Seçilmiş Güncel Gelişmeler 37

 

* 2024/2847 sayılı Siber Dayanıklılık Yasası, 20.11.2024 tarihli AB Resmî Gazetesi’nde yayımlandı[1]. İnternete bağlı ürünlerin piyasaya sürülmesinden önce güvenli olmasını sağlamak amacıyla, dijital bileşenlere sahip ürünler için güvenlik gereksinimlerine yer verilen düzenlemenin temel unsurları arasında;

 

  • Donanım ve yazılım ürünlerinin tasarım, üretim ve piyasaya sunulma süreçlerinde AB genelinde siber güvenlik gereklilikleri getirilmesi (örneğin, düzenlemenin gerekliliklerine uygun olduğunu göstermek üzere ürünlerde CE işareti bulunması),

 

  • Doğrudan veya dolaylı olarak başka bir cihaza veya ağa bağlı olan tüm ürünler için bu düzenlemenin geçerli olması,

 

  • Tüketicilerin, uygun siber güvenlik özelliklerine sahip donanım ve yazılım ürünleri seçebilmelerinin sağlanması gibi hususlar yer almaktadır.

 

Düzenleme, AB Resmî Gazetesi’nde yayımlanmasını takip eden yirminci günde yürürlüğe girecek ve 11.12.2027 tarihi itibarıyla tüm hükümleriyle uygulanacaktır.

 

* Avrupa Birliği Siber Güvenlik Ajansı (ENISA), AB genelinde siber güvenlik risklerine karşı daha dirençli bir ekosistem oluşturulması amacıyla hazırlanan 2022/2555 sayılı NIS2 Direktifi’nin Uygulama Mevzuatı kapsamında, dijital altyapı sektöründeki kritik kuruluşlar için siber güvenlik tedbirlerine ilişkin hazırlanan teknik rehber taslağını yayımladı[2]. Direktif’in gerekliliklerin yerine getirilmesine dair ilave tavsiyeler, gerekliliklerin karşılanıp karşılanmadığını değerlendirmek için kullanılabilecek örnekler ve güvenlik gerekliliklerinin mevcut standartlara uyumunu gösteren tablolar gibi hususlara yer verilmesi amaçlanan Rehber’e ilişkin geri dönüşlerin 09.12.2024 tarihine kadar iletilebileceği belirtilmektedir.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), işe alım süreçlerinde yapay zekâ araçlarının kullanımına ilişkin gerçekleştirilen denetimlerden ulaşılan bulguların değerlendirildiği bir rapor yayımladı[3]. Raporda, iş arayan kişilerin haklarının korunmasını sağlamak amacıyla, yapay zekâ araçlarını geliştirenler, sağlayıcılar ve bu araçları kullanan profesyonellere yönelik çeşitli tavsiyeler paylaşılmaktadır.

Bu çerçevede, işe alım süreçlerinin desteklenmesi amacıyla yapay zekâ araçlarının kullanılmasından önce değerlendirilmesi gereken temel hususlar ise Otorite tarafından şu şekilde belirtilmektedir:

  • Veri koruma etki değerlendirmesi gerçekleştirilmesi,

 

  • Kişilerin verilerin hangi hukuki sebebe dayalı olarak işlendiğinin belirlenmesi,

 

  • Sorumlulukların belgelendirilmesi ve veri işleme talimatlarının net bir şekilde ortaya konulması,

 

  • Yapay zekâ araçlarının ortaya çıkarabileceği ön yargıların sağlayıcı tarafından yeterince azaltılıp azaltılmadığının kontrol edilmesi,

 

  • Yapay zekâ aracının şeffaf bir şekilde kullanılıp kullanılmadığının tespit edilmesi,

 

  • Yapay zekâ aracının amacına ulaşması için asgari seviyede kişisel veri elde edildiğinden emin olunması ve işleme amacı kapsamında gerekli olmayan işlemelerin nasıl sınırlandırılabileceğinin belirlenmesidir.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), verilerin korunmasına ilişkin olarak genomik teknolojilerin ortaya çıkarabileceği risklerin incelendiği bir rapor yayımladı[4]. Raporda, DNA kullanılarak hastalıkların tahmin edilmesi ve önlenmesi, sigorta poliçelerinin genetik sağlık göstergelerine göre ayarlanması ve fitness planlarının kişiselleştirilmesi gibi genomik veriden önemli faydalar elde edilebilecek günlük kullanım alanlarına değinilirken, aynı zamanda genomik teknolojilerin inovatif potansiyeline de dikkat çekilmektedir.

