Kişisel Verileri Koruma Kurumu’nun faaliyetleri çerçevesinde, Kurum himayesinde yürütülen bir ‘Toplumsal Farkındalık ve Bilinçlendirme Kampanyası’ olarak hayata geçen ve bir rehber niteliği taşıyan Farkında Ol Güvende Kal; ilgili kişileri kişisel verilerin korunması konusunda bilinçlendirmeyi ve onlara yol göstermeyi amaçlamaktadır. Bu kapsamda, her ay düzenli olarak yayınlanan dünya ve ülkemizde kişisel verilerin korunması kapsamında gündeme gelen Seçilmiş Güncel Gelişmeler' e göz atalım.
Seçilmiş Güncel Gelişmeler 13
Rehber/Çalışma/Düzenleyici İşlemler
* Avrupa İnsan Hakları Mahkemesi, “İş Yerinde Gözetim” konusuna yönelik çeşitli karar özetlerinin yer aldığı bilgi notunun Aralık 2022’de güncellenen versiyonunu yayımladı[1]. Bu derleme kapsamında; telefon ve internet kullanımının izlenmesi, iş bilgisayarında saklanan kişisel dosyaların açılması, video gözetimi ve GPS sistemi başlıkları üzerinden konu ile ilgili önemli kararlara değiniliyor.
* Avrupa Veri Koruma Denetçisi (EDPS), anlık para transferlerinin verimli ve doğru şekilde kullanımının artırılmasının amaçlandığı düzenleme önerisine ilişkin görüşünü yayımladı[2]. Bu çerçevede, bireylerin gündelik hayatta sıkça gerçekleştirdikleri para transferleri sırasında ödeme verilerinin ve ilgili diğer kişisel verilerinin güvenli şekilde korunduğuna güvenebilmelerinin önemli olduğuna dikkat çekildi.
* Birleşik Krallık Veri Koruma Otoritesi (ICO), önümüzdeki iki ila beş yıl içerisindeki süreçte, mahremiyete yönelik en önemli teknolojik gelişmelerden bazılarının ortaya çıkaracağı sonuçların ele alındığı bir rapor yayımladı[3]. Raporda tüketici sağlığı teknolojisi, yeni nesil nesnelerin interneti, çevreleyici/sarmal teknolojiler ve merkezi olmayan finans olmak üzere dört trend incelenmektedir.
* Avrupa Komisyonu bünyesindeki Ortak Araştırma Merkezi (JRC) tarafından yayımlanan bir raporda, blok zinciri teknolojisinin kamu sektöründeki kullanımı ele alınmaktadır[4]. Avrupa’da kamu sektöründe blok zinciri uygulamalarının kullanımına ilişkin genel bir bakış sunulan raporda, blok zinciri teknolojisinin kamu idarelerinin etkinliğini ve verimliliğini önemli ölçüde artırabileceği vurgulanmakla birlikte bu teknolojinin benimsenmesini sağlamada kamu otoriteleri ile politika yapıcılarına düşen roller açıklanmakta ve bu çerçevede çeşitli çözüm önerilerinde bulunulmaktadır.
* 29.12.2022 tarih ve 32058 sayılı Resmî Gazete’de “Elektronik Ticaret Aracı Hizmet Sağlayıcı ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik” yayımlandı[5]. Düzenlemenin amaç maddesinde, bu Yönetmelik’in amacının; etkin ve adil rekabet ortamının tesis edilmesini ve elektronik ticaretin gelişiminin sağlanmasını teminen elektronik ticaret aracı hizmet sağlayıcı ve elektronik ticaret hizmet sağlayıcıların faaliyet ve denetimleri ile bunlar arasındaki ticari ilişkilerin düzenlenmesine yönelik usul ve esasları belirlemek olduğu belirtilmektedir.
Yargı Kararları
* 20.12.2022 tarih ve 32049 sayılı Resmî Gazete’de yayımlanan 2018/6161 başvuru numaralı ve 28.06.2022 tarihli Anayasa Mahkemesi kararında; başvurucunun kullandığı telefon hattı ile ilgili bilgilerin verilmesine yönelik talebin reddedilmesi nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkı ile bağlantılı olarak etkili başvuru hakkının ihlal edildiği iddiası ele alınmıştır[6].
