Kişisel Verileri Koruma Kurumu’nun faaliyetleri çerçevesinde, Kurum himayesinde yürütülen bir ‘Toplumsal Farkındalık ve Bilinçlendirme Kampanyası’ olarak hayata geçen ve bir rehber niteliği taşıyan Farkında Ol Güvende Kal; ilgili kişileri kişisel verilerin korunması konusunda bilinçlendirmeyi ve onlara yol göstermeyi amaçlamaktadır. Bu kapsamda, her ay düzenli olarak yayınlanan dünya ve ülkemizde kişisel verilerin korunması kapsamında gündeme gelen Seçilmiş Güncel Gelişmeler' e göz atalım.
Seçilmiş Güncel Gelişmeler 18
Rehber/Çalışma/Düzenleyici İşlemler
* Avrupa Veri Koruma Kurulu (EDPB), ilgili kişilerin haklarından olan “erişim hakkı”na ilişkin rehberini yayımladı[1]. Kamuoyu görüşü alınmasının ardından nihai şekli verilen metinde; ilgili kişilere erişim hakkı tanınmasının amacı, bu hakkın niteliği/kapsamı/sınırları ve bu hakkın kullanımına ilişkin olarak ilgili kişiler ile veri sorumlularınca dikkate alınması gereken hususlar incelenmektedir.
* İrlanda Veri Koruma Otoritesi (DPC), önceki/mevcut/potansiyel çalışanların kişisel verilerinin işlenmesi konusunda, veri sorumlusu niteliğini haiz işverenlere yönelik olarak yol gösterici mahiyette bir rehber yayımladı[2]. Bahse konu rehberde, veri işlemenin genel ilkeleri, veri işlemenin hukuka uygunluğunu sağlayan işleme şartları, çalışanların işveren tarafından izlenmesi, verilerine erişim hakkı ve verilerinin düzeltilmesini isteme hakkı da dâhil olmak üzere çalışanların hakları ile konuya ilişkin birtakım örnek olaylara yer verilmektedir.
* Kanada Mahremiyet Komisyonerliği Ofisi (OPC), federal mahremiyet düzenlemesine tabi işverenlere yol gösterilmesi amacıyla yeni bir rehber yayımladı[3]. Bahse konu çalışmada, çalışanların mahremiyetlerine saygı gösterilmesi, çalışanların mahremiyetlerinin korunmasına ilişkin haklarının işverenin yönetme hakkı ile çelişip çelişmediği, çalışanların mahremiyetlerinin korunmasına yönelik haklarından feragat etmelerinin mümkün olup olmadığı ve çalışanların izlenmesi gibi başlıklar üzerinden konu ele alınmakta ve bu çerçevede işverenlere pratik tavsiyelerde bulunulmaktadır.
* Avrupa Veri Koruma Kurulu (EDPB), kolluk faaliyetleri kapsamında yüz tanıma teknolojisinin kullanımına ilişkin rehberin nihai versiyonunu yayımladı[4]. Geçtiğimiz yıl içerisinde kamuoyu görüşü alınmasının ardından son şekli verilen metinde; yüz tanıma teknolojisi kullanılmasının amacı, bu teknolojinin kullanımına ilişkin yaygın uygulamalar, bu uygulamaların ilgili kişilerin kişisel verilerinin korunması açısından ortaya çıkarabileceği riskler ile bu teknolojinin uygulanmasına yönelik yasal çerçeve gibi başlıklar yer almaktadır. Bahse konu rehberin eklerinde ise yüz tanıma teknolojisinin kullanımına ilişkin projelere yönelik yol gösterici mahiyette tavsiyelerde bulunulmakta ve örnek kullanım senaryoları açıklanmaktadır.
* Birleşik Krallık Veri Koruma Otoritesi (ICO), Birleşik Krallık Hükümeti tarafından yayımlanan “Yapay Zekânın Düzenlenmesinde İnovasyon Yanlısı Yaklaşım” başlıklı dokümana ilişkin yorumların yer aldığı çalışmasını yayımladı[5]. Çalışma kapsamında, yapay zekânın düzenlenmesinde Otorite’nin rolü, diğer otoriteler ile yapılan çalışmalar, yapay zekânın düzenlenmesine yönelik önerilen yaklaşımda yer verilen ilkeler ve “düzenleyici deney alanı”(regulatory sandbox) tasarlanmasına ilişkin açıklamalarda bulunulmaktadır.
