İşyerlerinde Yapay Zekâ Verilerinin Korunmasına Yönelik Kapsamlı Küresel Kılavuz

Giriş

Aynı temel çerçeve, yapay zekânın verileri nasıl işlediğine ilişkin ortaya çıkan yeni düzenlemelerin hemen hemen tamamını desteklemektedir ki; bu, kesinlikle bir dizi yasa olmasına rağmen, yapay zekâ kullanan işverenlerin, veri korumayla ters düşmediklerinden emin olmak için nispeten basit bir kontrol listesini izleyebilecekleri anlamına gelir.

İstihdamla ilgili yapay zekâ (employment-related artificial intelligence) araçları çoğaldıkça, çok uluslu işverenler yapay zekâyı küresel ofislerinde kullanma yönünde artan bir baskı hissediyorlar. Bu araçlar, istihdam yaşam döngüsü boyunca büyük değer ve verimlilik sağlayabilir. Örneğin işe alım uzmanları, binlerce başvuruyu hızlı bir şekilde inceleyerek onlara günlerce zaman kazandırabilecek yapay zekâ tarama hizmetleri talep ediyor. İş ortakları, denetim konusunda zamandan tasarruf edebilecek performans izleme araçları istiyor. Çalışanlar raporlar, sunumlar ve eğitimler oluşturmalarına yardımcı olması için üretken yapay zekâ (generative artificial intelligence) araçlarını kullanmak isteyebilir. İnsan kaynakları departmanı, iş gücünün ortak sorularını yanıtlayabilecek bir sohbet robotu talep edebilir. Liste böyle uzayıp gitmektedir.

Aynı zamanda, yapay zekâ araçlarının küresel ofislerde kullanıma sunulmasının getirdiği (yasal) uyum zorluğu çok zor görünebilir. Yapay zekâ araçları, işyerinde işgücü, ayrımcılık, fikri mülkiyet ve veri koruma dâhil olmak üzere çok sayıda yasal kaygıyı beraberinde getirmektedir.

Her ülkenin bu alanlarda kendi yasaları bulunmasının yanı sıra yasama organları da hızla yapay zekâya özel kanunlar geliştirmektedirler. Çok uluslu işverenler için iyi haber, yapay zekâya ilişkin en kapsamlı kısıtlamaları içeren yasaların -veri koruma yasaları (data protection laws)- tüm dünyada benzer bir çerçeveyi takip etmesidir. Sonuç olarak, çok uluslu işverenler temel veri koruma sorunlarının üstesinden gelmek için nispeten basit bir kontrol listesini takip edebilirler. Bu kontrol listesi, işverenlerin yapay zekâ programları için küresel bir veri koruma çerçevesi oluşturmalarına yardımcı olabilir ki; bu çerçeve daha sonra yargı yetkisine göre değişiklik gösterebilir.

1. Yapay Zekâ Araçlarını Düzenleyen Yasal Çerçeveye Genel Bir Bakış

Çoğu ülkede, kişisel verilerin kullanımını kapsamlı bir şekilde düzenleyen veri koruma yasaları vardır ve bu yasalar, kişisel verilerin yapay zekâ araçları tarafından kullanılması ve otomatik karar verme araçlarının kullanımı için geçerlidir. Bu yasaların en öne çıkanlarından biri Avrupa Birliği’ndeki (AB) ‘Genel Veri Koruma Yönetmeliği’dir (General Data Protection Regulation-GDPR), ancak Amerika Birleşik Devletleri’nin (ABD) hemen hemen her büyük ticaret ortağının bir veri koruma yasası vardır.

Bu ülkeler arasında komşularımız Kanada ve Meksika; Brezilya, Çin, Hindistan, Japonya ve Birleşik Krallık gibi küresel güç merkezleri ve birçok küçük ekonomi mevcuttur. Veri koruma yasaları giderek artan bir şekilde yapay zekâyı veya otomatik karar almayı düzenleyen hükümleri içeriyor. Üstelik yapay zekâya özel yeni yasalar, mevcut veri koruma yasalarının çerçevesi üzerine inşa edilmektedir.

Amerika Birleşik Devletleri federal düzeyde kapsamlı bir veri koruma yasasına sahip olmasa da, Amerika Birleşik Devletleri genelinde karmaşık bir gizlilik ve veri güvenliği yasaları toplu olarak kapsamlı bir veri koruma kanununa benzer korumalar oluşturmaktadır. Buna ek olarak, tüm eyaletlerin dörtte birinden fazlası, mevcut yasaların üzerinde yer alan kapsamlı veri koruma yasalarını benimsemiştir. En azından şimdilik Kaliforniya Tüketici Gizliliği Yasası (California Consumer Privacy Act-CCPA), başvuru sahiplerinin, çalışanların, bağımsız yüklenicilerin ve bir şirketle insan kaynakları ilişkisi içinde olan diğer kişilerin verileri için geçerli olan tek yasadır. Buna ilave olarak, yapay zekâyı özel olarak düzenleyen giderek artan bir mevzuat yapısı bulunmaktadır.

Bu karmaşıklığa rağmen, hemen hemen tüm veri koruma yasaları aynı temel çerçeveyi izlemektedir. Bu, işverenlere dikkate alınması gereken konuların bir kontrol listesini sağlar. Bu yasaların başka unsurları da olsa, işverenlerin değerlendirmesi gereken temel öğeler[1] şunlardır:

  • Veri işlemenin yasal dayanağı;
  • Fark etme;
  • Orantılılık ve veri koruma etki değerlendirmeleri;
  • Sınır ötesi veri aktarımı kısıtlamaları;
  • Veriler ile ilgili haklar;
  • Veri minimizasyonu ve saklama;
  • Kesinlik;
  • Veri güvenliği,
  • Taahhüt.

