Zeki DemirciFikri Mülkiyet Hukuku

MAKALE

Dijital Profilleme ve Otomatik Karar Verme: KVKK md. 11/g Çerçevesinde Veri Sahibi Hakları

Profilleme ve tamamen otomatik kararların hukuki rejimi, KVKK md. 11/g ve GDPR md. 22 paralelliği, itiraz hakkı ve veri koruma etki değerlendirmesi.

·kisisel-verilerin-korunmasi·KVKK ve Dijital Reklam
Hukuk editör nişanı
ZD
Av. Zeki DemirciFikri ve Sınai Mülkiyet Hukuku

Profilleme; bir gerçek kişinin ekonomik durumu, sağlık, kişisel tercih, ilgi alanı, davranış, konum veya hareketlerini değerlendirmek üzere kişisel verilerin otomatik biçimde işlenmesidir. Otomatik karar verme; bu profillemeye veya başka kişisel veriye dayanılarak, insan müdahalesi olmaksızın, kişiyi etkileyen bir kararın üretilmesidir. Bu makale; her iki kavramın Türk hukukundaki konumunu, KVKK md. 11/g ekseninde veri sahibi haklarını ve AB GDPR md. 22 paralelliğini analiz eder1.

I. Profilleme ve Otomatik Kararın Kavramsal Ayrımı

Profilleme; bir süreç niteliğindedir. Veri toplama, özellik çıkarma ve sınıflandırma adımlarını içerir. Otomatik karar ise; bir sonuç niteliğindedir. Veri sahibini hukuki olarak veya benzer biçimde önemli ölçüde etkileyen bir çıktıdır.

Her profilleme otomatik kararla sonuçlanmaz. Örneğin pazarlama segmentasyonu çoğu zaman insan müdahalesiyle yorumlanır. Buna karşılık her otomatik karar bir profillemeye dayanmak zorunda değildir; tek bir kuralın ardışık uygulanması da otomatik karar oluşturabilir.

Türk hukukunda KVKK md. 11/g; veri sahibine işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz etme hakkını tanır. GDPR md. 22 ile bu hak benzerlik gösterir; ancak GDPR md. 22 prensip olarak yasak + sınırlı istisnalar yapısı kurar. KVKK ise; prensip olarak izinli + itiraz hakkı saklı yapısı kurar.

II. KVKK md. 11/g'nin Üç Kurucu Unsuru

KVKK md. 11/g'nin uygulanabilmesi için üç unsur birlikte aranır.

İlk unsur: münhasıran otomatik işleme. Sürecin herhangi bir aşamasında insan müdahalesi yoksa madde uygulanır. İnsan müdahalesinin sembolik (rubber-stamping) olması; bu unsuru karşılamaz. Doktrinde gerçek müdahale; karar verme yetkisine sahip kişinin bağımsız değerlendirme yapması olarak nitelendirilir2.

İkinci unsur: analiz ve sınıflandırma. Veri sadece saklanmaz; bir sonuç üretmek üzere işlenir.

Üçüncü unsur: aleyhe sonuç. Karar veri sahibi açısından olumsuz bir etki üretmelidir. Lehe veya nötr sonuçlar md. 11/g kapsamında itiraz hakkı doğurmaz; ancak diğer veri sahibi hakları (silme, düzeltme, bilgi talep) saklıdır.

III. Tipik Profilleme Kullanım Alanları

Profilleme ve otomatik karar verme; günümüz dijital ekosisteminde pek çok alanda kullanılır.

Birinci alan: kredi skoru ve finansal değerlendirme. Banka ve finansal kuruluşların başvuruları otomatik biçimde değerlendirdiği algoritmik karar sistemleri.

İkinci alan: sigorta fiyatlandırması. Telematik veriler, sağlık verileri ve davranışsal örüntülerle prim hesaplaması.

