Seçilmiş Güncel Gelişmeler
* “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” 10.07.2024 tarih ve 32598 sayılı Resmî Gazete’de yayımlandı[1]. Diğer yandan, Kurumumuz tarafından hazırlanarak kamuoyu görüşüne açılan standart sözleşme ve bağlayıcı şirket kurallarına ilişkin taslak dokümanlar hakkında Kurumumuza iletilen görüşler gözden geçirilmiş olup; Kişisel Verileri Koruma Kurulunun 04/06/2024 tarihli ve 2024/959 sayılı kararı ile kabul edilen kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlara Kurumumuzun internet sitesi üzerinden ulaşılması mümkündür[2].
* 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun biçimde şikâyet ve/veya ihbarların Kişisel Verileri Koruma Kuruluna iletilebilmesi ve ilgili kişilerin bilgilendirilmesi amacıyla Kurumumuz tarafından hazırlanmış olan “Kurula İletilen Şikâyet ve İhbarlarda Sık Yapılan Hatalar” başlıklı doküman yayımlandı[3].
* AB Yapay Zekâ Yasası (2024/1689), 12.07.2024 tarihli AB Resmî Gazetesi’nde yayımlandı[4]. Bahse konu Yasa, AB Resmî Gazetesi’nde yayımlanmasını takip eden yirminci günde yürürlüğe girecek olup yürürlüğe girmesinin ardından kademeli bir yaklaşımla 36 ay içerisinde tam olarak uygulanmasına geçilecektir. Yapay zekânın potansiyel risklerini ve bu teknolojinin toplum üzerindeki etkilerini ele almak amacıyla oluşturulan, dünya genelinde yapay zekâya ilişkin kapsamlı ilk yasal çerçeve olan bu düzenlemenin getirdiği temel kurallar ile yapay zekâ sistemlerinin temel haklara, güvenliğe ve etik ilkelere saygı göstermesini sağlamak ve etkili yapay zekâ modellerinin risklerini ele alarak Avrupa’da ve ötesinde güvenilir yapay zekânın teşvik edilmesi amaçlanmaktadır.
* Ülkemizin Ulusal Yapay Zekâ Stratejisi 2024-2025 Eylem Planı yayımlandı[5].
* İspanya Veri Koruma Otoritesi (AEPD) ile Avrupa Veri Koruma Denetçisi (EDPS), nörolojik verilerin işlenmesinin bireylerin temel hak ve özgürlüklerinin korunması açısından ortaya çıkarabileceği zorlukların ele alındığı bir çalışma yayımladı[6]. Bu kapsamda bahse konu çalışmada; nörolojik veriden ne anlaşılması gerektiği, bu verilerin işlenme şekilleri, bu verilerin işlenmesinin veri koruma hukuku açısından ortaya çıkarabileceği zorluklar ile bu alana ilişkin olarak önümüzdeki süreçte karşılaşılabilecek gelişmeler gibi hususlar ele alınmaktadır.
* Dünya Ekonomik Forumu, yükselmekte olan on teknolojinin incelendiği serinin bu yılki sayısını yayımladı[7]. Yapay zekâ ve bağlantılı teknolojilerdeki atılımların öne çıkarıldığı çalışmada, diğer yandan çevresel sürdürülebilirliği artıran teknolojilere de yer verilmekte ve bu çalışmada ele alınan teknolojilerin inovasyonu ve küresel iş birliğini güçlendirerek dünyayı daha iyi bir hale getirmeyi amaçladığı belirtilmektedir. Bu çerçevede raporda yer verilen teknolojiler şunlardır:
– Bilimsel keşif için yapay zekâ
– Mahremiyet artırıcı teknolojiler
– Yeniden yapılandırılabilir zeki yüzeyler
– Yüksek irtifa platform istasyonları
– Entegre algılama ve iletişim
– İnşa edilmiş dünya için sürükleyici/sarmal teknoloji
– Elastokalorikler
– Karbon yakalayan mikroorganizmalar
– Alternatif hayvan yemleri
– Nakil için genomik
* New York’ta, sosyal medya platformlarının “bağımlılık yapıcı” algoritmik içeriklerinin, ebeveynlerinin rızası olmaksızın 18 yaş altındaki kullanıcılara gösterilmesini yasaklayan Yasa kabul edildi[8]. Ayrıca, internet sitelerinin reşit olmayan kullanıcıların kişisel verilerini toplamasını ve satmasını kısıtlayan Yasa tasarısı da onaylandı. Bu çerçevede bahse konu düzenlemeler, gençlerin ruh sağlığını koruma ve onlar için daha güvenli bir dijital ortam yaratma çabalarında tarihi bir adım olarak nitelendirildi.
* Avrupa Komisyonu, Meta’nın “ödeme veya rıza” reklam modelinin Dijital Pazarlar Yasası’na uygun olmadığına dair ön bulguların Şirket’e bildirildiğini duyurdu[9].
