Kişisel Verilerin Korunması Bülteni - 2024 2. Çeyrek

Türkiye’den Güncel Gelişmeler 

Kişisel Verilerin Korunması Kanunu Değişiklikleri Yürürlüğe Girdi

7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6998 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) öngörülen değişiklikler (KVKK Değişiklikleri) 01.06.2024 tarihi itibarıyla yürürlüğe girdi.

Böylece, KVKK’nın özel nitelikli kişisel verilerin işlenmesi, kişisel verilerin yurt dışına aktarılması ve Kişisel Verileri Koruma Kurulu (Kurul) tarafından verilecek cezalara itiraz makamını düzenleyen maddelerinde yapılan değişiklikler bağlayıcı hale geldi. Ancak, yurt dışı aktarımına ilişkin yeni hükümler, 01.09.2024 tarihine kadar eski düzenlemeler ile birlikte uygulama alanı bulacak.

KVKK Değişiklikleri’ne ilişkin detaylı bilgiler içeren makalemize buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Veri sorumluları ve veri işleyenler veri işleme faaliyetlerini gözden geçirmeli ve faaliyetlerini yeni KVKK sistematiği ile uyumlu hale getirmek için gerekli aksiyonları en geç 01.09.2024 tarihine dek tespit ederek uyumun sürekliliğini sağlamalıdır.

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ve Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Yayımlandı

Kişisel Verileri Koruma Kurumu (Kurum), 10.07.2024 tarihinde Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’i (Yönetmelik) yayımladı. Yönetmelik’te, başta standart sözleşmeler olmak üzere KVKK değişiklikleri kapsamında kişisel verilerin yurt dışına aktarılması hükmüne getirilen yeniliklere ilişkin usul ve esaslar yer alır.

Ayrıca kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşmeler ve bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarına ilişkin yardımcı kılavuzlar da Kurum’un internet sitesinde ilan edildi.

Resmî Gazete’de yayımlanan Yönetmelik’e buradan, Kurum tarafından ilan edilen belgelere buradan ve konu hakkındaki duyurumuza ise buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Veri sorumluları ve veri işleyenler, yurt dışına aktarım yaptıkları süreçlere ilişkin gözden geçirme çalışması yürütmeli ve alıcı gruplarını netleştirilmelidir.
• Tespit edilen her bir yurt dışı aktarımı özelinde, standart sözleşme maddelerinin ya da bağlayıcı şirket kurallarının imzalanması veya istisnai aktarım hallerinden birine dayanılması arasında en uygun seçenek belirlenerek bir yol haritası çizilmelidir.
• Aydınlatma metinleri başta olmak üzere yurt dışı aktarımına ilişkin bilgilendirme içeren tüm uyum belgeleri revize edilmelidir.

Türkiye’nin İlk Yapay Zekâ Yasa Tasarısı Meclise Sunuldu

24.06.2024 tarihinde Türkiye Büyük Millet Meclisi’ne yapay zekâ teknolojisine yönelik taslak düzenlemeler içeren kısa bir yasa tasarısı (Yasa Tasarısı) sunuldu. Yasa Tasarısı, Avrupa Birliği Yapay Zekâ Yasası (AI Yasası) ile karşılaştırıldığında daha genel ve sınırlı düzenlemeler içermekte olup, yapay zekâ alanındaki mevzuat ihtiyacını tam olarak karşılayamasa da ilk yasa teklifi olması bakımından önem taşımaktadır. Yasa Tasarısı’nın amacı, yapay zekâ teknolojisinin güvenli, etik ve adil kullanımını sağlamak, kişisel verileri korumak ve gizlilik haklarını ihlal etmeyi önlemektir. Teklif, yapay zekâ sistemlerinin sağlayıcıları, dağıtıcıları, kullanıcıları, ithalatçıları ve distribütörlerine uygulanacak şekilde düzenlenmiştir. Ayrıca güvenlik, şeffaflık, adillik, hesap verilebilirlik ve gizlilik temel ilkelerine uyulmasını gerektirmektedir, ancak detaylı düzenlemeler mevcut değildir. Denetim ve yaptırımlar konusunda hangi idarelerin denetim yapacağı veya denetimlerin nasıl gerçekleştirileceği net değildir.

