ARTICLE
18 November 2024

Esin DigiDiary (Turkish)

EA
Esin Attorney Partnership

Contributor

Esin Attorney Partnership  logo
Esin Attorney Partnership, a member firm of Baker & McKenzie International, has long been a leading provider of legal services in the Turkish market. We have a total of nearly 140 staff, including over 90 lawyers, serving some of the largest Turkish and multinational corporations. Our clients benefit from on-the-ground assistance that reflects a deep understanding of the country's legal, regulatory and commercial practices, while also having access to the full-service, international and foreign law advice of the world's leading global law firm. We help our clients capture and optimize opportunities in Turkey's dynamic market, including the key growth areas of mergers and acquisitions, infrastructure development, private equity and real estate. In addition, we are one of the few firms that can offer services in areas such as compliance, tax, employment, and competition law — vital for companies doing business in Turkey.
Dijital çağın hızla genişleyen sınırları, bilgiye ve eğlenceye erişimi kolaylaştırarak çocuklar için keşfedilmeyi bekleyen bir dünyanın kapılarını aralıyor. Ancak söz konusu dijital...
Turkey Privacy

İNTERNET

Canlı Yayın, Oyun ve Yaratıcı Hikaye Platformlarına Yönelik Erişim Engeli Kararları

Dijital çağın hızla genişleyen sınırları, bilgiye ve eğlenceye erişimi kolaylaştırarak çocuklar için keşfedilmeyi bekleyen bir dünyanın kapılarını aralıyor. Ancak söz konusu dijital dünya, kişisel verilerin güvenliği, siber zorbalık ve çocukların mahremiyetinin ve güvenliğinin sağlanması açısından birtakım riskleri de beraberinde getiriyor. Nitekim, 5651 sayılı "İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'un ("İnternet Kanunu") 8 ve 8/A maddelerine dayalı olarak bazı canlı yayın, oyun ve yaratıcı hikaye platformlarına yönelik arka arkaya verilen erişim engeli kararları da söz konusu risklerin Türk kamu makamlarının radarında olduğuna işaret etmektedir.

İnternet Kanunu madde 8, çocukların cinsel istismarı ve müstehcenlik gibi ilgili maddede sıralanan katalog suçların internet ortamında işlenmesine dair yeterli şüphenin bulunması durumunda ilgili içeriğin çıkarılması ve/veya erişimin engellenmesi kararına imkan tanırken; madde 8/A milli güvenlik ve kamu düzeninin korunması, suç işlenmesinin önlenmesi gibi gecikmesinde sakınca bulunan hallerde ilgili içeriğin çıkarılması ve/veya içeriğe erişimin engellenmesini düzenlemektedir.

Kamuya açık kaynaklarda yer aldığı üzere, iki canlı yayın platformu, bir oyun platformu ve bir yaratıcı hikaye platformu hakkında erişimin engellenmesi kararları verilmiştir.

Söz konusu erişim engeli kararları, dijital platformlarda çocukların korunmasına yönelik denetimlerin ve güvenlik tedbirlerinin sıkılaştırılacağını göstermektedir. Bu doğrultuda, dijital platformların ve sosyal ağ sağlayıcıların çocukların güvenliğini sağlamaya yönelik gerekli tedbirleri alarak kamu kurumlarıyla iş birliği içinde hareket etmesi kritik önem arz etmektedir.

YAPAY ZEKA

Yapay Zeka Sistemlerinin Kullanımına İlişkin Kanun Teklifi

Yapay zeka teknolojilerinin kullanımına ilişkin Yapay Zeka Kanun Teklifi ("Kanun Teklifi"), 25 Haziran 2024 tarihinde Türkiye Büyük Millet Meclisi'ne sunuldu. Kanun Teklifi, yapay zeka sistemleri ile ilgili Türkiye Büyük Millet Meclisi'ne sunulan ilk mevzuat çalışması olması nedeniyle dikkat çekmektedir. Kanun Teklifi'ne ek olarak, (i) dijital dönüşüm ve yapay zeka stratejileri kapsamında çeşitli hedeflere yer verilen 2025-2027 yıllarına yönelik Orta Vadeli Program'ın ve (ii) yapay zeka sistemlerinin kullanılmasının teşvik edilmesine yönelik aksiyon planları içeren 2024-2025 Ulusal Yapay Zeka Stratejisi Eylem Planı'nın yayımlanması gibi gelişmeler, önümüzdeki dönemde yapay zeka alanında yasama faaliyetlerinin hız kazanacağına işaret etmektedir.

