Seçilmiş Güncel Gelişmeler 53

* Avrupa Veri Koruma Kurulu (EDPB), AB Genel Veri Koruma Tüzüğü’nün (GDPR) 17’nci maddesinde düzenlenen “silme hakkı (unutulma hakkı)”na ilişkin 2025 yılı Koordineli Uygulama Çerçevesi (Coordinated Enforcement Framework) eylemine dair raporun kabul edildiğini duyurdu[1]. AB genelinde silme hakkının etkin biçimde kullanılmasının sağlanması ve veri sorumlularının bu hakkı uygulamada nasıl yerine getirdiğinin değerlendirmesi amacıyla yürütülen girişime, 2025 yılı boyunca 32 veri koruma otoritesinin katıldığı ve süreç kapsamında küçük-orta ölçekli işletmelerden çok uluslu şirketlere ve çeşitli kamu kurumlarına kadar farklı sektörlerden toplam 764 veri sorumlusunun yanıt verdiği belirtilmektedir.

Raporda, veri sorumlularına yönelik çeşitli tavsiyelerle birlikte geliştirilmesi gereken alanlar ortaya konulmuş ve bu çerçevede veri koruma otoriteleri tarafından yedi temel zorluk tespit edilmiştir. Bunlar arasında silme taleplerinin ele alınmasına yönelik yeterli iç prosedürlerin bulunmaması, ilgili kişilere sağlanan bilgilerin yetersizliği, bazı veri sorumlularının silme yerine etkisiz anonimleştirme tekniklerine başvurması, uygulamadaki tutarsızlıklar, saklama sürelerinin belirlenmesinde yaşanan güçlükler ile yedekleme sistemlerinde yer alan kişisel verilerin silinmesine ilişkin sorunlar yer almaktadır. Ayrıca silme hakkının mutlak bir hak olmaması nedeniyle veri sorumlularının bu hakkın uygulanma koşullarını değerlendirme ve silme hakkı ile diğer hak ve özgürlükler arasında yapılması gereken dengeleme testlerini yürütme süreçlerinde de zorluklarla karşılaştıkları belirtilmektedir.

* Avrupa Parlamentosu Araştırma Servisi (EPRS), Avrupa Birliği’nin veri koruma politikasına ilişkin genel çerçeveyi ortaya koyan bir çalışma yayımladı[2]. Bahse konu çalışmada Avrupa Birliği’nin veri koruma politikasının hukuki temelleri, kamuoyundaki algı, veri korumaya ilişkin olarak Avrupa Parlamentosu ve Avrupa Birliği Adalet Divanı’nın rolü ile geleceğe yönelik zorluklar gibi hususlar ele alınmaktadır.

* “Digital Omnibus” teklifine ilişkin olarak Avrupa Veri Koruma Kurulu (EDPB) ile Avrupa Veri Koruma Denetçisi (EDPS) tarafından kabul edilen ortak görüş yayımlandı[3].

* Avrupa Parlamentosu Araştırma Servisi (EPRS), “Digital Omnibus on AI” teklifinin temel noktaları, Parlamento’nun ve diğer AB kurumlarının tutumları, teklifin hazırlanma süreci ve teklife ilişkin başlıca görüşler gibi başlıkların genel olarak ele alındığı bir çalışma yayımladı[4].

* Birleşik Krallık Veri Koruma Otoritesi (ICO), Veri (Kullanım ve Erişim) Yasası kapsamında veri korumaya ilişkin başvuruların veri sorumluları tarafından nasıl ele alınması gerektiğine yönelik bir rehber yayımladı[5].

* Birleşik Krallık Veri Koruma Otoritesi (ICO), kendilerine iletilen şikâyetlerin Otorite tarafından nasıl ele alındığına yönelik bir içerik yayımladı[6].

* Fransa Veri Koruma Otoritesi (CNIL), deepfake’in ne olduğu, ortaya çıkardığı riskler, bireylerin kendilerini nasıl koruyabilecekleri ve yasa dışı içerikleri nasıl bildirebilecekleri ile Otorite’nin bu konudaki faaliyetlerine ilişkin olarak bilgilendirici mahiyette bir içerik yayımladı[7].

* OECD, finans alanında yapay zekânın kullanımına yönelik denetim yaklaşımlarının ve bu çerçevede karşılaşılan zorlukların ele alındığı bir çalışma yayımladı[8]. Söz konusu çalışmada, finansal istikrar ve piyasa bütünlüğü ile finansal tüketicinin korunmasına ilişkin politika hedefleri doğrultusunda, finans alanında sorumlu yapay zekâ kullanımını teşvik etmeyi amaçlayan denetim uygulamaları da incelenmektedir.

* Avrupa Sigorta ve Mesleki Emeklilik Otoritesi (EIOPA), Avrupa sigorta sektöründe üretken yapay zekâ kullanımına ilişkin yürütülen araştırmanın sonuçlarını içeren bir rapor yayımladı[9]. 25 ülkeden 347 kuruluştan alınan yanıtlara dayanan raporda; sektörde üretken yapay zekânın benimsenme düzeyi, sunduğu fırsatlar ve ortaya çıkardığı riskler ile kuruluşların uygulamada karşılaştıkları başlıca zorluklar ele alınmaktadır.

