Temmuz 2023 Sayı:1 (Üretici Yapay Zeka Çağında Mahremiyeti Yeniden Düşünmek)

12ChatGPT’ye Sorduk 6Köşe Yazıları 4Sunuş 14Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler 16Seçilmiş Güncel Gelişmeler 47Makale Bizden Haberler • Kurumsal Faaliyetler • Kurul Karar Özetleri • Kurumsal İstatistikler 24 © Bütün hakları, Kişisel Verileri Koruma Kurumu’na aittir. Kaynak gösterilmek kaydıyla, tanıtım amaçlı kısa alıntı dışında yayımcının yazılı izni olmadan hiçbir yolla çoğaltılamaz. Yayımlanan yazıların ve fotoğrafların sorumluluğu yazarlarına ve sanatçısına aittir. Yönetim Yeri Nasuh Akar Mahallesi 1407. Sokak No:4 Balgat Çankaya/ANKARA Tel: (312) 216 50 00 Tasarım Ütopya Grafik Çetin Emeç Bulvarı No: 21/21-25 Dikmen, Çankaya/ANKARA Tel: 0.312 481 5 153 Faks: 0.312 481 50 80 www.utopyagrafik.com Kişisel Verileri Koruma Kurumu KVKK Bülten www.kvkk.gov.tr Temmuz 2023 Sayı:1 Kişisel Verileri Koruma Kurumu Adına İmtiyaz Sahibi Prof. Dr. Faruk BİLİR 3 » KVKK Bülten Temmuz 2023 2 -- 2 of 31 --

Faks: 0.312 481 50 80 www.utopyagrafik.com Kişisel Verileri Koruma Kurumu KVKK Bülten www.kvkk.gov.tr Temmuz 2023 Sayı:1 Kişisel Verileri Koruma Kurumu Adına İmtiyaz Sahibi Prof. Dr. Faruk BİLİR 3 » KVKK Bülten Temmuz 2023 2 -- 2 of 31 -- Teknolojinin hızla ilerlemesiyle birlikte, kişisel verilerin korunması giderek daha büyük bir önem kazanmaktadır. Bu durum kişisel verilerin korunmasına yönelik bilgilendirme ve bilinç- lendirme faaliyetlerinin önemini de artırmaktadır. Kurumumuz, yaptığı çalışmalar ile kişisel verilerin korunması konusunda toplumsal bilincin geliştirilmesini amaçlamaktadır. Bununla birlikte kamuoyu ile daha fazla bilgi paylaşmak ve Kurumla ilgili gelişmeleri daha etkin bir şekilde yansıtmak da hedeflerimizin arasında yer almaktadır. Bu kapsamda üç aylık periyotlar halinde yayımlamayı planladığımız “KVKK Bülten” sayesinde; hem kurum- sal faaliyetlere ilişkin bilgilere yer verilecek hem de kişisel verilerin korunmasıyla ilgili güncel konulara de- ğinilecektir. Daha önce Kurumumuz tarafından yayımlanan “Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” isimli çalışmada da belirtildiği gibi, günümüzde yapay zekâ teknikleri ve uygulamalarında büyük ilerleme kaydedilmiş ve yapay zekâ tabanlı sistemler birçok alanda yaşamı doğrudan etkilemeye başla- mıştır. Buradan yola çıkılarak bültenin ilk sayısında, yapay zekâ alanında büyük bir gelişme olarak ön plana çıkan “üretici yapay zekâ” konusu ele alınmış, bu konuyla ilgili birtakım gelişmeler okuyucularla paylaşıl- mıştır. Diğer yandan “Bizden Haberler” bölümüyle bazı kurumsal faaliyetlerden söz edilmiştir. Bu bülteni hazırlarken, Kurum olarak bireysel ve sektörel bazda kişisel veri farkındalığını artırmak için çalış- malarımıza devam ettiğimizi belirtmek isterim. Sizlerin de desteğiyle, veri koruma kültürünü yaygınlaştır- mak için adımlar atmaya devam edeceğiz. Farklı içerik ve dosyalarla yayın hayatının uzun süreli olacağına inandığım bültenin tüm okuyuculara faydalı olmasını diliyor, katkıda bulunan herkese teşekkür ediyorum. Prof. Dr. Faruk BİLİR Kişisel Verileri Koruma Kurumu Başkanı » SUNUŞ 5 4 » KVKK Bülten Temmuz 2023

olmasını diliyor, katkıda bulunan herkese teşekkür ediyorum. Prof. Dr. Faruk BİLİR Kişisel Verileri Koruma Kurumu Başkanı » SUNUŞ 5 4 » KVKK Bülten Temmuz 2023 -- 3 of 31 --

pay zekâ sistemleri toplumda bir fırtına gibi eserek genel algıyı bir anda ele geçirdi. Bu teknolojiye ilişkin birbirinden farklı tanım- lar yapılsa da üst düzey bir perspektiften bakıldığında, üretici yapay zekâ, çok büyük ölçekli metin, görüntü, ses ve video (her biri birer ‘modalite’ olarak düşünülebilir) külli- yatı üzerinde eğitilen ve daha sonra mevcut veri setini kullanarak bu verilerle yeni veri kombinasyonları üretebilen bir yapay zekâ sistemi olarak tanımlanabilir. Dönüştürücü teknoloji, etiketlenmemiş veriler kullanarak sistemin denetimsiz bir şekilde eğitilme- sini sağlarken aynı zamanda metni görün- tüye veya görüntüyü metne çevirebilen çok modlu sistemlerin geliştirilmesine de ola- nak tanımaktadır.1 Yapay zekâ sistemleri- nin algılama, tanımlama, kategorize etme ve sınıflandırma gibi geleneksel işlevlerinin aksine, üretici yapay zekâ sistemleri, belirli bir “istem” talimatına (girdi) yanıt vererek istatistiksel tahminlere dayalı yeni bir çıktı oluşturma prensibiyle çalışmaktadır. Diğer 1 Wikipedia. Generative pre-trained transformer https://en.wikipedia.org/wiki/Generative_pre-trained_ transformer 2 Andew Chow (Şubat 8, 2023) How ChatGPT Managed to Grow Faster Than TikTok or Instagram Time.https://time. com/6253615/chatgpt-fastest-growing/ bir deyişle sistem, veri setindeki kelimeler arasındaki örüntüleri ve ilişkileri analiz et- mekte ve bir sonraki kelimenin benzer bir cümlede ve bağlamda görünme olasılığına dayalı yanıtlar üretmektedir. Bu süreç, veri setinin sınırları içerisinde gerçekleşir. ChatGPT, DALL-E, Midjourney, GitHub Copilot gibi bu tür sistemlere dayalı olan ürünlerle etkileşim kurmak kolaydır ve teknik bir alt- yapı gerektirmez. ChatGPT, piyasaya sürül- dükten sonraki iki ay içinde 100 milyondan fazla kullanıcıya ulaşarak en hızlı benimse- nen ürünlerden biri hâline gelmiştir. 2 Bu- nunla birlikte ilgili şirketlerin karar vericileri, telif hakkı ihlali, mahremiyet, ön yargı, kamu güvenliği, çocukların güvenliği, deepfake, dezenformasyon ve siber güvenlik gibi bir- takım mevcut zarar ve riskleri bünyesinde barınd

nen ürünlerden biri hâline gelmiştir. 2 Bu- nunla birlikte ilgili şirketlerin karar vericileri, telif hakkı ihlali, mahremiyet, ön yargı, kamu güvenliği, çocukların güvenliği, deepfake, dezenformasyon ve siber güvenlik gibi bir- takım mevcut zarar ve riskleri bünyesinde barındıran bu ürünleri piyasaya sürme bi- çimleri nedeniyle çok sayıda eleştiriyle kar- şı karşıya kalmıştır. Aslında bu zararlar yeni değil. Araştırmacılar ve sivil toplum savunu- cuları, yapay zekâ sistemlerinin uygun kont- MERVE HICKOK Yapay Zekâ ve Dijital Politikalar Merkezi Başkanı, AIethicist.org Kurucusu rol ve denetimler olmaksızın geliştirilip kullanıl- masından kaynaklanan çeşitli zararlar konusunda uzun yıllardır uyarılarda bulunuyordu.3 Fakat üretici yapay zekâ sistemleri, ana akım tarafından geniş çapta ve hızlı bir şekilde benimsenmesi nedeniyle bu olası zararların ölçeğini ve hızını artırmıştır. Bu sistemler, veri kalitesi veya veri kaynağı konusun- da sağlam denetimlere tabi olmayan, internetten kazınarak toplanan büyük miktardaki veriye bağım- lıdır. Dahası bu sistemler düzenlenmiş, özel mülki- yetli veri setleri ile Common Crawl veya LAION gibi büyük web tarama setleri gibi farklı kaynaklardan edinilen verileri bünyesinde barındırmaktadır.4-5 Dolayısıyla bu modeller, özel veya korumalı içerik arasında ayrım yapmaz. Konuya ilişkin olarak Go- ogle AI araştırmacıları bir şirket bloğunda şunları ifade etmiştir: “Bu veri setleri, büyük olabilece- ğinden ve çeşitli kaynaklardan beslenebildiğinden, kamuya açık veriler üzerinde eğitilmiş olsalar dahi, zaman zaman kişisel olarak tanımlanabilir bilgiler (PII) - isimler, telefon numaraları, adresler vb. - gibi hassas verileri içerebilir.”6 Bu veri setlerinin boyu- tu, menşei, kalitesi veya sınırlamalarına ilişkin ay- rıntılar OpenAI gibi geliştiriciler tarafından her za- man açıklanmadığından, araştırmacıların veya bu konuyla ilgili tarafların bu ürünlerden ötürü mah- remiyet ve telif hakkının ne oranda ihlal edildiğini yahut çıktıların ne ölçüde artırdığını bilmelerine

rıntılar OpenAI gibi geliştiriciler tarafından her za- man açıklanmadığından, araştırmacıların veya bu konuyla ilgili tarafların bu ürünlerden ötürü mah- remiyet ve telif hakkının ne oranda ihlal edildiğini yahut çıktıların ne ölçüde artırdığını bilmelerine im- kân bulunmamaktadır. Yine konuya ilişkin Kongre Araştırma Servisi (CRS) tarafından yakın zamanda yayımlanan bir raporda şu ifadeler yer almaktadır: “ Eleştirmenler, bu tür modellerin büyük miktarda veri toplamak için mahremiyeti ihlal eden yöntem- lere dayandığını, bunu yaparken de genellikle asıl kullanıcının, yaratıcının veya sahibinin rızasını veya 3 Emily M. Bender, Timnit Gebru, Angelina McMillan-Major, and Shmargaret Shmitchell (2021) On the Dangers of Stochastic Parrots: Can Language Models Be Too Big? In Proceedings of the 2021 ACM Conference on Fairness, Accountability, and Transparency (FAccT ‘21). Association for Computing Machinery. https://doi.org/10.1145/3442188.3445922 4 Matt Burgess (Nisan 4, 2023) “ChatGPT Has a Big Privacy Problem,” Wired. https://www.wired.com/story/italy-ban-chatgpt- privacy-gdpr/. 5 Fatemeh Mireshghallah (Şubat 2023) Privacy Auditing and Protection in Large Language Models. UC San Diego. https://cseweb. ucsd.edu/~fmireshg/google-fl-2023-pdf.pdf 6 Nicholas Carlini (Aralık 15, 2020) “Privacy Considerations in Large Language Models” Google Research Blog. https://ai.googleblog. com/2020/12/privacy-considerations-in-large.html. 7 Kongre Araştırma Hizmetleri (Mayıs 23, 2023) Generative Artificial Intelligence and Data Privacy: A Primer. https://crsreports. congress.gov 8 OpenAI (Mart 24, 2023) March 20 ChatGPT outage: Here’s what happened. https://openai.com/blog/march-20-chatgpt-outage 9 Robert Lemos (Mart 7, 2023) Employees Are Feeding Sensitive Biz Data to ChatGPT, Raising Security Fears. Dark Reading.https:// www.darkreading.com/risk/employees-feeding-sensitive-business-data-chatgpt-raising-security-fears faydasını hesaba katmadığını iddia etmektedir... Buna ek olarak, bazı modellerin hassas veriler üze- rinde eğitilme ve kişisel bilgilerin kullanıcılara açık- lanabilme ihtimali bulunmaktadır.”7 Mevcut durumda ürün geliştiricilerin, eğitim veri setinin veya ürün tarafından oluşturulan çıktıların doğru olmasını sağlamak gibi bir yükümlülükleri bulunmamaktadır. Üretici yapay zekâ sistemlerinin, k

lanabilme ihtimali bulunmaktadır.”7 Mevcut durumda ürün geliştiricilerin, eğitim veri setinin veya ürün tarafından oluşturulan çıktıların doğru olmasını sağlamak gibi bir yükümlülükleri bulunmamaktadır. Üretici yapay zekâ sistemlerinin, kulağa son derece makul gelen ancak geliştiricile- rin “hata” yerine “halüsinasyon” olarak adlandır- mayı tercih ettikleri kesinlikle yanlış çıktılar ürettiği bilinen bir durumdur. Bununla birlikte üretici yapay zekâ sistemleri, kul- lanıcılar tarafından sağlanan girdiler/istemler ara- cılığıyla mahremiyet veya özel mülkiyetli veri ihlal- lerine yol açan koşullara sebebiyet verebilmektedir. Kullanıcılar, girdilerinin sistemin eğitilmesi için ile- ride kullanılmamasına yönelik açıkça bir tercihte bulunmadıkları müddetçe, sisteme girilen herhangi bir istem sisteme dahil edilmekte ve böylece baş- ka bir kullanıcının sonuçlarında kolayca görünebil- mektedir. Bununla bağlantılı olarak, sağlam siber güvenlik korumalarının bulunmaması durumunda, kullanıcıların özel bilgileri veya istem geçmişi eri- şilebilir hâle gelmektedir. 8-9 Dahası, üretici yapay zekâ sistemleri kötü niyetli aktörlere, bu araçlar va- sıtasıyla zararlı kod veya sahte sesler üretme im- kânı sağlayarak hackleme veya dolandırıcılık ama- cıyla kullanılma fırsatı vermektedir. Üretici yapay zekâ sistemleri, veri koruma düzenle- meleri ile güvenlik, hesap verilebilirlik, şeffaflık, veri sınırlaması, meşru amaç belirleme ve veri kalitesi Üretici Yapay Zekâ Neden Mahremiyet, Ön Yargı ve Siber Güvenlik Açısından Bir Kâbus Oluşturuyor? » KÖȘE YAZILARI 7 6 » KVKK Bülten Temmuz 2023

-- 4 of 31 --

bir sivil toplum kuruluşu olan Yapay Zekâ ve Dijital Politika Merkezi (CAIDP), Amerika Birleşik Devletleri Federal Ticaret Komis- yonu’na 46 sayfalık bir şikâyette bulunarak yanıltıcı ticari uygulamalar, ön yargı, mah- remiyet ve siber güvenlik riskleri ve kamu güvenliği nedeniyle OpenAI’ın ürünü olan ChatGPT hakkında inceleme başlatılmasını talep etmiştir. CAIDP, Komisyon’dan OpenAI incelemesini başlatarak gerekli güvenlik ön- lemleri alınıncaya kadar daha fazla modelin piyasaya sürülmesinin engellenmesini iste- miştir. Şikâyet içeriğinde, Marc Rotenberg ve Merve Hickok Komisyon’a FTC tarafından yapay zekâ ürünlerine ilişkin yapılan “şef- faf, açıklanabilir, adil ve hesap verilebilirliği teşvik ederken ampirik açıdan sağlam” ol- ması gerektiğine ilişkin açıklamasını hatır- latmıştır.10 CAIDP tarafından FTC’ye yapılan 10 Yapay Zekâ ve Dijital Politika Merkezi (Mart 30, 2023) In the Matter of OpenAI. https://www.caidp.org/cases/ openai/ 11 Avrupa Tüketici Örgütü (BEUC) (Mart 30, 2023) Investigation by EU authorities needed into ChatGPT technology https://www.beuc.eu/press-releases/investigation-eu-authorities-needed-chatgpt-technology 12 James Vincent (Mart 31, 2023) Italian regulators order ChatGPT ban over alleged violation of data privacy laws. The Verge. https://www.theverge.com/2023/3/31/23664451/italy-bans-chatgpt-over-data-privacy-laws 13 Kanada Mahremiyet Komisyonerliği Ofisi (Mayıs 25, 2023) OPC to investigate ChatGPT jointly with provincial privacy authorities. https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/ 14 Fransa Ulusal Bilişim ve Özgürlük Komisyonu - CNIL (Mayıs 16, 2023) Artificial intelligence: the action plan of the CNIL. https://www.cnil.fr/en/artificial-intelligence-action-plan-cnil 15 Business Recorder (Nisan 24, 2023) Germany launches data protection inquiry over ChatGPT. https://www. brecorder.com/news/40238605/germany-launches-data-protection-inquiry-over-chatgpt 16 Yeni Zelanda Mahremiyet Komisyonerliği Ofisi (Mayıs 25, 2023) Generative AI guidance. https://www.privacy.org. nz/publications/guidance-resources/generative-artificial-intelligence/ 17 Colombia The Superintendency of Industry and Commerce (SIC) (May 15, 2023) Superindustria le pone la lupa a la aplicación “CHAT-GPT” para determinar si cumple con la regulación de protección de datos personales. https://www.sic.gov.co/slider

nz/publications/guidance-resources/generative-artificial-intelligence/ 17 Colombia The Superintendency of Industry and Commerce (SIC) (May 15, 2023) Superindustria le pone la lupa a la aplicación “CHAT-GPT” para determinar si cumple con la regulación de protección de datos personales. https://www.sic.gov.co/slider/superindustria-le-pone-la-lupa-la-aplicacion-chat-gpt-para-determinar-si- cumple-con-la-regulacion-de-proteccion-de-datos-personales 18 Avrupa Veri Koruma Kurulu (Nisan 13, 2023) https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute- transfers-meta-and-creates-task-force-chat-gpt_en 19 Jess Weatherbed (May 5, 2023) OpenAI’s regulatory troubles are only just the beginning. Wired. https://www. theverge.com/2023/5/5/23709833/openai-chatgpt-gdpr-ai-regulation-europe-eu-italy şikâyetin ardından Avrupa Tüketici Örgütü (BEUC), Avrupa Birliği ve ulusal otoritelere ChatGPT’ye inceleme başlatma çağrısında bulunmuştur. 11 İtalya,12 Kanada,13 Fransa,14 Almanya, 15 Yeni Zelanda,16 Kolombiya17 gibi ülkelerin de içinde bulunduğu birkaç ülke tarafından konuya ilişkin inceleme baş- latılmıştır. Avrupa Veri Koruma Kurulu da (EDPB) kısa bir süre önce üretici yapay zekâ görev gücünün kurulduğunu açıklamıştır.18-19 Gelecekte, mahremiyet düzenleyicileri ve veri koruma otoritelerinin, bu sistemlerin yasalara uygun olarak faaliyet göstermesi- ni ve bireylerin haklarına saygı gösterilme- sini sağlamak amacıyla iç kapasitelerini ve inceleme hususundaki çabalarını artırması gerekecektir. Dr. Öğr. Üyesi OSMAN GAZİ GÜÇLÜTÜRK Boğaziçi Üniversitesi Hukuk Fakültesi Bilişim Hukuku Anabilim Dalı Başkanı » KÖȘE YAZILARI Üretken Yapay Zekâ, Riskler ve Mahremiyet Üzerine Bir Değerlendirme İnsanlar tarafından üretilmesi zaman alacak nite- lik ve kalitede içerikleri çok kısa sürede üretebilen yapay zekâ modelleri (İng. Generative AI, “GAI”) çok hızlı şekilde yayılıyor. Gerçekten GAI’lerin reklam yüzü olan ChatGPT bir milyon kullanıcıya sadece beş gün1, yüz milyon kullanıcıya ise iki ay2 gibi rekor sürelerde ulaşt

lik ve kalitede içerikleri çok kısa sürede üretebilen yapay zekâ modelleri (İng. Generative AI, “GAI”) çok hızlı şekilde yayılıyor. Gerçekten GAI’lerin reklam yüzü olan ChatGPT bir milyon kullanıcıya sadece beş gün1, yüz milyon kullanıcıya ise iki ay2 gibi rekor sürelerde ulaştı. GAI’lerin içerik üretimi açısından faydaları olabilir. Bununla birlikte başta ChatGPT ve Midjourney gibi örneklerin yarattığı heyecan sebe- biyle bu platformların, özellikle de sohbet botu ola- rak tasarlanmış olanların yaygın şekilde kullanıl- masının mahremiyet ve bilgiye erişim bakımından taşıdığı riskler ne yazık ki yeterince dikkat çekmiyor. Öncelikle sanki bir insanla konuşuluyormuş izle- nimi veren sohbet botu arayüzü ile kullanıma su- nulsa da GAI’lerin içerik üretimini insanlara atfetti- ğimiz anlamda bir düşünsel ya da yaratıcı süreçte gerçekleştirmediği unutulmamalı. GAI’ler yapay zekâ olarak adlandırılsa da insanlar gibi düşün- müyor ve yaratmıyor. Bu modeller tamamen eldeki veri setlerinin gelişmiş istatistik yöntemleri kulla- nılarak analiz edilmesi yoluyla geliştiriliyor ve içerik üretiyor. Bu sebeple hem bu modellerin geliştirilme 1 “ChatGPT sprints to one million users”, Statista, www.statista.com/chart/29174/time-to-one-million-users/ (Son Erişim: 23.06.2023). 2 HU Krysal, “ChatGPT sets record for fastest-growing user base - analyst note”, Reuters, 02.02.2023, www.reuters.com/technology/ chatgpt-sets-record-fastest-growing-user-base-analyst-note-2023-02-01/ (Son Erişim: 23.06.2023). sürecinde yüksek hacimde verinin işlenmesine ih- tiyaç duyuluyor hem de geliştirilmiş olan model- lerin kullanılması sürecinde kullanıcılar tarafından girilen yeni verilerin işlenmesi gerekiyor. Bu durum mahremiyet açısından bazı riskleri de akla getiri- yor. GAI’lerin geliştirilmesinde kullanılan veri setleri çoğu zaman şeffaf şekilde açıklanmıyor. Bu model- lerin internet üzerinden erişilebilir olan tüm veri- lerin özel yazılımlar aracılığıyla toplanıp işlenmesi yoluyla geliştirilmesi ve bu süreçte birçok kişinin kişisel verisinin kullanılması; örneğin sosyal med- yada veya forum ya da haber sitelerinde yer alan kişisel verilerin işlenmesi

lerin internet üzerinden erişilebilir olan tüm veri- lerin özel yazılımlar aracılığıyla toplanıp işlenmesi yoluyla geliştirilmesi ve bu süreçte birçok kişinin kişisel verisinin kullanılması; örneğin sosyal med- yada veya forum ya da haber sitelerinde yer alan kişisel verilerin işlenmesi mümkün. Kaldı ki bazı modellerin geliştirilmesinde kullanıldığı belirtilen Infiniset, Common Crawl ya da Wikipedia gibi veri kaynaklarında da kişisel veriler bulunmakta. GAI’le- rin kişisel veriler işlenerek geliştirilmesinin sonucu ise bunların kullanılmasıyla üretilen içeriklerin de kişisel bilgiler içerebilecek olması. Üstelik burada- ki risk GAI’lerin ilk geliştirilme aşamasıyla da sınırlı değil. Kullanıma sunulduktan sonra çok kısa süre- de yüz milyonlarca kişiye ulaşan ve milyarlarca kez görüntülenen bu platformların kullanımı esnasında da birçok kişisel nitelikte veri giriliyor ve bu veriler 9 8 » KVKK Bülten Temmuz 2023

