Dünyada Neler Oluyor?

Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum”) radarında kalmaya devam ediyor. Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.

GRC LEGAL olarak dünya gündemini yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.

Aşağıda yer alan haberler 2024 Mart ayına aittir.

AB Seçimleri x TikTok

Avrupa Parlamentosu’nun (European Parliament, “EP”) daha önceki siber güvenlik yasaklarına rağmen Haziran ayında yapılacak Avrupa Birliği (“AB”) seçimleri için kampanya yürütürken TikTok’u kullanma planı, güvenli uygulama konusunda soru işaretleri yaratıyor. Çünkü EP, bunu siber güvenlik dostu bir şekilde nasıl yürüteceği konusunda ayrıntılı bir açıklama yapmadı.

Şubat ayı başında Euractiv, EP’nin geçen yıl siber güvenlik endişeleri nedeniyle uygulamayı kurumsal cihazlardan yasaklamasına rağmen seçim kampanyasında TikTok’u kullanmaya hazırlandığını bildirdi.

Alman Dış İlişkiler Konseyi’nin (German Council on Foreign Relations, “DGAP”) Jeopolitik, Jeoekonomi ve Teknoloji Merkezi’nde araştırma görevlisi Valentin Weber, Euractiv’e yaptığı açıklamada uygulamanın kurumsal cihazlarda yasaklanmasının nedeninin, bu cihazlarda Komisyon’a ait kişilerin ya da fotoğraf ve belgelerin de kaydedilmesi olduğunu söyledi.

EP, TikTok’u nasıl güvenli bir şekilde kullanabilir?

Weber’e göre, TikTok kullanımını güvenli hale getirmenin ilk adımı sadece TikTok için kullanılan yeni bir telefon satın almak olacaktır. Associated Press’e göre, Amerika Birleşik Devletleri (“ABD”) Başkanı Joe Biden’ın kampanyasının ABD’de yaptığı da bu: Uygulamayı diğer iletişimlerden izole tutmak için yalnızca TikTok’a özel bir cep telefonu kullanmak ve diğer önlemleri uygulamak.

“İkinci şart ise EP’nin hiçbir altyapısını kullanmamak olacaktır. Bu da EP binalarındaki Wi-Fi ağını kullanamayacağınız anlamına geliyor.” diye açıkladı Weber. Ancak Meclis Wi-Fi bağlantısı olmayan boş bir telefon bile risk oluşturabilir.

“Mesele sadece telefonun sahip olduğu veriler değil, aynı zamanda telefonun neler yapabileceği. Ses kaydedebilir; video kaydedebilir. Dolayısıyla, bunu kapalı toplantılarda kullanamazsınız, adayın bir şey söylediği ya da potansiyel olarak tehlike arz eden bilgilerin tartışıldığı kampanya gezilerinde kullanamazsınız. Eğer AB çalışanları gizli bir toplantıya özel telefonları ve TikTok yüklü olarak katılırlarsa, bu da benzer bir risk oluşturacaktır.” diye ekleyen Weber, “yapılacak tek güvenli şeyin, gizli hususların tartışılmadığı bir konumdan, diğer platformlardan çapraz paylaşım yapmak olduğunu” ifade etti. Çapraz paylaşım, aynı içeriğin birden fazla sosyal medya platformunda paylaşılması anlamına geliyor.

Güvenlik Riskleri


Weber, TikTok güvenlik endişelerinin Çin hükümetinin casusluk korkusuyla bağlantılı olduğunu açıkladı. TikTok’un Çin hükümetiyle bağlantıları konusunda kesin bir kanıt sunulmadı ve platformun temsilcileri bu tür bağlantıları sürekli olarak reddetti, ancak bazıları Bejing ile bağlantılara dair kanıtların var olduğunu öne sürüyor. Ancak Weber, gizlilik açısından “diğer uygulamaların kullanımının çok daha iyi olmadığını” söyledi.

