Dünyada Neler Oluyor?

Veri Koruma alanı ülkemizde ivme kazanan bir hızla gelişirken, dünya çapındaki yenilikler Kişisel Verileri Koruma Kurumu’nun (“Kurum”) radarında kalmaya devam ediyor. Daha önce defaten karşılaştığımız örneklerden Kurum’un Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”) düzenlemeleri başta olmak üzere dünya gündemine ayak uydurduğuna ve hızlı hareket eden veri gizliliği dünyasının gereklerini yakalamaya çalıştığına şahit oluyoruz.

GRC LEGAL olarak dünya gündemini yakından takip ediyor ve güncelden seçkileri bu içeriğimizle bilgilerinize sunuyoruz.

Aşağıda yer alan haberler 2024 Mayıs ayına aittir.

Hollanda Yeni Veri Kazıma Kılavuzu Yayınladı!

DPA, kısa süre önce veri kazıma konusunda yeni bir kılavuz yayınladı. Kılavuzda, kişisel veriler için oluşturduğu önemli yasal riskler ve GDPR kapsamında gerekli kısıtlamalar vurgulanıyor. Veri kazıma, internetten bilgilerin otomatik olarak toplanması ve depolanmasıdır. DPA’ye göre, özel kuruluşlar ve bireylerin, belirli bir izin olmaksızın veri kazıma işlemi gerçekleştirmeleri GDPR gerekliliklerini ihlal ediyor DPA kılavuzu, bilginin kamuya açık olmasının, ilgili kişinin, verinin herhangi bir kullanımı için onay verdiği anlamına gelmediğini belirlemekte ve kazıma işleminin, bu amaç için rıza gerektiren yeni bir işleme amacı olduğunu açıklığa kavuşturmaktadır.

DPA, kazıma işleminin gerçekleştirilmesi için GDPR kapsamındaki tek geçerli yasal dayanağın şirketin meşru menfaati olduğu sonucuna varmaktadır. Ayrıca, bir şirketin kazıma işlemini gerçekleştirmek için meşru bir menfaati olabileceği durumları değerlendirirken DPA şu tespiti yapmaktadır: Kazıma işlemi neredeyse her zaman yasa dışıdır. DPA’ye göre, GDPR ile uyumlu hale getirilebilecek kullanımlar olabilir, örneğin:

  • Kamuya açık haber web siteleri.
  • Şirkete ait web sayfaları.
  • Halka açık çevrimiçi forumlar vb.

AB düzenleyici kurumlarının kazıma uygulamasına yönelik artan ilgisini DPA tarafından yayınlanan kılavuz ortaya koymaktadır. Avrupa’daki diğer düzenleyicilerin ve yargının kılavuzda yer alan görüşü kabul edip etmeyeceği ilk aşamada belirsizliğini koruyor.

GRC LEGAL Yorumu

Kişisel verilerin hukuka aykırı olarak işlenmesine yönelik hassasiyet her geçen gün artmaktadır. Veri kazıma işlemi de ilgili kişilerden onay alınmadığı takdirde hukuka aykırı bir işleme faaliyeti olarak değerlendirilmektedir. Nitekim DPA de bu görüşü destekleyerek ilgili hususa yönelik olarak bir kılavuz yayımlamış ve veri kazıma işlemini çoğunlukla yasa dışı olarak tanımlamıştır.

İlgili kılavuz gerek kötü niyetli gerekse de yasa dışı kullanımın önüne geçmeyi hedeflemektedir. Bu minvalde, diğer AB ülkelerine de emsal teşkil edip etmeyeceği merak konusudur.

Avrupa Konseyi, Yapay Zekaya İlişkin İlk Uluslararası Anlaşmayı Kabul Etti!

