Seçilmiş Güncel Gelişmeler 43

Avrupa Veri Koruma Kurulu (EDPB), blokzinciri teknolojileri aracılığıyla kişisel verilerin işlenmesine ilişkin hazırlanan rehberin kamuoyu görüşüne açıldığını duyurdu[1]. Bahse konu rehberde; blokzinciri teknolojisinin işleyişi, bu teknoloji kapsamında gerçekleştirilen veri işleme faaliyetlerinin hukuka uygunluğu ile ilgili kişilerin haklarını kullanmalarının sağlanması gibi başlıklara yer verilmekte ve veri işleme faaliyetinde rol alan aktörlere yönelik çeşitli tavsiyelerde bulunulmaktadır.

Birleşik Krallık Veri Koruma Otoritesi (ICO), kişisel verilerin güvenli bir şekilde işlenmesini sağlamaya yönelik teknik bir önlem olarak “şifreleme” yöntemine ilişkin güncellenmiş taslak rehberin kamuoyu görüşüne açıldığını duyurdu[2]. Taslak rehbere ilişkin geri bildirimlerin, 24 Haziran 2025 tarihine kadar iletilebileceği belirtilmektedir.

Avrupa Birliği Adalet Divanı, “Önemli Kararlar Seçkisi”nin 2024 yılına ait versiyonunu yayımladı[3]. Geçtiğimiz yıl içerisinde verilen önemli kararların özetlerini içeren bu seçkide, kişisel verilerin korunmasına ilişkin seçilmiş kararlara da yer verilmektedir.

Bu çerçevede; elektronik haberleşme verilerinin işlenmesi, biyometrik ve genetik veriler, AB Genel Veri Koruma Tüzüğü’nün kapsamı, veri sorumlusu kavramı ile Tüzük’ün ihlali durumunda başvurulabilecek hukuki yollara ilişkin seçilmiş kararlar açıklanmaktadır.

Avrupa Birliği Adalet Divanı, kişisel verilerin korunmasına ilişkin olarak çeşitli ana başlıklar altında sınıflandırılan çok sayıda kararın özetini içeren bir doküman yayımladı[4]. Bu kapsamda bahse konu dokümanda;

– Avrupa Birliği Temel Haklar Şartı ile tanınan kişisel verilerin korunması hakkı,

– Genel düzenlemeler çerçevesinde kişisel verilerin işlenmesi,

– Sektöre özgü düzenlemeler çerçevesinde kişisel verilerin işlenmesi,

– Kişisel verilerin üçüncü ülkelere aktarılması,

– İnternet ortamında kişisel verilerin korunması,

– Ulusal denetim otoriteleri

başlıkları altında, kişisel verilerin korunması alanında Avrupa Birliği hukukunun gelişimine yön veren çok sayıda karar özetlenmektedir.

Avrupa Veri Koruma Kurulu (EDPB) ve Avrupa Veri Koruma Denetçisi (EDPS), AB Genel Veri Koruma Tüzüğü kapsamında kayıt tutma yükümlülüklerinin basitleştirilmesi önerisine ilişkin olarak Avrupa Komisyonuna hitaben yazılan mektubu yayımladı[5].

Avrupa Veri Koruma Kurulu (EDPB) ile Avrupa Veri Koruma Denetçisi (EDPS), 2024 yılına ilişkin faaliyet raporlarını yayımladı[6].

Avrupa Komisyonu, AB Yapay Zekâ Tüzüğü’nün 4. maddesi kapsamında düzenlenen yapay zekâ okuryazarlığına ilişkin bir soru-cevap dokümanı yayımladı[7]. Söz konusu madde uyarınca; yapay zekâ sistemlerinin sağlayıcıları ile bu sistemleri -kişisel amaçlı ve mesleki niteliği bulunmayan faaliyetler dışında- kendi yetki alanları dahilinde kullanan kişi/kuruluşlar (deployers), çalışanlarının ve kendi adlarına bu sistemlerin kullanımıyla ilgilenen diğer kişilerin yeterli düzeyde yapay zekâ okuryazarlığına sahip olmalarını temin etmekle yükümlüdür.

