Kişisel Verileri Koruma Kurumu’nun faaliyetleri çerçevesinde, Kurum himayesinde yürütülen bir ‘Toplumsal Farkındalık ve Bilinçlendirme Kampanyası’ olarak hayata geçen ve bir rehber niteliği taşıyan Farkında Ol Güvende Kal; ilgili kişileri kişisel verilerin korunması konusunda bilinçlendirmeyi ve onlara yol göstermeyi amaçlamaktadır. Bu kapsamda, her ay düzenli olarak yayınlanan dünya ve ülkemizde kişisel verilerin korunması kapsamında gündeme gelen Seçilmiş Güncel Gelişmeler' e göz atalım.
Seçilmiş Güncel Gelişmeler 27
Rehber/Çalışma/Düzenleyici İşlemler
* İspanya Veri Koruma Otoritesi (AEPD), “Sentetik Veriler ve Veri Koruma” başlıklı bir blog yazısı yayımladı. Sentetik verilere ilişkin olarak kapsamlı açıklamalara yer verilen yazıda; makine öğrenmesi süreçlerinde sentetik verilerden nasıl faydalanılabileceği, kuruluşların ticari sırlarını tehlikeye sokmadan veri paylaşımına olanak tanıyan bir yol olarak sentetik verilerin nasıl işlev görebileceği ve sentetik verilerin mahremiyetin korunmasına yönelik bir teknik olarak nasıl kullanılabileceği konuları incelenmektedir.
* OECD, 2019 yılında kabul edilen güvenilir yapay zekâ politikalarına yönelik tavsiye kararını 08.11.2023 tarihinde güncelleyerek “yapay zekâ sistemleri”ne yönelik yeni bir tanım getirdi. Bu doğrultuda ilgili metinde, “Bir yapay zekâ sistemi, açık veya örtülü hedefler için, aldığı girdilerden fiziksel veya sanal ortamları etkileyebilecek tahminler, içerik, tavsiyeler veya kararlar gibi çıktıların nasıl üretileceğini çıkarsayan makine tabanlı bir sistemdir. Farklı yapay zekâ sistemleri, dağıtımdan sonra özerklik ve uyarlanabilirlik seviyeleri bakımından farklılık gösterir.” şeklinde bir ifade kullanıldı. Bu çerçevede bahse konu tanımın, AB Yapay Zekâ Yasası’na dahil edilmesi beklenmektedir.
* 15-20 Ekim tarihlerinde, 45’incisi Bermuda’da gerçekleştirilen Küresel Mahremiyet Asamblesinde (Global Privacy Assembly) kabul edilen kararlar yayımlandı. Yapay zekâ ve istihdam, sağlık verileri ve bilimsel araştırma, küresel veri koruma standartları oluşturulması vb. gibi kararlar arasında yer alan “Üretici Yapay Zekâ Sistemlerine Yönelik Karar”da; üretici yapay zekâ sistemleri geliştirilmesi, işletilmesi ve kullanılması bağlamında, mevcut veri koruma ve mahremiyet düzenlemelerinin temel unsurlar olarak ele alınması gerektiği vurgulandı.
Kararlar
* Avrupa Birliği Adalet Divanı’nın (ABAD) C-307/22 sayılı kararında, bir hastanın tıbbi kayıtlarının ilk kopyasını ücretsiz olarak alma hakkına sahip olduğu hükme bağlanmıştır. Karara konu olayda; diş bakımı sürecinde meydana geldiği iddia edilen bir hatayı ispatlamak amacıyla tıbbi kayıtların bir kopyası hasta tarafından diş hekiminden talep edilmiş olmakla birlikte ilgili diş hekimi, Alman yasalarında öngörüldüğü üzere tıbbi kayıtların bir kopyasının sağlanması ile ilgili masrafların karşılanmasını talep etmiştir. Somut olaya ilişkin yapılan değerlendirme neticesinde ABAD; söz konusu diş hekiminin hastanın kişisel verileri bakımından veri sorumlusu olarak görülmesi gerektiği, bu nedenle verilerinin ilk kopyasını hastaya ücretsiz olarak sağlamakla yükümlü olduğu, yalnızca hastanın verilerinin ilk kopyasını ücretsiz olarak edindiği ve bu verilerin bir kopyasını bir kez daha talep ettiği durumlarda kendisinden ücret talep edilebileceği, hastanın bahse konu talebe ilişkin gerekçelerini sunmak zorunda olmadığı ve hastanın tıbbi kayıtlarında yer alan belgelerin tam bir kopyasını alma hakkına sahip olduğu yönünde belirlemelerde bulunmuştur.
