A. Bilinçaltı ve Aldatıcı Teknikler Vasıtasıyla İradeyi Sakatlamak

Madde 5/1-a

Kişinin bilincinin ötesinde bilinçaltı teknikler veya kasıtlı olarak manipülatif veya aldatıcı teknikler kullanan, bilinçli karar verme yeteneğini önemli ölçüde zayıflatmak suretiyle bir kişinin veya bir grup kişinin davranışlarını esaslı biçimde değiştirmek amacına veya etkisine sahip, böylece kişinin başka türlü almayacağı bir kararı almasına neden olarak bu kişiye veya başkalarına önemli ölçüde zarar veren veya vermesi makul ölçüde muhtemel olan bir YZ sisteminin piyasaya sürülmesi, hizmete sunulması veya kullanılması yasaktır.

Söz konusu madde, YZ sistemlerinin kişilerin özerkliğini ve karar verme yeteneklerini ihlal edici kullanımlarını yasaklamayı hedefleyen karmaşık bir düzenlemeyi ortaya koymaktadır. Maddenin özünde, YZ sistemlerinin manipülatif ve aldatıcı teknikler aracılığıyla kişilerin bilinçli karar verme mekanizmalarını etkisiz hale getirerek, zararlı sonuçlara yol açabilecek eylemlere yönlendirmesi tehlikesi yatmaktadır. 

Hükmün uygulanabilmesi için dört temel unsurun bir arada bulunması gerekmektedir.

Birinci unsur, sistemin "bilinçaltı teknikler" veya "kasıtlı olarak manipülatif veya aldatıcı teknikler" kullanmasıdır. Bu iki farklı teknik türü alternatifli olarak düzenlenmiştir. 

Bilinçaltı teknikler, yapay zekanın kişinin farkında olmadan karar alma süreçlerine müdahale edebileceği yöntemlere işaret etmektedir. Kişinin karar alma sürecinde yeterli bilgiye sahip olması ve özgür iradesiyle bu kararı alması esastır. Ancak, YZ sistemlerinin bilinçaltı tekniklerle bu sürece müdahalesi, kişinin iradesini sakatlamaktadır. Manipülatif veya aldatıcı teknikler ise, kişileri yanıltarak veya eksik ya da yanlış bilgi sunarak, onları belirli bir karara yönlendirmeyi amaçlar. Bu tekniklerin ortak noktası, kişinin rasyonel değerlendirme ve karar verme süreçlerini atlayarak, doğrudan duygusal veya bilinçdışı tepkileri hedef almalarıdır.

İkinci unsur, bu tekniklerin kullanımının "kişinin veya bir grup kişinin davranışlarını esaslı biçimde değiştirme amacına veya etkisine" sahip olmasıdır. Burada dikkat edilmesi gereken nokta, düzenlemenin hem amacı hem de etkiyi kapsayacak şekilde kaleme alınmış olmasıdır. Dolayısıyla, yapay zeka sisteminin tasarımcılarının niyetinden bağımsız olarak, sistem fiilen böyle bir etki yaratıyorsa da yasak kapsamında değerlendirilebilecektir.

Üçüncü unsur, sistemin "bilinçli karar verme yeteneğini önemli ölçüde zayıflatması" ve bunun sonucunda "kişinin başka türlü almayacağı bir kararı almasına neden olması"dır. Bu unsur, nedensellik bağını ortaya koymakta ve manipülasyonun somut bir sonuca yol açması gerekliliğini vurgulamaktadır. 

"Bilinçli karar verme yeteneğini önemli ölçüde zayıflatmak" ifadesi, YZ sistemlerinin etkisinin kişinin özerkliğini anlamlı bir şekilde kısıtlaması gerektiğini vurgular. Bu, YZ sisteminin etkisinin geçici veya önemsiz bir etki olmaktan ziyade, kişinin karar verme sürecinde belirleyici bir rol oynaması anlamına gelir. Bir kişinin normalde almayacağı bir kararı almasına neden olan etki, manipülasyonun varlığını gösteren önemli bir kriterdir. 

Dördüncü unsur ise, bu durumun "kişiye veya başkalarına önemli ölçüde zarar vermesi veya vermesinin makul ölçüde muhtemel olması"dır. Söz konusu zarar, maddi zararlar olabileceği gibi, manevi zararları da kapsayabilir. Ayrıca, zararın sadece kişiye değil, başkalarına da yönelmiş olabileceği öngörülmüştür. "Makul ölçüde muhtemel" ifadesi ise, zararın gerçekleşmesi için kesinlik gerekmediğini, bir potansiyelin/riskin yeterli olduğunu gösterir. Bu da, önleyici bir yaklaşım benimsenerek, zararın gerçekleşmeden önce önlenmesinin amaçlandığına işaret etmektedir. 

Pratik bir örnek vermek gerekirse, kişilerin alışveriş alışkanlıklarını analiz ederek, onların psikolojik zayıf noktalarını tespit eden ve bu bilgileri belli teknikler altında kullanarak aşırı harcama yapmalarına neden olan bir YZ sistemi bu yasak kapsamına girebilecektir.  

Bu düzenlemenin uygulanmasında karşılaşılabilecek en önemli zorluk, "önemli ölçüde" ve "esaslı biçimde" gibi göreceli kavramların yorumlanmasıdır. Modern pazarlama ve reklam tekniklerinin çoğunun bir ölçüde davranış değiştirmeyi hedeflediği düşünüldüğünde, hangi uygulamaların bu yasak kapsamına gireceğinin belirlenmesi önemli bir yorum meselesidir. Ayrıca, bilinçaltı veya manipülatif tekniklerin kullanıldığının ispatı da uygulamada zorluklar yaratabilecek bir konudur.

B. Savunmasız Kişi Gruplarını İstismar Etmek

Madde 5/1-b

Bir gerçek kişinin veya belirli bir grup kişinin yaşı, engelliliği veya belirli bir sosyal veya ekonomik durumu nedeniyle savunmasızlığını istismar eden bir YZ sisteminin, söz konusu kişinin veya bu gruba mensup bir kişinin davranışını, söz konusu kişinin veya başka bir kişinin önemli ölçüde zarar görmesine neden olacak veya makul ölçüde zarar görmesi muhtemel olacak şekilde esaslı olarak bozma amacı veya etkisi ile piyasaya sürülmesi, hizmete sunulması veya kullanılması yasaktır.

Düzenlemenin temel amacı, toplumun kırılgan kesimlerini yapay zeka sistemlerinin potansiyel istismarından korumaktır. Burada kanun koyucu, özellikle yaş (çocuklar ve yaşlılar), engellilik durumu ve sosyo-ekonomik dezavantajlar nedeniyle savunmasız durumda olan kişi ve grupları koruma altına almaktadır. Hüküm incelendiğinde, yasaklanan eylemin üç temel unsuru içerdiği görülmektedir.

Birinci unsur, savunmasızlığın istismarıdır. Burada kanun koyucu "istismar" veya “kötüye kullanma” kavramını kullanarak, salt savunmasız gruplarla etkileşimde bulunmayı değil, bu durumun kötüye kullanılmasını yasaklamaktadır. Bu bağlamda istismar sadece bir zarar verme fiili olarak değil, aynı zamanda bir "zayıflıktan avantaj sağlama" durumu olarak da anlaşılabilir. 

İkinci unsur, davranışın "esaslı olarak bozulması"dır. "Davranışın esaslı olarak bozulması" ifadesi, kişinin karar alma kapasitesine veya eylem özgürlüğüne ciddi müdahaleyi ifade etmektedir. Burada "esaslı bozulma" ile kastedilen, kişinin normalde vermeyeceği bir kararı vermesi veya normalde sergilemeyeceği bir davranışı sergilemesidir. Bu kavram, basit veya önemsiz davranış değişikliklerini değil, ciddi ve kayda değer etkileri olan değişiklikleri kapsamaktadır.