-- 5 of 31 --

rilmesinde kullanılabiliyor. Nitekim ChatGPT varsayılan olarak kullanıcı verilerini işleme- si sebebiyle bu yılın Nisan ayı başında İtal- ya’da geçici olarak yasaklandı3 ve Almanya4, İspanya5, Kanada6 gibi pek çok diğer ülkede de veri koruma otoriteleri tarafından incele- me altına alındı. ChatGPT kullanıcıları şu an sohbet geçmişini kapatmak suretiyle gir- dikleri verilerin işlenmesini engelleyebiliyor- lar. Ama bu özellik de Nisan ayında eklen- di ve bu yazının yazım tarihi itibariyle hala varsayılan seçenek değil. Google tarafından çıkarılan ve benzer işleve sahip Bard’ın ise yine mahremiyet kaygıları sebebiyle başta Avrupa Birliği ülkelerinden erişime kapa- lı şekilde sunulduğunu vurgulamakta fayda var. GAI’lerle ilgili bir diğer önemli nokta da su- num şekillerinin etkisi. Özellikle insan gibi cevaplar veren bir sohbet botu olarak tasar- lanan örneklere üç temel sebeple dikkatli yaklaşılması gerekiyor. İlk olarak bu sunum şekli aslında tam anlamıyla bir veri işleme makinesi olan modelin kullanıcı gözünde insanlaşmasına ve kullanıcının iki kişi ara- sındaki bir sohbet gerçekleşiyormuş izleni- mine kapılarak normalde paylaşmayacağı hususları GAI ile paylaşmasına sebep ola- bilir. İkinci olarak çok basit hatalar yapabil- mesine ve yanlış bilgi verebilmesine, hatta var olmayan şeyleri sanki olmuş gibi yansı- tan içerikler üretebilmesine rağmen sunum şekli, kullanım kolaylığı ve işlevi itibariyle bu modeller Google’ın yarattığına benzer şekil- 3 MCCALLUM Shiona, “ChatGPT banned in Italy over privacy concerns”, BBC, 01.04.2023, www.bbc.com/news/ technology-65139406 (Son Erişim: 23.06.2023). 4 GREENE Tristian, “German regulators launch inquiry into ChatGPT GDPR compliance”, Cointelegraph, 24.04.2023, https://cointelegraph.com/news/german-regulators-launch-inquiry-into-chatgpt-gdpr-compliance (Son Erişim: 23.06.2023). 5 LOMAS Natasha, “Spain’s privacy watchdog says it’s probing ChatGPT too”, TechCrunch, 13.04.2023, https:// techcrunch.com/2023/04/13/chatgpt-spain-gdpr/ (Son Erişim: 23.06.2023). 6 “OPC to investigate ChatGPT jointly with provincial privacy authorities”, Office of the Privacy Commissioner of Canada, 25.05.2023, https://www.priv.gc.ca/en/opc

5 LOMAS Natasha, “Spain’s privacy watchdog says it’s probing ChatGPT too”, TechCrunch, 13.04.2023, https:// techcrunch.com/2023/04/13/chatgpt-spain-gdpr/ (Son Erişim: 23.06.2023). 6 “OPC to investigate ChatGPT jointly with provincial privacy authorities”, Office of the Privacy Commissioner of Canada, 25.05.2023, https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/ (Son Erişim: 23.06.2023). 7 CASTRO Chiara, “VPN downloads skyrocket following Italy ChatGPT ban”, TechRadarPro, 05.04.2023, https:// www.techradar.com/news/vpn-downloads-skyrocket-following-italy-chatgpt-ban#:~:text=According%20 to%20AtlasVPN%20data%2C%20there’s,’VPN’%20600%20times%20more (Son Erişim: 23.06.2023). de “sunulan bilginin doğru olduğu” yanılgısı oluşturabilir. Diğer yandan Google’dan farklı olarak bu modeller kaynak göstermediği ve alternatif sonuçları değil de tek bir veriyi üs- telik sanki bir insandan geliyormuşçasına sunduğu için burada yanılma riski daha yük- sektir. Tabi ki bizzat geliştiriciler tarafından kullanıcı arayüzüne yanıltıcı içerik üretile- bileceğine dair uyarılar yerleştiriliyor. Ancak çoğu kez küçük bir puntoyla, dikkat çekme- yecek biçimde sunulan ve gözden kaçabi- lecek şekilde konumlandırılan bu uyarıların kullanıcıların şüphe kasını tetiklememesi son derece olası. Üçüncü olarak özellikle zaman baskısı altında kişisel veri işlemeye dayalı işlerle meşgul olan çalışanlar GAI’ler tarafından vaat edilen performans ve kolay- lık sebebiyle bu riskleri tam olarak değer- lendiremeyebilir veya bir anlığına unutabilir. Bu da aralarında kişisel verilerin de bulun- duğu gizli bilgilerin bizzat çalışanlar tarafın- dan GAI’lere girdi olarak verilmesine sebep olabilir. Peki bu risklere karşı nasıl önlem alınabilir? Öncelikle yasaklamak bir çözüm değildir. İn- ternet erişiminin bu kadar yaygın ve kolay olduğu bir dönemde çevrim içi bir platfor- mu yasaklamak ancak kısa süreli ve kalıcı olmayan bir erişim engeli sağlayabilir. İtal- ya’da ChatGPT’nin yasaklanmasından sonra İtalya’da VPN kullanımında ve VPN aramala- rında aşırı bir artış olması7 da bu durumun göstergesidir. Üstelik bunu yaparken ayn

mu yasaklamak ancak kısa süreli ve kalıcı olmayan bir erişim engeli sağlayabilir. İtal- ya’da ChatGPT’nin yasaklanmasından sonra İtalya’da VPN kullanımında ve VPN aramala- rında aşırı bir artış olması7 da bu durumun göstergesidir. Üstelik bunu yaparken aynı zamanda sorunların hasıraltına itilmesine de sebep olup uzun vadeli çözümlerin tar- tışılmasına engel olabilir. Veri sızıntısını engellemek için aralarında önde gelen teknoloji şirketlerinin ve bankaların da bulunduğu bazı şirketlerce şirket ağ- ları üzerinden GAI’lere erişim yasaklanmış olmakla birlikte bu ancak kısa vadeli geçici bir çözüm ola- bilir. GAI’lerin yayılma hızı ve alternatiflerin artışı hızı da düşünüldüğünde en geniş ölçekte yapılması gereken GAI’lerin yasaklanması değil tam aksine toplumun her kesiminin GAI’ler ve bunların bir araç olarak nasıl kullanılması gerektiği noktasında bi- linçlendirilmesidir. Daha somut olarak ise üç temel noktaya dikkat çekilebilir. İlk olarak GAI’lerin kont- rolsüzce geliştirilmesine ve kullanıma sunulmasına müsaade edilmemeli. Bu riski artırdığı gibi mevcut sorunların çözümünü de zorlaştırır. Örneğin geldi- ğimiz noktada muhtemelen mahremiyet ihlalleri- nin önüne geçmek amacıyla ChatGPT gerçek kişi- lere ilişkin sorgular için ilk çıktığı döneme nazaran daha mekanik, az bilgi içeren cevaplar üretiyor ve bu durum aslında girdilere göre çıktılara müdaha- le edildiği izlenimini veriyor. ChatGPT’nin giderek genel amaçlı bir temel modele dönüştüğü de dü- şünüldüğünde olası tüm sorunlu sorgu örneklerini düşünerek müdahale etmenin mümkün olmadığı açık. Bunun yerine modelin geliştirilme aşamasın- da kullanılacak verilerin niteliğine ilişkin kural ve kriterler getirilerek daha baştan tasarımda mah- remiyeti sağlayıcı mekanizmalar benimsenmeli. İkinci olarak aydınlatmada daha proaktif ve tetik- leyici yöntemler kullanılarak kullanıcılara bir GAI ile etkileşimde oldukları ve hatalı ya da yanıltıcı içerik üretilebileceği etkileşim süresince hatırlat

kriterler getirilerek daha baştan tasarımda mah- remiyeti sağlayıcı mekanizmalar benimsenmeli. İkinci olarak aydınlatmada daha proaktif ve tetik- leyici yöntemler kullanılarak kullanıcılara bir GAI ile etkileşimde oldukları ve hatalı ya da yanıltıcı içerik üretilebileceği etkileşim süresince hatırlatılma- 8 SOLAIMAN Irene, BRUNDAGE Miles, CLARK Jack vd., “Release Strategies and the Social Impacts of Language Models”, arXiv, 2019, https://arxiv.org/abs/1908.09203 (Son Erişim: 23.06.2023). 9 NUNEZ Michale, “Top AI researchers and CEOs warn against ‘risk of extinction’ in joint statement”, VentureBeat, 30.05.2023, https://venturebeat.com/ai/top-ai-researchers-and-ceos-warn-against-risk-of-extinction-in-joint-statement/ (Son Erişim: 23.06.2023). lı, “ürün ya da süreçlerin geliştirilmesi” gibi muğ- lak, kullanıcıyı olası tehlikelere karşı uyarmayan je- nerik ifadelere izin verilmemeli. Bu noktada belirli aralıklarla doğrudan cevaplarda bu risklerin yer al- ması, uyarıların kalıcı ve dikkat çekici şekilde yer- leştirilmesi gibi adımlar düşünülebilir. Yine kullanıcı grupları arasında bir ayrıma gidip yanılma ihtima- li yüksek kullanıcı gruplar için yaş veya yetkinliğe göre özel önlemler de alınabilir. Üçüncü olarak bu kadar yüksek hacimli veri akışının merkezinde bu- lunan ve bundan doğrudan ya da dolaylı olarak gelir elde edecek olan geliştiricilerin mevcut sorumsuz- luk rejimlerindeki yeri yeniden düşünülmeli. OpenAI 2019’da GPT-2 modeli için olası kötüye kullanım- ları sebep göstererek kademeli bir sunum tercih ediyor.8 Buna rağmen bundan kısa süre sonra çok daha güçlü modelleri çok daha kısa süreyle kullanı- ma sunuyor. Geliştiriciler risklerin farkında olarak9, kullanımları öngörerek ve buna rağmen fayda sağ- lamak amacıyla GAI’leri kullanıma sunuyorlar. Bu- nun bazı sonuçları olmalı. Sonuç olarak, GAI’lerin mahremiyet veya bilgi eri- şim noktasında taşıdığı önemli risklerin mevcut olduğu da, hem GAI’lerle hem de bu risklerle bera- ber yaşamayı öğrenmemiz gerektiği de açık. Uzun vadeli çözümler zamanla yerleşecektir. Ancak kısa vadede bireysel olarak bilinçlenmek, GAI ile bera- ber g

şim noktasında taşıdığı önemli risklerin mevcut olduğu da, hem GAI’lerle hem de bu risklerle bera- ber yaşamayı öğrenmemiz gerektiği de açık. Uzun vadeli çözümler zamanla yerleşecektir. Ancak kısa vadede bireysel olarak bilinçlenmek, GAI ile bera- ber gelen heyecana kapılmadan bunların birer araç olduğunu kavrayıp olumlu ve olumsuz yönlerini de- ğerlendirerek kullanabilmek önemli. » KÖȘE YAZILARI 11 10 » KVKK Bülten Temmuz 2023

-- 6 of 31 --

MAHREMİYET RİSKLERİNİN BİLİNMEYEN ALANLARINI KEŞFETMEK » ChatGPT’ye Sorduk İnsan benzeri sentetik medya ve veri yara- tabilen en son teknoloji Üretici Yapay Zekâ, hem teknolojik inovasyonda bir kuantum sıçramasını hem de mahremiyete ilişkin en- dişelerle dolu bir “Pandora’nın Kutusu”nu temsil ediyor. Eğlence, sağlık ve eğitim gibi sektörlerde ilerleme sağlama potansiyeli inkâr edilemez olsa da bireysel mahremiyet üzerindeki etkileri de göz ardı edilemez. Üretici yapay zekâ modelleri, doyumsuz bir veri ihtiyacına dayanmaktadır. Genellikle, halka açık alandan veya özel veri kaynakla- rından elde edilen milyonlarca veri nokta- sını kapsayabilen devasa veri tabanlarında eğitilirler. Bu yoğun veri hacmi, yapay zekâ modellerinin son derece incelikli ve ikna edici çıktılar üretebilmesini sağlar. An- cak bu geniş veri setlerine bağımlılık, eği- tim sürecinde özel ve gizli bilgilerin istem dışı toplanması ve açığa çıkmasına ilişkin ciddi endişelere yol açmaktadır. Verilerin anonimleştirilmesi hususunda yapay zekâ şirketlerinin gösterdiği yoğun çabaya rağ- men, bu modellerin bazı durumlarda, eği- tim setlerinden özel nitelikli verileri anım- sayabilme veya yeniden oluşturabilme riski yanı başımızdaki bir tehdit olmaya devam etmektedir. Dahası, üretici yapay zekânın ortaya çıkışı görüntü, ses ve kişisel ayrıntılara kadar son derece gerçekçi kimliklerin üretilmesi gibi endişe verici bir yeteneğin de doğuşuna yol açmıştır. Bu dijital kişilikler, yüzeyden bakıldığında gerçek birey- lerden ayırt edilemeyecek kadar inandırıcı görün- mektedir. Bu yaratım gücü hayranlık uyandırıcı olsa da kötü niyetle istismar edilebilir. Dolandırıcılar ve siber suçlular bu teknolojiden yararlanarak gerçek gibi görünen dijital kimlikler sentezleyebilir, böylece kimlik hırsızlığı ve diğer siber suçlar için kendilerine etkili bir araç sağlayabilirler. Bu ciddi endişe, üretici yapay zekâ teknolojisi karşısında, bireysel mahre- mi

siber suçlular bu teknolojiden yararlanarak gerçek gibi görünen dijital kimlikler sentezleyebilir, böylece kimlik hırsızlığı ve diğer siber suçlar için kendilerine etkili bir araç sağlayabilirler. Bu ciddi endişe, üretici yapay zekâ teknolojisi karşısında, bireysel mahre- miyet ve güvenliğin ne kadar savunmasız olduğu- nun da altını çizmektedir. Bu riskleri daha da şiddetlendiren üretici yapay zekâ, deepfake teknolojisinin endişe verici şekilde büyümesinin ardındaki önemli bir etkendir. Görün- tü, ses veya videolardaki gerçek kişilerin yapay zekâ tarafından üretilen kopyaları olan deepfakeler, bi- reysel mahremiyet açısından ciddi ve çok bo- yutlu bir tehdit oluşturmaktadır. İkna edici fakat yanlış anlatılar üretmek için kul- lanılabilir, böylece yanlış bilgile- rin yayılmasına ve sosyal huzursuzluğa neden olabilirler. Daha da kişisel bir düzeyde deepfakelerin, rıza dışı müstehcen içerik oluşturmak için kullanılması ve böylece ciddi kişisel zararla- ra ve mağduriyete sebebiyet vermesi de müm- kündür. Yapay zekâ destekli sahteciliğin bu denli giderek karmaşıklaşması, sarsıcı bir gerçeği de yü- zümüze vuruyor: gerçek ve dijital dünya arasındaki sınır aşınmakta ve buna bağlı olarak bireysel mah- remiyete ilişkin tehlikeler ortaya çıkmaktadır. Bu artan endişeler göz önüne alındığında üretici yapay zekânın ortaya çıkışı, beraberinde sağlam ve bilinçli bir düzenleyici karşı yanıt gerektirmektedir. Yapay zekânın dönüştürücü potansiyeli ile mah- remiyetin korunması arasında hassas bir denge sağlanması hiç bugün olduğu kadar ağır sınanma- mıştır. Sektörün kendi kendisini düzenlemesine ek olarak, kanun koyucuları, teknoloji uzmanları, si- vil toplum kuruluşları ve halkı içeren geniş tabanlı diyalog ve politika geliştirmeye acil ihtiyaç duyul- maktadır. Üretici yapay zekâya ilişkin riskleri yönetmek için bu modellerin nasıl eğitildiği ve kullanıldığı konu- sunda daha fazla şeffaflık gerekmektedir. Sorumlu veri kullanımının sağlanmasına yönelik politikalar uygulanmalı

diyalog ve politika geliştirmeye acil ihtiyaç duyul- maktadır. Üretici yapay zekâya ilişkin riskleri yönetmek için bu modellerin nasıl eğitildiği ve kullanıldığı konu- sunda daha fazla şeffaflık gerekmektedir. Sorumlu veri kullanımının sağlanmasına yönelik politikalar uygulanmalı ve etik yapay zekâ uygulamaları için rehberler hazırlanmalıdır. Diferansiyel mahremiyet ve güvenli çok taraflı hesaplama gibi teknik ted- birlerin geliştirilmesi, mahremiyete ilişkin risklerin azaltılmasına olanak sağlayabilir. Sonuç olarak, dijital gelecekte yolumuzu bulurken, bireylerin mahremiyetinin ve güvenliğinin korun- ması en önemli önceliklerden biri olmaya devam etmelidir. Bu noktada yapay zekânın evrimi bizle- re, teknolojik ilerlemenin ve kişisel mahremiyetin uyum içinde var olabileceği bir ortam şekillendir- mek gibi acil ve ortak bir görev yüklemektedir. Üre- tici yapay zekânın ortaya çıkışı, bu görevin öne- mine dair acil bir hatırlatıcıdır. Üretici yapay zekâ uygulamaları açısından mahremiyet konusunun arz ettiği önemi ChatGPT’ye sorduk. Uygulama tarafından soruya verilen cevap Türkçeye tercüme edilerek aşağıda sunulmaktadır. 13 12 ş KVKK Bülten Temmuz 2023

-- 7 of 31 --

YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER Günümüzde yapay zekâ teknikleri ve uygu- lamalarında önemli ilerlemeler kaydedil- mekte ve yapay zekâ tabanlı sistemler bir- çok alanda hayatı etkilemektedir. Yapay zekâ, bireyler ve toplum için önemli avantajlar sağlamakla birlikte, bireyin te- mel hak ve özgürlükleri kapsamında kişisel verilerin korunması hakkını zedeleyebile- cek bazı durumları da bünyesinde barın- dırmaktadır. Bu çerçevede, bireylerin yapay zekâ çalışmaları ve uygulamalarından elde edeceği fayda azalmaksızın kullanımının sağlanması ancak bunların kişisel verilerin korunması hakkını temel alarak düzenlen- mesi ile mümkün olabilecektir. Bu çerçe- vede, söz konusu çalışma ve uygulamaların Kişisel Verilerin Korunması Kanunu ve ikincil düzenlemelere uygun olarak tasarlanması önem arz etmektedir. 2021 yılında Kişisel Verileri Koruma Kuru- mu tarafından hazırlanan “Yapay Zekâ Ala- nında Kişisel Verilerin Korunmasına Dair Tavsiyeler” dokümanı ile yapay zekâ ala- nında yapılacak çalışmalara yönelik olarak kişisel verilerin korunması hususunda açık- lık sağlanması amacıyla birtakım öneriler açıklanmıştır. Yapay zekâ alanında faaliyet gösteren, geliştiriciler, üreticiler, servis sağ- layıcılar ve karar alıcılar için “Kişisel Verile- rin Korunması Kanunu kapsamında kişisel verilerin korunması amacına yönelik” ya- yımlanan önerilerin tamamına Kurum inter- net sayfasında yer alan Yayınlar bölümün- den ulaşılabilmekle birlikte bu önerilerden bazıları şu şekildedir: » Kişisel veri işleme temelli yapay zekâ ve veri toplama çalışmaları; kişilerin temel hak ve özgürlüklerini koruyan bir yakla- şım içerisinde hukuka uygunluk, dürüst- lük, ölçülülük, hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olmalıdır. » Kişisel veri işleme esaslı yapay zekâ çalışmala- rında ilk aşamadan itibaren

lük, ölçülülük, hesap verebilirlik, şeffaflık, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olmalıdır. » Kişisel veri işleme esaslı yapay zekâ çalışmala- rında ilk aşamadan itibaren kişisel verilerin ko- runması mevzuatına uyum sağlanmalı ve tüm sistemler tasarımdan itibaren veri koruma ilke- sine göre geliştirilmeli ve yönetilmelidir. » Kişisel veri işleme temelli yapay zekâ çalışma- larında, kişisel verilerin korunması açısından yüksek risk öngörülüyorsa, mahremiyet etki değerlendirmesi uygulanmalı ve veri işleme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmelidir. » Kişisel veri işleme esaslı yapay zekâ teknoloji- leri geliştirilirken ve uygulanırken özel nitelikli kişisel veri işleniyorsa özel veri koruma kuralları olduğu göz önüne alınarak teknik ve idari ted- birler daha sıkı şekilde uygulanmalıdır. » Yapay zekâ teknolojilerinin geliştirilmesi ve uy- gulanmasında aynı sonuca kişisel veri işlen- meksizin ulaşılabiliyorsa, verilerin anonim hale getirilerek işlenmesi yöntemleri tercih edilme- lidir. » Bireylerin münhasıran kendi görüşleri dikkate alınmaksızın otomatik işlemeye dayalı olarak kendilerini etkileyecek bir karara maruz kalma- malarını sağlayacak ürün ve hizmetler tasar- lanmalıdır. » Uygulama ile etkileşime giren kişiler, kişisel veri işleme faaliyetinin gerekçeleri, kişisel verilerin işlenmesinde kullanılan yöntemlerin detayları ile muhtemel sonuçları hakkında aydınlatılmalı ve gerekli haller için etkili bir veri işleme onay mekanizması tasarlanmalıdır. » İnsan hakları temelli, etik ve sosyal yönelim- li yapay zekâ uygulamalarının tasarlanmasına ve potansiyel önyargıların tespit edilmesine katkıda bulunabilecek akademik kurumlarla ir- tibata geçilmeli; şeffaflık ve paydaş katılımının zor olabileceği alanlarda tarafsız uzman kişi ve kuruluşların görüşü alınmalıdır. » Bireylere, görüşlerini ve kişisel gelişimlerini et- kileyen teknolojilere

katkıda bulunabilecek akademik kurumlarla ir- tibata geçilmeli; şeffaflık ve paydaş katılımının zor olabileceği alanlarda tarafsız uzman kişi ve kuruluşların görüşü alınmalıdır. » Bireylere, görüşlerini ve kişisel gelişimlerini et- kileyen teknolojilere dayalı işlemelerle ilgili iti- raz hakkı tanınmalıdır. » Ürün ve hizmetlerin tasarımından başlayarak yaşam döngüsü boyunca kişisel verilerin ko- runması hukukuna uygunluk açısından tüm paydaşlar için hesap verebilirliği sağlayacak al- goritmalar benimsenmelidir. » Verilerin güvenli, adil, yasal ve etik paylaşımını destekleyen dijital ekosistemin oluşturulabil- mesi için açık yazılım tabanlı uygun mekaniz- malar teşvik edilmelidir. 15 14 » KVKK Bülten Temmuz 2023