Üçüncü alan: insan kaynakları seçimi. Otomatik özgeçmiş değerlendirme, video mülakat analizi ve adaylar arası sıralama sistemleri.

Dördüncü alan: davranışsal reklam ve içerik öneri sistemleri. Sosyal medya, e-ticaret ve içerik platformlarının kullanıcı profillemesine dayalı kişiselleştirme algoritmaları.

Beşinci alan: fiyat farklılaştırma (dynamic pricing). Aynı ürün/hizmetin kullanıcı profiline göre farklı fiyatla sunulması.

Altıncı alan: kamu yararı denetimi. Vergi denetim algoritmaları, hak kazanım taraması ve sosyal yardım uygunluk kontrolü.

IV. Veri Sahibinin Üç Hakkı Kümesi

Profilleme ve otomatik karar bağlamında veri sahibinin üç hakkı kümesi bulunur.

Birinci küme: bilgi hakkı. KVKK md. 10 aydınlatma yükümlülüğü kapsamında veri sorumlusu; otomatik karar sürecinin varlığını, mantığını ve veri sahibi üzerindeki olası sonuçlarını açıkça belirtmelidir. Algoritmanın ticari sır içerdiği iddiası; aydınlatma yükümlülüğünün tamamen ortadan kaldırılmasını haklı çıkarmaz; ancak detay düzeyi makul bir dengede tutulur.

İkinci küme: itiraz hakkı. KVKK md. 11/g uyarınca veri sahibi; aleyhe sonuç doğuran tamamen otomatik kararlara itiraz edebilir. İtirazın değerlendirilmesi; süreç içine insan müdahalesinin eklenmesini, kararın yeniden gözden geçirilmesini ve gerekirse düzeltilmesini gerektirir.

Üçüncü küme: insan müdahalesi talebi. Doktrinde GDPR md. 22 ile paralel biçimde; veri sahibinin kendi görüşünü ifade etme ve kararın yeniden insan tarafından değerlendirilmesini talep etme hakkı kabul edilir. Bu hak; itiraz hakkıyla iç içedir ancak hukuki temeli ayrıdır.

V. Veri Sorumlusunun Beş Asgari Yükümlülüğü

Profilleme veya otomatik karar uygulayan veri sorumlusu; beş asgari yükümlülüğe tâbidir.

İlk yükümlülük: meşru hukuki temel. KVKK md. 5'te sayılan hukuki temellerden biri uygulanmalıdır. Açık rıza, sözleşmenin ifası, kanunda öngörülme veya veri sorumlusunun meşru menfaati en sık karşılaşılan temellerdir. Özel nitelikli verilerin profillemede kullanılması; KVKK md. 6'ya ayrıca tâbidir.

İkinci yükümlülük: şeffaflık ve aydınlatma. Otomatik karar sürecinin varlığı, mantık özeti, kullanılan veri türleri ve olası sonuçları aydınlatma metninde açıkça belirtilmelidir.

Üçüncü yükümlülük: veri minimizasyonu. Profillemenin amacı için zorunlu olan verilerin ötesinde veri toplanmamalıdır. Aşırı veri toplama; KVKK md. 4/2-d ölçülülük ilkesinin ihlalidir.

Dördüncü yükümlülük: doğruluk ve güncellik. Profilleme sonuçlarının dayandığı verilerin doğru ve güncel olması zorunludur. Yanlış veriye dayalı otomatik karar; veri sahibinin düzeltme hakkını doğurur.

Beşinci yükümlülük: itiraz mekanizması. Veri sahibinin md. 11/g hakkını kullanabileceği kolay ve etkili bir başvuru kanalı oluşturulmalıdır. Yedi günlük yanıt süresi (KVKK md. 13) titiz biçimde uygulanmalıdır.

