Seçilmiş Güncel Gelişmeler 40

* Avrupa Birliği Adalet Divanı’nın (ABAD) C-203/22 sayılı Kararında, otomatik yollarla gerçekleştirilen kredi değerlendirmesi kapsamında, ilgili kişinin kendisi hakkında alınan kararın nasıl verildiğine dair açıklama talep etme hakkına sahip olduğu ve bu açıklamanın, ilgili kişinin kararı anlamasına ve itiraz etmesine imkân tanıyacak nitelikte olması gerektiğine hükmedilmiştir[1].

Karara konu olayda; Avusturya’daki bir mobil telefon operatörü, bir müşterinin kredi notunun yetersiz olduğu gerekçesiyle sözleşme yapmasına izin vermeyi reddetmiş ve bu kararı, Dun&Bradstreet Austria tarafından otomatik yollarla gerçekleştirilen bir kredi değerlendirmesine dayandırmıştır. ABAD, otomatik karar alma sürecinde hangi kişisel verilerin kullanıldığını ve bu verilerin nasıl değerlendirildiğini ilgili kişinin anlayabilmesi için uygulanan prosedürü ve ilkeleri veri sorumlusunun açıklaması gerektiğini belirtmiş; ancak yalnızca algoritmanın kendisinin paylaşılmasının yeterince açık ve anlaşılır bir açıklama oluşturmayacağını vurgulamıştır. Bunun yanı sıra, sağlanacak bilginin üçüncü kişilere ait verileri veya ticari sırları içermesi durumunda, veri sorumlusunun bu bilgiyi yetkili denetim otoritesine veya mahkemeye sağlaması gerektiği belirtilmiştir.

* Avrupa Sağlık Veri Alanı’na ilişkin 2025/327 sayılı Tüzük, 05.03.2025 tarihli AB Resmî Gazetesi’nde yayımlandı[2]. Genel olarak bakıldığında; AB genelinde elektronik sağlık verilerinin kullanımı ve değişimi konusunda ortak bir çerçeve oluşturmayı amaçlayan bu düzenleme, bireylerin kişisel elektronik sağlık verilerine erişimini ve bu veriler üzerinde sahip oldukları kontrolü artırırken, aynı zamanda belirli verilerin birtakım amaçlar (örneğin; kamu yararı, bilimsel araştırma) doğrultusunda yeniden kullanılmasına olanak tanımaktadır.

Bu çerçevede Bahse konu Tüzük ile;

• Bireyler, sınır ötesi sağlık hizmetlerinde kullanılmak üzere elektronik sağlık verilerine erişebilecek, bunları kontrol edebilecek ve paylaşabilecek (birincil kullanım),

• Sağlık verilerinin araştırma, inovasyon, politika oluşturma ve düzenleyici faaliyetler için güvenli ve güvenilir bir şekilde yeniden kullanılması sağlanacak (ikincil kullanım),

• Elektronik sağlık kaydı (EHR) sistemleri için tek bir pazar oluşturularak hem birincil hem de ikincil kullanım desteklenecektir.

Tüzük, 26.03.2025 tarihinde yürürlüğe girecek ve ardından kademeli olarak uygulanmaya başlanacaktır.

* Avrupa Komisyonu, temel hakları ihlal etmeleri nedeniyle AB değerlerine aykırı kabul edilen ve AB Yapay Zekâ Tüzüğü’nün (AI Act) 5. maddesi kapsamında yasaklanan yapay zekâ uygulamalarına ilişkin olarak yol gösterici mahiyette bir rehber yayımladı[3].

* Avrupa Komisyonu, AB Yapay Zekâ Tüzüğü’nün (AI Act) uygulanmasını kolaylaştırmak amacıyla “yapay zekâ sistemi” tanımına ilişkin yol gösterici mahiyette bir rehber yayımladı[4]. Sağlayıcıların ve diğer ilgililerin, bir yazılım sisteminin “yapay zekâ sistemi” olarak nitelendirilmesinin mümkün olup olmadığını belirlemelerine yardımcı olması amaçlanan Rehber’in, zaman içerisinde ortaya çıkan deneyimler, yeni sorular ve kullanım durumları ışığında gerektiği şekilde güncelleneceği ifade edildi.

* Avrupa Parlamentosu Araştırma Servisi (EPRS), AB Yapay Zekâ Tüzüğü (AI Act) ile AB Genel Veri Koruma Tüzüğü (GDPR) arasındaki etkileşimin ve algoritmik ayrımcılığın bu düzenlemeler çerçevesinde nasıl ele alındığının incelendiği bir çalışma yayımladı[5]. Genel olarak bakıldığında AB Yapay Zekâ Tüzüğü, bireylerin kişisel verilerinin korunması hakkı da dâhil olmak üzere temel hak ve özgürlüklere saygılı bir yaklaşım benimserken; aynı zamanda insan merkezli, güvenilir ve sürdürülebilir yapay zekânın teşvik edilmesini amaçlamaktadır.