Avrupa Konseyi, yapay zekâ (Artificial Intelligence, “AI”) sistemlerinin kullanımında insan haklarına, hukukun üstünlüğüne ve demokrasinin yasal standartlarına saygı gösterilmesini sağlamayı amaçlayan ilk uluslararası yasal bağlayıcılığı olan anlaşmayı kabul etti. Avrupa dışındaki ülkelere de açık olan anlaşma, yapay zekâ sistemlerinin tüm yaşam döngüsünü kapsayan ve sorumlu inovasyonu teşvik ederken oluşturabilecekleri riskleri ele alan yasal bir çerçeve ortaya koyuyor. Anlaşma; AIsistemlerinin tasarımı, geliştirilmesi, kullanımı ve hizmetten çıkarılması için risk temelli bir yaklaşım benimsemekte ve AI sistemlerinin kullanılmasının olası olumsuz sonuçlarının dikkatle değerlendirilmesini gerektirmektedir.

Avrupa Konseyi Genel Sekreteri Marija Pejčinović ilgili anlaşmaya ilişkin olarak şunları söyledi: “Yapay Zeka Çerçeve Anlaşması, Yapay Zeka’nın insan haklarını gözetmesini sağlayacak, türünün ilk örneği, küresel bir anlaşmadır. Yapay zekânın faydalarından yararlanmak ve risklerini azaltmak için aynı değerleri paylaşan farklı kıtalardaki devletler tarafından desteklenen uluslararası bir yasal standarda duyulan ihtiyaca bir yanıttır. Bu yeni anlaşmayla, insan haklarına, hukukun üstünlüğüne ve demokrasiye saygı duyan sorumlu bir yapay zekâ kullanımını sağlamayı amaçlıyoruz.”

Anlaşma, 46 Avrupa Konseyi üye ülkesi, Avrupa Birliği ve 11 üye olmayan devletin yanı sıra gözlemci olarak katılan özel sektör, sivil toplum ve akademi temsilcilerini bir araya getiren hükümetler arası bir organ olan Yapay Zekâ Komitesi’nin iki yıllık çalışmasının bir sonucudur.

Anlaşma, AI sistemlerinin kamu sektöründe ve özel sektörde kullanımını kapsamaktadır. Anlaşma, taraflara özel sektörü düzenlerken ilke ve yükümlülüklerine uymaları için iki yol sunmaktadır; taraflar, ilgili anlaşma hükümleri ile doğrudan yükümlü olmayı tercih edebilir veya alternatif olarak, insan hakları, demokrasi ve hukukun üstünlüğü ile ilgili uluslararası yükümlülüklerine tam olarak saygı gösterirken anlaşmanın hükümlerine uymak için başka önlemler alabilir. Bu yaklaşım, dünya genelindeki hukuk sistemlerindeki farklılıklar nedeniyle gereklidir.

Anlaşma; AI sistemleri tarafından üretilen içeriğin tanımlanması da dahil olmak üzere, belirli bağlamlara ve risklere göre uyarlanmış şeffaflık ve gözetim gereklilikleri belirlemektedir. Taraflar, olası riskleri belirlemek, değerlendirmek ve azaltmak için önlemler almak ve risklerinin insan hakları standartlarıyla uyumsuz olabileceği durumlarda AI sistemlerinin kullanımına ilişkin bir moratoryum, yasaklama veya diğer uygun önlemlere olan ihtiyacı değerlendirmek zorunda kalacaklardır.

Ayrıca, olumsuz etkiler için hesap verebilirlik ve sorumluluk sağlamak ve AI sistemlerinin cinsiyet eşitliği, ayrımcılık yasağı ve mahremiyet hakları dahil olmak üzere eşitliğe saygı göstermesini sağlamak zorunda kalacaklardır. Ek olarak, anlaşmanın tarafları, AI sistemlerinin kullanımıyla ilgili insan hakları ihlallerinin mağdurları için yasal yolların kullanılabilirliğini ve AI sistemleriyle etkileşime giren kişilerin bu tür sistemlerle etkileşime girdiklerini bildirmek de dahil olmak üzere prosedürel güvenceleri sağlamak zorunda kalacaklardır.

Demokrasiye yönelik risklerle ilgili olarak, anlaşma tarafların AI sistemlerinin güçler ayrılığı ilkesi, yargı bağımsızlığına saygı ve adalete erişim de dahil olmak üzere demokratik kurumları ve süreçleri zayıflatmak için kullanılmamasını sağlamak için önlemler almasını gerektirmektedir.

