Dünyada Neler Oluyor XIII

Dünyada Neler Oluyor?

Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum“) radarında kalmaya devam ediyor.

Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR“) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.

GRC LEGAL olarak dünya gündemini yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.

Aşağıda yer alan haberler 2023 Temmuz ayına aittir.

GDPR Usul Yönetmeliği

Avrupa Komisyonu (European Commission, “EC”) geçtiğimiz günlerde, sınır ötesi davalarda Avrupa Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation, “GDPR”) uygulanmasının etkinliğini ve verimliliğini desteklemek için yeni kurallar önerdi. GDPR Usul Yönetmeliği (GDPR Procedural Regulation, “Yönetmelik”), sınır ötesi davalarda idari prosedürlerin bazı yönlerini uyumlaştırarak veri koruma otoriteleri arasındaki iş birliğini kolaylaştırmayı amaçlıyor.

EC’nin önerdiği Yönetmelik, GDPR ile hüküm altına alınan ilgili kişilerin hakları, veri sorumluları ve veri işleyenlerin yükümlülükleri veya kişisel verilerin işlenme şartları gibi önemli unsurları etkilemiyor.

EC, GDPR’ın uygulanmasına ilişkin hazırladığı 2020 raporunda, veri koruma otoriteleri tarafından uygulanan usule ilişkin farklılıkların, GDPR’ın sınır ötesi vakalarda (yani birden fazla Üye Devlet’ten şikayetçiler söz konusu olduğunda) iş birliği ve uyuşmazlık çözüm mekanizmalarının sorunsuz ve etkili bir şekilde işlemesini engellediğini tespit etmişti.

EC, şikayetlerin kabul edilebilirliği, ilgili kişi haklarının kullanılması ve ilgili kişilerin prosedüre dahil edilmesi gibi konularda daha uyumlu bir yaklaşımın hem vatandaşlar hem işletmeler hem de veri koruma otoriteleri nezdinde verimliliği ve sonuçları artıracağını tespit etti. Bu unsurlar Avrupa Parlamentosu ve Avrupa Veri Koruma Kurulu (European Data Protection Board, “EDPB”) tarafından da önemli olarak tanımlandı.

Yönetmelik, bireylerin ve kuruluşların kendi baş/yerel denetim veri koruma otoriteleri ile muhatap olabilecekleri sistemi tamamen koruyor ve destekliyor. Bireyler, verilerini işleyen kuruluşun merkezi nerede olursa olsun, haklarını korumak için baş/yerel veri koruma otoritelerine güvenerek one-stop-shop (“tek yetkili mercii”) sisteminden yararlanırken işletmeler de tek bir veri koruma otoritesi ile muhatap olma hakkından faydalanmaya devam edecek.

Teklif, sınır ötesi uygulama sistemi için ayrıntılı usul kuralları belirleyerek GDPR’ı tamamlayıcı bir nitelik taşırken GDPR tarafından sağlanan usule ilişkin adımları ya da sınır ötesi uygulama prosedüründeki ilgili kişilerin, baş/yerel veri koruma otoritelerinin, ilgili denetim makamlarının ya da EDPB’nin rollerini değiştirmiyor.

Bilgi Köşesi

GDPR, Avrupa Birliği’nde yerleşik olan ve kişisel verilerin sınır ötesi işlenmesiyle uğraşan kuruluşlar için ‘tek yetkili mercii’ sistemini gündeme getirmektedir. Bu sistem, kuruluşların işleme faaliyetlerinin çoğu için tek bir baş denetim otoritesi ile muhatap olmasını sağlamaktadır. Sistemin kuruluşlara uygulanabilmesi için kuruluşun AB’de yerleşik olması ve sınır ötesi işleme faaliyetinde bulunması gerekmektedir. Kuruluş AB’de kuruluysa ve sınır ötesi işleme faaliyetinde bulunuyorsa, ana kuruluşun yerini belirlemek önem arz etmektedir. Ana kuruluşun bulunduğu AB Üye Devletinin denetim otoritesi kuruluşun işleme faaliyetleri için baş/yerel denetim otoritesi olacaktır.

Baş/yerel denetim otoritesi, kuruluşunu ana kuruluşunun bulunduğu Üye Devletin denetim makamıdır. Baş/yerel denetim otoritesi, kuruluşun işleme faaliyetleri ile ilgilenme konusunda birincil sorumluluğa sahip olacak ve çoğu durumda kuruluşun sınır ötesi işleme faaliyetleri ile ilgili olarak muhatap olduğu denetim otoritesi olacaktır.

