Kişisel Verileri Koruma Kurumu’nun faaliyetleri çerçevesinde, Kurum himayesinde yürütülen bir ‘Toplumsal Farkındalık ve Bilinçlendirme Kampanyası’ olarak hayata geçen ve bir rehber niteliği taşıyan Farkında Ol Güvende Kal; ilgili kişileri kişisel verilerin korunması konusunda bilinçlendirmeyi ve onlara yol göstermeyi amaçlamaktadır. Bu kapsamda, her ay düzenli olarak yayınlanan dünya ve ülkemizde kişisel verilerin korunması kapsamında gündeme gelen Seçilmiş Güncel Gelişmeler' e göz atalım.
Seçilmiş Güncel Gelişmeler 21
Rehber/Çalışma/Düzenleyici İşlemler
* Avrupa Komisyonu, güvenli ve güvenilir şekilde gerçekleştirilecek AB-ABD veri aktarımlarına ilişkin yeterlilik kararı alındığını duyurdu. Konuya ilişkin olarak Komisyon tarafından yayımlanan diğer bir metinde bu kararın ne anlama geldiği, yeterliliğin değerlendirilmesinde dikkate alınan kriterler ile “Veri Gizliliği Çerçevesi”nden ne anlaşılması gerektiği gibi hususlar da dâhil olmak üzere bahse konu yeterlilik kararına ilişkin birtakım sorular cevaplandırıldı.
* Uluslararası Çalışma Örgütü (ILO), insan kaynakları yönetiminin çeşitli alanlarında yapay zekâ kullanımının iş yerinde insan merkezli yaklaşım benimsenmesine engel olabileceğinin vurgulandığı ve kurumsal insan kaynakları yönetiminde yapay zekâ kullanımının ne zaman ve nerede teşvik edilmesi gerektiği ile hangi noktalarda sorunlara neden olabileceği konusunda rehberlik sunulan çalışmasını yayımladı.
* Future of Privacy Forum, yapay zekâya ilişkin raporlarından birisini üretici yapay zekânın işleyişini de dâhil edecek şekilde güncelledi. Üretici yapay zekâ araçlarının geliştirilmesi ve kullanılmasının analiz edildiği raporda, bu teknolojinin temel işleyişi ve gelişimi, üretici yapay zekâ araçlarının kişisel veri kullanım uygulamaları, bu araçlar söz konusu olduğunda kişilerin erişim-düzeltme-silme gibi haklarını anlamlı şekilde kullanabilme becerileri ve araçların ortaya çıkardığı hatalı bilgiler ile “halüsinasyon” olarak adlandırılan durumları en aza indirmede yararlanılabilecek mevcut araç ve yöntemler gibi konulara değinilmektedir.
* Fransa Veri Koruma Otoritesi (CNIL), mobil uygulamalara ilişkin eylem planının bir parçası olarak bu ekosistemdeki çeşitli oyuncuların yükümlülüklerinin açıklığa kavuşturulmasını, uyum süreçlerinin kolaylaştırılmasını ve iyi uygulama örneklerinin tanıtılmasını amaçlayan taslak bir tavsiye metni yayınlandığını ve bu metnin kamuoyu görüşüne sunulduğunu duyurdu.
Geçtiğimiz yıl içerisinde 12 yaş ve üzerindeki Fransız kullanıcıların %87’sinin internete bağlanmak için tercih ettikleri cihazın akıllı telefonlar olduğunu belirten Otorite, akıllı telefonların ve bu telefonlarda bulunan uygulamaların günlük yoğun kullanımlarının kullanıcı mahremiyetinin korunması açısından doğurduğu endişelerin ele alınmasının Otorite’nin önceliklerinden birisi olduğunu ifade etti.
* Kanada Hükümeti, üretici yapay zekâ kullanımının ortaya çıkarabileceği siber güvenlik risklerinin azaltılmasına yönelik olarak yol gösterici mahiyette bir rehber yayımladı. Rehberde, üretici yapay zekâdan hangi alanlarda faydalanıldığı, bu araçların taşıdığı risklerin belirlenmesi, bu risklerin nasıl azaltılabileceği ve bu araçlar kullanılırken göz önünde bulundurulması önem taşıyan noktalar özetlenmektedir.
* İspanya Veri Koruma Otoritesi (AEPD), çerezlerin kullanımına ilişkin rehberini Avrupa Veri Koruma Kurulunun 3/2022 sayı ve “Sosyal Medya Platformu Arayüzlerindeki Karanlık Desen/Kalıplar: Bunları Tanıma ve Bunlardan Kaçınma” başlıklı rehberde belirlenen yönergeleri yansıtacak şekilde güncelledi.
