Alman Federal Anayasa Mahkemesi Otomatik Veri Analizinin Suç Eylemlerinin Önlenmesinde Kullanılmasının Anayasaya Uygunluğuna İlişkin Karar

Hazırlayan: Zeynep ÖĞRETMEN KOTİL

Konu

Polis tarafından kullanılan ve otomatik veri analizi gerçekleştiren gözetleme yazılımının suç eylemlerinin önlenmesinde kullanılmasının anayasaya aykırılığı.

Olay

CIA, FBI ve NSA gibi istihbarat teşkilatlarının da desteği ile oluşturulan Palantir isimli yazılım teknolojisi, ABD menşeili bir veri analitiği şirketi tarafından hayata geçirilmiştir. İlgili yazılım, 2017 yılından beri Almanya’nın Hessen Eyaletinde kullanılmaktadır, Hamburg’da ise henüz uygulamaya geçilmemiştir.

Palantir isimli sistemden türetilen “hessenDATA” isimli yazılımın, herhangi bir suç işlenmeden önce şüphelilere ilişkin profil oluşturmak için veri kullandığı ve öngörücü kolluk uygulamalarını kolaylaştırdığı; bu uygulamalar için de veri analizi ve yorumlama faaliyetleri yürüttüğü iddia edilmiştir. Alman İnsan Hakları Derneği dahil olmak üzere toplam on bir davacı adına, öngörücü kolluk faaliyetleri kapsamında kullanılabilecek olan sistemin, kolluk kuvvetlerinin hata yapma ve ayrımcılığa yönelme riskini artırabileceği iddiaları ile dava açılmıştır. Davada ayrıca; otomatik analiz ve yorum sistemlerine izin veren yasa metinlerinin dayanakları sorgulanmış ve veri madenciliğinin kolluk kuvvetleri tarafından hangi şartlar altında ve hangi temelde yürütüleceğinin netleştirilmediği belirtilmiştir.

Mahkeme tarafından, Hessen’de polise tanınan yetkilerin, hessenDATA platformu üzerinden yılda binlerce kez kullanıldığı belirtilmiştir. Eyalet temsilcileri ise ilgili yazılımın suçu önlemede etkili olduğunu öne sürmüştür. Sistemin geliştiricileri ise, hessenDATA yazılımının türetildiği Palantir isimli sistemde, verilerin kendisinin değil; ancak bu verilerin analizi için gerekli yazılımın sağlandığını ifade etmiştir. Verilerin yazılıma değil, yazılımın verilere getirildiği belirtilmiştir.

Gerekçe

Hessen Kamu Güvenliği ve Düzeni Yasası’nın (Hessisches Gesetz über die öffentliche Sicherheit und Ordnung) 25. ve Hamburg Polis Tarafından Veri İşlenmesi Yasası’nın (Hamburgisches Gesetz über die Datenverarbeitung der Polizei) 49. maddeleri kolluk kuvvetlerine, işlenen kişisel verilerin otomatik analizi ve otomatik yorumlanması yetkisini vermektedir. Bu yetki, ciddi suç eylemlerini ve belirli yasal çıkarlara yönelik tehlikeleri önlemek amacıyla ve vaka bazında değerlendirmeye tabi olmak üzere otomatik veri analizini veya yorumlanmasını mümkün kılmaktadır. Her iki düzenleme de otomatik veri analizi ve yorumlanması yoluyla kişiler, kişi grupları, kurumlar, kuruluşlar, nesneler ve konular arasındaki ilişki veya bağlantıların kurulabileceğini, önemsiz bilgi ve istihbaratın filtrelenebileceğini, üretilen öngörülerin bilinen gerçeklerle eşleştirilebileceğini ve saklanabileceğini öngörmektedir. Verilen yetkilerin, hessenDATA platformu aracılığıyla her yıl binlerce kez kullanıldığı ifade edilmiştir.

Kaydedilen verilerin otomatik veri analizi veya yorumlama yollarıyla işlenmesi hallerinin, kişisel verilerin sahibi olan ilgili kişilerin verilerinin kaderini tayin haklarının ellerinden alınmasına sebebiyet verdiğine kanaat getirilmiştir. Burada bahsi geçen verilerin yalnızca ilk etapta işlenen verileri değil; aynı zamanda analiz ve yorumlama yollarıyla elde edilen yeni verileri de kapsadığı ayrıca belirtilmiştir.

Verilerin otomatik analizi ve yorumlanmasının, anayasa hukuku kapsamında bir değerlendirmeye tabi tutulması gerekmektedir. Bu değerlendirmede, orantılılık ilkesi göz önünde bulundurulmalıdır. Orantılılık ilkesi değerlendirilirken, söz konusu müdahale ile karşı karşıya kalınan ciddi tehlike veya önlem arasındaki denge gözetilmelidir. Bu noktada, amaç sınırlaması ve amaç değişikliği hususları hayati önem arz etmektedir.