* ABD Çalışma Bakanlığı, ülke genelinde yürütülecek yapay zekâ okuryazarlığı çalışmalarına rehberlik etmek amacıyla Yapay Zekâ Okuryazarlığı Çerçevesi’ni yayımladı[10]. Yapay zekâ okuryazarlığına ilişkin beş temel içerik alanı ile yedi uygulama ilkesinin ortaya konulduğu Çerçeve’nin; işverenler, eğitim sağlayıcıları, eyalet ve yerel kamu kurumları dâhil olmak üzere çeşitli paydaşlardan alınan görüşler doğrultusunda şekillendirildiği, ayrıca yapay zekâ teknolojilerindeki gelişmeler ve iş gücü piyasasındaki dönüşümler doğrultusunda güncelleneceği ifade edilmektedir.

Bahse konu Çerçeve’de yapay zekâ okuryazarlığının temel içerik alanları; (1) yapay zekâ ilkelerinin anlaşılması, (2) yapay zekâ kullanım alanlarının keşfedilmesi, (3) yapay zekânın etkili bir şekilde yönlendirilmesi, (4) yapay zekâ çıktılarının değerlendirilmesi ve (5) yapay zekânın sorumlu şekilde kullanılması olarak belirtilmektedir.

Diğer taraftan yapay zekâ okuryazarlığının hayata geçirilmesine ilişkin uygulama ilkeleri ise şu unsurları içermektedir: (1) deneyim temelli öğrenmenin teşvik edilmesi, (2) öğrenmenin bağlam içerisine yerleştirilmesi, (3) yapay zekâyı tamamlayıcı nitelikte insan becerilerinin geliştirilmesi, (4) yapay zekâ okuryazarlığı için gerekli ön koşulların ele alınması, (5) sürekli öğrenmeye imkân tanıyan öğrenme yollarının oluşturulması, (6) uygulamayı destekleyecek rollerin hazırlanması ve (7) değişen koşullara hızlı ve uyarlanabilir biçimde yanıt verebilen bir tasarım yaklaşımının benimsenmesi.

* Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) bünyesinde faaliyet gösteren Yapay Zekâ Standartları ve İnovasyon Merkezi (CAISI), “Yapay Zekâ Aracısı (AI Agent) Standartları Girişimi”nin başlatıldığını duyurdu[11]. Söz konusu girişimin; otonom eylemler gerçekleştirme kapasitesine sahip yapay zekâ aracılarının güven içinde yaygınlaştırılmasını, kullanıcıları adına güvenli biçimde faaliyet göstermesini ve dijital ekosistem genelinde birlikte çalışabilirliğin sağlanmasını amaçladığı belirtilmektedir.

* Google’ın sesli asistanı olan Google Assistant’ın, temel olarak “Hey Google / Ok Google” gibi tetikleme ifadeleriyle aktif olması gerekirken yanlış tetiklemeler sonucu kullanıcıların özel konuşmalarının izinsiz kaydedildiği, bu verilerin hedefli reklamcılık ve başka amaçlarla kullanıldığı ile ilgili haberler kapsamında, Google LLC tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli teknik ve idari tedbirlerin alınmadığı, kişisel verilerin işlenmesinde Kanuna aykırı davranıldığı şüphesi bulunduğundan Kişisel Verileri Koruma Kurulu tarafından re’sen inceleme başlatılmasına karar verilmiştir[12].

* X.AI Corporation tarafından geliştirilen yapay zeka platformu olan Grok’un çocuklar da dahil olmak üzere kişilerin rızası olmadan cinsel içerikli görüntü ve video içeriği üretme amacıyla kullanıldığı ve bu tür görüntülerin dolaşıma sokulduğu gerekçeleriyle Avrupa Komisyonu tarafından soruşturma başlatılmış olup Grok’un geliştirilmesi ve uygulanması süreçlerinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli teknik ve idari tedbirlerin alınmadığı, kişisel verilerin işlenmesinde Kanuna aykırı davranıldığı şüphesi bulunduğundan X Internet Unlimited Company ve X.AI Corporation hakkında Kişisel Verileri Koruma Kurulu tarafından re’sen inceleme başlatılmasına karar verilmiştir[13].

* Çocukların sosyal medya kullanımında kişisel verilerinin korunmasına ilişkin, çocukların yüksek yararı da gözetilerek dijital ortamda karşılaşabilecekleri potansiyel risklerden korunmasını teminen, sosyal medya platformlarında çocukların kişisel verilerinin nasıl işlendiği ve hangi tedbirlerin alındığı hususlarında TikTok, Instagram, Facebook, Youtube, X ve Discord platformları hakkında Kişisel Verileri Koruma Kurulu tarafından re’sen inceleme başlatılmasına karar verilmiştir[14].

* Kurumumuz tarafından üç aylık periyotlarla hazırlanan KVKK Bülten’in “Dijital Okuryazarlık ve Kişisel Verilerin Korunması” konulu 10. sayısı yayımlandı[15]. Bu sayıda;