KOMİSYON KONUŞMASI

EDNAN ARSLAN (İzmir) - Teşekkür ediyorum Sayın Başkanım.

Ben, değerli arkadaşlarımıza, Başkanımıza ve uzmanlara hazırladıkları sunum için çok teşekkür ediyorum.

Şimdi, bu yapay zekânın temeli veri yani doğru ve büyük veri. Doğru ve büyük veriyi bir arada tutmak, saklamak zaten büyük bir mesele çünkü eğer ortalığa saçılırsa ciddi anlamda sorunlar ve sıkıntılar yaşayabileceğimiz bir durum. Şimdi, burada biz sanki kişisel veriler ve genel veriler arasında biraz şeyiz yani tam olarak orada bir sorun var. Mesela, şöyle düşünelim: Bazen verilerimiz uygunsuz şekilde ele geçiriliyor. Yani, gidiyorsunuz bir mağazaya, alışveriş yapıyorsunuz, mağaza size ufak bir indirim yapacak, hemen telefon numaranızı ve adresinizi istiyor. Mesela, böyle bir durumda bu işletmeye yaptırım nedir? Yani, neden üç beş liralık bir indirim için vatandaşın telefon numarasını... Muhtemelen kampanyalarını duyurmak için yapıyorlar ama sonuçta bir veri topluyorlar. Yani, bunlara yönelik bir yaptırım var mıdır? Yani, herkes kafasına göre bir kampanya düzenlediğinde istediği kişiden... "Rızası var, o kampanyadan faydalanabilmesi için şu bilgiyi vermesi lazım." Ama bence işin içine maddiyat girdiği için, insanları cezbettikleri için çok doğru bir veri toplama yöntemi olduğunu düşünmüyorum, bununla ilgili tedbirler nedir?

Mesela, benim çok geçmişte bildiğim bir olay vardı, bir fast food zincirinin sadece sipariş rotasını çalarak, ele geçirerek uyuşturucu kartelleri ciddi bir şey yapmışlardı, bir... Çünkü fast foodun müşterileri genç müşteriler, o rotayı elde ederek uyuşturucu kartelleri yurt dışından kendilerine bir uyuşturucu rotası oluşturmuşlardı torbacılar vasıtasıyla hedef kitlelerine ulaşma açısından, böyle bir şey vardı. Yani, sonuç itibarıyla, dediğim gibi, alışveriş yaptığımız mağazalara gittiğimizde, bu verileri bir şey karşılığında toplama, isteme, alma işine bizim tedbirimiz nedir ülke olarak; ben bunu merak ediyorum.

Bir de -dediğim gibi- mesela, bir kişinin vergi rekortmenliği açıklanmıyor, istemiyorsa açıklanmıyor. Bu, kişisel veriye mi giriyor mesela? Sonuçta tüzel bir şirket var orada yani bir iş yapmış, sonuçta devlet tarafından her şeyi bilinen, algısı, vergisi belli olan bir şirket. Yani, neden biz vergi rekortmenlerini saklıyoruz? Bu, bir anlamda da şeffaf toplum olma açısından da sıkıntı değil midir? Niye saklıyoruz yani? Vergi rekortmeni; vermişse bilinsin. Tabii şu önemli: Şirketlerin verilerini ele geçirme, onların datalarını ele geçirme anlamında değil ama basit bir şey yani "Şu kişi en iyi ihracatı yaptı, şu kadar vergi ödedi." Sonuçta toplum olarak bizim kişilerin, kurumların ne kadar vergi ödediğini öğrenmek gibi bir hakkımız olduğunu düşünüyorum, sonuçta ben doğrudan ya da dolaylı bir vergi mükellefiyim. Yani, benim 7 yaşındaki kız çocuğum bakkala gidip sakız aldığında KDV ödüyor, bir vergi ödüyor sonuç itibarıyla. Vergi ödeyenler olarak bizim daha büyük ölçekte gelir elde edenlerin vergi ödeyip ödemediklerini bilmemiz gerekmez mi? Neden bu böyle "kişisel veri" gibi gözüküp de korunuyor?

Ben bunları merak ettim, bunları öğrenmek istedim.

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR - Cevaplayabilir miyim Başkanım?

BAŞKAN FATİH DÖNMEZ - Tabii, buyurun.

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR -

Sayın Vekilim, o belirttiğiniz endişelere ben de katılıyorum.

Şimdi, bu konuyla ilgili olmadığı için biz o dokümanı getirmedik. Biz, aslında şöyle bir doküman da yayınladık: T.C. kimlik numaramızın hangi durumlarda isteneceği, hangi durumlarda istenemeyeceğine ilişkin bir doküman.

