Geleceğin şimdiden oluştuğunu söylesem ne düşünürsünüz? Gelecek artık eskisi gibi değil, koşarak gelmeye başladı. Şimdiyi o kadar hızlı yaşıyoruz ki! Bu hız içerisinde hem gelecek üzerine düşünmek hem de olumlu bir gelecek tasarlamak istiyoruz. Bir yerlerde çok güzel şeyler oluyor. Her gün bir şeyler değişiyor ve geleceğimize dokunacak bu değişimleri şimdiden duymak isteyenlerin olduğunu biliyoruz.
Geleceği şimdiden tasarlama arzusuyla dolu Gelecek Araştırmaları Enstitüsü olarak kişisel verilere ilişkin güncel gelişmelerin yer aldığı bültenimizin yayım hayatını başlatıyoruz. Bu bültenle her ay kişisel verilerin kullanımı, işlenmesi, ihlali gibi konularda güncel gelişmeleri sizlerin beğenisine sunacağız.
Gelecek bugün,
Biliyoruz!
Tuba Tosun
KİŞİSEL VERİLERİ İHLAL EDEN WHATSAPP’A İRLANDA VE TÜRKİYE’DEN CEZA GELDİ
İRLANDA CEZASI
İrlanda Veri Koruma Komisyonu (DPC)[1] bir süredir WhatsApp’ın kişisel verileri kullanımına yönelik incelemelerde bulunuyordu. WhatsApp’ın kişisel verileri kullanırken şeffaf olup olmadığına yönelik 10 Aralık 2018 tarihinde başlatılan soruşturma nihayet sonuçlandı. İncelemeler neticesinde Facebook çatısı altında faaliyetlerini sürdüren WhatsApp için kişisel veri ihlali nedeniyle 225 Milyon Euro para cezası kesildi. Bu ceza şimdiye kadar İrlanda Veri Koruma Komisyonu tarafından kesilen en yüksek para cezası olmakla birlikte AB’de GDPR kurallarına göre kesilen en yüksek ikinci para cezası oldu. [2]
Yapılan incelemeler neticesinde İrlanda DPC tarafından WhatsApp aleyhine ilk olarak 50 Milyon Euro para cezası önerilmişti. Ancak GDPR 60. madde kapsamında karar taslağının AB’deki ilgili denetleme makamlarınca gözden geçirilmesi gerekiyordu. AB’deki 8 denetleme makamı bu cezaya itiraz edip yeniden inceleme yapılarak daha yüksek bir ceza verilmesi gerektiğini ileri sürdüler. Sonuç olarak European Data Protection Board (EDPB)[3] yani Avrupa Veri Koruma Kurulu bu doğrultuda bağlayıcı bir karar almak zorunda kaldı.[4] Bu karar tüm DPC’lere tebliğ edildi. Kararın içeriğine bakıldığında, bir dizi sıralanmış unsurların temelinde İrlanda DPC’nin yeniden inceleme yaparak cezayı arttırması gerektiği anlaşılıyordu. Böylelikle WhatsApp’a 225 Milyon idari para cezasına ek olarak kınama cezası verildi. DPC, kınama cezası ile birlikte WhatsApp'ın belirli düzeltici önlemler alarak veri işlemesini GDPR’a uygun hale getirmesi emrini de verdi.
DPC tarafından yapılan açıklamalarda, WhatsApp’ın kullanıcı verilerini Facebook ile paylaşması, şeffaf olmaması, kullanıcıların kişi listesine ulaşarak kullanıcısı olmayan kişilerin de verilerini rıza dışı işlediği gibi sebeplerle GDPR kurallarını ihlal ettiği belirtildi.
Buna karşılık WhatsApp ise şirketin faaliyetleri sırasında veri işlerken şeffaflık kurallarına uygun davranıldığı, cezanın orantısız olduğu ve cezaya karşı temyize başvuracaklarını açıkladı.
TÜRKİYE CEZASI
WhatsApp kullanıcılarının kişisel verilerinin işlenmesi ve yurtdışında bulunan üçüncü kişilere verilerin aktarılmasına açık rıza verilmesini içeren Hizmet Koşulları ve Gizlilik Sözleşmesi güncellendi. WhatsApp tarafından yapılan bu güncellenme üzerine Kişisel Verileri Koruma Kurumu tarafından inceleme başlatıldı. Bu kapsamda açık rıza vermeyen kullanıcıların uygulamayı kullanamayacağı ve hesaplarının silineceğine dair şirket tarafından bilgilendirme yapıldığı KVK Kurumu[5] tarafından tespit edildi.
