← Computers & Automation

The Privacy Act of 1974 A Look at It From a Combined Technical and Legal Perspec

B
Bilinmeyen Yazar
1976 · Computers and Automation

William E. Porter
The MITRE Corporation
Mail Stop W262
1820 Dolley Madison Blvd.
McLean, Virginia 22101

"1974 Gizlilik Yasası, bireyin mahremiyet hakkının ihlal edilmesinde katkıda bulunan bir unsur olarak bilgisayarların kullanımına dolaylı biçimde uygulanır. Yasa, uyumsuzluktan kaynaklanan davalarda sorunlar ortaya çıkaran teknik belirsizlikler içermektedir."

Giriş

Toplumumuzun sosyal, ekonomik ve politik faaliyetlerinde teknolojinin giderek artan önemine verilen yasal tepkiler, teknik ve hukuki uzmanlığın bütünleştirilmesini gerektirir. Bu bütünleşme olmaksızın, mevzuat, sorumlu tarafların yasaya uyma yeteneğini etkileyen uzlaştırılamaz teknik belirsizlikler (örneğin, değişen teknolojiyle birlikte dalgalanan terminoloji) içerebilir.

Buna ek olarak, gerekli hukuki ve teknik eşgüdümden yoksun bir yasa, bilgisayarların kötüye kullanımına karşı korunmada teknoloji tasarımı ve geliştirme aşamalarının önemi gibi kritik teknik hususları göz ardı edebilir ve bu durum yasanın etkinliğini zayıflatır.

1974 Gizlilik Yasası (PA) bu tür bir mevzuattır. Yasa, bireyin mahremiyet hakkının ihlalinde katkıda bulunan bir unsur olarak bilgisayarların kullanımına dolaylı biçimde uygulanır. Yasa, uyumsuzluktan kaynaklanan davalarda tarafların belirlenmesine ilişkin sorunlar ortaya çıkaran teknik belirsizlikler içermektedir. Ayrıca, Yasa, ihmal sorumluluğunu dışarıda bırakmakta; bu durum yalnızca uyumsuzluk hâlinde kurum sorumluluğunun niteliğini değil, aynı zamanda kurumların uyumsuzluğu için yeterli medeni hukuk yolları sağlamadaki etkinliğini de etkilemektedir.

Bu makale, Gizlilik Yasası’nın ele aldığı sorunlara teknik ve hukuki bakış açılarını birleştirme gereksinimini ele almakta; Yasa’daki belirsizlikleri ve eksiklikleri tartışmakta ve bunların dava süreçleri üzerindeki olası sonuçlarını analiz etmektedir.

Ayrıca bu makale, Yasa kapsamında açılabilecek davalardan doğabilecek taraf belirleme ve kurum sorumluluğuna ilişkin çeşitli hukuki meseleleri vurgulamak amacıyla, hukuka yeni başlayan birinin bilgisi ile bir sistem analistinin eğitilmiş sezgilerini bir araya getirmeyi amaçlamaktadır.

Belirsizlikler

Yasa’daki görünen belirsizliklere ilişkin tartışmalar, 3(a) alt bölümündeki tanımlarla (yani agency, maintain, record, system of records, routine use ve statistical record tanımlarıyla) sınırlı tutulmuştur. Yasa’da özel olarak tanımlananların dışındaki ifadelere genişletildiğinde ise, tartışmalar bu ifadelerin teknik önemine ve bir bilgi sisteminin işleyişi üzerindeki etkilerine odaklanmıştır.

Önceki analizler genellikle uyum gereklilikleri bağlamında sunulduğundan, Yasa’nın uyumsuzluktan kaynaklanan davalarda dava konusunu (yani kayıt sistemlerini) ve davalıları (yani federal kurumları) tanımlayan kelime ve ifadelerinin önemini fark edememiştir.

Editör Notu: Bu makalenin bu sürümünde tüm dipnotlar ve kaynaklar çıkarılmıştır. Tüm dipnot ve kaynakları içeren makalenin bir kopyası için lütfen yazara yazınız.