Dezenformasyonun Önlenmesi


Yine de Weber, politikacıların ve kurumların kampanya yapmak ve kitlelerine ulaşmak için platforma katılmalarının mantıklı olduğuna inanıyor. Bir EP sözcüsü de “Birçoğu muhtemelen ilk seçmenler olan milyonlarca genç vatandaş, ilgilendikleri konular hakkında bilgi almak için TikTok’u kullanıyor.” dedi. New York Üniversitesi tarafından hazırlanan bir raporla ilgili yakın tarihli bir Washington Post makalesi de TikTok’un 2020’den bu yana siyasette daha etkili hale geldiğine dikkat çekti.


Bir TikTok sözcüsü Euractiv’e, özellikle seçimler öncesinde siyasi kurumları TikTok’ta memnuniyetle karşıladıklarını belirterek AB genelinde her ay 142 milyon kişinin TikTok’a katıldığını söyledi. Sözcü, “Politikacılara ve kurumlara ait doğrulanmış hesaplar, seçmenlere temsilcilerine erişmek için başka bir yol ve yanlış bilgilere karşı ortak mücadelede güvenilir kaynaklar sağlıyor.” diye ekledi.

Bu ayın başlarında TikTok, AB seçimlerine hazırlanırken, diğer önlemlerin yanı sıra dezenformasyonla mücadelenin bir parçası olarak her üye devlet için uygulama içi yerel dilde bir Seçim Merkezi başlatacaklarını duyurdu.

Bu arada EP’nin siber güvenlikle ilgili başka endişeleri de var gibi görünüyor; Politico’ya göre dahili bir e-posta, EP’nin savunma komitesinin telefon korsanlığına maruz kaldığını ortaya çıkardı. Bu durum, AB kurumunun siber güvenliğinin seçimlere ve beraberindeki olası saldırılara hazır olmadığı yönündeki görüşlerin ardından geldi.

GRC LEGAL Yorumu

Gelişen teknolojinin dünya üzerinde olumlu olduğu kadar olumsuz etkileri de doğmuştur. Sosyal medya platformlarının göründüğü kadar masum olmadığı söylenebilecektir. Nitekim sosyal medya platformları aracılığıyla bireylerin düşüncelerinin etki altına alındığı, seçimlerin sonucunu değiştiren Facebook – Cambridge Analytica skandalı ile kanıtlanmıştır. Bu doğrultuda, hayatımızın olmazsa olmazı haline gelen bu platformlar kitlelere ulaşmak için en etkili yöntem haline gelirken tehlikeleri de beraberinde sürüklemektedir.

Milyonlarca kullanıcıya sahip olan TikTok, kuşkusuz şekilde seçim kampanyalarını yürütmek ve insanlara seslenmek için mükemmel bir araçtır. Ancak TikTok bünyesinde yıllardır süregelen veri ihlalleri gözetildiğinde sıkı tedbirler alınsa dahi sürecin manipüleye uğrayıp uğramayacağı soru işaretleri yaratmaktadır. Politikacıların yalnızca TikTok uygulamasını yükleyecekleri bir telefon kullanmaları, EP binasına ait altyapıların kullanmamaları basit görünümlü ancak yaşanabilecek ihlallere karşı önemli tedbirlerden olabilir. Bununla birlikte, bu önlemlere her bir EP üyesinin azami özen göstererek uyması gerekmekte olup yaşanabilecek ufak bir dikkatsizliğin bile veri ihlaline büyük bir fırsat vereceği açıktır. Bu kapsamda tüm sürecin şeffaflık ve hesap verilebilirlik ilkeleri doğrultusunda yürütülmesi ve EP’nin en kısa sürede konuya ilişkin ayrıntılı bir açıklamada bulunması önem arz etmektedir.

Serco Leisure X ICO

Bilgi Komiserliği Ofisi (Information Commissioner’s Office, “ICO”) Serco Leisure’ın, İngiltere’deki 38 eğlence tesisinde 2.000’den fazla çalışanını izlemek amacıyla yüz tanıma teknolojisini kullanarak çalışanların biyometrik verilerini hukuka aykırı bir şekilde işlediğini belirtti ve ilgili uygulamayı bırakmasını emretti.

