Seçilmiş Güncel Gelişmeler 25

 

Rehber/Çalışma/Düzenleyici İşlemler

 

* Avrupa Veri Yönetişimi Yasası[1] (European Data Governance Act), kapsam dahilindeki kuruluşlar açısından 24.09.2023 tarihinde uygulanmaya başlandı. Hatırlanacak olursa, Avrupa veri stratejisinin önemli bir dayanağı olan ve veri paylaşımına duyulan güvenin artırılmasını/verilerin kullanılabilirliğini artırmaya yönelik mekanizmaların güçlendirilmesini/verilerin yeniden kullanılmasının önündeki teknik engellerin üstesinden gelinmesini amaçlayan Yasa, 03.06.2022 tarihli Avrupa Birliği Resmî Gazetesi’nde yayımlanmış ve yayımını izleyen yirminci günde yürürlüğe gireceği düzenlenmişti[2].

 

* Danimarka Veri Koruma Otoritesi, çalışanların kişisel verilere yetkisiz erişimlerinin önlenmesine yönelik bir rehber yayımladı[3]. Rehberde, düzenlemelere uyum sağlandığından emin olmak için şirketlerin bir risk değerlendirmesi gerçekleştirmeleri, yalnızca iş ile ilgili bir ihtiyaç olduğunda çalışanların bu verilere erişim sağlayabilmeleri, çalışanların kişisel veri kullanımlarının kaydedilmesi ve çalışanların kişisel veri içeren sistemleri kullanımının sürekli şekilde izlenmesi gibi kontrol önlemlerinin uygulanması yönünde tavsiyelerde bulunulmaktadır. 

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), çocukları ve gençleri fiziksel, duygusal veya zihinsel zararlardan korumak üzere bilgi paylaşımına yönelik on adımlı bir kılavuz yayımlandığını duyurdu[4]. Veri koruma yasalarını ihlal etme korkusu nedeniyle bilgi paylaşımında tereddüt edebilecek kuruluşlar ve ön saflarda çalışanların endişelerine yanıt olarak geliştirildiği belirtilen kılavuzda; (1) veri korumanın, bir çocuğu korumaya yönelik bilgilerin paylaşılmasına nasıl yardımcı olunabileceği konusunda net olunması, (2) bilgi paylaşma hedefinin belirlenmesi ve bir çocuğu korumak için ihtiyaç duyulan bilgilerin paylaşılması, (3) bilgi paylaşımına yönelik açık ve güvenli politikalar ile sistemler geliştirilmesi, (4) şeffaflık ve bireysel haklar konusunda net olunması, (5) risklerin değerlendirilmesi ve gerektiği şekilde paylaşılması, (6) veri paylaşım sözleşmesi yapılması, (7) veri koruma ilkelerinin takip edilmesi, (8) doğru yasal temel kullanılarak bilgi paylaşılması, (9) acil durumda bilgilerin paylaşılması ve (10) ICO’nun veri paylaşımına yönelik uygulama kurallarının okunması yönünde tavsiyelerde bulunulmaktadır.

 

* İrlanda Veri Koruma Otoritesi (DPC), GDPR’ın uygulanmasının ilk beş yılını içerecek şekilde 2018-2023 yıllarına tekabül eden dönemde alınan kararlara ilişkin özetleri içeren bir çalışma yayımlandı[5]. Bahse konu çalışmada; ilgili kişilerin erişim hakkı, verilerin doğruluğu, sınır ötesi veri akışları, veri ihlal bildirimleri, kişisel verilerin hukuka aykırı şekilde açıklanması, elektronik doğrudan pazarlama, verilerin silinmesi, amaçla sınırlılık ilkesi ile verilerin şeffaflığı gibi kategoriler üzerinden 126 adet vaka incelemesi ele alınmaktadır.

 

* İspanya Veri Koruma Otoritesi (AEPD), dijital para birimlerine yönelik veri koruma uygulamaları hakkında yol gösterici mahiyette bir içerik yayımladı[6]. Otorite, dijital para birimlerinin uygulanmasında/piyasaya sürülmesinde mahremiyet ile veri minimizasyonunun tasarım aşamasından itibaren sağlanması gerektiği ve vergi kaçakçılığı, kara para aklama ve terörün finansmanıyla mücadele gibi hedefler ile kişisel verilerin korunması arasında uygun bir denge sağlanması gerektiği yönünde belirlemelerde bulundu.