Üçüncü unsur ise, önemli ölçüde zarar görme veya zarar görme ihtimalidir. "Önemli ölçüde zarar", fiziksel, ekonomik, psikolojik veya sosyal biçimde ortaya çıkabilir. Örneğin, bir kişinin dolandırılması, mali açıdan istikrarsızlığa düşmesine neden olabilir, ya da bir grubun manipülatif içeriklere maruz kalması toplumsal açıdan olumsuz etkiler yaratabilir. Burada dikkat çekici olan, zararın mutlaka gerçekleşmesinin aranmaması, makul bir zarar ihtimalinin de yeterli görülmesidir. Bu yaklaşım, önleyici bir koruma sağlamaktadır.

Düzenleme, koruyucu niteliği bakımından olumlu olmakla birlikte, "savunmasızlık" kavramının sınırlarının net olmaması bir sorundur. Hangi sosyal veya ekonomik durumların kişiyi "savunmasız" kılacağı tartışmaya açıktır. Bu durum, hukuki belirlilik ilkesi açısından sorun teşkil edebilir.

C. Sosyal Puanlama

Madde 5/1-c

Gerçek kişilerin veya kişi gruplarının sosyal davranışlarına veya bilinen, çıkarılan veya tahmin edilen kişisel veya kişilik özelliklerine dayalı olarak belirli bir süre boyunca değerlendirilmesi veya sınıflandırılması için yapay zeka sistemlerinin piyasaya sürülmesi, hizmete sunulması veya kullanılması ve sosyal puanın aşağıdakilerden birine veya her ikisine yol açması durumunda söz konusu YZ uygulaması yasaktır.

(i) verilerin orijinal olarak üretildiği veya toplandığı bağlamlarla ilgisi olmayan sosyal bağlamlarda belirli gerçek kişilere veya kişi gruplarına zarar verici veya olumsuz muamele;

(ii) belirli gerçek kişilere ya da kişi gruplarına, sosyal davranışları ya da bu davranışların ciddiyetiyle orantısız ya da haksız bir şekilde zarar verici ya da olumsuz muamele.

Bu düzenleme, sosyal puanlama sistemlerinin (social scoring) YZ yoluyla kullanımıyla ilgili önemli bir yasaklama getirmektedir. Sosyal puanlama sistemleri, kişilerin davranışlarını, kişilik özelliklerini veya toplumsal ilişkilerini değerlendirerek, onlara belirli bir "puan" atayan algoritmalardır. Bu puanlar genellikle kişilerin belirli avantajlara erişimini (örneğin kredi alabilirlik) veya dezavantajlarla karşılaşmasını (örneğin bir hizmetin reddedilmesi) etkilemektedir.

Hükümde bahsi geçen sosyal davranışlar, kişilerin toplum içindeki etkileşimlerini ve davranış biçimlerini ifade ederken, kişisel özellikler daha çok kişinin karakteristik niteliklerini, inançlarını ve değerlerini kapsamaktadır. Bu sistemler özellikle, sosyal medya etkileşimleri, finansal ödeme alışkanlıkları, toplumsal davranış (örneğin bir otoriteye uyum derecesi), ceza geçmişi veya diğer davranışsal veriler üzerinden kişileri sınıflandırmaktadır.

Madde, hem kişisel kişileri hem de belirli grupları kapsamaktadır. Bu, YZ uygulamalarının hem kişiler üzerinde hem de topluluklar üzerinde potansiyel etkilerini göz önünde bulundurarak, geniş bir koruma sağlamak amacı taşımaktadır.

Maddede vurgulanan bir diğer husus değerlendirmenin süreklilik taşımasıdır. Bu süreklilik, tek seferlik değerlendirmeden farklı olarak, kişilerin davranışlarını belirli bir süre boyunca izleyip değerlendirmeyi ve sistematik bir gözlem sürecini içerir.

Hüküm gereğince sosyal puanlama sistemleri, iki temel duruma neden olması halinde yasaktır. 

Bunlardan ilki, verilerin ilk toplandığı bağlamın dışında farklı bir bağlamda, bu puanlar dolayısıyla kişilere veya gruplara zarar verici veya ayrımcı muamele uygulanmasıdır. Örneğin, bir alışveriş platformunda toplanan verilerin, kişilerin kredibilitesini değerlendirmede veya iş başvurularında kullanılması bu kapsama girer. Bu durumda, veriler, toplandığı bağlamdan (alışveriş) farklı bir bağlamda ( iş değerlendirmesi) kullanılmıştır. Böyle bir durumda, bu kişi alışveriş platformundaki veriler nedeniyle iş hayatına katılmada dezavantaj yaşayarak olumsuz bir muameleye tâbi kalmaktadır. 

İkincisi ise, kişinin davranışı ile orantısız veya haksız bir şekilde kişilere veya gruplara zarar verici veya ayrımcı muamele uygulanmasıdır. Sosyal puanlama sistemleri, kişilerin davranışlarını değerlendirmede hata yapabilir veya bu davranışların ciddiyetiyle orantısız sonuçlar üretebilir. Bu durum, basit bir davranışın, bu davranış ile orantısız bir sonuca veya cezaya yol açması veya benzer davranış sergileyen farklı kişilerin farklı muameleye tâbi olması gibi durumları kapsayabilir. Örneğin, bir kişinin bir online forumda yaptığı küçük bir tartışma nedeniyle düşük sosyal puan alması ve bu puanın kişinin iş başvurusunun reddedilmesinde etkili olması durumunda bu tür bir muamele söz konusudur. Bu durumda, uygulanan cezanın (iş başvurusunun reddi), davranış ile orantısız olduğu ve kişiye haksız biçimde zarar verdiği kabul edilebilir.

D. Profil Çıkarmaya Dayalı Suç Riski Değerlendirmesi 

Madde 5/1-d

Bir gerçek kişinin suç işleme riskini değerlendirmek veya tahmin etmek amacıyla, yalnızca o kişinin profilini çıkarmaya veya kişilik özelliklerini ve karakterini değerlendirmeye dayalı olarak, risk değerlendirmesi yapmak için bir YZ sisteminin piyasaya sürülmesi, bu özel amaçla hizmete sunulması veya kullanılması yasaktır. Bu yasak, bir kişinin suç faaliyetine karıştığına dair insan tarafından yapılan ve zaten bir suç faaliyetiyle doğrudan bağlantılı nesnel ve doğrulanabilir gerçeklere dayanan değerlendirmeyi desteklemek için kullanılan YZ sistemleri için geçerli değildir.

Bu madde, bir yapay zeka (YZ) sisteminin suç işleme riskini değerlendirme amacıyla kullanılmasına yönelik düzenleyici bir çerçeve sunmaktadır. Madde, kişilerin yalnızca profiline, kişilik özelliklerine veya karakterine dayanarak suç işleme riskini değerlendiren YZ sistemlerini yasaklamaktadır.  

Bu yasaklamanın amacı, önyargılı, adil olmayan ve ayrımcı sonuçlara yol açabilecek YZ uygulamalarını engellemektir. Gerçekten de, bu suretle, kişiler geçmiş deneyimleri, sosyal çevreleri veya kişisel özellikleri nedeniyle haksız bir şekilde suçlu olarak damgalanabilir ve gelecekteki fırsatlarından mahrum bırakılabilir. Dahası, bu tür YZ sistemleri, suçun karmaşık nedenlerini göz ardı ederek, basit ve hatalı sonuçlara ulaşabilir. 

Öncelikle yasağın söz konusu olabilmesi için YZ sisteminin suç işleme riskini değerlendirme amacı bulunmalıdır. Bu, yapay zeka sisteminin kullanım amacına ve tasarımına ilişkin bir değerlendirme yapılmasını gerektirir. Suç işleme riski değerlendirmesi, bir kişinin gelecekte bir suç işleme olasılığını tahmin etmek amacıyla yapılan analizleri ifade eder. Ayrıca yasak kapsamında olması için, YZ sisteminin değerlendirmeyi yalnızca o kişinin profilini çıkarmaya veya kişilik özelliklerini ve karakterini değerlendirmeye dayalı olarak yapması gereklidir. 