WhatsApp’ın kullanıcıların kişisel verilerinin işlenmesi ve yurtdışına aktarılmasına yönelik herhangi bir seçimlik hak sunmadan kullanıcıları açık rıza vermeye zorlaması açıkça kişisel verilerin ihlaline neden olmaktadır. KVK Kurumu 3 Eylül 2021 tarihinde WhatsApp aleyhine Kişisel Verileri Koruma Kanunu’nu ihlal etmesi nedeniyle 1.950.000 TL idari para cezası verdi. Bu kararda ifade edildiği üzere,
Sözleşme metninde, işleme ve aktarım bilgilerinin ayrılmaz bir biçimde kullanıcıya sunulması ile hizmet alımının açık rıza koşuluna bağlanması, açık rızanın “Özgür iradeyle açıklanması” unsuruna aykırılık oluşturması,
Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesine uygun olarak yapılmasının zorunluluk arz ettiği ancak veri sorumlusu tarafından aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığının beyan edildiği,
Veri sorumlusunca KVK Kurulu’na bir taahhütname başvurusunda bulunulmadığı dikkate alındığında, veri sorumlusu tarafından Kanunun 9. maddesine uygun hareket edilmediği,
KVKK 4. maddesindeki “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı hareket edilmesi,
Hangi verinin hangi amaçlarla işlenip aktarılacağına ilişkin WhatsApp’ın sözleşme metninde açık bir hükmün yer almaması, KVKK 4. maddesinde yer alan “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırılık oluşturması,
Veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı,
gerekçeleriyle veri sorumlusu hakkında Kişisel Verileri Koruma Kanunu’nun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına karar verilmiştir.
Yine KVK Kurumu tarafından, Kişisel Verileri Koruma Kanunu’nun 12. maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacına uygun her türlü güvenlik tedbirinin alınmadığı da tespit edilmiştir.[6]
FACEBOOK’UN LANSMANINI YAPTIĞI RAY-BAN AKILLI GÖZLÜKLER İTALYAN VERİ KORUMA OTORİTESİ TARAFINDAN İNCELEMEYE ALINDI
Facebook 10 Eylül 2021 tarihinde EssilorLuxotica ile (Rayban Smart Glasses) Rayban Akıllı Gözlükleri’nin tanıtımını gerçekleştirdi. İtalyan gözlük şirketi RayBan’ın ana kuruluşu EssilorLuxotica ve Facebook’un işbirliği ile oluşturulan gözlük, gün geçmeden İtalya Veri Koruma Otoritesi Garante’nin radarına girdi.
Sanal ve artırılmış gerçeklik alanında Facebook Reality Labs kapsamında geliştirilen Ray-Ban Stories isimli akıllı gözlük ile kullanıcılar akıllı gözlüğün çekim butonunu ya da Facebook Assistant sesli komutu ile ellerini kullanmadan fotoğraf ve 30 saniyeye kadar videolar çekebiliyor.[7] Yine akıllı gözlük kullanıcılarına uygulamadan müzik dinleme, arama yapabilme, çekilen fotoğraf ve videoları Facebook, Instagram, WhatsApp ve Messenger üzerinden paylaşabilme deneyimlerini sunuyor. Ancak akıllı gözlüğün kullanımı sırasında kullanıcı tarafından kişisel verilerin ihlal edilip edilmeyeceği tartışma konusu oldu.
İtalya’da geliştirilen ürünün mahremiyet ve veri güvenliğini ihlal edip etmeyeceğine ilişkin İtalya Veri Koruma Otoritesi Garante tarafından bir soruşturma başlatıldı. Yapılacak incelemede akıllı gözlüğün GDPR kurallarına uygun olup olmadığına dair incelemeler yapıldı.
Garante tarafından yapılan açıklamada, Facebook’un AB’deki merkezi İrlanda olduğundan İrlanda Veri Koruma Otoritesi ile iletişime geçildiği ve Facebook’tan bu konuda bilgi vermesinin istendiğini belirtildi. Facebook’un özellikle reşit olmayan çocuklar başta olmak üzere insanların izinsiz görüntülenmemesi için bir adım atıp atmayacağı merak konusu oldu. Nitekim kişisel verilerinin toplanması halinde verilerin nasıl saklanacağına dair bir açıklamanın da yapılmadığı hususu Garante’nin üzerinde durduğu konulardan biri oldu.