Kuruluşun sınır ötesi işleme faaliyetinde bulunması, baş/yerel denetim otoritesi dışındaki denetim otoritelerinin (“ilgili denetim otoriteleri”) de işleme faaliyetleri ile ilgileneceği anlamına gelmektedir.

Bu bağlamda ilgili denetim otoriteleri, aşağıdakilerden herhangi birinin geçerli olduğu durumlarda kuruluşun işleme faaliyetleriyle ilgilenecektir:

  • Kuruluş, ilgili denetim otoritesinin Üye Devletinde kuruldu ise,
  • İlgili denetim otoritesinin üye devletinde ikamet eden ilgili kişiler, kuruluşun işleme faaliyetlerinden önemli ölçüde etkilenmiş veya önemli ölçüde etkilenmesi muhtemel ise,
  • Kuruluşun işleme faaliyetlerine ilişkin olarak ilgili denetim otoritesine bir şikâyette bulunulmuş ise.

Baş/yerel denetim otoritesinin, kuruluşun sınır ötesi işleme faaliyetlerini soruşturması gerekirse, bunu GDPR’ın iş birliği ve tutarlılık prosedürlerine göre yapacaktır. Bu tür soruşturmalarda, baş/yerel denetim otoritesi, uygun şekilde ilgili denetim otoriteleri ile yakın koordinasyon içinde olacaktır.

GDPR, ulusal mahkemelerin yanı sıra bağımsız ulusal veri koruma otoriteleri tarafından da uygulanıyor. Kişisel verilerin sınır ötesi işlenmesini içeren durumlarda (birden fazla Üye Devlet’te gerçekleşen veya ilgili kişileri önemli ölçüde etkileyen veri işleme) GDPR’ın “tek yetkili mercii” sistemi geçerli. Bu tür durumlarda, soruşturma altındaki kuruluşun yerleşik olduğu yerel denetim otoritesi, soruşturmayı diğer ilgili denetim makamları ile iş birliği içinde yürütüyor.

GDPR kapsamında, veri koruma otoriteleri GDPR’ın uygulanması konusunda fikir birliğine varmak için iş birliği yapıyorlar. Veri koruma otoritelerinin sınır ötesi bir vakada fikir  birliğine  varamaması  halinde  GDPR,  EDBP  tarafından uyuşmazlıkların çözümünü öngörüyor.

Halihazırda, veri koruma otoritelerinin şikâyet kavramına ilişkin dağınık yaklaşımları bulunuyor. Teklif, şikâyetin nerede yapıldığına veya soruşturmanın hangi veri koruma otoritesi tarafından yürütüldüğüne bakılmaksızın, ilgili kişilerin sınır ötesi vakalarda, bir şikâyetin tamamen veya kısmen reddine ilişkin bir karar alınmadan önce dinlenilme hakkı gibi aynı usuli haklara sahip olmasını sağlıyor.

Yeni kurallar kapsamında, soruşturma altındaki taraflar, EDPB tarafından uyuşmazlıkların çözümü de dahil olmak üzere, prosedürün önemli aşamalarında dinlenilme hakkına sahip olacak. Ayrıca, idari dosyanın içeriğine ve tarafların dosyaya erişim haklarına da açıklık getiriliyor.

Avrupa Komisyonu x Yeterlilik Kararı

EC geçtiğimiz günlerde, AB-ABD (Avrupa Birliği-Amerika Birleşik Devletleri) Veri Gizliliği Çerçevesi’nde düzenlenen yeterlilik kararını kabul etti. Karar, Amerika Birleşik Devletleri’nin yeni çerçeve kapsamında AB’den ABD şirketlerine aktarılan kişisel veriler için Avrupa Birliği ile karşılaştırılabilir yeterli düzeyde koruma sağladığı sonucuna vardı. Yeni yeterlilik kararına dayanarak, kişisel veriler AB’den Veri Gizliliği Çerçevesi’ne katılan ABD şirketlerine ek veri koruma önlemleri almak zorunda kalmadan güvenli bir şekilde aktarılabilecek.