Yasa Tasarısı’na buradan ulaşabilirsiniz.

Reklam Kurulu, E-Ticaret Platformlarına İdari Yaptırım Uyguladı

Reklam Kurulu, 12.03.2024 tarihli toplantısında 12 ayrı e-ticaret platformunun üyelik, kişisel verileri işleme ve hedefli reklam ile pazarlama süreçlerini inceleyerek idari yaptırım kararı aldı. Reklam Kurulu, şirketlerin üyelik sözleşmeleri, aydınlatma ve açık rıza metinleri, gizlilik metinleri ve çerez politikaları gibi çeşitli uygulamalarına odaklandı. İnceleme kapsamında gerekli olmayan kişisel verilerin zorunlu olarak talep edilmesi, tüketicilerin kişisel verilerinin pazarlama amacıyla kullanılmasını kabul etmek zorunda bırakılması, açık rızalarının alınmaması ve üyelik iptali için yönlendirme sunulmaması gibi haksız ve aldatıcı uygulamalar tespit edildi. Reklam Kurulu, söz konusu ticari uygulamaların tüketicilerin karar verme veya seçim yapma iradesini olumsuz etkilediğini, tüketicilerin açıkça bilgilendirilmediğini ve tüketicilere ürün satın aldıktan sonra platform üzerinde iz bırakmama imkanının tanınmadığını vurguladı.

Reklam Kurulu’nun ilgili kararlarına buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Tüketicilerin kişisel verileri pazarlama amaçlı kullanılacaksa, bu konuda yasaya uygun bilgilendirme yapılmalı ve tüketicilerin açık rızaları alınmalıdır. Rıza uygulamaları, tüketicilerin kolayca anlayabileceği ve gerektiğinde rızalarını geri alabilecekleri şekilde dizayn edilmelidir.
• Tüketicilere üyelik iptali konusunda kolay ve erişilebilir yönlendirmeler sunulmalı; üyelik iptali işlemi, tüketicilerin zahmetsizce gerçekleştirebileceği bir süreç olarak düzenlenmelidir.
• Tüketicilere ürün satın aldıktan sonra platform üzerinde iz bırakmama imkânı tanınmalıdır.

Yükseköğretim Kurulu, Üretken Yapay Zekâ Kullanımına Dair Etik Rehber Yayımladı

Yükseköğretim Kurulu (YÖK), yapay zekâ teknolojisinin risk ve fırsatlarını anlamaya, değerlendirmeye ve risklere karşı önlem almaya katkı sağlamak üzere “Yükseköğretim Kurumları Bilimsel Araştırma ve Yayın Faaliyetlerinde Üretken Yapay Zekâ Kullanımına Dair Etik Rehber”ini (Rehber) yayımladı. Rehber’de bilimsel araştırma ve yayınlarda üretken yapay zekâ kullanımında karşılaşılabilecek etik sorunların başında mevzuata aykırı olarak kişisel verilerin işlenmesi geldiği vurgulandı. YÖK, kişisel verilerin anonimleştirilmediği veya üretken yapay zekâ sistemleri dışında maskelenmediği sürece bu sistemlere girilmemesi gerektiğini ve üretken yapay zekâ sistemlerini kullanmaya başlamadan önce mutlaka sistemlerin nasıl çalıştığına ve potansiyel risklerine dair detaylı bilgi sahibi olunması gerektiğini belirtti.

Rehber’in tamamına buradan ulaşabilirsiniz.