ICO’nun “ne adil ne de orantılı” olduğunu söylediği bu uygulama, çalışanların devamlılığını kontrol etmek için yapıldı. Serco Leisure, ICO’nun verdiği yaptırım kararına uyacağını; ancak kameraları yerleştirmeden önce yasal danışmanlık aldığını ve beş yıl boyunca çalışanların kameralar hakkında şikâyette bulunmadığını söyledi. Ayrıca, bunun çalışanlar için “işe giriş ve çıkışları daha kolay ve basit hale getirmek” olduğunu ve uygulamaya başlamadan önce çalışanlar ile görüşüldüğünü ve uygulamanın olumlu karşılandığını sözlerine ekledi.

ICO, parmak izleri de taranan şirket çalışanına biyometrik verilerinin toplanması yerine net bir alternatif sunulmadığını söyledi. Ayrıca firmanın, kimlik kartları veya yaka kartları gibi çalışan devamlılığını izlemenin daha az müdahaleci yolları varken bu uygulamanın neden gerekli olduğunu gösteremediğini tespit etti.

Birleşik Krallık Bilgi Komiseri John Edwards, Serco Leisure’ın “işyerindeki güç dengesizliğini” artırdığını ve çalışanların biyometrik verilerini vermekten başka seçenekleri yokmuş gibi hissetmelerine neden olduğunu söyledi. “Serco Leisure, çalışan devamlılığını izlemek için biyometrik teknolojiyi uygulamaya koymadan önce riskleri tam olarak değerlendirmedi ve iş çıkarlarını çalışanlarının mahremiyetinin üzerinde tuttu” dedi.

GRC LEGAL Yorumu

Kişisel Verileri Koruma Kurulu’nun yanı sıra pek çok veri koruma otoritesi tarafından da işe giriş çıkış takibinin yürütülmesi için çalışanlardan biyometrik veri temin edilmesi ölçüsüz olarak değerlendirilmektedir. Nitekim, biyometrik veriler özel nitelikli veri kapsamında olup ihlalleri neticesinde ilgili kişiler nezdinde çok daha ağır sonuçlar doğurabilecek mahiyettedir ve söz konusu verilerin korunması gerekliliği, işverenin meşru menfaati ile kıyaslandığında çok daha ağır basmaktadır.

Çalışanların işe giriş çıkış takiplerinin yapılması için temel hak ve özgürlüklere daha az müdahale eden, alternatif yollar mevcut iken kişilerin biyometrik verilerinin toplanması ICO nezdinde de hukuka aykırı değerlendirilmiş ve ICO, çalışanlarının biyometrik verilerini kullanmayı düşünen tüm şirketler için veri koruma yasasına nasıl uyacaklarını gösteren yeni bir kılavuz yayınladığını duyurmuştur. Bu kasamda yapılan çalışmaların tüm veri sorumlularına yol gösterici nitelikte olmasını temenni etmekteyiz.

Garante X Enel Energia

İtalya Veri Koruma Otoritesi (Garante per la protezione dei dati personali, “Garante”), ülkenin en büyük kamu hizmeti şirketi Enel’e müşterilerin kişisel verilerini tele-pazarlama faaliyetlerine maruz bırakarak kötüye kullanması nedeniyle 79 milyon Euro’dan fazla para cezası verdi.

Garante yaptığı açıklamada, Enel Energia’nın enerji ve gaz hizmetlerini yasadışı bir şekilde tanıtmak için en az 9.300 sözleşmeyle bağlantılı olarak müşterilerin kişisel verilerini kullandığını iddia etti. Açıklamada ayrıca Enel Energia’nın satış ağı dışındaki dört şirketten 978 kullanıcının kişisel verilerini elde ettiği de iddia edildi. Garante, Enel Energia’nın müşteri yönetimi ve hizmet aktivasyon bilgi sistemlerinin “ciddi güvenlik eksiklikleri” gösterdiğini söyledi.

