Kişisel Verileri Koruma Kurumu’nun faaliyetleri çerçevesinde, Kurum himayesinde yürütülen bir ‘Toplumsal Farkındalık ve Bilinçlendirme Kampanyası’ olarak hayata geçen ve bir rehber niteliği taşıyan Farkında Ol Güvende Kal; ilgili kişileri kişisel verilerin korunması konusunda bilinçlendirmeyi ve onlara yol göstermeyi amaçlamaktadır. Bu kapsamda, her ay düzenli olarak yayınlanan dünya ve ülkemizde kişisel verilerin korunması kapsamında gündeme gelen Seçilmiş Güncel Gelişmeler' e göz atalım.
Seçilmiş Güncel Gelişmeler 20
Rehber/Çalışma/Düzenleyici İşlemler
* Birleşik Krallık Veri Koruma Otoritesi (ICO), mahremiyet artırıcı teknolojilerin ayrıntılı şekilde ele alındığı bir rehber yayımladı. Rehberin ilk bölümünde, veri koruma düzenlemelerine uyum sağlanması noktasında bu teknolojilerden nasıl fayda sağlanabileceği açıklanırken; teknik kısmında ise diferansiyel mahremiyet, sentetik veri, homomorfik şifreleme, sıfır bilgi kanıtı, güvenilir işletim ortamı, güvenli çok taraflı hesaplama, özel küme kesişimi ve federe öğrenme olmak üzere sekiz adet teknik incelenmekte ve bu teknolojilerin faydaları ile risklerine değinilmektedir.
* Avrupa Parlamentosu Hukuk İşleri Komitesinin (JURI) talebi üzerine hazırlanan “Metaverse” konulu çalışma yayımlandı. “Metaverse”nin farklı boyutları ile kapsamlı bir şekilde ele alındığı çalışmada, ekonomik ve sosyal açılardan Metaverse’den elde edilebilecek kazanımlar, çeşitli alanlar özelinde (sağlık, uygunsuz içerik, mahremiyet, vergi, kripto varlıklar vb.) karşılaşılabilecek zorluklar, etik çerçevesinde Metaverse’nin incelenmesi ve “sanal mülkiyet hukuku”/medeni hukuk-ticaret hukuku/fikri mülkiyet hukuku özelinde sanal ortamın değerlendirilmesi gibi konulara değinilmektedir.
* Avrupa Komisyonunun, sınır ötesi olaylarda Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) daha etkin şekilde uygulanmasını sağlamak adına yeni kurallar önerdiği duyuruldu. Bu çerçevede yeni düzenlemelerin, GDPR’ın sınır ötesi uygulamasının daha kapsamlı ve tutarlı şekilde gerçekleştirilmesine katkıda bulunmayı, veri koruma otoriteleri arasındaki iş birliğini güçlendirmeyi, uyuşmazlık çözüm süreçlerini iyileştirmeyi, kişilerin ve işletmelerin haklarını netleştirerek daha hızlı çözümler sunmayı, süreçlerin uyumlaştırılmasını destekleyerek soruşturmaların zamanında tamamlanmasını ve bireylere daha etkili koruma sağlanmasını hedeflediği belirtildi.
* Avrupa Birliği Siber Güvenlik Ajansı’nın (ENISA), dijital kimlik standartlarına, bu standartların dijital kimlikleri destekleyen çeşitli araçlara nasıl uygulandığına, dijital kimliklere ilişkin standardizasyon sürecine ve buna yönelik önerilen politikalara genel bir bakış sunduğu çalışması yayımlandı.
* UNESCO’nun “Yapay Zekâ için Açık Veri: Şimdi Ne Olacak?” başlıklı çalışması yayımlandı. Açık veri yapay zekâ için olmazsa olmaz nitelik taşımakla birlikte bu verilerin zamanına uygun, alakalı, yüksek kalitede, doğru, güvenilir, bulunabilir, erişilebilir, birlikte çalışabilir ve yeniden kullanılabilir olması gibi belirli özelliklere sahip olmasının önem arz ettiği belirtilen çalışmada, UNESCO tarafından sunulan yönergelerin veri paylaşımını kolaylaştıracağı, yeniden üretilebilirliği ve şeffaflığı artırarak birlikte çalışabilirlik standartlarını teşvik edeceği ve veri koruma ile uzun vadeli erişimi destekleyeceği ifade edilmektedir.
