Seçilmiş Güncel Gelişmeler 22

 

Rehber/Çalışma/Düzenleyici İşlemler

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO) ile Rekabet Otoritesi (CMA) iş birliğinde, dijital pazarlarda geçerli çevrim içi seçim mimarisi uygulamalarının tüketici tercihlerini nasıl şekillendirdiği ve bu çerçevede kişisel verilerini paylaşma konusunda bireylerin nasıl teşvik edildiği konularının ele alındığı bir çalışma yayımlandı[1]. Kullanıcıları gereğinden fazla veri paylaşmaya yönlendiren internet sitesi tasarımlarına ilişkin tavsiyelerde bulunulan ve bu konudaki iyi uygulama örneklerinin gösterildiği çalışmada aynı zamanda veri koruma, tüketicinin korunması ve rekabetin korunması alanlarının kesişim noktalarına da yer verilmektedir.

 

* ABD’de Kongre Araştırma Merkezi (CRS), yapay zekâya genel bir bakış sunulan ve bu teknolojiye ilişkin güncel gelişmeler ile Kongre tarafından ele alınması önem arz eden konulara yer verilen bir rapor yayımladı[2]. Genel olarak bakıldığında raporda, son zamanlarda en kayda değer ilerleme alanının üretici yapay zekâ olduğu, üretici yapay zekâ araçlarının altında yatan modelin “genel amaçlı yapay zekâ” olmasının yapay zekânın kullanım senaryolarına ilişkin tartışmaları yenilediği, üretici yapay zekâ araçlarının kullanımı birçok açıdan fayda sağlamakla birlikte çeşitli açılardan dezavantajlarının da bulunduğu, yapay zekâ/makine öğrenmesine odaklanılan en az 40 yasa tasarısının Haziran 2023 itibariyle Kongre’ye sunulduğu, yapay zekâ teknolojilerinin regülasyonuna ilişkin en temel endişenin mevcut ve gelecekte karşılaşılabilecek zararların en aza indirilmesi ile inovasyon ve faydalı kullanımın sürdürülmesi arasındaki dengenin nasıl sağlanacağı olduğu, diğer yandan mevcut federal hükümet mekanizmalarının gözetim ve uygun politika oluşturmada yeterli olup olmadığı/federal hükümetin yapay zekâya ilişkin araştırma ve geliştirmeyi desteklemedeki rolü/yapay zekâ teknolojilerinin iş gücü üzerindeki potansiyel etkileri/güvenilir ve sorumlu yapay zekâ gelişimini desteklemenin potansiyel yolları konularında da endişeler bulunduğu vurgulanmaktadır.

 

* Güney Kore Kişisel Bilgileri Koruma Komisyonu (PIPC), yapay zekâ konusunda yeni bir gözetim ve düzenleyici rejimine doğru adım atıldığını ve bu kapsamda yapay zekâ teknolojilerinde veri kullanım uygulamalarına ilişkin rehberlik edilmesini sağlamak üzere “Yapay Zekâ Çağında Kişisel Verilerin Güvenli Kullanımına İlişkin Politika Yönergesi” hazırlandığını duyurdu[3].

 

* Kaliforniya Gizlilik Koruma Ajansı (CPPA), bağlantılı araçların ve ilgili teknolojilerin veri mahremiyeti uygulamalarına yönelik inceleme yürütüldüğünü duyurdu[4]. Otorite tarafından yapılan açıklamada, tekerlekler üzerinde birbirine etkili bir şekilde bağlı bilgisayarlar olarak nitelendirilen modern araçların hem içerisinde yer alan hem de yakınında bulunan insanları izleyebilen yerleşik uygulamalar, sensörler ve kameralar aracılığıyla çok sayıda bilgi toplayabildiği ve bu şirketlerin tüketici verilerini toplarken/bunları kullanırken Kaliforniya yasalarına nasıl uyum sağladıklarını anlamlandırmak için bağlantılı araç alanıyla ilgili incelemeler yürütüldüğü belirtildi.

 

* ABD Federal İletişim Komisyonu (FCC), internete bağlanabilen akıllı cihazlara yönelik siber güvenlik etiketleme programı önerisine ilişkin olarak kamuoyu görüşü talep edildiğini duyurdu[5]. Bu kapsamda hazırlanan bilgi notunda, programın hayata geçirilmesi hâlinde, geniş çapta kabul görmüş güvenlik ve gizlilik standartlarını karşılayan akıllı cihaz ve ürünlerin kolaylıkla tanımlanabileceği, ürün ambalajında QR kodunun yanında siber güven işareti logosunun görülebileceği, QR kodunun taratılmasıyla cihazların karşılaştırılabileceği ve ulaşılan ulusal sistem üzerinden her bir cihaz hakkında en güncel güvenlik bilgilerinin elde edilebileceği belirtildi. Etiketleme programına dâhil edilmeye uygun olan cihaz veya ürünlerin kapsamı, programı kimin denetlemesi ve yönetmesi gerektiği, farklı cihaz veya ürün türleri için geçerli olabilecek güvenlik standartlarının nasıl geliştirileceği, bu güvenlik standartlarına uygunluğun nasıl gösterileceği ve tüketicilerin program hakkında nasıl bilgilendirilebileceği gibi konularda görüş talep eden Otorite, bu hususların değerlendirilmesinin ardından programın uygulamaya alınmasına karar verilmesi durumunda sistemin 2024 yılının sonuna kadar çalışır durumda olabileceğini ifade etti.