Söz konusu Kanun Teklifi, 1 Ağustos 2024 itibariyle kademeli olarak yürürlüğe giren ve dünya genelinde merakla takip edilen Avrupa Birliği Yapay Zeka Yasası'na ("Yapay Zeka Yasası") paralel hükümler içermektedir. Buna göre, yapay zeka teknolojisinin güvenli, etik ve adil bir şekilde kullanılmasını ve kişisel verilerin korunmasını amaçlayan Kanun Teklifi, yapay zeka teknolojisi içeren sistemlerin sağlayıcılarına, satıcılarına, kullanıcılarına, ithalatçılarına ve dağıtıcılarına çeşitli yükümlülükler getirmektedir.

Yapay Zeka Yasası, sağlayıcılar tarafından kullanılan yapay zeka sistemlerini ayrıntılı olarak ele almakta ve söz konusu sistemleri; (i) yasaklı, (ii) yüksek riskli ve (iii) asgari risk teşkil eden veya (iv) risk teşkil etmeyen yapay zeka sistemleri olarak sınıflandırmaktadır. Bununla beraber, Kanun Teklifi böyle bir sınıflandırma öngörmeksizin yalnızca yüksek riskli yapay zeka sistemleri için özel önlemler alınması gerektiğini belirterek yapay zeka sistemlerinin geliştirilmesi ve kullanımı sırasında risk değerlendirmesi yapılmasını düzenlemektedir. Buna göre, yüksek riskli yapay zeka sistemlerinin ilgili alanda yetkilendirilecek olan idari denetim makamlarına kaydedilmesi ve uygunluk testine tabi tutulması gerekmektedir. Söz konusu risk değerlendirmesi ve uygunluk değerlendirmesi mekanizmaları ile, yapay zeka sistemlerinin topluma fayda sağlaması ve olası zararların en aza indirilmesi hedeflenmektedir. Öte yandan, Kanun Teklifi'nde, Yapay Zeka Yasası'ndan farklı olarak, risk değerlendirmesinin ne şekilde yapılması gerektiğine ilişkin kriterlere yer verilmediğinden, Kanun Teklifi kapsamında hangi sistemlerin yüksek riskli yapay zeka sistemi olarak değerlendirileceği ve kayıt yükümlülüğüne tabi olacağı belirlenmemiştir.

Kanun Teklifi ayrıca, yapay zeka operatörleri bakımından, kullanılan yapay zeka sistemlerinin Kanun Teklifi'ne ve ikincil düzenlemelere uygunluğunu sağlama yükümlülüğü öngörmektedir. Buna göre, "yapay zeka operatörleri"; sağlayıcılar, dağıtıcılar, kullanıcılar, ithalatçılar ve distribütörler olmak üzere yapay zeka ekosistemindeki tüm paydaşları kapsamaktadır. Yapay zeka operatörleri tarafından Kanun Teklifi'nde öngörülen uygunluk yükümlülüğü yerine getirilirken, yapay zeka sistemlerinin güvenliği, etik kullanımı, kişisel verilerin korunmasına uygun hareket edilmesi ve ayrımcılık yapılmaması gibi temel ilkelerin göz önünde bulundurulması gerektiği vurgulanmaktadır.

Kanun Teklifi, Yapay Zeka Yasası'na benzer şekilde, (i) yasaklanan yapay zeka sistemlerinin kullanımı, (ii) Kanun Teklifi'nde belirlenen yükümlülüklerin ihlali, ve (iii) denetim makamlarına yanlış bilgi sağlanması halinde yapay zeka operatörleri bakımından idari para cezası öngörmektedir. Bununla birlikte, Yapay Zeka Yasası'nın aksine, Kanun Teklifi, söz konusu idari para cezalarının uygulanmasına ilişkin koşulları belirlemeksizin çerçeve bir hüküm getirmekle yetinmiştir.

