Seçilmiş Güncel Gelişmeler 31

 

Rehber/Çalışma/Düzenleyici İşlemler

 

* 6698 sayılı Kişisel Verilerin Korunması Kanununa yönelik hükümler de içeren Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 12/3/2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanmıştır[1]. Söz konusu Kanunun 33 ilâ 36 ncı maddeleri ile 6698 sayılı Kanunun 6 ncı, 9 uncu ve 18 inci maddelerinde değişiklik yapılmakta ve 6698 sayılı Kanuna yeni bir geçici madde eklenmektedir. Yapılan değişiklikler 1/6/2024 tarihinde yürürlüğe girecektir. Ancak, 6698 sayılı Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9 uncu maddesinin mevcut birinci fıkrası, maddenin değiştirilen haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam edecektir.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), kuruluşlara ceza uygulanıp uygulanmayacağı ve uygulanacak idari para cezalarının nasıl hesaplanacağı hususlarına yönelik yaklaşımların gösterildiği bir rehber yayımladı[2]. Otoritenin cezalandırma yetkisini nasıl kullandığı konusunda kuruluşlara sağlanan şeffaflığın artırılması amacına yöneldiği belirtilen çalışmada; “teşebbüs” veya kuruluşun “ekonomik varlığının” belirlenmesi gibi temel sorulara nasıl yaklaşılacağı ve uygulanacak idari para cezasının hesaplanmasında kullanılan metodoloji gibi hususlar açıklanmaktadır.

 

* AB’de ve dünya genelinde, yapay zekânın yönetişimi açısından “dönüm noktası” olarak nitelendirilebilecek olan AB Yapay Zekâ Yasası (AI Act), çeşitli yasal süreçlerin ardından 13.03.2024 tarihinde Avrupa Parlamentosu tarafından onaylanmıştır[3]. Sıradaki adım olarak; söz konusu metnin hukuki dil incelemesinden geçirilmesi ve “düzeltme prosedürü (corrigendum)” olarak adlandırılan bir prosedür yoluyla kabul edilmesi beklenmektedir. Daha sonra Yasa’nın Konsey tarafından resmi olarak onaylanması gerekmekte olup bu onayın ardından, AB Yapay Zekâ Yasası resmi olarak yasalaşmış olacaktır. Metin, AB Resmî Gazetesi’nde yayımlanmasını takip eden yirminci günde yürürlüğe girecek olmakla birlikte düzenlemelerin uygulanmasına yönelik süreçler, gruplar açısından farklılık gösterecektir.

 

* Avrupa Parlamentosu Araştırma Servisi (EPRS), Yapay Zekâ Yasası’na (AI Act) yönelik genel bir çerçeve sunulan çalışmanın güncellenmiş versiyonunu yayımladı[4]. Bu çerçevede bahse konu metinde; düzenleme ile getirilen hususlar, paydaşların/akademisyenlerin vb. buna yönelik görüşleri, düzenlemenin kabul edilmesine ilişkin süreç, düzenlemenin kapsamı ve benimsenen risk temelli yaklaşım gibi hususlara yönelik açıklamalarda bulunulmaktadır.

 

* AB düzeyinde sağlık verilerine erişilmesini ve bunların paylaşılmasını kolaylaştıracak olan “Avrupa Sağlık Veri Alanı” düzenlemesine ilişkin olarak AB Konseyi ile Avrupa Parlamentosu’nun anlaşmaya vardığı duyuruldu[5]. Üzerinde uzlaşma sağlanan metnin temel unsurları arasında;

 

– Üye devletlerin; kamu yararı, politika yapımı, istatistik ve kamu yararına yapılan araştırmalar dışında kalmak kaydıyla, sağlık verilerinin bir sağlık profesyoneli tarafından erişilmesine (birincil kullanım) veya daha sonraki kullanımlara (ikincil kullanım, her zaman sıkı koşullar altında) yönelik olarak hastaların reddetme hakkını kullanmalarına izin verebileceği,

– Hastaların, bilgilerini kısıtlamayı seçmeleri durumunda, sağlık profesyonellerinin yalnızca hayati önem taşıyan durumlarda kısıtlı sağlık verilerine erişebilecekleri,

– Üye devletlerin, araştırma amacıyla genetik veriler gibi belirli türdeki hassas verilere erişimi düzenleyen daha katı önlemler uygulayabilecekleri gibi hususlar yer almaktadır.