2. İşverenlerin Yapay Zekâ Verilerinin Korunmasında Değerlendirmeleri Gereken Temel Öğeler

2.1. Veri işlemenin yasal dayanağı [Legal basis for processing]

Belirli bir yapay zekâ aracının nasıl uygulanacağını düşünmeden önce işverenler öncelikle bilgilerin toplanması ve işlenmesi için yasal bir temel olup olmadığını değerlendirmelidir. Dünya çapındaki çoğu veri koruma yasası, kişisel verilerin toplanmasına ve işlenmesine yalnızca bireyin rızası veya kanunun gerektirdiği gibi sınırlı gerekçelerle izin vermektedir. Bu ülkelerde bir işveren, yalnızca bunu yapmak için yasal bir temel olması durumunda verileri işleyebilir. Başka bir deyişle, bir işverenin kişisel verileri açıkça yasaklanmadığı sürece herhangi bir amaç için kullanabileceği ABD’nin tersine, çoğu ülkede bir işveren, açıkça izin verilen bir yasal dayanak geçerli olmadığı sürece kişisel verileri kullanamaz. Kişisel verilerin istihdam bağlamında işlenmesine ilişkin tipik yasal dayanaklar; rıza, bir sözleşmenin ifası, şirketin meşru menfaati ve yasal bir yükümlülüğe uygunluktur.

Pek çok ülke yasal dayanak olarak ağırlıklı olarak bireyin rızasına dayanmaktadır. Bir uçta, Güney Kore’de işverenlerin kişisel verileri kullanmak, belirli hassas kişisel veri kategorilerini kullanmak, kişisel verileri üçüncü bir tarafa ifşa etmek ve kişisel verileri başka bir ülkeye aktarmak için ayrı izinler alması gerekir. Diğer uçta ise giderek daha fazla sayıda ülke, işverenin meşru menfaatleri gibi daha gevşek bir kavram üzerinden veri işlenmesine izin vermektedir. AB gibi bazı yargı mercileri, istihdam bağlamında veri işleme için yasal bir temel olarak rızaya dayanılmasını kesinlikle onaylamamaktadır.

2.1.1  Kamuya açık veriler (publicly available data)

Kamuya açık kişisel veriler internetten çıkarıldığında yasal dayanak sorunu özel bir engel oluşturmaktadır. Örneğin, yapay zekâ araçlarının popüler bir alt kümesi, doldurulması zor işler için işe alım görevlilerinin veya kelle avcılarının iletişim kurabileceği potansiyel adayları belirlemek amacıyla internetteki kişiler hakkında (LinkedIn profilleri, profesyonel biyografi web sayfaları ve benzerleri) bilgi toplar. Prensipte böyle bir araç binlerce kişi hakkında bilgi toplayabilir.

İşlemenin yasal dayanağı olarak genellikle rızaya dayanan ülkelerde, halka açık çevrimiçi bilgilerden yüzlerce aday hakkında bilgi toplamak, her bir kişiden rıza almanın zorluğu nedeniyle pratik olmayabilir. Brezilya, Birleşik Krallık ve Avrupa Ekonomik Alanı üyeleri gibi diğer ülkeler, bireyin hak ve özgürlüklerinin şirketin meşru çıkarlarından daha ağır basmadığı ölçüde, şirketin “meşru çıkarlarına” (legitimate interests) dayalı olarak veri işlenmesine izin vermektedir.

Bir şirketin “meşru” çıkarlarına güvenip dayanamayacağı, tamamen bağlama bağlı olabilir. Profesyonel sosyal ağlardaki halka açık profiller için, özellikle profilin bireyin iş bulma konusundaki ilgisini gösterdiği durumlarda, çıkarların dengelenmesi genel olarak işverenin lehine olmalıdır. Bununla birlikte, kişinin potansiyel işverenler için profili açıkça yayınlamadığı, kullanım koşullarının kazımayı yasakladığı ve diğer faktörler, kişinin profilin kendisini istihdam için değerlendirmek için kullanılmasını istemediğini gösteriyorsa, çıkar dengesi büyük olasılıkla işverenin aleyhine olacaktır. Sonuç olarak, küresel işverenlerin ağırlıklı olarak ‘İnternet’ten alınan bilgilere dayanan yapay zekâ araçlarını uygulamadan önce, verilerin geçerli veri koruma yasalarına uygun olarak toplanıp toplanmadığına ilişkin riski değerlendirmek için yeterli durum tespiti yapması gerekir.

2.1.2. Özel olarak kullanılabilen veriler (privately available data)

Yasal dayanak sorunu, kişisel verilerin başka bağlamlarda toplanmasında da zorluklara yol açmaktadır. Örneğin, bir işverenin, bir yapay zekâ aracının bunları üretkenlik açısından analiz edebilmesi için, çalışanların şirketin bilgisayar sistemindeki faaliyetlerine ilişkin kişisel verileri toplama konusunda meşru menfaati olabilir. Bununla birlikte, yukarıda da belirtildiği gibi, meşru menfaat genellikle bireyin gizlilik haklarına göre değerlendirilmelidir. Bu, yalnızca toplanacak bilgilerin değil, aynı zamanda veri toplama yönteminin de dikkate alınmasını içerir. Örneğin, bir Alman mahkemesi, işverenin keylogger yazılımı kullanımı yoluyla çalışanları izlemeye yönelik meşru menfaatinin, çalışanların gizlilik haklarına ağır bastığına karar verdi. Mahkeme, çalışanları gizlice izlemek ve kontrol etmek için iş bilgisayarındaki tüm tuş vuruşlarını kaydeden keylogger (tuş kaydedici) yazılımının kullanılmasının, somut gerçeklere dayalı olarak ceza gerektiren bir suç veya diğer ciddi görev ihlali şüphesini gerektirdiğini tespit etmiştir.