Anayasa Mahkemesi (AYM), Kişisel Verilerin Korunması Kapsamında Ad Değişikliğinin İlan Edilmesine İlişkin Hükmü İptal Etti

AYM, 22.02.2024 tarihli ve E. 2023/34, K. 2024/60 sayılı kararıyla Türk Medeni Kanunu’nun 27. maddesinde yer alan adın değiştirilmesine ilişkin mahkeme kararının ilan olunmasına dair kuralı iptal etti. Kararda öncelikle, bir kişinin adının kişisel veri niteliğinde olduğu ve itiraz konusu kuralın, adın değiştirilmesinin ilan edilmesini öngörmek suretiyle kişisel verilerin korunmasını isteme hakkına sınırlama getirdiği vurgulanır. AYM değerlendirmesi sonucunda; ad değişikliği ilanının kapsamına, içeriğine ve ilan şekli ve usulüne ilişkin açık bir düzenleme içermeyen kuralı, Anayasa m. 13 ve 20’ye aykırı bularak iptal etmiştir. İlgili karar, yayımlanmasından başlayarak 9 ay sonra, 16.02.2025 tarihinde yürürlüğe girecektir.

AYM Kararı’na buradan ulaşabilirsiniz.

Kurum’un 2023 Yılı Faaliyet Raporu Yayımlandı

Kurum, amaç ve hedefleri ile faaliyetlerine ilişkin detaylı açıklamalar içeren 2023 Yılı Faaliyet Raporu’nu (Rapor) yayımladı. Rapor’da belirtildiği üzere; 2023 yılında 51 adet Kurul toplantısı gerçekleştirilmiş olup, bu toplantılar sonucunda toplam 2.242 adet karar alınmıştır. Alınan kararların 41 tanesi özet şeklinde Kurum’un resmi internet sitesinde yayımlanmıştır. Ayrıca Kurul, 2023 yılı içerisinde 279’u ihbar ve şikâyet, 124’ü veri ihlal bildirimi ve 128’i Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğü kapsamında olmak üzere 531 veri sorumlusu hakkında idari para cezası uygulamış olup bu idari para cezalarının toplam miktarı 241.082.000 TL’ye ulaşmıştır.

Kurum’un yayımladığı faaliyet raporuna buradan ulaşabilirsiniz.

Dünya’dan Güncel Gelişmeler

Avrupa Birliği AI Yasası Yürürlüğe Girdi

12.07.2024 tarihinde, AI Yasası Avrupa Birliği (AB) Resmî Gazetesi’nde yayımlandı ve 01.08.2024 tarihinde yürürlüğe girdi. AI Yasası, belirli yapay zekâ uygulamalarını yasaklamakta ve “yüksek riskli” yapay zekâ sistemleri, şeffaflık endişeleri olan yapay zekâ sistemleri ve genel amaçlı yapay zekâ modelleri (GPAI) için düzenlemeler getirmektedir. AI Yasası’nda uygulanmasının aşamalı olarak gerçekleşeceği öngörülür. Bu doğrultuda, yasaklar 02.02.2025 tarihinde, GPAI düzenlemeleri 02.08.2025 tarihinde, şeffaflık ve yüksek riskli yapay zekâ sistemleri ile ilgili yükümlülükler ise 02.08.2026 tarihinde yürürlüğe girecektir. 02.08.2027 itibarıyla, özellikle AB ürün güvenliği mevzuatı kapsamında kalan ürünlerin içinde güvenlik bileşeni olarak hizmet edenler olmak üzere yüksek riskli yapay zekâ sistemleri ile ilgili belirli yükümlülükler uygulanmaya başlanacaktır. 2030 yılına kadar, başta kamu sektöründeki ek yapay zekâ sistemleri kalan tüm yükümlülüklere uymak zorunda olacaktır.

AI Yasası ayrıca Avrupa Komisyonu’na (Komisyon) tanımlar, şeffaflık yükümlülükleri ve mevcut AB mevzuatıyla ilişkiler gibi çeşitli konularda kılavuz ilkeler veya ikincil mevzuat çıkarma yükümlülüğü getirmektedir.