Anlaşmanın tarafları, anlaşmanın hükümlerini ulusal güvenlik çıkarlarının korunmasıyla ilgili faaliyetlere uygulamak zorunda olmayacak, ancak bu faaliyetlerin uluslararası hukuka ve demokratik kurum ve süreçlere saygı göstermesini sağlamakla yükümlü olacaklardır. Anlaşma, yapay zekâ sistemlerinin test edilmesinin insan haklarına, demokrasiye veya hukukun üstünlüğüne müdahale etme potansiyeline sahip olabileceği durumlar dışında, ulusal savunma konularına veya araştırma ve geliştirme faaliyetlerine uygulanmayacaktır.

Anlaşmanın tarafları, anlaşmanın hükümlerini ulusal güvenlik çıkarlarının korunmasıyla ilgili faaliyetlere uygulamak zorunda olmayacak, ancak bu faaliyetlerin uluslararası hukuka ve demokratik kurum ve süreçlere saygı göstermesini sağlamakla yükümlü olacaklardır.

Anlaşma, yapay zekâ sistemlerinin test edilmesinin insan haklarına, demokrasiye veya hukukun üstünlüğüne müdahale etme potansiyeline sahip olabileceği durumlar dışında, ulusal savunma konularına veya araştırma ve geliştirme faaliyetlerine uygulanmayacaktır.

Anlaşma, etkili bir şekilde uygulanmasını sağlamak amacıyla Taraflar Konferansı şeklinde bir takip mekanizması oluşturmaktadır.

Son olarak, anlaşma, her bir tarafın sözleşmeye uyumu denetlemek için bağımsız bir gözetim mekanizması kurmasını ve yapay zekâ teknolojisinin nasıl kullanılması gerektiği konusunda farkındalığı artırmasını, bilinçli bir kamuoyu tartışmasını teşvik etmesini ve çok paydaşlı istişareler yürütmesini gerektirmektedir. Çerçeve anlaşma 5 Eylül’de Vilnius’ta (Litvanya) Adalet Bakanları Konferansı vesilesiyle imzaya açılacaktır.

GRC LEGAL Yorumu

Avrupa Konseyi’nin AI sistemlerine ilişkin kabul ettiği uluslararası anlaşma, AI’ın etik ve hukuki standartlara uygun olarak geliştirilmesi ve kullanılmasına yönelik önemli bir adım olarak değerlendirilebilir. Görüldüğü üzere ilgili anlaşma, AI’ın potansiyel faydalarından yararlanırken, oluşturabileceği riskleri minimize etmeyi ve bir takip mekanizması oluşturmayı amaçlamaktadır.

Global bir standart oluşturulmasının, farklı ülkelerdeki AI uygulamalarının uyumlu ve sorumlu bir şekilde yürütülmesini destekleyeceğini düşünmekteyiz. Anlaşmanın, AI teknolojisinin insan haklarına, hukukun üstünlüğüne ve demokratik değerlere saygılı bir şekilde geliştirilmesi için güçlü bir temel sağlaması kapsamında, AI’nın toplumlara fayda sağlayacak şekilde ve etik ilkeler doğrultusunda kullanılmasını teşvik edeceği kanaatindeyiz.

Avrupa Birliği Sendikaları x Amazon

Euronews’in 7 Mayıs tarihinde eriştiği bir mektuba göre, 11 farklı Avrupa ülkesinden işçi sendikaları, blok genelindeki veri koruma yetkililerine mektup yazarak Amazon’un veri izleme uygulamalarını araştırmalarını istedi. Aralarında Avusturya, Almanya, İrlanda ve İspanya’nın da bulunduğu, Amazon’un depolarında önemli sayıda işçinin çalıştığı Avrupa ülkelerinden sendika liderleri, online pazarın gözetim ve algoritmik yönetim kullanımını sorguluyor.