 

* Birleşmiş Milletler Genel Kurulu; kişisel verilerin korunmasını, yapay zekâ kullanımının ortaya çıkarabileceği risklerin izlenmesini ve insan haklarının korunmasını teşvik etmek amacıyla yapay zekâya ilişkin ilk küresel kararı oy birliği ile kabul etti[6].  Bu kapsamda yapılan açıklamada, uluslararası insan hakları hukuku çerçevesinde kullanılması mümkün olmayan veya insan haklarından yararlanma konusunda çok fazla risk oluşturan yapay zekâ sistemlerinin kullanımından kaçınılması ya da bunların kullanımının durdurulması yönünde üye devletlere ve paydaşlara çağrıda bulunuldu. Diğer yandan, bireylerin çevrim dışı ortamda sahip oldukları hakların, yapay zekâ sistemlerinin yaşam döngüsü boyunca çevrim içi olarak da korunması gerektiği gibi hususlara dikkat çekildi.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), üretici yapay zekâya ilişkin başlatılan istişare serisi kapsamında “Üretici Yapay Zekâ Yaşam Döngüsünde Amacın Sınırlandırılması” başlıklı ikinci metni yayımladı[7]. “Amacın sınırlandırılması” ilkesinin üretici yapay zekâ geliştirme bağlamında nasıl işlediğini konu alan metne ilişkin olarak 12.04.2024 tarihine kadar geri dönüşte bulunulabileceği duyuruldu. Hatırlanacak olursa, veri koruma düzenlemelerinin birtakım yönlerinin teknolojinin geliştirilmesi ve kullanılmasına nasıl uygulanması gerektiğinin incelenmesi amacıyla başlatıldığı belirtilen serinin ilk paylaşımında “Üretici Yapay Zekâ Modellerini Eğitmede Veri Kazımanın Hukuki Dayanağı” konusu ele alınmış ve verilerin doğruluğunun sağlanması ilkesine uyum sağlama konusunda beklentilerin neler olduğu ile ilgili kişilerin haklarını kullanmalarının nasıl sağlanabileceği gibi konuların da önümüzdeki süreçte inceleneceği ifade edilmişti.

 

* OECD, iş yerinde yapay zekâ kullanımının ortaya çıkarabileceği risklerin ve buna yönelik olarak uygulamaya konulabilecek yaklaşımların ele alındığı bir çalışma yayımladı[8]. Bu kapsamda çalışmada yer alan bulgular arasında;

– OECD’nin işçi ve işverenlere yönelik anketlerinden alınan cevaplara göre, beş çalışandan dördünün yapay zekânın iş yerindeki performanslarını ve beş çalışandan üçünün ise işten aldıkları keyfi artırdığı,

– Yapay zekâ kullanımından elde edilebilecek faydaların ilgili risklerin ele alınmasına bağlı olduğu,

– OECD ülkelerinde otomasyona en çok maruz kalma riski taşıyan mesleklerin, istihdamın yaklaşık %27’sini oluşturduğu,

– Artan iş yoğunluğu, verilerin toplanması/kullanılması ve artan eşitsizlik konusunda işçilerin endişelerinin bulunduğu gibi hususlar yer almaktadır.

 

* Fransa Veri Koruma Otoritesi (CNIL), kişisel verilerin güvenliğinin sağlanmasına yönelik rehberin güncellenmiş versiyonunu yayımladı[9]. Bahse konu rehberde; yapay zekâ, mobil uygulamalar, bulut bilişim ve uygulama programlama arayüzleri (API) ile bu alanlar kapsamında kişisel verilerin nasıl işlenmesi gerektiği konularına odaklanılmaktadır.

 

Kararlar

 

* Avrupa Birliği Adalet Divanı’nın kişisel verilerin korunmasına ilişkin değerlendirmelerde bulunduğu C-46/23 sayılı Kararında; bir üye devletin denetim otoritesinin, ilgili kişinin bu konuda bir talebi olmasa dahi, hukuka aykırı şekilde işlenmiş verilerin silinmesini emredebileceği ve bu şekilde bir silme işleminin, doğrudan ilgili kişiden alınan veriler ile başka bir kaynaktan elde edilen verileri kapsayabileceğine hükmedildi[10].