AI Yasası’na buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Yasa kapsamında kalan sektör aktörleri, yapay zekâ sistemlerine ilişkin AI Yasası’nın özel yükümlülükleri gözden geçirmeli ve bunları anlamalıdır.
• Aşamalı uygulanma sürelerine uyum sağlamak için bir zaman çizelgesi ve eylem planı geliştirilmeli ve Komisyon'dan gelen kılavuzlar ve ikincil mevzuat güncellemeleri takip edilmelidir.

Avrupa Veri Koruma Denetçisi (EDPS), Komisyon’a Microsoft 365 Veri Aktarımlarını AB Veri Koruma Mevzuatındaki İhlaller Nedeniyle Askıya Alma Kararı Verdi

EDPS, 08.03.2024 tarihinde Komisyon’un Microsoft 365 uygulamalarını kullanırken birtakım temel veri koruma kurallarını ihlal ettiğine karar verdi. EDPS, Komisyon’un AB/Avrupa Ekonomik Alanı (AEA) dışına aktarılan kişisel veriler için uygun güvenceleri sağlamadığını ve Microsoft ile akdettiği sözleşmede toplanan verilerin türleri ile amaçlarını açıkça belirtmediğini tespit etmiştir. EDPS’ye göre, bulut tabanlı hizmetler de dahil olmak üzere, kişisel verilerin AB/AEA dışında ve içinde işlenmesinde sağlam veri koruma önlemlerinin ve tedbirlerinin alınmasını sağlamak AB kurumları, organları, ofisleri ve ajanslarının (EUI) sorumluluğundadır. Sonuç olarak EDPS, Komisyon’a Microsoft 365’ten AB/AEA dışındaki ülkelere yapılan ve bir yeterlilik kararı kapsamında olmayan tüm veri aktarımlarını 09.12.2024 tarihi itibarıyla askıya alma ve veri işleme uygulamalarını aynı tarihe kadar AB veri koruma yasalarıyla uyumlu hale getirme talimatı verdi.

Kararın tamamına buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Kişisel verilerin sınır ötesi aktarımı için güçlü veri koruma önlemleri uygulanmalı ve hizmet sağlayıcıları ile imzalanacak sözleşmelerde kişisel verilerin korunmasına ilişkin tarafların yükümlülükleri açıkça belirtilmelidir.
• Veri koruma mevzuatına uyumu sağlamak için veri işleyenlerle yapılan sözleşmelerde kişisel veri türleri ve amaçları açıkça belirtilmelidir.
• Veri Koruma Etki Değerlendirmeleri ve Aktarım Etki Değerlendirmeleri de dahil olmak üzere kişisel verilerin işlenmesine ilişkin düzenli değerlendirmeler yapılmalıdır.

Bilgi Komiserliği Ofisi (ICO) Veri Koruma Cezalarına İlişkin Yeni Bir Kılavuz Yayınladı 

18.03.2024 tarihinde ICO, veri koruma cezalarına ilişkin yeni bir kılavuz yayınladı. Bu kılavuz, ceza verme ve ceza hesaplama süreçlerini ve kriterleri detaylandırmaktadır. Kılavuz, ICO’nun ceza ihbarnamesi verme yetkisini kullanmayı uygun gördüğü durumları, uygulanabilecek maksimum ceza tutarını, birden fazla ihlal durumunda ICO’nun yaklaşımını ve cezanın nasıl belirlendiğini açıklamaktadır. Yeni kılavuz, Kasım 2018 tarihli Düzenleyici İşlem Politikası’nda yer alan ceza bildirimi bölümlerini değiştirmektedir.

Kılavuzun tamamına buradan ulaşabilirsiniz.

