Öneri Sistemlerinin 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Değerlendirilmesi
Bu yazıda, öneri sistemleri 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında değerlendirilmiştir.
1.Öneri Sistemleri
Öneri Sistemleri, son zamanlarda özellikle elektronik-iş uygulamaları bağlamında çok önemli ve popüler bir hale gelmiştir [1, 2]. Öneri sistemlerini e-ticaret sitelerinin satışlarının artmasına nasıl yardımcı olduğu Schafer J. B. ve arkadaşları tarafından araştırılmıştır [3]. Bu sistemler, internet sitesi kullanıcılarına öneride bulunabilmek için; kullanıcının internet sitesinde tıkladığı bir ürün ya da bir internet sayfasına bakarken harcadığı zaman gibi kişisel verilerini kullanarak bir kullanıcı modeli oluşturmaktadır.
Öneri sistemlerini tasarlarken çeşitli yaklaşımlar kullanılmaktadır. Bu yaklaşımlardan birisi ise içerik tabanlı (content-based) filtrelemedir. İnternet sayfası, haber makalesi, restoran, televizyon programı ya da satılık bir ürün önermek için bu filtreleme yöntemi kullanılabilmektedir [4]. İçerik tabanlı öneri sistemlerinde, kullanıcıya geçmişte beğendiğine benzer ürünler önerilmektedir. Bogdanov ve arkadaşları tarafından müzik önerisi ve kullanıcının müzik tercihlerinin görselleştirilmesi için içerik tabanlı bir kullanıcı modelleme tekniği önerilmiştir [5].
Öneri sistemlerinde kullanılan bir diğer yaklaşım olarak karşımıza işbirliğine dayalı filtreleme (collaborative filtering) çıkmaktadır. İşbirliğine dayalı filtreleme, diğer kullanıcıların beğenilerini kullanan bir filtreleme sistemidir [6]. İşbirliğine dayalı filtreleme kullanılmasının temel amacı, benzer kullanıcı ya da beğeniler kullanılarak, kullanıcıya en iyi öneriyi sunabilmektedir.
Bununla birlikte; kullanıcıya sunulacak olan öneriyi iyileştirmek ve ölçeklenebilirlik (scalability) problemine çözüm önerebilmek için yeni yaklaşımlar ortaya çıkmıştır. Söz konusu yaklaşımlar, bir model oluşturmak için, Bayesian ağ işbirlikçi filtrelemesi, kümeleme (clustering) iş birliğine dayalı filtreleme ve kural tabanlı (rule-based) iş birliğine dayalı filtreleme gibi makine öğrenimi algoritmalarını kullanmaktadırlar. Bayesian ağ işbirlikçi filtrelemesi, etki alanındaki her bir öğeye karşılık gelen düğüme sahip olasılıklı bir model formüle etmektedir [7]. Kümeleme iş birliğine dayalı filtreleme, her bölüm içinde bağımsız olarak kullanıcı derecelendirme verilerine ve hesaplama tahminlerine dayalı olarak öğe kümesini bölümlemek için veri bölümleme ve kümeleme algoritmaları kullanmaktadır [7, 8]. Pham ve arkadaşları, sosyal medya kullanıcılarına öneri sunabilmek için kümeleme iş birliğine dayalı filtreleme algoritması önermişlerdir [9]. Kural tabanlı iş birliğine dayalı filtreleme, bir tahmin yapmak ve birlikte satın alınan öğeler arasındaki ilişkiyi bulmak için ilişkilendirme kurallarını kullanmaktadır [10, 11].
Ayrıca, kullanıcı tabanlı veya öğe tabanlı algoritmalar gibi bellek tabanlı algoritmaları ve Bayesian ağı gibi model tabanlı algoritmaları birleştiren hibrit algoritmalar da öneri sistemlerinde kullanılmaktadır [12]. Bu algoritmalar, doğruluk (accuracy), ölçeklenebilirlik (scalability), kıtlık (scarcity) gibi geleneksel iş birliğine dayalı filtrelemenin bazı sınırlamalarının üstesinden gelmeye çalışmaktadırlar. Badaro ve arkadaşları, tavsiye sistemlerinin doğruluğunu ve veri kıtlığını iyileştirmek için, kullanıcı tabanlı ve öğe tabanlı iş birliğine dayalı filtrelemenin eşzamanlı kombinasyonundan oluşan karma bir yaklaşım sunmuştur [13].
