Seçilmiş Güncel Gelişmeler 39

 

* Güney Kore, Avrupa Birliği’nin (AB) ardından yapay zekâya yönelik kapsamlı bir düzenleme oluşturan ikinci ülke oldu[1]. “Yapay Zekânın Geliştirilmesi ve Güvenin Tesisi Hakkında Temel Yasa” ismini taşıyan ve AB Yapay Zekâ Yasası ile büyük ölçüde benzerlik taşıdığı şeklindeki yorumlarla karşı karşıya kalan düzenleme Meclis’te kabul edildi.

Bu çerçevede genel olarak bakıldığında; düzenlemede risk temelli bir yaklaşım benimsendiği, yüksek etkili yapay zekâ sistemlerini belirlemek için bir sınıflandırma çerçevesi oluşturulduğu ve bu sistemlere yönelik daha katı yükümlülüklerin öngörüldüğü, yapay zekânın kullanımı ve geliştirilmesinde etik yönergeler oluşturulması ile şeffaflığın sağlanması gibi gereklilikler benimsendiği ve düzenlemeyi ihlal eden işletmeler hakkında 30 milyon KRW’ye (yaklaşık 20.500$) kadar para cezası uygulanabileceği belirtilmektedir.

 

* AB genelinde siber güvenlik olaylarına hazırlık yapılması, bu olayların tespit edilmesi ve uygun müdahalelerin gerçekleştirilmesi süreçlerinin iyileştirilmesi gibi amaçlar taşıyan 2025/38 sayılı AB Siber Dayanışma Tüzüğü (Cyber Solidarity Act) 15.01.2025 tarihli AB Resmî Gazetesinde yayımlandı[2].

 

* Avrupa Veri Koruma Kurulu (EDPB), takma ad kullanımı/psödönimleştirmeye ilişkin bir rehber yayımladı ve Rehber’e ilişkin geri dönüşlerin 28.02.2025 tarihine kadar iletilebileceğini duyurdu[3]. Bu çerçevede bahse konu Rehber’de; AB Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki veri koruma yükümlülüklerine uyum sağlamak için uygun ve etkili bir güvenlik önlemi olarak belirlenen takma ad kullanımından ne anlaşılması gerektiği, bu yöntemin amacı ve avantajları ile veri koruma düzenlemelerine uyum sağlanmasına nasıl yardımcı olabileceği gibi hususlar incelenmekte ve örnek senaryolar üzerinden çeşitli açıklamalarda bulunulmaktadır.

Bu kapsamda söz konusu Rehber’den ulaşılabilecek iki temel husus EDPB tarafından yapılan açıklamada şu şekilde belirtilmektedir:

  • Ek bilgiler kullanılarak bir bireye atfedilebilen takma ad kullanılmış veriler, kimliği belirlenebilir bir gerçek kişiye ilişkin bilgi olarak değerlendirildiğinden “kişisel veri” niteliğini haizdir.
  • Takma ad kullanımı, GDPR kapsamındaki diğer tüm gereklilikler karşılandığı sürece riskleri azaltabilir ve GDPR’ın 6/1(f) düzenlemesi bağlamında meşru menfaatin hukuki bir dayanak olarak kullanılmasını kolaylaştırabilir. Ayrıca takma ad kullanımı, orijinal amaçla uyumluluğun sağlanmasına da yardımcı olabilir.

 

* Avrupa Parlamentosu Araştırma Servisi (EPRS), karanlık tasarımlara (dark patterns) yönelik olarak çerçeve niteliğinde bir doküman yayımladı[4]. Bu kapsamda bahse konu dokümanda;

 

  • Karanlık tasarımların, genellikle kullanıcıların bilgileri veya rızaları bulunmaksızın, kullanıcı davranışlarını manipüle etmek amacıyla çevrim içi platformlar tarafından başvurulan aldatıcı teknikler olduğu,
  • Zararlı çevrim içi seçim mimarisine dayanan karanlık tasarımların, geniş bir yelpazede bilinçli seçimler yapma yeteneğini engelleyerek bireylerin kararlarını kasıtlı olarak etkilediği,
  • Karanlık tasarımlar konusunda AB’nin düzenleyici çerçevesinin parçalanmış bir yapıda olduğu,
  • Bu kavrama yönelik yeknesak bir tanım bulunmamasının, hukuki açıdan belirsizliğe ve farklı uygulamalara yol açabildiği,
  • Paydaşların ve akademisyenlerin, bu kavrama yönelik daha net tanımlar getirilmesi, daha güçlü güvenlik önlemleri alınması ve mevcut düzenlemelerin daha etkili bir şekilde uygulanması yönünde taleplerinin bulunduğu gibi hususlara değinilmektedir.