Sorun potansiyeli taşıyan Yasa terimleri ve ifadeleri, sırasıyla PA 3(e), PA 3(c) ve PA 3(e)(4)(F) alt bölümlerinde yer alan "maintain", "control" ve "responsible for" ifadeleridir. Bunların kullanımından kaynaklanan temel kaygılar şunlardır:

  1. Bu kelime ve ifadelerin genel kullanım anlamlarının mı yoksa teknik anlamlarının mı uygulanacağı; ve
  2. Bu kelime ve ifadelerin Yasa’nın çeşitli hükümlerinde tutarsız ve birbirinin yerine kullanılmasının, taraf belirleme sorununa yol açıp açmayacağı.

Terimlerin Genel ve Teknik Anlamları

Genel veya teknik anlamların hangisinin kullanılacağına karar verirken, her seçeneğin kendine özgü eksiklikleri vardır.

Genel kullanım tanımları, söz konusu konu üzerinde (yani kayıt sistemleri üzerinde) gerçekleştirilen faaliyetler açısından bir ifadeyi tanımlamakta yetersiz kalabilir. Bilgi sistemleri ortamında "control", "maintain" veya "responsible for" ifadelerine, bilginin güncellenmesi, erişimi, geri çağrılması, kullanımı vb. işlemlerden bahsetmeden işlevsel ve tutarlı tanımlar getirmek zordur.

Teknik tanımların kullanılmasının eksik yönü ise, teknolojideki bir değişikliğin bu terimler için farklı bir yorumu, hatta farklı bir tanımı dayatabilmesidir. Bilgisayar tanımları büyük ölçüde, hızla geliştirilen kavramlar veya şeyler için kullanılan terminolojidir ve teknolojideki terminolojinin doğum ve yok olma hızı, buna bağlı olarak, konu alanının (yani kayıt sistemlerinin) kapsamını genişletebilir veya daraltabilir, Yasa’dan kaynaklanan davalarda davalılar kümesini (yani kurumları) değiştirebilir ve Yasa’ya ilişkin içtihatların tutarlılığını etkileyebilir. Aşağıdaki paragraflar, "maintain", "control" ve "responsible for" terimleri için teknik tanımlar kullanılmasının bazı temel sorunlarını göstermektedir.

Maintain

Yasa’nın 3(a)(3) alt bölümünde yer alan "maintain" tanımı, "'maintain' terimi, muhafaza etmeyi, toplamayı, kullanmayı veya yaymayı kapsar" şeklindedir.

Bu tanım 3(e) alt bölümüne, Kurum Gerekliliklerine uygulandığında, bilgi sisteminde kullanılan teknolojiye bağlı olarak, aynı kayıt sistemi için aynı uyum gerekliliklerine tabi olacak kurumların farklı bir kümesine ulaşmak mümkündür.

Örneğin, X, Y ve Z kurumlarından toplanan kayıt sistemlerini içeren ve X kurumu bünyesinde merkezi bir toplu güncelleme süreci kullanan bir bilgi sisteminde, yalnızca X kurumu 3(e) alt bölümünün uyum gerekliliklerine tabidir. Buna karşılık, bilgi sistemi X, Y ve Z kurumlarının çevrim içi güncelleme yapmasına olanak tanıyan bir çevrim içi güncelleme yeteneği kullanıyorsa, X, Y ve Z kurumlarının tamamı 3(e) alt bölümünün uyum gerekliliklerine tabi olabilir.

Control

Bir bilgi sisteminde kullanılan teknolojinin türüne bağlı olarak, 3(c) alt bölümünün, Belirli Açıklamaların Kaydının Tutulması hükümlerine tabi olacak kurum(lar) değişiklik gösterebilir.