Garante’nin bugüne kadar kestiği en büyük para cezası yaptırımının muhatabı olan Enel Energia ise sistemlerinin güvenliğini sağlamak ve veri koruma kurallarına uymak için her zaman doğru hareket ettiğini ve “tüm uygun önlemleri” aldığını söyleyerek karara itiraz edeceğini belirtti.

GRC LEGAL Yorumu

Tanıtım ve reklam süreçlerini yürütmek amacıyla müşterilerini, izinleri olmaksızın tele-pazarlama süreçlerine maruz bırakan şirketler/veri sorumluları daha fazla kişiye ulaşmak için mütemadiyen hukuka aykırı veri işleme faaliyetinde bulunmaktadırlar. Veri sorumlularının caydırıcı nitelikte idari para cezalarına hükmedilmeleri ise söz konusu aykırılığın giderilmesinde en etkili yöntemdir. Bu doğrultuda, Garante tarafından hükmedilen rekor cezanın veri koruma otoritelerine emsal teşkil etmesi, kişisel verilerin korunması temel hak ve özgürlüğü bağlamında tüm ülkeleri bir adım ileriye taşıyacaktır.

Birleşik Krallık’ta Yurtdışı Aktarımına Yönelik Standart Sözleşme Maddeleri 21 Mart 2024 Tarihinde Güncellendi!

Birleşik Krallık GDPR’ı uyarınca, kişisel verileri Birleşik Krallık hükümeti tarafından söz konusu verilerin korunması için “yeterli güvenceler” sağladığı onaylanmamış yargı alanındaki bir alıcıya aktarmak isteyen Birleşik Krallık kuruluşları, aktarımı yürürlüğe koymak için geçerli bir aktarım mekanizmasına dayanmalıdır. Daha yaygın olarak kullanılan aktarım mekanizmalarından biri, Birleşik Krallık hükümeti tarafından onaylanan Standart Sözleşme Maddeleri’dir. (Standard Contractual Clauses “SCC”).

Mevcut durumda, 22 Eylül 2022’den önce yapılan sözleşmelerle ilgili olarak kuruluşların güvenebileceği SCC’lerinden biri eski Veri Koruma Direktifi kapsamında Avrupa Komisyonu tarafından yayınlanan eski AB SCC’leriydi. Bu durum, 21 Mart 2024’ten itibaren artık geçerli değil. Bu kapsamda, ilgili veri aktarım mekanizması olarak eski AB SCC’lerine dayanan sözleşmelerin, kişisel verilerin uluslararası aktarımının veri koruma mevzuatı ile uyumunun sağlanması için güncellemelerin söz konusu tarihten önce yerine getirilmiş olması gerekmektedir.

Bunun yerine hangi aktarım mekanizmalarına güvenilebilir?

Başka bir aktarım mekanizmasına güvenilemediği sürece ya (i) eski AB SCC’lerini içeren sözleşmelerin, Avrupa Komisyonu tarafından 4 Haziran 2021 tarihinde yayınlanan yeni AB SCC’leri ve Birleşik Krallık Eki’ni içerecek şekilde güncellenmesi ya da (ii) ilgili sözleşmenin taraflarının Birleşik Krallık’ın Uluslararası Veri Aktarım Anlaşmasını (International Data Transfer Agreement “IDTA”) imzalaması gerekecektir.

Bu noktada yeni AB SCC’lerinin tek başına, Birleşik Krallık GDPR’ı kapsamında kişisel verilerin kısıtlı aktarımları için geçerli bir aktarım mekanizması olarak kabul edilmediği, Birleşik Krallık Eki’nin de eklenmesi gerektiği unutulmamalıdır.

Hangi adımlar atılmalıdır?

Öncelikle şunların belirlenmesi gerekir: Mevcut sözleşmelerden hangilerinin kişisel verilerin Birleşik Krallık dışına (yeterlilik kararına tabi olmayan bir ülkeye) aktarılmasını içerdiği ve bu sözleşmelerden hangilerinin ilgili transfer mekanizması olarak eski AB SCC’lerine dayandığı. Bu tamamlandıktan sonra, sözleşmelerin nasıl değiştirileceği gibi dikkate alınması gereken başka noktalar da olacaktır, ancak bu ilk adımlar projenin kapsamını ve ölçeğinin anlaşılmasına yardımcı olacak ve bu da izlenilecek yaklaşımı belirleyecektir.