  • AB-ABD Veri Gizliliği Çerçevesi, ABD istihbarat servislerinin AB verilerine erişimini gerekli ve orantılı şekilde sınırlamak ve AB bireylerinin erişebileceği bir Veri Koruma İnceleme Mahkemesi (Data Protection Review Court “DPRC”) kurmak da dahil olmak üzere, Avrupa Adalet Divanı tarafından dile getirilen tüm endişeleri gidermek için yeni bağlayıcı güvenceler getiriyor.
  • Yeni çerçeve, Gizlilik Kalkanı kapsamında var olan mekanizmaya kıyasla önemli iyileştirmeler getiriyor. Örneğin, DPRC verilerin yeni güvencelere aykırı olarak toplandığını tespit ederse, verilerin silinmesini emredebilecek. Devletin verilere erişimi alanındaki yeni güvenceler, AB’den veri ithal eden ABD şirketlerinin uymak zorunda oldukları yükümlülükleri tamamlayıcı nitelikte olacak.
  • ABD şirketleri, kişisel verilerin toplanma amacı kalmadığında silinmesi ve kişisel veriler üçüncü taraflarla paylaşıldığında korumanın sürekliliğinin sağlanması gibi ayrıntılı bir dizi gizlilik yükümlülüğüne uymayı taahhüt ederek AB-ABD Veri Gizliliği Çerçevesine katılabilecek.
  • AB vatandaşları, verilerinin ABD şirketleri tarafından hatalı işlenmesi durumunda çeşitli telafi yollarından yaralanabilecek. Bunlar arasında ücretsiz bağımsız uyuşmazlık çözüm mekanizmaları ve bir tahkim paneli de bulunuyor.
  • ABD yasal çerçevesi, özellikle kolluk kuvvetleri ve ulusal güvenlik amaçları için ABD kamu makamlarının çerçeve kapsamında aktarılan verilere erişimine ilişkin bir dizi güvence sağlıyor. Verilere erişim, ulusal güvenliği korumak için gerekli ve orantılı olacak şekilde sınırlanacak.
  • AB vatandaşları, verilerinin ABD istihbarat kurumları tarafından toplanması ve kullanılmasına ilişkin olarak, yeni oluşturulan DPRC’iyi de içeren bağımsız ve tarafsız bir telafi mekanizmasına erişebilecek. Mahkeme, bağlayıcı telafi edici tedbirler almak da dâhil olmak üzere, şikâyetleri bağımsız bir şekilde soruşturacak ve çözüme kavuşturacak.

ABD tarafından uygulamaya konulan güvenceler, standart sözleşme maddeleri ve bağlayıcı şirket kuralları gibi diğer araçlar kullanılarak veri aktarımı yapıldığında da geçerli olduğundan, transatlantik veri akışlarını daha genel anlamda kolaylaştıracağı öngörülüyor.

AB-ABD Veri Gizliliği Çerçevesi’nin işleyişi, Avrupa Komisyonu tarafından Avrupa veri koruma makamları ve yetkili ABD makamlarının temsilcileriyle birlikte gerçekleştirilecek periyodik incelemelere tabi olacak. İlk gözden geçirme, ilgili tüm unsurların ABD yasal çerçevesinde tam olarak uygulandığını ve etkin bir şekilde işlediğini doğrulamak amacıyla, yeterlilik kararının yürürlüğe girmesinden sonraki bir yıl içinde gerçekleştirilecektir.

Google Analytics Kullanımı Nedeniyle 1 Milyon Euroluk Ceza

Avusturyalı veri gizliliği grubu Noyb’un AB ve ABD arasındaki yasadışı olduğunu iddia ettiği veri aktarımlarına ilişkin şikayetlerinin ardından İsveç Veri Koruma Otoritesi (The Swedish Authority for Privacy Protection “IMY”) dört şirket aleyhinde karar verdi. İlgili kararlar neticesinde, telekomünikasyon sağlayıcısı Tele2, 12 milyon kron (1 milyon Euro) ve çevrimiçi perakendeci CDON 300.000 kron para

Daha önce Avusturya, Fransa, İtalya gibi birçok AB üye devleti de Google Analytics kullanımının GDPR’yi ihlal ettiğini tespit etmişti. Avrupa Adalet Divanı (Court Of Justice of the European Union “CJEU”) AB-ABD arasındaki veri aktarımlarına ilişkin kararlar vermiş olsa da IMY kararı, para cezasına hükmedilen ilk karar oldu.