* Fransa Veri Koruma Otoritesi (CNIL), kişisel verilerin uygulama programlama arayüzleri (API) aracılığıyla paylaşılmasına yönelik iyi uygulama örneklerini yayımladı. Bu çerçevede, API kullanımının önerildiği durumları belirleyen ve kuruluşların risk analizi gerçekleştirmelerine yardımcı olacak risk faktörlerini listeleyen Otorite, kuruluşların “istenilen güvenlik düzeyine ulaşmalarına” ve “veri koruma ilkelerine uyum sağlamalarını kolaylaştırmalarına” yardımcı olacak nitelikte tavsiyelere yer verdi.
* Singapur Veri Koruma Otoritesi (PDPC), yapay zekâ destekli tavsiye ve karar alma sistemlerinde kişisel verilerin kullanılmasına ilişkin ilkelerin belirlendiği rehberin kamuoyu görüşüne açıldığını duyurdu. Bahse konu rehberde, ülkede yürürlükte olan kişisel verilerin korunması mevzuatının, makine öğrenmesi modelleri içeren sistemler geliştirilmesi ve uygulanması süreçlerinde kuruluşlar tarafından kişisel verilerin toplanması ve kullanılmasına nasıl uygulanacağının açıklığa kavuşturulması amaçlanmaktadır.
* Yakın zamanda IBM tarafından yayımlanan bir raporda, veri ihlali maliyetlerinin sürekli şekilde arttığı ve küresel ortalama veri ihlali maliyetinin son üç yılda %15 artışla 4.45 milyon dolara ulaştığı ortaya konuldu. Raporda, yapay zekâyı kapsamlı şekilde kullanan kuruluşların veri ihlali yaşam döngülerinin ortalama 108 gün daha kısa olduğu ve yine bu kuruluşların ortalama veri ihlali maliyetinde yaklaşık 1.8 milyon dolar tasarruf sağladıklarına dikkat çekildi.
* 29.07.2023 tarih ve 32263 sayılı Resmî Gazete’de yayımlanan “Sağlık Hizmetlerinde Tanıtım ve Bilgilendirme Faaliyetleri Hakkında Yönetmelik” ile sağlık hizmetlerinde tanıtım ve bilgilendirme faaliyetlerine ilişkin temel ilke ve ölçütler belirlenmekte ve bu faaliyetlerin denetlenmesi ile uygulanacak yaptırımlara ilişkin usul ve esaslar düzenlenmektedir.
* 25.07.2023 tarih ve 32259 sayılı Resmî Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu Kararı ile Veri Sorumluları Siciline kayıt yükümlülüğüne ilişkin istisna kriterinde değişiklik yapıldı. Bu çerçevede 06.07.2023 tarih ve 2023/1154 sayılı Kişisel Verileri Koruma Kurulu Kararı ile, “yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” Sicile kayıt yükümlülüğünden istisna tutuldu.
Haberler
* WhatsApp’ın gizlilik politikasında yapılan değişiklik ile AB’de kişisel verilerin işlenmesine ilişkin yasal dayanak “meşru menfaat” olarak güncellendi. İrlanda Veri Koruma Otoritesi tarafından geçtiğimiz ocak ayı içerisinde uygulanan yaptırımın ardından bahse konu güncellemeyi gerçekleştiren Şirket, gizlilik politikasında yapılan değişikliklerin kullanıcıları, uçtan uca şifrelemeyi veya Meta’ya ait diğer platformlar ile paylaşılan verileri etkilemeyeceğini açıkladı.
* ABD’de akıllı cihazlara yönelik siber güvenlik etiketleme programı duyuruldu. 2024 yılında uygulamaya konulması beklenen siber güvenlik etiketleme programı kapsamında tüketicilerin, Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yayınlanmış olan belirli kriterleri karşılayan ürünlerde bir logo bulacakları ve bu sayede siber saldırılara karşı daha dayanıklı ürünleri seçebilecekleri belirtildi.
* Google’ın üretici yapay zekâ modeli Bard, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) düzenlemelerine uyum sağlanması konusunda yaşanan endişelerin doğurduğu gecikmenin ardından AB’de kullanıma sunuldu.
* Çin’de, ChatGPT gibi üretici yapay zekâ araçlarının düzenlenmesine yönelen bir dizi kural 15 Ağustos tarihinde yürürlüğe girecek. Bu çerçevede; (1) bahse konu kuralların araştırma kurumlarında geliştirilen yapay zekâdan ziyade kamuya sunulan araçlar bakımından uygulama alanı bulacağı, (2) üretici yapay zekâ hizmetlerinin lisanslanması gerekeceği, (3) üretici yapay zekâ hizmet sağlayıcılarının hukuka aykırı içerik üretildiğini fark etmeleri durumunda bunu engellemek, algoritmalarını buna göre geliştirmek ve bu durumu ilgili otoritelere bildirmek gibi birtakım yükümlülüklere tabi kılınacağı, (4) hizmet sağlayıcılarının ürünlerinde güvenlik değerlendirmeleri yapmaları ve kullanıcı bilgilerinin güvende tutulduğundan emin olmaları gerekeceği belirtilmekte ve ayrıca bu hizmetlerin “sosyalizmin temel değerlerine” uygun olarak sunulmasının zorunlu olduğu eklenmektedir.
