Seçilmiş Güncel Gelişmeler 38

 

* Avrupa Veri Koruma Kurulu (EDPB), yapay zekâ modellerinin geliştirilmesi ve yerleştirilmesinde (deployment) kişisel verilerin kullanımına ilişkin 28/2024 sayılı Görüşünü yayımladı[1]. İrlanda Veri Koruma Otoritesi’nin talebi üzerine hazırlanan bahse konu Görüş kapsamında;

  • Yapay zekâ modellerinin ne zaman ve nasıl anonim olarak kabul edilebileceği,
  • Meşru menfaatin, yapay zekâ modellerinin geliştirilmesi ve kullanılmasında hukuki dayanak olarak kullanılıp kullanılamayacağı ve ne şekilde kullanılabileceği,
  • Hukuka aykırı şekilde işlenen kişisel veriler kullanılarak geliştirilen yapay zekâ modellerine ne olacağı konuları ele alınmaktadır.

 

Anonimlik konusunda; bir yapay zekâ modelinin anonim olup olmadığının veri koruma otoriteleri tarafından her bir vaka özelinde değerlendirilmesi gerektiği ifade edilmektedir. Diğer yandan bir modelin “anonim” kabul edilebilmesi için; (1) modelin geliştirilmesinde kullanılan verilerle ilişkili bireylerin doğrudan veya dolaylı olarak belirlenmesinin ve (2) sorgular yoluyla modelden bu kişisel verilerin çıkarılabilmesinin oldukça düşük bir ihtimal olmasının arandığı belirtilmektedir. Bu çerçevede Görüş metninde, anonimliği ortaya koymak için kullanılabilecek yöntemlere dair bağlayıcı olmayan ve sınırlı sayma şeklinde gösterilmeyen bir liste de sunulmaktadır.

Meşru menfaat konusunda ise yapay zekâ modellerinin geliştirilmesi ve yerleştirilmesi için kişisel verilerin işlenmesinde meşru menfaatin uygun bir yasal dayanak olup olmadığını değerlendirmek için veri koruma otoriteleri tarafından dikkate alınması gereken genel hususlar açıklanmaktadır. Meşru menfaatin uygun bir yasal dayanak olarak kullanılmasının değerlendirmesine yardımcı olmak üzere bir denge testi önerilmekte ve bu kapsamda meşru bir menfaatin varlığı, bu menfaatin sağlanması için işlemenin kesinlikle gerekli olması ile bu menfaatin bireylerin hak ve özgürlükleriyle dengelenmesinin arandığı belirtilmektedir.

Diğer yandan Görüş kapsamında bireylerin, kişisel verilerinin belirli amaçlarla kullanılmasını makul bir şekilde bekleyip bekleyemeyeceğini değerlendirmek üzere bir dizi kriter sunulmakta olup bu kriterler arasında;

 

  • Kişisel verilerin kamuya açık olup olmadığı,
  • Birey ile veri sorumlusu arasındaki ilişkinin niteliği,
  • Hizmetin niteliği,
  • Kişisel verilerin toplandığı bağlam,
  • Verilerin toplandığı kaynak,
  • Modelin olası diğer kullanımları,
  • Bireylerin, kişisel verilerinin çevrim içi olduğunun farkında olup olmadığı gibi unsurlar sayılmaktadır.

 

Ayrıca denge testinin, bireyler üzerindeki olumsuz etki nedeniyle işlemenin gerçekleştirilmemesi gerektiğini göstermesi durumunda ise bu olumsuz etkiyi sınırlandırmak için hafifletici tedbirler alınabileceği belirtilmekte olup bu tedbirlerin teknik önlemler, şeffaflık artırıcı adımlar veya bireylerin haklarını kullanmasını kolaylaştırıcı yöntemler gibi unsurları içerebileceği ifade edilmektedir.