Kanunda öngörüldüğü üzere “profil çıkarma”, (AB) 2016/679 sayılı Tüzüğün 4. Maddesinin (4) numaralı bendinde tanımlanan profil çıkarma anlamına gelir (m.3/52). Bu doğrultuda, “profil çıkarma” bir gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu gerçek kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi için kişisel verilerin kullanımını ihtiva eden her türlü otomatik kişisel veri işleme biçimidir. Bir diğer ifade ile, profil çıkarma, kişilerin geçmiş verileri ve davranış modelleri üzerinden bir kimlik veya kişilik analizi oluşturma sürecidir. Bu kavram, yapay zeka sistemlerinin büyük veri analizi yoluyla kişilerin özel hayatlarını derinlemesine inceleme riskini içerir. Kişilik değerlendirmesi ise kişilerin karakter özelliklerini analiz ederek gelecekteki davranışlarını öngörmeyi amaçlar.

Bununla birlikte, hükmün ikinci kısmı bir istisna getirmektedir. Bir kişinin suç faaliyetine karıştığına dair “insan tarafından” yapılan ve “nesnel ve doğrulanabilir gerçeklere” dayanan bir değerlendirmeyi “desteklemek” amacıyla kullanılan YZ sistemleri bu yasağın dışındadır. Bir diğer ifade ile, eğer bir kişinin suç işlediği insan tarafından yapılan, nesnel ve doğrulanabilir gerçeklere dayanan bir değerlendirme ile tespit edilmişse, YZ sistemleri bu değerlendirmeyi desteklemek amacıyla kullanılabilir. Bu, YZ'nin adli süreçlerde yardımcı bir araç olarak kullanılmasına izin verirken, nihai kararın insan kontrolünde kalmasını sağlar. Bu istisna, yapay zekanın suç önleme veya soruşturma süreçlerindeki destekleyici rolünü kabul etmektedir. Bu sayede, hem YZ teknolojilerinin sunduğu avantajlardan yararlanılabilir hem de kişilerin temel hakları korunabilir.

YZ, büyük veri setlerini analiz ederek, insan analistlerin gözden kaçırabileceği kalıpları ve bağlantıları ortaya çıkarabilir. Ancak, bu analizler, insan değerlendirmesi ve sağduyusuyla birleştirildiğinde anlamlı hale gelir. Suçun karmaşık doğası, yalnızca algoritmalara bırakılamayacak kadar hassas bir konudur. Bu doğrultuda, madde hükmü koruyucu nitelikte olup, ceza hukukunun temel ilkelerinden olan masumiyet karinesi ve kişi onurunun korunması ilkeleriyle de uyumludur. 

E. Yüz Tanıma Veritabanı Oluşturmak

Madde 5/1-e

İnternetten veya CCTV kayıtlarından, yüz görüntülerinin hedeflenmemiş bir şekilde toplanması yoluyla yüz tanıma veritabanları oluşturan veya genişleten YZ sistemlerinin piyasaya sürülmesi, bu özel amaçla hizmete sunulması veya kullanılması yasaktır.

Hüküm, özellikle veri toplama yöntemine odaklanarak, yüz tanıma veritabanlarının oluşturulması veya genişletilmesi için internet veya CCTV kayıtlarından hedeflenmemiş bir şekilde yüz görüntüleri toplanmasını yasaklamaktadır. Buradaki önemli husus, yasağın kapsamının "hedeflenmemiş" veri toplama faaliyetlerini içermesidir. Bir diğer ifade ile, belirli bir amaç gütmeyen, rastgele ve ayrım gözetmeksizin veri toplanması yasaklanmıştır.

Düzenleme spesifik olarak iki veri kaynağına atıfta bulunmaktadır: internet ve CCTV kayıtları. Bu kaynakların açıkça belirtilmesi, düzenlemenin uygulama alanını netleştirmektedir. İnternet kaynaklı veri toplama, sosyal medya platformları, web siteleri ve diğer çevrimiçi kaynaklardan yapılan toplamayı içerirken, CCTV kayıtları fiziksel mekanlardaki gözetim kameralarını kapsamaktadır.

Bu yasağın temel gerekçesi, kişilerin temel hak ve özgürlüklerinin, özellikle de özel hayat ve kişisel verilerin korunması hakkının güvence altına alınmasıdır. İnternet ve CCTV kayıtları, genellikle kişilerin bilgisi veya rızası olmadan elde edilen çok miktarda kişisel veri içerir.  Bu verilerin hedeflenmemiş bir şekilde toplanarak yüz tanıma veritabanlarında kullanılması, kişilerin mahremiyetine ciddi bir müdahale oluşturabilir ve öngörülemeyen sonuçlara yol açabilir. 

Örneğin, halka açık bir alanda CCTV kameralarına yansıyan bir kişinin görüntüsü, rızası olmadan bir yüz tanıma veritabanına eklenebilir ve bu veritabanı daha sonra güvenlik, reklam veya başka amaçlarla kullanılabilir. Bu durum, kişinin izlenmesi ve fişlenmesi gibi riskleri beraberinde getirebilir.

Ayrıca, hedeflenmemiş veri toplama yöntemleri, veri kalitesi ve güvenilirliği açısından da sorunlu olabilir. İnternet veya CCTV kayıtlarından elde edilen görüntülerin kalitesi nedeniyle hatalı tanımlamalar söz konusu olabilir. Bu durum da yanlış eşleştirme ve haksız uygulama riskini artırmaktadır.

F. İşyerinde ve Eğitim Kurumlarında Duygu Analizi

Madde 5/1-f

Tıbbi veya güvenlik nedenleriyle kullanılmak üzere piyasaya sürülmesi veya hizmete sunulması durumları hariç olmak üzere, işyerinde ve eğitim kurumlarında bir gerçek kişinin duygularından anlam çıkarmak için YZ sistemlerinin piyasaya sürülmesi, bu özel amaçla hizmete sunulması veya kullanılması yasaktır.

Düzenleme, insan duygularını analiz etmek için tasarlanmış (örneğin yüz ifadelerinden, ses tonundan veya biyometrik verilerden duygusal durumları analiz eden teknolojiler) yapay zeka sistemlerinin kullanımını hedef almaktadır. Söz konusu hüküm, işyerleri ve eğitim kurumlarında kişilerin duygularını analiz eden YZ sistemlerinin kullanımını ilke olarak yasaklamaktadır. 

Hükümde dikkat çeken bir nokta, "bir gerçek kişinin duygularından anlam çıkarmak" ifadesinin kullanılmasıdır. Bu ifade, yapay zeka sisteminin amacına odaklanmaktadır. Yani sistem sadece duyguları tespit etmekle kalmayıp, bu duygulardan bir anlam çıkarma, yorumlama veya değerlendirme yapması durumunda yasak kapsamına girmektedir. 

Yasaklama, işyerleri ve eğitim kurumları gibi belirli alanlarda uygulanmaktadır. Örneğin, bir öğrencinin sınav esnasındaki duygusal durumunun analiz edilmesi veya bir çalışanın iş görüşmesi sırasındaki duygusal tepkilerinin değerlendirilmesi gibi uygulamalar açıkça yasaklanmıştır.

Gerçekten de işyerleri ve eğitim kurumları gibi hassas ortamlarda, kişilerin duygularının izlenmesi ve analiz edilmesi, güç dengesizliklerine ve ayrımcılığa yol açabilecek riskler taşımaktadır. Yapay zeka sistemlerinin duyguları doğru şekilde analiz edememesi ya da belirli demografik gruplar (örneğin, farklı etnik kökenlere sahip kişiler) üzerinde yanlış sonuçlar üretmesi ayrımcılık sorunlarına yol açabilir. Örneğin, bir işyerinde çalışanların duygu durumlarına göre performanslarının değerlendirildiği bir senaryoda, yanlış analizler haksız muameleye neden olabilir.

Hüküm, "tıbbi veya güvenlik nedenleriyle" kullanımları istisna tutmaktadır. Örneğin, bir psikiyatri kliniğinde hastaların duygusal durumlarının takibi için kullanılan yapay zeka sistemleri bu yasak kapsamı dışında kabul edilebilir. Bu istisna, kamu yararı ile kişisel hakların dengelenmesi açısından önem taşımaktadır. 