 

Genomik teknolojilerin gündeme getirdiği olası veri koruma endişeleri arasında ise şu hususlar yer almaktadır:

  • Genomik verilerin hangi durumlarda kişisel veri olarak kabul edilebileceğine ilişkin zorluklar (özellikle ölen kişilere ait genomik veriler veya başlangıçta önemsiz/ilişkilendirilemez görünmekle birlikte araştırmalar ilerledikçe kişisel veri niteliği kazanabilecek veriler gibi),

 

  • Bazı genomik verilerin anonim hâle getirilmesinin neredeyse imkânsız olması nedeniyle bu verilerin kötüye kullanılmasına veya bireylerin kimliklerinin tanımlanmasına yönelik riskler,

 

  • Genomik verilerin sigorta veya kolluk kuvvetleri gibi alanlarda kullanılmasının, özellikle mevcut ön yargıları güçlendirebilecek modellerle birleştirilmesi hâlinde sistemik ayrımcılığa yol açma potansiyeli,

 

  • Sağlık hizmetleri gibi sektörlerdeki kuruluşlar arasında veri paylaşımının, bireylerin genomik verilerinin nasıl ve hangi amaçla kullanıldığını anlamalarını zorlaştırması,

 

  • Genomik verilerin doğası gereği aile üyeleriyle ilgili olması nedeniyle, bir kişi hakkında paylaşılan verilerin başka bir kişi hakkındaki hassas nitelikli bilgileri ortaya çıkarabilmesi,

 

  • Genomik veri kullanımının orijinal amacının ötesine genişleme potansiyelinin, veri minimizasyonu ve amacın sınırlandırılması ilkelerine ilişkin endişeler yaratması.

 

Diğer yandan Otorite, tasarımda mahremiyet ilkesini benimsemeleri ve “düzenleyici koruma alanına” (regulatory sandbox) katılmaları yönünde geliştiricilere çağrıda bulunmakta; ayrıca genomik veriler ve mahremiyet konularında bireylerin bilgilendirilmesi ve endişelerinin anlaşılması adına kamu ile etkileşimin artırılmasının hedeflendiğini belirtmektedir.

 

* Avustralya Veri Koruma Otoritesi (OAIC), özel sektör kuruluşlarının internet sitelerinde üçüncü taraf takip pikselleri kullanırken yasal yükümlülüklerini yerine getirmelerine yardımcı olmak amacıyla bir rehber yayımladı[5].

 

* Avrupa Veri Koruma Denetçisi (EDPS), gelişmekte olan teknolojilere ilişkin trendlerin öngörüldüğü “TechSonar”ın 2024-2025 yılına ilişkin raporunu yayımladı[6]. Bu sayıda;

  • Almayla Artırılmış Üretim (Retrieval-augmented generation)

 

  • Cihaz Üzerinde Yapay Zekâ (On-device AI)

 

  • Makine Öğrenmesinde Unutma (Machine Unlearning)

 

  • Çok Modlu Yapay Zekâ (Multimodal AI)

 

  • Ölçeklenebilir Gözetim (Scalable Oversight)

 

  • Nöro-Sembolik Yapay Zekâ (Neuro-symbolic AI) teknolojilerine yer verilmektedir.

 

* Birleşik Krallık Bilim, İnovasyon ve Teknoloji Bakanlığı’na bağlı Sorumlu Teknoloji Benimseme Birimi ile Birleşik Krallık Veri Koruma Otoritesi (ICO) tarafından, mahremiyet artırıcı teknolojilere ilişkin “Maliyet-Fayda Farkındalık Aracı” yayımlandı[7]. Kuruluşların, çeşitli mahremiyet artırıcı teknolojileri benimsemeleri ile ilişkili maliyetleri ve faydaları anlamalarına ve bunları değerlendirmelerine yardımcı olmak amacıyla tasarlandığı belirtilen araç; homomorfik şifreleme, güvenli çok taraflı hesaplama ve diferansiyel mahremiyet gibi gelişmekte olan mahremiyet artırıcı teknolojilere odaklanmaktadır. Bunun yanı sıra, kuruluşların bu teknolojileri değerlendirirken dikkate alabilecekleri faktörlere ilişkin bir kontrol listesi de ilgililere sağlanmaktadır.

