Seçilmiş Güncel Gelişmeler 26

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), çalışanların iş yerinde hukuka uygun, şeffaf ve adil bir şekilde izlenmesine yönelik bir rehber yayımladı[1]. Yapılan araştırmalara göre halkın %70’inin bir işveren tarafından izlenmeyi rahatsız edici bulduğunu ortaya koyan Otorite, iş yerinde herhangi bir izleme gerçekleştirilmesinden önce yasal yükümlülüklerin ve çalışanların haklarının dikkate alınması yönünde işverenlere çağrıda bulundu. Bu çerçevede bahse konu rehberde; (1) izlemenin niteliği, kapsamı ve nedenleri konusunda çalışanların bilinçlendirilmesi, (2) açıkça tanımlanmış bir amaca sahip olunması ve buna ulaşmak için en az müdahaleci araçların kullanılması, (3) çalışanların verilerinin işlenmesi konusunda yasal bir dayanak bulunması, (4) herhangi bir izlemenin anlaşılması kolay bir şekilde çalışanlara anlatılması, (5) yalnızca amaç kapsamında gerekli olan verilerin saklanması, (6) çalışanların hakları açısından yüksek risk oluşturması muhtemel her türlü izleme için veri koruma etki değerlendirmesi gerçekleştirilmesi ve (7) izleme yoluyla toplanan kişisel verilere erişim talep edilmesi hâlinde bu verilerin çalışanlara sunulmasına yönelik tavsiyelerde bulunulmaktadır.

 

* Kanada Mahremiyet Komisyonerliği Ofisi (OPC), kamu ve özel sektör kuruluşlarınca işlenen biyometrik verilere ilişkin rehberini güncellemek üzere girdi talep edildiğini duyurdu[2]. Konuya ilişkin olarak 2011 yılında yayımlanan rehberin ardından parmak izi, ses tanıma, yüz tanıma ve genetik verilerin yeni ortaya çıkan kullanımları doğrultusunda rehberin güncellenmesine ihtiyaç duyulduğunu ifade eden Otorite, 12 Ocak 2024 tarihine kadar paydaşları geri bildirimde bulunmaya davet etti.

 

* İspanya Veri Koruma Otoritesi (AEPD), veri alanlarında mahremiyet artırıcı teknolojilerin kullanımına ilişkin bir rehber yayımladı[3]. Mahremiyet artırıcı teknolojilerin, veri koruma ilkelerinin uygulanmasına yardımcı olmasının yanı sıra güveni ve veri egemenliğini garanti eden yönetişim politikalarının hayata geçirilmesinde de faydalarının bulunduğunu belirten Otorite; bu teknolojilerin verimli ve etkili olması, veri alanlarına entegre olması ve paylaşım ekonomisinde farklı amaçları yerine getirmesi için “çift kullanımlı” teknolojiler olması gerektiği yönünde belirlemelerde bulundu.

 

* Belçika Veri Koruma Otoritesi (APD), üçüncü taraf çerezler ve kullanıcı takip mekanizmalarının doğru şekilde kullanılmasına yönelik bir kontrol listesi yayımladı[4]. Kuruluşların çerez uygulamalarının mevcut düzenlemelere uygun olmasını sağlamaya yardımcı olması amaçlanan kontrol listesinde, çerezlerin kullanımına ilişkin “yapılması ve yapılmaması gerekenlere” yönelik hatırlatmalarda bulunulmakta ve “kesinlikle gerekli olmayan” herhangi bir izleme için “özgür, spesifik ve bilgilendirilmiş” rızanın gerekli olduğu vurgulanmaktadır.

 

* Dijital euro oluşturulması teklifinin, mahremiyete ilişkin temel haklar ve kişisel verilerin korunması açısından taşıdığı özel önem nedeniyle Avrupa Komisyonunun talebi üzerine, Avrupa Veri Koruma Kurulu (EDPB) ile Avrupa Veri Koruma Denetçisi (EDPS) tarafından ortak bir görüş metni yayımlandı[5]. Genel olarak bakıldığında, son derece rekabetçi bir ödeme ortamında dijital euro’nun katma değerinin esas olarak mahremiyete verilen önemden kaynaklanacağı hatırlatılan metinde; çevrim içi işlemler için yüksek bir veri koruma standardı sağlanması, tasarım gereği ve varsayılan olarak veri korumanın bu sistemlere dahil edilmesi, Avrupa Merkez Bankası ve ödeme hizmeti sağlayıcılarının veri koruma gereksinimlerine ilişkin açıklamalar sunulması ve bir kullanıcının ne kadar dijital euro’ya sahip olduğunu ölçmek için tanımlayıcıların nasıl kullanılacağına ilişkin net yönergeler getirilmesi gibi hususlarda çağrıda bulunulmaktadır. Diğer yandan metinde; düşük değerli çevrim içi ödemeler için “seçici mahremiyet” yaklaşımının reddedilmesi eleştirilmekte ve bu tür işlemler için kara para aklanmasının önlenmesi/terörizmin finansmanı ile mücadele amacıyla işlem izleme olmaksızın özel bir rejim geliştirilmesi önerilmektedir.