Yapay Zeka Yasası'na kıyasla detaylı hükümler içermeyen ve genel bir çerçeve çizen Kanun Teklifi henüz komisyonda değerlendirme aşamasındadır. Bununla beraber, Kanun Teklifi, yapay zeka sistemlerine ilişkin yasama faaliyetlerine yönelik ilk adımın atılmasına vesile olarak ilerleyen süreçte Türkiye'de de yapay zeka sistemlerinin geliştirilmesini, kullanılmasını ve yapay zeka içeren sistemlerin piyasaya arzını düzenleyen uluslararası normlar ile uyumlu bir düzenlemenin hazırlanması bakımından önemli bir kapıyı aralamaktadır.

Kanun Teklifi'ne buradan ulaşabilirsiniz.

Ticari Elektronik İleti Yönetim Sistemi Entegratörleri Hakkında Tebliğ Yayımlandı

Ticaret Bakanlığı tarafından hazırlanan Ticari Elektronik İleti Yönetim Sistemi Entegratörleri Hakkında Tebliğ ("Tebliğ"), 18 Eylül 2024 tarihli ve 32666 sayılı Resmi Gazete'de yayımlandı. Tebliğ esas olarak, ticari elektronik ileti gönderimi yapan veya adına gönderim yapılan ve İleti Yönetim Sistemi'ne ("İYS") kayıt olmakla yükümlü gerçek veya tüzel kişilerin, alıcılardan aldığı onay ve ret bilgilerinin İYS'ye kaydının üçüncü bir şirketten hizmet alınarak gerçekleştirilmesi için yetkilendirme rejimi öngörmektedir. Tebliğ, söz konusu hizmeti verebilecek olan şirketleri "entegratör" olarak tanımlayarak, (i) ticari elektronik ileti onay ve ret bilgilerinin İYS'ye kaydedilmesi işlemlerinin entegratörler aracılığıyla gerçekleştirilmesi, (ii) entegratörlerin yetkilendirilmesi ve (ii) söz konusu yetkilerin iptaline ilişkin usul ve esasları düzenlemektedir.

Tebliğ, hizmet sağlayıcılara entegratör olarak hizmet verilebilmesi için Ticaret Bakanlığı'ndan yetki alınması gerektiğini belirtmekte ve entegratörlük yetkisi için müracaat edeceklerin sağlaması gereken şartları düzenlemektedir. İlgili şartları sağlayan şirketler, Tebliğ'de yetki başvurusu için gerekli olduğu belirlenen belgeler ile Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik madde 10/A kapsamında Ticaret Bakanlığı'nca belirlenen kuruluşa müracaatta bulunabilecektir.

Tebliğ, entegratör olarak hizmet sunacak olan şirketlere çeşitli yükümlülükler getirmekte ve ilgili yükümlülüklerin yerine getirilmemesi halinde uygulanacak yaptırımları düzenlemektedir. Buna göre, entegratörlerin (i) mevzuata uygun bir şekilde hizmetleri sunma, (ii) gerekli teknik tedbirleri alma, (iii) faaliyetleri sırasında elde ettiği kişisel verilerin muhafazasını sağlama, (iv) elde ettiği ticari sır niteliğindeki bilgilerin gizliliğini temin etme yükümlülüğü bulunmaktadır. Ek olarak, entegratörlerin, kayıtları saklama yükümlülüğü kapsamında, ticari elektronik ileti göndermek üzere alıcılardan alınan onay ve ret bilgilerini saklaması durumunda, bunların ibrazından hizmet sağlayıcı ile birlikte müteselsilen sorumlu olduğu düzenlenmektedir. Tebliğ, söz konusu yükümlülüklere aykırı davranan veya entegratör olabilmek için öngörülen şartlardan birini kaybeden entegratöre, aykırılığın giderilmesi için otuz gün süre verilmesini öngörmektedir. Verilen süre içinde aykırılığın giderilememesi veya şartların yeniden sağlanamaması halinde entegratörlük yetkisi, Ticaret Bakanlığı tarafından iptal edilebilecektir.

