Seçilmiş Güncel Gelişmeler 11

 

Rehber/Çalışma/Düzenleyici İşlemler

 

* Avrupa Veri Koruma Denetçisi (EDPS), dijital unsurlara sahip ürünler için siber güvenlik gereksinimlerini belirleyen Tüzük önerisine ilişkin görüşünü yayımladı[1]. Bu çerçevede yapılan açıklamada, dijital unsurlara sahip ürünlerin siber güvenliğinin sağlanmasının, bireylerin mahremiyetinin korunması da dâhil olmak üzere temel hakların dijital çağda etkili bir şekilde korunması için son derece önemli olduğuna dikkat çekildi. Buna ek olarak AB genelinde uyumlu hâle getirilmiş siber güvenlik gereksinimlerinin, siber saldırıların mağduru olunması ve kişisel verilerin çalınması/kötüye kullanılması gibi geniş ölçekte sonuçlara yol açabilecek risklerin azaltılması açısından oldukça önem taşıdığı belirtildi. 

 

* Avrupa Komisyonu, kamu sektöründe veri paylaşımını düzenlemeyi amaçlayan “Birlikte Çalışabilir Avrupa Yasası”nı önerdi[2]. Komisyon tarafından yapılan açıklamada, önerilen düzenlemenin, güvenilir veri akışı ile egemen ve birbirine bağlı dijital kamu idarelerinden oluşan bir ağ yaratılmasını destekleyeceği belirtildi ve bu teklifin, kamu hizmetlerinin sınırlar, sektörler ve organizasyonel sınırlar arasında sorunsuz bir şekilde sunulmasını sağlamayı amaçladığı eklendi.

 

* Avrupa Veri Koruma Kurulu (EDPB), “Bağlayıcı Şirket Kuralları”nın (BCR) güçlendirilmesine yönelik bir tavsiye metni yayımladı[3]. Kamuoyu görüşüne açılan bu metne yönelik geri bildirimler 10.01.2023 tarihine kadar iletilebilecek.

 

* Avrupa Parlamentosu Hukuk İşleri Komitesinin (JURI) talebi üzerine hazırlanan “Fikri Mülkiyet Hakları ve Dağıtık Defter Teknolojisi” konulu çalışma yayımlandı[4]. Bu teknolojinin sanat alanındaki uygulamalarına odaklanılan çalışmada; NFT kavramı, bu kavramın hukuki niteliği, sanatsal açıdan uygulama alanları ve telif hakkı ile ticari marka gibi fikri mülkiyet alanına ilişkin kavramlar açısından NFT’lerin değerlendirilmesine yönelik konular ele alınmaktadır.

 

* Dünya Ekonomik Forumu, “Dijital Güven Kazanma: Güvenilir Teknolojiler için Karar Verme” başlıklı raporunu yayımladı[5]. Kullanıcı nezdinde dijital güvenin her geçen gün azaldığını belirten Dünya Ekonomik Forumu, bu eğilimi tersine çevirmek için dünyanın en büyük teknoloji ve tüketici odaklı şirketlerinin temsilcilerini, hükümet temsilcilerini ve önde gelen tüketici savunucularını bir araya getirerek şirketlerin dijital güven kazanma taahhüdünde bulunmalarına yönelik bir çerçeve oluşturdu. Çalışmada dijital güven, bireylerin, dijital teknolojilerin ve hizmetlerin -ve bunları sağlayan kuruluşların- tüm paydaşların çıkarlarını koruyacaklarına ve toplumsal beklentiler ile değerleri destekleyeceklerine dair beklentileri şeklinde tanımlanmakta ve teknolojinin kullanımı ile geliştirilmesinde güvenilirliğin artırılmasına yönelik genel bir yol haritası sunulmaktadır.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), veri aktarımına ilişkin risk değerlendirmelerinde yol göstermesi amacıyla birtakım rehber ve kaynaklar yayımladı[6]. Otorite tarafından yapılan açıklamada, yayımlanan rehberin Avrupa Veri Koruma Kurulunun (EDPB) ilgili rehberlerine kıyasla “alternatif ve gerçekleştirilebilir bir yaklaşım” sunduğu, belirtilen değerlendirme sürecinin “makul ve orantılı” olduğu ve sunulan değerlendirme aracının “aktarımın mahremiyet veya başka bir temel hakkın ihlal edilmesi riskini önemli ölçüde artırıp artırmadığına” dayalı olarak riski değerlendirdiği ifade edildi.

