekleri henüz literatürde bulunmamaktadır. Ancak, Anayasa Mahkemesi işverenlerin teknolojik araçlarla yaptığı denetim ve veri işleme uygulamalarında, işçinin temel haklarını gözeten bir yaklaşıma sahiptir. Bu konu hakkında önemli bir örnek de Anayasa Mahkemesi’nin 12.01.2021 tarihli “Altınörgü”7 kararıdır. Söz konusu kararda, bir bankada görev yapan başvurucu, işverenin kurumsal e-posta hesabındaki yazışmaları inceleyerek elde ettiği veriler doğrultusunda iş sözleşmesini feshetmesi üzerine, özel hayatın gizliliği ile haberleşme hürriyetinin ihlal edildiğini ileri sürmüştür. Anayasa Mahkemesi, işverenin çalışanına tahsis ettiği bilgisayar ve kurumsal e-posta gibi iletişim araçlarını makul sınırlar çerçevesinde denetleme yetkisine sahip olduğunu kabul etmiş; ancak bu yetkinin belirli sınırlamalara tabi olması gerektiğinin altını çizmiştir. Kararda, teknolojik olanakların artmasıyla birlikte ortaya çıkan izleme ve denetim imkânları karşısında, işverenin meşru menfaatleri ile çalışanın temel hakları arasında adil bir denge kurulması gerektiği ifade edilmiş ve bu kapsamda belirli değerlendirme ölçütlerine yer verilmiştir. Anayasa Mahkemesi kararında, işverenin çalışanına tahsis ettiği dijital iletişim araçlarını denetleme yetkisi olduğu kabul edilmekle birlikte, bu yetkinin yalnızca meşru amaçlarla sınırlı şekilde kullanılabileceği vurgulanmıştır. İşverenin yönetim hakkı kapsamında, işyeri düzeni ve güvenliğinin sağlanması gibi amaçlarla yapılan denetimler meşru sayılmakla beraber, bu uygulamaların işin yürütülmesiyle doğrudan bağlantılı olması ve çalışanın temel hak ve özgürlüklerinin özüne zarar vermemesi gerekmektedir. Kararda, işverenin iletişim araçları üzerinde sınırsız ve mutlak bir gözetim yetkisinin bulunmadığı açıkça ifade edilmiştir. Ayrıca, şeffaflık ilkesi gereği işverenin, çalışanları denetim yapılacağı hususunda önceden bilgilendirmesi zorunludur. Bu bilgilendirme; hangi verilerin, hangi amaçlarla işleneceği, denetimin kapsamı, süresi, yöntemi ve toplanan verilerin kimlerle paylaşılabileceği gibi hususları içermeli ve çalışanın iletişim araçlarını hangi sınırlar dahilinde kullanabileceğini önceden bilmesini sağlamalıdır. Böylece çalışan, özel hayatını koruma ve gerekli önlemleri alma imkânına sahip olacaktır. Ayrıca, ölçülülük ve gereklilik ilkeleri doğrultusunda, işverenin denetim yoluyla işçinin temel haklarına yaptığı müdahalenin, ulaşılmak istenen amaçla orantılı olması ve aynı amaca daha hafif müdahalelerle ulaşmanın mümkün olması durumunda ağır müdahalelerden kaçınılması gerekmektedir. Aksi takdirde, yapılan işlemler hukuka aykırı sayılacaktır.

Anayasa Mahkemesi, ilgili kararda işçinin 2709 sayılı Anayasa (“Anayasa”) madde 208 uyarınca özel hayatın gizliliği ile madde 22’de9 düzenlenmiş olan haberleşme özgürlüğü haklarına yönelik müdahaleyi değerlendirmiştir. Somut olayda, işverenin çalışanını önceden yeterince bilgilendirmemesi ve kapsamlı bir denetim uygulaması nedeniyle başvurucunun haklarının ihlal edildiğine hükmetmiştir. Bu karar, işverenlerin yapay zekâ da dâhil olmak üzere her türlü teknolojik izleme ve veri işleme faaliyetlerinde şeffaflık ve ölçülülük ilkesine riayet etmeleri gerektiğini vurgulayan önemli bir emsal teşkil etmektedir.