İlke olarak, çalışanın rızası (employee’s consent), çalışanlar hakkındaki gözetim verilerinin toplanmasının yasal dayanağı olarak meşru menfaatin alternatifi olabilir. Çoğu veri koruma kanunu, kişisel verilerin rızaya dayalı olarak işlenmesine izin verir. Ancak, en azından Avrupa Ekonomik Alanı, Brezilya ve Birleşik Krallık’ta, rıza genellikle istihdam bağlamında uygun bir alternatif olmayacaktır. Bu ülkelerde yetkililer, çalışanlar ve işverenler arasındaki güç dengesizliği nedeniyle çalışanların ve hatta bazı durumlarda başvuru sahiplerinin bile genel olarak veri işleme konusunda serbestçe rıza veremedikleri görüşünü benimsiyor.

2.1.3. ABD’de ve diğer yerlerde veri toplama kısıtlamaları (data collection restrictions)

Yukarıda da zikredildiği üzere, ABD veri koruma yasası genel olarak kişisel verilerin işlenmesine ilişkin yasal bir temel kavramını benimsememiştir. Bunun yerine, birçok eyaletteki müşterek hukuk (common law), bireylerin makul bir gizlilik beklentisine sahip olduğu kişisel bilgileri korur. Özel ofislerde gizlice video kaydı yapılması gibi bu makul beklentiyi ihlal eden bilgilerin toplanması, genel hukuk uyarınca haksız fiil teşkil edebilir.

Ayrıca çeşitli ABD yasaları, ses kayıtları, biyometrik veriler ve konum verileri gibi hassas bilgilerin toplanması için izin gerektirmektedir. Diğer ABD yasaları, sağlık ve genetik veriler gibi sınırlı durumlar haricinde, başvuru sahipleri ve çalışanlar hakkında belirli bilgilerin toplanmasını yasaklamaktadır.

Benzer şekilde, diğer ülkelerin de bilgi toplanmasını sınırlayan ulusal veri koruma yasalarından ayrı yasaları vardır. Örneğin, Avustralya’daki birçok eyalette, toplanabilecek bilgi türlerini sınırlayan, işyerine özel gözetim yasaları bulunmaktadır.

2.1.4. Veri toplamada dikkate alınması gereken temel unsurlar (key factors to consider in data collection)

Bir işverenin kişisel verileri toplamak ve bunları yapay zekâ ile işlemek için yasal bir dayanağının olup olmadığı sorusu genel olarak dört faktöre bağlı olacaktır:

  • Kişisel verilerin türü ve çalışanın bu verilerdeki gizlilik çıkarları;
  • Verilerin kamuya açık olup olmadığı da dâhil olmak üzere bilgilerin toplandığı ve işlendiği yer;
  • Teknolojinin istilacılığı da dâhil olmak üzere toplama ve işleme bağlamı,
  • Kullanım amaçları.

İşverenin kişisel verilerin toplanması ve kullanılması için yasal bir dayanağa sahip olup olmadığının dikkate alınması, bir yapay zekâ aracının nasıl kullanılacağını değerlendirmede ilk adım olmalıdır çünkü analiz, işverenin bazı yargı bölgelerinde gerekli kişisel verileri toplayamadığını ve/veya işleyemediğini gösterebilir.

2.2. Fark etme [Notice]

Bir şirket, kişisel bilgileri yasal olarak toplayıp kullanabileceğini belirledikten sonra, uygulamaları bireylere nasıl bildireceğini düşünmelidir. Hemen hemen tüm veri koruma yasaları, bir şirketin kişisel verileri nasıl işlediğine ilişkin bir bildirimde bulunmasını gerektirir. Çoğu yasa, bildirimlerin hangi verilerin işlendiğini, kişisel verilerin kullanılma amaçlarını, verilerin açıklandığı tarafları ve veri haklarının nasıl kullanılacağına ilişkin bilgileri içermesini gerektirir. Diğer gerekli açıklamalar, kişisel verilerin kullanımına ilişkin yasal dayanağı, diğer ülkelere veri aktarımına ilişkin ayrıntıları ve şirketin veri koruma görevlisinin iletişim bilgilerini içerebilir.

2.2.1. Mevcut veri koruma yasalarındaki bildirim (notice in existing data protection laws)

Veri koruma yasaları, belirli durumlarda yapay zekânın kişisel verileri nasıl işleyeceğine ilişkin ek açıklamalar yapılmasını giderek daha fazla zorunlu kılmaktadır. 2018 yılı ortasında yürürlüğe girdiğinden bu yana, Genel Veri Koruma Yönetmeliği, veri denetleyicisinin yalnızca “yasal sonuçlar doğuran” veya bireyi “benzer şekilde önemli ölçüde etkileyen” (produces legal effects or similarly significantly affects) otomatik işlemeye dayalı kararlar vermesi durumunda bildirimde bulunulmasını zorunlu kılmıştır. Bu muhtemelen yalnızca otomatik işlemeye dayalı istihdam kararlarının çoğunu içerir. Bu durumda bildirimde söz konusu işlemin mantığının yanı sıra söz konusu işlemenin birey açısından önemi ve öngörülen sonuçları da açıklanmalıdır.

2.2.2. Yeni yapay zekâ yasalarındaki ek bildirim koşulları (additional notice requirements in new AI laws)

AB’nin Yapay Zekâ Yasası, Genel Veri Koruma Yönetmeliği’nin biyometrik sınıflandırma sistemleri ve duygusal tanıma sistemleri olarak çalışan yapay zekâ araçlarına yönelik bildirim yükümlülüğünü tamamlamaktadır. Bu son terimin anlamı henüz tamamen açık olmasa da, potansiyel olarak çalışanların duygusal durumunu ölçmeye çalışan bazı yeni yapay zekâ araçlarını kapsayabilir; örneğin, bir çağrı merkezi çalışanının çağrılar sırasındaki davranışlarının analizine dayalı duygusal durumu, çağrı sırasındaki davranışlarını analiz ederek.