SCC’ye güvenildiğini varsayarsak, daha sonra yeni AB SCC’lerini ve Birleşik Krallık Eki’ni ilgili sözleşmelere en iyi nasıl dahil edileceği veya IDTA lehine eski AB SCC’lerinin nasıl iptal edileceği belirlenmelidir. En olası seçenek sözleşmede değişiklik yapmak olacaktır, ancak bazı durumlarda bunun yerine yeni bir sözleşme yapılması mantıklı olabilir.

Bu sürecin bir parçası olarak, her kısıtlı transferle ilgili güncel bir Transfer Risk Değerlendirmesinin (Transfer Risk Assessment, “TRA”) mevcut olduğundan da emin olunmalıdır. IDTA ya da yeni AB SCC’leri ve Birleşik Krallık Eki’ne dayanan aktarımlar da dahil olmak üzere, yeterlilik kararına tabi olmayan bir ülkeye yapılan aktarımlarda TRA’nın doldurulması bir gerekliliktir.

Alt işleyiciler ne olacak?

Yeni SCC’ler, bir veri sorumlusundan bir veri işleyene veya veri işleyenden alt işleyiciye doğru bir aktarım dahil tüm kısıtlı aktarımlar için geçerlidir. Bu temelde, kişisel verileri Birleşik Krallık dışında paylaşan herhangi bir kuruluş, veri sorumlusu/işleyen statüsüne bakılmaksızın bu yeni yükümlülüklere 21.03.2024 tarihinden itibaren uymalıdır.

Veri sorumlusu olunan durumlarda, herhangi bir veri işleyen ile yapılan sözleşmenin, veri işleyenin alt işleyicisi ile uygun bir uluslararası veri aktarım mekanizması kurguladığından emin olmak için uygun aktarım yükümlülüklerine sahip olması sağlanmalıdır.

Uyum sağlanmazsa ne olur?

Birleşik Krallık GDPR’ın herhangi bir ihlalinde olduğu gibi, uyumsuz olunduğu tespit edilirse, ICO kuruluşlara para cezası verme yetkisine sahip olacaktır (17,5 milyon £ ‘a kadar veya dünya çapındaki toplam yıllık cironun% 4’ü, hangisi daha büyükse). Bununla birlikte, bu seviyedeki para cezaları kişisel verileri riske atan ciddi ihlaller için öngörülmüştür.

ICO’nun son tarih geçtikten hemen sonra transfer kurallarına uyulmaması nedeniyle aktif olarak para cezası vermesinin olası olmadığını düşünülse de en mantıklı tutum bu sorunu daha sonra değil, daha erken ele almaya çalışmak olacaktır. Sayısız kez gördüğümüz gibi, ICO, kuralları göz ardı edenlerin aksine, veri koruma mevzuatına uymaya çalıştığı görülen kuruluşlara genellikle daha olumlu bakacaktır.

GRC LEGAL Yorumu

Birleşik Krallık kuruluşlarının veri sorumlusu/veri işleyen sıfatlarına bakılmaksızın, uluslararası veri aktarımında kullandıkları eski AB SCC’lerini 21 Mart 2024 tarihinden itibaren yeni AB SCC’lerine uyumlu hale getirmiş olmaları gerekmektedir. İlgili yükümlülüğü yerine getirmeyen kuruluşlar için, ICO’nun uygulayacağı yaptırımlar merak konusudur.

Ülkemizde de yaşanan son gelişmeler kapsamında, Kişisel Verileri Koruma Kanunu’nda (“Kanun”) yurtdışı veri aktarımında yapılan değişikliklerin yürürlüğe girmesi ile uygun güvencelere dayalı aktarım Kurul tarafından ilan edilecek SCC’lerin uygulaması ile mümkün olacaktır. AB’de uzun yıllardır uygulaması olan SCC’lerin için ülkemizde veri sorumlularının ve veri işleyenlerin, GDPR’dan farklı olarak Kurul’a bildirimde bulunma yükümlülüğü bulunmaktadır; aksi halde idari para cezası yaptırımına maruz kalacaklardır.