Karara konu olayda; başvurucu, müşterisi olduğu iletişim hizmetleri şirketinden, kullandığı telefon hattına ait 2014-2015 yıllarının internet verilerini, log kayıtlarını, telefonunun IMEI bilgilerini, Hot Spot kullandığı tarih bilgisini istemiş ve cep telefonu üzerinden internet kullandığında başka abonelerle ortak aldığı IP numaralarının bu ortak kullanımlardaki diğer abonelere ait telefonların kendisinin telefon numarasıyla aynı, tek IP numarası aldığı tarihlerdeki log kayıtlarına ilişkin veri bilgisinin kendisi ile paylaşılmasını talep etmiştir. Şirket tarafından bu talebinin karşılanmaması üzerine başvurucu yetkili tüketici mahkemesinde dava açmış; ancak bahse konu Mahkeme tespiti talep edilen hususların bir hak ya da hukuki ilişkiden ziyade maddi verilere ilişkin olması ve mahkeme nezdinde güncel bir yarar bulunmadığından dolayı menfaat şartı yokluğu nedenleriyle esasa girilmeksizin davanın reddine karar vermiştir. Karara karşı yapılan istinaf başvurusu üzerine yetkili Bölge Adliye Mahkemesi de başvurucunun bu talebini esastan reddetmiştir.
Anayasa Mahkemesi tarafından yapılan değerlendirmede; bu başvurunun temelde mevcut yargısal sistemin etkili bir şekilde işletilmemesine ilişkin olduğu, kişisel verilerin korunması hakkına müdahale teşkil ettiği ileri sürülen iddiaların esasının incelenmesine imkân sağlayan ve gerektiğinde uygun bir telafi yöntemi sunan etkili hukuk yollarının varlığının ilgililere etkili başvuru hakkı sağlanması bakımından bir gereklilik teşkil ettiği, yargılama sürecinde verilen kişisel verilere erişim talebinin reddi kararında Anayasa’nın 20. maddesinde düzenlenen kişisel verilerin korunmasını isteme hakkının gerekliliklerine uygun bir sebep gösterilmediği ve böyle bir uygulamayı haklı kılabilecek ilgili ve yeterli bir gerekçenin ortaya konulmadığı gibi belirlemelerden hareketle başvuru konusu olayda, Anayasa’nın 20. maddesinde yer alan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkı ile bağlantılı etkili başvuru hakkının ihlal edildiğine karar verilmiştir.
* Avrupa Birliği Adalet Divanı (ABAD) C-154/21 sayılı kararında, GDPR kapsamında bireylere tanınan erişim hakkı kapsamında bireyler, kişisel verilerinin paylaşıldığı kişileri bilme hakkına sahip olmakla birlikte alıcıların tespit edilmesinin imkânsız olması veya talebin açıkça dayanaktan yoksun ya da aşırı olması durumunda, veri sorumlusunun istisnai olarak yalnızca alıcı kategorilerini belirtebileceğine hükmetti[7].
Genel Haberler
* Tasarımla mahremiyet (privacy by design), tüketicilerin korunması kapsamında tüketim malları ve hizmetleri açısından bir standart hâline geliyor[8]. Şubat ayı içerisinde, Uluslararası Standardizasyon Teşkilatı (ISO) tarafından ISO 31700 olarak kabul edilmesi planlanan bu standardın; mahremiyetlerinin korunmasına yönelik olarak tüketicilere bilgi sağlanması, mahremiyet risk değerlendirmeleri yürütülmesi, veri yönetimine ilişkin uygun bir döngü tasarlanması ve bir veri ihlalinin en doğru şekilde yönetilmesi gibi hususları içerdiği belirtiliyor.