 

* Hong Kong Veri Koruma Otoritesi (PCPD), kuruluşlar bünyesinde gerçekleşen veri ihlallerinin ele alınması ve veri ihlal bildirimlerine ilişkin yol gösterilmesi amacıyla rehber nitelikte bir bilgi notu yayımladı[7]. Son zamanlarda kuruluşların bilgi sistemlerine yönelik olarak gerçekleştirilen ve kişisel verilerin sızdırıldığı hacker saldırılarının art arda yaşandığına dikkat çeken Otorite, düzenli olarak veri güvenliği risk değerlendirmeleri yapılması, bu konudaki farkındalığın artırılması ve veri güvenliği sistemlerinin gözden geçirilmesi yönünde kuruluşlara hatırlatmada bulundu. Bu kapsamda kuruluşların güvenlik hedeflerine ulaşmada benimseyebilecekleri önlemler arasında; (1) bilgisayar ağlarının güvenliğinin sağlanması, (2) özellikle internete bağlanan sistemler için düzenli olarak güvenlik açıklarının değerlendirilmesi ve sızma testleri gerçekleştirilmesi, (3) güvenlik açıklarının zamanında düzeltilmesini sağlamak üzere yama yönetimi uygulanması, (4) aktarılan ve depolanan verilerin şifrelenmesi ve şifreleme anahtarlarının etkin yönetimi ve korunmasının sağlanması, (5) veri tabanı yönetiminin sağlanması, (6) bir görevi tamamlamak ve kullanıcılara uygun roller atamak için mümkün olduğunca “az erişim” hakkı sağlanması ve (7) gereksiz veya süresi dolmuş kişisel verilerin zamanında imha edilmesi sayıldı.

 

* Yeni Zelanda Mahremiyet Komisyonerliği Ofisi, ülkenin veri koruma yasasında düzenlenen Bilgi Gizliliği İlkeleri ile yapay zekânın ilişkilendirilmesine yönelik açıklamaların yer aldığı ve bu ilkelerin yapay zekâ teknolojisinden nasıl etkilendiğine yönelik pratik örneklerin sunulduğu bir rehber yayımladı[8]. Eğitim verilerinin toplanmasından bir modelin eğitilmesine, kullanıcı girdisi alınmasına, yanıt oluşturulmasına ve sonuç olarak harekete geçilmesine kadar yapay zekâ araçlarının oluşturulması ve kullanılmasının her aşamasında geçerli olduğu belirtilen Bilgi Gizliliği İlkeleri kapsamında sorulması gereken temel sorular arasında; (1) Bir yapay zekâ aracının arkasındaki eğitim verileri konu ile ilgili, güvenilir ve etik mi? (2) Kişisel verilerin toplanmasının amacı nedir ve bu verilerin kullanımı amaç ile bağlantılı mıdır? (3) Yapay zekâ araçlarının hedeflenen amaç için doğru ve adil olduğu nasıl test edilmektedir ve bu konular ile ilgilenen kişi ve topluluklar ile görüşülmekte midir? (4) Yapay zekâ araçları üzerinden ulaşılan bilgilere yönelik yeni risklerin izlenmesi ve bunların yönetilmesi için neler yapılmaktadır? gibi hususlar sayıldı.

 

* Avrupa Komisyonunun bilim ve bilgi servisi olan Ortak Araştırma Merkezi (JRC) tarafından hazırlanan “Yapay Zekâ Yasası’nda Yapay Zekânın Siber Güvenliği” başlıklı çalışmada, yüksek riskli yapay zekâ sistemleri için siber güvenlik gereksinimlerinin karşılanmasına yönelik yol gösterici ilkeler ele alınmaktadır[9]. Bu çerçevede bahse konu çalışmada; Yapay Zekâ Yasası’nda düzenlenen siber güvenlik gerekliliklerinin iç bileşenlerden ziyade bir bütün olarak yapay zekâ sistemleri için geçerli olduğunun anlaşılması, uyumluluğun sağlanması için sistemin tasarımının dikkate alınması suretiyle güvenlik risk değerlendirmesi yapılarak risklerin belirlenmesi ve bu risklerin azaltılmasına yönelik gerekli önlemlerin uygulanması ve bu sürecin kanıtlanmış siber güvenlik uygulamaları ve prosedürlerini yapay zekâya özgü kontrollerle birleştiren entegre ve sürekli bir yaklaşım gerektirdiği hususunun benimsenmesi gibi konulara dikkat çekilmektedir. 