 

* Avrupa Komisyonu, AB Dijital Pazarlar Yasası (DMA) kapsamında düzenlenen “geçit bekçilerinin” (gatekeepers) tüketicilerin profillerini çıkarma tekniklerini açıklamalarına yönelik önerilen şablonun kamuoyu görüşüne açıldığını ve konu ile ilgisi bulunan herkesin 15 Eylül 2023 tarihine kadar katkıda bulunabileceğini duyurdu[6].

 

* Almanya Federal Mali Denetim Otoritesi (BaFin), bankaların kredi verme sürecinde yapay zekâ, makine öğrenmesi ve algoritmik karar alma sistemleri kullanmalarının ortaya çıkarabileceği risklere ilişkin bir çalışma yayımladı[7]. Algoritmik sistemlerin bankalar tarafından kullanılması konusunu çeşitli başlıklar altında ele alan Otorite, makine öğrenmesinin dengeli eğitim verilerine ihtiyaç duyduğu, bu nitelikteki veriler olmaksızın ilgili sistemlerin kullanılmasının algoritmik ayrımcılığa yol açabileceği, veri koruma hukuku açısından bakıldığında kişisel verilerin nasıl saklandığı/korunduğu/özellikle dış hizmet sağlayıcılarla paylaşıldığı hususlarının belirlenmesinin önem taşıdığı, bankaların hukuka aykırı olarak ayrımcı parametreler kullanıp kullanmadıklarını belirlemek için risk sınıflandırma prosedürlerinin incelenmesi gerektiği ve algoritma tabanlı bir tekniğin kredi vermede kullanılıp kullanılmayacağına karar vermek için belirleyici faktörün kredilerin risk ilişkisi ve tahmin kalitesi, veri kalitesi, açıklanabilirlik ve şeffaflık için minimum gerekliliklere uygunluk olduğu gibi hususları vurguladı.

 

* ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), “Siber Güvenlik Çerçevesi 2.0”ın taslak metnini yayımladı[8]. Bu çerçevede Otorite, taslağın “kuruluşların mevcut durumda karşılaştıkları ve gelecekte karşılaşılabilecekleri siber güvenlik zorluklarını ele alıp almadığı, önde gelen uygulamalar ve rehberlik kaynakları ile uyumlu olup olmadığı ve şimdiye kadar alınan yorumları yansıtıp yansıtmadığı” gibi konularda 04.11.2023 tarihine kadar kendilerine geri bildirimde bulunulmasını talep etti.

 

* Kişisel verilerin korunmasında farkındalık ve bilgilendirme faaliyetlerinin öneminin bilincinde olan Kurumumuz bu yöndeki çalışmalarına devam etmektedir. Bu çerçevede kamuoyu ile daha fazla bilgi paylaşılması ve Kurumumuzla ilgili gelişmelerin daha etkin bir şekilde aktarılması amacıyla “KVKK Bülten” çalışması hazırlanmıştır[9]. Bültenin üç aylık periyotlar halinde yayımlanması planlanmakla birlikte ilk sayıya özel olmak üzere Ocak-Haziran 2023 dönemini kapsayan çalışmada, yapay zekâ alanında önemli bir gelişme olarak dikkat çeken “üretici yapay zekâ” konusu ele alınmıştır. Bunun yanı sıra “Bizden Haberler” bölümüyle bazı kurumsal faaliyetler okuyucularla paylaşılmış, “Seçilmiş Güncel Gelişmeler” bölümüyle kişisel verilerin korunması alanına ilişkin dünya genelindeki gelişmeler ilgilenenlerin dikkatine sunulmuş ve çalışma içerisinde farklı yönde içerikler oluşturulmuştur.

 

Haberler

 

* Hindistan’ın ilk veri koruma yasası, “Dijital Kişisel Veri Koruma Yasası” adıyla 11.08.2023 tarihli Resmî Gazete’de yayımlandı[10].

