Seçilmiş Güncel Gelişmeler 10

 

Rehber/Çalışma/Düzenleyici İşlemler

 

* Uluslararası Standardizasyon Teşkilatı (ISO), “ISO/IEC 27001:2022 Bilgi Güvenliği, Siber Güvenlik ve Mahremiyet Koruması” standardının güncellendiğini duyurdu[1]. Bu güncellemenin, küresel anlamdaki siber güvenlik değişikliklerini ele almak ve dijital güveni geliştirmek üzere hazırlandığı belirtildi. Güncellemenin kuruluşlara sağlayabileceği faydalar arasında; siber saldırılara karşı direnci artırması, tüm bilgileri tek bir yerde güvence altına alan ve merkezi olarak yönetilen bir çerçeve sağlaması, teknoloji kaynaklı risklere ve gelişen diğer tehditlere karşı korumanın artması ile verilerin bütünlüğünün ve gizliliğinin korunması gibi hususlar sayıldı.

 

* Avrupa Birliği Yapay Zekâ Yasası’na (AI Act) ilişkin uzlaşılmış metnin son hâli yayımlanmakla birlikte[2], uzlaşma önerisinin nihai versiyonuna yönelik olarak Çek Başkanlığının sunmayı planladığı değişiklikler bulunduğu ve metnin Daimi Temsilciler Komitesine (COREPER) sunulmasından önce temsilcilerin metne dair son sözlerini paylaşmaya davet edildikleri belirtildi.

 

* Avrupa Komisyonu, kısa vadeli konaklama kiralama hizmetlerinde toplanan veriler ve bu verilerin paylaşımına yönelik bir Tüzük önerisi yayımladı[3]. Bu çerçevede önerilen kuralların, kısa vadeli kiralama sektöründeki tüm oyuncuların yararına olacak şekilde şeffaflığı teşvik edeceği, çevrim içi platformlarda toplanan/paylaşılan veriler konusunda iyileştirmeler sağlayacağı ve genel olarak bakıldığında daha sürdürülebilir bir turizm ekosistemine katkıda bulunmak suretiyle dijital dönüşümü destekleyeceği belirtildi.

 

* Avrupa Parlamentosu, AB Şebeke ve Bilgi Güvenliği Direktifine dayalı modernize edilmiş bir çerçeve olan NIS2 Direktifini onayladı[4]. Direktifin, özel sektörde ve kamu sektöründe yer alan kuruluşlar için “olaylara yanıt verme, tedarik zinciri güvenliğini sağlama, şifreleme ve güvenlik zafiyetlerini açıklama” gibi konularda yeni hükümler ve artan yükümlülükler getirdiği belirtildi.

 

* Avrupa Birliği Siber Güvenlik Ajansı (ENISA), “Siber Tehdit Ortam Raporu” isimli yıllık raporunun 10’uncu sayısını yayımladı[5]. Siber güvenliğin sağlanması konusundaki en önemli tehditler, tehdit aktörleri ve saldırı teknikleri ile ilgili gözlemlenen ana eğilimlere yer verilen raporda; fidye yazılımı, kötü amaçlı yazılım, sosyal mühendislik tehditleri, verilere yönelik tehditler, dezenformasyon ve tedarik zinciri saldırıları gibi başlıca tehditler ele alınmaktadır.

 

* 16-17 Haziran 2022 tarihlerinde “Veri Korumanın Geleceği: Dijital Dünyada Etkili Uygulama” başlığı altında düzenlenen Avrupa Veri Koruma Denetçisi (EDPS) Konferansının raporu yayımlandı[6]. Raporun içeriğinde, Konferansta gerçekleştirilen söyleşiler, panel tartışmaları, keynote konuşmaları, atölye çalışmaları ve yan etkinliklerin özetlerine yer verilmektedir.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), kuruluş bünyesinde yapay zekâ ve kişisel verilerin uygun ve yasal bir şekilde nasıl kullanılabileceği, bu konuda dikkate alınması tavsiye edilen hususlar ve konuya ilişkin sıkça sorulan sorulara yer verdiği bir çalışma yayımladı[7]. Çalışmada, kuruluşlara verilen tavsiyeler arasında; (1) Yapay zekânın geliştirilmesinde risk temelli yaklaşım benimsenmesi, (2) Yapay zekâ sistemlerinden etkilenen bireylere, alınan kararların nasıl açıklanabileceğinin dikkatlice düşünülmesi, (3) Yalnızca yapay zekâ sistemini geliştirmek için ihtiyaç duyulan verilerin toplanması (daha fazla veri toplanmasına çalışılmaması), (4) Ön yargı ve ayrımcılık risklerinin erken bir aşamada ele alınması, (5) Verileri uygun şekilde hazırlamak için zaman ve kaynak ayrılması, (6) Yapay zekâ sisteminin güvenli olduğundan emin olunması, (7) Yapay zekâ tarafından alınan kararların, anlamlı şekilde insan gözetiminden geçirilmesinin sağlanması, (8) Yapay zekâ kullanımının uygun olmasını sağlamak için harici tedarikçilerle birlikte çalışılması sayıldı.