Teknoloji devinin el tarayıcıları, aktivite izleme yazılımları, video kameralar, GPS cihazları ve diğer takip teknolojilerini kullandığını ve bunun da işçilerin ruhsal ve fiziksel sağlığı üzerinde etkileri olduğunu iddia ediyorlar.

Amazon, 2021 yılında Lüksemburg Veri Koruma Otoritesi tarafından, GDPR’ı ihlal ederek kişisel verileri işlediği gerekçesiyle 746 milyon € para cezasına çarptırılmıştı. Aralık 2023 ise, Şirketin çalışan faaliyetlerini ve performansını izlemek için “aşırı müdahaleci bir sistem” oluşturarak Avrupa Birliği (“AB”) veri koruma kurallarını ihlal ettiği tespit edildiği için Fransız Veri Koruma Otoritesi (“National on Informatics and Liberty”, “CNIL”) Amazon France Logistique’e 32 milyon € ceza vermişti.

Bir Amazon sözcüsü, CNIL’in vardığı sonuçlara kesinlikle katılmadıklarını söyledi ve bu sonuçların olgusal olarak yanlış olduğunu belirtti. “Danıştay’a itirazda bulunduk. Depo yönetim sistemleri endüstri standardıdır ve operasyonların güvenliğini, kalitesini ve verimliliğini sağlamak ve envanterin depolanmasını ve paketlerin zamanında ve müşteri beklentileri doğrultusunda hazırlanmasını izlemek için gereklidir” dedi.

Yaşanan son gelişmelerin ardından ise, UNI Europa Bölge Sekreteri Oliver Roethig, Euronews’e yaptığı açıklamada, işçi yönetim sistemlerinin “işçiler ve yönetim arasındaki güveni zedelediğini ve aynı zamanda gizlilik yasalarımızın sistematik olarak göz ardı edildiğini” söyledi. Ek olarak Roethig, “Ayağa kalkmanın ve bu çok uluslu şirketlerin işçilerin kişisel verilerine ve onurlu bir işyeri hakkına saygı göstermesini talep etmenin tam zamanı. Yasalarımızın tam olarak uygulanmasını sağlamak için şimdi güçlü bir eyleme ihtiyacımız var.” diye belirtti.

Bir Amazon sözcüsü ise yaptığı açıklamada “Teknolojiyi çalışanlarımızın deneyimini zenginleştirmek, onları rollerinde desteklemek ve müşterilerimize hizmet sunmamıza yardımcı olmak için kullanmaya kararlıyız. Veri gizliliğini ciddiye alıyoruz ve mevcut politika ve süreçlerimizin ulusal yasalar ve AB düzenlemeleri ile uyumlu olduğuna inanıyoruz” dedi.

GRC LEGAL Yorumu

Amazon’un çalışanlarının faaliyetlerini izleme yöntemleri, GDPR kapsamında önemli ihlallere sebep olmaktadır. CNIL’in Amazon’u hükmettiği para cezası, işyerinde mahremiyetin korunması ve veri koruma kurallarının ihlali durumunda uygulanacak yaptırımların bir örneği olarak karşımıza çıkmaktadır. Amazon’un itirazları ve savunmaları devam ederken, bu durum diğer Avrupa ülkelerindeki veri koruma otoriteleri için de emsal teşkil edebilecek niteliktedir.

Kanaatimizce, işçi sendikalarının talepleri doğrultusunda benzer soruşturmaların diğer veri koruma otoriteleri nezdinde de başlatılması işyerlerinde veri koruma ve mahremiyet standartlarının daha sıkı bir şekilde uygulanmasını ve böylelikle işçilerin temel hak ve özgürlüklerine daha az müdahale eden yöntemlerin benimsenmesini sağlayabilecektir.

Hollanda Veri Koruma Otoritesi Süpermarketlerde Yüz Tanıma Kullanılamayacağını Söylüyor!

Süpermarketler için yüz tanıma yok ama nükleer santraller için var: Hollanda Veri Koruma Otoritesi (“Data Protection Authority”, “DPA”), yüz tanımanın hangi durumlarda kullanılabileceğini açıklayan bir rehber yayınladı. DPA, yayınladığı belgede yüz tanıma teknolojisi ve biyometrik verilerin işlenmesiyle ilgili en yaygın yasal soruları sıralıyor.