ABD Ulusal Güvenlik Ajansı; Avustralya, Yeni Zelanda ve Birleşik Krallık’ın siber güvenlik kurumlarıyla birlikte hazırlanan “Yapay Zekâda Veri Güvenliği: Yapay Zekâ Sistemlerinin Eğitimi ve İşletilmesinde Kullanılan Verilerin Güvenliğini Sağlamaya Yönelik En İyi Uygulamalar” başlıklı belgeyi yayımladı[8]. Bahse konu belgede, yapay zekâ sistemlerinin yaşam döngüsü ile bu çerçevede karşılaşılabilecek riskler ele alınmakta ve NIST Yapay Zekâ Risk Yönetimi Çerçevesi ile uyumlu bir şekilde yapay zekâ geliştirme, test etme ve işletme süreçlerinde verilerin güvenliğini sağlamak için öneriler sunulmaktadır.

Bu çerçevede başlıca öneriler arasında; güvenilir veri kaynaklarının kullanılması, veri bütünlüğünün korunması, dijital imzaların uygulamaya alınması, erişim kontrollerinin kullanılması, verilerin şifrelenmesi ve devamlı şekilde risk değerlendirmeleri yapılması yer almaktadır.

Avrupa Komisyonu, Dijital Hizmetler Tüzüğü (DSA) kapsamında küçüklerin çevrim içi ortamda korunmasına yönelik olarak hazırlanan taslak rehber hakkında kamuoyunun görüşüne başvurulduğunu duyurdu[9]. Taslak rehber; çocukların dijital ortamda karşı karşıya kalabilecekleri risklerin önlenmesine yönelik olarak profillemeye dayalı reklamların yasaklanması, kullanıcı mahremiyeti ve güvenliğin tasarım aşamasında gözetilmesi, yaşa uygun hizmet sunumu ve ölçülülük ilkesi çerçevesinde açıklamalar içermektedir.

Bunun yanında, çevrim içi platformların risk temelli bir değerlendirme yaklaşımı benimsemeleri, hizmetlerinde meydana gelen önemli değişiklikler sonrasında risk analizlerini güncellemeleri ve sürekli izleme mekanizmaları ile şeffaf bir yönetişim yapısı tesis etmeleri yönünde tavsiyelerde bulunulmaktadır. Taslak rehbere ilişkin geri bildirimlerin, 10 Haziran 2025 tarihine kadar iletilebileceği belirtilmektedir.

Avrupa Komisyonu ve OECD’nin ortak girişimi olarak “İlköğretim ve Ortaöğretim için Yapay Zekâ Okuryazarlığı Çerçevesi” geliştirilmektedir[10]. Eğitimciler ve paydaşlardan geri bildirim almak üzere hazırlanan taslak çerçeve ile yapay zekâ okuryazarlığının ne anlama geldiği ve eğitim süreçlerinin bu çağda nasıl dönüşmesi gerektiği konularında bir diyalog geliştirilmesi amaçlanmaktadır.

Siber güvenlik uzmanlarına göre, bir çocuğun yalnızca 20 fotoğrafı, yapay zekâ destekli deepfake teknolojileri aracılığıyla dijital olarak taklit edilmesi için yeterli[11]. Birleşik Krallık’ta 16 yaşından küçük çocukları olan 2.000 ebeveynle yapılan bir araştırma, ebeveynlerin her ay çocuklarına ilişkin ortalama 63 fotoğrafı sosyal medya platformlarında paylaştığını ortaya koymaktadır. Bu durum, çocukları yalnızca kimlik hırsızlığı ve dolandırıcılık gibi tehditlerle değil; aynı zamanda psikolojik sömürü, çevrim içi şantaj ve istismar gibi önemli risklerle de karşı karşıya bırakmaktadır.

Bu bağlamda, çevrim içi ortamda çocukların kişisel verilerinin korunması adına ebeveynlerin;

– Kişisel veri, mahremiyet, istenmeyen e-posta ve çevrim içi güvenlik gibi konulara ilişkin olarak çocuklarını bilgilendirmeleri,

– Çocuklara yönelik kişisel veri işleyen ürün ve hizmetlerin bilgilendirici metinlerini dikkatle okumaları,

– Çocuklarının kişisel verilerini çevrim içi ortamlarda herkese açık bir şekilde paylaşmaktan kaçınmaları,

– Güçlü parolalar kullanmaları ve çocuklarını da güçlü parola oluşturma konusunda bilgilendirmeleri,

– Çocuklarının kullandığı bilgisayar, cep telefonu veya oyun konsollarında internet filtreleme gibi koruyucu teknolojilerden yararlanabileceklerinin farkında olmaları

önem taşımaktadır.