CJEU, 2020’de Avrupa Birliği ile ABD arasındaki veri transferlerinin ABD hükümetinin geniş gözetleme opsiyonları göz önüne alındığında büyük çoğunlukla yasa dışı olduğunu tespit etmişti. Ancak buna rağmen birçok Avrupalı işletme Google, Meta, Microsoft, Amazon ve benzeri şirketlerin hizmetlerini kullanmaya ve CJEU kararlarını görmezden gelerek savunmalarını tamamlayıcı Tedbirlerine, Standart Sözleşme Maddeleri’ne (Standard Contract Clauses “SCC”) dayandırmaya devam etmişti.

Bilgi Köşesi

SCC, Avrupa Komisyonu tarafından yayımlanan ve veri sorumluları ile veri işleyenlerin AB Veri Koruma Kanunu yükümlülüklerine uymalarını sağlayan standartlaştırılmış ve önceden onaylanmış örnek veri koruma maddeleridir. Bu maddeler, kullanılmak zorunda olmayıp veri sorumluları ve veri işleyenler tarafından veri koruma gerekliliklerine uyulduğunu göstermek amacıyla üçüncü taraflarla yapılan sözleşmelere dahil edilmesi adına hazırlanmıştır. SCC iki setten oluşmakta olup ilk set veri sorumluları ve veri işleyenler arasındaki ilişkiyi ikinci set ise Avrupa Birliği dışındaki ülkelere veri transferlerini düzenlemektedir.

IMY, ilgili kararlarında Google’ın tamamlayıcı tedbirlerinin yeterli olmadığını vurguladı. Google, ABD yasalarındaki eksikliklerin üstesinden gelmek amacıyla AB işletme kullanıcılarını büyük ölçüde Google Tamamlayıcı Tedbirler’e yönlendirmekteydi ancak bu yönlendirme de yine bir AB otoritesi tarafından reddedilmiş oldu.

GRC LEGAL Yorumu: Verilen kararlar, AB-ABD arasındaki veri transferlerinin kişisel veri güvenliğini tehlikeye attığını tekrar göstermiş oldu. Noyb’da Veri Koruma Avukatı olarak görev alan Marco Blocher da konu hakkında: “Sonunda bir Veri Koruma Otoritesi, GDPR’ı ihlal ederek kişisel verileri ABD’ye transfer eden bir aracın kullanılması sebebiyle önemli bir para cezasına hükmetti ve ilgili uygulamanın kullanılmasını yasakladı. Bu karar, yalnızca bir ihlal olduğunu tespit eden ancak gelecekte ilgili karara uyulması için hiçbir teşvik yaratmayan diğer veri koruma otorite kararlarına nazaran tatmin edici bir karar. Diğer veri koruma otoritelerinin de IMY’i takip etmesini ve yasa dışı aktarımlara son vermesini umuyoruz.” ifadelerini kullanarak IMY kararının umut verici olduğunu belirtti.

Google x Bard

Google, İrlanda Veri Koruma Otoritesi (“IDPA”) tarafından dile getirilen endişeleri giderdikten sonra yapay zekâ sohbet robotu Bard’ı Avrupa Birliği’nde kullanıma sunduğunu duyurdu.

ABD’li teknoloji devi Google, Haziran ayında OpenAI ürünü ChatGPT’nin rakibini piyasaya sürmeyi, İrlandalı düzenleyicinin şirketin Bard’ın AB’nin gizlilik kuralları olan GDPR’ye uyumluluğu konusunda yetersiz bilgi verdiğini belirtmesi ardından erteledi. Google’ın Avrupa’daki merkezi İrlanda’da olduğu için IDPA, Google’ın  AB’deki  ana  veri  düzenleyicisi konumunda.

Google’ın Kıdemli Ürün Direktörü Jack Krawczyk lansman öncesinde gazetecilere yaptığı açıklamada, Google’ın Bard’ı kullanıcılar için “şeffaflığı”, “kontrolü” ve “seçimi” artırmak için yeni özelliklerle geliştirdiğini söyledi. Krawczyk’in belirttiğine göre; kullanıcılar bilgilerinin nasıl kullanıldığını öğrenebilecek, bazı kullanımlardan vazgeçebilecek ve Bard ile yaptıkları konuşmaların Google tarafından kaydedilmesini ya da silinmesini kontrol edebilecekler. Sohbet robotunun Arapça, Çince, Hintçe, Almanca ve İspanyolca da dahil olmak üzere 40’tan fazla dilde kullanılabileceği de ifade edildi.

İrlandalı düzenleyici kurumdan bir yetkili yaptığı açıklamada, lansman sonrası Bard ile ilgili olarak Google ile temaslarını sürdüreceklerini ve Google’ın Bard’ın AB’de faaliyete geçmesinden üç ay sonra bir incelemeye tabi olarak IDPA’ya rapor sunmayı kabul ettiğini belirtti.

