Seçilmiş Güncel Gelişmeler 28

 

Rehber/Çalışma/Düzenleyici İşlemler

 

* Avrupa Veri Koruma Kurulu (EDPB), 2002/58/EC sayılı e-Gizlilik Direktifi’nin 5/3 maddesi kapsamında değerlendirilebilecek takip teknolojilerine ilişkin açıklamalarda bulunulan bir rehber yayımladı ve bu rehberin altı hafta süreyle kamuoyu görüşüne açıldığını duyurdu[1]. E-Gizlilik Direktifi’nin 5/3 maddesinin farklı teknik çözümlere uygulanabilirliğinin ele alındığı rehberde, anılan maddenin çerezlerin yerini alabilecek/yeni iş modelleri yaratabilecek yeni izleme yöntemlerine uygulanmasına ilişkin belirsizliklerin giderilmesi amaçlanmaktadır. Bu kapsamda rehber içerisinde; “bilgi”, “abonenin veya kullanıcının terminal ekipmanı”, “elektronik iletişim ağı”, “erişim sağlanması” ve “depolanan bilgi/depolama” kavramları analiz edilmekte ve URL-piksel takibi, yerel işleme, yalnızca IP adresine dayalı izleme, aralıklı ve aracılı nesnelerin interneti raporlaması ile benzersiz tanımlayıcılar gibi yaygın izleme tekniklerini içeren kullanım senaryolarına yer verilmektedir.

 

* Fransa Veri Koruma Otoritesi (CNIL), uygulama programlama arayüzü (API) veri paylaşımına yönelik tavsiyeler içeren bir çalışma yayımladı[2]. Bahse konu çalışmada, veriyi elinde bulunduran tarafların API kullanılarak paylaşılan verilerin güvenliğini sağlamaları ve hassas nitelikli verilerin paylaşılması ile ilişkili riskleri ortadan kaldırmaları gerektiği vurgulanmaktadır.

 

* Danimarka Veri Koruma Otoritesi’nin (Datatilsynet), kuruluşların karşılaştıkları yaygın güvenlik risklerine çözüm sağlamak amacıyla alınabilecek veri güvenliği önlemlerine ilişkin bir çalışma yayımladığı duyuruldu[3]. Bahse konu çalışmada; incelemelerden edinilen deneyimler, Otorite’ye bildirilen kişisel veri ihlallerinden örnekler ile Avrupa Veri Koruma Kurulunun (EDPB) rehberlerinden açıklamalar gibi unsurlara yer verildiği ve çalışmanın zaman içerisinde daha kapsamlı bir hâl almasının beklendiği belirtilmektedir.

 

* İspanya Veri Koruma Otoritesi (AEPD), biyometrik verilerin iş ile ilgili olarak ve kişisel amaçlar doğrultusunda kullanılmasına yönelik bir rehber yayımladı[4]. Biyometrik verilerinin işlenmesi konusunda çalışanların rızasının bulunup bulunmadığından bağımsız olarak işverenlerin her koşulda Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) uymaları gerektiği belirtilen rehberde, taraflar arasındaki eşitsiz durum nedeniyle “rıza”nın işlemeye dayanak oluşturamayacağı vurgulandı.

 

* Kaliforniya Eyalet Barosu, hukuk uygulamasında üretici yapay zekânın kullanımına ilişkin olarak avukatlara rehberlik sağlayıcı mahiyette bir kılavuz yayımladı[5]. Avukatların üretici yapay zekâ araçlarını kullanırken farkında olmaları gereken etik yükümlülüklere dikkat çekilmesi amaçlanan rehberde; (1) müvekkillerin gizli bilgilerinin yeterli gizlilik ve güvenlik korumasına sahip olmayan üretici yapay zekâ araçlarına girilmemesi ve müvekkillerin bilgilerinin anonimleştirilmesi, (2) bu araçlar kullanılmadan önce modelin nasıl çalıştığı/sınırlamaları/veri kullanım uygulamaları vb. gibi konularda makul derecede bilgi sahibi olunması ve (3) bu teknolojinin nasıl kullanılacağı ile bu kullanımın faydaları ve riskleri gibi hususları da içerecek şekilde, süreç içerisinde üretici yapay zekâ araçlarının kullanılmasının planlandığı konusunda müvekkile bilgi verilmesi gibi hususlar vurgulanmaktadır.