 

* Norveç Veri Koruma Otoritesi (Datatilsynet) tarafından yapılan açıklamada, Meta’nın kullanıcıların kişisel verilerinin hedefli reklamcılık amacıyla kullanılması yasağına karşı gelmesi nedeniyle Şirket hakkında, 14 Ağustos tarihinden itibaren geçerli olmak üzere, günde yaklaşık 100.000 dolar para cezası uygulanmaya başlanacağı duyuruldu[11]. Bu çerçevede hatırlanacak olursa, Şirketin davranışsal reklamcılığa ilişkin uygulamalarının veri koruma kurallarına aykırı olduğunun tespit edilmesi üzerine alınan karar 17 Temmuz’da duyurulmuş ve düzeltici önlemler alınması adına Şirkete 4 Ağustos tarihine kadar zaman tanındığı belirtilmişti.

 

* Google, kullanıcıların çevrim içi istenmeyen kişisel görüntüler üzerinde daha fazla kontrole sahip olmalarını ve kendilerine ait uygunsuz fotoğrafların arama sonuçlarında kolaylıkla görünmesinin önüne geçmelerini sağlamak adına yeni gizlilik araçlarının kullanıma sunulacağını duyurdu[12]. Bunun yanında Şirket’in, başlangıçta yalnızca ABD ile sınırlı olmak üzere kullanıcıların iletişim bilgilerini içeren arama sonuçlarını bilmelerini sağlayacak yeni bir kontrol paneli sunacağı, bu çerçevede arama sırasında kullanıcının bilgilerini içeren yeni bir sonuca ulaşıldığında kullanıcıya bildirim gönderileceği ve bu sayede kullanıcıların bu sonuçların Google’dan kaldırılmasını hızlı bir şekilde talep edebilecekleri belirtildi. Güncellemelerin bu ay içerisinde kullanıma sunulması planlanıyor.

 

* Kullanıcıların dijital bir kimlik ve belirli ülkelerde ücretsiz kripto para birimi karşılığında iris taramalarını paylaşmaları gerektiren “Worldcoin” projesinin biyometrik veri toplama uygulamalarına yönelik olarak Almanya ve Fransa’nın ardından Kenya ve Arjantin’deki veri koruma otoritelerinin de konuya ilişkin inceleme başlattıkları bildirildi[13].

 

* Yapılan bir araştırmada, Avustralya’daki kuruluşlarının %93’ünün (küresel olarak bu oran %75) ChatGPT ve benzeri üretici yapay zekâ uygulamalarının iş yerinde kullanımını yasakladığı veya yasaklamayı düşündüğü ortaya konuldu[14]. Bu çerçevede ankete katılan yasak yanlısı karar alıcıların %69’unun önlemlerin uzun vadeli veya kalıcı olması gerektiğini düşündükleri ve %96’sının güvenli olmayan uygulamaların kurumsal açıdan siber güvenlik tehdidi oluşturduğuna dair endişe duydukları belirtilirken genel olarak bakıldığında %58’inin iş yerinde üretici yapay zekâ araçlarının kullanımının genç yetenekleri çekme, %54’ünün ise etkinliği, inovasyonu ve yaratıcılığı artırma konusunda fırsatlar ortaya çıkardığını düşündüğü ifade edildi.

 

* Çin Siber Uzay İdaresi (CAC), ülkede teknolojinin aşırı kullanımı ile ilgili olarak kamuoyunda dile getirilen endişelerin ardından yüz tanıma teknolojisinin kullanımına yönelik güvenlik gereksinimleri hakkında taslak kurallar hazırlandığını duyurdu[15]. Yalnızca belirli bir amaç kapsamında yeterli gereklilik bulunması hâlinde ve katı koruyucu önlemler alınarak yüz tanıma teknolojisinin kullanılabileceğini belirten Otorite, bu teknolojinin kullanımı için kişilerin rızasının alınması gerekeceği ve eşit derecede etkili olduğu durumlarda yüz tanıma yerine biyometrik olmayan tanımlama çözümlerinin tercih edilmesi gerektiği yönünde açıklamalarda bulundu.

 

* ABD’nin Detroit kentinde sekiz aylık hamile olan siyahi bir kadının araç hırsızlığı ile haksız yere suçlanmasının ardından bölgede yüz tanıma teknolojisinin kullanımına ilişkin yeni politikalar belirleneceği bildirildi[16]. Konuya ilişkin olarak yapılan araştırmada, yapay zekânın kolluk kuvvetleri içerisinde yaygın şekilde kullanılmaya başlanmasından bu yana en az altı siyahi kişinin hatalı olarak gözaltına alındığı ortaya konuldu.