 

* İspanya Veri Koruma Otoritesi (AEPD), çevrim içi şifreleme sistemlerinin güvenliğinin değerlendirilebilmesi amacıyla bir tarayıcı uygulaması yayımlandığını duyurdu[6]. Bu çerçevede bahse konu aracın, kişisel verilerin işlenmesinde hangi şifreleme standartlarının aranması gerektiği konusunda rehberlik sağlamayı amaçladığı, herhangi bir bilgiyi kaydetmeden ve Otorite’ye geri iletmeden tarayıcıda çalıştığı ve bilgilerin yerel olarak saklanmasına/raporlanmasına olanak tanıdığı belirtildi.

 

* Kanada Mahremiyet Komisyonerliği Ofisi (OPC), çocukların mahremiyet standartlarını iyileştirmek amacıyla eyalet düzeyindeki veri koruma otoriteleri ile birlikte yakın zamanda alınan ortak kararı desteklemek adına iki adet rehber yayımladı[7]. Bahse konu rehberlerden birisinde[8], veri işleme faaliyetlerinde gençlerin yüksek yararının gözetilmesine odaklanılırken; diğerinde[9] ise çocukların korunmasına yönelik iyi uygulamalara ilişkin tavsiyeler kuruluşlara sunulmaktadır.

 

* ABD Federal Ticaret Komisyonu (FTC), “Data Spotlight” ismini verdiği seri içerisinde, sosyal medya aracılığıyla büyüyen dolandırıcılık sorununu ele aldı[10]. Bu kapsamda gerçekleştirilen dolandırıcılıkların çoğunun, bilgisayar korsanlarının sahte bir kişilik oluşturmasına veya profilinize sızmasına, sizin gibi davranmasına ve arkadaşlarınızı dolandırmasına olanak tanıdığını belirten Otorite, bireylerin yaşı, ilgi alanları veya geçmiş satın alımları gibi kişisel ayrıntılara dayanarak metodik hedefleme gerçekleştirilebileceğini de ifade etti.

 

* İspanya Veri Koruma Otoritesi (AEPD), veri sorumlularının bir veri ihlaline müdahale etmelerine yardımcı olan şirket içi araçlarda güncellemeler gerçekleştirildiğini duyurdu[11]. Bahse konu araçların; veri sorumlularının belirli bir ihlalin ilgili Otorite’ye bildirilip bildirilmeyeceğine karar vermesine ve ihlalden etkilenen ilgili kişiler arasında kimlere bildirimde bulunulması gerektiğine karar vermesine yardımcı olacağı belirtildi.

 

* Avrupa Veri Koruma Denetçisi (EDPS), hukuki sorumluluk kurallarının yapay zekâ ürünlerine uygulanmasına yönelik olarak Avrupa Komisyonu tarafından hazırlanmış iki düzenleme teklifi hakkındaki görüşünü yayımladı[12]. Bireylerin, yapay zekâ ürün veya hizmetlerinden dolayı zarara uğramaları hâlinde faydalanabilecekleri koruma standartlarının dijital çağa uyarlanmasını amaçlayan tekliflere yönelik olarak Otorite; AB kurumları, organları ve kuruluşları tarafından üretilen ve/veya kullanılan yapay zekâ sistemlerinin neden olduğu zararlara maruz kalan bireylerin, özel sektörde yer alan aktörler veya ulusal otoriteler tarafından üretilen ve/veya kullanılan yapay zekâ sistemlerinin neden olduğu zararlara maruz kalan bireylerle eşit düzeyde korumadan yararlanmasını sağlamak da dâhil olmak üzere yasa koyuculara çeşitli önerilerde bulundu.