Bu kapsamda söz konusu çalışmada; AB Yapay Zekâ Tüzüğü’nün özellikle yüksek riskli yapay zekâ sistemlerinde ayrımcılığın ve ön yargının azaltılmasını hedeflediği, bu doğrultuda belirli koşullar altında özel nitelikli kişisel verilerin işlenmesine izin verildiği, diğer yandan AB Genel Veri Koruma Tüzüğü’nün bu tür verilerin işlenmesi konusunda daha kısıtlayıcı bir yaklaşım benimsediği ve bu durumun AB Yapay Zekâ Tüzüğü’nün uygulanmasında birtakım belirsizlikler ortaya çıkardığı ifade edilmektedir. Bu çerçevede, iki düzenleme arasında uyum sağlanmasının ek rehberlik sunulmasını veya mevzuatta değişiklik yapılmasını gerektirebileceği belirtilmektedir.

* Avrupa Veri Koruma Kurulu (EDPB), çocuklara yönelik yaş güvencesi hakkında bir bildiri yayımladı[6]. Veri koruma ilkelerine uygun bir şekilde hareket ederken küçükleri korumak için tutarlı bir Avrupa yaş güvencesi yaklaşımı sağlanmasının amaçlandığı bildiride, bir bireyin yaşı veya yaş aralığı belirlenirken kişisel verilerin uyumlu bir şekilde işlenmesi için on ilke sıralanmaktadır.

* Avrupa Veri Koruma Kurulu (EDPB), ChatGPT görev gücünün kapsamının yapay zekâ denetimlerini de kapsayacak şekilde genişletilmesine karar verildiğini duyurdu[7].

* Avrupa Parlamentosu Araştırma Servisi (EPRS), çocukların üretken yapay zekâ araçlarını kullanımından elde edilebilecek fırsatlar ile karşılaşılabilecek zorlukların ele alındığı bir çalışma yayımladı[8]. Çalışmada öne çıkan bulgulardan biri, 2024 yılında Birleşik Krallık’ta yapılan bir ankete göre, 13-18 yaş arasındaki çocukların %77.1’inin üretken yapay zekâ araçlarını kullandığı, bu oranın yetişkinlere kıyasla iki kat daha yüksek olduğu ve bu araçların en yaygın kullanım alanlarının ödevlere yardımcı olmak ve eğlence amaçlı içerik aramak olduğu yönündedir.

Bahse konu çalışmada, üretken yapay zekâ araçlarının eğitim süreçlerine entegre edilmesinden sağlanabilecek faydalar arasında; uygun bir şekilde kullanıldığında çocukların yaratıcılığını ve problem çözme becerilerini geliştirebileceği ve farklı öğrenme ihtiyaçlarını destekleyerek engelli bireyler için eğitimi daha erişilebilir hâle getirebileceği sayılmaktadır.

Bu araçların eğitimde kullanılmasının beraberinde getirdiği temel zorluklar kapsamında ise;

• Üretken yapay zekâ ile oluşturulan içeriklerin artışının dezenformasyon tehlikesini yükseltebileceği, özellikle deepfake gibi manipülatif içeriklere karşı çocukların savunmasız olduğu dikkate alındığında siber zorbalık veya çevrim içi istismar gibi tehditlere daha açık hâle gelebilecekleri,

• Üretken yapay zekânın veri analizi ve otomasyon yeteneklerinin çocukların araştırma, yazma ve akıl yürütme becerilerini zayıflatabileceği,

• Yapay zekâ araçlarını günlük hayatta etkili bir şekilde kullanmak için gerekli beceri ve bilgiler ile bunlarla ilişkili riskler ve fırsatlar konusunda farkındalığa sahip olunmasını ifade eden yapay zekâ okuryazarlığına ilişkin eğitimin, ilkokullardan ziyade daha yaygın olarak ortaokullarda ve üniversitelerde sunulduğu, diğer yandan bu araçların cinsiyet eşitsizliğini derinleştirebileceği ve dil verisi sınırlı dillerde eğitilen modellerin güvenlik açısından riskler barındırabileceği belirtilmektedir.

* Birleşik Krallık Veri Koruma Otoritesi (ICO), “rıza veya ödeme” modelini uygulayan ya da uygulamayı düşünen kuruluşlara rehberlik sağlamak amacıyla bir rehber yayımladı[9]. Genel olarak bakıldığında bu model kapsamında bireylere üç seçenek sunulmaktadır: (1) çevrim içi bir ürün veya hizmete erişmek için kişisel verilerinin kişiselleştirilmiş reklamcılık amacıyla kullanılmasına rıza göstermek, (2) kişisel verileri kullanılmadan belirli bir ücret ödeyerek ilgili ürün veya hizmete erişmek ve (3) ilgili ürün veya hizmeti kullanmamayı tercih etmek.