 

Haberler

 

* AB’de verilere adil erişim ve veri kullanımına yönelik uyumlaştırılmış kurallara ilişkin “Veri Yasası” (Data Act) kabul edildi[6]. AB genelindeki tüm ekonomik sektörlerde üretilen verilere kimlerin erişebileceği ve bu verileri kimlerin kullanabileceği konusunda yeni kurallar getiren düzenleme ile temelde dijital ortamdaki aktörler arasında veriden elde edilen değerin tahsisinde adalet sağlanması, rekabetçi bir veri piyasasının teşvik edilmesi, veriye dayalı inovasyon için fırsatlar sunulması ve verilerin herkes için daha erişilebilir bir hâle getirilmesi amaçlanmaktadır.

 

* İtalya Veri Koruma Otoritesi (Garante) tarafından yapılan açıklamada, yapay zekâ algoritmalarının eğitilmesinde kullanılmak üzere büyük miktarda kişisel verinin çevrim içi olarak toplanması uygulamalarına yönelik araştırma başlatıldığı duyuruldu[7]. Bu kapsamda, “veri kazıma” olarak da bilinen uygulamaların önüne geçmek için çevrim içi internet siteleri tarafından “yeterli önlemler” alınıp alınmadığının değerlendirilmesinin amaçlandığı belirtilirken özel olarak herhangi bir şirkete işaret edilmedi.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), ülkede en çok ziyaret edilen bazı internet sitelerine, çerez uygulamalarını veri koruma düzenlemelerine uygun hâle getirmeleri ve aksi takdirde yaptırımlarla karşılaşacakları yönünde uyarıda bulunulduğunu duyurdu[8]. Otorite tarafından yapılan açıklamada bahse konu şirketlerin isimleri ve sayıları belirtilmemekle birlikte, bu internet sitelerinin mevcut yasalara uygun hâle getirilmesi için 30 günlük süre tanındığı ve bu süre içerisinde uygulamalarında değişikliğe gitmeyen şirketlerin ayrıntılarını da içerecek şekilde konuya ilişkin olarak önümüzdeki ocak ayında bir güncelleme paylaşılacağı ifade edildi.

 

* Google, aktif olmayan kullanıcı hesaplarının silinmeye başlanacağını duyurdu[9]. Unutulan ve kullanılmayan hesapların ele geçirilme olasılığının daha yüksek olduğu gerekçesine dayalı olarak uygulamaya konulan bu değişikliğe ilişkin olarak Şirket tarafından yapılan açıklamada; “bir kez oluşturulan ve bir daha kullanılmayan” hesaplardan başlanılarak aşamalı bir yaklaşım izleneceği, bir hesapta oturum açmanın ya da e-posta göndermenin hesabın “aktif” olarak kabul edilmesi için yeterli olacağı ve çoğu durumda bu işlemlerin bir hesabı iki yıl süreyle daha aktif tutacağı ifade edildi. 

 

[1] https://edpb.europa.eu/news/news/2023/edpb-provides-clarity-tracking-techniques-covered-eprivacy-directive_en, 15.11.2023.

[2] https://iapp.org/news/a/cnil-releases-data-sharing-guidance/, 28.11.2023. Otorite tarafından paylaşılan içeriği görüntülemek için bkz. https://www.cnil.fr/fr/api-les-recommandations-de-la-cnil-sur-le-partage-de-donnees, 24.11.2023.

[3] https://iapp.org/news/a/danish-dpa-releases-privacy-safeguard-catalog/, 29.11.2023. Otorite tarafından paylaşılan içeriği görüntülemek için bkz. https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/nov/nyt-katalog-over-sikkerhedsforanstaltninger, 28.11.2023.

[4] https://iapp.org/news/a/aepd-releases-guidance-on-biometric-data-usage/, 27.11.2023. Otorite tarafından paylaşılan içeriği görüntülemek için bkz. https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-una-guia-sobre-la-utilizacion-de-datos, 23.11.2023.

[5] https://www.calbar.ca.gov/Attorneys/Conduct-Discipline/Ethics/Ethics-Technology-Resources, 16.11.2023.

[6] https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/?utm_source=dsms-auto&utm_medium=email&utm_campaign=Data+Act%3a+Council+adopts+new+law+on+fair+access+to+and+use+of+data, 27.11.2023.

[7] https://www.reuters.com/world/europe/italys-privacy-regulator-looks-into-online-data-gathering-train-ai-2023-11-22/, 22.11.2023.

[8] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/11/commissioner-warns-uk-s-top-websites-to-make-cookie-changes/, 21.11.2023.

[9] https://www.bbc.com/news/technology-67578655, 30.11.2023.