Hatırlanacak olursa 2023 yılının kasım ayı içerisinde Meta, AB’deki Facebook ve Instagram kullanıcılarının şu iki seçenekten birini seçmek zorunda olduğu bir ikili “ödeme veya rıza” teklifini sundu: (i) Bu sosyal ağların reklamsız bir sürümüne aylık ücret karşılığında abonelik veya (ii) Bu sosyal ağların kişiselleştirilmiş reklamlar içeren versiyonlarına ücretsiz erişim.
Diğer yandan, Dijital Pazarlar Yasası‘nın 5(2) maddesi uyarınca; geçit bekçilerinin, belirlenmiş ana platform hizmetleri ile diğer hizmetler arasında kişisel verilerini birleştirmek için kullanıcılardan rıza istemesi gerekmektedir. Kullanıcının rıza vermeyi reddetmesi durumunda ise kullanıcının daha az kişiselleştirilmiş olmakla birlikte eş değer bir alternatif hizmete erişim sağlayabilmesi gerekmekte olup geçit bekçileri, hizmetin veya belirli işlevlerin kullanımını kullanıcıların rızasına bağlı kılamayacaktır.
Konuya ilişkin olarak Komisyon tarafından yapılan açıklamada; Şirket tarafından sunulan iki seçeneğin, kişisel verilerinin birleştirilmesine rıza gösterme konusunda kullanıcıları zorladığı ve Meta’nın sosyal ağlarının daha az kişiselleştirilmiş fakat eş değer bir sürümünün sunulmadığı belirtildi. Dijital Pazarlar Yasası’nın anılan maddesinin ihlal edildiği yönündeki ön görüşün nihai olarak doğrulanması durumunda Komisyon, Meta’nın modelinin ilgili maddeye uymadığını belirten bir karar alacak ve Şirket’in dünya genelinde sahip olduğu cironun %10’una kadar para cezası uygulayabilecektir. Tekrarlanan ihlaller durumunda bu cezalar %20’ye kadar çıkabilecek ve sistematik uyumsuzluk durumunda ise birtakım ek yaptırımlar uygulanabilecektir.
* Küresel Gizlilik Uygulama Ağı (GPEN), kullanıcıların gizlilik tercihlerini etkilemek üzere aldatıcı tasarım kullanımına ilişkin bulgularını yayımladı[10]. Uluslararası Tüketiciyi Koruma ve Uygulama Ağı’nın (ICPEN) yanı sıra dünya genelindeki 26 veri koruma otoritesi ile iş birliği içerisinde gerçekleştirilen ve bu kapsamda 1.000’den fazla internet sitesi ve mobil uygulamayı içeren küresel taramada;
– Aldatıcı tasarım modellerinin, kullanıcılardan daha fazla kişisel veri toplanmasıyla sonuçlanabilecek seçeneklere yönlendiren özellikler kullandığı,
– Gizlilik politikalarının %89’undan daha fazlasının uzun olduğu veya bunlarda üniversite eğitimi almış kişilere uygun karmaşık bir dil kullanıldığı,
– İnternet sitelerinin ve uygulamaların %42’sinde kullanıcıların gizlilikleri ile ilgili kararlarını etkilemek için duygu yüklü bir dil kullanılırken; %57’sinde gizliliğin en az korunacağı seçeneğin en belirgin ve seçmesi en kolay seçenek olarak sunulduğu,
– İnternet sitelerinin ve uygulamaların %35’inde, kullanıcıların hesaplarını silme yönündeki niyetlerini sürekli bir şekilde yeniden düşünmelerinin istendiği,
– Vakaların yaklaşık %40’unda, gizlilik seçeneklerine veya gizlilik bilgilerine erişimde engeller ile karşılaşıldığı,
– İnternet sitelerinin ve uygulamaların %9’unda, kullanıcıların hesaplarını silmeye çalışırken, hesaplarını açarken sağlamaları gerekenden daha fazla kişisel veri sağlamalarının zorunlu kılındığı yönünde bulgulara ulaşıldı.
Bu bağlamda kuruluşları, gizliliği koruyan tasarım ve varsayılan ayarlar geliştirmeye teşvik eden GPEN;
– Gizlilik seçeneklerine vurgu yapılması,
– Gizlilik seçimlerinin adil ve şeffaf bir şekilde sunulmasını sağlamak üzere nötr bir dil ve tasarım kullanılması,
– Gizlilik bilgilerini bulmak, oturumu kapatmak veya bir hesabı silmek için daha az tıklama yapılmasının sağlanması,
– “Tam zamanında” bağlamsal olarak ilgili rıza seçeneklerinin kullanıcılara sunulması yönünde önerilerde bulundu.
Kaynak: KVKK