Kararlar
* Avrupa Birliği Adalet Divanı (ABAD), bir teşebbüsün hâkim durumunu kötüye kullanıp kullanmadığının, ilgili üye devletin rekabet otoritesi tarafından incelenmesi bağlamında, teşebbüsün davranışlarının Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) hükümlerini ihlal edip etmediğinin de incelenmesinin gerekli olabileceği yönünde karar alındığını duyurdu. Bu çerçevede ABAD’ın C-252/21 sayılı Kararda, GDPR’ın tutarlı bir şekilde uygulanmasını sağlamak için, ulusal rekabet otoritelerinin söz konusu düzenlemenin uygulanmasını denetleyen otoritelere danışmaları ve bu otoriteler ile samimi bir iş birliği içerisine girmeleri gerektiği vurgulandı.
* Avrupa İnsan Hakları Mahkemesinin 04.07.2023 tarihli Glukhin v. Rusya kararında, Moskova metrosunda seyahat eden bir protestocunun yerini tespit etmek ve tutuklamak için yüz tanıma sistemi kullanılmasının başvurucunun ifade özgürlüğünü ve mahremiyet hakkını ihlal ettiğine hükmedildi. Karara konu olayda başvurucunun, halk arasında tepki çeken bir protestocunun karton figürünü taşıyarak gerçekleştirdiği gösteriye ilişkin fotoğraf ve videoların internette yayınlanmasının ardından polisin sosyal medyadan ve Moskova metrosundaki CCTV kameralarından topladığı görüntülerle başvurucuyu tespit ettiği, polisin bu tespiti yapmada yüz tanıma teknolojisinden yararlandığının iddia edildiği ve ardından başvurucunun izinsiz şekilde gösteri yapmaktan para cezasına mahkum edildiği belirtilmektedir. Bu çerçevede bahse konu olaya ilişkin olarak Mahkeme, başvurucu Avrupa İnsan Hakları Sözleşmesi’nde tanımlanan bir hak olan ifade özgürlüğünü kullanırken polis tarafından oldukça müdahaleci bir şekilde yüz tanıma teknolojisi kullanılmasının, Sözleşme’nin korumayı ve teşvik etmeyi amaçladığı hukukun üstünlüğüne dayanan demokratik toplumun idealleri ve değerleriyle uyumlu olmadığına ve başvurucunun kişisel verilerinin yüz tanıma teknolojisi kullanılarak işlenmesinin “demokratik bir toplumda gerekli” olarak kabul edilemeyeceğine hükmetti.
* ABD’de bir yargıç, ChatGPT tarafından oluşturulan kurmaca davalardan alıntı içerecek şekilde mahkemeye dilekçe sunan iki avukatın ve çalıştıkları firmanın toplam 5.000 dolar para cezası ödemesine hükmetti. Kararda, avukatların “yardım almak” için yapay zekâyı kullanmalarının “doğası gereği uygunsuz” bir durum olmadığı; ancak avukatların olay özelinde kötü niyetli davrandıkları, “sahte görüşlerinin arkasında durmaya devam ettikleri” ve bilinçli şekilde yanlış ve yanıltıcı beyanda bulundukları yönünde tespitlerde bulunulduğu belirtildi.
Genel Haberler
* Avrupa Parlamentosu ile Avrupa Konseyinin, Veri Yasası (Data Act) üzerinde “geçici” bir anlaşmaya vardıkları duyuruldu. Bu çerçevede Yasa’nın, dijital ortamda adilliği sağlaması, rekabetçi bir “veri pazarı”nı canlandırması, inovasyon için kilit alanlardan birisi olan bağlı cihazlar tarafından üretilen verilerin değerini ortaya çıkarması, bu verilerden kimlerin hangi koşullar altında değer yaratabileceğine netlik kazandırması ve bağlı cihazlar tarafından oluşturulan veriler ile neler yapılabileceği konusunda kullanıcılara söz hakkı vererek bireylerin haklarını güçlendirmesi beklenmektedir.