2.Kişisel Verilerin Korunması Kanunu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kişisel verilerin korunmasına ilişkin temel kavramlar, KVKK’nın 3'üncü maddesinde yer almaktadır. Karşımıza çıkan ilk kavram, kişisel veridir ve bu kavram, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Bu bağlamda kişisel veri; isim, soyad, doğum yeri ve doğum tarihi gibi kişinin doğrudan kimliğini ortaya koyan bilgiler olabileceği gibi, aynı zamanda kişinin beğenileri, hobileri gibi kişiyi dolaylı olarak belirlenebilir kılan bilgiler de olabilecektir.
Diğer bir önemli kavram ise ilgili kişidir ve bu kavram, kişisel verisi işlenen gerçek kişi olarak açıklanmaktadır. KVKK’da kişisel verilerin işlenmesi geniş bir şekilde tanımlanmış olup kişisel veri üzerinde gerçekleştirilen her türlü faaliyeti kapsamaktadır. Bu faaliyetler ise; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleşen her türlü işlemi” kapsamaktadır. Kişisel verilerin elde edilmesinden imha edilmesine kadar olan süreçte gerçekleştirilen her türlü faaliyet, KVKK kapsamında kişisel verilerin işlenmesi sayılmaktadır.
KVKK’nın 4'üncü maddesinde kişisel verilerin işlenmesinde sayılan temel ilkeler yer almakta olup bu ilkeler;
▶️ Hukuka ve dürüstlük kurallarına uygun olma
▶️ Doğru ve gerektiğinde güncel olma
▶️ Belirli, açık ve meşru amaçlar için işlenme
▶️ İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
▶️ İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kişisel verilerin işlenme şartları ise KVKK’nın 5'inci maddesinde sayılmış olup, aşağıdaki hallerden en az birinin bulunması durumunda kişisel veriler işlenebilecektir;
▶️ İlgili kişinin açık rızasının varlığı
▶️ Kanunlarda açıkça öngörülmesi
▶️ Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
▶️ Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
▶️ Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
▶️ İlgili kişinin kendisi tarafından alenileştirilmiş olması
▶️ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
▶️ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Özel nitelikli kişisel verilerin işlenme şartları ise KVKK’nın 6'ncı maddesinde sayılmış olup, aşağıdaki hallerden en az birinin bulunması durumunda kişisel veriler işlenebilecektir;
▶️ İlgili kişinin açık rızasının varlığı
▶️ Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde
▶️ Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
Açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak KVKK’da tanımlanmıştır. Kişisel veri işleme, KVKK’da bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmadan kişisel veri işleme faaliyeti gerçekleştirilecektir. KVKK’nın 5'inci ve 6'ncı maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerden açık rızasının alınması, KVKK’nın 4' üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil edecektir.
KVKK ile veri sorumlularına getirilen yükümlülüklerden birisi ise aydınlatma yükümlülüğüdür. KVKK’nın 10'ncu maddesine göre veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile KVKK’nın 11'inci maddesinde yer alan haklar konusunda ilgili kişiye bilgi vermekle yükümlüdür.
Veri güvenliğine ilişkin yükümlülükler ise; KVKK’nın 12'nci maddesinde düzenlenmiştir. Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamakla yükümlüdür. Kişisel verilerin, veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde veri sorumlusunun müşterek sorumluluğu ortaya çıkmaktadır. Veri sorumlusunun denetim yükümlüğü bulunmaktadır.
3.Sonuç ve Öneriler
Öneri sistemleri ile yapılan yapılan iş faaliyetleri, kişisel veri işleme faaliyeti olarak nitelendirilebilecektir. Kişisel veri işleme faaliyeti olarak değerlendirildikten sonra ise aşağıda yer alan hususlar kapsamında öneri sistemleri ile faaliyetlerin yürütülmesi gerekmektedir;
1.KVKK’nın 4'üncü maddesinde yer alan genel ilkelere uygun bir şekilde öneri sisteminin tasarlanması gerekmektedir.
2. KVKK’nın 5'inci Maddesinde yer alan işleme şartları gözetilerek öneri sistemi tasarlanmalı ve KVKK’nın 5'inci maddesinin 2'nci fıkrasında yer alan işleme şartlarından birisinin olmaması durumunda açık rıza alınarak işleme faaliyeti yerine getirilmelidir. Öneri sistemleri ile özel nitelikli kişisel veri işleme durumunda ise; KVKK’nın 6'ncı yer alan işleme şartları göz önünde bulundurularak sistem tasarlanmalıdır.
