Kişisel Verileri Koruma Kurumu’nun faaliyetleri çerçevesinde, Kurum himayesinde yürütülen bir ‘Toplumsal Farkındalık ve Bilinçlendirme Kampanyası’ olarak hayata geçen ve bir rehber niteliği taşıyan Farkında Ol Güvende Kal; ilgili kişileri kişisel verilerin korunması konusunda bilinçlendirmeyi ve onlara yol göstermeyi amaçlamaktadır. Bu kapsamda, her ay düzenli olarak yayınlanan dünya ve ülkemizde kişisel verilerin korunması kapsamında gündeme gelen Seçilmiş Güncel Gelişmeler' e göz atalım.

Seçilmiş Güncel Gelişmeler 17

Rehber/Çalışma/Düzenleyici İşlemler

* Avrupa Veri Koruma Kurulu (EDPB), GDPR kapsamındaki veri ihlal bildirimlerine ilişkin güncellenmiş rehberini yayımladı[1]. Bahse konu rehberin, AB’de yerleşik olmayan veri sorumlularının veri ihlal bildirimine yönelik olarak Ekim 2022’de başlatılan kamuoyu görüşü alınması sürecinin ardından son şeklini aldığı belirtilmektedir.

* Avrupa İnsan Hakları Mahkemesi, kişisel verilerin korunması alanına yönelik çeşitli karar özetlerinin yer aldığı bilgi notunun Mart 2023’te güncellenmiş versiyonunu yayımladı. Bu derleme kapsamında; (1) Kişisel verilerin toplanması (Cinsel eğilimi gösteren veriler, GPS verileri, sağlık verileri, iletişimin izlenmesi ve gizli gözetim, işçilerin bilgisayar kullanımının izlenmesi, video ile izleme vs), (2) Kişisel verilerin depolanması ve kullanılması (ceza süreçlerinde, sağlık ile ilişkili olarak, sosyal sigorta süreçlerinde, vergi bağlamında, hizmet sağlayıcılarının kullanımına ilişkin vs), (3) Kişisel verilerin ifşa edilmesi, veriye erişim hakkı ve kişisel verilerin imha edilmesi konularına ilişkin önemli kararlara değinilmektedir[2].

* Birleşik Krallık’ta yapay zekânın düzenlenmesine yönelik önerilen yaklaşıma ilişkin olarak bir süredir beklenen doküman yayımlandı ve bu dokümanın kamuoyu görüşüne açıldığı duyuruldu[3]. Genel olarak bakıldığında, Temmuz 2022’de Ulusal Yapay Zekâ Stratejisi’nin bir parçası olarak yayımlanan metinde benimsenen inovasyon yanlısı yaklaşımın doğrulandığı çalışmada; “uyarlanabilirlik” ve “özerklik” karakteristiklerine atıfta bulunarak yapay zekânın açık ve basit bir şekilde tanımlanması, teknolojinin kendisinden ziyade bu teknolojinin kullanımının düzenlenmesi, regülatörler tarafından yapay zekâya ilişkin fırsat ve risklerin ele alınmasına ilişkin olarak sektörler arası ilkeler benimsenmesi gibi hususlar dikkat çekmekte ve Avrupa Birliği’nde de gündemde olduğu üzere üretici yapay zekânın düzenlenmesi ihtiyacına yönelik açıklamalarda bulunulmaktadır.

* Avrupa Parlamentosu Araştırma Servisi (EPRS) bünyesinde hazırlanan bir çalışmada, çeşitli uluslararası düşünce kuruluşlarının yapay zekâya ilişkin son yayınları ve yorumlarına ulaşılmasını sağlayacak bağlantılar derlenerek paylaşılmıştır[4].

* Birleşik Krallık Veri Koruma Otoritesi (ICO) bünyesinde, teknoloji ve inovasyonun bireyler ile toplum üzerindeki etkisini incelemekten sorumlu ekibe liderlik eden Stephen Almond, üretici yapay zekâ geliştiren/kullanan kuruluşlara sorulacak olan sekiz soruya yer verdiği bir içerik paylaştı[5]. Bu çerçevede hangi kişisel veri işleme şartına dayanıldığı, veri sorumlusu/ortak veri sorumlusu/veri işleyen olunup olunmadığı, veri koruma etki analizi hazırlanıp hazırlanmadığı, şeffaflığın nasıl sağlanacağı, güvenlik risklerinin nasıl azaltılacağı, gereksiz işlemelerin nasıl sınırlandırılacağı, bireylerin taleplerine nasıl yanıt verileceği ve üretici yapay zekânın otomatik kararlar almak için kullanılıp kullanılmayacağı sorularına verilecek yanıtların önem taşıdığı belirtildi. Diğer yandan, üretici yapay zekâ geliştiren/kullanan kuruluşların, tasarımdan itibaren ve varsayılan olarak mahremiyet yaklaşımını benimsemeleri gerektiği ve dolayısıyla veri korumaya ilişkin yükümlülüklerin sürecin başından itibaren göz önünde bulundurulmasının önem taşıdığı vurgulandı.

