Seçilmiş Güncel Gelişmeler 23

 

Rehber/Çalışma/Düzenleyici İşlemler

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO) ve dünyanın dört yanından on bir veri koruma otoritesinin katkılarıyla hazırlanan ortak bildiride, bireylerin kişisel verilerinin, sosyal medya sitelerinde gerçekleştirilen hukuka aykırı “veri kazıma”lara karşı korunması yönünde çağrıda bulunuldu[1]. Bu kapsamda sosyal medya şirketlerine yönelik beklentilerin açıklandığı ve bireylerin çevrim içi ortamda verilerini paylaşmalarına ilişkin karşılaşabilecekleri riskleri en aza indirmeleri için atılabilecek adımların gösterildiği ortak bildiride; (1) kamuya açık olan kişisel verilerin çoğu bölgede veri koruma ve gizlilik yasalarına tabi oldukları, (2) kamuya açık kişisel verileri barındıran sosyal medya şirketleri ve internet sitesi operatörlerinin, platformlarındaki kişisel verileri hukuka aykırı veri kazımalara karşı korumakla yükümlü oldukları, (3) kişisel veri elde edilen toplu veri kazıma olaylarının birçok yetki alanında raporlanabilir veri ihlali teşkil edebileceği, (4) kullanıcı mahremiyetini koruyacak şekilde hizmetleri ile etkileşimde bulunulmasını sağlamada sosyal medya şirketlerinin önemli bir rol oynadıkları gibi hususlar vurgulandı.

 

* Norveç Veri Koruma Otoritesi (Datatilsynet), kuruluşlarda elektronik ekipmanlar aracılığıyla çalışanların izlenmesine yönelik rehber içerik hazırlandığını duyurdu[2]. Dijital çalışma araçlarının çalışanlar hakkında büyük miktarda veriyi nasıl kaydedebildiğini açıklayan Otorite, bahse konu rehberin işverenlerin iş yerinde nelerin yasal olduğunu değerlendirmelerine yardımcı olacağını ve çalışanlara hakları konusunda yol göstereceğini belirtti.

 

* Avrupa Veri Koruma Denetçisi (EDPS), “Finansal Verilere Erişimin Çerçevesine İlişkin Tüzük Teklifi” ve “İç Pazarda Ödeme Hizmetlerine İlişkin Tüzük Teklifi ve İç Pazarda Ödeme Hizmetleri ve Elektronik Para Hizmetlerine İlişkin Direktif Teklifi” hakkında görüşlerini yayımladı[3]. Söz konusu tekliflerde, finansal servis ve ürünlerce sunulan hizmetlerin genişletilmesi için veri paylaşımının teşvik edilmesi ve diğer yandan bireyler ile kuruluşlara finansal verilerinin işlenmesi üzerinde kontrol sağlanması amaçlanmakta olup Otorite tarafından konuya ilişkin yapılan açıklamada, finans ve ödeme hizmetlerinde kişisel veri kullanımının orantılı ve adil olması gerektiği hususu vurgulandı. 

 