* Fransa Veri Koruma Otoritesi (CNIL), ChatGPT gibi üretici yapay zekâ da dahil olmak üzere yapay zekâ sistemlerinin, bireylerin mahremiyetine saygı duyacak şekilde tasarlanması ve kullanılmasına yönelik bir eylem planı yayımladı[6]. Bahse konu eylem planı; (1) yapay zekâ sistemlerinin işleyişi ve bireyler üzerindeki etkilerinin anlaşılması, (2) mahremiyet dostu yapay zekâ geliştirilmesinin sağlanması ve bu konuda yol gösterilmesi, (3) Fransa ve Avrupa’daki yapay zekâ ekosisteminde yenilikçi oyuncuların bir araya getirilmesi ve bunların desteklenmesi, (4) yapay zekâ sistemlerinin denetlenmesi, kontrol edilmesi ve bireylerin korunması olmak üzere dört başlık altında yapılandırılmıştır.
* İspanya Veri Koruma Otoritesi (AEPD), yapay zekâ sistemlerinde işlenen kişisel verilerin “doğruluğunun” sağlanmasına yönelik olarak yol gösterici mahiyette bir içerik yayımladı[7]. Bu çerçevede gerçekleştirilecek işleme faaliyetlerinde “doğruluk” ilkesinin sağlanmasının önemini vurgulayan Otorite, yanlışları önleyen ve hatalı verilerin etkisinden koruyan uygun güvencelerin “tasarımdan itibaren” işleme faaliyetlerine dahil edilmesi, sistemin performansının gözden geçirilmesi ve gerektiğinde güncellenmesi gerektiğini vurguladı.
* Yeni Zelanda Mahremiyet Komisyonerliği Ofisi (NZ OPC), üretici yapay zekâ kullanan kuruluşların göz önünde bulundurmaları gereken yedi temel ilkeyi açıkladı[8]. Bu ilkeler; (1) üst düzey yöneticinin onayının alınması, (2) üretici yapay zekâ aracının gerekli ve ölçülü olup olmadığının gözden geçirilmesi, (3) mahremiyet etki değerlendirmesi gerçekleştirilmesi, (4) şeffaf olunması, (5) verilerin doğruluğunun sağlanması ile bireylerin erişim haklarını kullanmaları konusunda prosedürler geliştirilmesi, (6) üretici yapay zekâ aracının çıktılarının insan incelenmesinden geçirilmesi ve (7) kişisel veriler ile gizli bilgilerin üretici yapay zekâ aracı tarafından saklanmadığından veya açığa çıkarılmadığından emin olunması şeklinde sayıldı.
* Beyaz Saray, sorumlu yapay zekâ inovasyonunu teşvik etmeye yönelik eylemlere ilişkin bilgi notunu yayımladı[9]. Bu kapsamda sorumlu yapay zekânın araştırılması ve geliştirilmesini desteklemek üzere yeni yatırımlar, mevcut üretici yapay zekâ sistemlerinin kamuya açık bir şekilde değerlendirilmesi, yapay zekânın ortaya çıkardığı riskleri azaltma ve getirdiği fırsatlardan yararlanma konusunda ABD’nin örnek teşkil etmesini sağlamaya yönelik politikalar gibi konulara değinilmektedir.
* ABD’de Kongre Araştırma Merkezi (CRS), üretici yapay zekâ ve mahremiyetin korunması arasındaki ilişkiye dair genel bir bakış sunulan çalışmasını yayımladı[10]. Bu çalışmada, “üretici yapay zekâ” kavramından ne anlaşılması gerektiği ile bu modellerin veriyi elde etme/veri kullanım şekilleri gibi konular incelenmekte ve üretici yapay zekânın ele alınmasına yönelik politika önerilerine ilişkin açıklamalarda bulunulmaktadır.
* Avrupa Komisyonu bünyesindeki bir uzman çalışma grubu “AB-ABD Yapay Zekâ Terminolojisi ve Taksonomisi” başlıklı bir çalışma hazırladı[11]. Alana yönelik ortak bir terminoloji oluşturulması adına oldukça önem taşıyan bu çalışmada, AB ve ABD’de yayımlanan çeşitli dokümanlara atıfta bulunulmak suretiyle yapay zekâya ilişkin 65 adet terim açıklandı.
Kararlar
* Avrupa Birliği Adalet Divanı C-300/21 sayılı kararında, tek başına GDPR’ın ihlal edilmiş olmasının tazminat hakkı doğurmayacağına ancak tazminat hakkı doğabilmesi için uğranılan manevi zararın belirli bir eşiğe ulaşmasına da gerek bulunmadığına hükmetti[12]. Bahse konu kararda, GDPR kapsamında tazminat hakkı doğmasının kümülatif olarak üç koşulun sağlanmasına tabi olduğu belirtilerek bu koşullar GDPR’ın ihlal edilmiş olması, bu ihlalden kaynaklanan maddi veya manevi zararın varlığı ve zarar ile ihlal arasındaki nedensellik bağı olarak sayıldı.