-- 8 of 31 --

REHBER, ÇALIŞMA VE DÜZENLEYİCİ İŞLEMLER » Avrupa Veri Koruma Kurulu (EDPB), GDPR kapsamındaki veri ihlal bildirim- lerine ilişkin güncellenmiş rehberini yayımladı1. Bahse konu rehberin, AB’de yerleşik olmayan veri sorumlularının veri ihlal bildirimine yönelik olarak Ekim 2022’de başlatılan kamuoyu görüşü alınması sürecinin ardından son şeklini aldığı belirtilmektedir. » Avrupa Veri Koruma Kurulu (EDPB), ilgili kişilerin haklarından olan “erişim hak- kı”na ilişkin rehberini yayımladı2. Kamu- oyu görüşü alınmasının ardından nihai 1 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach- notification-under_en, 04.04.2023. 2 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights- right-access_en, 17.04.2023. 3 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052022-use-facial- recognition-technology-area_en, 17.05.2023. şekli verilen metinde; ilgili kişilere eri- şim hakkı tanınmasının amacı, bu hak- kın niteliği/kapsamı/sınırları ve bu hak- kın kullanımına ilişkin olarak ilgili kişiler ile veri sorumlularınca dikkate alınması gereken hususlar incelenmektedir. » Avrupa Veri Koruma Kurulu (EDPB), kol- luk faaliyetleri kapsamında yüz tanıma teknolojisinin kullanımına ilişkin rehbe- rin nihai versiyonunu yayımladı3. Geç- tiğimiz yıl içerisinde kamuoyu görüşü alınmasının ardından son şekli verilen metinde; yüz tanıma teknolojisi kullanıl- masının amacı, bu teknolojinin kullanımına iliş- kin yaygın uygulamalar, bu uygulamaların ilgili kişilerin kişisel verilerinin korunması açısından ortaya çıkarabileceği riskler ile bu teknolojinin uygulanmasına yönelik yasal çerçeve gibi baş- lıklar yer almaktadır. Bahse konu rehberin ekle- rinde ise yüz tanıma teknolojisinin kullanımına ilişkin projelere yönelik yol gösterici mahiyette tavsiyelerde bulunulmakta ve örnek kullanım senaryoları açıklanmaktadır. » Fransa Veri Koruma Otoritesi (CNIL), ChatGPT gibi üretici yapay zekâ da dahil olmak üzere yapay zekâ

rinde ise yüz tanıma teknolojisinin kullanımına ilişkin projelere yönelik yol gösterici mahiyette tavsiyelerde bulunulmakta ve örnek kullanım senaryoları açıklanmaktadır. » Fransa Veri Koruma Otoritesi (CNIL), ChatGPT gibi üretici yapay zekâ da dahil olmak üzere yapay zekâ sistemlerinin, bireylerin mahremi- yetine saygı duyacak şekilde tasarlanması ve kullanılmasına yönelik bir eylem planı yayımla- dı4. Bahse konu eylem planı; (1) yapay zekâ sis- temlerinin işleyişi ve bireyler üzerindeki etkile- rinin anlaşılması, (2) mahremiyet dostu yapay zekâ geliştirilmesinin sağlanması ve bu konuda yol gösterilmesi, (3) Fransa ve Avrupa’daki ya- pay zekâ ekosisteminde yenilikçi oyuncuların bir araya getirilmesi ve bunların desteklenme- si, (4) yapay zekâ sistemlerinin denetlenmesi, kontrol edilmesi ve bireylerin korunması olmak üzere dört başlık altında yapılandırılmıştır. » İspanya Veri Koruma Otoritesi (AEPD), yapay zekâ sistemlerinde işlenen kişisel verilerin “doğruluğunun” sağlanmasına yönelik olarak yol gösterici mahiyette bir içerik yayımladı5. Bu çerçevede gerçekleştirilecek işleme faali- yetlerinde “doğruluk” ilkesinin sağlanmasının önemini vurgulayan Otorite, yanlışları önleyen ve hatalı verilerin etkisinden koruyan uygun güvencelerin “tasarımdan itibaren” işleme faa- liyetlerine dahil edilmesi, sistemin performan- sının gözden geçirilmesi ve gerektiğinde gün- cellenmesi gerektiğini vurguladı. 4 https://www.cnil.fr/en/artificial-intelligence-action-plan-cnil, 16.05.2023. 5 https://www.aepd.es/en/prensa-y-comunicacion/blog/artificial-intelligence-accuracy-principle-in-processing-activity, 31.05.2023. 6 https://privacy.org.nz/publications/guidance-resources/generative-artificial-intelligence/, 25.05.2023. 7 https://www.whitehouse.gov/briefing-room/statements-releases/2023/05/04/fact-sheet-biden-harris-administration- announces-new-actions-to-promote-responsible-ai-innovation-that-protects-americans-rights-and-safety/, 04.05.2023. 8 https://crsreports.congress.gov/product/pdf/R/R47569, 23.05.2023. » Yeni Zelanda Mahremiyet Komisyonerliği Ofisi (NZ OPC), üretici yapay zekâ kullanan kuruluş- ların göz önünde bulundurmaları gereken

announces-new-actions-to-promote-responsible-ai-innovation-that-protects-americans-rights-and-safety/, 04.05.2023. 8 https://crsreports.congress.gov/product/pdf/R/R47569, 23.05.2023. » Yeni Zelanda Mahremiyet Komisyonerliği Ofisi (NZ OPC), üretici yapay zekâ kullanan kuruluş- ların göz önünde bulundurmaları gereken yedi temel ilkeyi açıkladı6. Bu ilkeler; (1) üst düzey yöneticinin onayının alınması, (2) üretici yapay zekâ aracının gerekli ve ölçülü olup olmadığı- nın gözden geçirilmesi, (3) mahremiyet etki değerlendirmesi gerçekleştirilmesi, (4) şeffaf olunması, (5) verilerin doğruluğunun sağlan- ması ile bireylerin erişim haklarını kullanmaları konusunda prosedürler geliştirilmesi, (6) üre- tici yapay zekâ aracının çıktılarının insan ince- lenmesinden geçirilmesi ve (7) kişisel veriler ile gizli bilgilerin üretici yapay zekâ aracı tarafın- dan saklanmadığından veya açığa çıkarılmadı- ğından emin olunması şeklinde sayıldı. » Beyaz Saray, sorumlu yapay zekâ inovasyonunu teşvik etmeye yönelik eylemlere ilişkin bilgi no- tunu yayımladı7. Bu kapsamda sorumlu yapay zekânın araştırılması ve geliştirilmesini des- teklemek üzere yeni yatırımlar, mevcut üretici yapay zekâ sistemlerinin kamuya açık bir şekil- de değerlendirilmesi, yapay zekânın ortaya çı- kardığı riskleri azaltma ve getirdiği fırsatlardan yararlanma konusunda ABD’nin örnek teşkil et- mesini sağlamaya yönelik politikalar gibi konu- lara değinilmektedir. » ABD’de Kongre Araştırma Merkezi (CRS), üretici yapay zekâ ve mahremiyetin korunması arasın- daki ilişkiye dair genel bir bakış sunulan çalış- masını yayımladı8. Bu çalışmada, “üretici yapay zekâ” kavramından ne anlaşılması gerektiği ile bu modellerin veriyi elde etme/veri kullanım şekilleri gibi konular incelenmekte ve üretici yapay zekânın ele alınmasına yönelik politika önerilerine ilişkin açıklamalarda bulunulmak- tadır. 17 » KVKK Bülten Temmuz 2023 16

» SEÇİLMİŞ GÜNCEL GELİŞMELER

man çalışma grubu “AB-ABD Yapay Zekâ Terminolojisi ve Taksonomisi” başlıklı bir çalışma hazırladı9. Alana yönelik ortak bir terminoloji oluşturulması adına ol- dukça önem taşıyan bu çalışmada, AB ve ABD’de yayımlanan çeşitli dokümanlara atıfta bulunulmak suretiyle yapay zekâ- ya ilişkin 65 adet terim açıklandı. » AB’nin Kripto Varlık Piyasaları Düzen- lemesi (MiCA), 09.06.2023 tarihli AB Resmî Gazetesinde yayımlandı10. Kripto varlıklara ilişkin olarak AB üyesi ülkeler arasında tutarlı bir düzenleyici çerçeve oluşturması amaçlanan ve bir dönüm noktası teşkil eden bu düzenlemede yer alan hükümler, düzenlemenin yayım tarihinden itibaren 20 gün sonra yürür- lüğe girecek ve tamamıyla 30.12.2024 tarihinden (bazı bölümleri 30.06.2024 tarihinden) itibaren uygulanmaya başla- nacaktır. » Birleşik Krallık Veri Koruma Otoritesi (ICO), doğru şekilde geliştirilip kulla- nılmadığı takdirde nöroteknolojnin ön yargılı olma konusunda büyük bir risk oluşturduğunu ve bu teknolojilerin kul- lanımının ayrımcılığa maruz kalınması riski ortaya çıkardığını belirtti11. Doğ- rudan beyin ve sinir sisteminden gelen verileri izlemede yararlanılan teknolo- jinin kullanımının önümüzdeki on yıllık süreçte yaygınlaşacağını tahmin eden Otorite, nöroteknoloji geliştiricileri için bir rehber hazırlığı içerisinde olunduğu- nu duyurdu. 9 https://digital-strategy.ec.europa.eu/en/library/eu-us-terminology-and-taxonomy-artificial-intelligence, 31.05.2023. 10 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2023:150:FULL, 09.06.2023. 11 https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/06/ico-warns-of-real-danger-of- discrimination-in-new-technologies-that-monitor-the-brain/, 08.06.2023. 12 https://www.ftc.gov/business-guidance/blog/2023/06/hey-alexa-what-are-you-doing-my-data, 13.06.2023. 13 https://www.weforum.org/whitepapers/the-presidio-recommendations-on-responsible-generative-ai, 14.06.2023. 14 https://cbddo.gov.tr/SharedFolderServer/Genel/21.Chatbot-Uygulamas%C4%B1-ve-ChatGPT- %C3%96rne

12 https://www.ftc.gov/business-guidance/blog/2023/06/hey-alexa-what-are-you-doing-my-data, 13.06.2023. 13 https://www.weforum.org/whitepapers/the-presidio-recommendations-on-responsible-generative-ai, 14.06.2023. 14 https://cbddo.gov.tr/SharedFolderServer/Genel/21.Chatbot-Uygulamas%C4%B1-ve-ChatGPT- %C3%96rne%C4%9Fi-De%C4%9Ferlendirme-Raporu.pdf, Haziran 2023. » ABD Federal Ticaret Komisyonu (FTC), nesnelerin interneti (IoT) cihazların- da mahremiyetin korunmasına yönelik olarak yol gösterici mahiyette bir içerik yayımladı12. Bu kapsamda, yapay zekâ sistemleri ve mahremiyetin birlikte dü- şünülmesi gerektiği, makine öğrenmesi kullanımının veri koruma kurallarının ih- lal edilmesinde bir gerekçe olamayacağı, bireylerin kişisel verilerini şirketlerin de- ğil kendilerinin kontrol etmeleri gerekti- ğinin farkında olunmasının önem taşıdığı, gereken durumlarda insan değerlendir- mesi ve özel nitelikli kişisel verilere çalı- şanların erişimi konusunda özel önlemler alınmasının önemli olduğu ve çocukların mahremiyetinin korunmasına yönelik düzenlemelere uygun hareket edilmesi gerektiği gibi hususlara işaret edildi. » Dünya Ekonomik Forumu, sorumlu üre- tici yapay zekâya ilişkin tavsiyelerin yer aldığı bir çalışma yayımladı13. Otuz adet eylem odaklı önerinin sunulduğu çalış- mada; (1) sorumlu geliştirme ve kullanı- ma sunma, (2) açık inovasyon ve ulus- lararası iş birliği ve (3) sosyal ilerleme olmak üzere üretici yapay zekâya ilişkin yaşam döngüsünü kapsayan üç ana tema üzerinden konunun ele alındığı be- lirtilmektedir. » T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, “Chatbot Uygulamaları ve ChatGPT Örneği” başlıklı araştırma raporunu ya- yımladı14. Raporda, chatbot uygulama- larının tarihçesi/türleri/kullanım amaç- ları ile bu uygulamaların kullanımından elde edilebilecek faydalar ve karşılaşılabilecek potansiyel riskler gibi konular açıklanmakta ve ChatGPT özelinde çeşitli değerlendirmelerde bulunulmaktadır. KARARLAR » Avrupa Birliği Adalet Divanı C-300/21

larının tarihçesi/türleri/kullanım amaç- ları ile bu uygulamaların kullanımından elde edilebilecek faydalar ve karşılaşılabilecek potansiyel riskler gibi konular açıklanmakta ve ChatGPT özelinde çeşitli değerlendirmelerde bulunulmaktadır. KARARLAR » Avrupa Birliği Adalet Divanı C-300/21 sayılı ka- rarında, tek başına GDPR’ın ihlal edilmiş olma- sının tazminat hakkı doğurmayacağına ancak tazminat hakkı doğabilmesi için uğranılan ma- nevi zararın belirli bir eşiğe ulaşmasına da gerek bulunmadığına hükmetti15. Bahse konu kararda, GDPR kapsamında tazminat hakkı doğması- nın kümülatif olarak üç koşulun sağlanmasına tabi olduğu belirtilerek bu koşullar GDPR’ın ihlal edilmiş olması, bu ihlalden kaynaklanan maddi veya manevi zararın varlığı ve zarar ile ihlal ara- sındaki nedensellik bağı olarak sayıldı. » Fransa’da Anayasa Mahkemesi’nin, Paris 2024 Olimpiyatları için hükümetin yapay zekâ destekli güvenlik kameraları kurabileceği yönünde karar verdiği ve bu uygulamaya yönelik ilkeleri belirle- diği bildirildi16. Mahremiyet savunucuları tara- fından karşı çıkıldığı belirtilen kararda, kamera- ların kurulumunun mahremiyetin korunmasına yönelik hakları ihlal etmediği, zira bireylerin “al- goritmik işlemenin geliştirilmesi, uygulanması ve olası gelişimini” sürekli şekilde kontrol ede- 15 https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-05/cp230072en.pdf, 04.05.2023. 16 https://www.politico.eu/article/french-top-court-backs-olympics-ai-powered-surveillance-cameras/, 17.05.2023. 17 https://www.cnil.fr/fr/la-france-ratifie-la-convention-108-du-conseil-de-leurope, 30.03.2023. 18 https://futureoflife.org/open-letter/pause-giant-ai-experiments/, 29.03.2023. cekleri ve bu kameraların bırakılmış bagajlar veya kalabalık içerisindeki birtakım durumlar gibi “şüpheli davranışları tespit etmek” üzere eğitildikleri ifade edildi. Sistemin, Mart 2025’e kadar uygulamada kalması planlanıyor. GENEL HABERLER » Fransa, 108 sayılı Sözleşme’nin güçlendirilme- si ve bu Sözleşme ile belirlenen ilkelerin gün- cellenmesinin amaç

gibi “şüpheli davranışları tespit etmek” üzere eğitildikleri ifade edildi. Sistemin, Mart 2025’e kadar uygulamada kalması planlanıyor. GENEL HABERLER » Fransa, 108 sayılı Sözleşme’nin güçlendirilme- si ve bu Sözleşme ile belirlenen ilkelerin gün- cellenmesinin amaçlandığı Modernize Edilmiş 108+ sayılı Sözleşmeyi onayladı17. » Elon Musk ve bir grup üst düzey yapay zekâ araştırmacısı tarafından imzalanan açık mek- tupta, “toplum ve insanlık için taşıdığı derin riskler” konusundaki korkular gerekçe göste- rilerek “dev yapay zekâ deneylerine” ara veril- mesi için çağrıda bulunuldu18. GPT-4’ten daha güçlü yapay zekâ sistemlerinin eğitilmesine en az altı ay ara verilmesi yönünde çağrıda bulu- nulan mektubun imzacıları arasında yazar Yu- val Noah Harari, Apple’ın eş kurucusu Steve Wozniak, yapay zekâ konusunda dünyaca ünlü bir isim olan Stuart Russell ve Pinterest’in eş kurucusu Evan Sharp gibi isimler yer aldı. » Japonya’nın Hiroşima kentinde bir araya gelen G7 liderlerinin, üretici yapay zekânın ve çevre- leyici (immersive) teknolojilerin yönetişimine 19 » KVKK Bülten Temmuz 2023 18

-- 10 of 31 --

ruldu19. Bu çerçevede, “Hiroşima Yapay Zekâ Süreci” adı altında bakanların bu teknolojileri değerlendirmeleri ve so- nuçları yıl sonuna kadar raporlamaları konusunda anlaşıldığı bildirildi. » İrlanda Veri Koruma Otoritesi (DPC), sohbet botlarına ilişkin yasaklamalar getirilmesi konusunda acele edilme- mesi yönünde uyarılarda bulundu20. Bu çerçevede Otorite yetkilisi tarafından yapılan açıklamada, üretici yapay zekâ- nın düzenlenmesi konusunda hemfi- kir olunduğu ancak tartışmanın Chat- GPT’ye eş değer binlerce aracı kapsadığı ve gerçekten etkili olabilecek doğru bir düzenleme yapabilmek için bu teknolo- jinin işleyişi, büyük dil modelleri ve eği- tim verilerinin kaynağı ile ilgili sürecin anlaşılmasının önem taşıdığı belirtildi. » İtalya Veri Koruma Otoritesi’nin (Garan- te) geçtiğimiz mart ayı içerisinde Chat- GPT’yi geçici süreliğine yasaklamasının ardından, Otorite’nin şimdi de diğer ya- pay zekâ platformlarını incelemeyi ve bunun için yapay zekâ alanında uzman kişileri işe almayı planladığı bildirildi21. » OpenAI, bireylerin mahremiyetinin ko- runmasına yönelik olarak ChatGPT’de önemli değişikliklerin uygulamaya alın- dığını, bu çerçevede kullanıcıların araçla gerçekleştirdikleri sohbet geçmişlerinin saklanmasını devre dışı bırakabilecekle- rini ve bu sayede bunların eğitim verisi olarak kullanılmasının önüne geçilebile- ceğini duyurdu22. Kullanıcıların, belirtilen 19 https://www.reuters.com/technology/g7-leaders-confirm-need-governance-generative-ai- technology-2023-05-19/, 19.05.2023. 20 https://www.reuters.com/technology/irish-data-regulator-warns-against-rushing-into-chatbot- bans-2023-04-20/, 20.04.2023. 21 https://www.reuters.com/technology/italy-watchdog-review-other-ai-systems-after-chatgpt-brief- ban-2023-05-22/, 23.05.2023. 22 https://mashable.com/article/openai-chatgpt-chat-history-privacy-setting, 25.04.2023. 23 https://www.reuters.com/technology/apple-restricts-use-chatgpt-wsj-2023-05-18/, 19.05.2023. 24 https://gizmodo.com/new-york-city-public-schools-lift-ban-chatgpt-ai-1850453424,

ban-2023-05-22/, 23.05.2023. 22 https://mashable.com/article/openai-chatgpt-chat-history-privacy-setting, 25.04.2023. 23 https://www.reuters.com/technology/apple-restricts-use-chatgpt-wsj-2023-05-18/, 19.05.2023. 24 https://gizmodo.com/new-york-city-public-schools-lift-ban-chatgpt-ai-1850453424, 19.05.2023. şekilde sohbet geçmişlerini gizli tutma- yı seçmeleri hâlinde, paylaşılan içeriğin modeli geliştirmek için kullanılmayacağı, bu konuşmaların 30 gün boyunca sakla- nacağı ve ardından OpenAI sistemlerin- den silineceği belirtildi. » Apple’ın, çalışanlarının ChatGPT kullan- malarını yasakladığı bildirildi23. Yasağın arka planında, Şirket bünyesinde ben- zer bir teknoloji geliştirilmesi sürecinde gizli verilerin sızdırılmasından endişe duyulması nedeniyle çalışanların Chat- GPT ve benzeri harici yapay zekâ araç- larının kullanımının kısıtlanmasının yat- tığı belirtildi. » Geçtiğimiz aylarda New York’taki okul- larda cihazlar ve ağlar üzerinden Chat- GPT kullanımının engellenmesine iliş- kin yasağın kaldırıldığı bildirildi24. Buna ilişkin yapılan açıklamada, yasağın arka planındaki korku nedeniyle yapay zekâ- nın “potansiyelinin gözden kaçırıldığı”, öğretmenlerin ve öğrencilerin bundan böyle yapay zekâyı keşfetmelerine yö- nelik olarak teşvik edilecekleri ve ya- pay zekâ kullanımının destekleneceği belirtildi. Hatırlanacak olursa, geçtiği- miz ocak ayı içerisinde getirilen yasak kapsamında ChatGPT’nin, öğrencilerin eğitimi üzerinde olumsuz etkiler ya- rattığına yönelik endişe duyulduğu ve sorulara hızlı bir şekilde kolayca yanıt alınabilmekle birlikte aracın kullanımı- nın akademik ve yaşam boyu başarı için gerekli olan eleştirel düşünme ve prob- lem çözme becerilerini geliştirmeyece- ği ifade edilmişti. » Vietnam’da sosyal medya kullanımında kimlik doğrulamasının zorunlu hâle getirileceği bildi- rildi25. Telekomünikasyon Yasası Değişikliğinin bir parçası olarak yıl sonuna kadar yürürlüğe girmesi planlanan düzenlemenin, sosyal med- ya üzerinden yasaları ihlal eden suçluların ta-

ği ifade edilmişti. » Vietnam’da sosyal medya kullanımında kimlik doğrulamasının zorunlu hâle getirileceği bildi- rildi25. Telekomünikasyon Yasası Değişikliğinin bir parçası olarak yıl sonuna kadar yürürlüğe girmesi planlanan düzenlemenin, sosyal med- ya üzerinden yasaları ihlal eden suçluların ta- kip edilmesini sağlayacağı, bu çerçevede gerek bireysel gerekse kurumsal kullanıcıların kim- lik doğrulamasına tabi tutulacakları ve sosyal medya platformlarındaki anonim hesapların bu sayede tarihe karışacağı belirtildi. » Japonya’da Veri Koruma Otoritesi’nin, makine öğrenmesi sürecinde kullanılmak üzere topla- nan özel nitelikli kişisel verilerin en aza indiril- mesi, kişilerin rızası alınmaksızın özel nitelikli kişisel verilerin toplanmaması ve gerekiyorsa daha fazla önlem alınması konusunda Chat- GPT’nin geliştiricisi OpenAI Şirketine uyarıda bulunduğu bildirildi26. » Hollanda Veri Koruma Otoritesi, ChatGPT’nin algoritmasının kullanıcı sorgularından nasıl öğrendiği ve kişisel verilerin nasıl işlendiği ko- nularına yönelik olarak OpenAI Şirketinden bilgi talep edildiğini duyurdu27. 25 https://www.reuters.com/world/asia-pacific/vietnam-require-social-media-users-verify-identity-2023-05-08/, 09.05.2023. 26 https://www.reuters.com/technology/japan-privacy-watchdog-warns-chatgpt-maker-openai-data-collection-2023-06-02/, 02.06.2023. 27 https://iapp.org/news/a/netherlands-dpa-seeks-information-on-how-chatgpt-algorithm-learns-from-users-inquiries/, 09.06.2023. Otorite tarafından yapılan açıklama için bkz. https://www.autoriteitpersoonsgegevens.nl/actueel/ap-vraagt-om-opheldering-over-chatgpt, 07.06.2023. 28 https://gizmodo.com/google-tells-employees-to-stay-away-from-its-bard-chatb-1850542824, 15.06.2023. 29 https://www.theverge.com/2023/6/9/23755057/openai-chatgpt-false-information-defamation-lawsuit, 09.06.2023. 30 45. Küresel Mahremiyet Asamblesi hakkında detaylı bilgi için bkz. https://www.privacy.bm/gpa-2023-bermuda » Google’ın ana şirketi Alphabet’in, verilerin sız- dırılmasından endişe duyulması nedeniyle ChatGPT ve Google’ın kendi aracı Bard da dâ- hil olmak üzere sohbet botlarına karşı dikkatli olunması ve bu araçlara gizli veriler