* Kanada Siber Güvenlik Merkezi (CCCS), bireylerin ve kuruluşların mobil uygulamalarda gizliliklerini nasıl koruyabileceklerine ilişkin yol gösterici mahiyette bir içerik yayımladı[4]. Mobil uygulamalarda kullanıcıların çok sayıda kişisel verisinin toplanabileceği ve bu durumun üçüncü taraflar ile veri paylaşımı, sınır ötesi veri aktarımları, güvenli olmayan veri iletimi ve anonimleştirilmiş verilerde kişilerin tanımlanabilmesi de dâhil olmak üzere çeşitli mahremiyet riskleri gündeme getirebileceği konusunda uyarılarda bulunan CCCS, mobil uygulamalar kullanılırken mahremiyetin korunmasına yönelik olarak bireyler ile kuruluşlara çeşitli önerilerde bulunmakta ve bir uygulamayı cihaza indirmeden önce kullanıcıların dikkate alması gereken hususlara yönelik tavsiyeler paylaşmaktadır.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), biyometrik veriler ile biyometrik teknolojiler hakkında rehber içerikler hazırlandığını ve bu rehberin ilk aşamasına ilişkin taslağın kamuoyu görüşüne açıldığını duyurdu[5]. Bu kapsamda taslak rehberde, biyometrik veriden ne anlaşılması gerektiği, bu tür verilerin hangi durumlarda özel nitelikli veri kategorisinde kabul edilebileceği, bu verilerin biyometrik tanıma sistemlerinde kullanılması ile dikkate alınması gereken veri koruma kurallarına yönelik açıklamalarda bulunulmakta ve 20.10.2023 tarihine kadar rehbere ilişkin geri dönüşlerin iletilebileceği belirtilmektedir.

 

* Avustralya’da e-Güvenlik Komisyoneri, üretici yapay zekâya ilişkin olarak “teknoloji trendleri” görüş bildirisi yayımladı[6]. Üretici yapay zekânın mevcut durumu, üretici yapay zekâ yaşam döngüsü, bu sistemlerin kullanımına bağlı olarak gündeme gelebilecek riskler, zararlar ve fırsatlar, düzenleyiciler açısından karşılaşılabilecek zorluklar ve bu yöndeki farklı yaklaşımlar gibi hususların açıklandığı bildiride, “tasarımdan itibaren güvenlik” (safety by design) yaklaşımının benimsenmesinin kullanıcıların güvende tutulması ve bu sistemlere güven oluşturulması konusunda iyi uygulama örneği olarak değerlendirilebileceği belirtilmekte ve sistemlerin kullanıcılarına yönelik tavsiyelerde bulunulmaktadır.

 

* Kanada’da, üretici yapay zekâ geliştirilmesi ve kullanımına yönelik uygulama kuralları yayımlandı ve bu metnin kamuoyu görüşüne açıldığı duyuruldu[7]. Üretici yapay zekâ sistemlerinin geliştiricileri, uygulayıcıları ve işletmecilerinin bu sistemlerin zararlı etkilerinden kaçınabilmelerine, sistemlerine güven oluşturabilmelerine ve ülkede yakın zamanda uygulamaya konulacak düzenleyici rejime sorunsuz şekilde uyum sağlayabilmelerine yardımcı olunması amacıyla hazırlanan ve gönüllülük esasına göre uygulanacağı belirtilen kurallar güvenlik, adalet, şeffaflık, insan gözetimi, geçerlilik ve sağlamlık ile hesap verebilirlik ilkelerini içermektedir.

 

Dijital Hizmetler Yasası

 

* Dijital Hizmetler Yasası’nın hayata geçmesiyle birlikte dijital dünyada yeni bir döneme giriliyor ve dijital alandaki etkileşimler yeniden şekilleniyor. Genel olarak bakıldığında “çevrim dışı ortamda yasa dışı olanın, çevrim içi ortamda da yasa dışı olması gerektiği” ilkesi temel alınarak hazırlandığı belirtilen Dijital Hizmetler Yasası, yasa dışı içeriğin yayılması, çevrim içi dezenformasyon ve diğer toplumsal riskler ile mücadele edilmesi konusunda dijital hizmet sağlayıcılarına açık yükümlülükler getirmekte ve diğer yandan çevrim içi ortamda kullanıcıların güvenliğinin sağlanmasını, temel hakların ön planda tutulmasını ve adil/açık bir platform oluşturulmasını amaçlamaktadır. Bu çerçevede Dijital Hizmetler Yasası ile platformlar için gündeme getirilen yükümlülükler ve bireylere tanınan haklardan bazıları şu şekilde belirtilebilir:

– Kullanıcılar, çevrim içi ortamda karşılaştıkları reklamların kendilerini özellikle hedefleyip hedeflemediği ve neden hedeflendikleri de dâhil olmak üzere bu konuda daha fazla bilgi alabilecekler ve bu sayede platformların reklamcılık faaliyetlerinde daha fazla şeffaflık ile hesap verebilirlik sağlanabilecektir.