Facebook tarafından yapılan açıklamada; “İnsanların Ray-Ban Stories isimli ürünü geliştirmeden önce yeni teknolojiler konusunda soruları olduğunu biliyoruz. Dolayısıyla biz de İrlandalı yetkililerle ürünün tasarımı ve işlevselliğine mahremiyet ve veri güvenliğini nasıl eklediğimizi anlattık. İrlandalı yetkililer aracılığıyla Garante’nin sorularını yanıtlayacağız ve Avrupalı denetleme kuruluşlarıyla da çalışmayı dört gözle bekliyoruz." ifadesi kullanıldı.[8]
Facebook’un kişisel veri ihlallerine yönelik aldığı önlemlere ilişkin henüz bir bilgi paylaşımı yapılmadı. Ancak kişisel veri ihlalini önlemenin çok zor olduğu bu akıllı gözlüklerde mahremiyetin korunmasına yönelik bir çalışma yapıldığı düşüncesi dahi umut veriyor. Kaldı ki, Facebook’un bu akıllı gözlükler ile veri güvenliği ve mahremiyeti sağlayabildiği bir senaryonun varlığında yeni teknolojilerin hayata daha çabuk aktive edileceği tartışmasızdır.
YAPAY ZEKA ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR REHBER YAYIMLANDI
Kişisel Verileri Koruma Kurumu 15 Eylül 2021 tarihinde yapay zeka alanında kişisel verilerin kullanılması ve korunmasına yönelik tavsiye niteliğinde bir rehber yayımladı. Rehberin kapsamında gerek yapay zeka geliştiriciler, üreticiler ve servis sağlayıcıları gerekse karar alıcılar için kişisel verilerin korunmasına yönelik tavsiyelerde bulunuldu.[9]
Kurum bu rehberi hazırlarken, Avrupa Konseyi İnsan Hakları ve Hukukun Üstünlüğü Genel Müdürlüğü tarafından yayınlanmış olan “Yapay Zeka ve Kişisel Verilerin Korunması Rehber İlkeleri”, OECD tarafından hazırlanan “OECD Yapay Zeka Konseyi Önerileri” ve Avrupa Konseyi’nin “Güvenilir Yapay Zeka için Taslak Etik Kuralları” çalışmalarını da kaynak olarak kullandığını belirtti.
Genel tavsiyeler ile başlayan Rehber “Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler” ve “Karar Alıcılar İçin Tavsiyeler” ile devam etmektedir.
Genel tavsiyelerde kısaca şu hususlar üzerinde durulmuştur:
Yapay zeka uygulama geliştiricileri ve veri işleme temelli yapay zeka çalışmalarında uygulama sırasında kişilerin temel hak ve özgürlüklerinin ihlal edilmemesi ve insan onuruna aykırı bir eylemde bulunulmaması gerektiği,
Yapay zeka teknolojilerinin geliştirilmesi ve uygulanmasında kişisel veri kullanmadan aynı sonuca ulaşılabiliyorsa verilerin anonim hale getirilerek işlenmesi gerektiği,
Veri işleme temelli yapay zeka çalışmalarında; ilgili kişi tarafından faaliyetlerin kontrol edilebiliyor olması, kişisel veri koruması tehlike altındaysa mahremiyet etki değerlendirilmesi yapılması, ilk aşamadan itibaren tüm sistemlerin KVKK ile uyumlu olması gerektiği, özel nitelikli kişisel verilerin işlenmesi sırasında teknik ve idari tedbirlerin daha sıkı uygulanması gerektiği, veri sorumlusu ve veri işleyen statülerinin projenin başında belirlenerek hukuki ilişkinin KVKK’ya uygun hale getirilmesi gerektiğidir.