G. Biyometrik Kategorizasyon

Madde 5/1-g

Biyometrik verilere dayanarak gerçek kişilerin ırk, siyasi görüş, sendika üyeliği, dini veya felsefi inançlar, cinsel yaşam veya cinsel yönelimleri hakkında çıkarım yaparak bunları kategorize eden biyometrik kategorizasyon sistemlerinin bu özel amaçla piyasaya sürülmesi veya hizmete sunulması veya kullanılması yasaktır. Bu yasak, yasal olarak elde edilmiş görüntüler gibi biyometrik veri setlerinin biyometrik verilere dayalı olarak etiketlenmesini veya filtrelenmesini ya da adli işlem ya da kolluk faaliyetleri alanında biyometrik verilerin kategorize edilmesini kapsamaz.

Biyometrik veriler, yüz görüntüleri veya parmak izi verileri gibi, gerçek kişinin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin özel teknik işlemeden elde edilen kişisel verilerdir (m.3/34). Örneğin parmak izi, yüz tanıma, DNA, iris/retina, ses gibi özellikler biyometrik veri kapsamındadır. Biyometrik kategorizasyon (sınıflandırma) sistemi, başka bir ticari hizmete yardımcı olmadığı ve objektif teknik nedenlerle kesinlikle gerekli olmadığı sürece, gerçek kişileri biyometrik verilerine dayanarak belirli kategorilere atamak amacıyla kullanılan bir YZ sistemidir (m.3/40). Bu sistemler, biyometrik verileri kullanarak kişileri belirli özelliklerine göre sınıflandırmaktadır.

Burada yasaklanan sistemler, kişilerin ırk, siyasi görüş, sendika üyeliği, dini veya felsefi inançlar, cinsel yaşam veya cinsel yönelimleri gibi özel nitelikli kişisel verilerini tespit etmek üzere tasarlanmış sistemlerdir. Maddede "deduce or infer" (çıkarım yapma veya sonuç çıkarma) ifadesi kullanılmaktadır. Bu, sistemin doğrudan bir veri tabanından bilgi çekmesinden ziyade, biyometrik verilerden yola çıkarak tahmin yürütmesini ifade eder. Örneğin, kişinin yüz özelliklerinden etnik kökenini çıkarmaya çalışan bir sistem bu kapsamda değerlendirilecektir.

Hükümde öngörülen yasağın gerekçesi, temel insan haklarının ve kişisel mahremiyetin korunmasıdır. Zira bu tür sistemler, kişilerin mahrem ve hassas bilgilerini, sadece biyometrik verilerinden yola çıkarak tespit etmeye çalışmaktadır. Bu durum, hem özel hayatın gizliliği ilkesine hem de ayrımcılık yasağına aykırılık teşkil edebilir. Örneğin, bir işverenin biyometrik verilere dayanarak bir çalışanının siyasi görüşlerini veya dini inançlarını belirlemesi, ayrımcı kararlar almasına neden olabilir. 

Yasağın mutlak olmadığı ve belirli istisnalar içerdiği de madde metninden anlaşılmaktadır. 

İlk istisna, yasal olarak elde edilmiş biyometrik veri setlerinin etiketlenmesi veya filtrelenmesidir. Örneğin, bir fotoğraf arşivindeki görüntülerin yüz özellikleri kullanılarak düzenlenmesi bu yasak kapsamında değildir.

Diğer önemli bir istisna ise adli işlemler ve kolluk faaliyetleri alanındadır. Adli işlem ya da kolluk faaliyetleri alanında biyometrik veriler sınıflandırılabilir. Bu istisna, suçla mücadele ve kamu güvenliğinin sağlanması gibi meşru amaçlar için biyometrik verilerin kategorize edilmesine izin vermektedir. Örneğin, bir soruşturma kapsamında şüphelinin kimliğinin tespit edilmesi için biyometrik verilerin kullanılması bu kapsamda değerlendirilecektir.

H. Gerçek Zamanlı Uzaktan Biyometrik Tanımlama

1. Genel Olarak

Uzaktan biyometrik tanımlama sistemi, bir kişinin biyometrik verilerini bir referans veritabanında bulunan biyometrik verilerle karşılaştırarak, genellikle uzaktan ve aktif katılımları olmadan gerçek kişileri tanımlamak amacıyla kullanılan YZ sistemidir (m.3/41). 

Gerçek zamanlı uzaktan biyometrik tanımlama sistemi ise, biyometrik verilerin alınması, karşılaştırılması ve tanımlanmasının önemli bir gecikme olmaksızın gerçekleştiği ve yalnızca anlık tanımlamayı değil, aynı zamanda sistemin atlatılmasını önlemek için sınırlı kısa gecikmeleri de içeren uzaktan biyometrik tanımlama sistemidir (m.3/42). 

Gerçek zamanlı uzaktan biyometrik tanımlama sistemleri, kamu güvenliğinin sağlanmasında faydalar sunarken, aynı zamanda temel haklar ve özgürlükler üzerindeki olası etkileri nedeniyle tartışmalara konu olmaktadır. Söz konusu sistemler, güvenlik güçleri için faydalı araçlardır. Zira, suç oranlarının düşürülmesi ve güvenliğin artırılması gibi yararları bulunmaktadır. Ancak, bu teknolojinin yaygınlaşması, beraberinde mahremiyet ihlalleri, ayrımcılık, veri güvenliği ve kitlesel gözetim gibi önemli etik ve hukuki soruları da gündeme getirmektedir. Bu biçimde kişilerin özgürlüklerini kısıtlama ve gözetim toplumu oluşturma riski de mevcuttur. Dolayısıyla, gerçek zamanlı biyometrik tanımlama sistemlerinin kullanımı, çok yönlü bir değerlendirmeyi gerektirmektedir. 

2. Yasaklama Konusu ve İstisnalar

Madde 5/1-h

Aşağıdaki amaçlardan biri için kesinlikle gerekli olmadıkça ve gerekli olduğu ölçüde kullanılmadığı sürece, adli işlem ve kolluk faaliyetleri için kamuya açık alanlarda "gerçek zamanlı" uzaktan biyometrik tanımlama sistemlerinin kullanımı yasaktır (m.5/1-h):

(i) Adam kaçırma, insan ticareti ve cinsel istismar mağdurlarının ve kayıp kişilerin hedeflenerek aranması;

(ii) Gerçek kişilerin yaşamına veya fiziksel güvenliğine yönelik belirli, somut ve yakın bir tehdidin önlenmesi veya gerçek ve mevcut ya da gerçek ve öngörülebilir bir terör saldırısı tehdidinin önlenmesi;

(iii) Ek II’de belirtilen ve ilgili Üye Devlette en az dört yıllık bir süre için hapis cezası gerektiren suçlar bakımından, soruşturma, kovuşturma veya cezai yaptırım uygulanması amacıyla, suç işlediğinden şüphelenilen kişinin yerinin veya kimliğinin tespit edilmesi. 

Bu bent, biyometrik verilerin adli işlem ve kolluk faaliyetleri dışındaki amaçlarla işlenmesine ilişkin (AB) 2016/679 sayılı Tüzük’ün 9. Maddesine halel getirmez. 

Hüküm, kamuya açık alanlarda gerçek zamanlı uzaktan biyometrik tanımlama sistemlerinin adli işlem ve kolluk faaliyetleri amacıyla kullanımını kural olarak yasaklamaktadır. 

Kamuya açık alan, erişim için belirli koşulların uygulanıp uygulanmadığına ve potansiyel kapasite kısıtlamalarına bakılmaksızın, belirsiz sayıda gerçek kişinin erişimine açık olan, kamuya veya özel mülkiyete ait herhangi bir fiziksel yerdir (m.3/44).