– Platformlar, reşit olmayanlara yönelik davranışsal hedefli reklam sunamayacaklardır ve kullanıcıların etnik kökeni, siyasi görüşü veya cinsel yönelimleri gibi özel nitelikli kişisel verileri temel alınarak oluşturulan profillerine dayalı reklamlar gösterilemeyecektir.

– İfade özgürlüğü ve kişisel verilerin korunması da dâhil olmak üzere, platformlarda bireylerin temel haklarına saygı gösterilecek ve çevrim içi yasa dışı içeriklere karşı platformlar hızlı bir şekilde tepki vereceklerdir.

– Kullanıcıların tercihlerini manipüle etmeyi amaçlayan “karanlık desen/kalıplar” (dark patterns) ile yanıltıcı uygulamalar yasaklanacaktır.

 

Ayrıca, aylık 45 milyon veya daha fazla (nüfusun %10’u) aktif kullanıcısı olan “çok büyük çevrim içi platformlar” (VLOP) ile “çok büyük çevrim içi arama motorları” (VLOSE), yasa dışı içeriğin yayılması ve önemli toplumsal zararlar ortaya çıkması açısından taşıdıkları riskler nedeniyle, Komisyon tarafından belirlenen daha katı yükümlülüklere tabi olacaklardır.

 

AB genelinde doğrudan uygulanabilir bir düzenleme olan Dijital Hizmetler Yasasına ilişkin olarak Avrupa Parlamentosu ve Avrupa Konseyinin 23 Nisan 2022 tarihinde yeni kurallar üzerinde siyasi anlaşmaya varmalarının ardından bahse konu düzenleme 27 Ekim 2022 tarihinde AB Resmî Gazetesi’nde yayımlanmıştır[8]. Dijital Hizmetler Yasası, AB Resmî Gazetesi’nde yayımını izleyen yirminci gün olan 16 Kasım 2022 tarihinde yürürlüğe girmiş ve bazı hükümleri bu tarihten itibaren geçerlilik kazanmış olmakla birlikte Yasa’nın 93. maddesinde, düzenlemenin tamamıyla 17 Şubat 2024 tarihinden itibaren AB genelinde doğrudan geçerliliğe sahip olacağı hükme bağlanmıştır.

 

Bununla birlikte, sistemik yükümlülükler açısından doğrudan Komisyon tarafından denetlenen çok büyük çevrim içi platformlar ile çok büyük çevrim içi arama motorları için yeni kuralların daha erken devreye gireceği açıklanmış,  bu çerçevede tüm çevrim içi platformların 17 Şubat 2023 tarihine kadar aylık aktif kullanıcı sayısına ilişkin bilgi yayımlamaları ile bu bilgileri Komisyona iletmeleri zorunlu kılınmış ve Komisyon tarafından gerekli belirlemelerin yapılmasının ardından Dijital Hizmetler Yasası’na uyum sağlamalarına yönelik olarak çok büyük çevrim içi platformlar ile çok büyük çevrim içi arama motorlarının sağlayıcılarına dört aylık bir süre tanınacağı duyurulmuştur. Bu doğrultuda 25 Nisan 2023 tarihinde Komisyon, Dijital Hizmetler Yasası kapsamında aylık en az 45 milyon aktif kullanıcıya ulaşan on yedi adet çok büyük çevrim içi platform ile iki adet çok büyük çevrim içi arama motorunu belirlemiş[9] ve bu Şirketlerin dört ay içerisinde Dijital Hizmetler Yasası’na uyum sağlamaları gerekeceği açıklanmıştır. Komisyon tarafından belirlenen bu listede yer alan platformlara tanınan dört aylık süre 25 Ağustos 2023 tarihi itibarıyla sona ermiş bulunmakla birlikte bahse konu platformların her birinin kullanıcı sayılarının en az altı ayda bir güncellenmesinin isteneceğinin ve bir platformun tüm yıl boyunca aylık 45 milyondan az kullanıcıya sahip olması durumunda bu listeden kaldırılacağının da belirtilmesi gerekmektedir.