* Fransa’da Anayasa Mahkemesi’nin, Paris 2024 Olimpiyatları için hükümetin yapay zekâ destekli güvenlik kameraları kurabileceği yönünde karar verdiği ve bu uygulamaya yönelik ilkeleri belirlediği bildirildi[13]. Mahremiyet savunucuları tarafından karşı çıkıldığı belirtilen kararda, kameraların kurulumunun mahremiyetin korunmasına yönelik hakları ihlal etmediği, zira bireylerin “algoritmik işlemenin geliştirilmesi, uygulanması ve olası gelişimini” sürekli şekilde kontrol edecekleri ve bu kameraların bırakılmış bagajlar veya kalabalık içerisindeki birtakım durumlar gibi “şüpheli davranışları tespit etmek” üzere eğitildikleri ifade edildi. Sistemin, Mart 2025’e kadar uygulamada kalması planlanıyor.
* ABD Federal Ticaret Komisyonu (FTC), eğitim teknolojisi sağlayıcısı bir şirketin, çevrim içi eğitime katılmak isteyen öğrencilerden gerekli olan miktardan daha fazla kişisel veri istemesinin hukuka aykırı olduğu yönünde karar alındığını duyurdu[14]. Otorite, bahse konu Şirket’in ebeveynlerinin rızası alınmaksızın çocukların kişisel verilerini topladığı, bu verilerin Çocukların Çevrim İçi Gizliliğini Koruma Yasası’na (COPPA) aykırı şekilde reklamcılık amaçları doğrultusunda kullanıldığı ve söz konusu yasadan kaynaklanan yükümlülüklerin hukuka aykırı şekilde okullara devredildiği yönünde tespitlerde bulundu.
Genel Haberler
* Avrupa Parlamentosu Sivil Haklar, Adalet ve İçişleri Komitesi ile İç Pazar ve Tüketiciyi Koruma Komitesinin önerilen Yapay Zekâ Yasasını (AI Act) kabul ettiği bildirildi[15]. Bu çerçevede teklifin 14 Haziran tarihinde nihai bir tartışmaya açılmasının ve oylamanın ardından üçlü müzakerelerin başlamasının planlandığı belirtildi.
* Japonya’nın Hiroşima kentinde bir araya gelen G7 liderlerinin, üretici yapay zekânın ve çevreleyici (immersive) teknolojilerin yönetişimine duyulan ihtiyacı kabul ettikleri duyuruldu[16]. Bu çerçevede, “Hiroşima Yapay Zekâ Süreci” adı altında bakanların bu teknolojileri değerlendirmeleri ve sonuçları yıl sonuna kadar raporlamaları konusunda anlaşıldığı bildirildi.
* Birleşik Krallık Rekabet ve Pazarlar Otoritesi (CMA), yapay zekâ modellerinin geliştirilmesi ve kullanımında rekabet ve tüketicinin korunması konularına ilişkin inceleme başlatıldığını duyurdu[17]. Otorite tarafından yapılan açıklamada, inceleme kapsamında özellikle, büyük dil modelleri ve üretici yapay zekâ içeren modellerin nasıl geliştirildiğini anlamaya ve bu modellerin geliştirilmesine ve gelecekteki kullanımlarına en iyi şekilde rehberlik edecek koşul ve ilkeleri değerlendirmeye odaklanıldığı belirtildi.
* İrlanda Veri Koruma Otoritesi (DPC), sohbet botlarına ilişkin yasaklamalar getirilmesi konusunda acele edilmemesi yönünde uyarılarda bulundu[18]. Bu çerçevede Otorite yetkilisi tarafından yapılan açıklamada, üretici yapay zekânın düzenlenmesi konusunda hemfikir olunduğu ancak tartışmanın ChatGPT’ye eş değer binlerce aracı kapsadığı ve gerçekten etkili olabilecek doğru bir düzenleme yapabilmek için bu teknolojinin işleyişi, büyük dil modelleri ve eğitim verilerinin kaynağı ile ilgili sürecin anlaşılmasının önem taşıdığı belirtildi.
* İtalya Veri Koruma Otoritesi’nin (Garante) geçtiğimiz mart ayı içerisinde ChatGPT’yi geçici süreliğine yasaklamasının ardından, Otorite’nin şimdi de diğer yapay zekâ platformlarını incelemeyi ve bunun için yapay zekâ alanında uzman kişileri işe almayı planladığı bildirildi[19].