 

* Güney Kore Kişisel Bilgilerin Korunması Komisyonu (PIPC), Otorite bünyesinde “Yapay Zekâ Mahremiyet Ekibi” isimli yeni bir grup kurulduğunu duyurdu[13]. Veri koruma hukukuna ilişkin mevcut düzenlemelere odaklanmak yerine yapay zekâ döneminde takip edilmesi gereken ilkeleri tasarlamaya odaklanması amaçlanan grubun, yapay zekâ mahremiyeti alanında devlet ile özel sektör arasında iletişim ve iş birliği sağlaması, kuruluşların karşılaşabilecekleri belirsizlikleri çözüme kavuşturması ve bu kapsamda belli standartlar ortaya koyması beklenmektedir.

 

* Fransa Veri Koruma Otoritesi (CNIL), yapay zekâ sistemleri geliştirilmesi için veri setlerinin oluşturulması üzerine “nasıl yapılır?” sayfaları yayımladı ve bunların kamuoyu görüşüne açıldığını duyurdu[14]. İnovasyon geliştirilmesi ile bireylerin haklarının uyum içerisinde sürdürülmesine yardımcı olması ve GDPR’nin yapay zekâya uygulanması ile ilgili hukuki ve teknik konularda pratik yanıtlar sağlaması amaçlanan bu sayfalara yönelik kamuoyu görüşünün 16 Kasım 2023’te sona ereceği belirtildi. Bahse konu sayfaların nihai halinin 2024 yılının başında Otorite’nin internet sayfasında yayımlanması planlanıyor.

 

* Dünya Sağlık Örgütü (WHO), sağlık alanında yapay zekânın düzenlenmesine ilişkin temel hususların ele alındığı bir çalışma yayımladı[15]. Yapay zekâ sistemlerinin güvenliğinin ve etkinliğinin sağlanmasının, ihtiyacı olanlara hızlı bir şekilde uygun sistemler sunulmasının ve geliştiriciler, düzenleyiciler, üreticiler, sağlık çalışanları ve hastalar gibi kişi grupları arasında diyalog oluşturulmasının öneminin vurgulandığı çalışmada, sağlık alanında yapay zekânın düzenlenmesi konusunda altı temel alanın ana hatları çizilmektedir. Bu çerçevede; (1) güvenin artırılması için ürün yaşam döngüsünün belgelenmesi ve geliştirme süreçlerinin izlenmesi gibi şeffaflık ve belgelemenin öneminin anlaşılması, (2) risk yönetimi için “amaçlanan kullanım”, “sürekli öğrenme”, insan müdahaleleri, eğitim modelleri ve siber güvenlik tehditleri gibi konuların tamamının kapsamlı şekilde ele alınması ve modellerin mümkün olduğunca basit hâle getirilmesi, (3) verilerin dışarıdan doğrulanmasının ve yapay zekânın amaçlanan kullanımı konusunda net olunmasının, güvenliğin sağlanmasına ve düzenlemenin kolaylaştırılmasına yardımcı olacağının farkına varılması, (4) verilerin kalitesinin sağlanmasının, sistemlerde bulunan ön yargıları ve hataları artırmamasını sağlamak için, piyasaya sürülmeden önce sistemlerin titizlikle değerlendirilmesi gerektiğinin büyük bir öneme sahip olduğunun anlaşılması, (5) GDPR ve HIPAA gibi düzenlemelerin ortaya çıkardığı zorlukların, yargı yetkisinin kapsamı ve rıza gerekliliklerinin kapsamının anlaşılmasına vurgu yapılarak ele alınması ve (6) bu alandaki çeşitli paydaşlar arasındaki iş birliğinin güçlendirilmesinin, ürün ve hizmetlerin yaşam döngüleri boyunca düzenlemelere uygun kalmasının sağlanmasına yardımcı olabileceği düşüncesinin benimsenmesi yönünde tavsiyelerde bulunulmaktadır.

 