DPA, yüz tanıma teknolojisinin süpermarketlere sokulmasının Hollanda Gizlilik Yasaları’nın ihlali anlamına geleceğini yineledi. Konu, 2020 yılında Hollandalı bir marketin, hırsızları ve tehdit oluşturabilecek diğer kişileri yakalamak için biyometrik gözetim uygulamasına kalkışması ve bunun düzenleyiciler tarafından engellenmesiyle gündeme gelmişti.

Yasal çerçeveye göre, süpermarketin tüm müşterilerden yüz tanıma özelliğini kullanmak için açık izin istemesi gerekecekti. Ancak DPA’ye göre pratikte bu neredeyse imkânsız.

DPA, “Yüz tanıma sisteminin kullanılması tüm ziyaretçilerin mahremiyetinin önemli ölçüde ihlal edilmesidir ve bu durum süpermarketin ağır basan özel çıkarlarından daha ağır basmaktadır” diyor.

Yüz tanımanın kullanımı çoğu durumda yasaklanmış olsa da ülke bu konuda istisnalar getiriyor. Bunlardan biri, teknolojinin bir nükleer enerji santralinin güvenliğini sağlamak veya tehlikeli maddeleri güvence altına almak gibi kimlik doğrulama veya güvenlik amaçları için kullanılmasıdır. Ancak bunun için bir veri koruma etki değerlendirmesinin, yüz tanıma teknolojisinin kullanılmasının kamu yararına olduğunu kanıtlaması gerekiyor.

Belgede, yüz tanıma uygulamasının “kişisel” veya “ev kullanımı” için kabul edilebileceği koşulları tanımlanıyor; bu durumda GDPR hükümleri geçerli olmayacak. Örneklerden biri yüz tanıma ile telefon kilidinin açılmasıdır. Bu teknolojiye izin verilmekle birlikte, biyometrik verilerin telefonda saklanması ve verilere ne olacağına kullanıcının karar vermesi gerekiyor. DPA, telefonun kilidini açmak için biyometrik dışında başka seçeneklerin de sunulması gerektiğini söylüyor.

Ek olarak DPA, biyometrik ve genetik verileri içeren özel kişisel verilerin işlenmesine yönelik yasağın, yüz tanımanın bir kişinin kimliğini doğrulamak için kullanılması durumunda hala geçerli olduğunu doğruladı.

GRC LEGAL Yorumu

DPA’nin yayınladığı biyometrik verilere ilişkin rehberi, yüz tanıma teknolojisinin kullanımında sıkı kısıtlamalar ve gereklilikler getirmektedir. Süpermarketlerde yüz tanıma teknolojisinin kullanılması, müşterilerden geniş çapta ve izinsiz biyometrik veri toplama riskine karşı ciddi şekilde sınırlandırılmıştır. Ancak, kamu güvenliği ve kritik altyapı koruma gibi özel durumlarda, uygun değerlendirmeler ve kamu yararı kanıtlandığında istisnalar yapılabilmesi hususu önem arz etmektedir. Benzer şekilde, ülkemizde de Kişisel Verileri Koruma Kurumu tarafından yayımlanan Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’de, biyometrik verilerin işlenmesinde veri güvenliği kapsamında alınması gereken idari ve teknik tedbirleri düzenlenmiş olup biyometrik veri kullanımına kısıtlamalar getirilmiştir.

Günümüzde her gün kullanmakta olduğumuz telefonların kilitlerinin de biyometrik veri temini ile açıldığı göz önünde bulundurulduğunda, söz konusu rehberlerin sayıca arttırılarak örnekler ile yol göstermesi, biyometrik veri işleme faaliyetinde bulunan kurum ve kuruluşlara farkındalık kazandırması bakımından zaruri hale gelmiştir.

Almanya Yüz Tanıma Sistemlerinin Testi İçin 3 Milyon Kişinin Biyolojik Verilerini Kullanıyor!