Tebliğ'e buradan ulaşabilirsiniz.

DÜNYADAN GELİŞMELER

Hollanda Veri Koruma Otoritesi, GDPR'a Uygun Aktarım Faaliyeti Gerçekleştirmeyen Veri Sorumlusuna Yaptırım Uyguladı

Hollanda Veri Koruma Otoritesi, 26 Ağustos 2024 tarihinde, yurt dışına kişisel veri aktarımları bakımından gerekli güvenceleri sağlamayan veri sorumlusu şirket hakkında 290 milyon Euro idari para cezası uyguladı. Hollanda Veri Koruma Otoritesi, temel olarak, söz konusu veri sorumlusu şirketin sunduğu hizmet kapsamında elde ettiği ve içerisinde özel nitelikli kişisel verilerin de yer alabildiği Avrupa'daki kullanıcılara ait kişisel verileri, Avrupa Genel Veri Koruma Tüzüğü'nde ("GDPR") öngörülen yurt dışına aktarım mekanizmalarından birine dayanmaksızın 27 ay boyunca Amerika'daki sunuculara aktardığını tespit etti.

İlgili veri sorumlusu şirket savunmasında, Avrupa'daki ve Amerika'daki iştirakinin ortak veri sorumlusu olduğunu ve her ikisinin de GDPR'a tabi olduğunu, aralarında bir aktarım gerçekleşmediğini, Avrupa'daki ilgili kişilerin kişisel verilerinin Amerika'daki iştirak tarafından doğrudan toplandığını ve bu nedenle, standart sözleşmeler gibi kişisel verilerin Avrupa Ekonomik Bölgesi dışına aktarılmasına yönelik aktarım mekanizmalarından birine dayanılmasına gerek olmadığını ileri sürmüştür. Karara konu veri sorumlusu şirket, savunmasında ayrıca, Avrupa Komisyonu'nun ("Komisyon") 2022 tarihli soru-cevap açıklamalarına yer vermiş ve bu açıklamaları esas alarak Amerika'daki iştirakinin standart sözleşmelere başvurmadığını ifade etmiştir. Söz konusu soru-cevap açıklamalarında, Komisyon, 2021 yılında GDPR kapsamında yayımlanan standart sözleşme metinlerinin, GDPR madde 3 uyarınca Avrupa Birliği dışında yer almasına rağmen GDPR'a tabi olan veri alıcıları bakımından uygulanabilir olmadığını, zira bu veri alıcılarının (i) halihazırda doğrudan GDPR'dan kaynaklanan yükümlülükleri bulunduğunu ve (ii) standart sözleşmelere de tabi olmaları halinde, standart sözleşme metinlerinde ve GDPR'da öngörülen yükümlülüklerin mükerrer hale geleceğini ve hatta çelişebileceğini belirtmiştir

Hollanda Veri Koruma Otoritesi, Avrupa'daki ilgili kişilerin kişisel verilerinin Amerika'daki iştirak tarafından doğrudan toplandığı argümanın gerçeği yansıtmadığını, Avrupa'daki iştirakin verilerin Amerika'ya aktarılması konusunda önemli bir etkisi ve yönlendirmesi olduğunu belirtmiştir. Bu sebeple, Hollanda Veri Koruma Otoritesi, Avrupa ve Amerika'daki iştirak arasında veri aktarımı gerçekleştiği sonucuna varmıştır. Bu değerlendirmeden hareketle, Hollanda Veri Koruma Otoritesi, Komisyon'un açıklamalarının, karara konu veri sorumlusu şirketin GDPR uyarınca öngörülen aktarım mekanizmalarından herhangi birine dayanmaksızın kişisel veri aktarımı gerçekleştirebileceği şeklinde yorumlanmaması gerektiğini vurgulamış ve iki iştirak arasında gerçekleşen aktarımın GDPR'a uygun bir şekilde gerçekleştirilmediğini belirtmiştir. Hollanda Veri Koruma Otoritesi'ne göre, ilgili veri sorumlusu şirket, Komisyon görüşüne paralel olarak standart sözleşmeye dayalı bir aktarım faaliyeti gerçekleştirmiyor olsa bile, örneğin bağlayıcı şirket kuralları gibi GDPR'da öngörülen diğer mekanizmalara başvurması mümkündür.

