Seçilmiş Güncel Gelişmeler 3

Rehber/Çalışma/Düzenleyici İşlemler

 

*Avrupa Parlamentosu Araştırma Servisi (EPRS), algoritmik karar alma sistemlerinde kullanılan veri setlerinin kalitesinin denetlenmesine ilişkin çalışmasını yayımladı [1]. Bu çalışmada, makine öğrenmesi uygulamalarına genel bir bakış ile yaklaşılmakta, bu uygulamalarda söz konusu olabilecek ön yargılar hukuki bir bakış açısıyla analiz edilmekte ve belirlenen zorlukların çözümüne ilişkin çeşitli politika seçenekleri ortaya konulmaktadır.

 

*Avrupa Parlamentosu Araştırma Servisi Bilimsel Öngörü Birimi (STOA) “Yaklaşan Teknolojik Fırtınanın Etik ve Toplumsal Açıdan Zorlukları” ismini taşıyan bir çalışma yayımladı [2]. 5G, 6G, robotik, yapay zekâ, nesnelerin interneti, blok zinciri, sanal gerçeklik vs. gibi teknolojiler aracılığıyla daha önce benzeri görülmemiş miktarda toplanan kişisel verilerin ve dijital teknolojilerin hayatımızı her zamankinden daha fazla etkileyeceğine dikkat çekilen çalışmada, bu çerçevede karşılaşılabilecek zorlukları etkili bir şekilde ele almak için değerlendirilebilecek politika seçeneklerine genel bir bakış sunulmaktadır.

 

*Fransa Veri Koruma Otoritesi (CNIL), yaş doğrulama sistemlerinin tasarlanmasına yönelik tavsiyelerini yayımladı. GDPR’ın veri minimizasyonu ve amaçla sınırlılık ilkelerine dikkat çeken Otorite, “daha etkili, güvenilir ve mahremiyet dostu cihazlar” sağlamak için uygun bir sistem kurulmasının “acil” olduğu yönünde belirlemelerde bulundu [3].

 

*Birleşik Krallık Veri Koruma Otoritesi (ICO), bağlayıcı şirket kurallarının (binding corporate rules) veri aktarım mekanizması olarak kullanılmasına ilişkin güncellenmiş bir rehber yayımladı [4]. “Schrems II” kararı dikkate alınarak veri sorumluları ile veri işleyenlere yönelik güncellenen rehberde, bağlayıcı şirket kuralları “uygun önlemleri uygulama konusunda kararlılığı gösteren bir ‘altın standart’ transfer mekanizması” olarak nitelendirildi.

 

*İspanya Veri Koruma Otoriesi (AEPD), GDPR kapsamında biyometrik verilerin kullanılmasına ilişkin bilgilendirici bir metin yayımladı [5]. Bahse konu metinde Otorite tarafından, “yeterlilik, orantılılık ve gereklilik” dâhil olmak üzere bir dizi değerlendirme faktörüne dikkat çekilerek biyometrik sistemler için farklı sınıflandırma kriterleri bulunduğu vurgulandı.

 

*Avrupa Veri Koruma Denetçiliğinin (EDPS), Temmuz 2022 bülteni yayımlandı [6]. Bu sayıda; Avrupa Komisyonunun varlık kurtarma ve müsadereye ilişkin düzenleme önerisine yönelik paylaşılan görüş, Avrupa Sağlık Veri Alanına (European Health Data Space) ilişkin olarak Avrupa Veri Koruma Kurulu (EDPB) ile birlikte hazırlanan ortak görüş, AB’nin yeni finansman kurallarında kişisel verilerin işlenmesi konusundaki hususların netleştirilmesi, değiştirilen Europol düzenlemesinin verilerin korunmasına ilişkin denetim üzerindeki etkisi ve siber güvenliğe ilişkin uyumlu hâle getirilmiş kurallara duyulan ihtiyaç gibi konulara yer verildi.

 

 

*Singapur Veri Koruma Otoritesi (PDPC), “Blok Zinciri Tasarımında Kişisel Verilerin Korunmasına İlişkin Hususlar” isimli bir rehber yayımladı [7]. Bahse konu rehberde, en genel şekliyle blok zinciri teknolojisi, bu teknolojinin temel işleyişi ile kişisel verilerin korunması açısından karşılaşılabilecek riskler açıklanmakta ve ülkedeki ilgili mevzuata uygun şekilde blok zinciri tasarlanması konusunda yönlendirmelerde bulunulmaktadır.

 

 

*Amerika Birleşik Devletleri Senatosu Ticaret, Bilim ve Ulaşım Komitesi, çocukların ve gençlerin çevrim içi mahremiyetlerinin korunmasına yönelik iki teklifi onayladı [8]. Bu çerçevede ilk olarak, 13 yaş altındaki çocukların mahremiyetlerini korumaya yönelen “Çocukların Çevrim içi Mahremiyetinin Korunması Yasası” (COPPA) olarak adlandırılan düzenleme, 17 yaşına kadar olan çocukları kapsayacak şekilde genişletildi. İkinci olarak ise “Çocukların Çevrim içi Güvenliği Yasası” (KOSA) kapsamında değişiklikler gerçekleştirilerek teknoloji şirketleri tarafından kullanılan algoritmalarda şeffaflığın artırılması ve çocukların çevrim içi ortamda zarar görmesini önleyici tedbirler alınması gerekliliği üzerinde duruldu.