VI. Veri Koruma Etki Değerlendirmesi (DPIA)

Yüksek risk taşıyan profilleme ve otomatik karar uygulamalarında; bir veri koruma etki değerlendirmesi (DPIA) hazırlanması iyi uygulama olarak kabul edilir. KVKK metninde DPIA müstakil bir yükümlülük olarak yer almasa da; KVKK Kurulu rehber ve kararları doğrultusunda büyük ölçekli işlemelerde DPIA hazırlığı pratik bir gerekliliktir. GDPR md. 35 ile paralel olarak; DPIA aşağıdaki dört içeriği taşır.

İlk içerik: işleme faaliyetinin sistematik açıklaması. Hangi veriler hangi amaçla, hangi hukuki temele dayanarak, hangi süreyle, hangi taraflarla paylaşılarak işlenecek?

İkinci içerik: işleme amacının ölçülülük analizi. Aynı amaç daha az veri ile veya farklı bir teknolojiyle ulaşılabilir mi?

Üçüncü içerik: veri sahibine olası risklerin değerlendirmesi. Yanlış sınıflandırma, ayrımcılık, finansal kayıp, mahremiyet ihlali ve veri sızıntısı senaryoları.

Dördüncü içerik: risk azaltıcı tedbirler. Şifreleme, anonimleştirme, erişim kısıtlaması, denetim izi tutma ve insan müdahalesi noktalarının tasarımı.

KVKK ve dijital reklamın bütüncül çerçevesi için KVKK dijital reklam genel çerçeve makalesini inceleyebilirsiniz.

VII. İstisnalar ve Sınırlamalar

KVKK md. 11/g itiraz hakkının dahi karşı dengesi olarak değerlendirilebilecek üç tipik durumdan söz edilir.

Birinci durum: kanunda öngörülme. Bir mevzuat hükmü tarafından açıkça öngörülen otomatik kararlar (örneğin vergi denetimi algoritmaları); itiraz hakkı kullanımı bu mevzuat çerçevesinde değerlendirilir.

İkinci durum: sözleşmenin ifası için zorunlu olma. Veri sahibinin tarafı olduğu sözleşmenin gereklerini yerine getirmek için zorunlu otomatik kararlar; örneğin online ödeme sisteminin sahtecilik tespit algoritması.

Üçüncü durum: açık rıza. Veri sahibinin bilgilendirilmiş ve özgür iradeli açık rızasıyla otomatik karara dayalı süreci kabul etmesi.

Bu üç durumda dahi; aydınlatma yükümlülüğü, doğruluk ilkesi, ölçülülük ilkesi ve veri sahibinin diğer hakları (silme, düzeltme, bilgi) saklı kalır.

VIII. Davranışsal Reklam Bağlamında Profilleme

Davranışsal reklam (behavioral advertising); profillemenin en sık karşılaşılan ticari uygulamasıdır. Kullanıcının web sitesi ziyaretleri, arama davranışı, satın alma geçmişi ve sosyal medya etkileşimleri birleştirilerek ilgi profili oluşturulur ve buna göre kişiselleştirilmiş reklamlar gösterilir.

Davranışsal reklamın KVKK rejimi bakımından üç temel sorunu vardır.

Birinci sorun: hukuki temel. KVKK Kurulu yaklaşımında; davranışsal reklam için meşru menfaat temelinin yeterliliği tartışmalıdır. Pratikte açık rıza temelinin tercih edilmesi yaygın bir uygulamadır.

İkinci sorun: üçüncü taraf veri paylaşımı. Reklam ağları arasında veri paylaşımı; veri sahibinin hangi tarafa, hangi veriyi, hangi amaçla aktardığına dair bilgilendirilme hakkını gerçek anlamda korumakta zorlanır.

Üçüncü sorun: sınır ötesi transfer. Reklam ekosisteminin büyük bölümü yurt dışı sunucular kullandığından; KVKK md. 9 yurt dışı aktarım rejimi titizlikle uygulanmalıdır.

Çerez ve izleme teknolojilerinin hukuki rejimi için çerez (cookie) hukuku makalesini inceleyebilirsiniz.