Yapay Zeka Yasası, Avrupa Parlamentosu Üyeleri Tarafından Kabul Edildi!

Aralık 2023’te üye devletlerle yapılan müzakerelerde kabul edilen Yapay Zekâ Yasası (“Yasa”); 523 lehte, 46 aleyhte ve 49 çekimser oyla EP milletvekilleri tarafından onaylandı.

Yasa temel hakları, demokrasiyi, hukukun üstünlüğünü ve çevresel sürdürülebilirliği yüksek riskli yapay zekadan korumayı, yenilikçiliği artırmayı ve Avrupa’yı bu alanda lider haline getirmeyi amaçlıyor. Ek olarak, yapay zekanın potansiyel risklerine ve etki düzeyine göre yükümlülükler getiriyor.

Yasaklanan Uygulamalar

Yeni kurallar, hassas özelliklere dayalı biyometrik sınıflandırma sistemleri ve yüz tanıma veri tabanları oluşturmak için, internetten veya CCTV görüntülerinden hedefsiz olarak yüz görüntülerinin kazınması da dahil olmak üzere vatandaşların haklarını tehdit eden belirli yapay zekâ uygulamalarını yasaklıyor.

İşyerinde ve okullarda duygu tanıma, sosyal puanlama, öngörücü kolluk ve insan davranışını manipüle eden veya insanların güvenlik açıklarını istismar eden yapay zekâ da yasaklanacak.

Kanun Hükmü İstisnaları

Biyometrik tanımlama sistemlerinin (Remote Biometric Identification, “RBI”) kolluk kuvvetleri tarafından kullanılması kapsamlı bir şekilde listelenmiş ve dar bir şekilde tanımlanmış durumlar haricinde, prensip olarak yasaktır. “Gerçek zamanlı” RBI yalnızca katı güvenlik önlemlerinin karşılanması durumunda uygulanabilir; örneğin kullanımı zaman ve coğrafi kapsam açısından sınırlıdır ve önceden belirli adli veya idari yetkilendirmeye tabidir. Bu tür kullanımlar, örneğin kayıp bir kişinin hedefli olarak aranmasını veya bir terörist saldırının önlenmesini içerebilir. Bu tür sistemlerin sonradan kullanılması yüksek riskli bir kullanım durumu olarak kabul edilir ve cezai bir suçla bağlantılı olarak adli yetkilendirme gerektirir.

Yüksek Riskli Sistemlere İlişkin Yükümlülükler

Diğer yüksek riskli yapay zekâ sistemleri için de (sağlığa, güvenliğe, temel haklara, çevreye, demokrasiye ve hukukun üstünlüğüne yönelik önemli potansiyel zararları nedeniyle) açık yükümlülükler öngörülmektedir. Yüksek riskli yapay zekâ kullanımına örnek olarak kritik altyapı, eğitim ve mesleki eğitim, istihdam, temel özel ve kamu hizmetleri (örneğin sağlık hizmetleri, bankacılık), kolluk kuvvetlerindeki belirli sistemler, göç ve sınır yönetimi, adalet ve demokratik süreçler (örneğin seçimleri etkileme) verilebilir.

Bu tür sistemler riskleri değerlendirmeli ve azaltmalı, kullanım kayıtlarını tutmalı, şeffaf ve doğru olmalı ve insan gözetimini sağlamalıdır. Vatandaşlar yapay zekâ sistemleri hakkında şikâyette bulunma ve haklarını etkileyen yüksek riskli yapay zekâ sistemlerine dayalı kararlar hakkında açıklama talep etme hakkına sahip olacaktır.