* OpenAI, ChatGPT ve GPT-4 gibi yapay zekâ araçlarındaki güvenlik açıklarını bildiren kullanıcıların 20 bin dolara kadar ödüllendirileceğini açıkladı[20]. Hata ödülü programı kapsamında bildirilen hataların ciddiyetine göre kullanıcılara güvenlik açığı başına 200 dolardan başlayan ödüller sunulacağı belirtildi.
* OpenAI, bireylerin mahremiyetinin korunmasına yönelik olarak ChatGPT’de önemli değişikliklerin uygulamaya alındığını, bu çerçevede kullanıcıların araçla gerçekleştirdikleri sohbet geçmişlerinin saklanmasını devre dışı bırakabileceklerini ve bu sayede bunların eğitim verisi olarak kullanılmasının önüne geçilebileceğini duyurdu[21]. Kullanıcıların, belirtilen şekilde sohbet geçmişlerini gizli tutmayı seçmeleri hâlinde, paylaşılan içeriğin modeli geliştirmek için kullanılmayacağı, bu konuşmaların 30 gün boyunca saklanacağı ve ardından OpenAI sistemlerinden silineceği belirtildi.
* Apple’ın, çalışanlarının ChatGPT kullanmalarını yasakladığı bildirildi[22]. Yasağın arka planında, Şirket bünyesinde benzer bir teknoloji geliştirilmesi sürecinde gizli verilerin sızdırılmasından endişe duyulması nedeniyle çalışanların ChatGPT ve benzeri harici yapay zekâ araçlarının kullanımının kısıtlanmasının yattığı belirtildi.
* Geçtiğimiz aylarda New York’taki okullarda cihazlar ve ağlar üzerinden ChatGPT kullanımının engellenmesine ilişkin yasağın kaldırıldığı bildirildi[23]. Buna ilişkin yapılan açıklamada, yasağın arka planındaki korku nedeniyle yapay zekânın “potansiyelinin gözden kaçırıldığı”, öğretmenlerin ve öğrencilerin bundan böyle yapay zekâyı keşfetmelerine yönelik olarak teşvik edilecekleri ve yapay zekâ kullanımının destekleneceği belirtildi. Hatırlanacak olursa, geçtiğimiz ocak ayı içerisinde getirilen yasak kapsamında ChatGPT’nin, öğrencilerin eğitimi üzerinde olumsuz etkiler yarattığına yönelik endişe duyulduğu ve sorulara hızlı bir şekilde kolayca yanıt alınabilmekle birlikte aracın kullanımının akademik ve yaşam boyu başarı için gerekli olan eleştirel düşünme ve problem çözme becerilerini geliştirmeyeceği ifade edilmişti.
* Çin’de, sahte bir haberi yaymak için ChatGPT kullandığı iddia edilen kişinin tutuklandığı bildirildi[24]. Bir ilk teşkil ettiği belirtilen olayda, bir tren kazası hakkında sahte bir haber makalesi oluşturmak için ChatGPT kullanıldığı, bu makalenin bir blog platformunda 20’den fazla hesapta paylaşıldığı ve 15.000’in üzerinde görüntülendiği belirtilerek bu haberi oluşturan kişinin, Çin’in bu yıl içerisinde uygulamaya koyduğu “derin sentez teknolojileri”ni düzenleyen yasa uyarınca tutuklandığı ifade edildi.
* ABD Ulusal Yeme Bozuklukları Derneği (NEDA), çok farklı açılardan tartışılabilecek olan bir karara imza attı ve yeme bozukluğu olan kişilere hizmet verilen yardım hattında çalışan tüm personelin işten çıkarılacağını ve bu kişilerin yerini bir sohbet botunun alacağını açıkladı[25]. Çalışanların sendikalaşmalarının hemen ardından alındığı belirtilen karar kapsamında kuruluşun bahse konu yardım hattını kapatacağı, Tessa adında bir “sağlık sohbet robotu” tanıtılacağı ve çalışanların yerini alacak olan yapay zekâ destekli bu teknolojinin haziran ayı içerisinde uygulamaya geçirilebileceği belirtilmekle birlikte bir sohbet botunun, insanlarda bulunan empati becerisini ne derecede taklit edebileceği sorusunun cevabı merakla bekleniyor.
* Vietnam’da sosyal medya kullanımında kimlik doğrulamasının zorunlu hâle getirileceği bildirildi[26]. Telekomünikasyon Yasası Değişikliğinin bir parçası olarak yıl sonuna kadar yürürlüğe girmesi planlanan düzenlemenin, sosyal medya üzerinden yasaları ihlal eden suçluların takip edilmesini sağlayacağı, bu çerçevede gerek bireysel gerekse kurumsal kullanıcıların kimlik doğrulamasına tabi tutulacakları ve sosyal medya platformlarındaki anonim hesapların bu sayede tarihe karışacağı belirtildi.