* Avrupa Komisyonunun, çerezleri aşamalı olarak ortadan kaldırmaya ve çevrim içi reklamcılık sektörünü “çerez yorgunluğu”ndan uzaklaştırmaya yönelik gönüllü girişiminin bir parçası olarak bazı taahhütler sunduğu bildirildi. Bu çerçevede kullanıcıların, çevrim içi reklamcılık amacıyla kişisel verilerinin işlenmesine izin vermelerini sağlamak üzere alternatif yollar geliştirilmesini ve aynı zamanda tüketicilerin bilinçli bir seçim yapmalarına izin vererek iş modellerinde şeffaflığın artırılmasını amaçlayan girişim kapsamında oluşturulan çalışma gruplarının (1) tüketicilere sağlanacak bilgiler, (2) izleme temelli reklamcılığa alternatifler ve (3) reklamların kişiselleştirilmesi konusunda kullanıcı kontrollü çözümler olmak üzere üç gruba ayrıldığı belirtildi. Bahse konu gruplar tarafından yürütülen çalışmalar sürdürmekle birlikte mevcut durumda içeriksel/bağlamsal reklamcılık, kullanıcıların izlenmesini gerektirmeyen kişiselleştirilmiş reklamcılık ve kullanıcıların abone olabilecekleri reklamcılık profilleri üzerinde düşünüldüğü ifade edildi.
* New York’ta, bireyleri işe almak veya terfi ettirmek gibi konularda algoritmalardan yararlanan işverenlerin bu konuda çalışan adaylarını bilgilendirmelerini, kullanılan algoritmaları bağımsız bir denetime tâbi tutmalarını ve sonuçları kamuoyuna açıklamalarını gerektiren Yasa uygulanmaya başlandı. Bu çerçevede, işverenlerin bu algoritmaları çalışanlarına veya çalışan adaylarına açıklamalarını ve bahse konu algoritmaların farklı ırklara, etnik kökenlere ve cinsiyetlere ne tür bir “ortalama puan” verdiğini belirtmelerini gerektiren Yasa’ya uymayanların ilk ihlalde 375 dolar, ikincisinde 1350 dolar, üçüncü ve sonraki ihlallerde ise 1500 dolar para cezası ile karşılaşacakları düzenlendi.
* Fransa’da, çocukların çevrim içi ortamda korunmasını sağlamak amacıyla, sosyal medya platformlarında kullanıcıların yaşlarının doğrulanmasını ve 15 yaşın altındaki kullanıcılara yönelik olarak ebeveyn rızası alınmasını zorunlu kılan yasa onaylandı. Çocukların ekran karşısında geçirdikleri sürenin azaltılmasına ve siber zorbalık gibi eylemlerden korunmalarına yardımcı olmasının amaçlandığı belirtilen “dönüm noktası” niteliğindeki Yasa’nın “mümkün olan en kısa sürede uygulanacağı” ifade edildi.
* Google’ın gizlilik politikasında yapılan güncellemede, Şirket’in yapay zekâ araçlarını oluşturmak için internette çevrim içi olarak yayınlanan tüm paylaşım ve içeriklerin kazınabileceği ifade edildi. 01.07.2023 tarihinden itibaren etki doğuracak şekilde hazırlanan yeni politikada “Google, hizmetlerimizi iyileştirmek ve kullanıcılarımız ile kamuya fayda sağlayan yeni ürünler, özellikler ve teknolojiler geliştirmek için bilgilerinizi kullanır…Örneğin, Google’ın yapay zekâ modellerini eğitmeye ve Google Translate, Bard ve Cloud AI yetenekleri gibi ürün ve özellikler oluşturmaya yardımcı olmak için çevrim içi olarak veya diğer genel kaynaklardan halka açık olan bilgileri toplayabiliriz. Veya, işletmenizin bilgileri bir internet sitesinde görünüyorsa bunu dizine ekleyebilir ve Google hizmetlerinde gösterebiliriz.” ifadelerine yer verildi. Google’ın gizlilik politikasının bir önceki versiyonunun ilgili kısmında ise “yapay zekâ modelleri” yerine “dil modelleri” ifadesinin kullanıldığı ve “Bard ile Cloud AI”dan bahsedilmediği görülmektedir. Dolayısıyla Google’ın yapay zekâ politikalarına hizmet edecek şekilde yapılan değişiklik, çevrim içi olarak herhangi bir yerde yayınlanan verileri toplama ve bunlardan yararlanma hakkının saklı tutulduğu şeklinde yorumlandı.