"Adli makam ve kolluk kuvveti", (a) kamu güvenliğine yönelik tehditlerin önlenmesi ve bunlara karşı koruma sağlanması da dahil olmak üzere, suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezai yaptırımların infazı konusunda yetkili olan herhangi bir kamu makamı; veya (b) kamu güvenliğine yönelik tehditlerin önlenmesi ve bunlara karşı koruma sağlanması da dahil olmak üzere, suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezai yaptırımların infazı amacıyla kamu otoritesini ve kamu yetkilerini kullanmak üzere Üye Devlet hukuku tarafından yetkilendirilmiş diğer herhangi bir kurum veya kuruluştur (m.3/45). "Adli işlem ve kolluk faaliyeti" ise, kamu güvenliğine yönelik tehditlerin önlenmesi ve bunlara karşı koruma sağlanması da dahil olmak üzere, suçların önlenmesi, soruşturulması, tespiti veya kovuşturulması ya da cezai yaptırımların infazı için adli makamlar ve kolluk kuvvetleri tarafından veya onlar adına yürütülen faaliyetlerdir (m.3/46). 

Bu sistemlerin belirli istisnai şartlarda kullanılması mümkündür. 

İlk istisna, adam kaçırma, insan ticareti ve cinsel istismar suçu mağdurlarının ve kayıp kişilerin hedefli olarak aranmasıdır.  Bu istisnada "hedefli arama" ifadesi önemlidir. Burada genel bir tarama değil, belirli kişilerin aranması söz konusudur.

İkinci istisna, tehdit önlemeye ilişkindir. Bu istisna iki farklı durumu kapsamaktadır. Bunlardan ilki, kişilerin yaşamına veya fiziksel güvenliğine yönelik belirli, önemli ve yakın tehditlerdir. İkincisi ise terör saldırısına ilişkin gerçek ve mevcut ya da öngörülebilir tehditlerdir.

Üçüncü istisna ise şüpheli tespiti konusundadır. Suç soruşturması, kovuşturması veya cezai yaptırım uygulanması amacıyla şüphelilerin tespit edilmesi için Gerçek zamanlı uzaktan biyometrik tanımlama sistemleri kullanılabilir. Ancak bunun için, suçun Ek II'de belirtilen suçlardan olması ve ilgili üye devlette en az dört yıl hapis cezası gerektiren bir suçun varlığı gereklidir.

Ek II'de öngörülen suçlar şunlardır:

- Terörizm,

- İnsan ticareti,

- Çocukların cinsel istismarı ve çocuk pornografisi,

- Uyuşturucu veya psikotrop maddelerin yasadışı ticareti,

- Silah, mühimmat veya patlayıcıların yasadışı ticareti,

- Cinayet, ağır bedensel yaralama,

- İnsan organları veya dokularının yasadışı ticareti,

- Nükleer veya radyoaktif maddelerin yasadışı ticareti,

- Adam kaçırma, yasadışı alıkoyma veya rehin alma,

- Uluslararası Ceza Mahkemesi'nin yargı yetkisi dahilindeki suçlar,

- Uçak veya gemilere yasadışı ele geçirilmesi,

- Tecavüz,

- Çevre suçu,

- Organize veya silahlı soygun,

- Sabotaj,

- Yukarıda listelenen suçlardan bir veya daha fazlasına karışan bir suç örgütüne katılım.

İstisnalar, "kesinlikle gerekli olması" ve "gerekli olduğu ölçüde kullanılması” ölçütleri ile sınırlandırılmıştır. Burada vurgu yapılan iki ilke ölçülülük ve gereklilik ilkelerdir. Bu ilkeleri, devletin kişinin temel haklarına müdahalesinin yalnızca zorunlu olduğunda ve mümkün olan en az şekilde yapılmasını gerektirir. Bir diğer ifade ile, bu aracın kullanımı belirli ve somut bir amacın elde edilmesi için vazgeçilmez olmalı ve bu amaca ulaşmak için gerekli olan minimum düzeyde müdahaleci olmalıdır. Şu hâlde, alternatif ve daha az müdahaleci yöntemler kullanılarak aynı sonuca ulaşılabilirse bu teknolojilerin kullanımı hukuka uygun olmayacaktır. Örneğin, bir alışveriş merkezinde bombalı saldırı düzenleneceğine dair bir istihbarat alındığında, bu tehdidin ciddiyeti, tehdidin gerçekleşme olasılığı ve biyometrik tanımlama sistemlerinin kullanımının tehdidi önlemedeki etkinliği gibi ölçütler dikkate alınarak, gereklilik değerlendirilmesi yapılmalı ve orantılı bir müdahalede bulunulmalıdır.

Hüküm genel olarak kişilerin mahremiyet hakkını ve veri koruma yükümlülüklerini ön planda tutmakla birlikte, kolluk kuvvetlerine tanınan istisnaların sınırlarının belirgin olmaması durumunda kötüye kullanım risklerinin varlığı dikkate alınmalıdır. Özellikle terör tehdidi gibi geniş tanımlı bir kavramın, hukukun sınırlarını aşarak geniş çaplı izlemeye dönüşme tehlikesi bulunur. 

Hükmün son kısmı, biyometrik verilerin adli işlem ve kolluk faaliyetleri dışındaki amaçlarla işlenmesine ilişkin (AB) 2016/679 sayılı Tüzük’ün (GDPR) 9. maddesine atıfta bulunarak, bu madde ile getirilen yasaklamanın kapsamını netleştirmektedir.  Bu atıf, GDPR'nin 9. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenmesine ilişkin kuralların, biyometrik verilerin adli ve kolluk faaliyetleri dışındaki amaçlarla işlenmesi durumlarında da uygulanmaya devam edeceğini vurgulamaktadır.  Bu durum, söz konusu Kanun maddesinin, GDPR'nin kişisel verilerin korunmasına ilişkin genel çerçevesiyle uyumlu bir şekilde yorumlanması gerektiğini göstermektedir. Bir diğer ifade ile, biyometrik verilerin işlenmesi, her durumda, GDPR'nin öngördüğü ilkelere, özellikle de veri minimizasyonu, amaç sınırlama ve veri güvenliği ilkelerine uygun olmalıdır.

3. İstisnai Kullanımın Sınırı

Madde 5/2

Gerçek zamanlı uzaktan biyometrik tanımlama sistemlerinin 1. paragraf, birinci alt paragraf, (h) bendinde atıfta bulunulan amaçlardan herhangi biri için adli işlem ve kolluk faaliyetleri kapsamında kamuya açık alanlarda kullanılması, yalnızca bu maddede belirtilen amaçlar doğrultusunda özellikle hedeflenen kişinin kimliğini doğrulamak için kullanılacak ve aşağıdaki unsurlar dikkate alınacaktır (m.5/2):

(a) sistemin kullanılmaması durumunda ortaya çıkabilecek zararın ciddiyeti, olasılığı ve ölçeği de dahil olmak üzere, olası kullanıma yol açan durumun niteliği;

(b) sistemin kullanımının ilgili tüm kişilerin hak ve özgürlükleri açısından doğuracağı sonuçlar, özellikle de bu sonuçların ciddiyeti, olasılığı ve ölçeği. 

Ayrıca, kamuya açık alanlarda adli işlem ve kolluk faaliyetleri kapsamında 1. paragraf, birinci alt paragraf, (h) bendinde belirtilen amaçlardan herhangi biri için "gerçek zamanlı" uzaktan biyometrik tanımlama sistemlerinin kullanımı, kullanımı yetkilendiren ulusal hukuka uygun olarak, özellikle zamansal, coğrafi ve kişisel sınırlamalar açısından, kullanıma ilişkin gerekli ve orantılı güvenlik tedbirlerine ve koşullara uygun olmalıdır. “Gerçek zamanlı” uzaktan biyometrik tanımlama sisteminin kamuya açık alanlarda kullanımına ancak adli makam ve kolluk kuvveti Madde 27'de öngörüldüğü şekilde bir temel haklar etki değerlendirmesini tamamlamış ve sistemi Madde 49 uyarınca AB veri tabanına kaydetmiş olması halinde izin verilir. Ancak, usulüne uygun olarak gerekçelendirilmiş acil durumlarda, kayıt işleminin gecikmeksizin tamamlanması şartıyla, kayıt işlemi yapılmaksızın sistemin kullanımına başlanabilir.