Fransız Veri Koruma Kurumu (CNIL) Kişisel Verilerin Güvenliğine İlişkin Uygulama Kılavuzunun Son Baskısını Yayınladı

26.03.2024 tarihinde CNIL Verilerin Güvenliğine ilişkin Uygulama Rehberi’nin (Uygulama Rehberi) 2024 tarihli versiyonunu yayınladı. Uygulama Rehberi, uygulanması gereken güvenlik protokollerini güçlendirmeyi amaçlamaktadır. Güncellenmiş versiyon, öncekini kapsamlı bir şekilde revize ederek, yapay zekâ, mobil uygulamalar, bulut bilişim ve uygulama programlama ara yüzleri gibi önemli alanları kapsayan yeni bilgi notları sunmaktadır. Uygulama Rehberi, Veri Koruma Görevlileri, Bilgi Güvenliği Görevlileri, bilgisayar mühendisleri ve hukuk uzmanları için veri güvenliğini sağlama çabalarında bir referans niteliğindedir.

Uygulama Kılavuzunun tamamına buradan ulaşabilirsiniz.

Türkiye için Veri Yönetişimi Çerçevesi Tavsiye Raporu Yayınlandı

01.04.2024 tarihinde, Birleşmiş Milletler Kalkınma Programı (UNDP) Türkiye Ülke Ofisi ve Merkezi Dijital Ofis, Türkiye’nin veri odaklı dijital dönüşümüne rehberlik etmek amacıyla Türkiye için Veri Yönetişimi Çerçevesi Öneri Raporu’nu (Rapor) yayınladı. Rapor, diğer alanların yanı sıra veri mevzuatının güçlendirilmesi, kapsamlı bir ulusal veri stratejisinin geliştirilmesi ve sektöre özgü politikaların iyileştirilmesine duyulan acil ihtiyacı vurgulamaktadır. Rapor ayrıca, farklı sektörlerdeki günlük veri artışının etkisiyle Türkiye’nin küresel kalkınmadaki artan öneminin de altını çizmektedir.

Raporun tamamına buradan ulaşabilirsiniz.

ICO Çocukların Çevrimiçi Gizliliğini Korumak İçin Öncelikleri Belirledi

03.04.2024 tarihinde ICO, çocukların kişisel verilerinin çevrimiçi ortamda korunmasına yönelik öncelikleri özetleyen 2024-2025 Çocuk Kuralları Stratejisi’ni yayınladı. 2021 tarihli Çocuk Kuralları’nı temel alan güncellenmiş Çocuk Kuralları Stratejisi, mevcut çabaları ilerleterek sosyal medya ve video paylaşım platformlarının önümüzdeki yıl uygulamalarını geliştirmeleri gereken alanları belirlemektedir.

Çocuk Kuralları Stratejisi, varsayılan gizlilik ve coğrafi konum ayarları, hedefli reklamlar için çocukların profilinin çıkarılması, tavsiye sistemlerinde çocukların bilgilerinin kullanılması ve 13 yaşın altındaki çocukların bilgilerinin kullanılması konularına değinmektedir.

Önceliklere ilişkin duyuruya buradan ulaşabilirsiniz.

Amerikan Veri Gizliliği ve Koruma Yasası Taslağı (Veri Gizliliği Yasası Taslağı) Yayınlandı

05.04.2024 tarihinde, Amerika Birleşik Devletleri (ABD) Kongre üyeleri Veri Gizliliği Yasası Taslağı’nı tanıttı. Veri Gizliliği Yasası Taslağı, insanlara veri gizliliği haklarını uygulama olanağı veren ulusal bir veri gizliliği ve güvenliği standardı yaratmayı amaçlamaktadır. Yasanın birincil amacı, veri gizliliği için tek tip, ulusal bir standart sağlamaktır; bu, eyalet yasalarının karmaşasını tek bir federal düzenleme ile değiştirmeyi hedeflemektedir.

Veri Gizliliği Yasası Taslağı’na tabi olan kuruluşlar, devlet kurumları ve küçük işletmeler gibi bazı istisnalar dışında, özellikle Federal Ticaret Komisyonu Yasası kapsamındakiler olmak üzere, veri toplama, işleme veya aktarımını kontrol edenleri içermektedir. Veri Gizliliği Yasası Taslağı, kuruluşların uyması gereken veri minimizasyonu, şeffaflık, tüketici kontrolü ve veri güvenliği yükümlülükleri öngörmektedir. Bunlar arasında, veri işlemenin gerekli amaçlarla sınırlandırılması, açık gizlilik politikaları sağlanması, veri erişimi ve vazgeçme seçenekleri gibi tüketici haklarının tanınması ve sağlam güvenlik uygulamalarının sürdürülmesi yer almaktadır.