Komisyon, Hollanda Veri Koruma Otoritesi kararını takiben, 12 Eylül 2024 tarihinde, 2024 yılının dördüncü çeyreğinde, Avrupa Birliği dışında yerleşik olup doğrudan GDPR'a tabi olan veri alıcılarının aktarım faaliyetlerini kapsayacak yeni bir standart sözleşme modülünü kamuoyunun görüşüne sunmayı; 2025 yılının ikinci çeyreğinde ise söz konusu modülü yayımlamayı planladığını duyurmuştur.

Karar'a buradan (İngilizce), Komisyon'un yeni standart sözleşme seti yayınlanacağına ilişkin duyurusuna ise buradan (İngilizce) ulaşabilirsiniz.

Avrupa Komisyonu Veri Yasası Hakkında Sıkça Sorulan Soruları Yanıtladı

Komisyon, 6 Eylül 2024 tarihinde, verilerin kullanımı için adil bir ortam sağlayarak verilere erişimi artırmayı amaçlayan ve 11 Ocak 2024 tarihinde yürürlüğe giren Veri Yasası hakkında sıkça sorulan sorulara ilişkin yanıtlarını ("Sıkça Sorulan Sorular") yayımladı. Söz konusu yanıtlar, Veri Yasası'nın GDPR ve diğer Avrupa Birliği mevzuatı ile ilişkisi, Veri Yasası'nın uygulama alanı kapsamındaki veriler, bağlantılı ürünlerin içeriği, hangi kullanıcılar bakımından Veri Yasası'nın uygulama alanı bulduğu, kimlerin veri sahibi olarak değerlendirileceği, üçüncü tarafların kullanıcılar ile ilişkileri ve ticari sırların yeterli düzeyde korunması dahil olmak üzere çeşitli konularda yükümlülere yol göstermektedir. Bu kapsamda, ilgili soru ve cevaplarda öne çıkan hususlar aşağıdaki gibidir:

  • Komisyon, veri paylaşım yükümlülüğünün kapsamının Avrupa Birliği içindeki -tüketiciler de dahil olmak üzere- kuruluşlar ve kişilerle sınırlı olduğunu, bu nedenle Avrupa Birliği üyesi olmayan bir ülkede yerleşik üçüncü kişinin veri paylaşımı içinde yer alamayacağını belirtmiştir. Başka bir ifade ile, Avrupa Birliği'nde yer almayan operatörlere veri erişiminin sağlanmasının Veri Yasası ile meşrulaştırılması mümkün değildir.
  • Ek olarak, Veri Yasası'nın ticari sırların korunmasıyla ilgili mevzuatın önüne geçmemesi gerektiği belirtilmiştir. Bununla birlikte, veri sahibi, bir veri erişimi talebi aldığında, söz konusu erişimin sağlanması halinde ifşa edilebilecek olan ticari sırları belirleyerek bu verilerin güvenliğinin ve gizliliğinin sağlanması bakımından önlemler alınması için kullanıcı ve üçüncü taraflarla anlaşmalıdır. Söz konusu önlemlerin alınmaması halinde veri sahibi, veri erişimini durdurabilecektir. Ek olarak, veri sorumlusu, somut gerekçelerle ticari sırlarının açıklanmasından dolayı ciddi ekonomik zarara uğrayacağını gösterebiliyor olması halinde Veri Yasası'ndaki koşulları sağlamak kaydıyla veri erişimi talebini reddedebilecektir.

Komisyon tarafından yayımlanan Sıkça Sorulan Sorular, bağlayıcı nitelikte olmamakla beraber, Veri Yasası'nın etkilediği aktörler bakımından pratik bilgiler sağlamaktadır. Bu anlamda, bireyler ve özel sektör arasındaki veri akışını ve verilere ilişkin temel hakları düzenlemeyi amaçlayan Veri Yasası'nın uygulaması konusunda, ilgili paydaşların söz konusu açıklamaları incelemesi önem arz etmektedir.