 

Haberler

 

* Cezayir’de, “Kişisel Verilerin İşlenmesinde Bireylerin Korunmasına İlişkin Yasa”nın 10.08.2023 tarihinde yürürlüğe girdiği bildirildi[10].

 

* Kullanıcıların dijital bir kimlik ve belirli ülkelerde ücretsiz kripto para birimi karşılığında iris taramalarını paylaşmalarını gerektiren “Worldcoin” projesine ilişkin olarak geçtiğimiz dönemlerde Kenya Veri Koruma Otoritesi tarafından başlatılan incelemenin ardından Kenya Yüksek Mahkemesi tarafından verilen kararda, Kenyalıların verilerinin toplanmasının yasaklandığı ve 19 Nisan’dan 8 Ağustos tarihine kadar toplanan verilerin korunması yönünde Şirket’in, temsilcilerinin ve çalışanlarının talimatlandırıldığı bildirildi[11].

 

* ABD’de federal yargıç, insan katkısı olmadan yapay zekâ ile üretilen bir sanat eserinin telif hakkı ile korunamayacağına hükmetti[12]. Bu çerçevede “yönlendirici bir insan elinin bulunmadığı” çalışmalara hiçbir zaman telif hakkı verilmediğini ve “insan yazarlığının telif hakkının temel şartı olduğunu” belirten yargıç, ABD Telif Hakları Ofisi’nin başvuruya konu kararını onayladı. 

 

[1] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/08/joint-statement-on-data-scraping-and-data-protection/, 24.08.2023.

[2] https://iapp.org/news/a/norway-dpa-says-monitoring-employees-electronic-equipment-use-basically-illegal/, 25.08.2023. Otorite tarafından yapılan açıklama için bkz. https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/overvaking-av-ansattes-bruk-av-elektronisk-utstyr/, 25.08.2023.

[3] https://edps.europa.eu/press-publications/press-news/press-releases/2023/financial-and-payment-services-use-personal-data-should-remain-proportionate-and-fair_en, 23.08.2023.

[4] https://www.cyber.gc.ca/sites/default/files/protecting-your-information-itsap.40.200-en.pdf, Ağustos 2023.

[5] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/08/ico-consultation-on-the-draft-biometric-data-guidance/, 18.08.2023.

[6] https://www.esafety.gov.au/sites/default/files/2023-08/Generative%20AI%20-%20Position%20Statement%20-%20August%202023%20.pdf, Ağustos 2023.

[7] https://ised-isde.canada.ca/site/ised/en/consultation-development-canadian-code-practice-generative-artificial-intelligence-systems/canadian-guardrails-generative-ai-code-practice, 16.08.2023.

[8] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2065, 27.10.2022.

[9] https://ec.europa.eu/commission/presscorner/detail/en/IP_23_2413, 25.04.2023.

[10] https://www.dataguidance.com/news/algeria-data-protection-law-enters-force, 16.08.2023.

[11] https://techcrunch.com/2023/08/15/worldcoin-in-kenya/, 15.08.2023.

[12] https://www.theverge.com/2023/8/19/23838458/ai-generated-art-no-copyright-district-court, 20.08.2023. Bahse konu kararı görüntülemek için bkz. https://cdn.patentlyo.com/media/2023/08/THALER-v.-PERLMUTTER-et-al-Docket-No.-1_22-cv-01564-D.D.C.-Jun-02-2022-Court-Docket-1.pdf