 

* Fransa Veri Koruma Otoritesi (CNIL), kullanıcıların mahremiyetine saygı duyulmasını sağlamak üzere mobil uygulamalarda talep edilen izinlerin nasıl olması gerektiğine yönelik bir içerik yayımladı[5].

 

* Avrupa Veri Koruma Kurulu (EDPB), veri koruma hukuku ile rekabet hukuku arasındaki etkileşimin ve bu hususta düzenleyiciler arasındaki iş birliğinin nasıl iyileştirilebileceğinin ele alındığı bir görüş dokümanı yayımladı[6]. Bu çerçevede bahse konu dokümanda; veri koruma ile rekabet hukukunun etkileşim içerisinde bulunduğu noktalar ile ortak amaçlardan bahsedilmekte, veri koruma uygulamalarına rekabete ilişkin faktörlerin dahil edilmesi ve rekabet hukuku kapsamındaki değerlendirmelerde veri koruma kurallarının da dikkate alınmasına yönelik adımlar önerilmekte ve düzenleyiciler arasındaki iş birliğinin geliştirilmesine ilişkin önerilerde bulunulmaktadır.

 

* 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9’uncu maddesi kapsamında kişisel veri aktarımlarının uygulanması hakkında veri sorumlularına yol göstermesi amacıyla hazırlanan rehber, Kurumumuzun internet sitesinde yayımlandı[7].

 

* Bankaların 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil mevzuat çerçevesinde uyması gereken usul ve esaslar ile yerine getirmesi gereken yükümlülüklerin iyi uygulama örnekleri vasıtasıyla ortaya konulması amacıyla Kurumumuz ve Türkiye Bankalar Birliği iş birliği ile hazırlanan Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi, 12.03.2024 tarihli 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yapılan değişiklikler göz önüne alınarak güncellenmiş ve ilgililerin istifadesine sunulmuştur[8].

 

* 08.01.2025 tarih ve 32776 sayılı Resmî Gazete’de yayımlanan 177 sayılı Cumhurbaşkanlığı Kararnamesi ile “Siber Güvenlik Başkanlığı” kuruldu[9].

Bu çerçevede Başkanlığın görev ve yetkileri şu şekilde belirlendi:

  • Siber güvenliğin sağlanması amacıyla politika, strateji ve hedefleri belirlemek, eylem planları hazırlamak, mevzuat çalışmalarını yürütmek, ilgili faaliyetlerin koordinasyonunu sağlamak, bunların etkin şekilde uygulanmasını takip etmek,
  • Siber güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırma çalışmaları yürütmek,
  • Siber güvenlik ve bilgi güvenliğini destekleyici projeler yürütmek,
  • Siber güvenlik alanında kamu, özel sektör ve üniversiteler arasındaki iş birliğinin artırılmasına yönelik çalışmalar yapmak,
  • Siber güvenlik ekosistemi ile yerli ve milli ürün ve teknolojilerin geliştirilmesine ve yerli girişimcilerin dünya pazarında rekabetçi konuma gelmesine yönelik çalışmalar yapmak,
  • Siber güvenliğe ilişkin ihtiyaç duyulan alanlarda Ar-Ge ve teknoloji transferi yapmak,
  • Siber güvenlik ile ilgili yurt içinde veya yurt dışında düzenlenen tatbikat, etkinlik ve fuarlara katılımın özendirilmesine yönelik çalışmalar yürütmek,
  • Siber güvenlik zafiyetlerinin tespit edilmesi amacıyla çalışmalar yürütmek,
  • Siber güvenlik alanındaki kapasitenin kritik alanlara yönlendirilmesi ve mükerrer yatırımların önlenmesi için öncelikli siber güvenlik alanlarını belirlemek,
  • Siber güvenlik acil durum ve kriz yönetim planları oluşturmak, bu planlar çerçevesinde ortak operasyon merkezleri kurmak,
  • Siber güvenlik alanında kamu kurum ve kuruluşları tarafından verilecek teşviklere ilişkin görüş bildirmek,
  • Mevzuatla verilen diğer görevleri yapmak.

