Seçilmiş Güncel Gelişmeler 45

 

* Kişisel Verileri Koruma Kurulunun 10.06.2025 tarih ve 2025/1072 sayılı “Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında İlke Kararı” 26.06.2025 tarih ve 32938 sayılı Resmî Gazete’de yayımlandı[1].

 

* Birleşik Krallık’ta, Haziran 2025-Haziran 2026 arasında kademeli şekilde uygulanacak olan “Veri (Kullanım ve Erişim) Yasası” kapsamında Birleşik Krallık Genel Veri Koruma Tüzüğü (UK GDPR), 2018 Veri Koruma Yasası (DPA) ile Gizlilik ve Elektronik Haberleşme Düzenlemeleri’nde (PECR) önemli değişiklikler gerçekleştirildi[2]. Bu doğrultuda Birleşik Krallık Veri Koruma Otoritesi (ICO), bahse konu düzenlemeye ilişkin yol göstermek amacıyla hazırlanan rehberi paylaştı[3].

 

* İrlanda Veri Koruma Otoritesi (DPC), 2024 yılına ilişkin faaliyet raporu ile birlikte, aynı yıl içerisinde ele alınan otuz vakanın kısaca incelendiği bir dokümanı ve bireylerin kişisel verilerin korunmasına ilişkin yaklaşımlarını değerlendirmek amacıyla geçtiğimiz mayıs ayında gerçekleştirilen anketin bulgularını yayımladı[4].

 

* Fransa Veri Koruma Otoritesi (CNIL), kamuoyu görüşüne başvurulmasının ardından, yapay zekâ sistemlerinin geliştirilmesinde kişisel veri işlemenin hukuki dayanağı olarak “meşru menfaat”in temel alınmasına ilişkin tavsiyelerini yayımladı[5].

 

* OECD, mahremiyet artırıcı teknolojilerin yapay zekâ modellerinin geliştirilmesi ve paylaşılmasındaki rolüne ilişkin bir rapor yayımladı[6]. Bahse konu raporda mahremiyet artırıcı teknolojilerin iki temel kullanım durumu vurgulanmakta olup bunlardan ilki; güvenilir yürütme ortamları, federe öğrenme ve güvenli çok taraflı hesaplama gibi teknolojiler aracılığıyla, girdi verilerinin asgari ve gizli biçimde kullanılması yoluyla yapay zekâ modellerinin performansının artırılmasıdır. Diğeri ise; diferansiyel mahremiyet, güvenilir yürütme ortamları ve homomorfik şifreleme gibi araçlar kullanılarak yapay zekâ modellerinin gizliliği koruyacak şekilde ortaklaşa geliştirilmesinin ve paylaşılmasının sağlanmasıdır.

Rapor kapsamında; mahremiyet artırıcı teknolojilerin ilave veri toplama ihtiyacını azaltabileceği, veri paylaşımını kolaylaştırabileceği ve yapay zekâ yönetişimine ilişkin risklerin ele alınmasına katkı sunabileceği vurgulanmaktadır. Bununla birlikte, bu teknolojilerin tek başına yeterli olmadığı, farklı teknolojilerin bir arada kullanılmasının ise fayda, verimlilik ve kullanılabilirlik arasında denge kurmayı zorlaştırdığı belirtilmektedir. Bu doğrultuda, politika yapıcıların ve düzenleyicilerin; rehberlik, düzenleme deneme alanları ve Ar-Ge desteği yoluyla mahremiyet artırıcı teknolojilerin benimsenmesini teşvik etmesinin, güvenilir bir yapay zekâ ekosisteminin gelişimini destekleyeceği ifade edilmektedir.

 

* Fransa Veri Koruma Otoritesi (CNIL), eğitimde yapay zekâ sistemlerinin kullanımına ilişkin olarak, biri öğretmenlere diğeri ise veri sorumlularına yönelik iki ayrı sıkça sorulan sorular dokümanı yayımladı ve bu sistemlerin veri koruma gerekliliklerine uygun şekilde kullanılmasına ilişkin tavsiyelerde bulundu[7].

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), nesnelerin interneti (IoT) cihazları ve hizmetlerinde bireylerin verilerinin korunmasına öncelik verilmesini sağlamak amacıyla, akıllı ürünlerin üreticileri ve geliştiricilerine yönelik hazırlanan taslak rehberin kamuoyu görüşüne açıldığını duyurdu[8]. Akıllı hoparlörlerden fitness bilekliklerine, Wi-Fi özellikli buzdolaplarından birbirine bağlı airfryer’lara kadar pek çok akıllı ürün, kullanıcılardan büyük miktarda -ve kimi zaman hassas nitelikte- kişisel veri toplamaktadır.

Bu çerçevede bahse konu rehberde; IoT ürünlerinin hangi kişisel verileri topladığı, bu verilerin hukuka uygun şekilde işlenmesi için gerekli şartların nasıl yerine getirileceği, verilerin ne kadar süreyle saklanması gerektiği, kullanıcıların uygun şekilde nasıl bilgilendirilebileceği ve haklarını kullanmalarının sağlanabileceği ile veri güvenliğinin nasıl temin edileceği gibi hususlara yer verilmektedir.

