Kişisel Verileri Koruma Kurumu’nun faaliyetleri çerçevesinde, Kurum himayesinde yürütülen bir ‘Toplumsal Farkındalık ve Bilinçlendirme Kampanyası’ olarak hayata geçen ve bir rehber niteliği taşıyan Farkında Ol Güvende Kal; ilgili kişileri kişisel verilerin korunması konusunda bilinçlendirmeyi ve onlara yol göstermeyi amaçlamaktadır. Bu kapsamda, her ay düzenli olarak yayınlanan dünya ve ülkemizde kişisel verilerin korunması kapsamında gündeme gelen Seçilmiş Güncel Gelişmeler' e göz atalım.
Seçilmiş Güncel Gelişmeler 30
Rehber/Çalışma/Düzenleyici İşlemler
* Avrupa Komisyonu, Avrupa Yapay Zekâ Ofisi kurulmasına ilişkin 24.01.2024 tarihli kararını yayımladı. Bahse konu Karar’da, Komisyon bünyesinde kurulması öngörülen Yapay Zekâ Ofisi’nin görevleri arasında;
– Genel amaçlı yapay zekâ modellerinin, özellikle de sistemik riskleri olan çok büyük genel amaçlı yapay zekâ modellerinin, yeteneklerini değerlendirmek için araçlar, metodolojiler ve kriterler geliştirilmesi,
– Özellikle modelin ve sistemin aynı sağlayıcı tarafından geliştirildiği durumlarda, genel amaçlı yapay zekâ modelleri ve sistemlerine ilişkin kuralların uygulanmasının izlenmesi,
– Bilimsel panelden gelen uyarılara yanıt vermek de dâhil olmak üzere, genel amaçlı yapay zekâ modellerinden kaynaklanan öngörülemeyen risklerin ortaya çıkmasının izlenmesi,
– Genel amaçlı yapay zekâ modelleri ve sistemlerine ilişkin olası kural ihlallerinin araştırılması,
– Yasaklanmış yapay zekâ uygulamaları ve yüksek riskli yapay zekâ sistemlerine ilişkin kuralların sektörel düzenlemeler kapsamında sorumlu olan ilgili kurumlarla koordineli şekilde uygulanmasının desteklenmesi sayıldı.
* Birleşik Krallık Veri Koruma Otoritesi (ICO), üretici yapay zekâya ilişkin bir istişare serisi başlatıldığını duyurdu. Veri koruma düzenlemelerinin birtakım yönlerinin teknolojinin geliştirilmesi ve kullanılmasına nasıl uygulanması gerektiğinin incelenmesi amacıyla başlatıldığı belirtilen seride; üretici yapay zekâ modellerini eğitmek için uygun yasal dayanağın ne olduğu, amacın sınırlandırılması ilkesinin üretici yapay zekâ geliştirme bağlamında nasıl işlediği, verilerin doğruluğunun sağlanması ilkesine uyum sağlama konusunda beklentilerin neler olduğu ve ilgili kişilerin haklarını kullanmalarının nasıl sağlanabileceği gibi konuların ele alınacağı belirtildi. Konuya ilişkin olarak Otorite tarafından yapılan açıklamada; üretici yapay zekâ geliştiricileri ve kullanıcıları, bu alanda çalışan danışmanlar, sivil toplum kuruluşları ve konu ile ilgisi bulunan diğer kamu kurumları da dahil olmak üzere bir dizi paydaştan görüş talep edildiği ve ilk istişare kapsamında 01.03.2024’e kadar görüşlerin iletilebileceği ifade edildi.
* İtalya Veri Koruma Otoritesi (Garante), fitness takip cihazları ve uygulamalarında kişisel verilerin korunmasına yönelik olarak yol gösterici mahiyette bir içerik yayımladı. Bu çerçevede söz konusu içerikte;
– Kullanıcıların hangi kişisel verilerinin toplanacağı/bunların nasıl kullanılacağı/ne kadar süre ile saklanacağı vb. gibi hususlara yönelik yapılan bilgilendirmenin dikkatli bir şekilde incelenmesi,
– Cihazın veya uygulamanın normal fonksiyonlarını yerine getirmesi için işlenmesine gerek bulunmayan verilerin paylaşılmasından kaçınılması,
– Cihazın veya uygulamanın çalışması için diğer cihazlara bağlantı sağlanmasının gerekli olmadığı durumlarda bu şekilde bağlantılara izin verilmemesi,
– Kişisel veri güvenliğinin sağlanmasına (karmaşık ve güvenli şifreler belirlenmesi, uygulamaya yönelik güncellemelerin takip edilmesi, çok faktörlü kimlik doğrulamanın etkinleştirilmesi, kullanıcının olası kişisel veri ihlallerinden korunmasına yardımcı olabilecek bir antivirüs yazılımı yüklenmesi, uygulamanın resmi internet siteleri ve uygulama marketleri üzerinden indirilmesi vb.) dikkat edilmesi,
– Cihazda veya uygulamada bulunan verilerin periyodik aralıklarla silinmesi,
– Genel olarak spor performansı izleme cihazlarının ve uygulamalarının bir yetişkinin gözetiminde olmadığı sürece çocuklar tarafından kullanılmasından kaçınılması,
– Fayda sağlanmadığı durumlarda cihazın kapatılması,
– Cihazın satılması veya başkasına verilmesi gibi durumlarda cihaz ile ilişkilendirilen kişisel hesabın devre dışı bırakılması ve cihazda/uygulamada kayıtlı olan tüm verilerin silinmesi yönünde tavsiyelerde bulunulmaktadır.