 

* OECD tarafından yakın zamanda yayımlanan bir çalışmada, üretici yapay zekânın dönüştürücü etkisinin ortaya çıkardığı zorlukların üstesinden gelinmesine yönelik oluşturulabilecek politikalar hakkında açıklamalarda bulunulması ve bu hususta karar vericilere destek olunması amaçlanmaktadır[10]. Bu kapsamda; (1) üretici yapay zekâ sistemlerinin yeni içerikler oluşturduğu ve otonom aracılar olarak değer ürettiği, (2) bu sistemler çeşitli endüstriler ve toplum üzerinde devrim yaratma kapasitesine sahip olmakla birlikte büyük risklerin de söz konusu olduğu, (3) sentetik içerikten kaynaklanan yanlış bilgi ve dezenformasyon risklerinin yeni politika çözümleri gerektirdiği, (4) bu sistemlerin eğitim verilerinde yer alan ön yargıları yansıtabildiği ve sürdürebildiği, (5) hukuk sistemlerinin, üretici yapay zekânın fikri mülkiyet hakları üzerindeki etkileriyle boğuştuğu, (6) üretici yapay zekâdaki ilerlemenin yüksek nitelik gerektiren mesleklerde de bir dönüşüm yaratabileceği ve (7) aynı zamanda güvenlik, gözetim, aşırı güvenme ile akademik sahtekârlık gibi riskler ortaya çıkarabileceği yönünde belirlemelerde bulunuldu.

 

* Uluslararası Standardizasyon Teşkilatı (ISO), yapay zekâ terminolojisinin belirlendiği ve yapay zekâya yönelik temel kavramların açıklandığı ISO/IEC 22989:2022 sayılı belgeyi ücretsiz olarak kullanılabilir hâle getirdi[11].

 

* IAPP Yapay Zekâ Yönetişim Merkezi tarafından yayımlanan raporda, küresel ve sektörel (hükümet, sivil toplum ve endüstri) perspektiflerden yapay zekânın nasıl tanımlandığına ilişkin bir derleme sunuldu[12]. Derleme kapsamında dünya genelindeki tüm içeriklerin eksiksiz bir listesine yer verilmediği belirtilmekle birlikte mevcut hali ile yapay zekâ ekosistemindeki önemli oyuncuların konuya yaklaşımlarının karşılaştırılmasına olanak tanındığı ifade edilmektedir.

 

Haberler

 

* Suudi Arabistan’da kişisel verilerin korunmasına yönelik yeni Kanun’un 14.09.2023 tarihinde yürürlüğe girdiği bildirildi[13]. Bahse konu Kanun’un, ülke genelinde bireylerin mahremiyetlerinin korunmasını amaçlayan ilk kapsamlı veri koruma yasası olduğuna dikkat çekildi.

 

* Kaliforniya’da, çevrim içi kişisel verilerin silinmesini kolaylaştıracak yasa tasarısının Meclis’te kabul edildiği bildirildi[14]. Bahse konu tasarı kapsamında, bireylerin tek bir talebi ile her bir veri komisyoncusu tarafından bu verilerin silinmesinin sağlanacağı ve Kaliforniya Mahremiyeti Koruma Otoritesi’nin Ocak 2026’ya kadar buna yönelik bir yol oluşturmasının planlandığı belirtildi.

 

* Polonya Veri Koruma Otoritesi’nin, ChatGPT hakkında soruşturma başlatıldığı duyuruldu[15]. Konuya ilişkin olarak Otorite tarafından yapılan açıklamada, verilerin hukuka aykırı, güvenilmez ve opak bir şekilde işlendiği gerekçeleriyle OpenAI Şirketi hakkında şikâyette bulunulduğu, incelemenin GDPR kapsamında kişisel verilerin korunmasına ilişkin birçok hükmün ihlalini içerdiği ve bu çerçevede Otorite’yi zor bir inceleme sürecinin beklediği gibi hususlara yer verildi.

 

* Hollanda Veri Koruma Otoritesi’nin, çocuklara yönelik uygulamalara özel bir önem atfetmek suretiyle, üretici yapay zekâ kullanan kuruluşların kişisel veri toplama uygulamaları ile ilgili endişeler üzerine harekete geçtiği duyuruldu[16]. Bu kapsamda bir teknoloji şirketinden, çocuklar arasında popüler olan bir uygulamada sohbet robotu kullanımına açıklık getirmesinin istendiği ve ChatGPT’nin geliştiricisi olan OpenAI Şirketi’nden de sistemi eğitmede faydalanılan veri işleme uygulamalarının açıklanmasının talep edildiği belirtildi.