 

* Avrupa Veri Koruma Kurulu (EDPB), Dijital Hizmetler Tüzüğü (DSA) kapsamında çocukların çevrim içi ortamda korunmasına yönelik hazırlanan Avrupa Komisyonu taslak rehberine ilişkin görüşlerini kamuoyu ile paylaştı[9]. DSA ile AB Genel Veri Koruma Tüzüğü’nün (GDPR) çocukların mahremiyetini ve güvenliğini sağlamada birbirini tamamlayan hedefler taşıdığını vurgulayan EDPB, DSA’nın GDPR ve e-Gizlilik Direktifi’ni geçersiz kılmadığını, aksine bu düzenlemelerle uyumlu şekilde ve onlara halel getirmeksizin uygulanması gerektiğini belirtti.   

Buna ek olarak EDPB, çocukların zararlı içeriklere erişimlerinin önlenmesinde önemli bir araç olan yaş doğrulama süreçlerinde, öz beyan yönteminin özellikle yüksek riskli veri işleme bağlamında etkili ve güvenilir bir yöntem olarak değerlendirilemeyeceğine dikkat çekerek, yaş tahmini gibi alternatif yaklaşımların da kapsamlı veri işleme gerektirmesi nedeniyle kullanıcıların temel hak ve özgürlükleri üzerinde daha yüksek düzeyde bir müdahale anlamına gelebileceğini ifade etti.

Diğer yandan, çevrim içi platform sağlayıcılarının hem DSA hem de GDPR kapsamındaki yükümlülüklere eş zamanlı olarak uymaları gerektiği ve bu yükümlülüklerin GDPR’ye uygunluk açısından denetlenmesinde veri koruma otoritelerinin merkezi bir rol üstlendiği vurgulandı. Bu çerçevede, her iki düzenlemenin uyumlu ve etkili bir biçimde uygulanabilmesi için yetkili düzenleyici kurumlar ve otoriteler arasında koordineli ve sürekli iş birliğinin sağlanmasının önemine dikkat çekildi.

 

* ABD’de Çocukların Çevrim içi Gizliliğini Koruma Yasası (COPPA) kapsamında güncellenen kurallar, 23 Haziran 2025 tarihi itibarıyla yürürlüğe girmiş olup ilgili yükümlülüklerin tam olarak yerine getirilmesi için belirlenen son tarih ise 22 Nisan 2026’dır[10]. Bu kapsamda, yapılan değişiklikler arasında genel hatlarıyla;

  • “Çevrim içi iletişim bilgisi”, “kişisel bilgi”, “karışık hedef kitleye yönelik web sitesi veya çevrim içi hizmet” ve “çocuklara yönelik web sitesi veya çevrim içi hizmet” de dahil olmak üzere çeşitli tanımların kapsamının genişletilmesi veya bazı yeni tanımlar eklenmesi,                                                                             
  • COPPA kapsamında ebeveyn rızasının alınmasının zorunlu olduğu durumlarda, ebeveynlere yönelik doğrudan bilgilendirmede bulunması gereken içerik gereksinimlerinin artırılması,                                                     
  • İşletmecilerin web sitelerinde yayımlamak zorunda oldukları gizlilik bildirimlerinin içerik açısından kapsamının genişletilmesi,
  • Ebeveyn rızasının alınması sürecinde kimliğin doğrulanmasına yönelik olarak; bilgi temelli kimlik doğrulama, devlet tarafından verilmiş kimlik belgesi ile yüz tanıma eşleştirmesi ve yalnızca belirli durumlarda kısa mesaj yoluyla kimlik doğrulama ile ek doğrulama adımları olmak üzere üç yeni yöntemin kabul edilmesi,
  • Çocuklara ait kişisel bilgilerin yalnızca belirlenmiş ve belgelenmiş amaçlar doğrultusunda sınırlı bir süre boyunca saklanabilmesi ve bu sürenin sonunda verilerin silinmesi zorunluluğu; ayrıca verilerin saklanma amaçları, gerekçeleri ve silme sürelerini belirten yazılı bir veri saklama politikası oluşturulması ve bu politikanın COPPA kapsamında zorunlu olan gizlilik bildiriminde yayımlanması,
  • İşletmecilerin, çocukların kişisel verilerinin hassasiyetine ve faaliyetlerinin büyüklüğü, karmaşıklığı ve niteliğine uygun güvenlik önlemlerini içeren yazılı bir bilgi güvenliği programı oluşturmaları,                                                                             
  • Çocukların kişisel bilgileri başka bir işletmeci, hizmet sağlayıcısı veya üçüncü taraf ile paylaşılmadan önce, bu tarafların verilerin gizliliğini, güvenliğini ve bütünlüğünü koruma kapasitesine sahip olduğuna dair makul adımların işletmeci tarafından atılması ve buna ilişkin yazılı taahhüt alınması gibi hususlar yer almaktadır.