 

* Avrupa Birliği Adalet Divanı’nın C-61/22 sayılı Kararında; kimlik kartlarına iki parmak izinin zorunlu olarak yerleştirilmesinin, özel hayata saygı ve kişisel verilerin korunmasına ilişkin temel haklarla bağdaştığı, sahte kimlik kartı üretimi/kimlik hırsızlığı ile mücadele edilmesi ve doğrulama sistemlerinin birlikte çalışabilirliğinin sağlanması hedeflerinin bu durumu doğruladığı, bununla birlikte bahse konu tedbiri öngören düzenlemenin hukuki dayanağının doğru olmaması nedeniyle söz konusu tedbirin geçersiz kabul edilmesine hükmedilmiş ve doğru yasal temele dayalı yeni bir düzenlemenin kabul edilebilmesi için AB’nin yasama organına 31.12.2026 tarihine kadar süre tanınmıştır[11].

 

Haberler

 

* Avrupa Veri Koruma Denetçisi (EDPS) tarafından yapılan basın açıklamasında, Avrupa Komisyonu’nun (Komisyon) Microsoft 365 kullanımının birtakım temel veri koruma düzenlemelerini ihlal ettiğinin tespit edildiği ve buna yönelik düzenleyici önlemlerin alınması yönünde Komisyon’un talimatlandırıldığı ifade edildi[12]. Bu kapsamda; Microsoft 365 kullanılırken hangi tür kişisel verilerin toplanacağının ve bunların hangi amaçlar doğrultusunda kullanılacağının veri sorumlusu olan Komisyon ile Microsoft arasında akdedilen sözleşmede yeterli şekilde gösterilmediği, kişisel verilerin aktarımında çeşitli mevzuat hükümlerinin ihlal edildiği, bu bağlamda yeterlilik kararı kapsamında olmayan ülkelere yapılacak aktarımın 09.12.2024 tarihinden itibaren geçerli olmak üzere durdurulması yönünde Komisyonun talimatlandırılmasına karar verildiği belirtildi.

 

* Avrupa Komisyonu’nun; risklerin yönetilmesi ve azaltılması, içerik denetimi ve şikâyetlerin ele alınma mekanizması, reklam ve tavsiye sistemlerinin şeffaflığı ile bağlantılı alanlarda Dijital Hizmetler Yasası’nın ihlal edip edilmediğinin değerlendirilmesini sağlamak üzere AliExpress hakkında işlem başlattığı duyuruldu[13]. Hatırlanacak olursa, AliExpress’in Avrupa Birliği’nde aylık 104.3 milyon aktif kullanıcıya sahip olduğunun beyan edilmesinin ardından Nisan 2023’te AB Dijital Hizmetler Yasası kapsamında “çok büyük çevrim içi platform (VLOP)” olarak belirlenmiş ve bahse konu Yasa’da düzenlenen bir dizi yükümlülüğe uyum sağlamak üzere dört aylık bir süre tanınmış idi.

 

* Cognition Labs tarafından geliştirilen, dünyanın ilk yapay zekâ yazılım mühendisi “Devin” tanıtıldı. İnsan müdahalesine gerek kalmaksızın, çok çeşitli mühendislik görevlerini yerine getirmek üzere tasarlandığı belirtilen Devin’in, yazılım mühendisliği alanındaki en ileri teknolojileri bünyesinde barındırdığı ifade edilmektedir[14]. Bu kapsamda Devin’in yetenekleri arasında; yeni teknolojileri hızlı bir şekilde öğrenme, otonom bir şekilde sıfırdan uygulama oluşturma, kodlardaki hataları belirleme ve düzeltme, açık kaynaklı yazılımları iyileştirme ve sürdürülmesine katkıda bulunma, mühendislerle gerçek zamanlı olarak iş birliği yapabilme, zaman içerisinde performansını ve verimliliğini geliştirme gibi hususlar sayılmaktadır.

 

* Çin Bilimler Akademisi bünyesinde çalışan bir grup bilim insanının, karmaşık beyin cerrahisi prosedürlerinde doktorlara yardımcı olmak üzere tasarlanmış bir yapay zekâ aracını piyasaya sürmeye hazırlandığı bildirildi[15]. Beyin cerrahlarının “daha etkili klinik teşhis” sağlamalarına ve yeterli referanslara dayanarak “daha iyi tıbbi kararlar” almalarına yardımcı olması amaçlanan “CARES Copilot 1.0” isimli bu yapay zekâ modelinin, hâlihazırda Hong Kong ve Çin’deki birçok hastanede dahili testlerden geçtiği ve doktorların ameliyat planlaması ile sonrasındaki yönetimi için iş akışlarına dahil edildiği belirtilmektedir.