 

* İngiltere’de bir grup araştırmacı, mikrofon kullanılarak kaydedilen klavye tuş vuruşlarından %95 doğrulukla veri çalabilen bir derin öğrenme modeli geliştirdi[17]. Ses sınıflandırma algoritmasını eğitmek için Zoom kullanıldığında dahi %93 oranında tahmin doğruluğu bulunan bu tür bir saldırının diğer yan kanal saldırılarına kıyasla daha basit ve tehlikeli olduğu ifade edilmekte ve amaçlarına ulaşmak için saldırganların yakındaki bir mikrofonu veya kötü amaçlı yazılım bulaşmış bir akıllı telefonu kullanarak tuş vuruşlarını kaydetmelerinin yeterli olduğu belirtilmektedir.

 

* Ülkemizde Ticaret Bakanlığı bünyesinde bulunan Reklam Kurulunun 08.08.2023 tarihinde gerçekleştirilen toplantısında vatandaşları mağdur eden ticari fiiller, yanıltıcı reklamlar ve haksız rekabete sebebiyet veren uygulamaların incelendiği, bu kapsamda son zamanlarda dijital pazarların yükselişiyle birlikte Reklam Kurulunun radarına giren ve “karanlık (ticari) tasarımlar” (dark (commercial) patterns) olarak adlandırılan ticari uygulamaların tüketicilerin ekonomik davranış biçimlerini önemli ölçüde bozacak şekillerde ortaya çıktığının görüldüğü ve Kurulun bu ayki toplantısının ana odağını “karanlık ticari tasarımlar” konusunun oluşturduğu duyuruldu[18]. Diğer yandan duyuru içerisinde konuya yönelik çeşitli bilgiler paylaşıldı.

 

* Kurumumuz kütüphanesi akademisyenler, araştırmacılar, meslek grupları, öğrenciler ve kişisel verilerin korunması alanına ilgi duyan herkesin kullanımına açık hale getirilmiştir. Bu doğrultuda kütüphaneye Kurumumuz web sayfasından da erişilebilmesi için gerekli çalışmalar tamamlanmış ve kütüphanemizde bulunan kitapların adı ile yazar, yayınevi ve basım yılı bilgileri erişilebilir hale getirilmiştir[19].

 

[1] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/08/it-s-time-to-end-damaging-website-design-practices-that-may-harm-your-users/, 09.08.2023.

[2] https://crsreports.congress.gov/product/pdf/R/R47644, 04.08.2023.

[3] https://www.pipc.go.kr/eng/user/ltn/new/noticeDetail.do, 04.08.2023.

[4] https://cppa.ca.gov/announcements/2023/20230731.html, 31.07.2023.

[5] https://www.fcc.gov/document/fcc-proposes-cybersecurity-labeling-program-smart-device, 10.08.2023.

[6] https://digital-markets-act.ec.europa.eu/consultations/consultation-template-relating-reporting-consumer-profiling-techniques_en, 31.07.2023.

[7]https://www.bafin.de/SharedDocs/Veroeffentlichungen/EN/Fachartikel/2023/fa_bj_2305_Algorithmen_Kreditvergabe_en.html, Temmuz 2023.

[8] https://csrc.nist.gov/pubs/cswp/29/the-nist-cybersecurity-framework-20/ipd, 08.08.2023.

[9] KVKK Bülten’in ilk sayısını görüntülemek için bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/77b8ccca-1748-46ad-a252-849120a7766a.pdf

[10] https://media.licdn.com/dms/document/media/D4D1FAQH7nBR0KjidyA/feedshare-document-pdf-analyzed/0/1691810252947?e=1692835200&v=beta&t=gg6gr6M2FvjsshGIeEFZn5lEvuvFUFf4KWEougzs3Co, 11.08.2023.

[11] https://www.euractiv.com/section/data-privacy/news/norway-to-fine-meta-nearly-100000-a-day-over-data-use/, 08.08.2023.

[12] https://www.theguardian.com/technology/2023/aug/03/google-to-launch-privacy-tools-which-remove-unwanted-personal-images, 03.08.2023.

[13] https://cointelegraph.com/news/argentine-agency-investigation-worldcoin-biometric-data, 10.08.2023.

[14] https://securitybrief.com.au/story/93-of-organisations-looking-to-ban-generative-ai-apps, 09.08.2023.

[15] https://www.reuters.com/technology/china-drafts-rules-using-facial-recognition-technology-2023-08-08/, 08.08.2023.

[16] https://people.com/pregnant-woman-falsely-accused-carjacking-facial-recognition-technology-7571184, 08.08.2023.

[17] https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/new-acoustic-attack-steals-data-from-keystrokes-with-95-percent-accuracy/amp/?s=31?utm_source=webtekno, 05.08.2023.

[18] https://ticaret.gov.tr/haberler/reklam-kurulu-tarafindan-karanlik-ticari-tasarimlar-incelemeye-alindi, 10.08.2023.

[19] Kurumumuz kütüphanesi hakkında bilgi almak için bkz.  https://kvkk.gov.tr/Icerik/7650/Aydin-Metin-Duru-Kutuphanesi