Veri Gizliliği Yasası Taslağı’na buradan ulaşabilirsiniz.

Avrupa Birliği Adalet Divanı (ABAD), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) İhlalinin Doğrudan Manevi Zarar Teşkil Etmeyeceğine Karar Verdi

11.04.2024 tarihinde, ABAD, veri sorumlusuna iletilen itirazlara rağmen kişisel verilerin pazarlama amacıyla izinsiz olarak işlenmesi nedeniyle veri sahibi tarafından talep edilen zararın tazminine ilişkin davayı sonuçlandırdı.

ABAD, GDPR’nin ihlal edilmesinin tek başına “manevi zarar” oluşturmak için yeterli olmadığını, zira zararın varlığının tazminat hakkının koşullarından biri olduğunu açıklamıştır. Tazminat talep edebilmek için, ciddiyetine bakılmaksızın, zararın varlığına dair somut bir delilin varlığı gerekir. Ayrıca, ABAD, veri sorumlusunun sorumluluktan muaf tutulabilmesi için söz konusu zararın kendi yetkisi altında hareket eden ve talimatlara uymayan bir kişinin hatasından kaynaklandığını iddia etmesinin yeterli olmadığını vurgulamıştır. Son olarak, ABAD idari para cezalarının cezalandırıcı, GDPR kapsamındaki tazminatın ise telafi edici olduğunu, dolayısıyla miktarların belirlenmesi için farklı kriterlerin gözetilmesinin gerekli olduğunun altını çizmiştir. Her üye devlet, AB hukuku ilkelerine bağlı kalarak tazminat için kriterler belirlemelidir. Ayrıca, veri sorumlusunun ihlalinin birden fazla olması tazminat değerlendirmesini etkilemeyecektir.  Kararın tamamına buradan ulaşabilirsiniz.

ICO Sağlık Verilerinin İşlenmesinde Şeffaflık Konusunda Kılavuz Yayınladı

15.04.2024 tarihinde ICO, sağlık ve sosyal bakım bilgilerini işleyen kuruluşlara yönelik şeffaflık beklentilerini açıklığa kavuşturan bir kılavuz yayınladı. Bu Kılavuz, sağlık ve sosyal bakım hizmetleri sunan veya araştırma ve planlama gibi ikincil amaçlar da dahil olmak üzere, sağlık ve sosyal bakım bilgilerini işleyen özel ve üçüncü sektör kuruluşlarını kapsamaktadır.

Kılavuz, veri koruma mevzuatına uyum sağlamak ve şeffaflık uygulamalarını geliştirmek amacıyla gizlilik ile şeffaflık bilgileri sağlanmasının önemini özellikle vurgulamaktadır. Güncel Kılavuz, kuruluşlar için yeni veri toplama sistemlerini uygulamak, bir bölge genelinde doğrudan bakım desteklemek amacıyla ortak bir bakım kaydı oluşturmak, kişisel sağlık kayıt uygulamaları tanıtmak, araştırma programları yürütmek ve hastane taburcu verilerini sosyal bakım sağlayıcıları ile paylaşan yeni bir sistem oluşturmak gibi konularda özellikle faydalı olabilir.

Kılavuza buradan ulaşabilirsiniz.     