Hüküm, bir önceki fıkraya (paragraf 1, birinci alt paragraf, (h) bendi) atıfta bulunarak, bu tür bir kullanım için izin verilen amaçlara değinmektedir. Bu amaçlar, belirli suç mağdurlarının bulunması, yakın tehditlerin veya terör saldırılarının önlenmesi ve ağır hapis cezaları gerektiren ciddi suçları işlediğinden şüphelenilen kişilerin yakalanması gibi belirli ve ciddi senaryolarla sınırlıdır. Bu hüküm de, söz konusu amaçlar üzerine inşa edilerek daha fazla kısıtlama ve denetim katmanı eklemektedir. 

Hüküm gereğince, izin verilen amaçlar doğrultusunda bile, sistem yalnızca hedeflenen kişinin kimliğini doğrulamak için kullanılabilir. Bu kabul, ayrım gözetmeksizin yapılan kitlesel gözetimi reddetmek anlamına gelir. Örneğin, belirli bir terör şüphelisinin kimliğinin doğrulanması amacıyla biyometrik tanımlama sistemi kullanılabilir.

Madde, sistemlerin kullanımının değerlendirilmesinde dikkate alınması gereken iki temel unsuru belirlemektedir. Bunlardan ilki, sistemin kullanılmaması durumunda ortaya çıkabilecek zararın ciddiyeti, olasılığı ve ölçeği de dahil olmak üzere, olası kullanıma yol açan durumun niteliğidir. İkincisi ise, sistemin kullanımının ilgili tüm kişilerin hak ve özgürlükleri açısından doğuracağı sonuçlar, özellikle de bu sonuçların ciddiyeti, olasılığı ve ölçeğidir. Bu unsurlar, orantılılık ilkesinin bir yansımasıdır. 

Bu doğrultuda ilk olarak, "durumun niteliği", özellikle de sistem kullanılmadığı takdirde ortaya çıkacak olan "zararın ciddiyeti, olasılığı ve ölçeği" göz önünde tutulmalıdır. Bu, daha az müdahaleci yöntemlerin değerlendirilmesini ve bunların tehdidi ele almak için yetersiz olacağının gösterilmesini gerektirir. İkinci olarak, sistemin kullanımının tüm ilgili kişilerin hak ve özgürlükleri üzerindeki etkisi değerlendirilmelidir. Kullanım ile birlikte, yalnızca hedeflenen kişinin değil, aynı zamanda diğer kişilerin de hak ve özgürlüklerini etkilenebileceği gözden kaçırılmamalıdır. Yapılacak değerlendirmede, müdahalenin ciddiyeti, olasılığı ve ölçeği gibi ölçütler dikkate alınmalıdır.

Örneğin, kayıp bir çocuğun bulunması veya terör saldırısının önlenmesi gibi durumlarda, sistemin kullanılmaması durumunda ortaya çıkabilecek zararın ciddiyeti ve olasılığı yüksek olabilir. Ancak, bu durum tek başına sistemin kullanımını meşrulaştırmaz. Yetkililer, aynı zamanda sistemin kullanımının ilgili kişilerin hak ve özgürlükleri üzerindeki etkilerini de değerlendirmek ve bu etkilerin orantılı olduğundan emin olmak zorundadır.

Hükümde, sistemlerinin kullanımının, ulusal hukukun öngördüğü gerekli ve orantılı güvenlik tedbirlerine ve koşullarına, özellikle de zamansal, coğrafi ve kişisel sınırlamalara uygun olarak gerçekleştirilmesi gerektiğini vurgulanmaktadır. Bu bağlamda bahsi geçen sınırlamalara değinmekte yarar vardır. 

Zamansal sınırlama, sistemin kullanımı belirli bir süreyle sınırlı olmasını ifade eder. Örneğin, bir şüphelinin belirli bir tarihte belirli bir yerde olabileceği bilgisi varsa, sistem sadece o zaman diliminde ve o bölgede kullanılabilir. Coğrafi sınırlama, geniş bir alanı kapsayan genel bir gözetim yerine, sistemin kullanımının belirli bir bölgeyle (bir havaalanı, bir stadyum, belirli bir mahalle gibi) sınırlandırılmasıdır. Kişisel sınırlama ise, herkesin biyometrik verilerinin taranması yerine, sistem sadece belirli şüpheliler veya aranan kişiler için kullanılmasıdır.

Madde, bu sistemlerin kullanımına ilişkin bazı hukuki ve usuli güvenceler de öngörmektedir. 

Madde 27 uyarınca, biyometrik sistemlerin kullanımı öncesinde bir temel haklar etki değerlendirmesi yapılması gereklidir. Bu değerlendirme, kişilerin hak ve özgürlüklerine olası etkilerin sistematik bir şekilde incelenmesini içermektedir. 

Yine sistem, Madde 49 çerçevesinde Avrupa Birliği veri tabanına kaydedilmelidir. Bu da, şeffaflığı ve denetimi sağlamaya yönelik bir önlemdir. Ancak, usulüne uygun olarak gerekçelendirilmiş acil durumlarda, bu kayıt yapılmaksızın sistemin kullanımına başlanabilir. Bu istisna, acil müdahale gerektiren durumlarda sistemin kullanımının gecikmemesi için konulmuştur. Örneğin, bir kaçırılma vakasında, kayıp kişinin bulunması için sistemin acilen kullanılması gerekebilir.

4. İzin Usulü

Madde 5/3

1. paragraf, birinci alt paragraf, (h) bendi ve 2. paragraf ile ilgili olarak, kamuya açık alanlarda gerçek zamanlı uzaktan biyometrik tanımlama sisteminin adli işlem ve kolluk faaliyet kapsamında her kullanımı, gerekçeli bir talep üzerine ve paragraf 5'te atıfta bulunulan ulusal hukukun kurallarına uygun olarak, kullanımın gerçekleşeceği Üye Devlette bulunan bir adli makam veya kararı Üye Devlet için bağlayıcı olan bağımsız bir idari makam tarafından verilen bir ön izne tabi olacaktır. Ancak, usulüne uygun olarak gerekçelendirilmiş acil durumlarda, sistemin kullanımı izin alınmadan başlatılabilir, ancak bu izin gecikmeksizin, en geç 24 saat içinde talep edilmelidir. İznin reddedilmesi halinde, sistemin kullanımı derhal durdurulur ve tüm veriler ile bu kullanımın sonuçları ve çıktıları derhal silinir ve imha edilir. 

Yetkili adli makam veya kararı bağlayıcı olan bağımsız bir idari makam, ancak kendisine sunulan nesnel kanıtlara veya açık göstergelere dayanarak, söz konusu 'gerçek zamanlı' uzaktan biyometrik tanımlama sisteminin kullanımının, talepte tanımlanan ve 1. paragraf, birinci alt paragraf, (h) bendinde belirtilen amaçlardan birini gerçekleştirmek için gerekli ve orantılı olduğuna ve özellikle de zaman, coğrafi ve kişisel kapsam açısından kesinlikle gerekli olanla sınırlı kaldığına kanaat getirdiği takdirde izin verecektir. Söz konusu makam, talep hakkında karar verirken 2. paragrafta atıfta bulunulan unsurları dikkate alacaktır. Yalnızca gerçek zamanlı uzaktan biyometrik tanımlama sisteminin çıktısına dayanarak bir kişi üzerinde olumsuz bir hukuki etki yaratan hiçbir karar alınamaz.

Kanun hükmü, kamuya açık alanlarda gerçek zamanlı uzaktan biyometrik tanımlama sistemlerinin kullanımına ilişkin önemli usuli güvenceler getirmektedir. Düzenlemede, bu sistemlerin kullanımının istisnai durumlarda dahi keyfi olmamasını ve yargısal denetime tâbi tutulması amaçlanmıştır. 

Düzenlemede, her bir kullanım için önceden izin alınması gerektiğini açıkça belirtilmektedir. Bu izin, sistemin kullanılacağı Üye Devlette yetkili bir adli makam veya kararı bağlayıcı olan bağımsız bir idari makam tarafından verilmelidir. 