"Control" tanımının, bilgi sistemine erişim izni verilmesini de kapsadığını varsayalım. Bu tanım, erişim izninin X kurumu tarafından istihdam edilen bir görevli tarafından verildiği ve X ile Y kurumlarından kayıt sistemlerini içeren bir bilgi sistemine uygulanırsa, X kurumu 3(c) kapsamına girer. Ancak aynı tanım, X ve Y kurumları tarafından değiştirilebilen yazılım kontrollü bir erişim listesi kullanan bir bilgi sistemine uygulandığında, her iki kurum da muhasebeleştirme hükümlerine tabi olur.

Responsible For

Yasa’da benzer kurum belirleme sorunları doğuran bir diğer ifade de 3(e)(4)(F) alt bölümünde yer alan "responsible for" ifadesidir (Kurum Gereklilikleri). Bu hüküm, kurumun yıllık bildiriminde kayıt sisteminden sorumlu kurum yetkilisinin unvanını ve iş adresini yayımlamasını zorunlu kılar.

Yine, seçilen "responsible for" tanımına (örneğin, kaynak verinin otomasyonu, dağıtık bakım) bağlı olarak, bu hükme uygun şekilde bildirilecek kişi(ler)in sayısı ve kimliği değişebilir. Bu belirsizlik, dava süreçlerinde taraf belirleme açısından son derece somut etkilere sahiptir; çünkü davacı, muhtemelen davalı(lar)ı belirlemek için bu hükme bakacaktır.

Terimlerin Tutarsız ve Birbirinin Yerine Kullanımı

"Control" ve "maintain" terimleri Yasa boyunca tutarsız ve görünüşe göre birbirinin yerine kullanılmıştır. Bu kullanım, belirli bir kayıt sistemi için uyum gerekliliklerinin birden fazla farklı kurum arasında dağıtılmasını oldukça olası hâle getirmektedir.

Örneğin, belirli açıklamaların kaydının tutulmasına ilişkin uyum gerekliliği (PA 3(c)), kayıt sistemini kontrol eden kuruma ilişkindir. Kayıtlara erişim (PA 3(d)), kurum gereklilikleri (PA 3(e)) ve medeni hukuk yolları (PA 3(g)(1)) hükümleri ise kayıt sistemini muhafaza eden kuruma ilişkindir.

Dolayısıyla, dağıtık bakım (örneğin, uzaktan çevrim içi güncelleme veya kaynak veri otomasyonu) ve merkezi kontrol (örneğin, kayıt sistemine erişimi denetlemek için fiziksel güvenlik teknikleri) teknolojilerini kullanan bir kayıt sistemi altında, bir kurum açıklama muhasebesine ilişkin uyumdan sorumlu olabilirken, aynı kayıt sistemi için başka bir kurum kurum gereklilikleri hükümlerinden sorumlu olabilir.

Buna ek olarak, kullanılan teknolojilere bağlı olarak, bir kurum 3(g)(1) alt bölümü kapsamında bir medeni davanın tarafı hâline gelebilir; ancak söz konusu kayıt sisteminin uyum gerekliliklerinden sorumlu olmayabilir.

Hukuki Sonuçlar

Teknik tanımların hukuka dâhil edilmesine ilişkin temel mesele, teknik terimin tanımı veya yorumu değiştikçe hukukun da değişip değişmeyeceğidir. Yani, Yasa tarafından tanımlanan davalılar grubu (yani kurumlar) ve konu alanı kümesi (yani kayıt sistemleri) dalgalanan terminolojiyle birlikte değişecek midir?

Hukukun, teknolog veya bilim insanının jargonunu ve terminolojisini bünyesine katmaya çalıştığında böyle bir dalgalanma yaşaması nadir değildir. Nitekim, ceza hukuku, psikiyatristlerin akıl hastalığı ve akıl kusuru tanımlarını akıl hastalığı savunmasına ilişkin Durham Kuralı’na dâhil ettiğinde benzer bir durum ortaya çıkmıştır.

Belirsiz terim ve ifadelere ilişkin önceki tartışmalar, kullanılan teknolojiye bağlı olarak teknik ifadelerin yorumlarının değişebileceğini ortaya koymuştur. Bu durum, Gizlilik Yasası’na ilişkin içtihatlarda, ceza hukukundaki akıl hastalığı savunmasına benzer bir durumun gelişme potansiyeline açıkça işaret etmektedir.