Sonuç olarak, Türk hukuk sistemi, yapay zekâ kullanılarak gerçekleştirilen personel seçimi, performans takibi ve gözetim gibi uygulamaların genel veri koruma ilkelerine tabi olduğunu kabul etmektedir. Yapay zekâ destekli veri işleme faaliyetlerinin öncelikle hukuka uygun şekilde gerçekleştirilmesi zorunludur. Bu bağlamda, yapay zekâ sistemlerinin geliştirilmesi ve uygulanması sırasında, kişisel verileri işlenen işçilerin anayasal düzeyde korunan temel hak ve özgürlüklerine yönelik herhangi bir ihlal meydana gelmemelidir. Ayrıca, işçilerin kişisel verileri yapay zekâ ile işlenirken, özellikle KVKK’da düzenlenen kişisel verilerin ve özel nitelikli kişisel verilerin işlenme koşullarının eksiksiz bir şekilde yerine getirilmesi gerekmektedir. Kişisel Verileri Koruma Kurumu’nun yayımladığı “Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Yönelik Tavsiyeler” rehberinde, yapay zekâ uygulamalarında veri minimizasyonu, anonimleştirme ve mahremiyet etki değerlendirmesi gibi temel prensiplerin önemini vurgulamış ve veri koruma uyum programlarının baştan oluşturulmasını önermiştir. Bu bağlamda, Türk hukuku genel çerçevede, yapay zekâ destekli personel veri işleme uygulamalarının fırsatlarını tamamen dışlamadan, hukuki sınırlar ve denetleyici ilkeler doğrultusunda kullanılmasını amaçlamaktadır.

VI. AVRUPA BİRLİĞİ VE ABD’DE İŞ İLİŞKİSİNDE KİŞİSEL VERİLERİN YAPAY ZEKA ARACILIĞIYLA İŞLENMESİ

Avrupa Birliği düzeyinde, iş ilişkisinde kişisel verilerin yapay zekâ kullanılarak işlenmesi hem veri koruma hukuku hem de işçi hakları açısından kapsamlı tartışmalara ve düzenlemelere konu olmuştur. AB’nin temel veri koruma düzenlemesi olan Genel Veri Koruma Tüzüğü (“GDPR”), işçilerin kişisel verilerinin işlenmesine özel bir önem vermektedir. GDPR, üye devletlere iş ilişkisinde veri işleme konusunda daha ayrıntılı kurallar koyma yetkisi tanımış olup, Almanya gibi bazı ülkeler bu yetkiyi kullanarak ulusal mevzuatlarında çalışan verilerinin işlenmesine ilişkin detaylı hükümler getirmiştir. GDPR, işçi-işveren ilişkisine özgü doğrudan düzenlemeler içermese de işverenlerin çalışan verilerini işlerken uyması gereken temel ilkeleri belirleyerek; meşru ve şeffaf işleme, amaca uygunluk, veri minimizasyonu, doğruluk, saklama süresi sınırlaması ve veri bütünlüğü ile gizliliği sağlamayı öngörmektedir.

GDPR, “yalnızca otomatik işleme dayanan ve ilgili kişiyi önemli ölçüde etkileyen kararlar” konusunda ilgili kişiye karar verilmemesi hakkını tanımaktadır. Buna göre, bir kişinin yalnızca otomatik sistemler (örneğin yapay zekâ) tarafından değerlendirilip reddedilmesi ya da cezalandırılması gibi ciddi hukuki veya benzeri etkiler doğuran kararlara tabi tutulmaması gerekmektedir. İşe alım veya terfi gibi kararların tamamen yapay zekâ tarafından alınması, bu madde kapsamında değerlendirilebilir. İşveren ancak ilgili kişinin açık onayı, sözleşmenin kurulması veya ifası için zorunluluk ya da kanunda açıkça öngörülmüş durumlarda böyle bir otomatik kararı uygulayabilir. Ayrıca, bu durumlarda dahi ilgili kişiye itiraz etme, insan müdahalesi talep etme ve görüş bildirme hakları sağlanmalıdır. Örneğin, Avrupa’da bir şirkette yalnızca algoritmik değerlendirme sonucu “uygun bulunmadığı” gerekçesiyle iş görüşmesine çağrılmayan bir aday, GDPR kapsamında bu karara itiraz edebilme hakkına sahiptir.