Son olarak ise hukuka aykırı bir şekilde işlenmiş kişisel verilerle geliştirilen bir yapay zekâ modeli, uygun şekilde anonimleştirildiği takdirde, bu durumun hukuka aykırılık kaynaklı sorunları giderebileceği ve fakat uygun/etkili bir anonimleştirme yapılmadığı takdirde ise modelin yerleştirilmesinin hukuka uygunluğu üzerinde etkili olabileceği belirtilmektedir.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), üretici yapay zekâya ilişkin olarak geçtiğimiz ocak ayında kamuoyu görüşüne açılan metinlere son hâlinin verildiğini duyurdu ve bu çerçevede sonuç raporunu yayımladı[2]. Söz konusu Rapor’da; (1) üretici yapay zekâ modellerini eğitmede kullanılan web kazıma işleminin yasal dayanağı, (2) üretici yapay zekâ yaşam döngüsünde amacın sınırlandırılması, (3) eğitim verilerinin ve model çıktılarının doğruluğu, (4) üretici yapay zekâ modellerinde bireylerin haklarını kullanmalarının sağlanması ve (5) üretici yapay zekâ tedarik zincirinde sorumluluğun belirlenmesi olmak üzere beş temel konu başlığı ele alınmaktadır.

 

* Bağımsız uzmanlar tarafından hazırlanan genel amaçlı yapay zekâ uygulama kurallarının 14.11.2024 tarihinde yayımlanan ilk taslağına yönelik iletilen geri bildirimler doğrultusunda hazırlanan ikinci taslak metin yayımlandı[3].

 

* Avrupa Parlamentosu Araştırma Servisi (EPRS), AB Siber Dayanıklılık Yasası’na ilişkin bilgilendirici bir doküman yayımladı[4]. Bu çerçevede bahse konu dokümanda; düzenlemenin kabulüne ilişkin süreç, düzenlemenin amaç ve kapsamı, temel hükümleri ve düzenlemeye yönelik ileri sürülen çeşitli görüşler gibi başlıklara yer verilmektedir.

Genel olarak bakıldığında 2024/2847 sayılı AB Siber Dayanıklılık Yasası, cihazlara veya ağlara doğrudan ya da dolaylı veri bağlantısı içeren dijital unsurlara sahip tüm ürünler için siber güvenlik yükümlülükleri getirmekte, tasarımda ve varsayılan olarak siber güvenlik ilkelerini tanıtmakta ve ürünlerin yaşam döngüsü boyunca özen yükümlülüğü öngörmektedir.

20.11.2024 tarihli AB Resmî Gazetesi’nde yayımlanan düzenleme, 11.12.2027 tarihi itibarıyla tüm hükümleriyle uygulanacaktır.

 

* Fransa Veri Koruma Otoritesi (CNIL), iletilen şikâyetler doğrultusunda yanıltıcı olduğu değerlendirilen çerez banner’larını bir ay içerisinde değiştirmeleri yönünde web sitesi yayıncılarına talimat verildiğini duyurdu[5]. Konuya ilişkin yapılan açıklamada, çerezlerin kullanımının reddedilmesinin bu çerezlerin kabul edilmesi kadar kolay bir şekilde yapılamadığı ve belirsiz ya da yanıltıcı tasarımlarla ilgili kişilerin çerez kullanımına rıza vermeye teşvik edildiği belirtildi.

Bunun yanı sıra, tespit edilen yanıltıcı uygulamalar şu hususları içermektedir:

–    Tıklanabilir bir bağlantı olarak sunulan reddetme seçeneğinin renk, yazı tipi boyutu ve stili ile kabul etme seçeneğine kıyasla orantısız bir şekilde daha az belirgin hâle getirilmesi,

– Çerezleri reddetme seçeneğinin kolaylıkla fark edilemeyecek şekilde konumlandırılması, diğer paragraflarla arasında yeterli boşluk bırakılmaksızın sunulması ve görsel olarak diğer bilgilerden ayırt edilmesinin zorlaştırılması,

–   Çerezleri kabul etme seçeneğinin banner içerisinde birden fazla kez sunulmasına karşın reddetme seçeneğinin yalnızca bir kez ve dolaylı ifadelerle sunulması (“Gerekli olmayan amaçları reddediyorum” gibi).

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), depolama ve erişim teknolojilerinin kullanımına ilişkin güncellenmiş rehberin kamuoyu görüşüne açıldığını ve 14.03.2025 tarihine kadar geri bildirimlerin iletilebileceğini duyurdu[6].