 

* Kurumumuzun “5. Yılında Kişisel Verileri Koruma Kurumu” başlıklı dokümanı yayımlandı[7]. Bu çalışmada, Kuruma ilişkin genel nitelikli bilgiler, alana yönelik ilgili mevzuat ve Kurulun ilke kararları, yayımlanan kamuoyu duyuruları, gerçekleştirilen farkındalık ve bilinçlendirme faaliyetleri ile Kurum çalışmalarına yönelik çeşitli istatistiki bilgiler paylaşıldı.

 

Veri Koruma Otoriteleri/Mahkeme Kararları

 

* Fransa Veri Koruma Otoritesi (CNIL), GDPR kapsamındaki çeşitli yükümlülüklere uygun davranılmaması nedeniyle Discord platformuna idari para cezası uygulanmasına karar verdi[8]. Karara konu olayda, Şirket’in veri işleme amaçlarına uygun bir veri saklama süresi tanımlanmadığı, ilgili kişilerin bilgilendirilmediği, varsayılan olarak veri korumanın sağlanmadığı, veri güvenliğinin ihlal edildiği ve veri koruma etki değerlendirmesi gerçekleştirilmediği yönünde tespitlerde bulunuldu. Bahse konu idari para cezasının miktarının belirlenmesinde, tespit edilen ihlaller, ihlalden etkilenen kişi sayısı, süreç içerisinde uyum sağlamak üzere gösterilen çabalar ve Şirket’in iş modelinin kişisel verilerin istismar edilmesine dayanmaması gibi faktörler dikkate alındı.

 

* 15.11.2022 tarih ve 32014 sayılı Resmî Gazete’de yayımlanan, 2019/25604 başvuru numaralı Anayasa Mahkemesi kararında; özel bir şirkette çalışan başvurucunun bir iş arkadaşı ile gerçekleştirdiği cep telefonu yazışmalarının işveren tarafından incelenmesi ve bu yazışmalar gerekçe gösterilerek iş akdinin feshedilmesi nedeniyle özel hayata saygı hakkı ile haberleşme hürriyetinin ihlal edildiği iddiası ele alınmıştır[9]. Kararda; işlerin etkin bir şekilde yürütülmesi ile bilgi akışının kontrolünü sağlamak, işçinin eylemlerine bağlı cezai ve hukuki sorumluluğa karşı korumak, verimliliği ölçmek veya güvenlik endişeleri gibi haklı ve meşru görülebilecek nedenlerle işverenin yönetim yetkisi kapsamında kural olarak işçinin kullanımına sunduğu iletişim araçlarını denetleyebileceği ve kullanımına ilişkin sınırlamalar öngörebileceği belirtilmekle birlikte işverenin yönetim yetkisinin iş yerinde işin yönetilmesi, iş yerinin düzeni ve güvenliğinin sağlanmasıyla sınırlı olduğu ve kısıtlayıcı-uyulması zorunlu iş yeri kurallarının çalışanların temel haklarının özünü zedeleyecek nitelikte olmaması gerektiği vurgulanmıştır. Ayrıca, mesajlaşma programlarının kişisel olarak da kullanılabileceği dikkate alındığında bir başkasına ait olan cep telefonunun denetlenmesinin ve başvurucuya ait mesajların ele geçirilmesinin, başvurucunun özel hayatının ve haberleşmesinin gizliliğinin korunması konusundaki makul beklentisine aykırı olduğunun açık olduğu yönünde de tespitlerde bulunularak bahse konu olayda özel hayata saygı hakkı ile haberleşme hürriyetinin ihlal edildiğine hükmedilmiştir. 

