Kişisel Verilerin Korunmasıyla İlgili Seçilmiş Güncel Gelişmeler

06.09.2022 - 11:05 Yayınlanma

Seçilmiş Güncel Gelişmeler

- İngiltere Veri Koruma Otoritesi (ICO), küçük işletmelerin veri koruma hukuku kapsamında kendilerine yapılan başvurular karşısında nasıl hareket etmeleri gerektiğine yönelik bilgilendirici bir kılavuz yayımladı[1]. Bu çerçevede; (1) başvurunun alındığını onaylamak, (2) başvuru kapsamındaki belirli bir sorunu tespit etmek, (3) ilgili kişiye gerekli güncellemeleri sağlamak, (4) başvuruya cevaben yapılan işlemleri kaydetmek, (5) incelemenin sonucuna ilişkin olarak ilgili kişiyi resmi bir şekilde bilgilendirmek ve (6) alınan dersleri gözden geçirmek şeklinde altı aşama belirlendi.

- Norveç Veri Koruma Otoritesi (Datatilsynet), çalışanların dijital faaliyetlerinin izlenmesi ve kontrol edilmesi hakkında bir anket düzenlediğini bildirerek anketin bulgularını içeren bir rapor yayımladığını duyurdu[2]. Otorite tarafından yapılan açıklamada, çalışma hayatında yaygın bir şekilde kullanılan dijital çalışma araçlarının, bunları kullanan çalışanlara ilişkin büyük miktarda veri kaydettiği ve bu nedenle çalışanların hangi verilerinin toplandığı, saklandığı ve bunların nasıl kullanıldığına dair genel bir bakışa sahip olunmasının zor olabileceği hususlarına işaret edildi.

- İskoçya’da, biyometrik verilerin kullanımı konusunda dünyanın ilk yasal uygulama kurallarının (code of practice) onaylanmasına yaklaşılıyor[3]. Bu çerçevede, yıl sonuna kadar İskoçya’nın, emniyette ve ceza adalet sisteminde “biyometrik verilerin elde edilmesi, saklanması, kullanılması ve imha edilmesine” ilişkin uygulama kurallarına sahip dünyadaki ilk ülke olması bekleniyor.

- Birleşik Krallık Dijital, Kültür, Medya ve Spor Bakanlığı, bünyesinde veri ihlali gerçekleşen kuruluşların deneyimlerini detaylandıran bir çalışma yayımladı[4]. “Siber Güvenlik İhlallerinin Organizasyonel Deneyimlerini Keşfetmek” başlıklı çalışmada, bir kuruluşun siber güvenlik ihlali öncesi düzeyine, siber saldırının türüne, kuruluşun kısa/orta/uzun vadede nasıl tepki verdiğine ve sonrasında siber güvenliğin sağlanmasına ilişkin hangi iyileştirmelerin yapıldığına ilişkin sonuçlar derlendi.

- Dünya Ekonomik Forumu, “Siber Güvenlikte ‘Sıfır Güven’ (Zero Trust) Modeli: Anlama ve Uygulamaya Doğru” başlıklı çalışmasını yayımladı[5]. Bu çalışmada, “sıfır güven” kavramından ne anlaşılması gerektiği, modelin geliştirilmesinden elde edilebilecek faydalar ve kuruluşların modeli etkin bir şekilde benimsemeleri için izlemeleri gereken politikalar gibi temalar üzerinden ilerlenerek modele açıklık getirilmeye çalışılmaktadır.

- McKinsey&Company tarafından yayımlanan bir analiz çalışmasında, 2022 yılında şirketler için en önemli teknoloji trendlerinin hangileri olduğu ortaya konuldu[6]. Bu kapsamda aralarında uygulamalı yapay zekâ, bulut ve sınır bilişim, makine öğrenmesi, kuantum teknolojileri, güven mimarileri ve dijital kimlik, web3 gibi ileri teknolojilerin yer aldığı 14 adet trendin gelişimi, olası kullanımları ve sektördeki etkileri detaylı şekilde ele alınmaktadır.