ABD düzenleyici kurumları ve yeni ABD yasaları da benzer şekilde ilerleme kaydetmiştir. Örneğin, Eşit İstihdam Fırsatı Komisyonu (Equal Employment Opportunity Commission), yapay zekâ araçlarını kullanan işverenlerin en azından aracın hangi nitelikleri veya özellikleri ölçmek için tasarlandığı, bu niteliklerin veya özelliklerin ölçüleceği yöntemler ve eğer varsa, bu potansiyel olarak değerlendirme sonuçlarını düşürebilir veya bireyin elenmesine neden olabilir engel durumlar hakkında bildirimde bulunmasını tavsiye etmiştir.

New York Şehri’nin çalışanları ve adayları değerlendirmek için yapay zekâ kullanımına ilişkin çığır açan yasası, yasaya tabi şirketlerin, söz konusu çalışanın veya adayın değerlendirilmesi ve bu değerlendirmede kullanılan iş nitelikleri ve özellikleri ile bağlantılı olarak otomatik istihdam karar araçlarını kullanacağını açıklayan bildirimler sunmasını gerektirmektedir.

Yapay zekâya özel yasaların çıkarılmasında AB ve ABD ön sıralarda yer almaktadır. Ancak birçok ülke bu tür mevzuat teklifinde bulundu. Örneğin, Brezilya’nın veri koruma yasasına (Lei Geral de Proteção de Dados Pessoais-LGPD) göre bireylere yönelik bildirim, veri sahibinin tam otomatik kararların incelenmesini talep etme hakkını içermelidir. Brezilya’nın önerilen yapay zekâ yasası daha da ileri giderek bireylere yapılacak bildirimde yapay zekânın kullanılacağına dair bir beyanın ve bireylerin haklarına ilişkin bir açıklamanın yer almasını zorunlu kılmaktadır. Bu haklar, yapay zekânın kararına ilişkin açıklama hakkını, karara itiraz hakkını, bir insanın karara katılımı hakkında bilgi edinme hakkını ve ayrımcı önyargıların düzeltilmesini talep etme hakkını içerecektir.

Bu eğilimler göz önüne alındığında, birçok yargı bölgesinin, en azından işverenin bir yapay zekâ aracı kullandığını ve büyük olasılıkla kullanım amaçlarını, araç tarafından değerlendirilen özellikleri ve kullanılan yöntemlere ilişkin bazı açıklamaları belirten bireylere bildirimde bulunulmasını gerektiren yasalar çıkarmasını bekliyoruz. Bu nedenle küresel işverenlerin, insan kaynakları yönetimi amacıyla yapay zekâ araçlarını uygulamadan önce geçerli veri koruma yasalarının genel koşullarını tamamlayan yeni yapay zekâya özel bildirim yükümlülüklerini kontrol etmesi gerekecektir.

2.3. Orantılılık ve veri koruma etki değerlendirmeleri [Proportionality and data protection impact assessments]

Veri koruma kanunları genel olarak veri kontrolörlerinin kişisel verileri, kontrolörün çıkarlarını bireye yönelik risklere karşı dengeleyerek orantılı bir şekilde işlemesini gerektirir. Bu riskleri azaltmak amacıyla çoğu veri koruma kanunu, yüksek riskli veri işleme biçimleri için resmileştirilmiş bir veri koruma etki değerlendirmesi (data protection impact assessment) gerektirir.

Bir bireyin geçimi üzerindeki potansiyel etkisi nedeniyle, başvuru sahiplerini veya çalışanları değerlendirmek için yapay zekânın kullanılması büyük olasılıkla veri koruma yasaları kapsamında bir veri koruma etki değerlendirmesi gerektirmektedir. Ancak mevcut veri koruma kanunları, bir veri koruma etki değerlendirmesinin gerekli olup olmadığı konusunda belirsiz olabilir; çünkü bir veri koruma etki değerlendirmesinin yasal olarak gerekli olup olmadığını belirleme ölçütleri bir dizi faktöre bağlıdır. Bu belirsizliğe bariz bir yanıt olarak, giderek artan sayıda yapay zekâ kanunu ve teklif edilen (tasarı) mevzuat, insan kaynakları bağlamında kullanılan yapay zekâ için veri koruma etki değerlendirmeleri açıkça zorunlu kılacaktır.

Özellikle, AB’nin yakında çıkacak olan Yapay Zekâ Yasası, bir işverenin, çalışanları işe almak veya seçmek, işe alma, işten çıkarma ve görev tahsisi hakkında kararlar almak veya çalışanları izlemek ve değerlendirmek amacıyla kişisel verileri işlemek için bir yapay zekâ sistemi kullanırken, Genel Veri Koruma Yönetmeliği’nin veri koruma etki değerlendirmesini yürütmesini zorunlu kılarak, esasen Genel Veri Koruma Yönetmeliği’ni temel almaktadır. Brezilya’nın tasarı yapay zekâ yasası da benzer bir yaklaşımı benimseyecektir. Genel Veri Koruma Yönetmeliği gibi, Brezilya’nın genel veri koruma yasası LGPD de belirli yüksek risk senaryolarında veri koruma etki değerlendirmeleri zorunlu kılmaktadır. Brezilya’nın tasarı halindeki yapay zekâ yasası, aday seçimi ve istihdam için yapay zekânın kullanımını yüksek riskli olarak sınıflandırmaktadır. Buna göre tasarı yasa, bir tür veri koruma etki değerlendirmesinin yanı sıra sistemin işleyişine ve inşası, uygulanması ve kullanımına ilişkin kararlara ilişkin ayrıntılı belgelendirmeyi de gerektiriyor. Amerika Birleşik Devletleri’nde ise, Kaliforniya Tüketici Gizliliği Yasasına ilişkin düzenlemelerin ilk taslağı, işverenin başvuru sahipleri, çalışanlar veya bağımsız yükleniciler hakkında karar vermek için “otomatik karar verme teknolojisini” kullanması durumunda neredeyse 50 faktörü kapsayan bir risk değerlendirmesi gerektirecektir.