» Google’ın ana şirketi Alphabet’in, verilerin sız- dırılmasından endişe duyulması nedeniyle ChatGPT ve Google’ın kendi aracı Bard da dâ- hil olmak üzere sohbet botlarına karşı dikkatli olunması ve bu araçlara gizli verilerin girilme- mesi konusunda çalışanlarına uyarıda bulun- duğu bildirildi28. » ChatGPT’nin bir radyo programcısını işleme- diği bir suç ile itham etmesinin ardından Ope- nAI Şirketine karşı dava açıldığı ve bu çerçeve- de tazminat talebinde bulunulduğu bildirildi29. Dünya genelinde Şirkete karşı açılan ilk iftira davası olması nedeniyle önem taşıyan bu dava- ya temel oluşturan olayda ChatGPT’nin, radyo programcısı olan Mark Walters’ı kâr amacı güt- meyen bir kuruluşu dolandırmak ve zimmetine para geçirmekle suçladığı öğrenildi. » Geçtiğimiz yıl içerisinde Kurumumuz ev sahip- liğinde düzenlenen ve her yıl pek çok otoriteyi bir araya getiren Küresel Mahremiyet Asamb- lesi’nin (Global Privacy Assembly) 45’incisi 15- 20 Ekim 2023 tarihlerinde Bermuda’da gerçek- leştirilecektir30. » SEÇİLMİŞ GÜNCEL GELİŞMELER 21 » KVKK Bülten Temmuz 2023 20

-- 11 of 31 --

ASAMBLESİ Dünya genelinde veri koruma otoriteleri- ni bir araya getiren Küresel Mahremiyet Asamblesi (GPA) 40 yılı aşkın bir süredir dü- zenli olarak bir üye otoritenin ev sahipliğin- de toplanmaktadır. Bu yıl 45.’si Bermuda’da yapılacak olan GPA’nın bir önceki toplantısı- na Kurumumuz ev sahipliği yapmıştır. İstanbul Haliç Kongre Merkezinde 25-28 Ekim 2022 tarihlerinde gerçekleştirilen 44. Asambleye birçok üye ülkeden veri koruma otoritelerinin yanı sıra alanında saygın ça- lışmalara imza atmış akademisyenler, bü- rokratlar, iş dünyası ve sivil toplum kuruluş- larının temsilcileri katılmıştır. Veri koruma otoriteleri arasında bir iletişim ve iş birliği platformu olan GPA, yıllık toplan- tılarında üyeler ve diğer katılımcılar arasın- da kişisel verilerin korunması alanında gün- cel sorunların ele alınması, veri korumada uluslararası standartların geliştirilmesinin teşvik edilmesi ve tematik alanlarda ortak yaklaşım ve kararların benimsenmesi gibi konuları ele almaktadır. Günümüzde dijitalleşme süreçlerinin mah- remiyetin korunmasına yönelik berabe- rinde getirdiği tereddütlerin farkında olan Kurumumuz, bu konudaki iş birliği bütün paydaşları da kapsayacak şekilde olması gerektiği düşüncesinden hareketle 44. Asamblenin temasını “Bir Denge Meselesi: Hızlı Teknolojik Geliş- me Çağında Mahremiyet” olarak belirlemiştir. Bu kapsamda gerçekleştirilen GPA toplantılarının ilk iki günü, akredite üyelerin yanı sıra iş dünyası ve akademisyenlerin de katılımına açık olan Açık Otu- rumlar şeklinde gerçekleştirilmiştir. Bu oturumlar- da genel olarak yapay zekâ, büyük veri ve blok zincir gibi uygulama ve süreçlerde kişisel verilerin korun- ması meselesi ile tüketici hakları ve mahremiyet ile sınır ötesi veri akışında mahremiyet düzenleme- lerinin uyumlaştırılması gibi başlıklarda sunum ve konuşmalar gerçekleştirilmiştir. Açık oturumlar sırasında ayrıca her yıl başarılı bir uygulama veya proje sahibine verilen Giovanni Buttarelli Ödülü’nün takdimi yapılmış ve oturum sonunda Kurumumuz ev sahipliğinde Hoş

lerinin uyumlaştırılması gibi başlıklarda sunum ve konuşmalar gerçekleştirilmiştir. Açık oturumlar sırasında ayrıca her yıl başarılı bir uygulama veya proje sahibine verilen Giovanni Buttarelli Ödülü’nün takdimi yapılmış ve oturum sonunda Kurumumuz ev sahipliğinde Hoş Geldiniz Resepsiyonu düzenlenmiştir. Küresel Mahremiyet Asamblesi’ne, 27-28 Ekim ta- rihlerinde yalnızca akredite üye otoriteler ile göz- lemci kuruluşların katılımına açık olan Kapalı Otu- rumlar ile devam edilmiştir. Kapalı Oturumlarda GPA çalışma gruplarının bir yıl boyunca gerçekleş- tirdikleri faaliyetlerin sunumları yapılmış, bunların yanında çeşitli tematik konularda yan etkinlikler ve paneller gerçekleştirilmiştir. 44.’sü ülkemizde düzenlenen Küresel Mahremiyet Asamblesi’ne 59 ülkeden 83 veri koruma otoritesi ile akredite kuruluşlar yer almış, bu otorite ve ku- ruluşları temsilen fiziki olarak 574, çevrimiçi olarak ise 83 olmak üzere toplam 657 kişi katılım sağla- mıştır. 23 ş KVKK Bülten Temmuz 2023 22

» BİZDEN HABERLER

28 Ocak Veri Koruma Günü etkinliği bu yıl Nevşehir Hacı Bektaş Veli Üniversitesi Kültür ve Kongre Merkezi’nde “108 Sayılı Sözleşme’nin 42. Yılında Türkiye’de Kişisel Verilerin Korunması Konferansı” ile gerçekleştirildi. “Dijital Hafızadan Silinme Talebi; Unutulma Hakkı” ve “Gelişen Teknolojiler Işığında Mahremiye- tin Korunması” olarak iki oturum şeklinde düzenlenen etkinliğe, Önceki Adalet Bakanımız Bekir BOZDAĞ, Bakan Yardımcıları Akın GÜRLEK ve Hasan YILMAZ ile çok sayıda davetli katıldı. Etkinliğin açılış konuşmasını Önceki Adalet Bakanımız Sayın Bekir BOZDAĞ yaptı. BOZDAĞ, yaptığı konuşmada kişisel verilerin korunması hakkının Türkiye’de anayasal güvenceye kavuşturulduğunu ifade ederek Kişisel Verileri Koruma Ku- rumunun kurulmasıyla yeni bir hak arama yolunun ortaya koyulduğunu dile ge- tirdi. Etkinliğin açılış programında Kurum Başkanımız Prof. Dr. Faruk BİLİR de bir ko- nuşma yaptı. BİLİR, Türkiye’nin kişisel veriler konusundaki serüveninin 108 Sayılı Sözleşme’nin imzalanmasıyla başladığını fakat 108 Sayılı Sözleşme’yle ilgili asıl somut adımın 2016 yılında kişisel verilerin korunmasına yönelik gerçekleştirilen hukuki düzen- lemeler kapsamında atıldığını söyledi. KVKK DESTEK EKİBİ DEPREM BÖLGESİNDE 6 Şubat 2023 tarihinde Kahramanmaraş’ta meydana gelen ve 10 ili daha etkileyen deprem sonrasında, KVKK Destek Ekibi Kahramanmaraş ve civardaki illere ulaştı. Depremden etkile- nen bölge halkının ihtiyaçlarını gidermek üzere çalışan ekip, bölgedeki yardım faaliyetlerine katkıda bulundu. KÜRESEL MAHREMİYET ASAMBLESİ’NDEN DESTEK MESAJI Küresel Mahremiyet Asamblesi, 6 Şubat 2023 tarihinde ülkemizde gerçekleşen deprem felaketi sonrasında ulus- lararası üyeleri adına üzüntülerini paylaşan bir destek me- sajı yayınladı. Kurum Başkanımız Prof. Dr. Faruk BİLİR, Küresel Mahremi- yet Asamblesi’nin dayanışma çağrısına ve destek mesajla- rına teş

ülkemizde gerçekleşen deprem felaketi sonrasında ulus- lararası üyeleri adına üzüntülerini paylaşan bir destek me- sajı yayınladı. Kurum Başkanımız Prof. Dr. Faruk BİLİR, Küresel Mahremi- yet Asamblesi’nin dayanışma çağrısına ve destek mesajla- rına teşekkür etti: “Türkiye’nin içinde bulunduğu durumda gösterdiğiniz dayanışma için hepinize teşekkür ede- rim. Küresel Mahremiyet Asamblesi’nin, Türkiye’nin yanında olduğunu bilmek bizim için de- ğerli. Hem kendi adıma hem de Kişisel Verileri Koruma Kurumu çalışanları adına saygılarımı sunarım.” 25 24 » KVKK Bülten Temmuz 2023

» BİZDEN HABERLER VEKÂLETEN YAPILACAK ŞİKÂYETLERİN ELEKTRONİK ORTAMDA KURUL’A İLETİLMESİ Vekâleten yapılacak şikâyetlerin elektronik ortamda Kurul’a iletilmesine dair ka- muoyu duyurusu yayımlandı. Duyuruda, vekâleten yapılacak şikâyetlerin Kişisel Verileri Koruma Kurumuna daha hızlı ve etkin bir şekilde iletilebilmesi ve takip edilebilmesi amacıyla Kurum internet sitesi www.kvkk.gov.tr’de yer alan “Şikâ- yet Modülü”nün güncellendiği belirtildi. 7 NİSAN KİŞİSEL VERİLERİ KORUMA GÜNÜ 7 Nisan Kişisel Verileri Koruma Günü etkinliği, KVKK Konferans Salonu’nda düzenlenen prog- ramla gerçekleştirildi. Lise öğrencileri ve öğretmenlerinin katılım sağladığı etkinliğin bu yılki teması “Dijital Çağda Çocukların Kişisel Verilerinin Korunması” olarak belirlendi. Program kapsamında “Çocukların Dijital Hakları”, “Çocukların Çevrimiçi Mahremiyeti”, “Siber Zorba- lık” ve “Çocukların Kişisel Verilerinin Korunması ve Farkındalık” konularında sunumlar ger- çekleştirildi. Etkinliğin açılış konuşmasını Kurum Başkanımız Prof. Dr. Faruk BİLİR yaptı. Konuşmasında teknoloji ve kişisel verilerin korunmasının birbirini tamamlayan kavramlar olduğunu belirten BİLİR, “kişisel verilerin korunması; teknolojiden uzak durmak değildir, teknolojik gelişmelere kendimizi kapatmak değildir” diyerek teknoloji ve kişisel verilerin korunmasının bir arada dü- şünülebileceğinin altını çizdi. Dijitalleşmenin getirdiği kolaylıklardan yararlanmak gerektiğini ifade eden BİLİR, bununla birlikte kişisel verilerin korunmasını ve bu çerçevede alınması gere- ken tedbirleri günlük hayatın bir parçası haline getirmenin önemli olduğunu vurguladı. 27 26 » KVKK Bülten Temmuz 2023 -- 14 of 31 -- » BİZDEN HABERLER

MAHREMİYET SEMPOZYUMU 17-21 Nisan 2023 tarihleri arasında İtalya’nın Venedik kentinde ikincisi düzen- lenen Mahremiyet Sempozyumu’na, Kurumumuz İkinci Başkanı Hasan AYDIN ile Kurumumuz Uzmanlarından Gökalp YAVUZ katılım sağladı. Veri koruma otoritelerinin yanı sıra uluslararası kuruluşlardan, üniversitelerden ve özel sektörden çok sayıda uzmanın konuşmacı ve dinleyici olarak katılım sağladığı sempozyumda; 108+ Sayılı Sözleşme, sınır ötesi veri aktarımı, yapay zekâ ve sertifikasyon gibi veri koruma hukukunun güncel konularında oturumlar gerçekleştirildi. KVKK AKADEMİ TIRI DEPREM BÖLGESİNDE “KVKK Akademi Tırı” 6 Şubat 2023 tarihin- de Kahramanmaraş merkezli depremlerden etkilenen çocuklar için yola çıktı. Mobil tır ile çocukların yaş gruplarına uygun şekilde kişisel verilerin korunması temalı video gösterimleri, soru-cevap etkinlikle- ri, bilgi yarışmaları, farkındalık çalışmala- rı, sanal gerçeklik deneyimi, açık hava çizgi film gösterimi, boyama etkinlikleri ve çeşitli oyun aktiviteleri gerçekleştirildi. KVKK Akademi Mobil Tır Projesi sayesinde çocukların moral ve motivasyonlarını ar- tırmayı hedeflediklerini ifade eden Kurum Başkanımız Prof. Dr. Faruk BİLİR, proje ile ilgili şu bilgileri aktardı: “Kurum olarak amacımız; depremin çocuk- lar üzerindeki olumsuz etkilerini hafifletmek, yüzlerinde tebessüm oluşturmak, onlara eğlenceli anlar yaşatabilmek, aynı zaman- da yaş aralıklarına uygun şekilde çocukları kişisel veri kavramıyla tanıştırarak bu ko- nuda farkındalık oluşturmak. Bu çerçevede çocuklarımıza interneti ve sosyal medyayı daha güvenli kullanmanın yollarını anlatı- yor, güçlü parola oluşturma tekniklerini öğ- retiyoruz. Diğer yandan ise sanal gerçeklik yolculuğuna çıkarıyor, oyunlar ve spor et- kinlikleriyle çocuklarımızın eğlenerek öğren- melerini sağlıyoruz.” Etkinlikler 26 Nisan-9 Mayıs tarihleri arasında Hatay, Gaziantep, Adıyaman, Kahramanma- raş ve Malatya illerinde

retiyoruz. Diğer yandan ise sanal gerçeklik yolculuğuna çıkarıyor, oyunlar ve spor et- kinlikleriyle çocuklarımızın eğlenerek öğren- melerini sağlıyoruz.” Etkinlikler 26 Nisan-9 Mayıs tarihleri arasında Hatay, Gaziantep, Adıyaman, Kahramanma- raş ve Malatya illerinde gerçekleştirildi. 29 28 » KVKK Bülten Temmuz 2023

-- 15 of 31 --

6. E-SAFE KİŞİSEL VERİLERİ KORUMA ZİRVESİ 6. E-Safe Kişisel Verileri Koruma Zir- vesi, 3 Mayıs Çarşamba günü KVKK Konferans Salonu’nda gerçekleşti- rildi. “Yapay Zekâ ve Kişisel Verilerin Korunması” temasıyla düzenlenen zirveyi, aralarında hukukçular ve bili- şim uzmanlarının da bulunduğu sek- tör temsilcileri takip etti. Zirvenin açılışında konuşan Kurum Başkanımız Prof. Dr. Faruk BİLİR, Kişi- sel Verilerin Korunması Kanunu’ndaki temel ilkeler ile genel hükümlerin, ya- pay zekâ ile kişisel veri işlenmesi du- rumunda uygulama alanı bulacağını ifade ederek şunları söyledi: “Yapay zekânın yapıcı etkilerinden yararlanırken, yıkıcı etkilerine karşı tedbirler almak gerekir. Kanun, ya- pay zekâ temelli kişisel veri işleme konusunda çeşitli güvenceler sağ- lamaktadır. Açık rıza, teknik ve idari tedbirler, amaçla sınırlılık ilkesi ve iti- raz hakkı gibi güvenceler, yapay zekâ kullanımı sırasında ortaya çıkabilecek risklerin azaltılmasını öngörmekte- dir. Bilhassa yapay zekâ teknolojisiyle ilgili otomatik karar verme süreçle- rinde, bireyin itiraz hakkı göz önünde bulundurulmalıdır.” Zirvenin diğer bölümlerinde; Kurumu- muz Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanı Ersin CAN, “Nesne- lerin İnternetinde (IoT) Veri Güven- liği: Yeni Teknolojik Uygulamalar ve Riskler”, Kurumumuz Uzmanlarından Nadire ÇORUHLU KAMALIOĞLU ve Mustafa Şeref İŞCAN “Kişisel Verilerin Korunması Hakkı ve Diğer Anayasal Haklar Kapsamında Denge Testi” ile “Elektronik Ticaret ve Mesafeli Sözleş- melerde Kişisel Verilerin Korunması”, Kurumumuz Uzman Yardımcıların- dan Beste EKİN ise “Kişisel Verilerin Korunmasında Yapay Zekânın Hukuki ve Cezai Sorumluluğu: Sorumluluk İl- keleri ve Uygulamalar” konularını an- lattılar. 31. AVRUPA VERİ KORUMA OTORİTELERİ KONFERANSI Avrupa çapındaki veri koruma otoritelerinin katılım sağladığı, kişisel verilerin korunmasına dair önemli

Korunmasında Yapay Zekânın Hukuki ve Cezai Sorumluluğu: Sorumluluk İl- keleri ve Uygulamalar” konularını an- lattılar. 31. AVRUPA VERİ KORUMA OTORİTELERİ KONFERANSI Avrupa çapındaki veri koruma otoritelerinin katılım sağladığı, kişisel verilerin korunmasına dair önemli gelişmelerin ele alındığı 31. Avrupa Veri Koruma Otoriteleri Konferansı 10-12 Mayıs 2023 tarihlerinde Macaristan’ın Budapeşte kentinde gerçekleştirildi. Konferansa Ku- rumumuzu temsilen Kurum Başkanımız Prof. Dr. Faruk BİLİR ve Kurumumuz Kişisel Verileri Koruma Uzmanlarından Ahmet Miraç SÖNMEZ katıldı. Konferans kapsamında yeni teknolojilerin farklı alanlardaki sosyal etkileri, veri koruma ve rekabet hukuku arasındaki ilişki üzerine paneller gerçekleştirildi. 1.DÖNEM KİŞİSEL VERİLERİ KORUMA UZMANLIĞINA ATAMA TÖRENİ “Kişisel Verileri Koruma Kurumu I. Dönem Kişisel Verileri Koruma Uzmanlığına Atama Töreni”, Kurum Başkanımız Prof. Dr. Faruk BİLİR ve Kurul Üyelerimizin katılımıyla 18 Mayıs 2023 tari- hinde gerçekleştirildi. Kurumumuz Konferans Salonu’nda gerçekleştirilen törende, 2019 yılında göreve başlayan uzman yardımcılarının uzmanlık belgeleri takdim edildi. Törende kısa bir konuşma yapan Ku- rum Başkanımız Prof. Dr. Faruk BİLİR, birlik ve beraberlik içinde çalışmanın öneminden bah- sederek Kişisel Verileri Koruma Uzmanlığına hak kazanan personeli tebrik etti. 31 30 » KVKK Bülten Temmuz 2023

» BİZDEN HABERLER

2018 yılından beri yüz yüze yapılan, pandemi döneminde ise çevrimiçi yöntemle gerçekleş- tirilen Çarşamba Seminerleri, Kurumumuz Konferans Salonu’nda devam ediyor. Kamuoyunu kişisel verilerin korunması mevzuatı hakkında bilgilendirmeye yönelik olarak akademisyen- lerin, Kurum personelinin veya diğer kurum ve kuruluşlarda görev yapan ve alanında uzman olan kişilerin katılımıyla düzenlenen “Çarşamba Seminerleri” kişisel verilerin korunması ko- nusuna ilgi duyan herkesin katılımına açık olarak gerçekleştiriliyor. Bu çerçevede 2023 yılı içerisinde şu ana dek; 2021 yılının Aralık ayında yayın hayatına başlayan Kurumumuz podcast kanalı “Bir Küçük Farkındalık Yeter” 2023 yılında da yayınlarına devam ediyor. ◊ ‘‘Kişisel Verilerin İşlenmesinde Amaç Odaklı Bakış: Ölçülülük İlkesi’’ ◊ ‘‘Veri Koruma Hukukunda Şeffaflık ve Hesap Verilebilirliğin Artan Önemi’’ ◊ ‘‘Bir Sorumluluk Şekli Olarak Ortak Veri Sorumluluğu’’ ◊ “Yurt Dışına Veri Aktarımı: Avrupa Birliği ve Temel Farklılıklar” ◊ “Kanundan İstisna Bir Hal Olarak Basın Özgürlüğü” ◊ “Kişisel Verileri Koruma Kurulunun Mev- zuat Taslakları Hakkında Görüş Verme Yetkisi” ◊ “Çerezler Aracılığıyla Kişisel Verilerin İşlenmesi” konuları, Kurumumuz Kişisel Verileri Koruma Uzmanları tarafından anlatıldı. Bu kapsamda Kurumumuzca daha önce ya- yımlanmış olan; ◊ “Kişisel Verilerin Korunması Alanında Uluslararası ve Ulusal Düzenlemeler” ◊ “6698 Sayılı Kişisel Verilerin Korunması Kanununun Amacı ve Kapsamı” ◊ “6698 Sayılı Kanun’da Yer Alan Terimler” ◊ “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi” ◊ “Purpose and Scope of the Personal Data Protection Law No: 6698” dokümanları yıl içerisinde seslendirildi. Ayrıca Kurumumuz Kişisel Verileri Koruma Uzman Yardımcılarından Büşra DURMUŞOĞLU GÜ- NEY ve Ezgi TURGUT BİLGİÇ tarafından 7 Nisan Kişisel Verileri Koruma Günü’

◊ “Purpose and Scope of the Personal Data Protection Law No: 6698” dokümanları yıl içerisinde seslendirildi. Ayrıca Kurumumuz Kişisel Verileri Koruma Uzman Yardımcılarından Büşra DURMUŞOĞLU GÜ- NEY ve Ezgi TURGUT BİLGİÇ tarafından 7 Nisan Kişisel Verileri Koruma Günü’ne özel podcast yayını gerçekleştirildi. 33 32 » KVKK Bülten Temmuz 2023