- İsveç Veri Koruma Otoritesi, üç kuruluş ile birlikte bir pilot proje başlattı[7]. Proje kapsamında Otorite, merkezi olmayan yapay zekâya ilişkin olarak üç ortağına yasal rehberlik sağlayacak, veri korumaya ilişkin doğabilecek potansiyel tehlikelerin önüne yapay zekâ kullanılarak geçilmeye çalışılacak ve Otorite’nin gözetimi altında kuruluşların potansiyel yapay zekâ kullanımlarını test etmelerine izin verilecektir.

- ABD Kongre Araştırma Servisi (CRS) tarafından yayımlanan “Metaverse: Kavramlar ve Kongre için Sorunlar” başlıklı çalışmada, yasa koyucuların metaverse’ye ilişkin dikkate alması gereken çeşitli konular ortaya konuldu[8]. Bu çerçevede, artırılmış gerçeklik/karma gerçeklik/sanal gerçeklik gibi kavramların ne anlama geldiği, bu teknolojilerin eğlence, sağlık, askeri ve mühendislik dâhil olmak üzere çeşitli sektörler bakımından gündeme getirebileceği yenilikler ve metaverse’nin mahremiyetin korunması açısından doğurabileceği riskler gibi konular ele alındı.

- Alman Federal Kartel Ofisi (Bundeskartellamt), çevrim içi reklamcılık ile ilgili sektör incelemesi raporunu kamuoyu görüşüne açtı[9]. Otorite tarafından yapılan açıklamada, arama dışı reklamcılığın, çevrim içi reklamcılık alanında oldukça karmaşık bir otomatik ticaret sistemine dayandığı, ilgili kişilerin arama dışı çevrim içi reklamcılığın temelini oluşturan veri toplamanın kapsamını ve olası sonuçlarını çoğunlukla değerlendiremedikleri gibi hususlara dikkat çekildi.

- Küba’da “Kişisel Verilerin Korunması Kanunu” 25.08.2022 tarihli Resmî Gazete’de yayımlandı[10]. Bu çerçevede Yasa ile veri sorumlusu/veri işleyenlerin yükümlülükleri, veri aktarımları, kişisel verilerin korunmasına ilişkin genel ilkeler, ilgili kişilerin hakları, yaptırımlar vs. gibi temel konularda hükümler öngörülmüş ve bahse konu Yasa’nın, Resmî Gazete’de yayımından 180 gün sonra yürürlüğe gireceği düzenlenmiştir.

Veri Koruma Otoriteleri/Mahkeme Kararları

- İtalya Veri Koruma Otoritesi (Garante), ilgili kişileri bilgilendirme yükümlülüğünün ihlal edildiği gerekçesiyle bir belediyeye 26.000 avro para cezası verildiğini duyurdu[11]. Karara konu olayda, belediye tarafından yerleştirilen güvenlik kameralarının varlığı ve işleme faaliyeti konusunda ilgili kişilerin yeterince bilgilendirilmediği ve yasa dışı atık bırakma ile mücadele amacıyla çekilen görüntüler için maksimum saklama süresi belirlenmediği tespit edildi.

- İtalya Veri Koruma Otoritesi (Garante), ilgili kişinin borcu için üçüncü kişiye temerrüt bildirimi gönderilmesi suretiyle temel veri koruma ilkelerinin ihlal edildiği gerekçesiyle bir varlık yönetim şirketine 10.000 avro para cezası uygulandığını duyurdu[12].

- İngiltere Veri Koruma Otoritesi (ICO), tazminat iddialarına yol açabilecek olası nedenler oluşturmak için araç tamir garajlarından birtakım kişisel verilere hukuka aykırı şekilde eriştiği ve bunları topladığı iddia edilen sekiz kişi hakkında cezai işlem başlatıldığını duyurdu[13]. 2014-2017 yılları arasında meydana gelen olayda davalıların, yüz binlerce kişinin verilerine erişmek ve bunları elde etmek için birlikte komplo kurdukları iddiası gündemde.