Çin’de, dünyanın ilk yapay zekâ hastanesi olan Agent Hospital kamuoyuna tanıtıldı[12]. Tsinghua Üniversitesi Yapay Zekâ Endüstrisi Araştırma Enstitüsü (AIR) tarafından geliştirilen sistemde, 21 farklı tıbbi branşta görev yapan 42 yapay zekâ destekli “doktor” yer alıyor. Büyük dil modeli (LLM) tabanlı akıllı ajanlar tarafından yönlendirilen bu doktorlar, hastalığın başlangıcından tedavi sonrası izleme süreçlerine kadar tüm klinik döngüyü otonom biçimde simüle edebiliyor. Bu süreç; ön değerlendirme, kayıt, muayene, teşhis, tedavi, reçeteleme, rehabilitasyon ve takip aşamalarını kapsıyor.

Sistemin yalnızca birkaç gün içerisinde 10.000’den fazla sanal hastayı değerlendirdiği, insan doktorların haftada ortalama 100 hasta ile ilgilendiği dikkate alındığında, bu performansın yaklaşık iki yıllık bir hasta sayısına karşılık geldiği ve %93.06 oranında doğruluk sağlandığı ifade ediliyor. AIR araştırmacıları, bu teknolojinin yakın gelecekte pratik sağlık uygulamalarında kullanılabilecek olgunluğa ulaştığını belirtmekle beraber, insan hekim ile yapay zekâ iş birliğinin sınırlarının belirlenmesi ve bu sistemin mevcut düzenlemelerle tam uyum içerisinde geliştirilmesi temel bir öncelik olarak öne çıkıyor.

6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuattaki tanımlar ile ulusal çalışmalar başta olmak üzere; Avrupa Birliği düzenlemeleri ile Avrupa Veri Koruma Kurulu (EDPB), Avrupa Veri Koruma Denetçisi (EDPS), IAPP ve benzeri kuruluşların çalışmaları arasından seçilen yüz kavrama ilişkin tanımın bir araya getirilmesiyle oluşturulan “Kişisel Verilerin Korunması Terimler Sözlüğü” paylaşıldı[13]. Kişisel verilerin korunması ile ilişkili olan seçilmiş kavramları bir araya getirerek ilgililere erişim kolaylığı sağlamayı amaçlayan çalışmaya, Kurumumuzun internet sitesi üzerinden ulaşılabilmektedir.

[1] https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-022025-processing-personal-data_en, 14.04.2025.

[2] https://ico.org.uk/media2/bv1hbcra/encryption-all-2-0-4.pdf, 13.05.2025.

[3] https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-04/en_grand_arrets_2024.pdf.

[4] https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-10/fiche_thematique_-_donnees_personnelles_-_en.pdf.

[5] https://www.edpb.europa.eu/news/news/2025/simplification-record-keeping-obligation-edpb-and-edps-adopt-letter-eu-commission_en, 08.05.2025.

[6] Avrupa Veri Koruma Kurulu tarafından yayımlanan rapor için bkz. https://www.edpb.europa.eu/system/files/2025-04/edpb-annual-report-2024_en.pdf; Avrupa Veri Koruma Denetçisi tarafından yayımlanan rapor için bkz. https://www.edps.europa.eu/system/files/2025-04/edps_annual_report-2024_en.pdf.

[7] https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers, 07.05.2025.

[8] https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4192332/nsas-aisc-releases-joint-guidance-on-the-risks-and-best-practices-in-ai-data-se/, 22.05.2025.

[9] https://digital-strategy.ec.europa.eu/en/library/commission-seeks-feedback-guidelines-protection-minors-online-under-digital-services-act, 13.05.2025.

[10] https://ailiteracyframework.org/wp-content/uploads/2025/05/AILitFramework_ReviewDraft.pdf, Mayıs 2025.

[11] https://www.independent.ie/irish-news/criminals-need-just-20-images-of-one-child-to-produce-deep-fake-cyber-experts-say/a42584428.html, 14.05.2025.

[12] https://www.indy100.com/science-tech/china-first-ai-hospital-42-ai-doctors-2672029016, 16.05.2025.