Sıkça Sorulan Sorular'a buradan (İngilizce), Veri Yasası'na ilişkin ayrıntılı bilgi için ilgili hukuk bültenimize buradan ulaşabilirsiniz.

İngiltere Veri Koruma Otoritesi, Veri Koruma Mevzuatına Uyum Kapsamında Denetim Kiti Yayımladı

İngiltere Veri Koruma Otoritesi (İng. Information Commissioner's Office) ("ICO"), 7 Ekim 2024 tarihinde, ilgililerin, veri işleme faaliyetlerini mevzuata uygun olarak gerçekleştirip gerçekleştirmediğini belirlemesine yardımcı olma amacıyla Veri Koruma Denetim Kiti'ni ("Denetim Kiti") yayımladı.

Denetim Kiti, kamu ve özel sektörde yer alan ve halihazırda kişisel verilerin korunması mevzuatına uyum sağlamakla yükümlü kuruluşların, gerekli uyumun sağlanıp sağlanmadığını denetlerken esas alabileceği kriterleri derleyerek 9 farklı araç seti sunmaktadır:

  1. Hesap Verilebilirlik: Hesap verilebilirlik araç seti, kişisel veri işleme faaliyetlerinin mevzuata uygun bir şekilde yerine getirilmesi bakımından proaktif bir yaklaşım sergilenmesini beklemektedir ve buna yönelik olarak ilgili şirketlere tavsiyeler sunmaktadır.
  2. Kayıt Yönetimi: Kayıt yönetimi araç seti, şirketlerin faaliyetleri kapsamında işledikleri kişisel verilerin saklanma politikalarına ilişkin yönlendirici bilgilere yer vermektedir.
  3. Bilgi ve Siber Güvenlik: Bilgi ve siber güvenlik araç seti, bilgilerin bütünlüğü, kullanılabilirliği ve güvenliği değerlendirilirken kullanılabilecek bir kontrol listesi sağlamaktadır. Bu kapsamda araç seti ile, kuruluşlara bir siber güvenlik sertifikası sunmaktadır.
  4. Eğitim ve Farkındalık: Eğitim ve farkındalık araç seti, kuruluşlardaki personel eğitiminde dikkat edilmesi gereken hususları ortaya koymaktadır. Bu kapsamda Denetim Kiti, şirketlerden (i) faaliyet gösterdikleri sektöre özgü gerekliliklerin çalışan eğitim programına dahil edilmesini ve (ii) eğitim ihtiyaç analizi belgesi hazırlanmasını beklemektedir.
  5. Veri Paylaşımı: Veri paylaşımı araç seti, kişisel verilerin paylaşılabileceği halleri düzenlemektedir. Bu kapsamda, Denetim Kiti'nde şirketlerden veri paylaşımı faaliyetlerindeki risklerin değerlendirilmesi ve risklerin nasıl minimize edileceğinin belirlenmesi için bir Veri Koruma Etki Değerlendirmesi gerçekleştirilmesinin beklendiği belirtilmektedir.
  6. Erişim Talepleri: Erişim talepleri araç seti, kişisel verilere erişim taleplerine etkili bir şekilde yanıt vermek için alınması gereken önlemleri ortaya koymaktadır.
  7. Kişisel Veri İhlal Yönetimi: Kişisel veri ihlali yönetimi araç seti, kişisel veri ihlalinin tespiti ve ihlalin önlenmesi için alınması gereken tedbirleri ortaya koymaktadır.
  8. Yapay Zeka: Yapay zeka araç seti, veri işleme faaliyetlerinde yer alan yapay zeka sistemlerine karşı kişisel verilerin güvenliğinin sağlanması için alınması gereken önlemleri ortaya koymaktadır.
  9. Yaşa Uygun Tasarım: Yaşa uygun tasarım araç seti, çocukların kişisel verilerinin çevrimiçi ortamda korumak için GDPR kapsamındaki yükümlülüklere uyulup uyulmadığını değerlendirmeye yardımcı olacak kriterleri belirlemektedir.