Şimdi, telefon numarası bizim de kuruma en çok şikâyet edilen husus. Şimdi, biz şuradan hareket ediyoruz: Her Türkiye Cumhuriyeti vatandaşının bir T.C. kimlik numarası olmak zorundadır ama telefonu olmak zorunda değildir. Şimdi, alışveriş için telefon numarası, çok net söylüyorum, vatandaşın rızasına bağlıdır. Vatandaş rızasıyla o telefonu vermezse o telefonu kimse kullanamaz. Dolayısıyla, biz de zaman zaman yaptığımız incelemelerde, hatta araştırmalarda alışverişe ilk telefonla başlandığını, sorunun da şöyle olduğunu düşüyoruz: "Telefon numaranızı verir misiniz?" Vatandaşta şöyle bir şey oluşuyor: Sanki bu, alışverişin olmazsa olmazı gibi. Aslında açık rıza istiyorlar ama biz bu açık rıza isteme usulünü kabul etmiyoruz. Dolayısıyla, bilgilendirme olmaksızın... Mesela, şöyle söyleyecek: "Biz bu telefon numaranızı size reklam için, geri bildirimler için..." Veya eğer ürün kargo yoluyla teslim edilecekse "iletişim için..." Böyle bir bilgilendirme yapılması, ondan sonra vatandaşın açık rızasının alınması gerektiğini savunuyoruz. Bizim hiçbir kanuni düzenlememizde... Biz, telefon numarasının açık rıza dışında istenebileceğini -en azından sekiz yıllık süreçte- görmedik. Hani, genel olarak şunu söyleyeyim: Tabii, yine konu yapay zekâ olduğu için... Mesela, 8 tane veri işleme şartı var genel nitelikli veriler için, bu şartlardan en az birine dayanamıyor iseniz, bu veri işleme hukuka aykırıdır. Tabii, bizim buradaki ilkelerimizde veri minimizasyonu var yani gereğinden fazla verinin işlenmemesi gerekiyor. Bunu nasıl tespit ediyoruz? Amaç nedir? Bu amaç için kullanılan araç yani veri nedir? Bu ikisi arasında bir denge var mıdır, yok mudur? Mesela şöyle yerleşmiş bir içtihadımız var, işte: Spor merkezlerinde vatandaşların girişi çıkışı için biyometrik verilerinin alınmasını, parmak izi ya da retina, göz veya avuç içi verilerinin alınmasını, bunları biz ölçüsüz buluyoruz, amaç için bu gerekli değildir. Orada amaç giriş çıkışsa bu pekâlâ, hatta, ismi olmayan bir kartla da sağlanabilir. O yüzden, biyometrik veri çok önemli bir veri, tekil veri, ünik veri, dolayısıyla sahtesi dahi yapılamıyor, onunla ilgili kararımız var.

Bir başka husus...

EDNAN ARSLAN (İzmir) - Peki, bu uygulanıyor mu Sayın Başkan? Mesela, kamu kurumlarında çalışan memur, işçi geldiğinde hemen yüz taraması yaptırmak zorunda ya da parmak izi vermek zorunda.

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR -

Mesai takibi için biyometrik veriyi ve retinayı biz de ölçülü bulmuyoruz, Anayasa Mahkemesi de Danıştay da ölçülü bulmuyor.

EDNAN ARSLAN (İzmir) - Bununla ilgili, kurumlara yaptırım ne? Bence mobbing yani benim bakış açıma göre mobbing.

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR - Yani, yapan kamu kurumu var mı, ben bilmiyorum.

EDNAN ARSLAN (İzmir) - Var, hemen hemen bütün kamu kurumları.

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR - Mesai takibi için...

EDNAN ARSLAN (İzmir) - Tabii, tabii. Belediyeler de var benim bildiğim, gittiğimiz kamu kurumlarında var.

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR -

Bizim yaptırımımız kamu kurumlarına disiplin hükümleri uygulatıyoruz ve veri işlemeyi durduruyoruz.

EDNAN ARSLAN (İzmir) - Yani birisi gidip, çalışan gidip şikâyet ettiği zaman o kurumun o veri işlemesi duruyor, değil mi?

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR - Durması gerekiyor.

EDNAN ARSLAN (İzmir) - Doğrusu da o zaten.

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR - Bu vergi rekortmenliğiyle ilgili olarak -eğer yanlış bilmiyorsam- gelir vergisinden dolayı kişinin isminin açıklanmaması... Bu veri işleme faaliyetinin ancak açık rızayla gerçekleşebileceğini -en azından sizin anlatımlarınızda- dolayısıyla kişinin bu konuda açık rızası yok ise açıklanmaması gerektiğini düşünüyorum.

EDNAN ARSLAN (İzmir) - Şirket, tüzel kişi?

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR - Şirketlerde zaten şirketlerin verileri bu kanun kapsamında olmadığı için veri ihlali gündeme gelmeyecektir.

EDNAN ARSLAN (İzmir) - Zaten onlar açıklanıyor.

KİŞİSEL VERİLERİ KORUMA KURUMU BAŞKANI FARUK BİLİR - Evet.

Ama sizin belirtmek istediğiniz bir husus... Ben, yapay zekâdaki en çok tartışma alanlarından birinin bu olacağını düşünüyorum. Şimdi, kişiler bu verilerini yapay zekâ tabanlı sistemlerde kullanılıp kullanılmadığıyla ilgili olarak... Çünkü bazı incelemelerde büyük teknoloji firmaları bunların anonim veriler olduğunu söylüyor; iddia ediliyor, yapay zekânın kullandığı verilerin anonim veriler olduğu düşünülüyor. Bizim kanunda anonimlik şöyle tanımlanmış: "Kişiyle hiçbir bağlantısı kurulamaması." Ve Avrupa Birliğindeki çalışmalara baktığımız zaman aslında yüzde 100'lük anonimlikten bahsedilmiyor. Yani "Mutlaka elinizde bir veri var ise bunun kişiyle bağlantısı bir şekilde kurulabilir." diye görüşler var. Dolayısıyla, yapay zekâ tabanlı sistemlerde de bu anonimliğin ön planda olduğunu ben düşünüyorum.