- ABD’de bir federal yargıç, uzaktan yapılan sınavlarda öğrencilerin odalarının incelenmesinin Anayasa’ya aykırı olduğuna hükmetti[14]. Karara konu olayda, çevrim içi ortamda gerçekleştirilen bir sınavda yatak odası gösterilmesi istenen öğrenci, odasının bu şekilde taranmasının Anasaya’nın 4. ek maddesinde düzenlenen “makul olmayan arama ve el koymalara” karşı bireylerin korunması hakkının ihlali niteliğinde olduğunu iddia ederken; Üniversite ise bahse konu oda taramalarının “arama” olarak nitelendirilemeyeceğini, zira bunun akademik adaleti sağlamak için gerekli olduğunu, dar kapsamlı olarak gerçekleştirildiğini ve öğrencilere bu konuda baskı yapılmadığını ileri sürmüştür. Yapılan değerlendirme sonucunda Mahkeme, bireyin evinde sahip olmayı beklediği mahremiyete ilişkin menfaatinin, üniversitenin menfaatlerinden ağır bastığına hükmederek mahremiyet hakkının korunmasının önemine dikkat çekmiştir.

Genel Haberler

- Facebook-Cambridge Analytica davasında yeni bir gelişme yaşandı ve on bir saat süren görüşmelerin ardından dava uzlaşma ile sonlandı[15]. Cambridge Analytica’nın, on milyonlarca kullanıcısının verilerine erişim sağlamasına izin verdiği gerekçesiyle kendisinden tazminat talep edilen davanın Facebook tarafından büyük ölçüde kabul edildiği belirtilmekle birlikte Şirket’in ödeyeceği tutar açıklanmadı.

- Snapchat uygulamasında kullanılan filtre ve lenslerin rızaları bulunmaksızın kullanıcıların biyometrik verilerini toplaması ve saklamasının ABD’nin Illinois eyaletinin Biyometrik Bilgi Mahremiyeti Yasası’nı (BIPA) ihlal ettiği iddiasıyla açılan toplu davada, Şirket’in 35 milyon dolar ödemeyi kabul ettiği bildirildi[16].

- Dijital cüzdanlar, QR kodları, kripto para birimleri ve biyometrik ödeme gibi teknolojileri %88 benimseme oranı ile bu konuda dünya genelinde ilk sıralarda yer alan Asya Pasifik bölgesindeki kullanıcılar üzerinde Mastercard tarafından yapılan bir araştırmanın sonuçları yayımlandı[17]. Çalışmanın genelinde, biyometrik ödeme yöntemlerinin mevcut seçenekler içerisinde en kolay ve güvenlisi olduğu ancak bu yöntemlerin mahremiyetin korunması açısından doğurduğu endişelerin devam ettiği ortaya konuldu. Bu kapsamda katılımcıların %58’i önceki dönemlere kıyasla biyometrik ödeme yöntemi kullanımlarını artırdıklarını, %72’si bu verilere hangi kuruluşların erişebileceği konusunda endişe duyduğunu, %70’i işlemlerini gerçekleştirmek için parmak izi veya yüz tanıma yöntemleri kullanmanın şifrelerini hatırlamaktan daha kolay olduğunu, %53’ü ise bu yöntemlerin kendilerine zaman kazandırması nedeniyle biyometrik verilerini paylaşmada sakınca görmediklerini belirtti.

- Yapay zekâ tarafından oluşturulan bir resim, ABD’nin Kolorado eyaletinde yıllık olarak düzenlenen bir sanat yarışmasını kazandı[18]. “Uzay Opera Tiyatrosu” isimli kazanan sanat eserinin yaratıcısı, kendisini hile yapmakla suçlayan sanatçıların bulunduğunu ancak eserinin hiçbir kuralı çiğnemeden yarışmayı kazandığını belirtti.