 

* 7 yaşındaki bir çocuğun yaşadığı kronik ağrı nedeniyle 3 yıl boyunca 17 doktora göründüğü ancak hastalığının tanısının ChatGPT tarafından konulduğu bildirildi[17]. Habere konu olayda, oğlunun semptomları hakkında bildiklerini ve doktorların tetkiklerinden ulaşılan bilgileri yapay zekâ aracı ile paylaşan anne, o güne kadar görüştükleri tüm uzmanların yalnızca kendi uzmanlık alanları çerçevesinde muayeneler gerçekleştirdiğini ancak doğru teşhisin ChatGPT tarafından konulduğunu ve bu teşhis ile kendisine başvurulan beyin cerrahının oğlunun hastalığının ne olduğunu tam olarak anlayabildiğini belirtti.

 

* İngiltere’de temyiz mahkemesi hâkiminin, kararının bir kısmını yazmak için ChatGPT’den yararlanmasının ardından aracın faydalarını övdüğü ve bu aracı “son derece kullanışlı” olarak nitelendirdiği ortaya konuldu[18]. Bir İngiliz hâkimin, kararını yazmak için ChatGPT’den faydalandığına yönelik bilinen ilk kullanım teşkil eden olaya ilişkin olarak, söz konusu hâkim tarafından yapılan açıklamada; üretici büyük dil modellerinin gerçek bir potansiyelinin bulunduğu, en ilginç olanın bu büyük dil modellerinden bilgilerin özetlenmesinin istenebilmesi olduğu, kararına ilişkin tüm sorumluluğun kendisine ait olduğu ve sorumluluğu başkasına vermeye çalışmadığı, zira yaptığı tek şeyin hâlihazırda bildiği ve kabul edilebilir olduğunu düşündüğü bir cevabı yansıtmak olduğu yönünde ifadeler kullanıldı.

 

* Game of Thrones’un yazarlarının, ChatGPT’yi daha akıllı hâle getirmek için izinleri olmadan kitaplarının kullanıldığı ve dolayısıyla sistemi eğitmek için telif haklarının ihlal edildiği iddiasıyla OpenAI Şirketi’ne karşı dava açtığı bildirildi[19]. Şirket’in “kitlesel ölçekte sistematik hırsızlık” yapmakla suçlandığı davaya ilişkin olarak Şirket temsilcisi tarafından yapılan açıklamada, dünya genelindeki birçok yazar ile verimli görüşmeler gerçekleştirildiği, bu kimselerin yapay zekâ hakkındaki endişelerini anlamak ve tartışmak için iş birliği içerisinde çalışmalar yürütüldüğü ve karşılıklı fayda sağlayacak şekilde birlikte çalışmanın yollarını bulmaya devam edecekleri konusunda iyimser bir tutum içerisinde bulundukları ifade edildi.

 

* OpenAI tarafından yapılan açıklama ile bundan böyle ChatGPT’nin “görebileceği, duyabileceği ve konuşabileceği” duyuruldu[20]. Yeni ses ve görüntü yeteneklerinin kullanıma sunulmaya başlanacağı güncelleme kapsamında, araç ile sesli görüşme yapılmasının mümkün hâle geleceği ve gündelik hayatta karşılaşılan anlık olaylar/çeşitli görseller hakkında sohbet edilebileceği belirtildi. Bu çerçevede örneğin, seyahat esnasında önemli bir yerin fotoğrafı çekilerek bu yerin ilginç yönleri hakkında canlı sohbetler gerçekleştirilebileceği veya buzdolabının içerisinde yer alan malzemelerin fotoğrafının çekilmesinin ardından bu malzemeler ile hazırlanabilecek bir yemeğe ilişkin tarif alınabileceği ifade edildi.

 

* Ülkemizde Ticaret Bakanlığı bünyesinde faaliyet gösteren Reklam Kurulunun, tüketicilerin satın alma kararlarını doğrudan veya dolaylı olarak etkileyen, yapay zekâ tarafından oluşturulan içerikleri ilk kez incelemeye aldığı ve bu kapsamda ChatGPT tarafından oluşturulan, rakip ürün veya firmalara göre üstünlük algısı içeren ifadelere yer verilen ve nesnel araştırma sonuçlarına dayanmayan tanıtımlarla ilgili üç dosya hakkında idari yaptırım uygulanmasına karar verildiği duyuruldu[21].