Çin özellikle koruyucu bir yaklaşım benimsemiştir. Çin’in Kişisel Bilgilerin Korunması Yasası (China’s Personal Information Protection Law-PIPL), kişisel bilgileri işleyen kişinin, otomatik karar verme sürecini yürütmek ve işleme faaliyetlerini kaydetmek için kişisel bilgileri kullanmadan önce kişisel bilgilerin korunması etki değerlendirmesi yapmasını gerektirir. Çin Kişisel Bilgilerin Korunması Yasası, “otomatik karar alma”yı (automated decision-making) kişisel davranışları, alışkanlıkları, ilgi alanlarını veya hobileri veya finansal, sağlık, kredi veya diğer durumları otomatik olarak analiz etmek veya değerlendirmek için bilgisayar programlarını kullanma ve bunlara göre karar verme faaliyeti olarak tanımlamaktadır.

Böyle bir değerlendirme koşulu, hassas kişisel bilgilerin işlenmesi veya kişisel bilgilerin yurtdışına aktarılması gibi Çin Kişisel Bilgilerin Korunması Yasası kapsamında belirtilen diğer koşullar altında da geçerlidir. Değerlendirmede aşağıdakiler de dâhil olmak üzere hususlar ele alınmalıdır: İşlemenin amaçları ve yöntemlerinin yasal, meşru ve gerekli olup olmadığı; veri sahiplerinin hakları ve çıkarları üzerindeki etkisi, güvenlik riskleri ve alınan koruyucu önlemlerin risk derecesine bağlı olarak yasal, etkili ve uygun olup olmadığı.

Buna göre, çok uluslu işverenlerin işyerinde yeni bir yapay zekâ aracını uygulamaya koymadan önce bir veri koruma etki değerlendirmesi yürütmeleri gerekip gerekmediğini düşünmeleri gerekmektedir. Bunun cevabı giderek daha fazla evet olacaktır ve işveren, veri koruma etki değerlendirmesinin ilgili tüm yetki alanlarında öngörülen faktörleri dikkate almasını sağlamalıdır. Veri koruma etki değerlendirmesi yasal olarak gerekli olmasa bile, küresel işverenlerin yine de yapay zekâ aracını insan kaynakları bağlamında uygulamanın risklerine ilişkin bir tür değerlendirmeyi düşünmesi gerekir. Riskleri uygulamadan önce belirlemek, şirketin bu riskleri nasıl azaltacağını ve hafifletme tedbirlerinin riskleri belirli bir işveren için tolere edilebilir bir düzeye indirip indirmeyeceğini değerlendirmesine de olanak tanıyacaktır.

2.4. Sınır ötesi veri aktarımı kısıtlamaları [Cross-border data transfer restrictions]

Çoğu veri koruma yasası, sınırlı durumlar haricinde kişisel verilerin başka bir ülkeye aktarılmasını yasaklamaktadır. Bu, çok uluslu işverenler için bir engel oluşturuyor çünkü insan kaynakları süreçlerini tek bir ofiste merkezileştirirlerse, insan kaynakları verilerinin işlenmesi, kişisel verilerin ulusal sınırların ötesine aktarılmasını gerektirmektedir. Örneğin, bir işveren, başka bir ülkedeki başvuru sahiplerinin başvurularını değerlendirmek için Amerika Birleşik Devletleri’nde bulunan bir hizmet sağlayıcının sunucusunda çalışan bir yapay zekâ aracı kullanıyorsa, başvuru sahiplerinin kişisel verileri, yapay zekâ incelemesi sürecinde büyük olasılıkla uluslararası sınırları aşacaktır.

2.4.1. Onay zorunluluğu (consent required)

Pek çok yargı bölgesi, sınır ötesi veri aktarımları için bireyin iznini gerektirir. Bağlama bağlı olarak, onay almak pratik olmayabilir, ancak gönderen ve alan tüzel kişilerin, menşe ülkelerin veri koruma yasalarına eşdeğer korumalar uygulayan veri aktarım anlaşmaları imzalaması durumunda, ülkeler giderek sınır ötesi veri aktarımlarına izin olmadan izin vermektedir.

2.4.2. AB, İngiltere, Brezilya ve Çin

Bunun tersine, Çin’de, AB’de, Birleşik Krallık’ta ve muhtemelen Brezilya’da işverenler, en azından istihdam bağlamında, veri aktarımları için fiilen rızaya güvenemezler. AB, veri aktarımları için, model veri aktarım sözleşmeleri, bağlayıcı kurumsal kurallar ve ABD’ye aktarımlarla ilgili olarak AB-ABD Veri Gizliliği Çerçevesi (EU-U.S. Data Privacy Framework) dâhil olmak üzere çeşitli seçenekler sunmaktadır. Brezilya’nın Ulusal Veri Koruma Otoritesi (National Authority for Data Protection), sınır ötesi aktarımlar için gerekli olacak standart sözleşme maddeleri modüllerini geliştirme sürecindedir; çünkü henüz başka hiçbir ülkenin yeterli veri koruma sağladığı belirtilmemiştir ve onay, pratik veya riskli olmayabilir. Çin’in mevcut veri koruma yasal çerçevesi de, kişisel verileri Çin dışına aktarmak için bir dizi materyal sunarak esasen hükümet onayı almayı, kişisel veri ihracatçısı açısından külfetli bir uygulama haline getirmektedir.

Amerika Birleşik Devletleri, kişisel verilerin diğer ülkelere aktarılmasına kısıtlama getirmemesi açısından oldukça sıra dışıdır. Belirli teknoloji türleri üzerinde ihracat kontrolleri mevcut ancak kişisel veriler üzerinde ihracat kontrolleri (export controls) bulunmamaktadır.

Özetle, merkezi yapay zekâ araçlarını kullanan veya kişisel verileri başka şekilde ulusal sınırların ötesine aktaran çok uluslu şirketler, birçok ülkede rızayı içeren bir yasal uyum stratejisinin yanı sıra, birden fazla yasayla uyumlu şirket içi veri aktarım anlaşmalarına ve bazı yerel yönetimlerle yapılan başvurulara ihtiyaç duyabilir. Çok uluslu işveren, diğer insan kaynakları ile ilgili faaliyet türleri için zaten bir sınır ötesi veri aktarım stratejisi uygulamışsa, kişisel verilerin merkezi yapay zekâ araçlarında kullanılmak üzere sınır ötesi aktarımı, bu daha geniş veri aktarım çözümüne dâhil edilebilir.