* Bağımsız uzmanlar tarafından hazırlanan, genel amaçlı yapay zekâ uygulama kurallarının ilk taslağı yayımlandı[8].

 

* Avustralya’da, 16 yaş altı çocukların sosyal medya kullanımının yasaklanmasını öngören bir yasa tasarısı Meclis’e sunuldu[9]. Yasağı ihlal eden şirketlere 49.5 milyon Avustralya dolarına (32.2 milyon ABD doları) kadar para cezası uygulanması öngörülen Tasarı’nın; Snapchat, TikTok, Instagram ve X gibi platformları kapsadığı belirtilirken, sağlık ve eğitim hizmeti sunan platformlar (Headspace, Google Classroom ve YouTube gibi) için istisnalar içerdiği ifade edilmektedir. 

 

* Kurumumuz tarafından hazırlanan “Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu” yayımlandı[10]. Bahse konu dokümanda genel olarak; yapay zekâ sohbet robotlarının ne işe yaradığı, bu robotlar aracılığıyla hangi kişisel verilerin işlendiği ve sohbet robotu uygulamaları geliştirirken nelere dikkat edilmesi gerektiği hususlarına yer verilmektedir.

 

* Türkiye’nin ilk kuantum bilgisayarı “QuanT” tanıtıldı[11].

 

* Çocuk haklarının korunması ve geliştirilmesi misyonu çerçevesinde Türkiye İnsan Hakları ve Eşitlik Kurumu (TİHEK) tarafından hazırlanmış olan TİHEK Çocuk web sitesinin kullanıma açıldığı duyuruldu[12]. Çocukların haklarını öğrenmeleri, kendilerini ifade edebilmeleri ve hak ihlalleriyle karşılaştıklarında nereden destek alabileceklerini bilmeleri için önemli bir araç niteliği taşıdığı belirtilen internet sitesinde, çocuk haklarıyla ilgili bilgi materyallerinin sunulduğu ve öğretmenler, veliler ve bu alanda çalışan herkes için rehber niteliğinde kaynakların yer aldığı ifade edilmektedir.

 

[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202402847, 20.11.2024.

[2] https://www.enisa.europa.eu/news/asking-for-your-feedback-enisa-technical-guidance-for-the-cybersecurity-measures-of-the-nis2-implementing-act, 07.11.2024.

[3] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/11/thinking-of-using-ai-to-assist-recruitment-our-key-data-protection-considerations/, 06.11.2024.

[4] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/11/privacy-must-still-come-first-were-calling-for-collaboration-with-developers-as-report-reveals-future-innovations-and-data-protection-concerns-in-genomics/, 07.11.2024.

[5] https://www.oaic.gov.au/news/media-centre/oaic-publishes-guidance-on-tracking-pixels-and-privacy-obligations, 04.11.2024.

[6] https://www.edps.europa.eu/data-protection/our-work/publications/reports/2024-11-15-techsonar-report-2025, 15.11.2024.

[7] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/11/using-privacy-enhancing-technologies-pets-to-unlock-value-from-data-responsibly/, 15.11.2024.

[8] https://digital-strategy.ec.europa.eu/en/library/first-draft-general-purpose-ai-code-practice-published-written-independent-experts, 14.11.2024.

[9] https://www.engadget.com/social-media/australia-introduces-a-bill-that-would-ban-children-under-16-from-social-media-174547712.html, 21.11.2024.

[10] https://www.kvkk.gov.tr/Icerik/8047/Sohbet-Robotlari-ChatGPT-Ornegi-Hakkinda-Bilgi-Notu, 08.11.2024.

[11] https://www.aa.com.tr/tr/bilim-teknoloji/turkiyenin-ilk-kuantum-bilgisayari-quant-tanitildi/3400083, 21.11.2024.

[12] https://www.tihek.gov.tr/tihek-cocuk-web-sitesi-lansmani-gerceklestirildi, 21.11.2024. Bahse konu internet sitesine ulaşmak için bkz. https://cocuk.tihek.gov.tr/