Mevcut olaydaki analiz ve yorum faaliyetlerinin, ciddi suç eylemlerinin önlenmesini sağlamakta etkili bir mekanizma olabileceği ve bu meşru amaca hizmet edebileceği belirtilmiştir. Zira son yıllarda artan büyük veri akışı karşısında, ilgili verilerden elde edilen çıktıların geleneksel arama ve tarama yöntemleri ile elde edilebilmesinin zor olduğu eyalet hükümetlerince de kabul edilmektedir. Bu sebeple, kolluk faaliyetleri ve suçla mücadelede otomatikleştirilmiş veri analizinin büyük bir öneminin olduğu belirtilmiştir.

Her ne kadar otomatik arama ve yorum, pratik yöntemler olsalar da bu yöntemlerin hukuka uygunluğu değerlendirilirken, temel haklara müdahale gerekçelendirilmeli ve dolayısıyla sistem tarafından işlenen ilk veriler ile çıktı veriler arasındaki amaç uyumluluğu göz önünde bulundurulmalıdır. Kanun koyucu, tasarlanan kullanımın verilerin ilk işlenme amacına hala uygun olması halinde, başlangıçta veri işlenmesine gerekçe oluşturan spesifik soruşturmanın ötesinde de verilerin kullanılmasına izin verebilecektir. İlk işlenme amacı kapsamında; aynı makam tarafından, aynı görevle ilgili olarak ve aynı yasal çıkarların korunması için verilerin işlenebileceği öngörülmüştür. Prensip olarak, ilgili veriler ileriki aşamalarda yol gösterici olarak kullanılabileceklerdir.

İşlenen verilerin, ilk işlenme amaçları dışında başkaca amaçlarla kullanılması hususu kanunda ayrıca düzenlenmiştir. Buna göre; hayati yasal çıkarları tehdit eden tehlikelerin varlığı halinde kolluk kuvvetlerinin, ciddi suç eylemlerini tespit etmeyi veya önlemeyi amaçlayan daha ileri soruşturmalar için temel oluşturan veriler sağlaması halinde amaç değişikliğine izin verilebilecektir. Her iki durumda da bireylerin evlerinin ve bilişim teknolojileri sistemlerinin uzaktan aranması yoluyla elde edilen verilerin başkaca amaçlarla kullanılabilmesi için daha katı gereksinimler söz konusudur.

Görüleceği üzere; anayasaya uygunluğu değerlendirilen düzenlemeler, kişisel verilerin ilk işleme amacına uygun olarak daha fazla işlenmesine veya amaç değişikliği ile işlenmesine olanak sağlamaktadır. Bu durum, büyük miktarda verinin ayrım yapılmaksızın işlenmesine izin vermektedir. Bu nedenle, amaç sınırlamasından kaynaklanan anayasal gerekliliklere bağlılığın hem yasa hem de uygulama bakımından sağlanabilmesi için yeterince açık hükümlere ihtiyaç duyulmaktadır.

Otomatik veri analizi veya yorumlama, yeni istihbarat oluşturmaya yönelik bir faaliyettir. Kolluk, mevcut tüm bilgi teknolojileri yöntemlerini pratik olarak kullanarak mevcut verilerden geniş kapsamlı istihbarat üretebilir ve veri analizi yoluyla yeni bağlantılar ortaya çıkarabilir. Polisin elde ettiği istihbaratı mevcut bilgilerle birleştirerek sonraki soruşturmalar için ipucu veya dayanak olarak kullanması olağan bir uygulama olsa da bu işlemin otomatikleştirilmiş sistemler tarafından gerçekleştirilmesi, büyük miktarda karmaşık verinin işlenmesi ve analizini ortaya koyduğundan, daha büyük bir risk oluşturmakta ve uygulamayı ileri bir seviyeye taşımaktadır. Kullanılan analiz yöntemlerine bağlı olarak, mevcut verilerin birleştirilmesi yoluyla ilgili kişilerin kimliğini etkileyen ve başka türlü erişilemeyecek yeni bilgiler üretilebilir ve hatta kişiler hakkında tam bir profil oluşturmak mümkün olabilir. Bu, algoritmanın çeşitli veriler arasında kurduğu geniş bağlantılar sonucu yeni olasılıkları ortaya koyabilmesinden ileri gelmektedir. Böyle bir durumda amaç sınırlaması ilkesi, müdahalenin ciddiyetini değerlendirmede ve kararlaştırmada tek başına yetersiz kalabilecektir.