2.5. Veriler ile ilgili haklar [Data-related rights]

Veri koruma yasaları her zaman bir tür veri hakkı sağlar. Bunlar, tüm veri işlemeye yönelik hakların yanı sıra otomatik karar verme ve diğer yapay zekâ biçimlerine özgü hakları içerir. Küresel işverenlerin, yapay zekâ araçlarını kullanmalarıyla ilgili hak taleplerine hazırlıklı olabilmeleri için bu hakların farkında olmaları gerekir.

2.5.1. Yapay zekâ ile ilgili genel veri hakları (general data rights relevant to AI)

Özellikle yapay zekâ ile ilgili geleneksel veri hakları, şirketin kişisel verileri rızaya dayalı olarak işlediği durumlarda, verilerin nasıl işlendiğini bilme hakkı, itiraz hakkı, silme hakkı ve rızayı iptal etme hakkıdır (the right to know how data is processed, the right to object, the right to delete, and the right to revoke consent). Örneğin, Avrupa Ekonomik Alanı’nda, işveren veri işleme için zorlayıcı meşru gerekçeler göstermediği sürece, çalışanlar genellikle işverenden performanslarını izlemek veya gözetim amacıyla kişisel verilerini işlemeyi durdurmasını talep etme hakkına sahiptir.

2.5.2. Mevcut veri koruma yasalarında otomatik karar verme hakları (automated decision-making rights in existing data protection laws)

Buna ek olarak, birçok veri koruma kanunu yıllardır otomatik karar almaya özgü hakları içermektedir. Bunlar genellikle otomatik karar almaya itiraz etme, insan müdahalesini talep etme ve otomatik karar almanın nasıl çalıştığı hakkında bilgi alma haklarını içerir. Örneğin, Genel Veri Koruma Yönetmeliği aslında yalnızca otomatik işlemeye dayalı bir istihdam kararına tabi olmama hakkını sağlar. Filipinler veri koruma kanunu, bireyi “önemli ölçüde etkileyen” (significantly affecting) herhangi bir kararın tek temelini oluşturan otomatik süreçler hakkında bilgi talep etme hakkını vermektedir. Buna paralel olarak, Çinli bireyler otomatik karar vermenin kendi çıkarları üzerinde önemli bir etkiye sahip olduğunu düşündüklerinde, veri sorumlusundan durumu açıklamasını talep etme hakkına sahiptir ve birey de bu otomatik araçların kullanımını reddetme hakkına sahiptir.

2.5.3. Yapay zekâya özgü yeni yasalardaki haklar (rights in new AI-specific laws)

Bu yaklaşımları yeni yapay zekâya özgü yasalar izlemiştir. Amerika Birleşik Devletleri’nde, New Yor Şehri’nin yapay zekâ yönetmeliği, istihdam adaylarına veya çalışanlara toplanan veriler, veri kaynağı ve veri saklama politikası hakkında bilgi edinme hakkı (right to obtain information) sağlar. Anılan Yönetmelik ayrıca adaylara alternatif bir seçim süreci veya konaklama talebinde bulunma hakkını da vermektedir. Amerika Birleşik Devletleri dışında, Güney Kore, bireylere, bireyin haklarını maddi olarak etkileyen tamamen otomatik kararları reddetme hakkı verecek şekilde veri koruma yasasını değiştirmiştir. Bu muhtemelen istihdamla ilgili tamamen otomatikleştirilmiş birçok kararı içermektedir. Ayrıca Güney Koreliler, otomatik yöntemlerle verilen bir karar hakkında açıklama alma hakkına sahip olacaktır. Birçok yargı alanı da benzer mevzuat değişikliği teklifinde bulundular.

2.5.4. İş konseyleri de dâhil olmak üzere işçilerin kolektif hakları (workers’ collective rights, including works councils)

Her ne kadar tam anlamıyla bir veri hakkı olmasa da, işçi kuruluşları temsil ettikleri çalışanların veri işlemesine ilişkin bildirimde bulunma veya onay alma haklarına sahip olabilir. Özellikle AB’de bazı ülkelerde çalışanların işverenlerinde çalışma konseyleri oluşturma hakları bulunmaktadır. Bu çalışma konseylerinin bilgi edinme, yönetime danışma hakları vardır ve ülkeye bağlı olarak işverenin yeni izleme ve teknik sistemleri uygulamak için çalışma konseylerinin onayına ihtiyacı olabilir. Bu, işverenin bir yapay zekâ sistemini uygulamaya başlayabilmesi için önce bir işverenin iş konseyine önceden bildirimde bulunması veya onunla anlaşmaya varması gerektiği anlamına gelebilir; aksi takdirde iş konseyi, uygulamayı engellemek için yasal işlem başlatmaya çalışabilir. Ayrıca birçok ülkede sendikalar, işyerindeki yapay zekâ araçlarını incelemek veya onaylamak için toplu sözleşme anlaşmaları yoluyla sözleşmeye dayalı haklar elde edebilir. Gerçekten de yapay zekânın kullanımına ilişkin sorunlar, ABD’li yapım şirketleri ile senaristler ve aktörler arasındaki anlaşmazlıkların çözümlenmesinin ayrılmaz bir parçasıydı.

2.6.  Veri minimizasyonu ve saklama [Data minimization and retention]

Hemen hemen tüm kapsamlı veri koruma yasaları, veri yaşam döngüsünün ön ucunda ve arka ucunda veri minimizasyonu ilkelerini benimsemektedir. Bu ilkeler, veri sorumlularının yalnızca kişisel verilerin toplanma amacına ulaşmak için gerekli olan asgari kişisel verileri toplamasını gerektirmektedir. Bu amaca ulaşıldığında, kişisel verilerin daha uzun bir süre saklanmasına ilişkin herhangi bir yasal yükümlülüğe tabi olarak, kişisel veriler genel olarak kalıcı olarak silinmelidir.