 

* Üretici yapay zekâ modellerine yönelik yapılan bir araştırmada; bu modeller görünüşte ırkçı olmasalar dahi, Afro-Amerikan İngilizcesi söz konusu olduğunda gizliden gizliye ırkçılık yaptıkları ve bu dili konuşan kişilerin ölüme mahkum edilme olasılığının varsayımsal olarak daha yüksek şekilde belirlendiği ortaya konuldu[16]. Bu kapsamda OpenAI, Meta ve Google’ın büyük dil modelleri üzerinde yapılan araştırmada; Afro-Amerikan İngilizcesi konuşan kişilerin çok çeşitli işlerle ilişkilendirilmesi olasılığının daha düşük olduğu, bu kişilerin aşçılık, askerlik veya koruma gibi üniversite diploması gerektirmeyen işlerle eşleştirilme olasılıklarının daha yüksek olduğu ve varsayımsal sorular üzerinden gerçekleştirilen sorgulamalar neticesinde Standart Amerikan İngilizcesi konuşan kişiler ile karşılaştırıldığında bu kişilerde mahkumiyet oranının daha yüksek şekilde belirlendiği ortaya çıkarıldı.

 

* Florida’da, 14 yaşın altındaki çocukların sosyal medya kullanımını yasaklayan Yasa tasarısı onaylandı[17]. 1 Ocak 2025 tarihinde yürürlüğe girecek olan Yasa; çevrim içi platformların, belirlenen yasal yaşın altındaki kişilerin sahip oldukları tüm hesapları silmelerini ve 14 ile 15 yaşındaki çocukların sosyal medya hesabı açabilmelerinde ise ebeveyn izni alınmasını gerektirmektedir. ABD’de çocuklara yönelik en kısıtlayıcı sosyal medya yasaklarından biri olarak nitelendirilen bahse konu Yasa’ya eleştiri getiren çevrelerce, bu Yasa’nın ABD Anayasası’nın Birinci Değişikliğini ihlal ettiği ileri sürülürken; Yasa’nın savunucuları ise çocukların çevrim içi ortamda karşılaşabilecekleri zararlardan ve zihinsel sağlıklarına yönelik risklerden korunmasını sağlayacağını ifade etmektedirler.

 

 

[1] https://www.resmigazete.gov.tr/eskiler/2024/03/20240312-1.htm, 12.03.2024.

[2] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/03/ico-publishes-new-fining-guidance/, 18.03.2024.

[3] https://www.europarl.europa.eu/news/en/press-room/20240308IPR19015/artificial-intelligence-act-meps-adopt-landmark-law, 13.03.2024.

[4] https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)698792, 11.03.2024.

[5] https://www.consilium.europa.eu/en/press/press-releases/2024/03/15/european-health-data-space-council-and-parliament-strike-provisional-deal/, 15.03.2024.

[6] https://news.un.org/en/story/2024/03/1147831, 21.03.2024.

[7] https://ico.org.uk/about-the-ico/what-we-do/our-work-on-artificial-intelligence/generative-ai-second-call-for-evidence/  

[8] https://www.oecd.org/science/using-ai-in-the-workplace-73d417f9-en.htm, 15.03.2024.

[9] https://www.cnil.fr/en/practice-guide-security-personal-data-2024-edition, 26.03.2024.

[10] https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-03/cp240048en.pdf, 14.03.2024.

[11] https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-03/cp240050en.pdf, 21.03.2024.

[12] https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en, 11.03.2024.

[13] https://ec.europa.eu/commission/presscorner/detail/en/ip_24_1485, 14.03.2024.

[14] https://dataconomy.com/2024/03/13/cognition-ai-devin/, 13.03.2024.

[15] https://www.scmp.com/tech/tech-trends/article/3254994/hong-kong-research-centre-under-china-academy-sciences-launches-ai-tool-assist-complex-brain-surgery, 12.03.2024.

[16] https://gizmodo.com/ai-study-african-american-english-racism-chatgpt-1851317017, 07.03.2024.

[17] https://globalnews.ca/news/10385088/florida-social-media-ban-under-14-ron-desantis/, 26.03.2024.