Otomatik veri analizinin veya yorumunun gerekçelendirilmesi için anayasal gereklilikler -müdahale şiddetinin yasal çerçevenin tasarımına bağlı olarak önemli ölçüde değişebileceği dikkate alındığında- değişiklik gösterecektir. Verilerin kaderini tayin etme hakkına müdahalenin ciddiyeti, öncelikle verilerin türü, kapsamı ve olası kullanımların yanı sıra kötüye kullanma riskine bağlıdır.

Büyük miktarda ve karmaşık verinin kullanımı, kolluk faaliyetlerinin işleyişinde müdahaleci bir konuma sahip olabilir. Bilhassa hata payı yükselebilir ve ayrımcılık riski ortaya çıkabilir. Ayrıca bahsi geçen risklerin tespit edilmesi de bir o kadar zorlaşabilir. Kullanılacak verilerin türü ve kapsamına ilişkin kuralların getirilmesi ve izin verilen analiz yöntemlerinin kanun koyucu tarafından sınırlandırılması yoluyla bahsi geçen müdahalenin ciddiyeti belirlenebilecektir. Otomatik yöntemlerle bilgilerin geleceğini belirleme hakkına gerçekleştirilecek müdahale, ancak katı gerekliliklerle haklı gösterilebilir. Bu katı gereklilikler; kişinin yaşamı, uzuvları ve özgürlüğü gibi özellikle önemli yasal çıkarların korunmasını öngörmektedir. Burada gereken müdahale eşiği, yeterince tanımlanabilir bir tehlike eşiğidir.

Daha az ciddi müdahaleler, kayda değer bir ağırlığa sahip yasal çıkarları korumaya hizmet ediyorsa, belirlenebilir bir tehlikenin mevcut olması şartıyla haklı gösterilebilir. Bir önlem; üst düzey, istisnai olarak önemli veya özellikle ağır yasal çıkarları korumaya hizmet ediyorsa, tanımlanabilir bir tehlikeden daha az katı olan bir eşik yeterli olabilecektir. Kanun koyucu, müdahalenin yasal çerçevesini belirleyerek kalan detayların idari makamlarca belirlenmesine izin verebilir. Bununla birlikte kanun koyucu; kullanılabilecek verilerin türünü ve kapsamını sınırlayan, izin verilen veri işleme yöntemlerini kısıtlayan kuralların her durumda yeterli olmasını ve müdahalelerin yasal hükümlere dayandırılması gerekliliğine uyulmasını sağlamalıdır. Kanun koyucu tarafından düzenlenmesi zorunlu olmayan hususların tespiti için yetkilendirme kanunu, alternatif bir yol olarak düşünülebilir. Ayrıca kanun koyucu, kanunda veya yönetmeliklerde düzenlenen soyut ve genel tespitleri ayrıca belirtmelerini idari makamlardan isteyebilir. İdari düzenlemeler yoluyla belirleme, her halükârda yasal bir dayanak gerektirir. Bu yasal temelde yasa koyucu, ilgili hükümlerin belirli ve standart şekilde uygulanmasını sağlayabilecek anlaşılır düzenlemelere yer vermelidir. İlgili düzenlemeler, belgeleme ve yayınlanma gerekliliklerini içermelidir.

Yargılamaya konu her iki hüküm de veri analizi veya yorumlaması için kullanılabilecek verilerin türü ve miktarı konusunda fiilen hiçbir kısıtlamaya sahip değildir. Otomatik veri analizi veya yorumlama için ne tür verilerin ve hangi veri kayıtlarının kullanılabileceğini belirlemezler. Hükümler özellikle, suç teşkil edecek bir fiilde bulunabileceklerini varsaymak için makul gerekçeleri olan veya bu tür kişilerle belirli bir bağı olan kişiler ile bu tür bir gerekçesi olmayan kişiler arasında ayrım yapmamaktadır. Sonuç olarak, polis soruşturmasına tabi olabilecek üçüncü şahısların verilerinin geniş kapsamlı olarak işlenmesi söz konusu olmaktadır.

Hükümler, çok geniş kapsamlı otomatik veri analizi ve yorumlama yöntemlerinin kullanılmasına izin verir. Kanun koyucu, izin verilen analiz ve yorum yöntemlerini sınırlamamıştır. Yargılamaya konu hükümler, kendi kendine öğrenen sistemlerin (Yapay Zekâ) kullanımı da dahil olmak üzere veri madenciliği için temel sağlar ve açık aramalara izin verir. Veri analizi veya yorumlaması, potansiyel olarak diğer otomatikleştirilmiş uygulamaların yardımıyla daha fazla sonuca varılabilecek istatistiksel anormallikleri tespit etmek amacıyla yürütülebilir. Hükümler, elde edilebilecek arama sonuçlarına herhangi bir sınırlama getirmemektedir.