* New York Çocuk Veri Koruma Yasası, 20 Haziran 2025 tarihi itibarıyla yürürlüğe girdi. Bu kapsamda, New York Eyalet Başsavcılığı Ofisi, eyalette küçük yaştaki bireylerin kişisel verilerini işleyen işletmeler, okullar ve diğer kuruluşlara yönelik açıklayıcı nitelikte bir uygulama rehberi yayımladı[11].

 

* Dünya Ekonomik Forumu ve Frontiers iş birliği ile hazırlanan “2025’in Yeni Gelişen 10 Teknolojisi” raporu yayımlandı[12]. Yapısal pil kompozitlerinden gelişmiş nükleer teknolojilere, iş birlikçi algılamadan yapay zekâ tarafından üretilen içeriklerin filigranlanmasına kadar uzanan raporda, endüstrileri ve toplumları yeniden şekillendirme potansiyeline sahip teknolojilere yer verilmektedir.

 

* Ülkemizde, Cumhurbaşkanlığının vizyonu doğrultusunda ve 11. Kalkınma Planı kapsamında yürürlüğe konulan Ulusal Yapay Zekâ Stratejisi çerçevesinde Millî Eğitim Bakanlığı tarafından hazırlanan “Eğitimde Yapay Zekâ Politika Belgesi ve Eylem Planı (2025-2029)” paylaşıldı[13]. Bakanlık yönetiminden okul süreçlerine, öğretmen eğitiminden öğrenci kazanımlarına kadar geniş bir yol haritası sunan belge 4 hedef, 15 politika ve 40 eylem adımından oluşmaktadır.

 

*MIT Media Lab araştırmacıları, ChatGPT’nin yazı yazma sürecindeki beyin aktivitesi üzerindeki etkilerini inceleyen bir çalışma gerçekleştirdi[14]. Çalışmada, 18-39 yaş arasındaki 54 kişi üç gruba ayrıldı ve katılımcılardan sırasıyla ChatGPT, Google arama motoru veya herhangi bir araç kullanmadan kendi beyin güçleriyle SAT tarzı kompozisyonlar yazmaları istendi. Araştırma sonuçları, üç grup arasında ChatGPT kullanıcılarının en düşük beyin etkileşimine sahip olduğunu ve nöral, dilbilimsel ile davranışsal düzeylerde sürekli olarak daha düşük performans sergilediklerini ortaya koydu. Ayrıca, ChatGPT kullanıcılarının birkaç aylık süreçte her kompozisyonda giderek daha fazla tembelleştikleri ve son aşamada sıklıkla kopyala-yapıştır yöntemine başvurdukları tespit edildi. 

Büyük dil modellerinin kullanımının, özellikle genç kullanıcılar açısından, zararlı olduğu öne sürülen makalenin henüz hakem denetiminden geçmediği ve örneklem büyüklüğünün görece sınırlı olduğu vurgulanmalıdır. Ancak makalenin baş yazarı, toplumun büyük dil modellerine giderek artan güveninin uzun vadede beyin gelişimini olumsuz etkileyebileceği endişesini vurgulamak amacıyla, bulguları ön değerlendirme aşamasında paylaşmayı önemli gördüğünü belirtti.

 

 

 

[1] https://www.resmigazete.gov.tr/eskiler/2025/06/20250626-7.pdf, 26.06.2025.

[2] https://www.legislation.gov.uk/ukpga/2025/18/contents.

[3] https://ico.org.uk/about-the-ico/what-we-do/legislation-we-cover/data-use-and-access-act-2025/the-data-use-and-access-act-2025-what-does-it-mean-for-organisations/, 19.06.2025.

[4] https://www.dataprotection.ie/en/data-protection-commission-publishes-2024-annual-report, 19.06.2025.

[5] https://www.cnil.fr/fr/recommandations-developpement-ia-interet-legitime, 19.06.2025.

[6] https://www.oecd.org/en/publications/sharing-trustworthy-ai-models-with-privacy-enhancing-technologies_a266160b-en.html, 17.06.2025.

[7] https://www.cnil.fr/fr/deux-faq-utilisation-des-systemes-dia-scolaire, 20.06.2025.

[8] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/06/new-guidance-to-help-smart-product-manufacturers-get-data-protection-right/, 16.06.2025.

[9] https://www.edpb.europa.eu/our-work-tools/our-documents/other/edpb-comments-european-commissions-guidelines-art-28-dsa_en, 25.06.2025.

[10] https://www.govinfo.gov/content/pkg/FR-2025-04-22/pdf/2025-05904.pdf.

[11] https://ag.ny.gov/sites/default/files/2025-05/nycdpa-guidance.pdf. Düzenleme metnini görüntülemek için bkz. https://www.nysenate.gov/legislation/bills/2023/S7695/amendment/B.

[12] https://www.weforum.org/publications/top-10-emerging-technologies-of-2025/digest/, 24.06.2025.

[13] https://www.meb.gov.tr/egitimde-yapay-zek-politika-belgesi-ve-eylem-plani-yururluge-girdi/haber/37531/tr, 17.06.2025.

[14] https://time.com/7295195/ai-chatgpt-google-learning-school/, 17.06.2025.