* Fransa Veri Koruma Otoritesi (CNIL), bulut bilişimde veri şifreleme ve güvenliğin sağlanmasına ilişkin olarak yol gösterici mahiyette iki adet doküman yayımladı. Bu dokümanlarda, uçtan uca şifreleme dâhil olmak üzere veri şifreleme yöntemleri ve bulutta verilerin güvenliğinin sağlanmasının önemine yönelik analizler gerçekleştirilmektedir.
* ABD Federal Ticaret Komisyonu (FTC), “Mahremiyetin DNA’sı ve DNA’nın Mahremiyeti” başlıklı bir blog yazısı ile bireylerin DNA verilerinin güvenli bir şekilde saklanmasına yönelik olarak yol gösterici mahiyette önerilerde bulundu. DNA test kiti sunan şirketlerin, DNA verilerinin hassas doğası nedeniyle sağlam veri güvenliği sistemlerine sahip olmalarını tavsiye eden Otorite, testlerin doğruluğunu abartmak ve müşteri verilerinin satışı için rıza almaya yönelik aldatıcı girişimler dahil olmak üzere DNA testi firmalarının incelenebileceği alanları da belirledi.
* Birleşik Krallık Lordlar Kamarası bünyesinde faaliyet gösteren İletişim ve Dijital Komitesi “Büyük Dil Modelleri ve Üretici Yapay Zekâ” başlıklı bir çalışma yayımladı. Büyük dil modellerinin internetin icadı ile karşılaştırılabilecek ölçüde çığır açıcı değişiklikler yaratacağı öngörülen raporda; “büyük dil modeli” kavramına yönelik yönelik temel hususlar, farklı model ve yaklaşım türleri, düzenleyici çerçeve, bu modellerin kullanımının kuruluşlar/çalışanlar/toplum açısından sağlayabileceği faydalar ile ortaya çıkarabileceği riskler gibi konular ele alınmaktadır.
* Danimarka Veri Koruma Otoritesi (Datatilsynet), gündelik hayatta yaygın şekilde karşılaşılan veri ihlali senaryolarının değerlendirildiği bir içerik yayımladı. On adet yaygın veri ihlali senaryosu üzerinden, bu ihlallerin nasıl ele alınabileceğine ilişkin tavsiyelerde bulunulan bu çalışmada; dijital araçlardaki verilerin silinememesi, şifrelenmemiş veri içeren cihazların kaybı, otomatik olarak doldurulan formlara güvenilmesi nedeniyle e-postaların yanlış kişilere gönderilmesi, ağ sürücüleri üzerindeki verilere geniş çaplı erişim sağlanması, kötü amaçlı yazılımın verilerin kaybolmasına ve kötüye kullanılmasına neden olması gibi durumlar incelenmektedir.
* ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), yapay zekâ sistemlerinin davranışını manipüle eden siber saldırı türlerinin belirlendiği ve bu saldırıların azaltılmasına yönelik yaklaşımların incelendiği bir çalışma yayımladı.
* Birleşik Krallık Baro Konseyi, ChatGPT veya büyük dil modellerine dayalı diğer üretici yapay zekâ yazılımlarını kullanırken avukatların dikkat etmeleri gereken hususlara yönelik olarak yol gösterici mahiyette bir rehber yayımladı. Yasal hizmetlerin sunulması sürecinde güvenilir yapay zekâ araçlarının kullanılması doğası gereği uygunsuz bir faaliyet olmamakla birlikte bu araçların doğru ve sorumlu bir şekilde kullanılmasına vurgu yapılan rehberde; halüsinasyonlar, bilgi yanlışlıkları, eğitim verisindeki ön yargılar, hatalar ve gizli nitelikli bilgelerin bu sistemlere yüklenmesi de dâhil olmak üzere büyük dil modellerinin kullanımı ile ilişkili temel riskler ortaya konulmaktadır.
Diğer yandan bahse konu Rehber’de;
– Olası halüsinasyonlar ve ön yargılar nedeniyle, büyük dil modelleri yazılımlarının çıktılarının doğrulaması ve oluşturulan çıktıları kontrol etmek için uygun prosedürlerin uygulanması,
– Büyük dil modellerinin mesleki muhakemenin, üstün düzeyde hukuki analizin ve uzmanlığın yerine geçmemesi,
– Özel nitelikli/gizli bilgilerin büyük dil modeli sistemleri ile paylaşılmaması,
– Büyük dil modelleri tarafından oluşturulan içeriğin fikri mülkiyet haklarını ihlal edip etmediğinin değerlendirilmesi,
– Tarafların dava materyallerini hazırlamalarında üretici yapay zekâdan faydalanıp faydalanmadıklarını açıklamalarını gerektirebilecek medeni usul hukuku kurallarına riayet edilmesi yönünde tavsiyelerde bulunulmaktadır.