Bu ilkeler basit bir şekilde ifade edilebilse de, özellikle insan kaynakları yönetimi amacıyla kullanılan yapay zekâ araçları bağlamında pratikte uygulanması genellikle zordur. Çoğu durumda, yapay zekâ araçları, temel veritabanındaki veya büyük dil modelindeki kişisel veriler de dâhil olmak üzere bilgi hacmi arttıkça daha etkili bir şekilde çalışır. Veri minimizasyonu ilkesi, veri denetleyicisinin kişisel verilerin toplanmasına ilişkin iş koşulunu değerlendirirken takdir yetkisi kullanmasına izin verirken, bu ilke aynı şekilde veri denetleyicilerine kişisel verileri aşırı toplamama yükümlülüğü de getirmektedir. Sonuç olarak, yapay zekâ araçlarının insan kaynakları amaçları için kullanımını değerlendirirken, işverenlerin hem belirli veri girdilerinin gerekliliğini hem de yapay zekâ aracının çıktılarının işverenin iş amaçlarıyla uygunluğunu dikkatli bir şekilde göz önünde bulundurması gerekmektedir.

Yapay zekâ aracı kişisel verileri işlemek için kullanıldıktan sonra, işverenlerin hem giriş kişisel verilerini hem de çıkış kişisel verilerini ne kadar süre saklayacaklarını belirlerken birden fazla hususu dengelemeleri gerekecektir. Veri saklamanın lehine olan tarafta, işverenler yapay zekâ aracının zaman içindeki tutarlılığını, doğruluğunu ve muhtemelen önyargılarını değerlendirmek için hem girdi hem de çıktı verilerini saklamak isteyebilir. Ayrıca, bu verilerin saklanması işverenin kendisini azınlık gruplarına yönelik farklı etki iddialarına karşı savunmasına yardımcı olabilir.

Verilerin hızlı bir şekilde yok edilmesini tercih etmenin yanı sıra, herhangi bir bireyin kişisel verilerinin, o bireyin değerlendirilmesi için gerekenden daha uzun süre saklanması, veri koruma yasalarındaki orantılılık ilkelerini ihlal edebilir. Ayrıca, verileri saklamak genellikle veri güvenliği risklerini artırır çünkü bir güvenlik olayı olasılığı zamanla artar. Son olarak, verilerin saklanması, bireylerin şirket tarafından kendileri hakkında tutulan kişisel verilere erişim, düzeltme veya silme haklarını kullanma taleplerine yanıt vermenin maliyetini ve idari yükünü artırabilir; çünkü şirketin muhtemelen daha fazla depolama konumunda veri araması ve bir erişim talebiyle ilgili olarak daha büyük miktarda kişisel verinin üretimini yönetir.

Ayrıca, kişisel verilerin saklanması ile imha edilmesi arasındaki risk dengesi yargı yetkisine göre değişiklik gösterebilir. Sonuç olarak işveren, ülkeye veya bölgeye göre farklı saklama süreleri belirlemeye karar verebilir.

Son olarak, işverenler, toplama amacına ulaşıldıktan sonra kişisel verileri kalıcı olarak temizlemenin olası pratik zorluklarını ilk etapta bir yapay zekâ aracının kullanılıp kullanılmayacağını değerlendirirken gözden kaçırmamalıdır. Örneğin, birçok büyük dil modelinin, kişisel verilerin süresiz olarak bunlarda saklanabileceği varsayımı üzerine inşa edildiği görülmektedir. Netice itibarıyla, belirli veri noktalarının bu tür modellerden çıkarılmasına ilişkin pratik zorluklar aşılmaz olabilir ve kuruluş için risk oluşturabilir. Çıktıların izole edilmesi ve temizlenmesi daha kolay olsa da, eğer işveren yapay zekâ araçlarının çıktılarının çok sayıda depolama konumunda (e-posta, yerel sabit diskler veya merkezi insan kaynakları bilgi sistemleri gibi) çoğaltılmasına izin verirse, bu çıktıları temizlemenin pratik zorlukları göz korkutucu hale gelebilir. Bununla birlikte, uygulama sürecinin başlarında yapılacak bazı araştırmalar ve önceden planlama ile işverenler, aşırı toplama risklerini ve kalıcı olarak silmenin pratik zorluklarını azaltabilmelidir.

2.7. Kesinlik [Accuracy]

Veri koruma yasaları genel olarak kişisel verilerin doğru olmasını ve gerektiğinde güncel tutulmasını sağlama yükümlülüğü getirmektedir. Pratik açıdan bu, hem yapay zekâ aracına giren kişisel verilerin hem de kişisel veri çıktısının doğru olması gerektiği anlamına gelir. Girdi verileri ile ilgili olarak, işverenin girdi verilerini sağlaması durumunda kişisel verilerin doğru olmasını sağlamak, yapay zekâya özel zorluklar yaratmayabilir ancak bazı yapay zekâ araçları, örneğin kamuya açık kaynaklardan alıntı yaparak kendi girdi verilerini sağlayabilir. İşverenlerin de genellikle bu verilerin doğru olduğundan emin olma yükümlülüğü vardır, ancak bunu yapmak için fiilen sınırlı olanaklara sahiptirler. Sonuç olarak işverenler, kamuya açık verileri işleyen yapay zekâ araçlarının birçok veri koruma yasasında yer alan doğruluk koşullarına uymama riskini değerlendirmelidir.

Yapay zekâ aracı tarafından kullanılan algoritmaların ve süreçlerin anlaşılması zor olabileceğinden, çıktı verilerinin doğruluğunu sağlamak daha da zor olabilir. Üstelik yapay zekâ satıcıları, yöntemlerini rakiplerden korumak için bu algoritmalar ve süreçler hakkında tam bilgi sağlayamayabilir. Yanlışlık ve önyargı, yasa dışı ayrımcılık gibi yapay zekâ araçlarını kullanmanın en büyük risklerinden bazılarına yol açabilir.