İzin talebinin gerekçeli olması ve 5. paragrafta atıfta bulunulan ulusal hukuka uygun olması şarttır. Bu, sistemin kullanımının keyfi olmamasını ve yalnızca belirli, önceden tanımlanmış amaçlar için kullanılmasını sağlamak için konulmuş bir sınırlamadır. "Gerekçeli talep" ifadesi, izin talebinde bulunan makamın, sistemlerin kullanımının neden gerekli olduğunu açık ve ikna edici bir şekilde ortaya koyması gerektiğini ifade etmektedir. Bu aynı zamanda, yetkili makamın sistemin kullanımının gerekliliği ve orantılılığı konusunda yeterli bilgiye sahip olmasını sağlar. 

Madde, acil durumlar için bir istisna öngörmektedir. Usulüne uygun olarak gerekçelendirilmiş acil durumlarda, sistemin kullanımı izin alınmadan başlatılabilir. Ancak, bu durumlarda bile, izin en geç 24 saat içinde talep edilmelidir. Bu istisna, acil müdahale gerektiren durumlarda sistemin kullanımının gecikmemesi için getirilmiştir. Ancak, 24 saatlik süre sınırı, kötüye kullanımları önlemek ve temel hakların korunmasını sağlamak için önemli bir güvencedir. İznin reddedilmesi hâlinde, sistemin kullanımı derhal durdurulur ve elde edilen tüm veriler, sonuçlar ve çıktılar silinir ve imha edilir. Böylece, izin verilmeyen kullanımların sonuçlarının ortadan kaldırılması ve kişilerin mahremiyet haklarının korunmasını sağlanacaktır. 

Yetkili makamın izin verme kararı, nesnel kanıtlara veya açık göstergelere dayanmalıdır. Makam, sistemin kullanımının, 1. paragrafın birinci alt paragrafının (h) bendinde belirtilen amaçlardan birini gerçekleştirmek için gerekli ve orantılı olduğuna ve özellikle zaman, coğrafi ve kişisel kapsam açısından kesinlikle gerekli olanla sınırlı kaldığına kanaat getirmelidir. Bu kriterler, sistemin kullanımının keyfi olmamasını ve yalnızca gerçekten gerekli olduğu durumlarda ve şekilde kullanılmasını sağlamak için konulmuş ek korumalardır. 

Yetkili makam, izin talebi hakkında karar verirken 2. paragrafta atıfta bulunulan unsurları da dikkate almalıdır. Bu unsurlar, sistemin kullanılmaması durumunda ortaya çıkabilecek zararın ciddiyeti, olasılığı ve ölçeği ile sistemin kullanımının ilgili tüm kişilerin hak ve özgürlükleri açısından doğuracağı sonuçlardır. Bu hüküm, yetkili makamın karar verme sürecinde tüm ilgili hususları değerlendirmesini sağlar.

Son olarak hükümde, “yalnızca” gerçek zamanlı uzaktan biyometrik tanımlama sisteminin çıktısına dayanarak bir kişi üzerinde olumsuz bir hukuki etki yaratan hiçbir karar alınamayacağını açıkça belirtmektedir. Bu hüküm, sistemin çıktılarının tek başına yeterli kanıt olarak kabul edilemeyeceğini ve ek delillerin toplanması gerektiğini vurgulamaktadır. Bu sayede, sistemin kullanımının adil yargılanma hakkı gibi temel haklara zarar vermemesi sağlanmıştır. 

5. Yetkili Mercilere Bildirim

Madde 5/4

Paragraf 3'e halel getirmeksizin, gerçek zamanlı uzaktan biyometrik tanımlama sisteminin adli işlem ve kolluk faaliyetleri kapsamında kamuya açık alanlarda her kullanımı, paragraf 5'te atıfta bulunulan ulusal kurallara uygun olarak ilgili piyasa gözetim makamına ve ulusal veri koruma makamına bildirilecektir. Bildirim asgari olarak 6. paragrafta belirtilen bilgileri içerecek ve hassas operasyonel verileri kapsamayacaktır.

Gerçek zamanlı uzaktan biyometrik tanımlama sistemlerinin kullanımına ilişkin bildirim yükümlülüğü, sistemin etkin denetimini ve şeffaf kullanımını sağlamaya yönelik önemli bir düzenleyici mekanizma olarak karşımıza çıkmaktadır. Madde, her bir kullanımın ilgili piyasa gözetim makamına ve ulusal veri koruma makamına bildirilmesi gerektiğini açıkça belirtmektedir. Bu bildirim yükümlülüğü, 3. paragrafta belirtilen önceden izin alma yükümlülüğüne halel getirmeksizin uygulanır. Yani, sistemin kullanımı için önceden izin alınmış olsa bile, kullanım sonrasında ayrıca bir bildirimde bulunulması gerekmektedir. Bu, yetkili makamların sistemin kullanımını izleyebilmesi ve potansiyel ihlalleri tespit edebilmesi için önemli bir mekanizmadır. 

Bildirim yükümlülüğünün muhatabı olan makamlar ikili bir yapı oluşturmaktadır: ilgili piyasa gözetim makamı ve ulusal veri koruma makamı. Piyasa gözetim makamı, sistemin teknik özelliklerini ve güvenlik standartlarını denetler. Ulusal veri koruma makamı ise, sistemin veri koruma kurallarına uygunluğunu denetler. Bu iki makamın birlikte çalışması, sistemin hem teknik hem de hukuki açıdan uygun bir şekilde kullanılmasını sağlar.

Bildirimin, 5. paragrafta atıfta bulunulan ulusal kurallara uygun olarak yapılması gerekmektedir. Bu suretle, her Üye Devlet kendi hukuk sistemi içerisinde bildirim usulünü düzenleyebilecektir. 

Bildirim yükümlülüğünün kapsamı, adli işlemler ve kolluk faaliyetleri çerçevesinde kamuya açık alanlarda gerçekleştirilen her türlü kullanımı içermektedir. Bu geniş kapsam, sistemin kullanımına ilişkin tam bir gözetim ve denetim imkanı sağlamaktadır. Ancak düzenleme, bildirimin içeriği konusunda önemli bir sınırlama getirmektedir. Bildirimler hassas operasyonel verileri içermemelidir. Hassas operasyonel veriler, örneğin, kullanılan teknolojilerin detayları, taktik ve stratejiler, istihbarat bilgileri gibi bilgileri içerebilir. Bu bilgilerin paylaşılması, kolluk kuvvetlerinin çalışmalarını olumsuz etkileyebilir ve suçluların eline geçmesi halinde ciddi güvenlik risklerine yol açabilir. Bu sınırlama, güvenlik operasyonlarının gizliliğinin korunması ile şeffaflık ilkesi arasında bir denge kurmayı amaçlamaktadır.

Bildirimin içeriği konusunda düzenleme, altıncı paragrafta belirtilen bilgilerin asgari standart olarak kabul edilmesini öngörmektedir. Bu yaklaşım, bildirimlerin standartlaştırılmasını ve böylece etkin bir denetim mekanizmasının oluşturulmasını sağlamaktadır. Asgari bilgi standardının belirlenmesi, üye devletlerin daha kapsamlı bildirim yükümlülükleri öngörmesine engel teşkil etmemektedir.

6. Ulusal Kuralların Müdahalesi

Madde 5/5

Bir Üye Devlet, 1. paragraf, birinci alt paragraf, (h) bendi ve 2. ve 3. paragraflarında listelenen sınırlar ve koşullar dahilinde adli işlem ve kolluk faaliyetleri kapsamında kamuya açık alanlarda gerçek zamanlı uzaktan biyometrik tanımlama sistemlerinin kullanımına tamamen veya kısmen izin verme imkanı sağlayabilir. İlgili Üye Devletler, 3. paragrafta atıfta bulunulan izinlerin talep edilmesi, verilmesi ve kullanılması ve ayrıca bunlara ilişkin denetim ve raporlama konusunda gerekli ayrıntılı kuralları ulusal hukuklarında belirleyecektir. Bu kurallar ayrıca, h (iii) bendinde atıfta bulunulan suçlardan hangileri bulunduğu da göz önüne alınarak, 1. paragraf, birinci alt paragraf, (h) bendinde sıralanan amaçlardan hangileri bakımından yetkili makamların bu sistemleri adli işlem ve kolluk faaliyeti kapsamında kullanma yetkisine sahip olabileceklerini de belirtmelidir. Üye Devletler bu kuralları, kabul edilmelerini müteakip en geç 30 gün içinde Komisyon'a bildirirler. Üye Devletler, Birlik hukukuna uygun olarak, uzaktan biyometrik tanımlama sistemlerinin kullanımına ilişkin daha kısıtlayıcı yasalar ihdas edebilirler.