3. İlgili kişinin açık rızası alınarak öneri sistemi tasarlanmışsa; açık rızanın çekilmesi durumunda söz konusu faaliyetin durdurulması gerekmektedir. Bu sebeple; öneri sistemlerinin açık rızanın her zaman geri çekilmesi ihtimaline uygun bir şekilde tasarlanması gerekmektedir.
4. İlgili kişi, aydınlatma metni içerisinde öneri sistemleri ile yapılan faaliyetler konusunda bilgilendirilmelidir.
5. Mevzuatta belirtilen süreler geçtikten sonra ya da işleme amacı ortadan kalktıktan sonra kişisel verilerin imha edilmesi gerekmektedir. İmha yöntemlerinden birisi olan anonim hale getirme, öneri sistemleri için en uygun imha yöntemidir. Bu sebeple; tasarlanmış olan öneri sistemine uygun anonim hale getirme yönteminin tespit edilmesi gerekmektedir. Tespit edilecek anonim hale getirme yöntemi ile hem KVKK ve ilgili mevzuata uygun bir şekilde imha yükümlülüğü yerine getirilecek hem de ilgili kişi ile bağı kesilen veriler ile öneri sistemi eğitilebilecektir.
6. Ayrıca, KVKK’nın 12'nci maddesinde belirtilen veri güvenliğine ilişkin yükümlülüklerin de tasarlanmış olan öneri sistemleri özelinde yerine getirilmesi gerekmektedir.
4. Kaynaklar
[1] Koschmider, A., Hornung, T., and Oberweis, A., “Recommendation-based editor for business process modeling,” Data & Knowledge Engineering, 70(6), 483–503, 2011.
[2] Park, J.H., “A recommender system for device sharing based on context-aware and personalization,” KSII Transaction on Internet and Information Systems, 4(2), 174–190, 2010.
[3] Schafer, J. B., Konstan, J., and Riedl, J., “Recommender Systems in e-commerce,” Proceedings of the 1st ACM Conference on Electronic Commerce (EC ’99), Denver, CO, USA, 158–166, 1999.
[4] Pazzani, M. J., Billsus, D, “Content-Based Recommendation Systems,” Lecture Notes in Computer Science, 4321, 325–341, 2007.
[5] Bogdanov, D., Haro, M., Fuhrmann, F., Xambo, A., Gomez, E., Herrera, P, “Semantic audio content-based music recommendation and visualization based on user preference examplaes,” Information Processing and Management, 49(1), 13–23, 2013.
[6] Schafer, B., Frankowski, D., Herlocker, J., and Sen, S., “Collaborative Filtering Recommender Systems,” Lecture Notes in Computer Science, 4321, 291–327, 2007.
[7] Breese, J. S., Heckerman, D., and Kadie, C., “Empirical analysis of predictive algorithms for collaborative filtering,” Proceedings of 14th conference on Uncertainty in artificial intelligence, Madison, Wisconsin, USA, 43–52, 1998.
[8] O’Connor, M. and Herlocker, J., “Clustering Items for Collaborative Filtering,” Proceedings of the ACM SIGIR Workshop on Recommender Systems, Berkeley, CA, USA, 1999.
[9] Pham, M. C., Cao, Y., Klamma, Y., Jarke, M., “A Clustering Approach for Collaborative Filtering Recommendation Using Social Network Analysis,” Journal of Universal Computer Science, 17(4), 583–604, 2011.
[10] Sarwar, B. M., Karypis, G., Konstan, J., and Reidl, J., “Item-based collaborative filtering recommendation algorithms,” Proceedings of the 10th international conference on World Wide Web, Hong Kong, 285–295, 2001.
[11] Sarwar, B. M., Karypis, G., Konstan, J., and Riedl, J., “Analysis of Recommendation Algorithms for E-Commerce,” Proceeding of the 2nd ACM conference on Electronic commerce (EC ’00), Minneapolis, 158–167, 2000.
[12] Shih, Y. and Liu, D., “Hybrid recommendation approaches: collaborative filtering via valuable content information”, Proceedings of the 38th Hawaii International Conference on System Sciences, Hawaii, 217b, 2005.
[13] Badaro, G., Hajj, H., El-Hajj, W., and Nachman, L., “A Hybrid Approach with Collaborative Filtering for Recommender systems,” Proceedings of the 9th International Wireless Communications and Mobile Computing Conference, Sardinia, Italy, 349–354, 2013.