Geliştiriciler, Üreticiler ve Servis Sağlayıcılar için tavsiyelerde;
Kişisel veri mahremiyetini esas alan, temel hak ve özgürlükler gözetilerek uygun risk önleme ve azaltma tedbirlerine dayalı bir yaklaşım benimsenmesi,
Veri işlemenin her aşamasında, ilgili kişiler için ayrımcılık riski ve önyargıların önlenmesi,
Asgari veri kullanımına gidilmesi ve geliştirilen modelin doğruluğunun sürekli izlenmesi gerektiği,
İnsan hakları temelli, etik ve sosyal yönelimli yapay zeka uygulamalarının tasarlanmasına ve potansiyel önyargıların tespit edilmesine katkıda bulunabilecek akademik kurumlarla irtibata geçilmesi; şeffaflık ve paydaş katılımının zor olabileceği alanlarda tarafsız uzman kişi ve kuruluşların görüşünün alınması,
Bireylere itiraz hakkı tanınması ile kullanıcıya veri işleme faaliyetini durdurabilme hakkı tanınması, kullanıcılara ait verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi imkanı tasarlanması, kişilik haklarına daha az müdahale eden alternatifler sunulması, kullanıcıların seçim yapma özgürlüğünün güvence altına alınması, ilgili kişilerin ulusal ve uluslararası mevzuattan doğan haklarının korunması,
Uygulamalardan özellikle etkilenmesi muhtemel olan bireylerin ve grupların aktif katılımına dayalı risk değerlendirmesi teşvik edilmeli, bireylerin münhasıran kendi görüşleri dikkate alınmaksızın otomatik işlemeye dayalı olarak kendilerini etkileyecek bir karara maruz kalmamalarını sağlayacak ürün ve hizmetler tasarlanması,
Tüm aşamalarda hesap verebilirliği sağlayacak algoritmalar benimsenmesi ile bağlamından koparılmış algoritma modellerinin dikkatle değerlendirilmesi,
Uygulama ile etkileşime giren kişilerin, kişisel veri işleme faaliyetinin gerekçeleri, kişisel verilerin işlenmesinde kullanılan yöntemlerin detayları ile muhtemel sonuçları hakkında aydınlatılması ve gerekli haller için etkili bir veri işleme onay mekanizması tasarlanması yer almaktadır.
Karar Alıcılar için oluşturulan tavsiyeler kapsamında ise;
Hesap verebilirlik ilkesi tüm aşamalarda gözetilmeli,
Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürleri benimsenmeli, davranış kuralları ve sertifikasyon mekanizmaları gibi uygun önlemler alınmalı,
Yapay zeka modellerinin farklı bir bağlam veya amaç için kullanılıp kullanılmadığını izlemek üzere karar alıcılar tarafından yeterli kaynak ayrılmalı,
Karar alma süreçlerinde insan müdahalesinin rolü belirlenmeli; bireyler, gruplar ve paydaşlar bilgilendirilerek yapay zekanın büyük veri sistemleri ile birlikte, karar verme süreçlerinde oynayacağı rolün tartışılması konusunda aktif yer almaları sağlanmalı,
Bireylerin, yapay zeka uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğü korunmalı, ilgili kişilerin temel hak ve özgürlüklerini önemli ölçüde etkileme ihtimali ortaya çıktığında denetim otoritelerine mutlaka başvurulmalı,
Denetim otoriteleri ve yetkili diğer kuruluşlar arasında, veri mahremiyeti, tüketicinin korunması, rekabetin geliştirilmesi ve ayrımcılıkla mücadele konularında işbirliği teşvik edilmeli, yapay zeka uygulamalarının insan hakları, etik, sosyolojik ve psikolojik etkilerini ölçme temelli uygulama araştırmaları desteklenmeli,
Verilerin dijital ekosisteminin oluşturulabilmesi için açık yazılım tabanlı uygun mekanizmalar teşvik edilmeli,
İlgili kişiler bakımından yapay zeka uygulamalarını ve etkilerini anlama konusunda farkındalığı artırmak için dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılmalı, uygulama geliştiriciler için kişisel verilerin korunması farkındalığı oluşturmak bağlamında veri mahremiyeti çerçevesinde eğitimler teşvik edilmelidir.
KVKK BİYOMETRİK VERİLERİN İŞLENMESİ SIRASINDA DİKKAT EDİLMESİ GEREKEN UNSURLARI DUYURDU
Kişisel Verileri Koruma Kurumu 16 Eylül 2021 tarihinde biyometrik verilerin işlenmesi sırasında dikkat edilmesi gereken unsurlara ilişkin bir rehber yayımladı. Rehberin kapsamında biyometrik veri işleme ilkeleri açıklanıp biyometrik veri güvenliği konusunda alınması gereken teknik ve idari tedbirlere yer verilmiştir. Rehber ile biyometrik verilerin işlenmesi sırasında kişisel verilerin korunmasına yönelik tavsiyelerde bulunulmuştur.[10]
Rehbere göre, veri sorumlusu KVKK 4. maddesinde yer alan genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun bir şekilde aşağıda belirtilen ilkeler doğrultusunda biyometrik verileri işleyebilecektir:
Temel hak ve özgürlüklerin özüne dokunmaması,
Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması,
Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması,
Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması,
Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi,
İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanun’un 10. maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi,
Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanuna uygun şekilde alınmış olması.