- Mustafa Kemal Atatürk’ün, gazeteci Ruşen Eşref Ünaydın’a hediye ettiği imzalı fotoğrafı NFT hâline getirildi ve dünyada bir devlet tarafından “sanat eseri” olarak tescil edilmiş ilk NFT olarak kayıtlara geçti[19].

------------------

[1] https://ico.org.uk/for-organisations/sme-web-hub/how-to-deal-with-data-protection-complaints-you-receive-as-a-small-business/

[2] Norway: Datatilsynet publishes report on monitoring and control of employees’ digital activities | News post | DataGuidance, 02.09.2022. Otorite tarafından yapılan açıklama için bkz. The boss sees you? | Norwegian Data Protection Authority (datatilsynet.no), 01.09.2022.

[3] https://www.holyrood.com/news/view,scotland-world-first-biometric-data-code-of-practice-in-prisons, 16.08.2022.

[4]https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1095978/V6_DCMS_Exploring_Organisational_Security_Breaches_Report_080722.pdf, 17.08.2022.

[5] https://www3.weforum.org/docs/WEF_The_Zero_Trust_Model_in_Cybersecurity_2022.pdf, Ağustos 2022.

[6] https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/the-top-trends-in-tech, 24.08.2022.

[7] https://iapp.org/news/a/swedens-dpa-creates-pilot-program-for-decentralized-ai/, 31.08.2022.

[8] https://sgp.fas.org/crs/misc/R47224.pdf, 26.08.2022. Diğer yandan Metaverse’nin AB hukuku kapsamında Avrupa Parlamentosu Araştırma Servisi (EPRS) tarafından değerlendirildiği çalışma için bkz. https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/733557/EPRS_BRI(2022)733557_EN.pdf, Haziran 2022.

[9]https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2022/29_08_2022_SU_Online_Werbung.html , 29.08.2022. Raporun İngilizce özeti için bkz. https://www.bundeskartellamt.de/SharedDocs/Publikation/EN/Sector%20Inquiries/Sektor_inquiry_online_advertising_report_discussion_summary.pdf?__blob=publicationFile&v=4

[10] Cuba: Law on Personal Data Protection published in Official Gazette | News post | DataGuidance, 30.08.2022. Bahse konu Yasa metni için bkz. https://www.minjus.gob.cu/sites/default/files/archivos/publicacion/2022-08/goc-2022-o90_0_0.pdf.

[11] Italy: Garante fines Policoro Municipality €26,000 for violation of information obligations | News post | DataGuidance, 16.08.2022. Otoritenin 09.06.2022 tarihli kararı için bkz. Ordinanza ingiunzione nei confronti di Comune di Policoro – 9 giugno 2022… – Garante Privacy.

[12] https://www.dataguidance.com/news/italy-garante-fines-cribis-credit-management-10000, 16.08.2022. Otoritenin 09.06.2022 tarihli kararı için bkz. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9794913

[13] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/08/ico-acting-against-eight-individuals-over-alleged-theft-of-road-traffic-accident-data-from-garages/, 30.08.2022.

[14] https://www.npr.org/2022/08/25/1119337956/test-proctoring-room-scans-unconstitutional-cleveland-state-university, 26.08.2022.

[15] https://www.theguardian.com/technology/2022/aug/27/facebook-cambridge-analytica-data-breach-lawsuit-ends-in-11th-hour-settlement, 27.08.2022.

[16] https://www.theverge.com/2022/8/23/23318545/illinois-snapchat-biometric-privacy-lawsuit-settlement-facebook-location-tracking, 23.08.2022.

[17] https://www.mastercard.com/news/ap/en/newsroom/press-releases/en/2022/apac-consumers-ahead-in-digital-payments-uptake-new-mastercard-research-finds-institutional-support-and-buy-in-key-to-even-greater-adoption/, 25.08.2022.

[18] https://www.nytimes.com/2022/09/02/technology/ai-artificial-intelligence-artists.html, 02.09.2022.

[19] https://www.dailysabah.com/arts/worlds-first-nft-registered-as-work-of-art-is-ataturks-photograph/news, 25.08.2022.

Kaynak: https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-5/