» BİZDEN HABERLER KVKK AKADEMİ DERLEME ÇALIŞMASI Kurumumuz tarafından kişisel verilerin korunması hukukunu çeşitli boyutlarıyla değerlendiren, alanlarında uzman akademisyenlerin eserlerinden oluşan “Kişi- sel Verilerin Korunmasına Akademik Bakış: KVKK Akademi Derleme Çalışması” isimli kitap yayımlandı. Kişisel verilerin korunması, mahremiyet, veri koruma hukuku ve kişisel verilerin güvenliği ile ilgili çalışmaların yer aldığı kitapta: ◊ Kişisel Verilerin Korunması Hakkı ◊ Kişisel Verilerin Korunması ve Etik ◊ Genel Kavramlar ◊ Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler ◊ Açık Rıza ◊ İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü ◊ Başvuru ve Şikâyet Usulleri ile Kurul Kararlarının Yerine Getirilmesi Yüküm- lülüğü ◊ Kişisel Verilere İlişkin Suçlar ◊ Güncel Teknoloji ve Kişisel Veri ◊ Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi ◊ Sürdürülebilir Kişisel Veri Güvenliği Yönetişimi ◊ Blokzinciri ve Kişisel Verilerin Korunması ◊ Yapay Zekâda Kişisel Verilerin Korunması Kanununun Uygulanmasındaki Sorunlara İlişkin Değerlendirmeler ◊ Medeni Hukuk İlişkilerinde Kişisel Verilerin Korunması ◊ Fikri Mülkiyet Alanında Kişisel Verilerin İşlenmesi ◊ Medenî Usul Hukuku Çerçevesinde Kişisel Verilerin Korunması ◊ İş Hukukunda Kişisel Verilerin İşlenmesi ◊ Sağlık Sektöründe Kişisel Verilerin İşlenmesi başlıklı eserler, kişisel verilerin korunması alanına katkı sağlamak üzere ilgilile- rin kullanımına sunuldu. KURUL KARAR ÖZETLERİ Kişisel verisi işlenen ilgili kişilere ve kişisel verileri işleyen veri sorumlularına yol gösterici ni- telikteki “Kurul Karar Özetleri” Kurumumuz internet sayfasında yayımlandı. 35 34 » KVKK Bülten Temmuz 2023 -- 18 of 31 -- » KARAR ÖZETLERİ VE KURUMSAL İSTATİSTİKLER

KURUMSAL İSTATİSTİKLER KARAR ÖZETLERİ Kişisel Verileri Koruma Kurulu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasları disiplin altına almak amacıyla 6698 sayılı Kanun ile kendisine verilen görevleri kapsamında Kurumumuza yapılan şikâyet/ihbarları, veri ihlal bildirimlerini ve taahhütname başvurularını incelemekte ve bunlara ilişkin idari işlem tesis etmektedir. Bu çerçevede, Kurula intikal eden şikâyet, ihbar ve resen incelemeler kapsamında Kurul tarafından alınan kararlara ilişkin kısa özete ve birtakım istatistiklere aşağıda yer verilecektir. Kurul tarafından 2023 yılının ilk 6 aylık döneminde 26 Kurul toplantısı yapılmış, 1118 adet Karar alınmıştır. Yayımlanan karar özetlerinin tamamına ve detaylarına ilişkin bilgiye Kurum internet sitesinden ulaşılması mümkündür. 1. “İlgili kişinin kişisel verilerinin yer aldığı ihtarna- menin, bordrolama hizmeti sunan veri sorum- lusu tarafından başka çalışanlara da gönde- rilmesi” hakkında alınan Kurulun 07/04/2022 tarih ve 2022/328 sayılı Kararında özetle; ilgili kişinin ücretsiz izne gönderildiğine dair ihtar- namenin veri sorumlusu tarafından kendisi ile birlikte yedi kişiye daha gönderilmek suretiyle ihtarnamede yer alan T.C. kimlik numarası ve adres şeklindeki kişisel verilerinin alenen ifşa edildiğine yönelik şikâyet hakkında yapılan in- celeme neticesinde; diğer yedi çalışanla birlik- te ilgili kişinin kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtar- name keşide edilirken de herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. işlemin yapılmaması nedeniyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı, bu çerçevede Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleşen kişisel veri işleme faaliyetinin hu- kuka aykırı olduğu gerekçesi ile idari para ceza- sı uygulanmasına ve konu hakkında Türkiye No- terler Birliğ

kişisel verilerinin diğer çalışanlarla paylaşıldığı, bu çerçevede Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleşen kişisel veri işleme faaliyetinin hu- kuka aykırı olduğu gerekçesi ile idari para ceza- sı uygulanmasına ve konu hakkında Türkiye No- terler Birliğine bilgi verilmesine karar verilmiştir. 2. “Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması” hakkında alınan Kurulun 21/04/2022 tarihli ve 2022/386 sayılı Kararında özetle; veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “... Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz...” içerikli bir paylaşım yapıldığına ilişkin şikâyetin incelenmesi neticesinde; ilgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın veri sorumlusuna ait sosyal medya hesabında paylaşılmak suretiyle işlendiği kanaatine varıldığından, şikâyete konu olayda ilgili kişi hakkındaki duyurunun veri sorumlusu tarafından Kanun’un 4’üncü maddesine aykırı olarak herkese açık bir şekilde yapıldığı, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmadığı, Kanun kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı hususları ile veri sorumlusunun ekonomik durumu dikkate alınarak idari para cezası uygulanmasına, söz konusu kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir. 3. “Veri sorumlusu bir giyim mağazası için kata- log modeli olarak çalışan ilgili kişinin fotoğraf- larının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusu- na ait internet sitesinde yayınlanmaya devam etmesi” hakkında alınan Kurulun 18/05/2022 tarihli ve 2022/491 sayılı Kararında özetle

log modeli olarak çalışan ilgili kişinin fotoğraf- larının, iş ilişkisinin sona ermesinden sonraki süreçte açık rızası olmaksızın veri sorumlusu- na ait internet sitesinde yayınlanmaya devam etmesi” hakkında alınan Kurulun 18/05/2022 tarihli ve 2022/491 sayılı Kararında özetle; veri sorumlusu bir giyim mağazası tarafından sa- tışa çıkarılan ürünlerin tanıtım ve görsellerinin veri sorumlusuna ait internet sayfasında pay- laşıldığı, ilgili kişinin bünyesinde katalog modeli olarak çalıştığı veri sorumlusu ile iş ilişkisinin sona ermesine rağmen fotoğraflarının açık rı- zası olmaksızın veri sorumlusuna ait internet adreslerinde yayınlanmaya devam edildiği, ilgili kişinin fotoğrafların kaldırılması talebiyle veri sorumlusuna başvuruda bulunmasına rağmen fotoğrafların yayınlanmasına devam edildiği hususundaki şikâyete yönelik yapılan inceleme neticesinde; ilgili kişinin fotoğraflarının ilgili kişi ile veri sorumlusu arasındaki sözleşmeye isti- naden Kanun’un 5’inci maddesinin (2) numa- ralı fıkrasının (c) bendi çerçevesinde internet sitesinde yayınlamak suretiyle işlendiği ve veri sorumlusunun kıyafetlerin stoklarının bitene kadar paylaşıldığı beyanı dikkate alındığında veri sorumlusu şirket hakkında Kanun kapsa- mında yapılacak bir işlem bulunmadığına karar verilmiştir. 37 36 » KVKK Bülten Temmuz 2023

» KARAR ÖZETLERİ VE KURUMSAL İSTATİSTİKLER

ğindeki bağımlılık yapıcı madde testi- nin sonuçlarının ilgili kişilerin açık rıza- sı alınmaksızın veri sorumlusu özel bir sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi” hak- kında alınan Kurulun 22/06/2022 tarih- li ve 2022/594 sayılı Kararında özetle; ilgili kişilerin, işveren bünyesinde tüm çalışanlar gibi hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testi- ne zorlandığı, evlerinden çağrılarak veri sorumlusu özel sağlık kuruluşunda test yaptırıldığı, test sonuçlarının hukuka aykırı olarak ilgili kişilerin işyerindeki bir personele ait e-posta adresine gönde- rildiği, dolayısıyla kişisel sağlık verileri- nin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıl- dığı şikâyetine ilişkin olarak yapılan in- celeme neticesinde; ilgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme fa- aliyetine ilişkin olarak her ne kadar veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanının bulunduğu ifade edilse de söz konusu açık rızayı kanıtlayıcı ma- hiyette herhangi bir bilgi ya da belgenin Kuruma iletilmediği bu anlamda veri so- rumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı dikkate alınarak veri sorumlu- su hakkında idari para cezası uygulan- masına karar verilmiştir. 5. “İlgili kişinin ameliyat sırasında çekilen fotoğraflarının veri sorumlusu hasta- nede çalışan bir doktorun sosyal med- ya hesabında paylaşılması” hakkında alınan Kurulun 29/06/2022 tarihli ve 2022/630 sayılı Kararında özetle; özel bir hastanede gerçekleştirilen burun ameliyatı esnasında baygın olduğu sı- rada açık rızası

fotoğraflarının veri sorumlusu hasta- nede çalışan bir doktorun sosyal med- ya hesabında paylaşılması” hakkında alınan Kurulun 29/06/2022 tarihli ve 2022/630 sayılı Kararında özetle; özel bir hastanede gerçekleştirilen burun ameliyatı esnasında baygın olduğu sı- rada açık rızası alınmaksızın çekilen ki- şisel verisi niteliğindeki fotoğraflarının veri sorumlusu hastanede çalışan ve ameliyatı gerçekleştiren doktorun sos- yal medya hesabında reklam amaçlı ola- rak paylaşıldığı ve söz konusu fotoğraf- ların yaklaşık iki yıl boyunca bu hesapta tutulduğu, doktor ile veri sorumlusu hastanenin gerçekleştirilen ameliyatları sosyal medya hesaplarında paylaşarak yeni müşteriler kazanmayı hedefledik- lerinin belirtildiği şikâyete ilişkin yapılan inceleme neticesinde, ilgili kişinin açık rıza gösterdiği tarafın veri sorumlusu hastane olduğu, baygın olduğu esnada çekilen görsellerinin bahsi geçen doktor tarafından paylaşılması konusunda açık rıza beyanının bulunmadığı, veri so- rumlusu hastanenin ise söz konusu fo- toğrafların adı geçen doktor tarafından sosyal medya hesabında paylaşıldığı hususunda bilgisinin bulunduğu, bu iti- barla veri sorumlusunun ilgili kişinin ki- şisel verisi olan görselin adı geçen dok- tor tarafından sosyal medya hesabında paylaşılmasını önleyici gerekli idari ve teknik tedbirleri almadığı hususları bir- likte dikkate alındığında; hastane hak- kında idari para cezası uygulanmasına, doktor hakkında ise Türk Ceza Kanunun hükümleri uyarınca yargı yoluna başvu- rulabileceği hususunda ilgili kişinin bil- gilendirilmesine karar verilmiştir. 6. “Ev eşyası satan veri sorumlusu tarafından ilgili kişinin telefon numarasının üçüncü bir kişinin borcu için iletişim kurulmak suretiyle işlenme- si” hakkında alınan Kurulun 04/08/2022 tarihli ve 2022/787 sayılı Kararında özetle; ilgili kişinin ev eşyası satan bir veri sorumlusu tarafından arandığı, ertesi gün de cep telefonuna mesaj gönderildiği, mesajda şirket ile arasındaki söz- leşmeden kaynaklanan borcun tahsili amacıyla hakkında icra takibine başlandığı, takip kapsa- mında öd

ve 2022/787 sayılı Kararında özetle; ilgili kişinin ev eşyası satan bir veri sorumlusu tarafından arandığı, ertesi gün de cep telefonuna mesaj gönderildiği, mesajda şirket ile arasındaki söz- leşmeden kaynaklanan borcun tahsili amacıyla hakkında icra takibine başlandığı, takip kapsa- mında ödeme emri gönderildiği halde bugüne kadar borcun ödenmediğinin tespit edildiği ve yasal takibin durması için hemen ödeme yapıl- ması gerektiği ifade edilerek ödeme ve iletişim için “…. Şirketi Hukuk Departmanını arayın” ifa- desine yer verildiğine ilişkin şikâyeti hakkında yapılan inceleme neticesinde; Veri sorumlusu- nun Kuruma ilettiği savunmasında, üçüncü bir kişi ile aralarında bir sözleşmenin imzalandığını ve üçüncü kişi konumundaki müşterinin irtibat numarası olarak ilgili kişinin telefon numarasını kendilerine bildirdiğini beyan ettiği, ancak veri sorumlusunun üçüncü kişi müşteri ile araların- da yapılmış olan sözleşmenin incelenmesinden, irtibat numarası olarak ilgili kişinin numarasın- dan farklı bir telefon numarasının bildirildiğinin görüldüğü, anılan sözleşme dışında, üçüncü kişi müşterinin irtibat numarası olarak ilgili ki- şinin numarasını bildirdiğine ilişkin herhangi bir kanıtın Kuruma sunulamadığı, bahse konu numaranın asıl borçlu olan üçüncü kişiye ait ol- mayıp ilgili kişiye ait olduğunun öğrenilmesine rağmen ilgili kişinin silme talebinin reddedil- mesi suretiyle ilgili kişinin aranmasına devam edildiği göz önüne alındığında, ilgili kişinin kişi- sel verisi niteliğindeki telefon numarasının Ka- nun’un 4’üncü maddesinde yer alan kişisel ve- rilerin “doğru ve gerektiğinde güncel olma” ile “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine ve Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenme şartlarına ay- kırı olarak işlendiği kanaatine varıldığından veri sorumlusu hakkında idari para cezası uygulan- masına karar verilmiştir. 7. “Bir üniversite hastanesi tarafından ilgili kişinin sağlık verilerinin idari bir davaya esas teşkil etmek üzere talebine

yer alan kişisel verilerin işlenme şartlarına ay- kırı olarak işlendiği kanaatine varıldığından veri sorumlusu hakkında idari para cezası uygulan- masına karar verilmiştir. 7. “Bir üniversite hastanesi tarafından ilgili kişinin sağlık verilerinin idari bir davaya esas teşkil etmek üzere talebine binaen davalı kamu ku- rumuna aktarılması” hakkında alınan Kurulun 04/08/2022 tarihli ve 2022/790 sayılı Kararın- da özetle; bir kamu kurumu ile ilgili kişi arasın- da idare mahkemesi nezdinde yürütülen dava dosyası ile ilgili olarak davalı kamu kurumu tarafından üniversite hastanesinden birtakım bilgilerin talep edildiği, söz konusu talep üze- rine üniversite hastanesi tarafından ilgili kişi- ye ait sağlık verilerinin kamu kurumuna teslim edildiği, üniversitenin yapmış olduğu ihlal ne- deni ile ilgili kişinin manevi zarara uğradığı ve bu kapsamda manevi tazminat talebinde bulu- nulduğu, üniversite tarafından yapılan hukuka aykırı eylem nedeni ile hastanede gerçekleşen muayenesi sonucunda ilgili kişi için düzenle- nen hasta anamnez formunda belirtilen “… ara sıra tek tük esrar kullanmak zorunda kaldığını söylüyor” içerikli beyan üzerine hakkında Cum- huriyet Başsavcılığına suç duyurusunda bulu- nulduğu, ilgili kişinin gözaltında kaldığı, konutu ve arabasının arandığı, ilgili kişinin üniversite hastanesinde çalışmakta olan doktora böyle bir beyanda bulunmadığı, üniversite hastanesinde çalışmakta olan doktorun sorusuna verdiği ce- vabın doktor tarafından yanlış anlaşılarak has- ta muayene bilgilerinin hikaye bölümüne yanlış şekilde yazıldığı, yapılan soruşturma neticesin- de ilgili kişi hakkında kovuşturmaya yer olmadı- ğına dair karar verildiği, uyuşturucu madde kul- lanmadığının Cumhuriyet Başsavcılığının Kararı ile sabit olduğu, bu nedenle ilgili kişiye ait sağ- lık dosyasında “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi”nin talep edildiğine ilişkin şikâyete ilişkin olarak yapılan inceleme neticesinde; ◊ Kanun’un 8’inci maddesinin (2) numaralı fıkra- sının (b) bendinde belirtilen özel nitelikli kişisel

lık dosyasında “esrar maddesi kullanıldığına ilişkin verilerin ve bilgilerin silinmesi”nin talep edildiğine ilişkin şikâyete ilişkin olarak yapılan inceleme neticesinde; ◊ Kanun’un 8’inci maddesinin (2) numaralı fıkra- sının (b) bendinde belirtilen özel nitelikli kişisel verilerin aktarılmasına ilişkin Kanun’un 6’ncı maddesinde yer alan şartlar ya da Kanun’un 8’inci maddesinin (1) numaralı fıkrasında be- lirtildiği üzere ilgili kişinin açık rızası mevcut 39 38 » KVKK Bülten Temmuz 2023

» KARAR ÖZETLERİ VE KURUMSAL İSTATİSTİKLER

nitelikli kişisel veri olan sağlık verile- rinin Kanun’a aykırı olarak kamu ku- rumuna aktarıldığı, öte yandan talep edilen bilgiden daha geniş kapsamda bilgi paylaşıldığı dikkate alındığında veri sorumlusu üniversite hastanesinin Ka- nun’un 12’nci maddesinin (1) numaralı fıkrasına göre kişisel verilerin güven- liğine ilişkin gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü ye- rine getirmediği değerlendirildiğinden sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçe- vesinde disiplin hükümlerine göre işlem yapılmasına ve yapılan işlem hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, ◊ İlgili kişinin Kanun’un 11’inci madde- sinin (1) numaralı fıkrasının (d) bendi kapsamında “Anamnez Formu”nda ge- çen “esrar maddesi kullanıldığına iliş- kin verilerin” düzeltilmesini talep etme hakkı kapsamında,; Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer aldığı üzere “doğru ve ge- rektiğinde güncel olma” ilkesine uygun olarak Kişisel Sağlık Verileri Hakkında Yönetmelik’in 13’üncü maddesi kapsa- mında, veri sorumlusu tarafından gerek kendi bünyesinde ve gerektiği takdirde ilgili kişiyi de yönlendirmek suretiyle İl Sağlık Müdürlüğü nezdinde gerekli iş- lemlerin yapılması ve sonucundan Ku- rula bilgi verilmesi hususunda veri so- rumlusunun talimatlandırılmasına, ◊ Şikâyete konu edilen verilerin aktarıldığı kamu kurumu nezdinde de bu verilerin imha edilmesinin sağlanması hususun- da gerekli işlemlerin tesis edilmesine ve yapılan işlemin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusu- nun talimatlandırılmasına karar verilmiştir. 8. “İlgili kişinin internet arama motorla- rında yapılan aramalardan elde edilen iş yeri e-postasının açık rızası alın- maksızın veri sorumlusu bir pazarlama şirketi tarafından ticarî elektronik ileti gönderilmesi suretiyle işlenmesi” hak- kında alınan Kurulun 01/09/2022 tarihli ve 2022/861 sayılı Kararında özet

rında yapılan aramalardan elde edilen iş yeri e-postasının açık rızası alın- maksızın veri sorumlusu bir pazarlama şirketi tarafından ticarî elektronik ileti gönderilmesi suretiyle işlenmesi” hak- kında alınan Kurulun 01/09/2022 tarihli ve 2022/861 sayılı Kararında özetle; herhangi bir bağlantısı olmadığı halde veri sorumlusu şirket tarafından ilgili kişinin iş e-posta adresine kampanya, reklam vb. içerikli e-posta gönderildi- ğine ilişkin şikâyeti hakkında yapılan in- celeme neticesinde; ilgili kişinin e-pos- ta adres bilgisinin reklam ve pazarlama amacıyla işlenmesine yönelik herhangi bir platformda alenileştirme iradesinin bulunduğuna dair veri sorumlusu ta- rafından kanıtlayıcı nitelikte bir belge- nin Kuruma sunulmadığı, veri sorum- lusunun ilgili kişinin kişisel verilerinin Kanunda yer alan işleme şartları kap- samında işlendiğine ilişkin açıklamala- rının hukuki dayanaktan yoksun olduğu dikkate alındığında veri sorumlusunun Kanun’un 5’inci maddesi çerçevesin- de herhangi bir kişisel veri işleme şartı bulunmaksızın veri işleme faaliyetinde bulunduğu kanaatine varıldığından veri sorumlusu hakkında idari para cezası uygulanmasına ve veri sorumlusunun şikâyete konu kişisel veriyi imha ederek Kurula bilgi vermesi yönünde talimat- landırılmasına karar verilmiştir. 9. “İlgili kişinin telefon numarasının hastaneden ayrılan doktor tarafından SMS gönderilmesi suretiyle işlenmesi” hakkında alınan Kurulun 08/09/2022 tarihli ve 2022/923 sayılı Kara- rında özetle; ilgili kişinin hastanede bir doktor tarafından muayene edildiği, ilgili doktorun hastaneden ayrılarak özel muayenehane açtığı ve akabinde ilgili kişinin cep telefonu numara- sına reklam amaçlı SMS gönderdiği, bu sebeple doktor tarafından hastaneden ayrılırken kişisel verilerinin hukuka aykırı olarak temin edildiğini düşündüğünü içerir şikâyeti hakkında yapılan inceleme neticesinde; söz konusu kişisel ve- rilerin hastanenin veri tabanından alındığının tevsik edilememesi sebebiyle hastane hakkın- da Kanun kapsamında yapılacak bir işlem bu- lunmadığına; söz kon

verilerinin hukuka aykırı olarak temin edildiğini düşündüğünü içerir şikâyeti hakkında yapılan inceleme neticesinde; söz konusu kişisel ve- rilerin hastanenin veri tabanından alındığının tevsik edilememesi sebebiyle hastane hakkın- da Kanun kapsamında yapılacak bir işlem bu- lunmadığına; söz konusu iletişim verisinin ilk olarak hasta doktor ilişkisi çerçevesinde mu- ayene/tedavi süreçlerine ilişkin bilgilendirme amacıyla temin edildiğinin anlaşıldığı ancak daha sonra doktor tarafından reklam içerikli SMS göndermek amacıyla ilgili kişinin telefon numarasının işlendiği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı kanaatine varıldığından, veri sorumlusu doktor hakkında idari para ce- zası uygulanmasına karar verilmiştir. 10.“İlgili kişinin Resmî Gazete’nin internet say- fasından erişilebilen bir ilana ilişkin olarak arama motorunda adı ve soy adı ile yapılan aramada ulaşılan sonuçların indeksten çı- karılması talebi” hakkında alınan Kurulun 10/11/2022 tarihli ve 2022/1201 sayılı Kara- rında özetle; ilgili kişinin ismi ile veri sorumlusu arama motoru üzerinden arama yapıldığında https://www.resmigazete.gov.tr/arsiv/*****. pdf sayfasına ulaşıldığı, ilgili kişinin ismiyle ya- pılan arama sonucunda çıkan sayfanın “unu- tulma hakkı” kapsamında kaldırılmasının veri sorumlusundan talep edildiği, ancak tarafları- na verilen yanıtta “içeriğin engellenmemesine” karar verildiğinin bildirildiği hususlarını içerir şikâyet hakkında yapılan inceleme neticesin- de; şikâyete konu Resmî Gazete sayfasının veri sorumlusu arama motoru üzerinden ilgili kişi- nin ismi ile ilişkilendirilerek indekslenmesindeki veri işleme faaliyetinin amacının ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye teb- liğin yapılmasının sağlanması olduğu, Tebligat Kanunu kapsamında ve Resmî Gazete’de belir- tildiği üzere söz konusu içeriğin ilan tarihinden itibaren 15 gün sonra tebliğ edilmiş sayılacağı, bu anlamda ilgili kişiye tebliğ amacının gerçek- leştiği, bununla birlikte ilgili kiş

liğin yapılmasının sağlanması olduğu, Tebligat Kanunu kapsamında ve Resmî Gazete’de belir- tildiği üzere söz konusu içeriğin ilan tarihinden itibaren 15 gün sonra tebliğ edilmiş sayılacağı, bu anlamda ilgili kişiye tebliğ amacının gerçek- leştiği, bununla birlikte ilgili kişinin bir şirketin yönetim kurulu üyesi ve başkanı olduğu ancak söz konusu içeriğin ilgili kişinin iş yaşamına ilişkin olmadığı, ayrıca içerikte yer alan verile- rin işlenmesindeki amacın ilgili içeriğin kamu bilgisine sunulması değil ilgili kişiye tebliğinin sağlanması olduğu dikkate alındığında yayın- lanmasında kamu yararı bulunmadığı, arama sonuçlarının öznesinin çocuk olmadığının açık olduğu, şikâyete konu URL adresinde yer alan Resmî Gazetenin **/**/2000 ve mahkeme ka- rarının da 1999 tarihli olduğu göz önüne alın- dığında 20 yıldan fazla süre geçmiş olduğu ve bu anlamda içeriğin güncelliğini yitirdiği, her ne kadar içerikte yer alan bilgi ilgili kişinin üzerine atılı suçtan mahkeme kararıyla beraat ettiği- nin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabileceği, içeriğin ilgili kişinin kendisi tarafından yayınlanmadığı, içeriğin gazetecilik faaliyeti kapsamında işlenen verileri içermediği değerlendirildiğinden, ilgili kişinin ad ve soya- dıyla yapılan arama sonucunda çıkan https:// www.resmigazete.gov.tr/arsiv/*****.pdf URL adresinin ilgili kişinin ad ve soy adıyla ilişkilen- dirilemeyecek şekilde indeksten çıkarılması hu- susunda veri sorumlusunun talimatlandırılma- sına karar verilmiştir. 41 40 » KVKK Bülten Temmuz 2023