IX. Yerleşik Akıl Yürütme Çizgisi

KVKK Kurulu kararlarında profilleme ve otomatik karar uygulamalarına yönelik ortak akıl yürütme çizgisi; veri sorumlusunun aydınlatma ve hukuki temel yükümlülüklerini titizlikle uygulamasını gerektirir. Tipik ihlal kalıpları arasında; otomatik karar mantığının aydınlatma metninde belirtilmemesi, itiraz mekanizmasının kullanışsız olması ve veri sahibinin kişiselleştirme tercihinin manipülatif tasarımla yönlendirilmesi yer alır3.

Reklam ve haksız ticari uygulama bakımından Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği md. 5 dürüstlük ilkesi; profilleme sonucu üretilen kişiselleştirilmiş reklamlara da uygulanır. Yargıtay 11. HD'nin reklamın bütünsel izlenim üzerinden değerlendirilmesi yaklaşımı; kişiselleştirilmiş reklam içeriklerinin algılanışına da kıyasen uygulanabilir biçimde konumlanır.

Sonuç

Profilleme ve otomatik karar; dijital ekonominin yapısal araçları arasındadır. KVKK md. 11/g; veri sahibine bu süreçlere itiraz etme hakkını tanır; ancak hakkın etkin kullanımı, veri sorumlusunun aydınlatma, ölçülülük ve insan müdahalesi tasarım yükümlülüklerinin titizlikle yerine getirilmesine bağlıdır. AB GDPR md. 22 ile yapısal farklılığa rağmen kavramsal yakınlık; pratikte iki rejimin paralel ele alınmasını mümkün kılar. DPIA hazırlığı; yüksek riskli profilleme uygulamalarında hem hukuki uyumun hem de operasyonel öngörülebilirliğin temel aracıdır.

Pratik bir kullanıcı sorusu için müşteriye SMS göndermenin yasallığı soru sayfasını; operasyonel aydınlatma metni hazırlığı için KVKK aydınlatma metni rehberini inceleyebilirsiniz.

Kaynakça

Mevzuat

6698 sayılı KVKK md. 3, 4, 5, 6, 9, 10, 11, 12, 13. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun md. 6. Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği md. 5.

İçtihat

Yargıtay 11. Hukuk Dairesi, 01.10.2025, E. 2025/1043 K. 2025/5854 sayılı karar (reklam dürüstlüğü standardı; kişiselleştirilmiş reklam içeriklerine kıyasen uygulanır).

Doktrin ve Uluslararası Belgeler

Şükrü KIZILOT / Mehmet ATALAY, Kişisel Verilerin Korunması Hukuku. Regulation (EU) 2016/679 (GDPR), m. 22, 35 (DPIA). Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling, WP251 (Türk hukukuna kıyasi kaynak).

Dipnotlar

  1. 6698 sayılı KVKK, RG 07.04.2016/29677; Regulation (EU) 2016/679 (GDPR), OJ L 119, 04.05.2016.

  2. Article 29 Working Party WP251 yaklaşımında; insan müdahalesinin "anlamlı" ve "yetkin" olması aranır. Türk doktrini bu yaklaşımı kıyasi olarak benimser.

  3. KVKK md. 18 idari para cezası rejimi; aydınlatma yükümlülüğü ihlali, veri güvenliği eksikliği ve işleme yükümlülüğü ihlali için ayrı kalemler hâlinde uygulanır.

İlgili İçerikler

Rehber

Dijital Pazarlama KVKK Uyum Rehberi: Sekiz Aşamalı Operasyonel Akış

Rehber

KVKK Aydınlatma Metni Hazırlama Rehberi: Yedi Asgari Unsur ve Pratik Şablon

Makale

Çerez (Cookie) Hukuku: KVKK Çerçevesinde Web Sitesi İzleme Verilerinin Hukuki Rejimi