* Kurumumuz tarafından hazırlanan “Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber” yayımlandı.
* “Deepfake” (derin kurgu/derin sahte) teknolojisinin daha iyi anlaşılabilmesi amacıyla, Kurumumuz tarafından konuya ilişkin bir bilgi notu yayımlandı. Bahse konu dokümanda, bu teknolojinin tanımına, ne için kullanıldığına, kişisel veriler açısından oluşturduğu tehditlere, nasıl tespit edilebileceğine ve kişilerin/kurumların neler yapabileceğine ilişkin bilgiler yer almaktadır.
* Seçim faaliyetlerinde yer alan kamu idarelerine, siyasi partilere, adaylara ve seçmenlere Kanun kapsamında yerine getirmeleri gereken yükümlülüklerin veya sahip oldukları hakların hatırlatılması amacıyla, seçim faaliyetleri (seçmen kütüğünün düzenlenmesi, güncellenmesi, askıya çıkartılması, aday adaylığı, aday gösterme, kesin aday listelerinin ilanı, seçim propagandası, kamuoyu araştırmaları, oy verme vb.) kapsamında işlenen muhtelif kişisel verilere ilişkin olarak Kurumumuz tarafından “Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi” yayımlanmıştır.
Haberler
* Birleşik Krallık Veri Koruma Otoritesi (ICO), ülkede en çok ziyaret edilen bazı internet sitelerine, çerez uygulamalarını veri koruma düzenlemelerine uygun hâle getirmeleri ve aksi takdirde yaptırımlarla karşılaşacakları yönünde geçtiğimiz kasım ayı içerisinde uyarıda bulunulmasının ardından, olumlu geri dönüşler alındığını duyurdu. Bu kapsamda, ülkenin en popüler 100 adet internet sitesinden 53’üne reklam/pazarlama çerezlerinin mevzuata uygunluğunu sağlama konusunda uyarıda bulunulduğu, bunlardan 38 tanesinin çerez bantlarında değişikliğe gittiği ve 4 tanesinin ise şubat ayının sonuna kadar uyumluluğu sağlamayı taahhüt ettiği belirtildi. Diğer yandan, Otorite’nin bir sonraki hamlesinin ise söz konusu internet sitelerini takip eden, ülkenin en popüler 200 internet sitesine uyarıda bulunmak olacağı ifade edildi.
* Avrupa Veri Koruma Kurulu (EDPB), internet sitelerinin mevcut veri koruma düzenlemeleri ile uyumlu olup olmadığının analiz edilmesine yardımcı olması için kullanılabilecek bir internet sitesi denetim aracının kullanıma sunulduğunu duyurdu. Ücretsiz ve açık kaynak kodlu şekilde sunulan bu yazılımın, veri sorumluları ile veri işleyenlerin yanı sıra veri koruma otoriteleri tarafından yürütülen incelemeler açısından da fayda sağlayabileceği ifade edildi.
* İtalya Veri Koruma Otoritesi (Garante) tarafından yapılan 29.01.2024 tarihli duyuruda; ChatGPT’nin Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki ihlallerine ilişkin olarak OpenAI Şirketi’ne bildirimde bulunulduğu belirtildi. Bu çerçevede, iddia edilen ihlallere yönelik beyanlarını sunmaları için Şirket’e 30 günlük süre tanındığı ve incelemeye ilişkin nihai kararın Avrupa Veri Koruma Kurulu (EDPB) tarafından oluşturulan özel görev gücü kapsamında yürütülen çalışmalar dikkate alınarak verileceği ifade edildi.
* ABD Federal Ticaret Komisyonu’nun (FTC), Alphabet, Amazon, Anthropic, Microsoft ve OpenAI’ın üretici yapay zekâ yatırımları ve ortaklıkları hakkında soruşturma başlattığı duyuruldu. Bahse konu soruşturma kapsamında, ilgili pazarda hâkim konumda olan şirketler tarafından sürdürülen yatırımların ve ortaklıkların, pazardaki inovasyonu bozma ve adil rekabeti baltalama riski taşıyıp taşımadığının değerlendirileceği belirtildi.
* ABD’nin Florida eyaletinde Temsilciler Meclisi’nin, 16 yaşından küçük çocukların sosyal medya kullanımını yasaklayan tasarıyı kabul ettiği ve düzenlemenin Senato’ya gönderildiği bildirildi. Bu kapsamda, 16 yaşın altındaki çocukların yeni bir sosyal medya hesabı oluşturmaları yasaklanırken, platformların da bu kişilerin sahip oldukları mevcut hesapları ve bu hesaplardan ulaşılabilen her türlü kişisel veriyi silmeleri zorunlu tutulmaktadır. Diğer yandan platformların, kullanıcıların yaşını doğrulamak için “sosyal medya platformu ile bağlantısı bulunmayan, sivil ve bağımsız bir üçüncü taraf” hizmeti kullanmaları gerekmektedir.