 

Veri Koruma Otoriteleri/Mahkeme Kararları

 

*Fransa’da Yüksek Mahkeme, vergi otoriteleri ve gümrüklerin, yasa dışı satış veya vergi kaçakçılığı ile mücadele etmek için sosyal medya ağları üzerinden “serbestçe erişilebilen” verileri toplamasında ve bu tür verilerin kullanımına dayanan dolandırıcılık tespit programlarından yararlanılmasında hukuka aykırılık bulunmadığına karar verdi [9].

 

*Danimarka Veri Koruma Otoritesi (Datatilsynet), veri güvenliğine ilişkin alınan önlemlerin yeterli olmadığı gerekçesiyle bir hukuk firmasına yaklaşık 67.000 avro para cezası uygulanmasını önerdi [10]. Karara konu olayın başlangıcını, bilgisayar korsanları tarafından ilgili hukuk firmasının sunucularına erişilerek bu sunucuların şifrelenmesi ve veri sorumlusu Şirket tarafından olaya ilişkin olarak Mart 2020’de Otorite’ye veri ihlal bildiriminde bulunulması oluşturmaktadır. Yapılan inceleme sonucunda Otorite tarafından; (1) bilgi teknolojileri sistemlerine uzaktan erişim kurarken temel güvenlik önlemlerini uygulamada veri sorumlusunun başarısız olduğu, (2) özellikle hassas nitelikteki büyük miktarda kişisel veri içeren sistemlerde bu tür verilerin ele geçirilmesinin ilgili kişilerin hakları açısından yüksek risk taşıdığı durumlarda veri sorumlularının yetkisiz erişimi önleme adına özel güvenlik önlemleri almaları gerektiği, (3) bu kapsamda bilgi teknolojileri sistemlerine uzaktan erişim oluştururken veri sorumlularının bu sistemlerde oturum açmak için çok faktörlü kimlik doğrulaması gibi önlemleri almış olmalarının önem taşıdığı belirtildi.

 

Genel Haberler

 

*Google, üçüncü taraf çerezlerin devre dışı bırakılmasının 2024 yılına ertelendiğini duyurdu [11]. Şirket tarafından yapılan açıklamada, üçüncü taraf çerezlerin yerini almak üzere geliştirilen teknolojilerin test edilmesi için daha fazla süre gerektiğinin ve reklamverenlerin bu değişime uyum sağlamaları için zamana ihtiyaç duyduklarının alınan geri bildirimlerden anlaşıldığı belirtildi.

 

*IBM tarafından yaptırılan araştırmada, bir veri ihlalinin ortalama maliyetinin 4.4 milyon dolara yükseldiği ortaya konuldu [12]. Mart 2021-Mart 2022 arasında dünya genelinde gözlemlenen 550 veri ihlali dayanak alınan bu araştırmada, bir veri ihlalinin ortalama maliyetinin bir önceki yıla kıyasla %2.6 ve 2020’den bu yana %13 arttığı belirlendi. Ayrıca, çalışma kapsamında yer alan kuruluşların yarısından fazlasının, ihlalle ilişkili maliyetleri telafi etmek için, sundukları ürün ve hizmetlerin fiyatlarını artırdıkları tespit edildi.

 

[1]https://www.europarl.europa.eu/thinktank/en/document/EPRS_STU(2022)729541, 25.07.2022.

[2]https://www.europarl.europa.eu/thinktank/en/document/EPRS_STU(2022)729543, 25.07.2022.

[3] https://iapp.org/news/a/cnil-offers-age-verification-recommendations/, 27.07.2022. Otorite tarafından yapılan açıklama için bkz. https://www.cnil.fr/fr/controle-de-lage-sur-les-sites-web-la-cnil-invite-developper-des-solutions-plus-efficaces-et, 26.07.2022.

[4] https://ico.org.uk/for-organisations/guide-to-binding-corporate-rules/controller-guidance/, 27.07.2022.

[5] https://iapp.org/news/a/aepd-discusses-biometric-data-use/, 26.07.2022. Otorite tarafından yayımlanan metin için bkz. https://www.aepd.es/es/prensa-y-comunicacion/blog/datos-biometricos-evaluacion-perspectiva-proteccion-datos, 26.07.2022.

[6] https://edps.europa.eu/press-publications/publications/newsletters/newsletter-95_en#health, 29.07.2022.

[7] https://www.pdpc.gov.sg/help-and-resources/2022/07/guide-on-personal-data-protection-considerations-for-blockchain-design, Temmuz 2022.

[8] https://iapp.org/news/a/us-senate-committee-advances-two-childrens-privacy-bills/, 28.07.2022.

[9] https://www.euractiv.com/section/digital/news/frances-highest-court-oks-governments-online-data-collection-experiment/, 25.07.2022.

[10] https://www.dataguidance.com/news/denmark-datatilsynet-recommends-dkk-500000-fine-against, 15.07.2022. Otorite tarafından yayımlanan içerik için bkz. https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/jul/sirius-advokater-indstilles-til-boede, 14.07.2022.

[11] https://www.cnbc.com/2022/07/27/google-delays-cookie-cutting-to-2024.html, 27.07.2022.

[12] https://www.cnet.com/tech/services-and-software/average-data-breach-costs-hit-a-record-4-4-million-report-says/, 27.07.2022.