 

* Google Cloud, işletmelerin geleceğini şekillendirme potansiyeli taşıyan, 2025 yılının yapay zekâ trendlerine ilişkin bir rapor yayımladı[10]. Bu çerçevede raporda;

 

  • Metin, görüntü ve ses gibi birden fazla türde girdiyi aynı anda işleyebilme yeteneğiyle öne çıkan çok modlu yapay zekâ modellerinin daha kapsamlı bir perspektif sağlayarak çeşitli sektörlerde farklı avantajlar sunacağı,
  • Yapay zekâ ajanlarının karmaşık görevleri basitleştireceği, karmaşık iş akışlarını yönetebileceği, iş süreçlerini otomatikleştirebileceği ve çalışanları destekleyebileceği,
  • Şirket bünyesinde kullanılan dahili arama motorları gibi kurumsal arama sistemlerinin bilgiye erişimi kolaylaştıracağı,
  • Yapay zekâ destekli çözümler ile müşteri deneyimlerinin daha iyi bir hâle geleceği,
  • Yapay zekânın güvenlik sistemlerini geliştireceği, tehditleri belirleme ve bunlarla mücadele etme, güvenlik görevlerini otomatikleştirme ve yanıt sürelerini hızlandırma vb. görevlerde yardımcı olacağı gibi hususlara değinilmektedir.

 

* Florida’da görülmekte olan bir ceza davasında sanık avukatı, yargıcın olayı sanığın gözünden görmesini sağlamak üzere, sanığın düğün salonunda meydana gelen bir kavga sırasında yaşadığı tehlikeyi ve kendisini koruma amacıyla silah çektiği durumu yansıtan bir simülasyon hazırlattı[11]. İddia konusu suçun sanal gerçeklik ile oluşturulmuş simülasyonunun delil olarak sunulmasını kabul eden yargıç, olay anını sanal gerçeklik gözlüğü aracılığıyla sanığın bakış açısından deneyimleme fırsatı buldu.

 

 

 

[1] https://www.ccn.com/news/technology/south-korea-ai-basic-act-joins-eu/, 26.12.2024.

[2] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202500038, 15.01.2025.

[3] https://www.edpb.europa.eu/news/news/2025/edpb-adopts-pseudonymisation-guidelines-and-paves-way-improve-cooperation_en, 17.01.2025.

[4] https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)767191, 13.01.2025.

[5] https://www.cnil.fr/fr/permissions-applications-mobiles-recommandations-de-la-cnil-pour-respecter-la-vie-privee, 14.01.2025.

[6] https://www.edpb.europa.eu/news/news/2025/edpb-adopts-pseudonymisation-guidelines-and-paves-way-improve-cooperation_en, 17.01.2025.

[7] https://www.kvkk.gov.tr/Icerik/8143/Kisisel-Verilerin-Yurt-Disina-Aktarilmasi-Rehberi, 02.01.2025.

[8] https://www.kvkk.gov.tr/Icerik/8148/Kisisel-Verilerin-Korunmasina-Iliskin-Bankacilik-Sektoru-Iyi-Uygulamalar-Rehberi-Guncellendi, 08.01.2025.

[9] https://www.resmigazete.gov.tr/eskiler/2025/01/20250108-1.pdf, 08.01.2025.

[10] https://blog.google/products/google-cloud/ai-trends-business-2025/, 17.12.2024.

[11] https://gizmodo.com/florida-judge-allows-vr-simulation-of-alleged-crime-to-be-submitted-as-evidence-2000544922, 02.01.2025.