 

* Kurumumuz tarafından yayımlanan Kişisel Verileri Koruma Dergisi hakemli bir dergi olup, Dergi Park sistemi üzerinden yılda iki sayı olarak https://dergipark.org.tr/kvkd adresinde yayımlanmaktadır. Bu çerçevede dergimizin onuncu sayısının hazırlıkları devam etmektedir. Kişisel Verileri Koruma Dergisi’nin onuncu sayısı için, kişisel verilerin korunması, mahremiyet, veri koruma hukuku ve kişisel verilerin güvenliği ile ilgili konularda makale kabulü yapılacak olup makale başvurularının 5 Kasım 2023 tarihine kadar https://dergipark.org.tr/kvkd adresi üzerinden yüklenmesi gerekmektedir. Derginin kapsamı ve yazım kuralları ile ilgili daha geniş bilgiye https://dergipark.org.tr/kvkd adresi üzerinden ulaşılabilmektedir.

 

[1] Düzenleme metnine ulaşmak için bkz. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R0868

[2] https://digital-strategy.ec.europa.eu/en/policies/data-governance-act

[3] https://iapp.org/news/a/denmark-dpa-publishes-guidance-on-employee-access-to-personal-data/, 20.09.2023. Bahse konu rehbere ulaşmak için bkz. https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed/kan-snageri-forebygges

[4] https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/a-10-step-guide-to-sharing-information-to-safeguard-children, Eylül 2023.

[5] https://www.dataprotection.ie/en/dpc-guidance/case-studies

[6] https://iapp.org/news/a/aepd-explores-considerations-with-digital-currencies/, 14.09.2023. Otorite tarafından yayımlanan içeriğe ulaşmak için bkz. https://www.aepd.es/prensa-y-comunicacion/blog/monedas-digitales, 11.09.2023.

[7] https://www.pcpd.org.hk/english/news_events/media_statements/press_20230922.html, 22.09.2023.

[8] https://www.privacy.org.nz/publications/guidance-resources/ai/, 21.09.2023. Bahse konu rehbere ulaşmak için bkz. https://www.privacy.org.nz/assets/New-order/Resources-/Publications/Guidance-resources/AI-Guidance-Resources-/AI-and-the-Information-Privacy-Principles.pdf

[9]https://publications.jrc.ec.europa.eu/repository/handle/JRC134461#:~:text=The%20AI%20Act%20cybersecurity%20requirement,implement%20the%20necessary%20mitigation%20measures., 11.09.2023.

[10] https://www.oecd.org/publications/initial-policy-considerations-for-generative-artificial-intelligence-fae2d1e6-en.htm, 18.09.2023.

[11] https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

[12] https://iapp.org/resources/article/international-definitions-of-ai/?utm_source=&utm_medium=&utm_campaign=Social, Eylül 2023.

[13] https://cdn.saudigazette.com.sa/article/635910/SAUDI-ARABIA/Personal-Data-Protection-Law-and-its-executive-regulations-come-into-force, 18.09.2023.

[14] https://www.latimes.com/politics/story/2023-09-14/california-bill-delete-online-personal-data, 14.09.2023.

[15] https://techcrunch-com.cdn.ampproject.org/c/s/techcrunch.com/2023/09/21/poland-chatgpt-gdpr-complaint-probe/amp/, 21.09.2023. Otorite tarafından yapılan açıklama için bkz. https://uodo.gov.pl/pl/138/2823, 20.09.2023.

[16] https://iapp.org/news/a/netherlands-dpa-takes-action-on-generative-ai-concerns/, 18.09.2023. Konuya ilişkin olarak Otorite tarafından yapılan açıklama için bkz. https://www.autoriteitpersoonsgegevens.nl/actueel/ap-eist-duidelijkheid-techbedrijf-over-ai-gericht-op-kinderen, 14.09.2023.

[17] https://www.today.com/health/mom-chatgpt-diagnosis-pain-rcna101843, 11.09.2023.

[18] https://www.theguardian.com/technology/2023/sep/15/court-of-appeal-judge-praises-jolly-useful-chatgpt-after-asking-it-for-legal-summary, 15.09.2023.

[19] https://www.bbc.com/news/technology-66866577, 21.09.2023.

[20] https://openai.com/blog/chatgpt-can-now-see-hear-and-speak, 25.09.2023.

[21] https://www.ensonhaber.com/ekonomi/reklam-kurulu-yapay-zeka-ile-olusturulan-tanitimlari-incelemeye-aldi, 13.09.2023.