* Avrupa Veri Koruma Denetçisi (EDPS), AB Yapay Zekâ Yasası’na (AI Act) ilişkin müzakerelerin son aşamasına girilen dönemde, AB yasa koyucularına ilave tavsiyeler sunulması amacına yönelen bir görüş yayımladı[16]. Bu çerçevede bahse konu metinde genel olarak; (1) kabul edilemez riskler taşıması nedeniyle yasaklanması gereken yapay zekâ sistemleri ile yüksek riskli yapay zekâ sistemlerine ilişkin olarak EDPS-EDPB Ortak Görüşünde söz edilen “kırmızı çizgilerin” kritik bir öneme sahip olduğunun hatırlatılması, (2) anılan Yasa’nın uygulamaya başlandığı tarihte hâlihazırda kullanılmakta olan yapay zekâ sistemlerinin Yasa’nın kapsamından muaf tutulmaması gerektiğinin vurgulanması, (3) EDPS’nin bir organ ve gözetim otoritesi olarak ne zaman görev alacağının ve söz konusu Yasa tarafından verilen yetkilerin net bir şekilde tanımlanması gerektiğinin altının çizilmesi, (4) yapay zekâ sistemlerinin kullanımından etkilenen kişilerin yetkili bir otoriteye şikâyette bulunma ve otoritenin kararına karşı da yargıya başvurma hakkının Yasa’ya dahil edilmesinin öneminin anlaşılması ve veri koruma otoritelerinin ulusal denetleyici makamlar olarak atanması yönündeki çağrının yinelenmesi, (5) AB düzeyinde bir organ olarak Avrupa Yapay Zekâ Ofisi kurulması ve (6) Yapay Zekâ Ofisi Sekretaryası’nın EDPS tarafından sağlanması yönündeki önerinin belirtilmesi amaçlanmaktadır.

 

* Google, çocukların çevrim içi ortamda korunmasına yönelik daha uygun düzenlemeler hazırlanması için politika yapıcılara çeşitli ilkeler sunulan bir yasal çerçeve yayımladı[17]. Çocuklara daha iyi bir çevrim içi deneyim sunulması amacına yönelen ilkeler arasında; (1) ürünlerin tasarımında çocukların ve gençlerin çıkarlarını ön planda tutacak çevrim içi hizmetler oluşturulması, (2) yaş güvencesi talep edilirken risk temelli bir yaklaşım benimsenmesi, (3) artan olgunluklarını yansıtacak şekilde, ebeveyn izni yaşı ile 18 yaş arasındaki gençlere yönelik korumaların artırılması, (4) gençlerin artan yeteneklerine ve özerkliklerine saygı gösteren sağlam ebeveyn kontrolü seçeneklerine duyulan ihtiyacın ele alınması, (5) çevrim içi hizmetlerde, çocukların ve gençlerin ruh sağlığını ve refahını destekleyecek önlemler alınmasının zorunlu kılınması, (6) çocuklara ve gençlere yönelik kişiselleştirilmiş reklamların yasaklanması, (7) platformların, gençlere ve ebeveynlere kişiselleştirilmiş önerilerde çevrim içi görüntüleme ve arama geçmişlerinin kullanımını yönetmelerine yönelik araçlar sunulmasının zorunlu kılınması, (8) platformların içerik politikaları geliştirme ve uygulamaları konusunda sorumlu ve şeffaf bir yaklaşım benimsenmesinin zorunlu kılınması, (9) hesap verebilirliği geliştirmek için risk temelli etki değerlendirmeleri kullanılması, (10) düzenleyici uyumlaştırmasının ve küresel birlikte çalışabilirliğin teşvik edilmesi ile (11) hizmetler arasındaki farklılıkların anlaşılması yer almaktadır.

 

* Avrupa Komisyonu, Dijital Hizmetler Yasası’nın gerektirdikleri kapsamında “Şeffaflık Veri Tabanı”nın başlatıldığını duyurdu[18]. AB’de faaliyet gösteren çevrim içi platform sağlayıcıları tarafından alınan içerik denetleme kararlarına ilişkin verilerin, daha önce benzeri görülmemiş bir ölçek ve ayrıntı düzeyinde kamunun erişimine açılmasını sağlayan ve bu kapsamda çevrim içi hesap verilebilirliğin artırılmasına olumlu etkileri bulunan bu havuza mevcut durumda çok büyük çevrim içi platformların (VLOP) veri iletmeleri gerekmekte iken 17.02.2024 tarihinden itibaren tüm çevrim içi platform sağlayıcılarının (istisnalar hariç olmak üzere) bu doğrultuda veri paylaşımı yapmaları gerekecektir.

 

* 14.10.2023 tarih ve 32339 sayılı Resmî Gazete’de yayımlanan “Millî Eğitim Bakanlığı Okul Öncesi Eğitim ve İlköğretim Kurumları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik” ile yapılan değişiklik ile bahse konu Yönetmelik’in “Öğrenci Sağlığı ve Okul Güvenliği” başlıklı 78. maddesine “Öğrencilerin; okul içi ve okul dışında yapılan eğitim etkinlikleri, sosyal ve kültürel faaliyetler ile gezi ve gözlem faaliyetleri esnasında çekilen görüntüleri sosyal medya platformları ve haberleşme gruplarında her ne ad altında olursa olsun paylaşılamaz. Ancak, veliden ve rehberlik öğretmeni gözetiminde öğrenciden yazılı izin alınması kaydıyla yayımlanabilir.” şeklinde bir fıkra eklenmiştir[19].