 

Genel Haberler

 

* Hollanda, yapay zekânın düzenlenmesine yönelik olarak, yaklaşan AB düzenlemelerinde yer alan birtakım hükümlerin erken uygulayıcısı olmaya hazırlanıyor[10]. Bu çerçevede, algoritmaların insan hakları yönünden incelenmesine ve kamu kurumları tarafından kullanılan yapay zekâ sistemlerinin takip edilmesi için ulusal bir veri tabanı oluşturulmasına öncülük edilmesine yönelik çalışmalar sürdürülüyor. Bu doğrultuda, 2023 yılının başından itibaren yeni bir denetim organının, şeffaflık yükümlülükleri, uyum denetimi ve şikâyet hakkı ile ilgili olarak bir dizi yeni kuralı uygulayacağı, kamu kurumları tarafından kullanılan yapay zekâ sistemleri için algoritma kaydı tutulmasının zorunlu kılınması uygulamasının önümüzdeki ay içerisinde başlatılacağı ve kamu otoritelerinin algoritmaları kullanmadan önce bunların insan hakları üzerindeki etkilerini değerlendirmek zorunda kalacakları bildirildi.

 

* Hindistan Elektronik ve Bilgi Teknolojileri Bakanlığı, “Dijital Kişisel Verileri Koruma Yasası” başlığını taşıyan bir düzenleme önerisinde bulundu[11]. Bireylerin kişisel verilerinin hukuka uygun şekilde işlenmesinin sağlanmasının amaçlandığı belirtilen ve kamuoyu görüşüne açılan Yasa tasarısında, “bildirilen belirli ülke ve bölgeler” arasında sınır ötesi veri akışına izin verilmesi ve beş milyar rupiyi geçmeyecek şekilde belirlenen yaptırımları uygulamak ve uyumluluğu denetlemek üzere bir Veri Koruma Kurulu oluşturulması öngörüldü.

 

 

 

[1] https://edps.europa.eu/press-publications/press-news/press-releases/2022/eu-wide-cybersecurity-requirements-protect-privacy-and-personal-data_en, 15.11.2022.

[2] https://ec.europa.eu/commission/presscorner/detail/en/ip_22_6907, 21.11.2022.

[3] https://edpb.europa.eu/news/news/2022/edpb-adopts-recommendations-application-approval-and-elements-and-principles-be_en, 15.11.2022.

[4] https://www.europarl.europa.eu/thinktank/en/document/IPOL_STU(2022)737709, 15.11.2022.

[5] https://www.weforum.org/reports/earning-digital-trust-decision-making-for-trustworthy-technologies, 15.11.2022.

[6] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/11/blog-international-transfers-empowering-innovation-and-growth-whilst-protecting-people-s-personal-information/, 17.11.2022.

[7] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/b5731c6c-540b-45eb-a2d8-d7cef57cf197.pdf, Kasım 2022.

[8] https://www.cnil.fr/en/discord-inc-fined-800-000-euros, 17.11.2022.

[9] https://www.resmigazete.gov.tr/eskiler/2022/11/20221115-5.pdf, 15.11.2022.

[10] https://www.euractiv.com/section/digital/news/once-bitten-netherlands-wants-to-move-early-on-algorithm-supervision/?utm_source=piano&utm_medium=email&utm_campaign=9719&pnespid=qOg2WC8dLvwd36adq2TkC43RuxGqSZ99Pea.2rF0sBxmtwkrkbbscAqHPiuwnKmzedwBcJ9rFQ, 14.11.2022.

[11] https://iapp.org/news/a/india-proposes-digital-personal-data-protection-act-2022/, 18.11.2022. Tasarıya ilişkin olarak söz konusu Bakanlık tarafından ilan edilen açıklayıcı not için bkz. https://www.meity.gov.in/writereaddata/files/Explanatory%20Note-%20The%20Digital%20Personal%20Data%20Protection%20Bill%2C%202022_0_0.pdf, 18.11.2022.