Biyometrik takip amaçlı test verileri Almanya’da etik kaygılara yol açıyor. Almanya’nın gerçek zamanlı yüz tanıma sistemini benimsemesine yönelik testler bile, ülkenin kendisinin belirlediği, veri gizliliği ve etik standartlarını karşılayamadığı yönünde eleştirilere yol açıyor. Alman kolluk kuvvetlerinin şüphelileri yakalamak için yüksek çözünürlüklü kameralar ve canlı yüz tanıma kullanacağının duyurulmasının ardından, ülke biyometrik izleme teknolojilerinin yaygınlaşmasına ilişkin endişelerin artmasına tanık oluyor.

Avrupa Birliği’nin Yapay Zekâ Yasası’nın yürürlüğe girmesinin ardından yaşanan bu yeni gelişme, mahremiyet, sivil özgürlükler ve bu tür sistemleri sonuçları üzerine yeni tartışmalara yol açıyor. Ülke, güvenlik ve bireysel haklar arasındaki hassas dengede ilerlerken, vatandaşlar ve sivil toplum kuruluşları biyometrik izlemenin genişleyen kapsamı konusunda artan endişelerini dile getiriyorlar.

Almanya’daki, Federal Kriminal Polis Bürosu’nun (“BKA”) yüz tanıma yazılımını test etmek için yaklaşık üç milyon kişinin görüntülerini kullandığının ortaya çıkması, bu tür uygulamaların yasallığı ve etiği konusunda endişelere yol açtı. Haber Televizyonu BR tarafından elde edilen bilgilere göre, BKA’nın eylemler güvenlik otoriteleri tarafından izin verilen veri kullanımının sınırları hakkında soru işaretler yaratıyor.

BKA’nın 2019 yılında Fraunhofer Grafiksel Veri İşleme Enstitüsü tarafından yürütülen bir yazılım test amacıyla merkez polis bilgi sistemi INPOL-Z’den yaklaşık beş milyon yüz görüntüsü aldığı bildirildi . BKA’daki yüz tanıma sisteminin geliştirilmesi projesi olan EGES, birden fazla üreticinin yüz tanıma algoritmalarının doğruluğunu değerlendirmeyi amaçlıyordu. Testte kullanılan görüntülerin yaklaşık üç milyon kişi den elde edilmiş olması dikkat çekti.

Bununla birlikte, biyometrik izlemenin destekçileri, bu teknolojilerin giderek dijitalleşen bir dünyada güvenliği arttırmak ve süreçleri kolaylaştırmak için gerekli araçlar olduğunu savunuyor. Biyometrik izleme sistemlerin suçun önlenmesinde, şüphelilerin tespit edilmesinde, ulaşım ve sağlık gibi çeşitli sektörlerde verimliliğin artırılmasında potansiyel faydalarını vurguluyorlar.

BKA ile Federal Veri Koruma Komiseri Ulrich Kelber arasındaki iç yazışmalar, testleri “bilimsel araştırma” etiketi altında meşrulaştırma çabalarını gözler önüne seriyor. Ancak sürecin yasallığı konusunda şüpheler ortaya çıktı ve güvenlik otoritelerinin yazılım testlerini düzenleyen daha net düzenlemelere gidilmesi çağrısında bulunuldu.

GRC LEGAL Yorumu

Kişisel verilerin korunması hukuku teknolojiyle birlikte gelişen bir alan olmasından dolayı yarattığı endişeler, sorunlar ve sağladığı faydalar her geçen gün daha da çok gündeme gelmektedir. Alman kolluk kuvvetlerinin “güvenlik” adı altında yaptığı bu uygulama halihazırda test edilmekte olup test aşaması için dahi 5 milyon kişinin, özel nitelikli kişisel veri mahiyetinde olan biyometrik verilerinin işlenmesi Alman kamuoyunda haklı bir endişeye yol açmıştır.