* Son dönemin en popüler araçlarından ChatGPT, yetenekleri kadar olumsuz olabileceği düşünülen özellikleri ile de uzun süre gündemde kalacak gibi gözüküyor. Bu çerçevede, öğrencilerin eğitimi üzerinde olumsuz etkiler yarattığına yönelik endişe duyulduğu ve sorulara hızlı şekilde kolayca yanıt alınabilmekle birlikte aracın kullanımının akademik ve yaşam boyu başarı için gerekli olan eleştirel düşünme ve problem çözme becerilerini geliştirmeyeceği endişesiyle New York’taki okullarda cihazlar ve ağlar üzerinden ChatGPT’nin kullanımının yasaklandığı duyuruldu[9]. Benzer şekilde Avustralya’daki üniversitelerde, öğrencilerin makale yazmak için ChatGPT gibi gelişmekte olan yapay zekâ araçlarını kullandıklarının anlaşılmasından sonra bunun genele yayılmasından korkulduğu için “kâğıt ve kalem ile yapılan” klasik sınavlara dönülebileceği belirtildi[10]. Buna uygun olarak sınavların ve diğer değerlendirme yöntemlerinin değiştirilmeye başlandığı üniversitelerde, yapay zekâ kullanımının kopya çekmek olduğunu belirten yeni kurallar eklendi.
* DoNotPay isimli yapay zekâ şirketinin, mahkemede bir insanı savunmak üzere robot geliştirdiği bildirildi[11]. Hukuk hizmetlerine yönelik sohbet botları geliştiren bu şirketin tasarladığı robot, bir trafik cezasına ilişkin olarak önümüzdeki şubat ayı içerisinde görülecek davada sanığın savunmasında görev alacak. Bu çerçevede yapay zekânın tartışmaları gerçek zamanlı olarak dinlemesi, karşı argümanları bir kulaklık aracılığıyla sanığa iletmesi ve sanığın yalnızca yapay zekânın kendisine önerdiği hususları söylemesi planlanırken; ürününe oldukça güven duyan Şirket’in, söz konusu davanın aksi yönde ilerlemesi durumunda gündeme gelecek tüm cezaları karşılama sözü verdiği belirtildi.
* Louisiana eyaletinde yetkililerin kullandıkları yüz tanıma teknolojisinin, hırsızlık suçlaması ile yanlış kişinin tutuklanmasına ve bu kişinin altı gün boyunca hapiste kalmasına yol açtığı bildirildi[12]. Hiçbir zaman söz konusu eyalette bulunmadığını ve gerçek suçlu ile arasında yaklaşık 20 kiloluk bir fark bulunduğunu belirten bu kişinin siyahi olmasından kaynaklı olarak yapay zekâ tarafından ayrımcılığa uğramış olabileceği düşünülüyor.
* New York’ta bulunan Madison Square Garden’da, arenanın sahibini dava eden kişileri temsil eden avukatların, arenada gerçekleşen konser ve spor etkinliklerinden uzak tutulmalarını sağlamak için, bu kişilerin “dışlama listesine” konulduğu ve alana girmelerini önlemede yüz tanıma sistemlerinden yararlanıldığı ortaya çıkarıldı[13]. Şirket tarafından yapılan açıklamada, geçtiğimiz yıl içerisinde yürürlüğe giren ve yüz tanıma gibi biyometrik teknolojilerin kullanımda olduğu konusunda ticari kuruluşlara, müşterileri bilgilendirme yükümlülüğü getiren düzenlemeye uygun şekilde misafirlerin ve kamunun bilgilendirildiği ifade edilmekle birlikte bu duruma karşı açılan davada, şehirde yüz tanıma teknolojisinin kullanımı yasal olmakla birlikte oluşturulan “dışlama listesinin” yasak olduğu belirtildi.
* 28 Ocak 1981 tarihinde 108 Sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme” imzaya açılmış olup Türkiye, bu sözleşmeyi ilk imzalayan ülkeler arasında yer almıştır. 2006 yılında Avrupa Konseyi tarafından 28 Ocak günü Avrupa Veri Koruma Günü olarak ilan edilmiş ve 2016 yılından itibaren ülkemizde de bu tarih Veri Koruma Günü olarak kutlanmaktadır. Bu yıl Veri Koruma Günü, 28 Ocak 2023’te Nevşehir Hacı Bektaş Veli Üniversitesi Kültür ve Kongre Merkezinde gerçekleştirilecek “108 Sayılı Sözleşme’nin 42. Yılında Türkiye’de Kişisel Verilerin Korunması” konferansı ile kutlanacaktır. Konferansta; unutulma hakkı, 108 sayılı Sözleşme, yapay zekâ uygulamalarında kişisel verilerin korunması ve blokzinciri teknolojisinin kişisel verilerin korunması mevzuatı açısından değerlendirilmesi gibi konular ele alınacaktır[14].