Avrupa Veri Koruma Kurulu (EDPB) “Rıza Ver Veya Öde” Modelleri Hakkında Görüş Bildirdi

17.04.2024 tarihinde, EDPB, Hollanda, Norveç ve Hamburg Veri Koruma Otoritelerinden gelen bir talebe cevaben, büyük çevrimiçi platformlar tarafından davranışsal reklamcılık için kullanılan “rıza ver veya öde” modellerinde rızanın geçerliliğine ilişkin görüşünü yayınladı. EDPB görüşünde, kullanıcılara gerçek bir seçim hakkı verilmesi gerektiğini vurgulamakta ve mevcut modellerin genellikle kullanıcıları ya veri işlemeye rıza göstermeye ya da bir ücret ödemeye zorladığını, bu durumun da rızanın geçersiz sayılmasına yol açabileceğini belirtmektedir. Ayrıca EDPB, rızanın geçerli olması için gerekli olan aydınlatılmış, belirli ve açık olma koşullarının varlığını değerlendirirken büyük çevrimiçi platformları tarafından dikkate alınabilecek kriterlere de değinmektedir. EDPB'nin tutumu, kişisel verilerin yalnızca bir meta olarak ele alınmaması gerektiği fikrini güçlendirmekte ve güç dengesizliklerinden yararlanmayan veya kullanıcı seçimlerinin sonuçlarını gizlemeyen açık, ayrıntılı onay süreçlerine duyulan ihtiyacı vurgulamaktadır.

Görüş özellikle, davranışsal reklamcılıkta veri işleme için yalnızca büyük çevrimiçi platformlar tarafından kullanılan “rıza ver veya öde” modelini ele almaktadır. Ancak EDPB, “rıza ver veya öde” modellerine ilişkin daha kapsamlı kılavuz ilkeler geliştirmeyi ve kapsamlı bir anlayış ve uygulama sağlamak için paydaşlarla etkileşim kurmayı planlamaktadır.

Görüşün tamamına buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Veri sorumluları, veri sahiplerinin gerçek bir seçim hakkına sahip olduklarından ve verilerinin işlenmesi için rıza göstermeye ya da işlenmemesi için ücret ödemeye zorlanmadıklarından emin olmalı, rızanın geçerliliğini korumalıdır. EDPB’nin rehberi, büyük çevrimiçi platformlar için kritik öneme sahiptir; bu platformlar, GDPR ile uyumu ve kullanıcı gizliliğine saygıyı sağlamak için rıza modellerini ve iş uygulamalarını yeniden değerlendirmek zorunda kalabilirler.

İspanya Veri Koruma Kurumu (AEPD) Caixabank S.A.’ya Veri Sahibinin Onayını Almadığı İçin Para Cezası Uyguladı

18.04.2024 tarihinde, AEPD, bir bireyin Genel Sosyal Güvenlik Hazinesi (TGSS) verilerine uygun rıza olmadan erişim sağladığı için Caixabank S.A.’ya 1.200.000 Avro değerinde para cezası uyguladı.

Caixabank, TGSS ile müşteri verilerini toplamak ve doğrulamak için “çerçeve sözleşme” aracılığıyla zorunlu bir abonelik prosedürü kullanmıştır. AEPD, bu prosedürün GDPR’nin rızanın özgürce verilmiş, belirli, aydınlatılmış ve açık olmasını zorunlu kılan rıza gerekliliklerini karşılamadığını tespit etmiştir. Caixabank, Çerçeve sözleşme ile veri sahibi tarafından uyulması zorunlu bir örnek maddeyi kullanmış ve sadece kara para aklama ile terörün finansmanının önlenmesine yönelik yasal yükümlülüklere atıfta bulunmuş; veri sahiplerinden işleme faaliyetleri için açık rıza temin etmemiştir. AEPD, kararında kanunun kişisel verilerin TGSS ile doğrulanmasını zorunlu kılmadığını, bunun yerine müşterilerin bu tür bilgileri sağlaması ve bankaların da risk seviyelerine göre doğrulaması gerektiğini açıklamıştır.

Kararı sadece İspanyolca olarak burada bulabilirsiniz.

ICO Yapay Zekâ Konusundaki Stratejik Yaklaşımını Yayınladı

01.05.2024 tarihinde ICO, Bilim, İnovasyon ve Teknolojiden Sorumlu Devlet Bakanı’nın talebine yanıt olarak, yapay zekâ düzenlemesine yönelik stratejik yaklaşımını yayınlamıştır.