* ABD Federal Ticaret Komisyonunun (FTC), popüler sohbet botu ChatGPT oluşturulurken tüketicinin korunmasına ilişkin yasaların ihlal edilip edilmediğini ve bu çerçevede bireylerin itibarları ile kişisel verilerinin riske atılıp atılmadığını araştırmak için geniş kapsamlı bir soruşturma açtığı bildirildi. Soruşturma kapsamında OpenAI’dan, ürünlerinin bireyler hakkında “yanlış, yanıltıcı, aşağılayıcı veya zararlı” ifadeler oluşturmasıyla ilgili şikâyetlere yönelik detaylı açıklamaların sunulması ve geçtiğimiz mart ayı içerisinde bazı kullanıcıların ödemeye ilişkin bilgileri ile diğer kullanıcıların sohbet geçmişlerinde yer alan birtakım verilerin görüntülenebilmesine izin veren güvenlik açığı ile ilgili kayıtların sağlanması talep edildi.
* OpenAI, bir metnin insan tarafından mı yoksa bir yapay zekâ tarafından mı oluşturulduğunun ayırt edilebilmesi için tasarlanan “sınıflandırıcı” isimli aracını düşük doğruluk oranı nedeniyle uygulamadan kaldırdı. Geçtiğimiz ocak ayı içerisinde duyurulan ve öğrencilerin makale yazmak için ChatGPT gibi araçları kullanma olasılığına karşı bir önlem olarak görülen araç, yapay zekâ tarafından yazılan metinleri doğru tanımlamada %26, bir insan tarafından oluşturulan metinleri ise tersi şekilde hatalı tanımlamada %9 başarı oranına sahipti. Şirket tarafından yapılan açıklamada, geri bildirimlerin dahil edileceği daha etkili yöntemler üzerinde çalışılmaya devam edildiği ve kullanıcıların işitsel ya da görsel içeriğin yapay zekâ tarafından üretilip üretilmediğini anlamalarını sağlayacak mekanizmalar geliştirileceği belirtildi.
* OpenAI CEO’su Sam Altman, yaklaşık üç yıldır üzerinde çalıştığı ifade edilen ve “distopik” olarak tanımlanan “Worldcoin” isimli kripto para birimi projesini tanıttı. Dijital kimlik oluşturmaya odaklanılan ve bunu yaparken de daha önce benzeri görülmemiş bir teknolojiden faydalanılacağı açıklanan projede, göz kürelerini tarayan “Orb” isimli cihaz sayesinde kullanıcıların World ID olarak tanımlanan kişilik kanıtına sahip olacakları belirtildi. Bu çerçevede Worldcoin’in ekonomik fırsatları büyük ölçüde artırabileceği, küresel demokratik süreçleri etkinleştirebileceği ve insanların çevrim içi yapay zekâdan ayrılması konusunda güvenilir bir çözüm oluşturabileceği ifade edilirken diğer yandan bu teknolojinin kullanıcıların kişisel verilerinin güvenliği, mahremiyetin korunması ile verilerin yanlış kişilerin eline geçmesi açısından taşıdığı risklerin gözden kaçırılmaması gerektiği vurgulanmaktadır.
* Fransa Veri Koruma Otoritesinin (CNIL), kullanıcıların dijital bir kimlik ve belirli ülkelerde ücretsiz kripto para birimi karşılığında iris taramalarını paylaşmaları gerektiren “Worldcoin” projesi kapsamında biyometrik veri toplanmasının yasallığının “sorgulanmaya açık” göründüğünü düşündüğü bildirildi. Diğer yandan geçtiğimiz günlerde, Birleşik Krallık Veri Koruma Otoritesinin (ICO) de bu proje hakkında inceleme başlatacağı duyurulmuştu.
* OpenAI Şirketi’nin, “yapay süper zekâ” sistemlerini kontrol altında tutabilmek ve yönlendirebilmek için “Superalignment” adı altında yeni bir ekip oluşturduğu duyuruldu. Önümüzdeki on yıl içerisinde yapay süper zekâya ulaşılabileceğini ve bu sistemlerin insanlığın günümüze kadar icat ettiği en tehlikeli teknoloji olacağını fakat diğer yandan da dünyanın en önemli sorunlarının birçoğunun bu sistemler sayesinde çözülebileceğini öngören Şirket, yapay süper zekânın teknik zorluklarını ve bu sistemlerin “insan niyeti” doğrultusunda hareket etmesini sağlama problemini dört yıl içerisinde çözmeyi hedefliyor.