Kurum, veri sorumlusu tarafından biyometrik veri işleme ilkelerinin yerine getirilmesi sırasında bu hususun kayıt altına alınmış ve belgelendirilmiş olması gerekliliğini rehberde açıkça belirtmiştir. Hatta gerekmediği sürece biyometrik veri alınırken genetik verinin (kan, tükürük vb.) alınmaması gerektiği ifade edilmiştir. Kullanılacak biyometri türünün diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulması gerekliliği de belirtilmiştir.
Kişisel verilerin işlenmesinde azami sürenin belirlenmesi gerekmektedir. Biyometrik verinin gereken süre boyunca işlenmesi ile verilerin ne kadar süre tutulacağının nedenleri ile birlikte kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklanması gerekliliği Rehber ile tekrarlanmıştır.
ææKurum veri sorumlularına yol göstermek amacıyla daha önce yayımlanan rehber ve mevzuat hükümlerine ilave olarak biyometrik veri güvenliğinin sağlanabilmesi için alınması gereken teknik ve idari tedbirleri de bu rehber ile açıklamıştır.
İNGİLTERE’NİN YAPAY ZEKA STRATEJİSİNDE KİŞİSEL VERİLERİN İŞLENMESİNE YER VERİLDİ
İngiltere önümüzdeki 10 yıl için hazırladığı yapay zeka strateji planını duyurdu. Bu plan kapsamında İngiltere’nin Dijital Düzenleme (Digital Regulation) çerçevesine odaklandığı görülmektedir. Yapay zeka kullanımının kişisel veri kullanımıyla iç içe olduğu bir dünyada yaşadığımız göz önüne alındığında, hem yapay zekanın hem de kişisel verilerin bir arada değerlendirilmesinin zorunlu olduğunu bir kez daha anlıyoruz. Nitekim İngiltere’nin yapay zeka strateji planında da özellikle kişisel verilerin işlenmesi ve taşınabilirliği, dijital içerik sorumluluğu ve doğrulanması ile algoritmalarının şeffaflığı ve kullanımı gibi konulara yer verilmesi gelecek için multidisipliner çalışmaların daha önemli olacağını açıkça ortaya koymaktadır.[11]
DİPNOTLAR :
[1] DPC: Data Protection Commission [2] Malum GDPR kapsamında AB’de en yüksek para cezası Amazon aleyhine kesilmişti. Geçtiğimiz temmuz ayında 746 Milyon Euro ile Amazon aleyhine düzenlenen ceza Lüksemburg Ulusal Veri Koruma Komisyonu tarafından verilmişti. [3] AB genelinde veri koruma kurallarının tutarlı bir şekilde uygulanmasına katkıda bulunan ve AB'nin veri koruma yetkilileri arasında işbirliğini destekleyen bağımsız bir Avrupa kuruluşudur. [4] 28 Temmuz 2021 tarihli kararı incelemek için https://edpb.europa.eu/system/files/202109/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_en.pdf [5] Kişisel Verileri Koruma Kurumu [6]Whatsapp Uygulaması Hakkında Yürütülen Resen İncelemeye İlişkin Kamuoyu Duyurusu, https://www.kvkk.gov.tr/Icerik/7045/WHATSAPP-UYGULAMASI-HAKKINDA-YURUTULEN-RESEN-INCELEMEYE-ILISKIN-KAMUOYU-DUYURUSU [7] https://tr.sputniknews.com/20210910/facebook-ve-ray-ban-ortakliginda-akilli-gozluk-muzik-caliyor-telefon-oluyor-1048796880.html [8] https://www.cumhuriyet.com.tr/haber/facebookun-akilli-gozlugu-tartisma-yaratti-resmi-aciklama-talep-edildi-1867953 [9] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/25a1162f-0e61-4a43-98d0-3e7d057ac31a.pdf [10] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/25a1162f-0e61-4a43-98d0-3e7d057ac31a.pdf [11] İngiltere Ulusal Yapay Zeka Stratejisi’ni inceleyebilirsiniz. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1019531/National_AI_Strategy__accessible_.pdf
KAYNAKLAR :