Avrupa Birliği’nde yapay zekâ ile kişisel veri işlenmesine ilişkin bir yasal düzenleme de Yapay Zekâ Yasası’dır (“AI Act”). AI Act, yapay zekâ sistemlerini risk düzeylerine göre sınıflandıran ve düzenleyen ilk kapsamlı ve bağlayıcı mevzuattır. İşe alım, iş yönetimi ve çalışanların güvenliği gibi hayati ve hakları doğrudan etkileyen alanlarda kullanılan yapay zekâ sistemleri, “yüksek riskli” kategorisinde değerlendirilmiştir. Örneğin, çalışanların terfi, atama veya işten çıkarılmasına ilişkin kararlar veren yapay zekâ sistemleri yüksek risk grubuna dahildir. AI Act, yüksek riskli yapay zekâ sistemlerinin piyasaya sürülmeden önce belirli şartları sağlamasını zorunlu kılar; bunlar arasında risk analizi ve azaltma, kalite yönetimi, ayrımcılık yasağı, insan gözetimi, şeffaflık ve hesap verebilirlik gibi yükümlülükler yer almaktadır. İşverenler bu tür sistemleri kullanırken çalışanları bilgilendirmek, sistemi denetlemek ve uygunsuzluk durumunda müdahale etmekle yükümlüdür. Ayrıca, AI Act sosyal puanlama gibi insan onuruna aykırı bazı yapay zekâ uygulamalarını tamamen yasaklamış ve işe alım süreçlerinde eşitlik ilkesine aykırı algoritmik uygulamaların hukuka aykırı sayılacağını belirtmiştir.

Avrupa Birliği’nin yapay zekâya ilişkin yaklaşımı yalnızca kişisel verilerin korunmasıyla sınırlı kalmamakta; aynı zamanda ayrımcılığın önlenmesi ve çalışan haklarının güvence altına alınması hedeflerini de içermektedir. Avrupa Birliği Temel Haklar uyarınca, kişisel verilerin korunması temel bir hak olarak kabul edilmekte ve ayrımcılık yasağı iş ilişkilerinde de geçerliliğini korumaktadır. Bu doğrultuda, eğer bir yapay zekâ sistemi dolaylı dahi olsa ırk, cinsiyet veya din gibi temellere dayalı ayrımcılığa yol açıyorsa, bu durum hem GDPR bakımından hukuka aykırı bir veri işleme olarak hem de iş hukuku açısından eşit muamele ilkesinin ihlali olarak değerlendirilecektir. Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Denetçisi gibi denetleyici otoriteler de işyerinde yapay zekâ kullanımına dair çeşitli görüş ve rehberler yayımlamış işverenlerin yapay zekâ sistemlerini kullanırken şeffaflık, veri minimizasyonu, amaçla sınırlılık ve veri güvenliği ilkelerine sıkı şekilde uymaları gerektiğini vurgulamışlardır.

ABD’de ise federal düzeyde henüz kapsamlı bir düzenleme bulunmamakla birlikte, bazı eyaletler kendi çıkartmış oldukları yasalarla regüle etmişlerdir. Bu konuda, Illinois eyaletinin çıkardığı Artificial Intelligence Video Interview Act (Yapay Zekâ Destekli Video Mülakat Kanunu) örnek teşkil edebilir. Bu yasa, video mülakatlarda yapay zekâ analizi kullanmayı planlayan işverenlere belirli yükümlülükler getirmektedir: İşveren, işçi adayına önceden yazılı olarak bilgi vermek ve mülakatta yapay zekâ analizinin kullanılacağını açıklamak zorundadır; ayrıca, yapay zekânın temel çalışma prensipleri ve değerlendirme kriterleri adaylara anlatılmalı ve adaydan onay alınmalıdır. Yasa, aynı zamanda yapay zekâ analizine dayalı olarak eleme yapılan adayların demografik bilgilerini (örneğin ırk ve etnik köken) toplayıp her yıl ilgili eyalet kurumuna raporlamayı zorunlu kılmaktadır. Bu uygulama, algoritmaların olası taraflı değerlendirmelerinin izlenmesine yönelik bir tedbir niteliğindedir.