2.8. Veri güvenliği [Data security]

Birkaç istisna dışında, veri koruma yasaları kişisel veriler için makul koruma tedbirleri gerektirir ancak genellikle bu korumaların neleri gerektirdiğini tam olarak açıklamaz. Tipik olarak veri koruma yasaları, güvenlik önlemlerinin aşağıdakileri içermesi gerektiğini açıklığa kavuşturur: (a) teknik önlemler, örneğin şifreler, güvenlik duvarları, vb.; (b) idari önlemler, örneğin politikalar, prosedürler ve eğitim ve (c) fiziksel önlemler, örneğin kilitli kapılar, güvenlik görevlileri vb. Bunun ötesinde, işverenler düzenleyici kılavuzlara ve endüstri standartlarına da bakmalıdır.

Büyüyen bir uluslararası fikir birliği, örneğin Uluslararası Standardizasyon Örgütü (International Organization for Standardization) tarafından yayınlanan 27001 siber güvenlik standartları ve Alman Veri Koruma Komisyonu (German Data Protection Commission) tarafından yayınlanan yapay zekâ sistemleri için önerilen teknik ve organizasyonel önlemler gibi temel standartları ortaya koymaktadır. Ancak otoriteler, şirketlerin kendi sistemlerine ve tehditlerine özel risk değerlendirmeleri yaparak, içinde bulundukları duruma uygun önlemler geliştirmeleri gerektiğini vurgulamaktadırlar.

2.9.  Taahhüt [Contracting]

Son olarak, işverenler veri koruma yasalarına uyum konusundaki sorumluluklarını dışarıdan temin edemezler. Veri sorumlusu olarak işveren, başvuru sahiplerinin ve çalışanlarının satıcılar tarafından kendi adına işlenen kişisel verilerinden sorumlu olmaya devam eder. Bu, işverenler için önemli bir sorundur çünkü işverenler, lisanslı yazılım satın alıp bunu işverenin kendi bilgi sistemlerinde çalıştırmak yerine genellikle kişisel verileri kendi sunucularında işleyen üçüncü taraf hizmet sağlayıcılar tarafından sağlanan yapay zekâ araçlarını kullanır.

Hemen hemen tüm veri koruma yasaları, veri denetleyicisinin bu satıcılardan bazı sözleşmeye dayalı güvenceler almasını gerektirmektedir. Sözleşmeye dayalı güvenceler, en azından satıcının veriler için makul korumalar sağlaması koşulunu içerir. Veri koruma kanunları giderek daha ayrıntılı satıcı sözleşmesi hükümleri belirlemektedir. Örneğin Genel Veri Koruma Yönetmeliği’nin 28. maddesi, veri işleyicinin kişisel verileri yalnızca kontrolörün belgelenmiş talimatları doğrultusunda işlemesi ve herhangi bir alt işleyiciye satıcı için geçerli olan aynı veri koruma yükümlülüklerini dayatması da dâhil olmak üzere, veri işleyici sözleşmelerinde yaklaşık bir düzine noktayı gerektirir. Kaliforniya Gizlilik Hakları Yasası, birçoğu Genel Veri Koruma Yönetmeliği’nden oldukça farklı olan benzer sayıda hüküm gerektirmektedir. Ayrıca, yukarıda sınır ötesi veri aktarımları bölümünde tartışıldığı gibi, satıcının kişisel verileri başvuru sahibinin veya çalışanın bulunduğu yer dışında bir ülkede saklaması durumunda, işverenin sözleşmeye ülkeye özel veri aktarımı hükümleri eklemesi gerekebilir.

Son olarak, işverenler kendi çıkarlarını korumak için ek dil eklemeyi düşünmelidir. Bunlar, örneğin tazminat hükümlerini, veri ihlallerine yönelik hafifletme ve raporlama hükümlerini ve işverenin bildirim sağlama yükümlülüklerini yerine getirebilmesi için yapay zekânın nasıl çalıştığına ilişkin doğru beyan gerekliliklerini içerebilir.

Pratik çıkarımlar ve sonuç

Bu makalede, yapay zekâ araçlarının birden fazla ülkede benimsenmesinde dikkate alınması gereken önemli veri koruma noktalarının bir kontrol listesi sunulmaktadır. Elbette asıl zorluk, birden fazla yargı alanında pratikte işe yarayan yapay zekâya yönelik bir yasal uyum programı geliştirmektir. Bu, sürecin her adımında veri koruma sonuçlarının ayrıntılı olarak düşünülmesini gerektirir. Kaba kronolojik sıraya göre bu muhtemelen şunları içerecektir:

  • Satıcı incelemesi;
  • Veri koruma etki değerlendirmelerinin yürütülmesi ve dağıtım için uygun yetki alanlarının belirlenmesi;
  • Satıcı sözleşmesi;
  • Doğruluk gibi riskler ile veri hakları taleplerine yanıt verme gibi yasal uyum adımlarını ele almaya yönelik politikaların uygulanması;
  • Bildirimlerin dağıtılması, onay alınması ve işgücüyle iletişim kurulması;
  • Veri haklarını kullanma taleplerinin ele alınması,
  • Kişisel verilerin saklanması ve imhası.

Bu süreçte işverenler temel veri koruma çerçevesini bir rehber olarak kullanabilir ve ardından yerel farklılıklara gerektiği şekilde uyum sağlayabilir.

[1] Metnin İngilizcesi şöyledir: [Legal basis for processing, Notice, Proportionality and data protection impact assessments, Cross-border data transfer restrictions, Data-related rights, Data minimization and retention, Accuracy, Data security, Contracting]

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bini aşkın Telif Makale ve Yazı ile Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak vazgeçilmez ilkesidir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.