 

* İrlanda Veri Koruma Otoritesi (DPC), okullarda çocukların kişisel verileri işlenirken veri koruma yükümlülüklerinin yerine getirilmesine yardımcı olmak amacıyla okullara yönelik bir kaynak seti hazırlandığını ve sektördeki veri sorumlularının 31.01.2025 tarihine kadar geri bildirimlerini iletebileceklerini duyurdu[7]. Bu çerçevede kaynak dokümanda; veri koruma hukukuna ilişkin birtakım temel hususlar hakkında yol gösterici bilgiler ile eğitim sektörüne yönelik olarak Otorite’ye sıklıkla iletilen soruların yanıtlarını içeren bir bölüm yer almakta ve dokümanın ekinde ise veri koruma etki değerlendirmeleri için örnek şablon, gizlilik politikasına hangi bilgilerin dahil edileceğine dair bir infografik ve erişim taleplerine nasıl yanıt verilebileceğine ilişkin bir kontrol listesi sunulmaktadır.

 

* Kurumumuz tarafından belirli periyotlarda hazırlanan Bülten’in 6. sayısı yayımlandı[8]. “Kişisel Verilerin Korunması ve Siber Güvenlik” konulu bu sayıda;

            – Siberay ile röportaj,

            – Siber güvenlik farkındalık ayı kapsamında bilgilendirici içerik,

            – Siber zorbalığa ilişkin bilgilendirme,

            – Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2024-2028),

            – Genel olarak kişisel veri güvenliğine ilişkin tedbirler,

            – NIS2 Direktifi,

            – Kişisel verilerin korunması ile ilgili öne çıkan gelişmeler,

            – Bizden haberler

başlıklarına yer verilmektedir.

 

* 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yapılan 02.03.2024 tarihli değişiklikler neticesinde kabahat niteliğindeki fiillerin gerçekleşme zamanı ile Kişisel Verileri Koruma Kurumuna yapılan şikayet tarihi ve Kurul Kararının verileceği zaman bakımından farklılıklar olması nedeniyle Kanun’un zaman bakımından uygulanması bağlamında uygulamada oluşan tereddütlerin giderilmesi amacıyla Kurumumuz tarafından hazırlanan “6698 sayılı Kişisel Verilerin Korunması Kanunu’nda Yapılan 02.03.2024 Tarihli Değişiklik Kapsamında Kabahatlerin Zaman Bakımından Uygulanması”na ilişkin bilgi notu yayımlandı[9].

 

* Türk Dil Kurumu, Ankara Üniversitesi ile birlikte “2024 Yılının Kelimesi/Kavramı”nın seçileceğini duyurdu. Bu amaçla alanında uzman isimlerden oluşan Değerlendirme Kurulu tarafından belirlenen kelimeler/kavramlar Türk Dil Kurumunun genel ağ sayfasında oylamaya açıldı ve “2024 Yılının Kelimesi/Kavramı” olarak “kalabalık yalnızlık” kavramının seçildiği açıklandı[10].

Oylamada sunulan kelimeler “kalabalık yalnızlık”, “yapay zekâ”, “algoritma”, “dijital yorgunluk”, “merhamet”, “yabancılaşma”, “yozlaşma” olarak belirlenmişti.

 

 

 

[1] https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_en, 18.12.2024.

[2] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/12/generative-ai-developers-it-s-time-to-tell-people-how-you-re-using-their-information/, 12.12.2024.

[3] https://digital-strategy.ec.europa.eu/en/library/second-draft-general-purpose-ai-code-practice-published-written-independent-experts, 19.12.2024.

[4] https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2022)739259, 20.12.2024.

[5] https://www.cnil.fr/en/dark-patterns-cookie-banners-cnil-issues-formal-notice-website-publishers, 12.12.2024.

[6] https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-consultation-on-the-draft-updated-guidance-on-storage-and-access-technologies/, 20.12.2024.

[7] https://dataprotection.ie/en/news-media/latest-news/dpc-publishes-data-protection-toolkit-schools, 19.12.2024.

[8] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/9a224548-1876-4065-aba8-24a0acb5bff6.pdf, Aralık 2024.

[9] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/9aa8ca8d-86f3-417d-a412-765d5dd11ff4.pdf, 19.12.2024.

[10] https://tdk.gov.tr/icerik/basindan/2024-yilinin-kelimesi-kavrami-kalabalik-yalnizlik/, 23.12.2024.