Bilgi Köşesi

Bard’ın   ana   rakibi   ChatGPT, gizlilik  standartlarını  ihlal edebileceği endişesiyle Mart ayında İtalya’da geçici olarak yasaklanmakla birlikte, İspanya ve Almanya gibi birçok ülkede de soruşturma altında. Avrupa veri koruma otoriteleri şu anda EDPB şemsiyesi altında üretken yapay zekâ araçlarının ortaya çıkardığı çeşitli gizlilik sorunlarını inceliyor.

Meta da geçtiğimiz ayın başlarında Twitter’a rakip olarak Threads’i yüzden fazla ülkede piyasaya sürmüş, ancak Dijital Piyasalar Yasası olarak adlandırılan yeni dijital rekabet yasasıyla bağlantılı “yaklaşan düzenleyici belirsizlik nedeniyle” platformu Avrupa Birliği’nde sunmayı ertelemişti.

Bununla birlikte Bard ve ChatGPT gibi uygulamaların gelişiminin dünyadaki işsizlik oranları üzerinde de ciddi bir etki yaratacağı düşünülüyor. Rochester Teknoloji Enstitüsü’nde Programlama ve Bilişim Bilimi bölümünde Dekan Yardımcısı olan Pengcheng Shi, şu anda ABD ve New York’ta okullarda yasaklanan ChatGPT’nin özellikle orta okul ve lise seviyesindeki derslerde eğitilmesi akabinde “kolaylıkla ders verebileceğini” dile getiriyor.

GRC LEGAL Yorumu: Yapay zekânın yaygınlaşması ile birlikte dünya çapında pek çok insan ve lider, yapay zekanın insanlığın karşısında bir tehdit unsuru olduğunu düşünmeye başlamış durumda. Yapay zekâ teknolojisi gelişmeye devam ettikçe gizliliğin bu uygulamalar tarafından ne denli ihlal edileceği ya da özel hayata ne denli müdahale gerçekleşeceği hususundaki tereddütler gündemi meşgul edecek gibi gözüküyor.

Meta’dan Yeni Uygulama: “Threads”

Meta’nın yeni Threads uygulaması sadece birkaç gün içinde 100 milyon kullanıcıya ulaşarak Twitter’ın gelmiş geçmiş en güçlü rakibi unvanını alırken; uygulama, topladığı kişisel veri nezdinde gizlilik uzmanlarını endişelendiriyor. Threads ile ilgili endişelerin en büyük kaynağı ise, daha önce GDPR’ın öngördüğü hassas kişisel verileri, ilgili kişilerin uygun onayı almadan temin eden ve idari para cezasına çarptırılan Meta’nın gizlilik uygulamaları ile ilgili geçmişi.

Threads sosyal medya platformları dünyasına yeni girmiş olsa da platformun kullanıcı verilerini nasıl topladığı, depoladığı ve paylaştığı hakkında halihazırda çok şey biliniyor. Bunun nedeni de Threads’in kullanıcıları hakkında topladığı özel bilgilerle ne yapıp ne yapamayacağı konusunda Meta’nın sahip olduğu diğer platformlar ile aynı gizlilik politikası ve iş modeline tabi olması; Tıpkı kardeş platformları  Instagram  ve  Facebook  gibi  Threads  de kullanıcıları hakkında çok sayıda veri toplayacak.

Meta’nın uygulamalarının kullanıcıların girdiği her türlü bilgiyi aldığı; Threads’in uygulama mağazası girişine göre ise bu bilgiler arasında sağlık ve fitness bilgileri, finansal bilgiler, konum ve tarama geçmişi gibi hassas verilerin de yer alabildiği belirtiliyor.

Platform, şirkete kullanıcıların hangi gönderilerle etkileşime geçtikleri ve kimleri takip ettikleri hakkında bilgi sağlıyor. Threads gizlilik politikasına göre bu husus, “görüntülediğiniz veya etkileşimde bulunduğunuz içerik türlerini ve bunlarla nasıl etkileşimde bulunduğunuzu” ve Threads’i ne kadar süreyle ve ne sıklıkla kullandığınızı da içeriyor. Kullanıcıların Threads faaliyetlerine ek olarak şirketin gizlilik politikası; GPS   konumuna, kameralara, fotoğraflara, IP bilgilerine, kullanılan cihazın türüne ve Bluetooth sinyalleri, yakındaki Wi-Fi erişim noktaları, işaretçiler ve baz istasyonları dahil olmak üzere cihaz sinyallerine de erişebileceğini belirtiyor.