* Avrupa Veri Koruma Kurulu (EDPB), Meta’nın davranışsal reklamcılık amacı doğrultusunda kişisel veri işlemesini yasaklayan bağlayıcı bir karar aldı. Norveç Veri Koruma Otoritesi’nin talebi üzerine alınan ve Avrupa Ekonomik Alanında etkili olacak Karar kapsamında, Meta’nın sözleşme ve meşru menfaat yasal temellerine dayanarak davranışsal reklamcılık amacıyla kişisel veri işlemesinin hukuka uygun olmadığı belirtildi.
Haberler
* Veri Yasası’nın (Data Act) Avrupa Parlamentosu tarafından 09.11.2023 tarihinde kabul edildiği ve yasalaşması için Avrupa Konseyi tarafından resmi olarak onaylanmasının beklendiği duyuruldu.
* Birleşik Krallık Veri Koruma Otoritesi (ICO) ile Avrupa Veri Koruma Denetçisinin (EDPS), bireylerin kişisel verilerinin ve mahremiyetinin korunmasına ilişkin çalışmalara yönelik mutabakat zaptı imzaladıkları duyuruldu. Bu kapsamda, yetkililerin deneyimlerini ve iyi uygulama örneklerini paylaşmaları, belirli projelerde iş birliği yapılması, düzenleyici çalışmaları desteklemek üzere bilgi paylaşımı gerçekleştirilmesi ve veri koruma otoriteleri ile diğer düzenleyici otoriteler arasındaki diyaloğun teşvik edilmesi amaçlanmaktadır.
* Avrupa Veri Koruma Kuruluna (EDPB) danışmanlık veren bir uzman tarafından İrlanda Veri Koruma Otoritesine (DPC) iletilen bir şikâyette, YouTube’un Ekim ayının başında kullanıma sunduğu reklam engelleyici tespit sistemi için kullanıcılardan açık rıza alınmamasının hukuka aykırılık taşıdığı ve bu kapsamda E-Gizlilik Direktifi’nin ihlal edildiği iddia edildi. Bu çerçevede, E-Gizlilik Direktifi uyarınca çevrim içi hizmet sağlayıcıların bir kullanıcının sistem yapılandırması hakkında bilgi edinmek için açık rıza almaları gerektiği, YouTube’un JavaScript tabanlı algılama komut dosyaları kullanımının da bu gereksinime tabi olduğu ancak Şirket tarafından buna aykırı şekilde hareket edildiği ileri sürüldü.
* Hollywood yıldızı Scarlett Johansson’un, merkezi İstanbul’da bulunan bir Türk firması olan Convert Yazılım Limited Şirketi’nin ürünlerinden olan “Lisa AI: 90s Yearbook&Avatar” uygulamasına karşı yasal işlem başlattığı bildirildi. Temel yetenekleri arasında, kullanıcıların yapay zekâ aracılığı ile kendi avatarlarını oluşturabilmeleri bulunan bu platform, Johansson’dan izin alınmaksızın yüzünün 22 saniyelik video reklamlarında kullanılması ve sesinin taklit edilmesi suretiyle yapay zekâ uygulamasının tanıtılması ile suçlandı. Bahse konu reklama 28 Ekim tarihinden itibaren erişim sağlanamamakla birlikte, reklamın altında bulunan yazılarda “Resimler, Lisa AI tarafından üretilmiştir. Bu kişi ile ilgisi bulunmamaktadır” şeklinde bir ibareye yer verildiği belirtildi.
* Dünyada bir ilk teşkil edecek şekilde, bir yapay zekânın başka bir yapay zekâ ile herhangi bir insan müdahalesi olmaksızın özerk bir şekilde sözleşme müzakere ettiği ve bir gizlilik sözleşmesinin birkaç dakika içerisinde sonuçlandırıldığı bildirildi. Bu kapsamda İngiliz yapay zekâ firması Luminance tarafından geliştirilen “Autopilot” isimli yapay zekânın; avukatların genellikle günlük olarak tamamlamaları gereken evrak işlerinin çoğunu ortadan kaldırmayı amaçladığı, “yardımcı pilot” gibi hareket edecek şekilde tasarlanan yapay zekâ aracının günlük müzakereleri yürütebildiği ve sorunlu olabilecek hükümleri belirleme amacıyla bir sözleşmeyi inceleyebildiği belirtildi. Diğer yandan, bahse konu yazılım insan müdahalesinden bağımsız şekilde çalışabilmekle birlikte, kişilerin sürecin her adımını inceleyebildikleri ve yapay zekâ tarafından yapılan tüm değişikliklerin kaydının tutulduğu da ifade edildi.