Bu konuda bir başka düzenleme de New York City tarafından kabul edilen 5 Temmuz 2023’te yürürlüğe girmiş olan Automated Employment Decision Tools Law (Otomatik İstihdam Karar Araçları Yasası), işe alım ve terfi süreçlerinde kullanılan otomatik karar verme araçlarının (örneğin özgeçmiş tarama yapay zekâları veya işe uygunluk skorları üreten modeller) belirlenen şartları karşılamadan kullanılmasını yasaklamıştır. Buna göre, işverenler bu tür araçları kullanmadan önce yılda en az bir defa bağımsız bir kuruluş tarafından “ayrımcılık denetimi” yaptırmak ve denetim sonuçlarının özetini kamuoyuyla paylaşmak zorundadır. Ayrıca, New York’ta yaşayan aday veya çalışanlara, otomatik değerlendirme aracı kullanılacağı ve değerlendirmenin hangi kriterlere dayandığı en az 10 iş günü öncesinden bildirilmelidir. Bu düzenleme, yapay zekâ sistemlerinin şeffaf ve hesap verebilir şekilde kullanılmasını sağlamak ve “kara kutu” benzeri gizli işlemlerle karar alınmasının önüne geçme amacı taşımaktadır. ABD’de iş ilişkisinde kişisel verilerin yapay zekâ kullanılarak işlenmesine ilişkin genel yaklaşım, yapay zekâ kullanımında ayrımcılığın engellenmesi ve şeffaflığın sağlanması üzerine odaklanmaktadır.

VII. İŞ İLİŞKİSİNDE KİŞİSEL VERİLERİN YAPAY ZEKA İLE İŞLENMESİNİN YOL AÇABİLECEĞİ SORUNLAR

İşverenler, çalışanları veya işe başvuran adayları hakkında davranışlardan sağlık bilgilerine, biyometrik verilerden çeşitli tüketim alışkanlıklarına kadar geniş bir yelpazede veri toplama olanağına sahiptirler. Bu verilerin, kişisel verilerin korunması hakkı ve ilgili hukuki düzenlemelere aykırı şekilde yapay zekâ destekli sistemler aracılığıyla işlenme riski bulunmaktadır. Bu durum, özellikle kişisel veri gizliliğinin korunması hususunda çeşitli kaygıların ortaya çıkmasına neden olmaktadır. Bu kaygıların önüne geçilebilmesi için, kişisel verilerin korunmasına yönelik hukuki tedbirlerin alınması ve veri güvenliğine dayalı sağlam koruma mekanizmalarının oluşturulması zorunlu hale gelmektedir. Yapay zekâ temelli sistemler, işverenlere çalışanların iş saatleri içinde birbirleriyle yaptıkları görüşmelerin sıklığı ve süresi gibi verileri sunabilmektedir. Ancak, çalışanların mesai saatleri boyunca sürekli olarak izlenmesi, çalışanların üstünde psikolojik açıdan baskı yaratma potansiyeline sahiptir ve bu durum stres düzeylerinin yükselmesine yol açarak toplumsal boyutta daha büyük olumsuz etkiler doğurabilir.