Bu bilgiler bir araya getirildiğinde, özellikle de Meta’nın Facebook, Instagram ve Meta Pixel aracılığıyla halihazırda topladığı tüm verilerle birlikte ele alındığında, insanların yaşamlarının son derece ayrıntılı ve karmaşık bir haritasını çıkarmak zor olmayacaktır.

Ürün Sizsiniz!

Meta’nın devasa veri koleksiyonu tek bir amaca yönelik: reklam satmak. Threads şu anda reklam yayınlamasa da uzmanlar gelecekte kuşkusuz yayınlayacağını söylüyor. Bu arada Threads’te toplanan bilgilerin Meta’nın diğer platformlarında reklam sunmak için kullandığı daha büyük veri ekosisteminin bir parçası olarak kullanılabileceği de gündem maddeleri arasında.

Oxford Üniversitesi Yapay Zekâ Etik Enstitüsü’nde doçent olan Carissa Veliz, “Kamuoyunun tepkisine, düzenleyicilerin uyarılarına ve para cezalarına rağmen, Meta iş modelini değiştirmemekle kalmadı; hedefli reklamlar, yani gözetim reklamcılığı yapmaya devam ediyor” dedi. Şirketin topladığı verilerin ne kadar hassas olduğunun da bir endişe kaynağı olduğunu belirten Veliz, bu veriler arasında cinsel yönelim, ırk ve etnik köken, biyometrik veriler, sendika üyeliği, hamilelik durumu, politika, dini inançlar verilerinin yer alıyor olabileceğini ve potansiyel olarak üçüncü taraflara aktarılabileceğini söyledi.

Bu üçüncü taraflar arasında pazarlamacılar ve kolluk kuvvetleri yer alıyor. Geçtiğimiz yıl Meta’ya, kolluk kuvvetleri tarafından kullanıcı verilerine yönelik yaklaşık 240.000 talep geldi.

ABD’de Meta, yüksek mahkemenin federal kürtaj korumalarını elden geçirme kararının ardından, kullanıcıların sağlık verilerini ve kürtajla ilgili kovuşturmalarda kullanılabilecek verileri toplaması ve dağıtması nedeniyle son zamanlarda özel bir incelemeyle karşı karşıya kaldı. Geçtiğimiz yıl bir anne ve kızı, Meta’nın yerel polisle paylaştığı Facebook mesajlarına dayanarak Nebraska’da yasadışı kürtaja yardım etmek ve aramakla suçlandı.

Threads söz konusu olduğunda, sağlık bilgileri, örneğin bir kullanıcının hamile olup olmadığına işaret edebilecek gönderiler ile etkileşim kurma veya bunları paylaşma şeklinde bile ortaya çıkabilir. Bu noktada Profil gizli olsa bile, kolluk kuvvetleri Meta’yı gönderileri için mahkemeye çağırabilecektir.

GRC LEGAL Yorumu: Her ne kadar Threads uygulamasında reklam yayımlanmıyor olsa da Threads’in tüm hassas verileri gelecekte yapılması kaçınılmaz olan reklam ve pazarlama faaliyetleri için topladığı ve kullanıcıları profillemeye maruz bırakacağı aşikardır. Analizlerin, kullanıcıların cinsel yönelim, ırk ve etnik köken, sağlık bilgileri gibi özel nitelikli verileri üzerinden gerçekleştirilmesi ise üst düzey ayrımcılık faaliyetlerini tetikleyebilecektir. Meta’nın İrlanda Veri Koruma Otoritesi tarafından geçtiğimiz aylarda GDPR kapsamında gelmiş geçmiş en yüksek idari para cezası çarptırılmasına rağmen ilgili uygulamaları sürdürmesi ise gizlilik nosyonuna ilişkin endişeleri her geçen gün arttırırken cezaların caydırıcı, önlemleri yeterli olup olmadığına ilişkin soru işaretlerini gündeme getiriyor.

Yazar Hakkında

kamilko

GRC Legal

PDF olarak indir
AYM, GÖRME ENGELLİ BAŞVURUCUNUN BANKA İŞLEMİNDE AYRIMCILIĞA UĞRADIĞINA KARAR VERDİ!
KVKK Bülteni Ağustos 2023