 

* Kurumumuz tarafından hazırlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” yayımlandı[20].

 

* KVKK Bülten’in ikinci sayısı “Gölgede Kalan İzler: Unutulma Hakkı” teması ile yayımlandı[21]. Üç aylık periyotlar halinde yayımlanan ve bu doğrultuda Temmuz-Eylül 2023 dönemini kapsayan bültende; unutulma hakkına yönelik birtakım içerikler, bahse konu dönem içerisinde kişisel verilerin korunması ile ilgili olarak öne çıkan gelişmeler ve Kurumumuz faaliyetleri gibi hususlar ele alınmıştır.

 

[1] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/10/ico-publishes-guidance-to-ensure-lawful-monitoring-in-the-workplace, 03.10.2023. Bahse konu rehberi görüntülemek için bkz. https://ico.org.uk/media/for-organisations/uk-gdpr-guidance-and-resources/employment-information/employment-practices-and-data-protection-monitoring-workers-1-0.pdf, 04.10.2023.

[2] https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_231011/, 11.10.2023.

[3] https://www.aepd.es/en/prensa-y-comunicacion/blog/data-spaces-sovereignty-and-privacy-by-design, 28.09.2023.

[4] https://iapp.org/news/a/belgiums-dpa-publishes-cookie-checklist/, 23.10.2023. Otorite tarafından yapılan açıklama için bkz. https://www.autoriteprotectiondonnees.be/citoyen/actualites/2023/10/20/lapd-publie-une-checklist-pour-une-utilisation-correcte-des-cookies, 20.10.2023.

[5] https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-022023-proposal_en, 17.10.2023.

[6] https://iapp.org/news/a/spains-aepd-releases-encryption-assessment-tool/, 10.10.2023. Otorite tarafından yayımlanan açıklama için bkz. https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-agencia-lanza-herramienta-validacripto, 05.10.2023.

[7] https://iapp.org/news/a/opc-releases-complementary-guidance-on-childrens-privacy/, 18.10.2023.

[8] https://www.priv.gc.ca/en/about-the-opc/what-we-do/provincial-and-territorial-collaboration/joint-resolutions-with-provinces-and-territories/bg_231005_01/, Ekim 2023.

[9] https://www.priv.gc.ca/en/about-the-opc/what-we-do/provincial-and-territorial-collaboration/joint-resolutions-with-provinces-and-territories/res_231005_01_yth/, Ekim 2023.

[10] https://www.ftc.gov/news-events/data-visualizations/data-spotlight/2023/10/social-media-golden-goose-scammers, 06.10.2023.

[11] https://iapp.org/news/a/aepd-updates-its-tools-assisting-data-controllers-responding-to-breaches/, 12.10.2023. Otorite tarafından yayımlanan açıklama için bkz. https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-renueva-asesora-brecha-y-comunica-brecha-herramientas, 10.10.2023.

[12] https://edps.europa.eu/data-protection/our-work/publications/opinions/2023-10-11-edps-opinion-422023-two-directives-ai-liability-rules_en, 11.10.2023.

[13] https://iapp.org/news/a/south-koreas-pipc-launches-ai-privacy-unit/, 05.10.2023. Otorite tarafından yayımlanan açıklama için bkz. https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9216, 05.10.2023.

[14] https://www.cnil.fr/en/artificial-intelligence-cnil-opens-consultation-creation-datasets-ai, 16.10.2023.

[15] https://www.who.int/news/item/19-10-2023-who-outlines-considerations-for-regulation-of-artificial-intelligence-for-health, 19.10.2023.

[16] https://edps.europa.eu/press-publications/press-news/press-releases/2023/edps-final-recommendations-ai-act_en, 24.10.2023.

[17] https://static.googleusercontent.com/media/publicpolicy.google/en//resources/youth-legislative-framework.pdf, Ekim 2023.

[18] https://digital-strategy.ec.europa.eu/en/news/digital-services-act-commission-launches-transparency-database, 26.09.2023.

[19] https://www.resmigazete.gov.tr/eskiler/2023/10/20231014-1.htm, 14.10.2023.

[20] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/f3ca871c-bdac-48b1-ace3-9d40dbe533d2.pdf, 13.10.2023.

[21] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/1ad754fd-1523-4826-a018-a8fd0454cff0.pdf, Ekim 2023.