Yasa’ya uyulmamasından kaynaklanan davalarda taraf belirleme, sırasıyla PA 3(c), PA 3(e) ve PA 3(e)(4)(F) alt bölümlerinde yer alan "control", "maintain" ve "responsible for" terimlerinin tutarsız kullanımı nedeniyle tartışmalı hâle gelebilir. Uyumsuzluğa ilişkin bir medeni davada, davacı taraf, davalı(lar)ın aşağıdakilerden hangisi olduğuna karar vermek zorunda kalacaktır:

  • kayıt sistemini muhafaza eden kurum,
  • kayıt sistemini kontrol eden kurum,
  • kayıt sisteminden sorumlu olan kurum veya
  • yukarıdakilerin tamamı ya da bir kısmı.

Belirsiz davalıların olası hukuki sonuçları, yanlış tarafın davaya dâhil edilmesi ve zorunlu bir tarafın davaya katılmamasıdır. Yanlış tarafın dâhil edilmesi, davada gecikmeye (yani davacının dava dilekçesini değiştirmek zorunda kalmasına) veya davaya dâhil edilen kurum(lar)a karşı iddiaların ispat edilememesi nedeniyle davacının aleyhine bir karara yol açabilir. Zorunlu bir tarafın davaya katılmaması ise, davanın yargılama öncesinde reddedilmesine neden olabilir.

Şüphesiz, Yasa’nın taraf ve konu alanını tanımlayan terminolojisindeki belirsizlikler ve tutarsızlıklardan, yukarıda sunulanlardan daha karmaşık hukuki meseleler de ortaya çıkabilir. Ancak yukarıdaki tartışmalar, Yasa’nın terminolojisinin bütünleşik bir teknik ve hukuki bakış açısıyla daha yakından incelenmesi gereğini ortaya koymaktadır.

Eksiklikler

Yasa’da medeni hukuk yolları açısından en dikkat çekici eksiklik, kurumun Yasa’ya ihmalkâr biçimde uymamasının bireyin Yasa kapsamındaki hakları üzerinde olumsuz etkiler doğurması hâlinde, bu durum için öngörülen medeni sorumluluğun bulunmamasıdır.

Amaç beyanı (PA 2(b)(6)), Federal kurumların, "bu Yasa kapsamındaki herhangi bir bireyin haklarını ihlal eden kasıtlı veya bilinçli bir eylem sonucunda meydana gelen her türlü zarar için medeni davaya tabi" olmasını öngörmektedir. Medeni hukuk yollarına ilişkin hüküm ise 3(g)(1)(C) veya (D) alt bölümlerinde, mahkemenin kurumun kasıtlı veya bilinçli bir şekilde hareket ettiğini tespit ettiği hâllerde, Amerika Birleşik Devletleri’nin bireye karşı sorumlu olacağını belirtmektedir.

Yasa kapsamındaki diğer medeni sorumluluklar olan 3(g)(1)(A) ve (B) alt bölümleri yalnızca kasıtlı veya bilinçli eylemler sonucunda ortaya çıkabildiğinden, Yasa ihmal nedeniyle kurum sorumluluğunu öngörmemektedir.

Yasa’ya ihmalkâr biçimde uyulmaması iki durumda ortaya çıkabilir:

  1. Bilgi sisteminin tasarım ve geliştirilmesinde; ve
  2. Bilgi sisteminin işletilmesi ve yönetiminde.

Aşağıda, İhmal sorumluluğunun Kanun’dan çıkarılmasının olası gerekçelerine ve varsayımsal olarak dahil edilmesinin muhtemel sonuçlarına ilişkin yorumlar, ihmale dayalı uyumsuzluğun ortaya çıkabileceği bu iki duruma atfen sunulmaktadır.