» KARAR ÖZETLERİ VE KURUMSAL İSTATİSTİKLER

rumlusunun, özel nitelikli kişisel veri niteliğini haiz kan grubu verisini ilgili ki- şinin açık rızasını almaksızın işlemesi” hakkında alınan Kurulun 23/12/2022 tarih ve 2022/1357 sayılı Kararında özetle; bir spor salonunun işletmecisi olan veri sorumlusunun spor salonun- dan hizmet alan kişilerin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayı- sı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği an- cak bu verilerle ilgili olarak 6698 Kanun kapsamında aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, sağ- lık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz ol- duğu, spor salonu görevlilerinin kamera kayıtlarını izlediği ve ilgili kişilerin sa- lon içerisindeki davranışlarıyla bu ka- yıtların eşleştirilmesi suretiyle yorum yapılabildiği hususlarını içerir şikâyete ilişkin yapılan inceleme neticesinde; spor salonu üyeliği için özel nitelikli ki- şisel veri niteliğindeki kan grubu verisi- nin işlendiği ve bu işleme için açık rıza alınmaması sebebiyle veri sorumlusu hakkında idari para cezası uygulan- masına, diğer taraftan aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişile- re her bir faaliyet açısından onay ver- me ve vermeme seçeneklerini içerecek şekilde sunulması, aydınlatma metni- nin Kanun’un 10’uncu maddesinin yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esas- lar Hakkında Tebliğ’in ilgili hükümlerine uygun şekilde düzenlenmesi ve yapılan işlemlerin sonucundan Kurulu bilgilen- dirmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir. 12.“İlgili kişinin borç bilgisinin ortağı ol- duğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi” hak- kında alınan Kurulun 19/01/2023 ta- rihli ve 2023/78 say

işlemlerin sonucundan Kurulu bilgilen- dirmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir. 12.“İlgili kişinin borç bilgisinin ortağı ol- duğu şirketin kurumsal numaralarına kısa mesaj olarak gönderilmesi” hak- kında alınan Kurulun 19/01/2023 ta- rihli ve 2023/78 sayılı Kararında özet- le; ilgili kişinin ortağı olduğu Şirkete ait kurumsal iletişim numaralarının, veri sorumlusu ile arasındaki bireysel söz- leşmelerde de iletişim numarası olarak kullanılması neticesinde avukatlık or- taklığı tarafından ilgili kişiye ilişkin kişi- sel verileri içeren kısa mesajların şirkete ait iletişim numaralarına gönderilme- si suretiyle gerçekleştirilen kişisel veri işleme faaliyeti “doğru ve gerektiğinde güncel” olma ilkesine aykırı bulunmuş, ilgili kişinin borcuna konu işlemle ilgisi olmayan üçüncü kişi şirket çalışanları ile ilgili kişiye ait borç bilgisi şeklindeki kişisel verinin Kanun’un 5’inci madde- sinde yer alan herhangi bir işleme şartı bulunmaksızın paylaşıldığı kanaatine varıldığından veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir. 13.“Veri sorumlusunun çalışanlarına tah- sis ettiği kurumsal e-posta adresin- deki içerikleri izleme, erişme ve depo- lama suretiyle kişisel verileri işlemesi” hakkında alınan Kurulun 19/01/2023 tarihli ve 2023/86 sayılı Kararında özet- le; İlgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişi- sel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile gerçek- leştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-pos- ta adresi ile avukatının e-posta adre- sine gönderilmesi olduğu, aydınlatma ve açık rızanın usulüne uygun olmadığı iddiaları ile gereğinin yapılmasının talep edildiği şikâyete ilişkin yapılan inceleme neticesinde; ◊ Veri sorumlusunun giyim sektöründe ticari fa- aliyette bulunan bir şirket olduğu, iş ile ilgili ticari sır veya herhangi bir bilginin üçüncü ta- ra

ve açık rızanın usulüne uygun olmadığı iddiaları ile gereğinin yapılmasının talep edildiği şikâyete ilişkin yapılan inceleme neticesinde; ◊ Veri sorumlusunun giyim sektöründe ticari fa- aliyette bulunan bir şirket olduğu, iş ile ilgili ticari sır veya herhangi bir bilginin üçüncü ta- raflarla paylaşılmamasını isteme noktasında ve kurumsal iletişim araçlarının kişisel amaçlarla kullanılmamasının sağlanması hususunda haklı menfaati bulunduğu, ayrıca ilgili kişinin yöneti- ci pozisyonunda görev yaptığı ve bu anlamda şirketin gizli kalmasında menfaati bulunan bil- gileri haiz olabileceği dikkate alındığında, İş Ka- nunu’nun 25’inci maddesinde yer alan “işvere- nin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlar”ın tespiti ve Türk Borçlar Kanunu’nun 396’ncı maddesinde yer alan “işverene ait teknik sistemlerin usulü- ne uygun kullanılması ve iş sırları gibi bilgileri hizmet ilişkisinin devamı süresince kendi ya- rarına kullanamayacağı ve başkalarına açıkla- yamayacağı” hususlarının tespiti amacıyla veri sorumlusunun e-posta denetimi suretiyle kişi- sel verileri işlemesinde haklı menfaati bulundu- ğu, ◊ Veri sorumlusu tarafından Kuruma intikal et- tirilen Bilgi Güvenliği Yönetim Sistemi Kurum- sal Mail Aktivite Denetim Raporu ve elde edilen bulgulara ilişkin ekran görüntüsü incelendiğin- de veri sorumlusunun şüpheli konuya sahip ve kurumsal e-posta adresinden üçüncü şahıs- lar ve çalışanın şahsi e-posta adresine iletilen e-postaların tespit edildiği ve sonrasında ile- tişimin içeriğine ilişkin bir denetim gerçekleş- tirildiğinin anlaşıldığı, iletişimin denetlenmesi hususunda iletişim akışı ve iletişim içeriklerinin denetlenmesi arasında bir ayrım yapılmasının önem arz ettiği, iletişim içeriklerinin denet- lenmesinin daha katı gerekçelere bağlı olduğu, e-posta kullanımının denetlenmesinde işvere- nin amacı elverdiği kadarıyla iletişimin içeriğin- den ziyade öncelikli olarak işverenin menfaa- tine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali olabilecek durumların tespiti sonrasında ileti

lenmesinin daha katı gerekçelere bağlı olduğu, e-posta kullanımının denetlenmesinde işvere- nin amacı elverdiği kadarıyla iletişimin içeriğin- den ziyade öncelikli olarak işverenin menfaa- tine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali olabilecek durumların tespiti sonrasında iletişimin içeriğine ilişkin bir de- netim yapılması gerektiği, veri sorumlusunun herhangi bir ihlalin gerçekleşip gerçekleşme- diğini ancak içerik denetimi ile ortaya koyabile- ceği dikkate alındığında veri sorumlusu tarafın- dan yalnızca ilgili personelle ve amaca yönelik kişisel veri ile sınırlı tutularak ve yine yalnızca amaçlanan çerçevede bir kişisel veri işleme faaliyeti gerçekleştirildiği, dolayısıyla söz ko- nusu işlemenin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “işlendikleri, amaçla bağ- lantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği, bu kapsamda Şirket tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendin- de yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü ile (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatle- ri için veri işlenmesinin zorunlu olması.” işleme şartları kapsamında gerçekleştirildiği, ◊ E-posta denetimi aracılığıyla elde edilen kişi- sel verilerin yukarıda yapılan değerlendirmeler çerçevesinde fesih konusu olayla birebir ilişkili olduğu, veri sorumlusunun işveren sıfatı ile iş sözleşmesinin feshi ile ilgili olarak açıklama ve ispat hakkını kullandığı, bu itibarla kişisel veri niteliğindeki e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” h

niteliğindeki e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kap- samında gerçekleştirildiği ve Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numara- lı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği hususları dikkate alındığında veri sorumlusu hak- kında Kanun kapsamında yapılacak bir işlem bu- lunmadığına karar verilmiştir. 43 42 » KVKK Bülten Temmuz 2023

» KARAR ÖZETLERİ VE KURUMSAL İSTATİSTİKLER

deosunun sosyal medya hesabından paylaşılması suretiyle ilgili kişinin ki- şisel verilerinin hukuka aykırı olarak işlenmesi” hakkında alınan Kurulun 16/02/2023 tarih ve 2023/224 sayılı Kararında özetle; bir ilçe belediyesinin sosyal medya hesabından paylaşılan olağan meclis toplantısı videosunda, kişisel verilerinin hukuka aykırı olarak işlendiği, bahse konu toplantıda bele- diye başkanı tarafından ilgili kişinin özel hayatına, kişisel verilerine ve bazı dava dosyaları ile ilgili adli işlemlere ilişkin bilgileri içeren bir konuşma gerçekleş- tirildiği ve bu konuşmanın belediyenin sosyal medya hesabından kamuoyu ile paylaşıldığı iddialarına yönelik yapılan inceleme neticesinde; ilgili kişinin eski meclis üyesi olduğu ve konuya ilişkin olarak kamuoyunun bilgilendirilme- sinde kamu ilgi ve yararının mevcut olduğu, öte yandan 5393 sayılı Beledi- ye Kanunu’nun 20’nci maddesinin al- tıncı fıkrasında “Toplantılar, meclisin kararıyla sesli ve görüntülü cihazlarla da kaydedilebilir.” hükmüne, Belediye Meclisi Çalışma Yönetmeliği’nin 11’inci maddesinin dokuzuncu fıkrasında ise “Meclis toplantıları halka açıktır. Meclis başkanı veya üyelerden herhangi birinin gerekçeli teklifi üzerine kapalı oturum yapılmasına karar verilebilir. (...)” hük- müne yer verildiği dikkate alındığında söz konusu veri işleme faaliyetinin Ka- nun’un 5’inci maddesinin (2) numara- lı fıkrasının (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” hükmü kapsamında olduğu değerlendirildiğinden Belediye Başkanlığı hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir. 15.“Tüketici Finansman Kredisiyle Alışve- riş İmkânı Sunan Şirket Tarafından İl- gili Kişilerden e-Devlet Şifrelerinin Ta- lep Edilmesi” hakkında alınan Kurulun 22/03/2023 tarihli ve 2023/426 sayılı Kararında özetle; tüketici finansman kredisiyle alışveriş imkân

verilmiştir. 15.“Tüketici Finansman Kredisiyle Alışve- riş İmkânı Sunan Şirket Tarafından İl- gili Kişilerden e-Devlet Şifrelerinin Ta- lep Edilmesi” hakkında alınan Kurulun 22/03/2023 tarihli ve 2023/426 sayılı Kararında özetle; tüketici finansman kredisiyle alışveriş imkânı sunan Şir- ketten senetle alışveriş yapıldığı sırada tüketicilerden e-Devlet şifresinin talep edildiği ihbarı hakkında yürütülen incel- me neticesinde, ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye eri- şim sağlanabileceği ve söz konusu tale- bin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayan- madığı kanaati oluştuğundan veri so- rumlusu hakkında idari para cezası uy- gulanmasına karar verilmiş olup ayrıca veri sorumlusuna hukuka aykırı işlenen kişisel verilerin imha edilmesi talimatı da verilmiştir. KURUMSAL İSTATİSTİKLER Hukuki Görüşler 2023 yılının ilk 6 aylık döneminde Kanun’un 25’inci maddesinin dördüncü fıkrasının (c) bendi kapsa- mında, Kurulun görev ve yetki alanına giren çeşitli konularda Kurum içi ve Kurum dışından gelen top- lam 50 hukuki görüş talebine cevap verilmiştir. Şikâyet ve İhbarlar 2023 yılının ilk 6 aylık döneminde toplam 4801 şikâyet ve ihbar (CİMER dahil) Kurumumuza intikal etmiştir. Bu şikâyet ve ihbarlardan 3936 tanesinin değerlendirme ve incelemesi tamamlanmış olup 865 tanesinin değerlendirme ve inceleme süreçleri devam etmektedir. İlgili kişiler, Kanun’un uygulanması- na ilişkin taleplerini şikayet ve ihbar yolu ile Kurula iletebilmektedir. İdari Para Cezaları Kişisel Verileri Koruma Kurulu tarafından bugüne kadar toplam 254.806.828 TL idari para cezası uy- gulanmış olup, bu cezaların 102.087.000 TL’si 2023 yılının ilk 6 aylık dönemine aittir. Kurul, ayrıca bu dönemde, 31 adet kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları hakkında Kanunun 18’inci maddesinin üçüncü fıkrası uyarın

gulanmış olup, bu cezaların 102.087.000 TL’si 2023 yılının ilk 6 aylık dönemine aittir. Kurul, ayrıca bu dönemde, 31 adet kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları hakkında Kanunun 18’inci maddesinin üçüncü fıkrası uyarınca disiplin hükümlerine göre işlem yapılması kararı almıştır. Kanun’un 18’inci maddesinde aydınlat- ma yükümlülüğünün yerine getirilmeme- si, veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi, Kurul tarafından verilen kararların yerine getirilmemesi, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi kabahat olarak düzenlenmiş olup bu ka- bahatler karşılığında idari yaptırım öngö- rülmüştür. Onaylanan Yurt Dışına Kişisel Veri Aktarımı Taahhütnameleri Veri sorumlularının, açık rıza dışındaki işleme şart- ları kapsamında yurt dışına kişisel veri aktarım du- rumları söz konusu ise, 6698 sayılı Kanunun 9’uncu maddesinin ikinci fıkrası uyarınca Kurula yurt dı- şına veri aktarımı izin başvurusunda bulunmala- rı gerekmektedir. Bu kapsamda, Kurul tarafından bugüne kadar 6 veri sorumlusunun taahhütname başvurusu onaylanmıştır. Ayrıca, Kurum internet sitemizde Yurtdışı- na Veri Aktarımında Veri Sorumlularınca Hazırlanacak Taahhütnamede Yer Alacak Asgari Unsurlar ve Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütname- lerde Dikkat Edilmesi Gereken Hususlara ilişkin olarak da veri sorumlularını bilgi- lendirici ve yönlendirici nitelikte duyurular bulunmaktadır. Veri İhlal Bildirimleri 2023 yılının ilk 6 aylık döneminde 120 veri ihlal bil- dirimi Kurula intikal ettirilmiş olup bunlardan 17’si internet sitesinde yayımlanmıştır. Veri sorumluları, Kanun’un 12’nci madde- sinin 5’inci fıkrası uyarınca işlenen kişisel verilerin kanuni olmayan yollarla başka- ları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgisine ve Kurul’a bildirmekle yükümlüdür. 45 » KVKK Bülten Temmuz 2023 44

» KARAR ÖZETLERİ VE KURUMSAL İSTATİSTİKLER Veri Sorumlusu Kurul Tarafından İzin Verilme Tarihi TEB Arval Araç Filo Kiralama Anonim Şirketi 09.02.2021 Amazon Turkey Perakende Hizmetleri Ltd. Şti. ve Amazon Turkey Yönetim Destek Hizmetleri Ltd. Şti. 04.03.2021 Turksport Spor Ürünleri San. Tic. Ltd. Şti. (Decathlon Türkiye) 22.06.2021 Türkiye Futbol Federasyonu 18.01.2022 Otokoç Otomotiv Ticaret ve Sanayi Anonim Şirketi 30.03.2023 Onaylanan Yurt Dışına Kişisel Veri Aktarımı Taahhütnameleri YAPAY ZEKÂ SİSTEMLERİNDE VERİ KORUMA YAKLAŞIMLARI DATA PROTECTION APPROACHES ON ARTIFICIAL INTELLIGENCE SYSTEMS 47 46 » KVKK Bülten Temmuz 2023 -- 24 of 31 --

Yapay Zekâ Sistemlerinde Veri Koruma Yaklaşımları1 Data Protection Approaches on Artificial Intelligence Systems 1 Bu çalışma, 14.02.2023 tarihinde kabul edilen “ Yapay Zekâ Sistemlerinde Veri Koruma Yaklaşımları “ başlıklı uzmanlık tezinden alınmıştır. ÖZ Günümüz bilgi çağında teknolojinin gelişimi ve dijital rekabet ortamı; iş alımlarından hu- kuka, tıptan bilime, konaklamadan alışverişe kadar uzanan alanlarda yapay zekânın geniş kapsamlı kullanımı dinamik dijital dönüşüm- lere ihtiyaç doğurmaktadır. Bu çerçevede veri odaklı teknolojilerin kullanımı ile genellikle insanlar tarafından gerçekleştirilen görevle- rin otomasyonu da dahil olmak üzere Yapay Zekânın gelişimi teşvik edilmektedir. Yapay Zekâ uygulamalarının doğru çıktılar üretmesi için algoritmaların büyük veri kümeleri içer- mesi gerekir. Bu uygulamaların yaşam dön- güsünde takip edilen süreçlerde kişisel ve- rilerin elektronik ortamda tutulup işlenmesi ise kullanıcı için yenilikçi hizmetlerin sağlan- masını kolaylaştırmakla birlikte çok fazla ve- rinin depolanma ihtiyacı, mahremiyet açısın- dan risk teşkil edebilmektedir. Bu çerçevede risklerin minimum seviyeye getirilebilmesi için uygulama geliştiriciler tarafından teknik ve idari tedbirlerin alınması gerekmektedir. Bu çalışmada, Yapay Zekâ teknolojisinin ge- lişmesiyle beraber ortaya çıkabilecek siber saldırıları önleme stratejileri ve mevcut me- kanizmalar hakkında farkındalığın arttırılma- sı hedeflenmiştir. “Anahtar Sözcükler: Yapay Zekâ, Kişisel Veri- lerin Korunması, Özel Hayatın Gizliliği, Mah- remiyet Odaklı Yapay Zekâ Uygulamaları” ABSTRACT In today’s information age, the wide-ran- ging use of artificial intelligence, ranging from business procurement to law, from medicine to science, from accommodation to shopping; necessitates dynamic digital transformations. In this framework, the use of data-driven technologies encourages the development of artificial intelligence (AI), including the automation of tasks often per- formed by humans. For AI applications to produce accurate outputs, algorithms must contain large data sets. During the proces- ses followed in the life cycle of these appli- cations, keeping and processing personal data electronically facilitates the provision of innovative services for the user. Howe- ver, the need to store a lot of data can pose a risk to privacy. In this context, technical and administrative measures should be ta- ken

of data-driven technologies encourages the development of artificial intelligence (AI), including the automation of tasks often per- formed by humans. For AI applications to produce accurate outputs, algorithms must contain large data sets. During the proces- ses followed in the life cycle of these appli- cations, keeping and processing personal data electronically facilitates the provision of innovative services for the user. Howe- ver, the need to store a lot of data can pose a risk to privacy. In this context, technical and administrative measures should be ta- ken by the application developers in order to minimize the risks. In this study, it is aimed to increase awareness about the strategies and existing mechanisms to prevent cyber attacks that may arise with the development of artificial intelligence technology. Keywords: Artificial Intelligence, Protection of Personal Data, Privacy-Oriented Artificial Intelligence Applications. BEGÜM TUĞÇE BURHAN Kişisel Verileri Koruma Kurumu, KVK Uzmanı GİRİŞ Yapay Zekâ (YZ) uygulamaları, insanın bilişsel sü- reçlerine uyumlu bir şekilde çalışmasıyla beraber hayatımızda önemli bir yer edinmeye başlamıştır. Bilginin dijital ortama aktarılarak gelişen teknolo- jiler kapsamında kullanım süreçlerinde; bir iş mo- delini değiştirmek, yeni gelir ve değer üreten fırsat- lar sağlamak amaçlı kullanımı sonucu dijitalleşme yaygınlaşmaya başlamıştır. Dijitalleşmeyi, büyük verinin kullanımını, bulut teknolojilerinin yaygınlaş- masını ve nesnelerin internetinin kullanımını kap- sayan Yapay Zekâ sistemlerinin kullanımı, yaşamı kolaylaştırarak birçok yeniliğin ortaya çıkmasına olanak sağlamaktadır. Yapay Zekâ teknolojisi ile beraber bilgi işlem gücünün artmasıyla teknolojiler ucuzlayıp hızlanmakta ve organizasyonlarda daha az insani iş gücüne ihtiyaç duyulmaktadır. Tüm bu faktörler yeni teknolojilerin kullanımına ilişkin ve Yapay Zekânın etkinliğini arttırmaya yönelik teşvik edici nitelik taşımaktadır. Yapay Zekâya ilişkin yaşam döngüleri verilerin top- lanması ile başlamakta olup, bu verilerin analizi ve çıktıların değerlendirilmesi ile bilgilerin sentez- lenerek süreçlerin başlamasına dayanmaktadır. Bu durum veri ekonomisine değer katmakta olup, çalışmalarla beraber hayal etmesi güç eylemlerin bile teknoloji ile gerçekleşebilmesini mümkün kıl- maktadır. Bu teknolojilerin kullanımı ile hizmetler- de iyileşme gerçekleşmesi ve verimliliğin artması sağlanmaktadır. Öte yandan verilerin YZ teknoloji- leri makine