* Seçim faaliyetleri kapsamında siyasi partiler ve bağımsız adaylar tarafından işlenen kişisel verilere ilişkin olarak Kurumumuz tarafından hazırlanan bilgi notu kamuoyu ile paylaşıldı[6].

Kararlar

* Kişisel Verileri Koruma Kurulu, Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüklerini yerine getirmeyen WhatsApp ve Meta hakkında ayrı ayrı 2 milyon 665 bin lira idari para cezası uygulanmasına karar verdi[7].

* Meta’nın, Cambridge Analytica skandalında kişisel verileri toplanan milyonlarca kişiye 725 milyon dolar ödemesine yönelik anlaşmaya yargıcın ön onay verdiği bildirildi[8]. Bu tutar, bir toplu davada uzlaşmak için Meta’nın ödediği en yüksek tutar olarak kayıtlara geçti.

* İtalya Veri Koruma Otoritesi (Garante), temelde kişisel verilerin hukuka aykırı olarak toplandığı ve çocuklar için yaş doğrulama sistemi bulunmadığı gerekçesiyle ChatGPT’nin kullanımına geçici olarak sınırlama getirildiğini ve konu ile ilgili soruşturma başlatıldığını duyurdu[9].

* Alman Federal Anayasa Mahkemesi, “genelleştirilmiş” şekilde veri saklanmasının hukuka aykırı olduğuna hükmetti[10]. Bu çerçevede Alman Telekomünikasyon Yasası ve Ceza Muhakemesi Kanunu’nun, belirli bir neden olmaksızın, trafik ve konum verilerinin saklanmasını öngören düzenlemelerinin AB yasaları ile uyumsuz olduğu ve bunların uygulanamayacağı belirtildi.

Genel Haberler

Twitter, akışta kullanıcıların karşısına çıkan içeriklerin kontrol edilmesini sağlayan tavsiye algoritması da dâhil olmak üzere platformun kaynak kodunun bir bölümünü kamu ile paylaştı ve bu paylaşım “yeni bir şeffaflık çağına atılan ilk adım” olarak nitelendirildi[11].

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

* Elon Musk ve bir grup üst düzey yapay zekâ araştırmacısı tarafından imzalanan açık mektupta, “toplum ve insanlık için taşıdığı derin riskler” konusundaki korkular gerekçe gösterilerek “dev yapay zekâ deneylerine” ara verilmesi için çağrıda bulunuldu[12]. GPT-4’ten daha güçlü yapay zekâ sistemlerinin eğitilmesine en az altı ay ara verilmesi yönünde çağrıda bulunulan mektubun imzacıları arasında yazar Yuval Noah Harari, Apple’ın eş kurucusu Steve Wozniak, yapay zekâ konusunda dünyaca ünlü bir isim olan Stuart Russell ve Pinterest’in eş kurucusu Evan Sharp gibi isimler yer aldı.

* Fransa, 108 sayılı Sözleşme’nin güçlendirilmesi ve bu Sözleşme ile belirlenen ilkelerin güncellenmesinin amaçlandığı Modernize Edilmiş 108+ sayılı Sözleşmeyi onayladı[13].

* 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girdiği 7 Nisan 2016 tarihinin yıl dönümü olarak her yıl 7 Nisan’da kutlanan “Kişisel Verileri Koruma Günü”, bu yıl da Kurumumuz Konferans Salonunda düzenlenen bir etkinlik ile kutlandı[14]. Lise öğrencileri ve öğretmenlerinin katılım sağladığı etkinliğin bu yılki teması “Dijital Çağda Çocukların Kişisel Verilerinin Korunması” olarak belirlendi. Program kapsamında “Çocukların Dijital Hakları”, “Çocukların Çevrimiçi Mahremiyeti”, “Siber Zorbalık” ve “Çocukların Kişisel Verilerinin Korunması ve Farkındalık” konularında sunumlar gerçekleştirildi.

Editör: ELİF KÖSEDAĞ