Bilgi Sistemlerinin İşletiminde İhmal Sorumluluğu

Bir bilgi sisteminin işletimi sırasında ortaya çıkması en muhtemel olan temel ihmal türleri; işletme personelinin, Kanun’a uygun olarak kurum tarafından yayımlanan kural ve prosedürlere göre hareket etmemesi şeklindeki ihmaller ile Kanun hükümlerine uymama yönündeki ihmallerdir.

Bir bilgisayar terminalinden çıkış yapmayı ihmal etmek ve kayıt sistemine yetkisiz erişime imkân veren bilgileri içeren masa veya dosya çekmecesini kilitlemeyi ihmal etmek, Kanun’un gereklerini karşılamak amacıyla tesis edilmiş olası kurallara yönelik ihmale dayalı uyumsuzluğa örnek teşkil eder. Kayıt sisteminin zamanında güncellenmemesi ve bunun sonucunda, hakkında bilgi tutulan bireyin aleyhine olacak şekilde hatalı verilerin yayılması da Kanun’a ihmale dayalı bir diğer uyumsuzluk örneğidir.

Hariç Tutulmanın Dayanağı

Özellikle otomatik bir sistemde, bilginin güvenliği ve bütünlüğüne yönelik en büyük tehdidin, tamamen dürüst ve özverili bireyler tarafından yapılan basit ihmal ve icra hatalarından kaynaklandığı iyi bilinmektedir. Bu tür hatalar, kayıt sistemlerinin işletimi sırasında Kanun’a uyumsuzluktan doğan ihmal davalarının büyük bölümünün kaynağını oluşturacaktır. Bu durum, söz konusu ihmal türünün Kanun kapsamı dışında bırakılmasının muhtemelen temel nedenidir.

İhmal sorumluluğunun dahil edilmesi, kayıt sistemini sürdüren kurum üzerinde son derece ağır bir yük oluşturabilirdi; zira bu durum:

  1. Zaman alıcı olacak ve potansiyel olarak yüksek miktarda tazminat ödenmesine yol açabilecek çok sayıda davaya neden olabilir; ve
  2. Kurum tarafından kapsamlı denetimler yapılmasını gerektirerek ve personeli aşırı derecede temkinli hâle getirerek bilginin hızlı akışını ciddi biçimde engelleyebilir.

İşletim sırasında ihmal sorumluluğunun bulunmamasının bir diğer olası nedeni, Kanun’un amacının kurumlara kayıt sistemlerinin yönetiminde kalite güvence önlemleri yüklemek olmamasıdır. Amaç, Federal bir kurum tarafından bireyin mahremiyetinin kasıtlı veya bilerek ihlal edilmesini caydırmaktı. Bu amaç, Kanun’un 2(b)(6) ve 3(g)(4) alt bölümlerinde açıkça ifade edilmiştir.

Bu amaca işaret eden bir diğer husus da, Kanun’un ihlali nedeniyle kurum çalışanları veya yetkilileri için öngörülen cezai yaptırımların (PA 3(i)), yanlış davranışın bilindiği durumlara bağlı kılınmış olmasıdır.

Varsayımsal Bir Dahil Etmenin Hukuki Sonuçları

Kayıt sisteminin işletimi sırasında Kanun’a uyumsuzluktan (örneğin idari prosedürlere uymama) kaynaklanabilecek ihmal davaları tipik olarak mesleki kusur niteliğindedir. Bunlar esas olarak sistemin idaresiyle ilgilidir ve sistemin teknolojisi ile sistemi geliştiren teknolog üzerinde çok az etkiye sahiptir. Dolayısıyla, önceki paragraflarda belirtilenler dışında, hukuki önem bu makalenin konusu değildir.

Bilgi Sistemlerinin Tasarım ve Geliştirilmesinde İhmal Sorumluluğu

Bir kayıt sisteminin tasarım ve geliştirilmesi sırasında ihmale konu olabilecek fiil türleri şunlardır:

  1. Sistem tasarımı ve geliştirme topluluğu tarafından kullanılan yaygın veya kabul görmüş teknoloji standartlarının kullanılmaması; ve
  2. Mevcut en “iyi” teknolojik yöntemler olmamasına rağmen yaygın veya kabul görmüş standartlara uygunluk gösterilmesi.