ICO’nun “Yapay Zeka’nın Düzenlenmesi: ICO’nun Stratejik Yaklaşımı” başlıklı stratejisi, özellikle adalet, önyargı, şeffaflık, güvenlik ve hesap verebilirlik ile ilgili olarak yapay zekânın fırsatlarını ve risklerini vurgulamaktadır. Odak alanları arasında temel modeller, yüksek riskli yapay zekâ uygulamaları, yüz tanıma, biyometri ve çocukların yapay zekâ kullanımı yer almaktadır. Yaklaşım, veri koruma yükümlülüklerini değerlendirmek üzere, kuruluşlar için bir yol haritası içermektedir ve ICO’nun yapay zekâya özgü rehberliğini, uygulama eylemlerini ve kaynaklarını detaylandırmaktadır. ICO ayrıca, üretken yapay zekâ (generative AI), biyometrik sınıflandırma ve yapay zekâ ile veri koruma kılavuzundaki güncellemeler hakkında yaklaşan istişareleri de not etmektedir.

ICO’nun stratejik yaklaşımını burada bulabilirsiniz.

ABAD Kamuya Açık Verilerin Hedefli Reklamcılıkta Kullanılması Hakkında Görüş Bildirdi

25.04.2024 tarihinde ABAD Başsavcısı, C-446/21 sayılı davada kişiselleştirilmiş reklamlar için kamuya açık ifadelerin kullanımına ilişkin bir görüş yayınladı. Dava, Facebook’un 2018 hizmet şartlarını kabul eden Maximilian Schrems’in cinsel yöneliminden ziyade ilgi alanlarına dayanarak eşcinsellere yönelik hedeflenmiş reklamları görmesiyle başladı. Schrems, Avusturya mahkemesine bir şikâyette bulundu; mahkeme, esasen ABAD’a iki soru yöneltti: (1) Bir platformun, örneğin Facebook’un, elde ettiği tüm kişisel verilerin hedeflenmiş reklamcılık için sınırsız ve veri türü kısıtlaması olmadan toplanıp analiz edilip işlenip işlenemeyeceği ve (2) bir panel tartışmasında cinsel yönelime ilişkin yapılan kamu beyanının, kişiselleştirilmiş reklamcılık için diğer ilgili verilerin işlenmesine izin verip vermediği.

Başsavcı, GDPR’nin hedefli reklamcılık için kişisel verilerin süresiz olarak işlenmesini yasakladığını belirterek, ulusal mahkemelerin kişiselleştirilmiş reklamcılığın meşru amacı karşısında veri saklama sürelerinin ve veri miktarlarının orantılılığını değerlendirmesi gerektiğini vurguladı. Ayrıca, cinsel yönelimle ilgili kamuya açık bir beyanın, veriler herkes tarafından biliniyor olsa bile, bu tür verilerin hedefli reklamcılık için işlenmesine izin vermediğini belirtmiştir.

Görüş, sosyal ağlar içinde veri işleme sınırlarına dair netlik sağlamakta ve veri sorumlularının veri kullanımının kapsamını ve şeklini GDPR tarafından belirlenen sınırlar içinde gerekçelendirmeleri gerektiğini vurgulamaktadır.

Görüşe buradan ulaşabilirsiniz. 

Yapılması Gerekenler

• Her veri işleme faaliyeti, orantılı ve belirli bir amaç ile sınırlı olmalıdır.
• Hassas kişisel verilerin kamuya açık hale getirilmesi, bu verilerin reklam gibi alakasız amaçlar için işlenmesine otomatik olarak izin vermez. Bu nedenle, sonraki her türlü işleme faaliyetinin hukuka ve dürüstlük kurallarına uygun olma ve amaç ile sınırlı olma ilkelerine uygun olması gerekir.

Bülteni pdf formatında indirmek için tıklayınız.