Hamburg’da yasa koyucu, “veri analizi” yerine “veri yorumlama” terimini kullanarak bu tür geniş kapsamlı uygulamaları hariç tutmaya çalışmıştır. Ancak bu, anayasal açıdan yeterli bir şekilde, otomatik uygulamanın, polis tarafından gerçekleştirilen verilerin analizi ve değerlendirmesinin yerini almak yerine, belirli arama kriterleri temelinde eşleşmeleri göstermekle sınırlı olacağını açıklığa kavuşturmamıştır.

İtiraz edilen yetkiler, sınırsız veri analizi teknolojisinin şu anda mevcut olmaması gerekçesi ile de yeterince sınırlandırılmamıştır. Genişletilmiş özellikler, yalnızca gelecekteki teknolojik gelişmelerin ardından kullanılabilse bile; anayasal gereklilikler, prensipte yasal olarak mümkün olan müdahalelere dayanmalıdır.

Hesse Yasası’nın 25. ve Hamburg Yasası’nın 49. maddeleri, orantılılık ilkesinden kaynaklanan gereklilikleri tam anlamıyla karşılamamaktadır. Otomatik veri analizi yapabilmek için Ceza Muhakemesi Kanunu’nun 100/2. maddesinde sayılan suçlardan birinin geçmişte işlenmiş olması veya gelecekte benzer suçların işlenebileceği ihtimalinin söz konusu olması gerekmektedir. Hessen’deki kolluk uygulaması, ayrıntılı tasarımına rağmen; tanımlanabilir bir tehlike ve böyle bir tehlikeyi önlemeye yönelik verilerin işlenmesi konusundaki anayasal gereklilikleri karşılamamaktadır. Nitekim 100/2. maddede suç kataloğunda sayılan hükümlerin de yeterli bir eşik sağlamadığı düşünülmektedir.

Kanuni tanımlara göre, Hessen Yasası’nın 25. ve Hamburg Yasası’nın 49. maddelerinde bahsi geçen suç eylemlerinin önlenmesi kavramı, yalnızca suçun caydırılmasını değil; aynı zamanda gelecekteki suçların kovuşturulması için alınabilecek ön tedbirleri de kapsamaktadır. Bu hükümler kapsamında polisin, gelecekteki istihbarat çalışmaları ve polis soruşturmaları için öngörü elde etmek amacıyla otomatik veri analizine başvurabilmesi mümkündür. Buradan, bu tür bir otomatik analize izin verilmesi için belirli veya tanımlanabilir bir tehlikenin gerekli olacağı çıkarımı yapılamaz. Dolayısıyla bu konuda da müdahale gerekçeleri hiçbir şekilde sınırlandırılmamıştır.

Kolluk tarafından gerçekleştirilen müdahalelerin gerekçeleri, anayasal olarak “gerekli” şeklinde tanımlanabilecek bir tehlike eşiğinin çok altında kalmaktadır. İnsan haklarına bu denli ve doğrudan müdahale eden böyle bir otomatik sistemin kullanımı, ancak bireylerin hayatı, uzuvları veya özgürlüğü gibi özellikle önemli yasal çıkarlarını korumak için söz konusu olmalıdır. Dolayısıyla mevcut uygulama, bireylerin bilgilerinin kaderini tayin hakkını ihlal etmektedir.

Karar

Alman Federal Anayasa Mahkemesi tarafından 16 Şubat 2023 tarihinde verilen kararda, Hessen ve Hamburg’da polis tarafından kullanılan gözetleme yazılımının kullanımının anayasaya aykırı olduğuna karar vermiştir.

Yargılamaya konu sistemler, bireylerin verilerinin kaderini tayin etme hakkını ihlal ettiği gerekçesiyle anayasaya aykırı bulunmuştur.

Verilen karar neticesinde, ilgili gözetim sisteminin Hamburg’da kurulmasının önüne geçilmiş ve yasal dayanaklar yürürlükten kaldırılmıştır.

Hessen’de hali hazırda kullanılmakta olan sistem için ise eyaletin, 30 Eylül 2023 tarihine kadar gerekli değişiklikleri mevzuatına işlemesine ve karar verilen kısıtlamalar doğrultusunda uygulamanın kullanımına devam edilmesine karar verilmiştir. Bu doğrultuda; otomatik veri analizi ve yorumlanması için bahsi geçen gerekliliklerin mevcudiyeti ve suçun işlenmesini önlemek için kullanılan verilerin uygunluğu, her bir vakada yazılı bir açıklama ile teyit edilmelidir. Bireylere ait evlerin gözetlenmesi, uzaktan aramalar, telekomünikasyon gözetimi, trafik verilerinin alınması, uzun süreli gözetimler, gizli soruşturmacılar, gizli muhbirlerin kullanılması veya benzer ciddi müdahaleler yoluyla elde edilen hiçbir bilginin kullanılmaması da ayrıca sağlanmalıdır.

Kaynak: https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/EN/2023/bvg23-018.html