Kanunda, gerçek zamanlı uzaktan biyometrik tanımlama sistemlerinin kullanımına ilişkin Üye Devletlere tanınan yetkilere ve bu yetkilerin kullanımına getirilen sınırlamalara da yer verilmiştir. 

Düzenlemede, üye devletlere bu sistemlerin kullanımına tam veya kısmi olarak izin verme konusunda bir tercih hakkı tanımaktadır. Bu suretle, gerçek zamanlı uzaktan biyometrik tanımlama sistemlerinin kullanımına ilişkin üye devletlerin düzenleme yetkisi, belirli bir çerçeve içerisinde takdir alanı tanıyan esnek bir yapıya sahiptir. Ancak bu tercih hakkı, birinci paragrafın birinci alt paragrafının (h) bendi ile ikinci ve üçüncü paragraflarda belirlenen sınırlar ve koşullar çerçevesinde kullanılabilmektedir.

Düzenleme, üye devletlere önemli bir yasal düzenleme yükümlülüğü getirmektedir. Bu kapsamda üye devletler, izinlerin talep edilmesi, verilmesi ve kullanılmasına ilişkin ayrıntılı kuralları ulusal hukuklarında düzenlemek zorundadır. Ayrıca, bu düzenlemelerin denetim ve raporlama mekanizmalarını da içermesi gerekmektedir. Bu yaklaşım, sistemin kullanımının etkin bir şekilde kontrol edilmesini ve şeffaflığın sağlanmasını amaçlamaktadır.

Ulusal düzenlemelerin içermesi gereken önemli bir unsur, yetkili makamların hangi amaçlar doğrultusunda bu sistemleri kullanabileceklerinin açıkça belirlenmesidir. Bu bağlamda, getirilecek kuralların ayrıca, h (iii) bendinde atıfta bulunulan suçlardan hangileri bulunduğu da göz önüne alınarak, 1. paragraf, birinci alt paragraf, (h) bendinde sıralanan amaçlardan hangileri bakımından yetkili makamların bu sistemleri adli işlem ve kolluk faaliyeti kapsamında kullanma yetkisine sahip olabileceklerini belirtmesi gerektiği öngörülmüştür. 

Düzenlemenin önemli bir boyutu da şeffaflık ve bildirim yükümlülüğüdür. Üye devletler, kabul ettikleri kuralları otuz günlük bir süre içerisinde Komisyon'a bildirmekle yükümlüdür. Bu bildirim yükümlülüğü, Birlik düzeyinde koordinasyon ve denetimin sağlanması açısından önem taşımaktadır.

Son olarak, düzenleme, Üye Devletlerin, Birlik hukukuna uygun olarak, daha kısıtlayıcı yasalar ihdas edebileceklerini belirtmektedir. Bu hüküm, Üye Devletlerin, Kanunda belirtilen minimum standartların ötesine geçerek, daha yüksek düzeyde bir koruma sağlayabileceklerini ifade etmektedir. Bu esneklik, Üye Devletlerin kendi toplumsal değerlerini ve önceliklerini dikkate alarak, biyometrik tanımlama sistemlerinin kullanımına ilişkin daha katı kurallar belirlemelerine imkân vermektedir.

7. Komisyonun Raporlama Yükümlülüğü

Madde 5/6

4. paragraf uyarınca adli işlem ve kolluk faaliyetleri kapsamında kamuya açık alanlarda gerçek zamanlı uzaktan biyometrik tanımlama sistemlerinin kullanımı hakkında bilgilendirilen Üye Devletlerin ulusal piyasa gözetim makamları ve ulusal veri koruma makamları, bu kullanımla ilgili yıllık raporları Komisyona sunar. Bu amaçla Komisyon, Üye Devletlere ve ulusal piyasa gözetim ve veri koruma makamlarına, 3. paragrafa uygun olarak, yetkili yargı makamları veya kararı bağlayıcı olan bağımsız bir idari makam tarafından izin talepleri ile ilgili alınan kararların sayısı ve sonuçları hakkında bilgi içeren bir şablon sağlayacaktır.

Madde 5/7

Komisyon, 6. paragrafta belirtilen yıllık raporlara dayalı olarak, Üye Devletlerde "gerçek zamanlı" uzaktan biyometrik tanımlama sistemlerinin adli işlem ve kolluk faaliyetleri kapsamında kamuya açık alanlarda kullanımıyla ilgili toplu verilere dayalı yıllık raporlar yayınlayacaktır. Bu raporlar, ilgili faaliyetlerin hassas operasyonel verilerini içermeyecektir.

Kanun, gerçek zamanlı uzaktan biyometrik tanımlama sistemlerinin kullanımının şeffaflığını ve hesap verebilirliğini artırmayı hedefleyen bir mekanizma öngörmektedir. Bu mekanizma, ulusal otoritelerin raporlama yükümlülüğü ve Komisyon'un bu raporları derleyerek kamuoyu ile paylaşması üzerine kuruludur. 

Düzenlemede, Üye Devletlerin ulusal piyasa gözetim makamları ve ulusal veri koruma makamlarının, biyometrik tanımlama sistemlerinin kullanımı hakkında Komisyon'a yıllık raporlar sunmalarını öngörmektedir. Komisyon, bu raporlamanın standartlaştırılması amacıyla Üye Devletlere bir şablon sağlayacaktır. Bu şablon, yetkili yargı makamları veya kararı bağlayıcı olan bağımsız bir idari makam tarafından izin talepleri ile ilgili alınan kararların sayısı ve sonuçları hakkında bilgi içerecektir. 

Düzenlemenin devamında ise, Komisyon'un bu yıllık raporlara dayanarak toplu veriler içeren raporlar yayınlayacağı öngörülmüştür. Bu raporlar, Birlik çapında biyometrik tanımlama sistemlerinin kullanımına ilişkin genel eğilimleri ortaya koyacak ve farklı Üye Devletler arasındaki uygulamaları karşılaştırma imkanı sağlayacaktır. 

Ancak bu raporların, ilgili faaliyetlerin hassas operasyonel verilerini içermeyeceği vurgulanmıştır. Söz konusu istisna, kolluk kuvvetlerinin operasyonel etkinliğinin korunması amacıyla getirilmiş olup hassas operasyonel verilerin kamuoyuyla paylaşılmasının yaratabileceği güvenlik risklerini önlemeyi hedeflemektedir. Ancak, bu istisna, raporların şeffaflık ve hesap verebilirlik ilkelerine uygun olarak hazırlanmasını engellememelidir.

8. Diğer Avrupa Birliği Mevzuatları ile Uyum

Madde 5/8

Bu Madde, YZ uygulamasının Birlik hukukunun diğer hükümlerini ihlal ettiği durumlarda geçerli olan yasaklamaları etkilemez.

Bu hüküm, gerçek zamanlı uzaktan biyometrik tanımlama sistemlerine ilişkin düzenlemelerin, Birlik hukukunun diğer alanlarında yer alan yasaklayıcı hükümlerin geçerliliğini etkilemeyeceğini açıkça belirtmektedir. Yapay zeka uygulamalarının, biyometrik tanımlama sistemlerine ilişkin özel düzenlemelere uygun olması, bu uygulamaların Birlik hukukunun diğer alanlarındaki yasaklamaları ihlâl edebileceği anlamına gelmemektedir. Bu yaklaşım, Birlik hukukunun bütüncül yapısını korumayı ve farklı hukuki rejimlerin birbiriyle uyumlu bir şekilde işlemesini sağlamaya yöneliktir.

Kaynak: Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), 2024 O.J. (L 1689) 12.