çalışmalarla beraber hayal etmesi güç eylemlerin bile teknoloji ile gerçekleşebilmesini mümkün kıl- maktadır. Bu teknolojilerin kullanımı ile hizmetler- de iyileşme gerçekleşmesi ve verimliliğin artması sağlanmaktadır. Öte yandan verilerin YZ teknoloji- leri makine öğrenmesi süreçlerinde kaynak olarak kullanılması ile; bilgiye erişilmesi, toplanması, de- ğerlendirilmesi ve çıktıların alınması kaçınılmazdır. Bilgi işleme süreçlerinin bulut bilişim ile etkileşimi sayesinde büyük miktarda veri toplanarak çeşitli yerlerde depolanabilmektedir. Konu, ilgili kişilerin mahremiyeti ve özel hayatın gizliliği açısından değerlendirildiğinde; verilerin iş- lenme amacı dışında kullanılması, kişilerin davranış modellerinin ve karakter analizinin tespit edilerek profilleme gerçekleştirilmesi, veri yanlılığı sonucu YZ uygulamaları tarafından ön yargı içeren kararlar alınması, öneri sistemleri ile bireylerin yönlendiril- mesi gibi durumlarda etik ve hukuki problemlerin doğarak mahremiyet ihlallerinin ortaya çıkabildi- ği görülmektedir. Uygulama geliştirme sürecinde kullanılan verilerin doğru ve güvenilir olmadığı veya algoritmik kararların adil olmadığı durumlar, kişi- lerin hak ve özgürlüklerinin zarar görmesine veya ekonomik kayıplara neden olabilmektedir. Bahse konu araçlar kullanılarak yaşamın kolaylaştırılması sağlansa da diğer yandan pek çok hususta oluştu- rabileceği muhtemel risk ve tehlikeler ile de farklı disiplinler için tartışma konusu olabilmektedir. Ancak Yapay Zekânın insanlık için çok önemli ve büyük bir yenilik olduğunu göz ardı etmemek, bu konudaki gelişimleri engellememek büyük önem taşımaktadır. Bu noktada teknolojinin gelişimi ile dengeli bir biçimde, insan haklarının korunması çerçevesinde hukuki ve etik düzenlemeler yapıla- rak ve çeşitli teknik ve idari tedbirler alınarak kişisel verilerin korunması kapsamında kişilerin temel hak ve özgürlüklerinin korunması ihtiyacı doğmaktadır. YZ kullanımında, veri yönetişimi stratejisi uygula- nırken kaynakların yalnızca yapay zekâ ürün geliş- tirmeye odak

rak ve çeşitli teknik ve idari tedbirler alınarak kişisel verilerin korunması kapsamında kişilerin temel hak ve özgürlüklerinin korunması ihtiyacı doğmaktadır. YZ kullanımında, veri yönetişimi stratejisi uygula- nırken kaynakların yalnızca yapay zekâ ürün geliş- tirmeye odaklanmak yerine mahremiyeti artırmaya yönelik, kullanımda mahremiyet odaklı olunması, güvenliğin ve sistemlerin takibinin de sağlanması gerekmektedir. Bu kapsamda, veri koruma ilkelerine uyumlanması- na yönelik düzenlemeler ile 1. Sistemlerin demokratik ve anayasal denetimi- nin sağlanması, 2. Eşitlik, adalet, hakkaniyet şeffaflık, mahremiyet ve hesap verebilirlik gibi değerlerin korunması, 3. YZ sistemleri ve uygulamaları için standart kali- te seviyesi geliştirilmesi, 4. Bu sistemlerin uygun ve orantılı bir biçimde kullanılması, 5. İlgili kişiler ve kullanılan veriler açısından şef- faflığın sağlanması, 6. Taraflar için yükümlülüklerin ve sorumlulukların belirlenmesi, 49 48 » KVKK Bülten Temmuz 2023

-- 25 of 31 --

7. Verilerin kullanımının ilgili kişilerin mah- remiyeti ve yönlendirilmesi açısından oluşturabileceği risklerin azaltılması, 8. Geliştirilen sistemlerde oluşabilecek ha- taların kolaylıkla belirlenip ayıklanabilir olabilmesi gerekmektedir (Hoffmann-Riem, 2019). İl- gili düzenlemelerin ise veri koruma ilkelerine uygun bir biçimde, şeffaf, etkin, teknolojik gelişmelerin artışını destekleyici, gelişme- leri kapsayacak ve çeşitli alanları düzenle- yebilecek şekilde esnek, meşru ve yeterli ol- ması gerekmektedir (Baldwin, 2011). Bu konuda düzenlemeler yapılırken ayrıca, YZ teknolojisini kullanmanın yararlarından ve zararlarından kimin veya neyin sorumlu olduğu ve güvenilir yapay zekâ için gereksi- nimlerin neler olduğu sorularına değinmek gerekmektedir. YZ teknolojilerinin makine ve derin öğrenme ile insan beynini model alarak insanlar tara- fından gerçekleştirilen muhakeme, özerklik, yaratıcılık vb. faaliyetleri gerçekleştirdiği görülmektedir. Makine öğrenmesi ile YZ uy- gulamaları çok hızlı bir biçimde öğrenme ve değişim gerçekleşmekte, dinamik olarak kendi alt hedeflerini belirleme kapasitesine ve harici sensör bilgileri veya güncellen- miş girdi verileri aracılığıyla yerel koşullara uyum sağlama yeteneklerine sahip olmak- tadır. Aynı zamanda, makine öğrenme sis- temleri, önceden programlanmayan yollarla alternatifler arasında seçim yapan bağımsız kararlar alarak ve bunu herhangi bir insan müdahalesi olmadan gerçekleştirecek şe- kilde tasarlanmıştır (CoE, 2019). Faaliyetleri değerlendirilerek yapay zekânın gelişmişlik düzeyi göz önüne alındığında, veri sorumlusunun robot olarak kabul edil- mesi durumunda kişiliğinin belirsizliği prob- lemi ortaya çıkmaktadır. Doktrinde yer alan görüşlerde YZ’ye kölelik statüsü verilmesi, tüzel kişilik benzeri bir kişilik tanınması ge- rektiği, ya da öngörülebilirlik ve şeffaflık so- runlarının ortadan kaldırılması adına yapay insan statüsü, elektronik kişi olarak kabul edilmesi görüşleri yer almaktadır. Konuya ilişkin olarak, gelişmiş otonom ro- botların elektronik kişi statüs

tüzel kişilik benzeri bir kişilik tanınması ge- rektiği, ya da öngörülebilirlik ve şeffaflık so- runlarının ortadan kaldırılması adına yapay insan statüsü, elektronik kişi olarak kabul edilmesi görüşleri yer almaktadır. Konuya ilişkin olarak, gelişmiş otonom ro- botların elektronik kişi statüsü edinmesi ile, robotların özerk karar alabilecekleri du- rumlarda veya üçüncü taraflarla bağımsız olarak iletişim sağladıkları hallerde neden olabilecekleri muhtemel hasarlarda, ro- botlara elektronik kişilik statüsü verilerek sorumluluk almaları gerektiği görüşleri de mevcuttur (European Parliament, 2015). Bu yaklaşımla, yapay zekâ sistemlerine bir tür yasal statü verilmesinin, yapay zekâyı geliştiren veya başlatan şirketten ayırarak, yapay zekânın neden olduğu kayıp ve hasar için belirli bir tazminat planının yapay zekâ- nın kendisi için oluşturulmasını sağlayacağı öngörülmektedir. YZ teknolojisinin dinamik yapısı gereği, bu teknolojinin gelişimi ile bir- likte, iş süreçleri ve tüketicilere ilişkin ilgili yeni hesap verebilirlik ve sorumluluk biçim- lerine ihtiyaç duyulacağı açıktır. Ancak YZ sistemlerine doğrudan sorumluluk yüklemek yerine mevcut sistemler ve uy- gulamaların değerlendirilmesi gerekmekte olup, ele alınan YZ sistemlerinin henüz ken- dilerine ve geçmişlerine ilişkin bilince sahip olmamaları durumunda bu sistemlere doğ- rudan sorumluluk yüklemek uygun olmaya- caktır (Erdoğan, 2021). Ayrıca insan üretimi ile ortaya çıkan YZ’ye sahip varlıklara kişilik atfedilmesi durumunda, üretimi yapanın ve kullanıcının sorumluluğunu zayıflatmak gibi, olası sorunları ortadan kaldırmaktan çok yeni sorunlar ortaya çıkarması muhtemeldir (Akyol, 2021). Bu noktada belirtmek gerekir ki, yaşamımızı etkileyen her alanda olduğu gibi bu YZ’nin uygulamalarının kullanımında ortaya çıkan hukuki, insan hakları ihlallerini önleyecek, etkili ve meşru düzenleyici me- kanizmalara ihtiyaç duyulmaktadır. Tüm yasal düzenlemelerin yanı sıra yapay zekâ uygulamalarının geliştirme süreçle- rinden itibaren, YZ’nin dinam

gibi bu YZ’nin uygulamalarının kullanımında ortaya çıkan hukuki, insan hakları ihlallerini önleyecek, etkili ve meşru düzenleyici me- kanizmalara ihtiyaç duyulmaktadır. Tüm yasal düzenlemelerin yanı sıra yapay zekâ uygulamalarının geliştirme süreçle- rinden itibaren, YZ’nin dinamik yapısı gere- ği gelişmelere uyum sağlayabilecek, siber tehditlere karşı koruma sağlayabilecek, dü- zenlemelere ve mahremiyetin korunmasına yönelik gelişmelere adapte olabilecek çeşitli teknik ve idari tedbir, yöntem ve araçlara ihtiyaç duyul- maktadır. Ortaya çıkan düzenleme ve yönlendirme gereksinimi ile birlikte konuya ilişkin birçok ülke tarafından rehber veya açıklayıcı nitelikli rehberler sunulmuştur. Bu hususta ülkemizde, Kişisel Verileri Koruma Ku- rumu tarafından “Yapay Zekâ Alanında Kişisel Ve- rilerin Korunmasına Dair Tavsiyeler” başlıklı rehber düzenlenmiştir (KVKK, 2021). Rehberde, YZ tekno- lojileri geliştirilirken insanlara hizmet edecek şe- kilde tasarlanmasını sağlamak üzere; geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılara yö- nelik tavsiyeler sunulmakta olup, gerçekleştirilen çalışmalar çerçevesinde kişisel verilerin korun- ması hususunda açıklık sağlanması hedeflenmek- tedir. Rehberde, YZ sistemlerinin geliştirilme ve uygulama süreçlerinde ilgili kişilerin temel hak ve özgürlüklerine saygı gösterilmesinin gerekliliği vur- gulanmaktadır. Aynı zamanda YZ sistemleri gelişti- rilirken ilgili kişiler üzerinde ayrımcılık, önyargı gibi istenmeyen etkiler yaratmasından kaçınılmasının önemi belirtilmektedir. Bu kapsamda, demokrasi- nin işleyişini, sosyal ve etik değerleri göz önünde bulunduran yaklaşımın gerekliliğinin üzerinde du- rulmaktadır. Ayrıca, konuya ilişkin genel ve taraflar için tavsiyeler sunulmuş olup, tasarımdan itibaren veri koruma ilkesine uygun bir biçimde teknolojik gelişmelerin gerçekleştirilmesine yönelik alınabi- lecek olan teknik ve idari tedbirler sunulmaktadır. Bu kapsamda YZ sistemleri geliştiricilerinin, üreti- cilerinin, servis sağlayıcı

için tavsiyeler sunulmuş olup, tasarımdan itibaren veri koruma ilkesine uygun bir biçimde teknolojik gelişmelerin gerçekleştirilmesine yönelik alınabi- lecek olan teknik ve idari tedbirler sunulmaktadır. Bu kapsamda YZ sistemleri geliştiricilerinin, üreti- cilerinin, servis sağlayıcılarının ve karar alıcılarının; YZ teknolojilerinin yaşam süreçleri boyunca genel kapsamlı bu rehberden faydalanmaları konuya iliş- kin çalışmalarında veri güvenliğini sağlamaları hu- susunda önem arz etmektedir. 51 50 » KVKK Bülten Temmuz 2023

-- 26 of 31 --

KORUNMASINA YÖNELİK ALINABİLECEK TEKNİK TEDBİRLER Yapay Zekâ uygulamaları, sosyal yaşam, ekonomik gelişim, toplum refahı ve güven- liğinin iyileştirilmesine yönelik birçok yenilik sunmaktadır. Ancak bu teknolojilerin ya- yılması ile birlikte veri miktarının ve çeşit- liliğinin artmasına sebep olan süreçlerde kişisel verilerin de kullanılması bireyler için risk teşkil edebilmektedir. Bilindiği üzere, Kanun’da veri sorumlularının yükümlülük- leri arasında “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak” yer almaktadır. Bu kapsamda veri sorumlusu gerekli tüm teknik ve idari tedbiri almak zo- rundadır. Kişisel verilerin kullanıldığı, işlendiği, de- polandığı; öğrenme, çıkarsama, uygulama süreçleri için büyük veriye ve algoritmanın büyük verilerle eğitiminin sonucu olarak veri modeline ihtiyaç duymaktadır. Bu uygula- maların veya sistemlerin kişisel verileri de içerebilecek olmaları sebebi ile uygulama geliştiriciler veya sağlayıcıların veri mahre- miyetini sağlamaları gerekmektedir. Sürekli değişmekte ve gelişmekte olan YZ uygulamalarının kullanımına ilişkin süreç- lerde ortaya çıkabilecek risklere ilişkin ola- rak uygulanabilecek tedbirlerin konu öze- linde değerlendirilmesi gerekmekle birlikte, uygulanabilecek güvenlik tedbirleri çalışma- da örneklendirilmiştir. YZ sistemlerinin ge- liştirildiği ve devreye alındığı süreçlerde sü- reç boyunca mahremiyet değerlendirilmesi yapılmasına yönelik, eğitim verisi ihtiyacı- nı azaltmaya yönelik, temel veri kümesini azaltmadan veri korumasını desteklemeye yönelik ve kara kutu sorununu önlemek için tasarlanmış yöntemler kullanılmaktadır. Bu yöntemleri süreçlerle ilişkilendirilerek ör- neklendirmek mümkündür; 1. Tasarım Gereği Ve Varsayılan Ayarlarla Mahremiyet İlkeleri: Tasarım gereği ve varsayılan ayarlarla mahremiyet kavra- mının amaçları; mahremiyeti sağlam

tasarlanmış yöntemler kullanılmaktadır. Bu yöntemleri süreçlerle ilişkilendirilerek ör- neklendirmek mümkündür; 1. Tasarım Gereği Ve Varsayılan Ayarlarla Mahremiyet İlkeleri: Tasarım gereği ve varsayılan ayarlarla mahremiyet kavra- mının amaçları; mahremiyeti sağlamak, kişilerin kendilerine ilişkin bilgileri üze- rinde kontrolünün olmasını sağlamak ve kuruluşlar için sürdürülebilir bir rekabet avantajı elde edebilmelerini sağlamaktır (Cavoukian, 2011). Risk odaklı yakla- şımlara dayanan ilkelere uyum ile yapay zekânın oluşturabileceği tehditler önce- den ele alınarak minimum düzeye indi- rilmesi hedeflenir. Bu ilkelerin YZ tek- nolojisinin her aşamasında göz önünde bulundurulması; herhangi bir sistemin, hizmetin, ürünün veya sürecin tasarım aşamasında ve daha sonra yaşam dön- güsü boyunca veri koruma konularının dikkate alınmasını sağlar ve belirli ama- ca ulaşmak için yalnızca gerekli olan ve- rilerin işlenmesini gerektirir. 2. Veri Koruma Etki Değerlendirmesi: Mo- dernize Edilen 108 sayılı Sözleşme’nin 10(2) maddesinde; veri sorumlularının ve veri işleyenlerin “bu tür bir işleme faaliyeti başlamadan önce, amaçlanan veri işlemenin, ilgili kişilerin temel hak ve özgürlükleri üzerinde oluşabileceği muhtemel etkisini incelemenin ve de- ğerlendirmenin ardından, veri işleme faaliyetini bu faaliyete bağlı riskleri ön- leyecek veya bu riskleri en aza indirecek şekilde tasarlanmaları gerektiği” belir- tilmiştir. Bu durum AB mevzuatında GDPR mad- de 36 uyarınca, “veri işleme faaliyetle- rinin bireylerin hak ve özgürlükleri için yüksek risk oluşturabileceği durumlarda etki değerlenmesi yapılması gerekmek- tedir” biçiminde ele alınmıştır. Yapay Zekâ teknolojilerinin gelişimiyle beraber karmaşıklaşan veri işleme faaliyetleri gözlem- lendiğinde, veri sorumlularının sürecin doğa- sını, kapsamını, bağlamını, yeni teknolojileri- nin etkisini ele alarak, veri işlemenin gerekliliği, orantılılığı ve ilgili kişilerin hak ve özgürlükleri- ne ilişkin oluşabilecek riskleri değerlendirme

karmaşıklaşan veri işleme faaliyetleri gözlem- lendiğinde, veri sorumlularının sürecin doğa- sını, kapsamını, bağlamını, yeni teknolojileri- nin etkisini ele alarak, veri işlemenin gerekliliği, orantılılığı ve ilgili kişilerin hak ve özgürlükleri- ne ilişkin oluşabilecek riskleri değerlendirmele- ri gerekmektedir. Veri koruma etki değerlendir- mesi yapılarak, kişisel verilerin işlenmesinden önce mahremiyete ilişkin risklerinin ve bu yön- de alınabilecek tedbirlerin belirlenmesi ve risk- lerin en aza indirilmesi sağlanabilir. 3. Kişisel Verilerin Anonim Hale Getirilmesi: YZ sistemlerinin eğitim ve işleyiş verilerine ilişkin anonimleştirme gerçekleştirildiği durumlarda, kayıtların sonradan ayırt edilememesi saye- sinde ilgili kişilerde daha fazla güven duygusu uyandırarak daha fazla veri paylaşımı sağlaya- rak, yapay zekâ sistemlerinin performansının önemli ölçüde iyileştirilmesi sağlanabilecektir. Anonimleştirmenin ilgili YZ öğrenme sürecinde YZ sistemlerinin işlevlerini gerçekleştirmesine engel olması durumunda ise takma adlandır- ma (Pseudonymisation) ile, bir bireyin adı gibi benzersiz bir tanımlayıcının yerine başka bir değer atanması ile gizliliğin arttırılması sağla- nabilmektedir. Her iki yöntemde de temel amaç yalnızca gerekli olan verilerin muhafaza edil- mesi ile kişisel verilerin muhafaza edilme sü- reçlerinde meydana çıkabilecek riskleri en aza indirmektir. 4. Çekişmeli Üretici Ağ: Çekişmeli Üretici Ağlar gerçek verilerin yerine geçebilecek, yeni, sen- tetik veri örnekleri oluşturmak için iki sinir ağı kullanan algoritmik mimarilerdir. Bu yöntem ile makine öğrenim süreçlerinde, eğitim seti gerçek verilerle uyumlu istatistiklerle yapay veri üreterek yeni veriler oluşturmaktadır. Gü- nümüzde asıl kullanım alanı görüntü üretimine yönelik olmakla beraber, pek çok alanda büyük hacimli yüksek kaliteli, yapay eğitim verile- ri üretmek için bir yöntem olma potansiyeline de sahiptir. Bu durum, gerçek kişisel bilgileri içeren büyük miktarda veriyi kullanmaya gerek kalmadan büyük hacimli verilere olan ihtiyacı

yönelik olmakla beraber, pek çok alanda büyük hacimli yüksek kaliteli, yapay eğitim verile- ri üretmek için bir yöntem olma potansiyeline de sahiptir. Bu durum, gerçek kişisel bilgileri içeren büyük miktarda veriyi kullanmaya gerek kalmadan büyük hacimli verilere olan ihtiyacı karşılayacaktır (Goodfellow, 2014). Bu teknoloji sayesinde etkili bir biçimde ano- nimleştirme gerçekleştirilebilmektedir. Yapay olarak oluşturulan ve gerçek olaylardan kay- naklanmayan sentetik veriler üretilmesi sağ- lanmaktadır. Bu nedenle veriler gerçek olmadı- ğı için kişisel veri olarak kabul edilemez. Ancak bu yöntemin Deepfake teknolojisinin temelini oluşturduğunu ve kullanım durumuna bağlı olarak, ilgili kişinin mahremiyetini riske ata- bileceği veya mahremiyeti koruyucu bir tedbir olabileceği unutulmamalıdır. 5. Federe Öğrenme: Federe öğrenme yöntemi kullanılarak, veri veya modellerin güvenilmeyen cihazlarda depolanması, güvenilmeyen kanal- lar üzerinden iletim veya güvenilmeyen hiz- metlerde hesaplama problemlerine ilişkin çö- züm sağlamak amaçlanmaktadır (OVIC, 2019). Federe öğrenme dağıtık öğrenme prensibine dayanmaktadır. Bu makine öğrenmesi yönte- minin ana özelliği, yerel bir veri kümesine sa- hip merkezi olmayan cihazlara veya sunucu- lara dayalı paylaşılan istatistiksel modellerin eğitmesine olanak sağlamasıdır. Eğitim verileri yerelde tutularak, kullanıcı verilerinin, kullanıcı- ların cihazlarından hiç çıkmadan, eğitim süre- cinin birçok kullanıcı arasında dağıtılarak işbir- likçi bir süreç izlenmektedir. Başka bir deyişle, verileri tek bir konumda bir araya getirme ihtiyacını ortadan kaldırarak makine öğrenimini merkezden uzaklaştırır. Bunun yerine model, farklı konumlarda birden çok yinelemede eğitilir. Daha genel anlamda bu yöntem, makine öğrenimi algoritmalarının farklı konumlarda bulunan çok çeşitli veri kü- melerinden deneyim kazanmasına olanak ta- nır. Tüm bu avantajların yanı sıra bu yöntemin kullanımı, ham verilerin merkezi bir sunucuya geri iletilmesi ve ardından sonuçların cihaza ger

bu yöntem, makine öğrenimi algoritmalarının farklı konumlarda bulunan çok çeşitli veri kü- melerinden deneyim kazanmasına olanak ta- nır. Tüm bu avantajların yanı sıra bu yöntemin kullanımı, ham verilerin merkezi bir sunucuya geri iletilmesi ve ardından sonuçların cihaza geri gönderilmesi nedeniyle oluşan zaman ge- cikmesini azaltmaktadır. Tahmin cihazın kendi- sinde gerçekleştiği için gerçek zamanlı tahmini mümkün kılmaktadır. Veri güvenliği açısından değerlendirilecek olur- sa; federe öğrenme tasarım gereği ve yapısal » MAKALE 53 52 ş KVKK Bülten Temmuz 2023