Devletler, vatandaşlarının güvenliklerini sağlamakla yükümlüdür. Bu konuda dikkat etmeleri gereken ilkelerden bir tanesi de ölçülülüktür. Bu kapsamda, ilgili uygulamaya ilişkin gerek genel hukuk kuralları gerekse de kişisel verilerin korunması hukukunda temel bir ilke olan ölçülülük nezdinde bir değerlendirme yapmak gerekmektedir. BKA’nın, Almanya vatandaşlarının güvenliği için şimdilik 5 milyon ve ileride potansiyel olarak tüm vatandaşlarını biyometrik veri aracılığıyla takip etmesinin ölçülü olmadığı söylenebilecektir.

Ryanair, Biyometrik Yolcu Doğrulaması Sebebi İle GDPR’ı İhlal Ettiği Gerekçesiyle Suçlanıyor!

Seyahat politikaları savunucu grubu EU Travel Tech, hava yolu şirketi Ryanair’e karşı Fransa ve Belçika DPA’lerine resmi bir şikâyette bulunarak havayolunun müşteri doğrulaması için yeni biyometrik veri işleme politikasına itiraz etti.

Söz konusu politika, 8 Aralık 2023 tarihinde yürürlüğe girmiş olup Online Seyahat Acenteleri (“Online Travel Agencies”, “OTA”) aracılığıyla rezervasyon yapanlar da dahil olmak üzere, mevcut hesabı olmayan müşteriler için biyometrik doğrulamayı zorunlu kılıyor. Bu müşterilerin rezervasyonlarını yönetmek ve online check-in yapmak için pasaport bilgileriyle birlikte canlı kendi görüntülerini veya imza görüntülerini göndermeleri gerekiyor.

EU Travel Tech, bu zorunluluğun bireysel gizliliği ihlal ettiğini ve GDPR’a aykırı olduğunu savunuyor. Kuruluş, Ryanair’in biyometrik doğrulama sürecinin, özellikle hassas biyometrik verilerin işlenmesiyle ilgili olarak GDPR’ın yasallık, adalet ve şeffaflık ilkelerini ihlal ettiğini ileri sürüyor. EU Travel Tech üyeleri arasında airbnb, Booking.com ve Expedia Group gibi önde gelen OTA’ların yanı sıra Amadeus da yer alıyor.

Grup, DPA’ları Ryanair’in uygulamalarını acilen soruşturmaya ve GDPR madde 66 kapsamında biyometrik doğrulama sürecini askıya almak için geçici tedbirler uygulamaya çağırdı. Örgüt, bireylerin hak ve özgürlüklerine yönelik potansiyel zarar nedeniyle derhal harekete geçilmesi gerektiğini vurguluyor ve GDPR madde 83’te öngörüldüğü üzere önemli bir para cezasının gerekli olabileceğini öne sürüyor.

Şikâyette bulunmanın yanı sıra EU Travel Tech, Avrupa Seyahat Acenteleri ve Tur Operatörleri Birlikleri ve Avrupa Yolcular Federasyonu ile birlikte Avrupa Komisyonu Başkan Yardımcısı Věra Jourová’ya bir mektup göndererek komisyonu GDPR’ın zamanında ve sağlam bir şekilde uygulanmasını sağlayacak tedbirleri araştırmaya çağırdı.

Koalisyon, bu eylemlerin Avrupa genelinde bireylerin veri haklarının korunması için hızlı ve kararlı bir yanıt verilmesini sağlayacağını umduğunu belirtti.

GRC LEGAL Yorumu

EU Travel Tech’in şikâyeti, GDPR’ın temel ilkelerinin korunması açısından önemli bir örnek teşkil etmektedir. Bu noktada, Ryanair’in biyometrik doğrulama politikası, GDPR’a uygunluk açısından şikâyette bulunulan DPA’ler tarafından dikkatle incelenmelidir. DPA’lerin hızlı ve etkin bir şekilde soruşturma yapması, biyometrik verilerin korunması ve bireylerin haklarının ihlali durumunda gerekli yaptırımların uygulanması noktasında elzemdir. Bununla birlikte, kanaatimizce Avrupa Komisyonu’nun bu tür politikaların GDPR ile uyumlu olup olmadığını denetlemesi ve gerektiğinde önlemler alması önem arz etmektedir.