Bahse konu Rehber’de, bu modelin geçerli bir rızanın şartlarını karşılayıp karşılamadığını değerlendirmek için dikkate alınması gereken temel faktörleri içeren bir çerçeve sunulmaktadır. Ayrıca, bu modeli uygulayan kuruluşların bireylerin kişiselleştirilmiş reklamcılığa özgür iradeyle rıza verdiklerini gösterebilmeleri gerektiği vurgulanmakta ve veri koruma etki değerlendirmesi kapsamında modelin incelenmesi gerektiği belirtilmektedir. Bu süreçte, yürürlükteki veri koruma ilkeleri ile Otorite’nin ilgili diğer rehberlerinin de dikkate alınması gerektiği ifade edilmektedir. 

* Fransa Veri Koruma Otoritesi (CNIL), çok uluslu şirketlerin Bağlayıcı Şirket Kuralları (BCR) uygulama süreçlerini değerlendirmelerine yardımcı olmak amacıyla bir öz değerlendirme aracı yayımladı[10]. Söz konusu aracın, BCR sürecinin olgunluk seviyesini test ederek uyumluluk skoru ve bir eylem planı sunduğu, böylece şirketlerin başvuru öncesinde eksikliklerini gidermelerine olanak tanıdığı belirtilmektedir.

* Avrupa Veri Koruma Kurulu (EDPB), 2025 yılı Koordineli Uygulama Çerçevesi (Coordinated Enforcement Framework) eylemini başlattı[11]. 2024 yılında ilgili kişilerin erişim hakkına odaklanan EDPB, 2025 yılında AB Genel Veri Koruma Tüzüğü’nün (GDPR) 17’nci maddesi kapsamında “silme hakkı (unutulma hakkı)”nın uygulanmasının inceleneceğini duyurdu. Bu çerçevede, yıl içerisinde otuz iki veri koruma otoritesinin çeşitli sektörlerdeki veri sorumlularını inceleyeceği, verilerin silinmesi yönündeki taleplerin veri sorumlularınca nasıl ele alındığının ve bu hakkın kullanılmasına ilişkin koşullar ile istisnaların nasıl uygulandığının değerlendirileceği, süreç boyunca veri koruma otoritelerinin bulgularını paylaşacakları ve gerekli analizleri gerçekleştirecekleri belirtildi.

* ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), diferansiyel mahremiyet kavramına ilişkin olarak uygulayıcılara yönelik bir çalışma yayımladı[12]. Söz konusu çalışmada, diferansiyel mahremiyet piramidinde dikkate alınması gereken faktörler tanımlanmakta ve mahremiyet riskleri ile diferansiyel mahremiyetin uygulanmasında karşılaşılan yaygın tuzaklara dikkat çekilmektedir.

* Güneydoğu Asya Ülkeleri Birliği (ASEAN), verilerin anonimleştirilmesine ilişkin bir rehber yayımladı[13]. Bahse konu Rehber’de; anonimleştirmeye ilişkin terminoloji, temel kavramlar, anonimleştirme süreci, temel anonimleştirme teknikleri, anonimleştirmeye ilişkin yaygın olarak yanlış anlaşılan hususlar ve anonimleştirme araçları gibi başlıklar ele alınmaktadır.

* Özel nitelikli kişisel verilerin işlendiği durumlarda veri sorumlularının doğru hukuki sebeplere dayalı olarak özel nitelikli kişisel veri işlemeleri ve 6698 Sayılı Kanun’a uygun şekilde yükümlülüklerini yerine getirmeleri için yol gösterici olması amacıyla Kurumumuz tarafından hazırlanan “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber” yayımlandı[14].

* Ülkemizde, Siber Güvenlik Kanunu Teklifi’nin 13 maddesi TBMM Genel Kurulunda kabul edildi[15].

[1] https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-02/cp250022en.pdf, 27.02.2025.

[2] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202500327, 05.03.2025.

[3] https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act, 04.02.2025.

[4] https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application, 06.02.2025.

[5] https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)769509, 26.02.2025.

[6] https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-12025-age-assurance_en, 12.02.2025.

[7] https://www.edpb.europa.eu/news/news/2025/edpb-adopts-statement-age-assurance-creates-task-force-ai-enforcement-and-gives_en, 12.02.2025.

[8] https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)769494, 18.02.2025.

[9] https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/online-tracking/consent-or-pay/about-this-guidance/, 23.01.2025.

[10] https://www.cnil.fr/en/binding-corporate-rules-bcr-cnil-publishes-self-assessment-tool, 14.02.2025.

[11] https://www.edpb.europa.eu/news/news/2025/cef-2025-launch-coordinated-enforcement-right-erasure_en, 05.03.2025.

[12] https://www.nist.gov/publications/guidelines-evaluating-differential-privacy-guarantees, 06.03.2025.

[13] https://asean.org/book/asean-guide-on-data-anonymisation/, Ocak 2025.

[14] https://www.kvkk.gov.tr/Icerik/8184/Ozel-Nitelikli-Kisisel-Verilerin-Islenmesine-Iliskin-Rehber, 26.02.2025.

[15] https://www.aa.com.tr/tr/politika/siber-guvenlik-kanunu-teklifi-tbmm-genel-kurulunda-/3501263, 06.03.2025.