* OpenAI Şirketi’nin araçlarını eğitmek için internetten kazınmış verileri kullanmasının, milyonlarca internet kullanıcısının telif haklarını ve mahremiyetini büyük ölçüde ihlal ettiği gerekçesiyle Kaliforniya’da Şirket’e karşı toplu dava açıldı. Sosyal medya yorumları, blog gönderileri ve Wikipedia içerikleri gibi kaynaklardan elde edilen verilerin araçları eğitmek için kullanılmasının kullanıcıların haklarını ihlal ettiği iddiasıyla Kaliforniya merkezli bir hukuk bürosu tarafından açılan davada, bir modele işlenen verilerin diğer Şirket ürünlerini eğitmek için kullanılabileceği konusunda kullanıcılara karşı şeffaf olunmadığı ve 13 yaş altındaki çocukların Şirket araçlarını kullanmalarının önüne geçmek üzere yeterince çaba gösterilmediği gibi hususlar da ileri sürüldü.
* ABD’de iki yazarın, kendilerinden izin alınmaksızın kitaplarının ChatGPT’nin eğitilmesinde kullanıldığı gerekçesiyle OpenAI Şirketi’ne dava açtığı bildirildi. Yazarlar, yapay zekâ aracının kitaplarını “çok doğru şekilde özetlemesinin”, telif hakkı ile korunan kitaplarının Şirket tarafından modelin eğitilmesinde izinsiz olarak kullanıldığına işaret ettiğini belirttiler.
* Aralarında büyük teknoloji şirketlerinin de bulunduğu Avrupa merkezli 150’den fazla şirketin, Taslak Yapay Zekâ Yasası’nda yer alan düzenlemelerin potansiyel zorluklara çözüm getiremediğini ve diğer yandan teşebbüslerin rekabet gücüne zarar verme riski taşıdığını belirttikleri bir açık mektup ile AB yapay zekâ düzenlemesine karşı çıktıkları bildirildi. Mektubun imzacıları tarafından yapılan açıklamada, özellikle üretici yapay zekâya ilişkin güçlü endişeler bulunduğu, önerilen kurallar ile sohbet botlarının temelini oluşturan teknolojinin “kullanım durumundan bağımsız olarak” ve “ağır” şekilde düzenlemeye çalışıldığı, kuralların yeniliği beslemek/teşvik etmek yerine mevcut teknolojiyi baltalama riskinin bulunduğu ve bu düzenlemenin hayata geçirilmesi ile, bu tür sistemleri geliştiren/uygulayan şirketlerin orantısız uyum maliyetleri ve sorumluluk riskleriyle karşı karşıya kalacağı ifade edildi.
* Japonya’da, ChatGPT gibi üretici yapay zekâ araçlarının ülke genelinde ilkokuldan lise düzeyine kadar olan sınıflarda sınırlı şekilde kullanılmasına izin verilmesinin planlandığı bildirildi. Bu çerçevede, üretici yapay zekâ araçlarının kullanımı konusunda okullara yönelik yönergeler yayımlanmasının planlandığı, bu araçların -diğer kullanım durumlarına ek olarak- sınıf içi tartışmaları ve sanatsal etkinlikleri kolaylaştırmaya yardımcı olmasının beklendiği ancak genel olarak bu araçların kapsamlı şekilde kullanılmasına izin verilmeyeceği belirtildi.
* Harvard Üniversitesi’nin giriş seviyesinde olan popüler kodlama derslerinden CS50’nin, önümüzdeki güz döneminden itibaren GPT-4 modelini temel alan bir yapay zekâdan yararlanılarak verileceği duyuruldu. Doğal konuşma ve etkileşimli öğrenmeden yararlanılmasının amaçlandığı belirtilen ve öncü olarak nitelendirilen bu projede faydalanılacak sohbet botunun, öğrencilerin sorularını yanıtlayabilen, kişiselleştirilmiş geri bildirim sunabilen ve öğrencileri öğrenmeye devam etmeleri yönünde motive edebilen bir sanal asistan olarak kullanılması planlanıyor.