-- 27 of 31 --

tedir. Yöntemin çalışma prensibinde anlatıldığı üzere veri toplama ve birleş- tirme, federe yaklaşımda birbirinden ayrılamaz. Müşteri verilerinin amaca özel dönütleri, analistlerin müşteri ba- şına mesajlara erişimi olmadan, anında birleştirme için toplanmaktadır. Ayrıca ele alınan makine öğrenmesi ve analiz hedefleri, anonim olarak veri toplama hedefiyle uyumludur. Makine öğrenme sürecinde amaç, eğitim için kullanılan verileri fazla ezberlemeden tüm kulla- nıcılar için doğru tahminde bulunan bir modeli eğitmektir. 6. Matriks Kapsülleri: Matriks kapsülleri, sinir ağlarının yeni bir çeşididir ve öğ- renme faaliyeti için daha az veri gerek- tirmektedir. Kapsüller, bir katmandaki tüm aktivasyon olasılıkları ve kapsül- lerin pozlarını bir sonraki katmandaki aktivasyon olasılıkları ve pozlarına dö- nüştüren çok daha karmaşık bir sistem kullanmaktadır. Temel bir hesaplama birimi oluşturabilmektedir. 7. Diferansiyel Mahremiyet: Diferansi- yel mahremiyet yöntemi, veri setinde yer alan kişilerin bilgilerini anonim hale getirirken, grupların kalıplarını tanım- layarak veri kümesi hakkındaki bilgile- ri herkese açık olarak paylaşmak için kullanılan bir sistemdir. Bu sayede veri sorumlusu orijinal verileri bünyesinde tutarken, veri setini yayınlama esnasın- da veri kümesinin anonimleştirilmiş gö- rünümlerini oluşturabilmektedir. Bu yöntem ile, istatistiksel veri taban- ları üzerine yapılan analizlerde gürültü ekleme metodu kullanılarak sistemin yaşam döngüsünde girdi, model ve çıktı süreçlerinde koruma sağlanmaktadır. Kişisel verilerin kimliği belirli veya be- lirlenebilir bir gerçek kişiyle ilişkilendi- rilemez hale getirilmesi durumu olan anonimleştirmeyi sağlamak, orijinal ve- riler kullanılarak gerçekleştirilen model veya analizin kullanımına göre daha dü- şük seviyede doğruluk sunabilmektedir. Ancak verilerin korunması kapsamında diferansiyel mahremiyet yönteminin kullanılması ile, veri setine gürültü ek- lenmesi gibi yöntemlerle araştırmacılar gerçek verinin gürültü eklenmiş halini kullanmalar

veya analizin kullanımına göre daha dü- şük seviyede doğruluk sunabilmektedir. Ancak verilerin korunması kapsamında diferansiyel mahremiyet yönteminin kullanılması ile, veri setine gürültü ek- lenmesi gibi yöntemlerle araştırmacılar gerçek verinin gürültü eklenmiş halini kullanmaları sonucu gerçek veriye yak- laşık değerler elde etmiş olacaklardır (Canbay ve Sağıroğlu, 2020). Konuyu örneklendirmek gerekir ise, ger- çek kişilere ilişkin bilgileri içeren bir veri tabanından bilgi alındığında yanıt, veri tabanındaki kişiler hakkında bilgi alın- masını sağlayan, ancak belirli bireyler hakkında kesin ayrıntılar içermeyen, ka- sıtlı olarak oluşturulmuş “gürültü” içe- recektir. Bu yöntemde veri kümesinin baskın eğilimleri veya özellikleri değiş- meyecektir ve kişisel verilerin kapsamlı olarak korunması sağlanabilmektedir (Ji, Lipton ve Elkan, 2014). Veri koruma perspektifinden bakıldığın- da bu yöntemin kullanılması esnasında karşılaşılması muhtemel en büyük zor- luk, gerçek cevaplara eklenecek uygun miktarda gürültü üretilmesi sonucu hem ilgili kişilerin mahremiyetini sağla- yıp hem de paylaşılan cevapların kulla- nışlılığının korunmasıdır. Ayrıca veri ta- banlarının bağlantılarının takip edilmesi ile sorgu sonuçlarının kombinasyonu- nun, gizli olması amaçlanan bilgilerin ifşa edilmesine yol açabilecek olması sebebiyle her sorgunun bağımsız olarak ele alınması önem taşımaktadır (Madde 29 Çalışma Grubu, 05/2014 Görüşü). 8. Homomorfik Şifreleme: Homomorfik şifreleme, kullanıcıların şifrelenmiş ve- rileri üzerinde şifresini çözmeye ihtiyaç duymadan işlem yapmasını sağlayan bir şifreleme türüdür. Homomorfik şifrele- me ile mahremiyeti koruma odaklı dış kaynaklı depolama ve hesaplama işlemleri ya- pılabilmektedir. Bu durum, veri setinin kullanım olanaklarını sınırlamadan gizliliğin korunabile- ceği anlamını taşımaktadır. Geleneksel bir şifreleme modelinde, veri- ler üzerinde değişiklik yapılmak istenirse bu- lut kon

me ile mahremiyeti koruma odaklı dış kaynaklı depolama ve hesaplama işlemleri ya- pılabilmektedir. Bu durum, veri setinin kullanım olanaklarını sınırlamadan gizliliğin korunabile- ceği anlamını taşımaktadır. Geleneksel bir şifreleme modelinde, veri- ler üzerinde değişiklik yapılmak istenirse bu- lut konumundan indirilmeli, şifresi çözülmeli, okunmalı veya düzenlenmeli, yeniden şifrelen- meli ve ardından yeniden yüklenmelidir. Dosya- ların boyutları genişledikçe, bu görevler giderek daha külfetli hale gelebilmektedir ve veri seti- nin güvenliğini sağlamak zorlaşmaktadır. Öte yandan, homomorfik olarak şifrelenen ve- riler, hala sunucudayken şifre çözülmesine ge- rek olmaksızın üzerlerinde sınırlı işlemler ger- çekleştirilebilmektedir. Ardından, nihai olarak şifrelenmiş ürün, mesajın şifresini çözmek için anahtarını kullanan kullanıcıya gönderilir. Bu yöntem uçtan uca şifrelemeye benzemektedir, şifresi çözülen mesaja yalnızca alıcı erişebilir. Örneğin, sağlık verileri gibi özel nitelikli kişisel veriler için mahremiyeti sağlamak amacıyla, veri paylaşımını engelleyen gizlilik engellerini kaldırarak veya mevcut hizmetlerin güvenliğini artırarak yeni hizmetleri etkinleştirmek için ho- momorfik şifreleme kullanılabilir. Bu kapsam- da yapılan çalışmalarda, sağlık hizmetlerinde tahmine dayalı analitiğin tıbbi veri gizliliği endi- şeleri nedeniyle üçüncü taraf hizmet sağlayıcı aracılığıyla uygulanması sorun teşkil edebil- mektedir. Ancak tahmine dayalı analitik hizmet sağlayıcısının gerçek veriler yerine şifreli veriler üzerinde çalışabilmesi durumunda, mahremi- yete ilişkin endişeler azalabilmektedir. Ayrıca bu yaklaşım ile, hizmet sağlayıcının sisteminin ele geçirilmesi durumunda verilerin güvende kalması sağlanacaktır (Bos, Lauter ve Naeherig, 2014). Konuya ilişkin mevcut gelişmeler takip edildi- ğinde, homomorfik şifrelemenin sınırlamaları görülmesi sebebiyle, bu şifrelemeyi kullanan sistemlerin düşük verimlilik oranında çalışa- cağı anlamına gelmektedir. Ek güvenlik yön- temler

kalması sağlanacaktır (Bos, Lauter ve Naeherig, 2014). Konuya ilişkin mevcut gelişmeler takip edildi- ğinde, homomorfik şifrelemenin sınırlamaları görülmesi sebebiyle, bu şifrelemeyi kullanan sistemlerin düşük verimlilik oranında çalışa- cağı anlamına gelmektedir. Ek güvenlik yön- temlerine ihtiyaç duymayan birçok işletme için kullanımı maliyetli ve düşük verimli olmakla beraber, özel nitelikli veriler barındıran sektör- ler için bu yöntem oldukça kullanışlı olabilmek- tedir. Bu kapsamda çözümler geliştirilmesine yönelik aktif çalışmalar devam etmektedir. 9. Transfer Öğrenme: Öğrenme süreçlerinde her zaman modelleri sıfırdan geliştirmeye ihti- yaç duyulmamaktadır. Bir diğer yöntem ola- rak, benzer görevleri çözen mevcut modelleri kullanmaktır. Transfer öğrenme kullanılarak, bir makine öğrenimi modeli bir tür problem üzerinde eğitilir ve daha sonra yeni görevini öğrenirken zaten sahip olduğu bilgiden yarar- lanarak farklı ancak ilgili bir problem üzerinde kullanılır. İşleme faaliyetini bu mevcut model- lere dayandırarak, aynı sonuca daha az veri ile ve daha kısa sürede ulaşmak çoğu zaman mümkün olmaktadır. Bu yöntemin kullanım sü- reçlerinde, önceden eğitilmiş modelleri içeren kütüphaneler kullanılmaktadır (Datatilsynet, 2018). Pratik açıdan değerlendirildiğinde, yeni görev- lerin öğrenilmesi için önceden öğrenilen gö- revlerden bilgilerin yeniden kullanılması veya aktarılması, pekiştirmeli öğrenme süreçlerinde verimliliği önemli ölçüde iyileştirme potansiye- line sahiptir (Karimpanal, Bouffanais ve Roland, 2019). Transfer öğrenme, ürün geliştiricilerin çok miktarda yeni veri ihtiyacını ortadan kal- dırmasına olanak tanımaktadır. Etiketlenmiş eğitim verilerinin bulunduğu bir görev üzerinde önceden eğitilmiş bir model, çok daha az veri ile yeni ve benzer bir görevi gerçekleştirebile- cektir. Ayrıca önceden eğitilmiş bir model kul- lanmak genellikle modelin yeni bir görevde eği- tilmesi sürecini hızlandırır ve genel olarak daha doğru ve etkili bir ürünle sonuçlanabilmektedir. Öte yandan, önemli kar

ile yeni ve benzer bir görevi gerçekleştirebile- cektir. Ayrıca önceden eğitilmiş bir model kul- lanmak genellikle modelin yeni bir görevde eği- tilmesi sürecini hızlandırır ve genel olarak daha doğru ve etkili bir ürünle sonuçlanabilmektedir. Öte yandan, önemli karar verme uygulamala- rında giderek daha fazla kullanılması sebebiyle, diğer küresel teknolojiler gibi derin öğrenme modelleri de kötü niyetli kişilerin hedefi haline gelebilmektedir. Bu kapsamda, transfer öğ- renme süreçlerinde taraflar arasında makine öğrenme süreçlerini hızlandırmak üzere pay- laşılan veriler üzerinde değişiklik yapılmasının » MAKALE 55 54 » KVKK Bülten Temmuz 2023

-- 28 of 31 --

kin diferansiyel mahremiyet, homomor- fik şifreleme gibi yöntemlerden destek alınması gerekmektedir. 10. Blokzinciri: Blokzinciri, verilerin bloklar halinde gruplanmasına dayanan, iş- lemleri güvenli, kurcalamaya karşı da- yanıklı, dağıtık (yani merkezi bir otorite olmadan) ve verimli bir şekilde düşük maliyetle kaydeden merkeziyetsiz bir dijital hesap teknolojisidir (Tatar, Gökçe ve Nussbaum, 2020). Blokzincirinde yer alan her düğüm, ağın bir kullanıcısını temsil ederek veritabanının ayrılmaz bir kopyasını saklar ve veritabanını bağım- sız olarak güncelleyebilir (EPRS, 2019). Zincirde yer alan kullanıcı kimlikleri me- tin olarak, hash değeri tutularak veya takma adlandırma kullanılarak kayde- dilebilmektedir. Dolayısıyla, metin ve- rilerinden ilgili kişiler doğrudan belir- lenebilmektedir. Hash fonksiyonlarının kullanımıyla da kişilerin tanımlanabi- lirliğine ilişkin çeşitli görüşler olmakla beraber; yaygın görüşte ilgili kişiyi doğ- rudan tanımlamanın mümkün olmadığı ancak çıktıların kıyaslanarak gerçek ki- şiyle ilişkilendirilebilir olması nedeniyle, bu fonksiyonların takma adlandırılan veriler kategorisi altında bulunduğu ka- bul edilmektedir (AEPD, 2019). Bu se- beple verilerin ilgili kişilerle ilişkilendiri- lebilir olmasıyla zincirde yer alan veriler, kişisel veri kategorisine girebilmektedir. Blokzincirinde yer alan veriler merkezi olmayan bir şekilde toplanır, saklanır ve işlenir. Blok olarak kaydedildikten sonra işlemler kronolojik olarak sıralanarak değiştirilemez biçimde tutulmaktadır (Iansiti ve Lakhani, 2017). Gerçekle- şen tüm işlemlerin takma adlandırılmış, sahipliğini doğrulanabilir ve sürdürüle- bilir bir şekilde kaydederek belgeleyip, onaylamaktadır. Bazı görüşlerce takma adlandırma veri güvenliği açısından bir güvenlik önlemi olarak sayılmaktadır. Ancak belirtmek lazım ki, blok zincirler, verilerin eklenebildiği, fakat yalnızca olağanüstü durumlarda kaldırılabildiği hesaplardır. Blokzinciri, Bitcoin ve diğer kripto para birimlerinin altında yatan teknolo

adlandırma veri güvenliği açısından bir güvenlik önlemi olarak sayılmaktadır. Ancak belirtmek lazım ki, blok zincirler, verilerin eklenebildiği, fakat yalnızca olağanüstü durumlarda kaldırılabildiği hesaplardır. Blokzinciri, Bitcoin ve diğer kripto para birimlerinin altında yatan teknoloji ol- makla beraber Yapay Zekâ teknolojisiyle bir arada kullanımı ile, sağlık, finans, te- darik gibi birçok alanda oldukça etkin bir güvenlik mekanizması sağlamak müm- kündür. Örneğin sağlık sektöründe blok- zinciri sayesinde oldukça kapsamlı ve çok miktarda verinin blokzinciri ile tu- tulması durumunda hastanın tedavisine ilişkin süreç birçok doktor tarafından takip edilebilecek, istenmesi durumun- da izne tabi olarak doktorlar tarafından düzenlenebilecektir. Şifrelenmiş blok- zinciri sayesinde aynı zamanda verile- rin güvenliği de sağlanmış olacaktır. Bu zincirde yer alan kayıtlarının paylaşımı- nın, düzenlenmesinin izne tabi olması ise kullanıcıların kişisel verilerinin ne kadarını paylaşacaklarına karar ver- melerine olanak sağlamaktadır. Ayrıca, blokzinciri değiştirilemez yapısı gereği ilgili kişilere ilişkin bilgileri, kişilerin ka- rarlarını yansıtırken güvenilirlik ve şef- faflık sağlamaktadır. Öte yandan blokzincir teknolojisi tara- fından kullanılan merkezi olmayan veri yönetişim modeli ve verilerin işlenme- sine dahil olan çok sayıda taraf bulun- ması nedeniyle, dağıtık yapısı gereği bu sistemlerde veri sorumlusunu tayin et- mek güçleşmektedir. Bu çerçevede veri sorumlusu belirlenirken, zincire yaz- ma hakkına sahip olan ve madencilerin doğrulaması için veri göndermeye karar veren katılımcıların veri sorumlusu ola- rak kabul edilebileceğini görüşü savu- nulmaktadır (CNIL, 2018). Bu teknolojinin kullanımıyla ortaya çı- kan bir diğer problem ise; dağıtık def- terlerin, yeni veriler eklendikçe sürekli büyüyen, yalnızca ekleme yapılan veritabanları olması- dır. Bu durum hem veri minimizasyonu ilkesi- ne uymamakta hem de ilgili kişilerin verilerinin silinmesini veya unutulmasını talep etmeleri durumunda taleplerinin yerine getirile

kan bir diğer problem ise; dağıtık def- terlerin, yeni veriler eklendikçe sürekli büyüyen, yalnızca ekleme yapılan veritabanları olması- dır. Bu durum hem veri minimizasyonu ilkesi- ne uymamakta hem de ilgili kişilerin verilerinin silinmesini veya unutulmasını talep etmeleri durumunda taleplerinin yerine getirilememe- sine sebep olmaktadır (EPRS, 2019) . Ayrıca bu teknolojinin yapısı gereği değiştirilemez ol- ması sebebiyle zincire eklenen verilerin muha- faza süresi kısıtlanamamaktadır. Bu durum da süresiz olarak verilerin muhafazası durumuyla karşı karşıya kalınabilmektedir. 11. Açıklanabilir Makine Öğrenimi: Açıklanabilir Makine Öğrenimi alınan tüm otomatik kararla- rın açıklanabilir olması gerektiği fikrine dayan- maktadır. Böylece şeffaflık ve hesap verebilirlik sağlanmaya çalışılmaktadır. Ayrıca bu öğren- me ile yapay zekâ destekli sistemleri kullanıcı- lara, zihinsel modelleri geliştirerek ve kavram yanılgılarını ortadan kaldırarak, daha etkili per- formans sunmayı hedeflemektedir (Alizadeh, 2021). Konuya ilişkin P. Jonathon Phillips vd. tara- fından “Açıklanabilir Yapay Zekânın Dört İlkesi Raporu”nda , insan-makine etkileşiminin araş- tırılabilmesi ve kullanıcıların sistem hakkında daha kapsamlı bilgiye sahip olmasının sağlan- ması ile daha güvenli bir ortam yaratılması adı- na 4 temel ilke tanımlamıştır . Bu ilkeler: - Sistemler, tüm çıktılar için kanıt veya se- bep(ler) sunarak açıklama üretmeli, - Sistemler, kullanıcılar için anlaşılabilir açıklamalar sağlamalı, - Açıklama, sistemin çıktı üretme sürecini doğru bir şekilde yansıtmalı, - Sistemin yalnızca tasarlandığı koşullar al- tında veya sistem çıktısında yeterli güvene ulaştığında çalışması ile bilgi sınırları ta- nımlanmalı. Açıklanabilir Makine Öğrenimi kullanımında amaç, kararlarını anlaşılır bir şekilde açıkla- yabilen, YZ eylemlerinin dayandığı bilgileri or- taya koyabilen ve sistemi kullanma konusun- da güveni artıran bir yapay zekâ yaratmaktır (Rieg,Frick, Baumgartl ve Buettner, 2020). Bu özellikler mevcut bilgiyi doğrulamayı, mevc

amaç, kararlarını anlaşılır bir şekilde açıkla- yabilen, YZ eylemlerinin dayandığı bilgileri or- taya koyabilen ve sistemi kullanma konusun- da güveni artıran bir yapay zekâ yaratmaktır (Rieg,Frick, Baumgartl ve Buettner, 2020). Bu özellikler mevcut bilgiyi doğrulamayı, mevcut bilgiyi sorgulamayı ve yeni varsayımlar üret- meyi mümkün kılmaktadır. Bu yaklaşıma yük- sek doğruluk payının ve geri bildirimin önem taşıdığı savunma, sağlık ve hukuk gibi alanlar- da daha belirgin ihtiyaç duyulmaktadır. Bu kapsamda önlemlerin YZ teknolojileri ge- liştiricileri, veri sorumluları ve/veya dağıtım sürecinde yer alan taraflarca değerlendirilerek ihtiyaç duyulduğu durumlarda birbirlerini des- tekleyecek bir biçimde bir arada uygulanması önerilmektedir. » MAKALE 57 56 » KVKK Bülten Temmuz 2023

-- 29 of 31 --

KAYNAKLAR AEPD.(2019) Introduction To The Hash Functıon As A Personal Data Pseudon- ymisation Technique. https://edps.europa.eu/sites/default/files/publicati- on/19-10-30_aepd-edps_paper_hash_final_en.pdf adresinden 18.08.2022 tari- hinde alınmıştır Akyol, A. (2021). Yapay Zekânın Cezai Sorumluluğu. Editörler. Balcı, M. ve Aydın, H.(Ed.), s.174. Ankara. Alizadeh,F.(2021). I Don’t Know, Is AI Also Used in Airbags?: An Empirical Study of Folk Concepts and People’s Expectations of Current and Future Artificial Intelli- gence, https://doi:10.1515/icom-2021-0009 Article 29 Data Protection Workıng Party. (2014). Opinion 05/2014 on Anonymi- sation Techniques,. https://ec.europa.eu/justice/article-29/documentation/opi- nion-recommendation/files/2014/wp216_en.pdf adresinden alınmıştır. Baldwin, R., Cave, M., Lodge, M.(2011). Best Practices Setting Targets and Detec- ting Vulnerabilities, Policy Quarterly. 3(3), s. 26-31. Bos, J.W., Lauter K. ve Naehrig M. (2014). Private Predictive Analysis On Encrypted Medical Data. Journal of Biomedical Informatics 50, s. 234-243. Canbay, Y., Sağıroğlu, Ş. (2020) Derin Öğrenmede Diferansiyel Mahremiyet. Ulusla- rarası Bilgi Güvenliği Mühendisliği Dergisi, 1, s.1-16. Cavoukian, A. (2011). Privacy by Design The 7 Foundational Principles. https:// www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf adre- sinden alınmıştır. CNIL. (2018). Solutions for a responsible use of the blockchain in the context of personal data. https://www.cnil.fr/sites/default/files/atoms/files/blockchain_ en.pdf adresinde 18.02.2022 tarihinde erişim gerçekleştirilmiştir. CoE. (2019). A study of the implications of advanced digital technologies (inclu- ding AI systems) for the concept of responsibility within a human rights framework. https://rm.coe.int/responsability-and-ai-en/168097d9c5 adresinden alınmıştır. Datatilsynet. (2018). Artificial Intelligence And Privacy., ss.27, https://www.datatil- synet.no/globalassets/global/english/ai-and-privacy.pdf adresinden 24.04.2022 tarihinde alınmıştır. European Parliament Legislative Observatory. (2015/2103(INL). Civil Laws for Ro- botics. https://oeil.secure.europarl.europa.eu/oeil/popups/printsummary.pdf?i- d=1473044&l=en&t=D adresinden alınmıştır. EPRS | European Parliamentary Research Service. (2019). Blockchain and the Ge- neral Data Protection Regulation. Panel for the Future of Science and Technology. https://www.europarl.europa.eu/stoa/en/document/EPRS_STU(2019)634445 adresinden alınmıştır. Erdoğ

botics. https://oeil.secure.europarl.europa.eu/oeil/popups/printsummary.pdf?i- d=1473044&l=en&t=D adresinden alınmıştır. EPRS | European Parliamentary Research Service. (2019). Blockchain and the Ge- neral Data Protection Regulation. Panel for the Future of Science and Technology. https://www.europarl.europa.eu/stoa/en/document/EPRS_STU(2019)634445 adresinden alınmıştır. Erdoğan, Ö. (2021) Yapay Zekânın Cezai Sorumluluğu. Editörler. Balcı, M. ve Aydın, H.(Ed.), s.133. Ankara. Goodfellow, I.J. ve ark. (2014). Generative Adversarial Nets. Hoffmann-Riem, W. (2019). Artificial Intelligence as a Challenge for Law and Re- gulation, Regulating Artificial Intelligence, s.11 Iansıtı M., Karim R. L. (2017).,The Truth About Blockchain. Harvard Business Review. https://hbr.org/2017/01/the-truth-about-blockchain adresinden 17.08.2022 ta- rihinde erişilmiştir. Ji, Z., Lipton, Z. C., Elkan, C.(2014) Differential Privacy and Machine Learning: a Survey and Review. https://www.cis.upenn.edu/~aaroth/Papers/privacybook.pdf adresinden 22.04.2022 tarihinde erişilmiştir. Karimpanal, G., Thommen- Bouffanais, R.(2019) Self-organizing maps for storage and transfer of knowledge in reinforcement learning. Adaptive Behavior, 27 (2), s. 111–126. Kişisel Verileri Koruma Kurumu. (2021). Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler, https://kvkk.gov.tr/SharedFolderServer/CMSFi- les/25a1162f-0e61-4a43-98d0-3e7d057ac31a.pdf adresinden alınmıştır. Tatar, Ü., Gokce, Y. Ve Nussbaum, B.(2020) Law versus technology: Blockchain, GDPR, and tough tradeoffs. Computer Law & Security Review, 38, s.1-11. Rieg, T. ve ark.(2020). Demonstration of the potential of white-box machine lear- ning approaches to gain insights from cardiovascular disease electrocardiograms. OVIC. (2019).Closer To The Machine. https://ovic.vic.gov.au/wp-content/uploa- ds/2019/08/closer-to-the-machine-web.pdf adresinden 10.04.2022 tarihinde alınmıştır. 59 58 » KVKK Bülten Temmuz 2023

-- 31 of 31 --