İlk durumda, örf veya tekniğin geldiği seviye özen yükümlülüğü standardını belirler. İkincisinde ise, öncü teknolojilerin kullanılmasını gerektirebilecek yeni bir özen yükümlülüğü standardı ortaya konulmaktadır.

Birincisine örnek olarak, bir bilgisayar ağının tasarımında paket anahtarlamanın kullanılmaması verilebilir. Çok seviyeli güvenlik için güvenlik çekirdeği yaklaşımı yerine fiziksel güvenlik tekniklerinin kullanılması ise ikincisine bir örnektir.

Hariç Tutulmanın Dayanağı

Kayıt sistemlerinin tasarım ve geliştirilmesinde ihmal sorumluluğunun hariç tutulmasının olası dayanaklarını belirlemek için, özellikle Kanun’un tasarım ve geliştirmeye ilişkin alanındaki yasama niyetini (yani “uygun güvencelerin” tesis edilmesini) incelemek önemlidir ve faydalıdır. Ayrıca, bu belirli ihmal sorumluluğu türünün hariç tutulmasının olası nedenlerine ışık tutmak için Kanun hükümleri yakından incelenmelidir.

“Uygun güvencelerin” tesis edilmesine ilişkin yasama niyeti, Senato Tasarısı S. 3418’e eşlik eden Senato Raporu 93-1183’te yer alan iki ayrı tartışmadan anlaşılabilir. Senato Raporu 93-1183’ün yasama niyetinin yorumlanmasında bir kaynak olarak önemi, S. 3418’in birçok bölümünün Mahremiyet Kanunu’nun nihai metnine dahil edilmiş olması gerçeğiyle artmaktadır (örneğin, S. 3418 Bölüm 201(b)(6), Kanun’un 3(e)(10) alt bölümü olmuştur).

Senato Raporu 93-1183’ten anlaşıldığı üzere, “uygun güvencelerin” tesis edilmesi gereğinin ardındaki temel felsefe, iyi bilgi yönetimi uygulamalarını kurumsallaştırma çabasıdır. Komite, bir kurumun güvence tesis etme yükümlülüğüne uyarken makuliyet standardını benimsemesini amaçlamıştır. Bu yapılırken, kurum, o anda teknolojide mevcut olabilecek zayıflıklara rağmen, belirli bir zamanda geçerli olan tekniğin geldiği düzeyi temsil eden güvencelere başvurmalıdır.

Yasama organı, yöneticilerin tehditlerin önemini ve olasılığını, güvenlik önlemlerinin mevcudiyeti ve maliyet unsuru ile tarttığı belirli bir “risk yönetimi” payına izin vermiştir. Dolayısıyla, örf veya tekniğin geldiği seviyenin özen yükümlülüğü standardı olarak belirlenmesiyle Senato komitesi, bir kurumun, teknolojinin en ön safında yer alanlar da dâhil olmak üzere mevcut tüm güvenceleri benimsemek zorunda kalması (yani bunları benimsememesi hâlinde ihmal davalarına maruz kalması) durumunda ortaya çıkacak devasa maliyeti kabul etmiştir.

Öte yandan, Senato Raporu 93-1183’te, bu tür bir ihmal sorumluluğunun (yani tekniğin geldiği seviyeyi veya öncü teknolojileri kullanmama) Kanun’a dahil edilmesini destekleyebilecek çok sayıda pasaj bulunmaktadır. Örneğin, tekniğin geldiği seviyedeki teknolojinin kullanılmasının “uygun güvenceler” ifadesinin amacı olduğunu belirtirken, komite yeni teknolojilerin kullanımına ilişkin şu değerlendirmeyi yapmaktadır:

"... mevcut maliyet unsurları ve ekonomi değerlendirmeleri göz önüne alındığında, böyle bir yaklaşım (mevcut tekniğin geldiği seviyenin kullanılması), yeni teknolojiler daha da geliştikçe sistemlerimizi giderek daha güvenli hâle getirecek şekilde daha yüksek ‘makuliyet’ standartlarını bekleyebileceğimizi (komite olarak) düşündürmektedir. Ancak bu yaklaşım, veri gizliliği ve bireysel mahremiyetin daha iyi korunmasına katkı sağlayabildikleri her durumda — mevcut hâlleriyle bile — bu tekniklerin derhâl uygulanmasına da izin verecektir."

Özen yükümlülüğü standardına ilişkin bu iki görünüşte çelişkili ifadedeki ortak unsur maliyet faktörüdür. Dolayısıyla, Kanun’un yasama geçmişinden, kayıt sistemlerinin tasarım ve geliştirilmesi sırasında ihmal sorumluluğunun hariç tutulmasının baskın gerekçesinin, örfî uygulamalardan farklı bir özen standardı tesis etmenin maliyeti olduğu açıkça anlaşılmaktadır.

Kanun’un birçok hükmü, bireyin mahremiyetini korumak için teknolojik kontrollerden ziyade manuel kontrollerin tesis edilmesini ima etmektedir. Manuel yaklaşımlara atfedilen bu önem göz önüne alındığında, “uygun” teknolojinin kullanılmaması nedeniyle ihmal sorumluluğunun hariç tutulması anlaşılabilir bir durumdur. Bu nedenle, Senato Raporu 93-1183’ten çıkarılan yasama niyetine rağmen, manuel kontrollere yapılan bu belirgin vurgu, tasarım ve geliştirme aşamalarının bireyin hakları için güvenceler sağlamadaki öneminin komite tarafından gözden kaçırılmış olabileceği ihtimalini güçlendirmektedir.

Varsayımsal Bir Dahil Etmenin Hukuki Sonuçları

Tasarım ve geliştirme sırasında ihmal sorumluluğunun dahil edilmesinin çok açık sonucu (yani uyumsuzluk hâllerinde medeni sorumluluk kapsamının genişlemesi) dışında, en önemli etkiler şunlar olacaktır:

  1. Bilgisayar sistemi tasarım ve geliştirme endüstrisinin kabul görmüş uygulamalarından farklı olabilecek bir özen yükümlülüğü standardının tesis edilmesi.
  2. Bilgisayar sistemleri uzmanının ihmal davalarında bilirkişi rolüne itilmesi.

Endüstrideki örfî uygulamalardan farklı bir özen yükümlülüğü standardı tesis edilmesine ilişkin olarak ihmal davalarında hukuki emsal bulunmaktadır. Marsh v. Babcock davasında mahkeme, sektördeki örfî uygulama hidrostatik test olmasına rağmen, bir üreticinin çeliğe metalografik inceleme yapmasının gerekli olduğuna hükmetmiştir. Ford Motor Co. v. Zahn davası, makul özen yükümlülüğünü bileşen testlerinden üretim sürecine genişletmiştir. Son olarak, Boeing Airplane Co. v. Brown davasında, makul özen standardının kapsamı tasarım aşamasını da kapsayacak şekilde genişletilmiştir.

Yasama niyetine ilişkin tartışmalarda olduğu gibi, öncü tekniklerin kullanımının maliyet unsurları ve ekonomik değerlendirmelerle dengelenmesi gerektiği belirtilmektedir. Bu yapılırken, Yargıç Learned Hand tarafından önerilen B v. PL özen standardı ölçütü kullanılabilir; burada:

  • B, yeni teknolojinin maliyetidir,
  • P, Kanun kapsamında bireyin haklarının ihlal edilme olasılığıdır ve
  • L, bireyin uğrayacağı zararın büyüklüğüdür.