Şeffaflık Gereksinimleri

Genel amaçlı yapay zekâ (General-purpose AI, “GPAI”) sistemleri ve bunların temel aldığı GPAI modelleri, AB telif hakkı yasasına uygunluk ve eğitim için kullanılan içeriğin ayrıntılı özetlerinin yayınlanması da dahil olmak üzere belirli şeffaflık gereksinimlerini karşılamalıdır. Sistemik riskler oluşturabilecek daha güçlü GPAI modelleri; model değerlendirmeleri yapmak, sistemik risklerini değerlendirmek ve azaltmak ve olayları raporlamak da dahil olmak üzere ek gerekliliklerle karşı karşıya kalacak.

Ayrıca yapay veya değiştirilmiş görsellerin, ses veya video içeriklerinin (“deepfake”) bu şekilde açıkça etiketlenmesi gerekecek.

İnovasyon ve KOBİ’lerin Desteklenmesine Yönelik Tedbirler

Yenilikçi yapay zekanın piyasaya sürülmeden önce geliştirilmesi ve eğitilmesi için düzenleyici sanal alanların ve gerçek dünya testlerinin ulusal düzeyde oluşturulması ve KOBİ’ler ile yeni kurulan şirketler için erişilebilir hale getirilmesi gerekecek.

Sonraki Adımlar

Yasal düzenleme hâlâ hukukçu-dilbilimciler tarafından son bir kontrole tabi tutuluyor ve yasama meclisinin bitiminden önce nihai olarak kabul edilmesi bekleniyor. Yasanın ayrıca Konsey tarafından da resmi olarak onaylanması gerekiyor.

Yasa, Resmî Gazete’de yayınlanmasından yirmi gün sonra yürürlüğe girecek ve 24 ay sonra tamamen uygulanabilir olacak. Bununla birlikte, yasaklanmış uygulamalara getirilen sınırlamalar yürürlüğe giriş tarihinden altı ay sonra, uygulama kuralları yürürlüğe girdikten dokuz ay sonra, yönetişim de dahil olmak üzere genel amaçlı yapay zekâ kuralları yürürlüğe girdikten 12 ay sonra ve yüksek riskli sistemler için yükümlülükler 36 ay sonra uygulanabilir olacak.

Arka Plan

Yasa, Avrupa’nın Geleceği Konferansı’ndaki vatandaşların önerilerine doğrudan cevap verir. En somut olarak, stratejik sektörlerde AB’nin rekabet gücünü artırmaya yönelik 12(10) numaralı öneriye, güvenli ve güvenilir bir toplum oluşturmaya, yanlış bilgilendirmeyle mücadele etmeye ve nihayetinde insanların kontrolünü sağlamaya yönelik 33(5) numaralı öneriye, dijital inovasyonun teşvik edilmesi, (3) insan gözetiminin sağlanması ve (8) yapay zekanın güvenilir ve sorumlu bir şekilde kullanılması, güvencelerin belirlenmesi ve şeffaflığın sağlanmasına ilişkin 35 numaralı öneriye ve engelli bireyler de dahil olmak üzere vatandaşların bilgiye erişimini iyileştirmek için yapay zeka ve dijital araçların kullanılmasına ilişkin 37(3)’e doğrudan yanıt verir.

GRC LEGAL Yorumu

Günümüz teknoloji çağında yaygınlaşan yapay zekâ uygulamaları şüphesiz temel hak ve özgürlüklere sıkı sıkıya temas etmekte ve pek çok ihlale sebebiyet vermektedir. Dünya çapında yapay zekaya ilişkin ilk kez düzenlenen Yasa’nın, muhatabını geniş tutarak özellikli olarak yüksek riskli sistemlere ilişkin ciddi yükümlülükler yüklemesi ve yüksek idari para cezaları öngörmesi doğrultusunda kişisel verilerin korunması ve özel hayatın mahremiyetine büyük önem atfettiği söylenebilecektir.

Yasa’nın yürürlüğe girmesi ile birlikte uygulamanın nasıl şekilleneceği merak konusu iken, hızla gelişen teknolojik gelişmelere ne derece ayak uydurabileceği konusunda soru işaretleri bulunsa da tüm teknoloji şirketlerinin resmi bir yönetişim sistemi oluşturarak tam uyum sürecine girmeleri gerektiği aşikardır.