 

* İspanya Veri Koruma Otoritesi (AEPD), kuruluşların bir veri ihlaline ilişkin olarak veri koruma otoritelerine bildirimde bulunmadıklarına gerek olup olmadığına karar vermelerine yardımcı olmak üzere kullanımı ücretsiz bir araç oluşturdu[8]. Bahse konu araç ile veri sorumlularının kimleri bilgilendirmesi gerektiği, ihlaldeki hangi unsurların kişisel veri içerdiğinin tespiti ve hangi veri koruma otoritesine bildirimde bulunulması gerektiğinin belirlenmesine yardımcı olunması amaçlanmaktadır.

 

Veri Koruma Otoriteleri/Mahkeme Kararları

 

* Slovenya Veri Koruma Otoritesi, veri sorumlusu özel bir şirket bünyesinde yaşanan hırsızlık olayının ardından sekiz şirket aracının GPS ile takip edilmesine başlanmasının, mülkiyet hakkının korunması bakımından meşru menfaat kapsamında değerlendirilmesi mümkün olmakla birlikte bahse konu önlemin uygun ve gerekli olmaması nedeniyle işlemenin ölçülü olmadığı yönünde karar aldı[9]. Söz konusu kararda; şirket çalışanları tarafından teslimat ve yolcu taşıma için kullanılan araçlarda bulunan özel bir vericinin çalışanların konum verilerini sürekli, sistematik ve otomatik şekilde işlemesinin fazla müdahaleci olduğu ve veri minimizasyonu ilkesine aykırılık teşkil ettiği yönünde belirlemelerde bulunularak bahse konu işleme faaliyetinin durdurulması konusunda veri sorumlusu talimatlandırıldı.

 

Genel Haberler

 

* NBA yıldızı Stephen Curry, geçtiğimiz günlerde ABD Patent ve Ticari Marka Ofisine “Curryverse” ismiyle ticari marka başvurusunda bulundu[10]. Curry’nin kendi metaverse’ünü oluşturmak amacıyla yaptığı başvuruda, Web3 kapsamında sunulacak bir dizi uygulama gösterildi.

 

 

[1] https://www.iso.org/contents/news/2022/10/new-iso-iec-27001.html, 25.10.2022.

[2] https://www.dataguidance.com/sites/default/files/aia-cz-draft-for-coreper-3-nov-22.pdf, 03.11.2022.

[3] https://ec.europa.eu/commission/presscorner/detail/en/IP_22_6493, 07.11.2022.

[4] https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience, 10.11.2022.

[5] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022, 03.11.2022.

[6] https://edps.europa.eu/data-protection/our-work/publications/brochures/2022-11-10-edps-conference-report-2022-future-data-protection-effective-enforcement-digital-world_en, 10.11.2022.

[7] https://ico.org.uk/media/for-organisations/documents/4022261/how-to-use-ai-and-personal-data.pdf, Kasım 2022.

[8] https://iapp.org/news/a/spains-aepd-creates-tool-for-data-controllers-to-identify-relevant-authorities-to-report-a-breach/, 31.10.2022. Otorite tarafından yapılan açıklama için bkz. https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-lanza-una-herramienta-para-ayudar-los-responsables, 25.10.2022.

[9] https://edpb.europa.eu/news/national-news/2022/safety-property-can-be-legitimate-interest-gps-tracking-measure-must-be_en, 09.11.2022.

[10] https://cointelegraph.com/news/steph-curry-files-trademark-for-the-curryverse-where-players-earn-nfts, 01.11.2022.