Yapay zekâ temelli performans ölçüm süreçlerinin, gerçeği tam olarak yansıtmayabilecek sonuçlar doğurması ve bunun iş ilişkisinin sürdürülebilirliği açısından olumsuz etkiler yaratması ihtimali bulunmaktadır. Yapay zekâ sistemlerinin performans değerlendirmesi, kullanıcılar ve geliştiriciler tarafından belirlenen değişkenlere ve kriterlere bağlıdır. Bu durum, elde edilen sonuçların güvenilirliği ve doğruluğu üzerinde doğrudan etkili olmaktadır. Çalışanların performanslarının yapay zekâ teknolojileri aracılığıyla değerlendirilmesi sürecinde yalnızca sayısal verilerin esas alınması durumunda, adalet ve hakkaniyet ilkelerine aykırı sonuçların ortaya çıkması kuvvetle muhtemeldir. Yapay zekâ temelli veri analizlerine dayanılarak elde edilen sonuçların doğruluğunu sorgulama imkânı mevcut olmayıp, ayrıca bu verilerin üçüncü taraflarla paylaşılması durumunda işçilerin veya adayların gelecekteki iş başvurularının seyrini olumsuz etkileyebilme ihtimali ortaya çıkmaktadır. Başka bir ifadeyle, hukuka ve gerçeklere aykırı veri analizleri, işçi ve adayların yaşamları üzerinde olumsuz etkiler yaratabilir. Yapay zekâ destekli sistemler aracılığıyla gerçekleştirilen bu tür veri işleme faaliyetlerinin tespit edilmesi durumunda, işverenlerin hukuki sorumluluğu belirli bir çerçeve altına alınmalıdır.

VIII. SONUÇ

İş ilişkilerinde yapay zekâ destekli kişisel veri işleme uygulamaları; Türkiye’de Kişisel KVKK, TBK ve İş Kanunu hükümleri; Avrupa Birliği’nde GDPR ve AI Act; Amerika Birleşik Devletleri’nde ise eyalet düzeyindeki örnek düzenlemeler çerçevesinde çok boyutlu olarak değerlendirilmiştir. Yapılan incelemede, işverenlerin yapay zekâ teknolojilerini kullanarak işçilerin kişisel verilerini toplaması, işlemesi ve bu verilere dayanarak kararlar alması sürecinde sadece hukuki yükümlülüklere değil, aynı zamanda etik ve temel hak eksenli ilkelere de uygun hareket etmesi gerektiği açık biçimde ortaya konmuştur. Özellikle şeffaflık, veri minimizasyonu, amaçla sınırlılık, ayrımcılık yasağı ve insan müdahalesi gibi ilkelere riayet edilmesi hem çalışanların özel hayatlarının gizliliği hem de otomatik karar süreçlerine karşı korunmaları açısından büyük önem arz etmektedir. Aksi hâlde, yapay zekâ destekli sistemlerin yanlış veya yanlı çıktılar üretmesi, işçilerin kariyerlerine, psikolojik bütünlüklerine ve temel haklarına doğrudan zarar verebilecek sonuçlar doğurabilmektedir. Bu bağlamda gerek ulusal düzenleyici kurumlarca yayımlanan rehber belgeler gerekse yüksek yargı organları tarafından verilen kararlar, işverenlere yönelik açık bir denetim ve hesap verebilirlik çerçevesi sunmaktadır. Sonuç olarak, yapay zekânın iş yaşamında sağladığı fırsatlar göz ardı edilmeksizin, bu teknolojilerin kullanımı sırasında çalışanların temel hak ve özgürlüklerinin güvence altına alınması elzemdir. İşverenlerin, kişisel veri işleme faaliyetlerinde hem mevzuata uygunluk sağlama hem de etik sorumluluk bilinciyle hareket etme yükümlülükleri bulunmaktadır. Gelecekte bu alandaki teknolojik gelişmelerin hız kazanması, söz konusu hukuki ve etik sınırların daha da belirgin hâle getirilmesini zorunlu kılacaktır. Bu nedenle gerek mevzuat düzeyinde güncellemeler yapılması gerekse işverenlerin farkındalık düzeylerinin arttırılması hem bireysel hakların korunması hem de sürdürülebilir bir çalışma düzeninin tesis edilmesi açısından önem taşımaktadır.