Ancak Kanun’daki şu alıntı — “mahremiyet hakkı, Amerika Birleşik Devletleri Anayasası tarafından korunan kişisel ve temel bir haktır” PA 2(a)(4) — L’nin her zaman çok büyük olacağını göstermektedir. Dolayısıyla, yukarıdaki alıntı ile birlikte B v. PL’nin uygulanması (yani BPL ise yeni teknolojilerin uygulanması; aksi hâlde örfî uygulamaların kullanılması), çoğu durumda B’nin PL’den küçük olmasına yol açabilir. Bu nedenle, yeni teknolojilerin kullanılması gerekecektir.

Özen yükümlülüğü standardını belirlemek amacıyla medeni davalarda bilgisayar uzmanlarının bilirkişi olarak kullanılması, davalardan ziyade bilgisayar uzmanı açısından daha fazla önem taşımaktadır. Bunun nedeni, mahkeme sistemi ve hukuk mesleğinin, mahkemelerde bilimin rolü konusunu yeterince ele almış, hatta tatmin edici biçimde çözmüş olmasıdır. Bununla birlikte, yazar bilgisayar mesleğinin bir üyesi olduğundan, konuya ilişkin bazı yorumların eklenmesi uygun görülmüştür.

İhmal sorumluluğunun Kanun’a dahil edilmesi hâlinde bilirkişi tanıklığı gereksiniminin bir dayanağı Senato Raporu 93-1183’te bulunabilir. Komiteye göre, bir Federal kurum kişisel bilgi sistemi veya dosyası tesis ederken Mahremiyet Komisyonu’na, Genel Hizmetler İdaresi’ne ve Kongre’ye sunmak zorunda olduğu bildirim veya raporda şunlar yer almalıdır:

  • (a) “bilginin güvenliğini korumak için gerekli görülen idari ve teknolojik özellikler ve önlemler ...”; ve
  • (b) “gerekli özelliklerin elde edilmesi için yürütülen resmî ve gayriresmî faaliyetler, müzakereler ve beyanlar ile bunların sonuçları. Bu, kurumun kendi personeli ve Ulusal Standartlar Bürosu temsilcileri dâhil olmak üzere bilgisayar ve sistem uzmanlarıyla yapılan her türlü istişarenin dökümünü içermelidir ...”

Bilirkişi konumuna itilme ihtimali, bilgisayar mesleğinin yüzleşmesi gereken bir dizi soru ve kaygıyı gündeme getirmektedir. Bunlar şunlardır:

  • (a) Kim bilgisayar uzmanıdır? Bu durum, bilgisayar profesyonelleri için sertifikasyon gerekliliklerine olan ilgiyi artırabilir.
  • (b) Endüstrideki örfî uygulamalar nelerdir? Pek çok kişi yazılım mühendisliğini hâlâ bir sanat olarak görmektedir. Böyle bir yaklaşım, örfî uygulamaların belirlenmesini daha da karmaşık hâle getirebilir.
  • (c) Donanım geliştirme ve donanım standartları açısından örfî uygulama, IBM tarafından kullanılan ve geliştirilen uygulamalar mıdır? Birçok bilgisayar kullanıcısı ve sistem uygulayıcısı buna evet diyecektir.
  • (d) Öncü teknoloji ne zaman operasyonel kullanıma hazırdır? Öncü tekniklerin maliyeti ve başarı olasılığı, örfî uygulamaların başarısız olma olasılığı ve bu tür başarısızlıkların maliyeti (yani tazminatlar) ile karşılaştırılmalıdır.

Özet

Teknolojinin toplumumuzun sosyal, ekonomik ve politik işleyişi üzerindeki artan ağırlığı, yasama düzeyinde karşılıklar verilmesini zorunlu kılmıştır. 1974 tarihli Mahremiyet Kanunu bunun yalnızca görünen kısmıdır. Bu makale, teknolojinin günlük yaşamımızdaki artan uygulamalarını ele alabilecek, teknik açıdan işlevsel ve hukuken uygulanabilir mevzuat sağlamak için teknolog ile hukukçunun yeteneklerini birleştirmesi gerekliliğine dikkat çekmektedir.