ICO, ayrıca, her araç setine ilişkin, kuruluşların kendi uyumluluk değerlendirmelerini yapmalarına ve iyileştirilmesi gereken alanlarda alınması gereken önlemleri belirlemelerine yardımcı olacak indirilebilir tetkik testleri de yayımlamıştır. Bu bakımdan, söz konusu Denetim Kiti, olası bir soruşturma halinde veri koruma otoritesinin soruşturmaya konu şirketin faaliyetlerinin mevzuata uygun olup olmadığını değerlendirirken esas alacağı kriterleri inceleme ve test etme fırsatı sunmaktadır.

Denetim Kiti'ne buradan (İngilizce) ulaşabilirsiniz.

Avrupa Veri Koruma Kurulu, Veri İşleyen ve Alt Veri İşleyenlerin Dahil Olduğu Veri İşleme Faaliyetlerine İlişkin Yeni Bir Görüş Kabul Etti

Avrupa Veri Koruma Kurulu ("EDPB"), 7 Ekim 2024 tarihinde, veri işleyen ve alt veri işleyenlerin dahil olduğu veri işleme faaliyetleri bakımından veri sorumluları, veri işleyenler ve alt veri işleyenlerin sorumluluklarına ilişkin 22/2024 sayılı görüşü ("Görüş") kabul etti. Görüş, temel olarak GDPR madde 28 uyarınca veri sorumlularının, veri işleyenler ile alt veri işleyenlere karşı belirli yükümlülüklerinin yorumlanmasına ve veri sorumlusu ile veri işleyenler arasındaki sözleşmelerin lafzına ilişkin soruları ele almaktadır.

GDPR madde 28 uyarınca, veri sorumluları, ilgili kişilerin haklarının korunmasını sağlayacak uygun teknik ve idari tedbirleri alma hususunda yeterli güvenceleri sağlayan veri işleyenleri görevlendirmekle yükümlüdür. Buna göre, EDPB, veri aktaran tarafın veri işleyen veya alt veri işleyen olduğu durumlarda, ilgili kişilerin temel hak ve özgürlüklerine yönelik koruma seviyesinin sağlanması konusunda, veri sorumlularının yükümlülüğünün devam ettiğini belirtmektedir.

Görüş'e göre, veri sorumlularının, bir denetleyici makam tarafından talep edilmesi halinde, aktarımın (i) ilgili kişilerin temel hak ve özgürlüklerine zarar vermeyecek şekilde gerekli güvenlik düzeyi temin edilerek ve (ii) GDPR madde 28'de öngörülen yükümlülüklere uygun gerçekleştirildiğini belgelendirebiliyor olması gerekmektedir. Bu kapsamda veri sorumlularının, özellikle veri işleyen ve alt veri işleyenlerin yer aldığı devam eden aktarımlar bakımından, hesap verilebilirlik ilkesi kapsamında, aktarımın ilgili kişiler için uygun koruma seviyesi sağlanarak gerçekleştiğini belgelendirebilmesi beklenmektedir. Söz konusu belgelendirme, aktarımın sebebi, aktarım haritası ve uygun olduğu ölçüde aktarım etki değerlendirmesi gibi kaynaklar aracılığı ile sağlanabilecektir ve veri işleyenlerin, bu kapsamda, proaktif şekilde ilişkili olduğu alt veri işleyenlere ait bilgileri veri sorumlusuna sağlaması ve bu bilgileri güncel tutması gerekmektedir. Bu doğrultuda veri sorumlularının, veri işleyenlerin ve alt veri işleyenlerin dahil olduğu aktarımlarda, talepte bulunan ilgili denetleyici makama aktarım haritasını sağlayabilir durumda olması önem arz etmektedir.

Görüş uyarınca, alt veri işleyen ve veri işleyenlerin dahil olduğu aktarımın ilgili kişiler bakımından gerekli güvenlik düzeyini sağladığının bir denetleyici makam önünde belgelendirilememesi halinde, veri sorumlularının ve veri işleyenlerin GDPR madde 28 kapsamında sorumluluğu gündeme gelecektir.

Görüş'e buradan (İngilizce) ulaşabilirsiniz.

Avrupa Veri Koruma Kurulu, Meşru Menfaat Kapsamında Kişisel Verilerin İşlenmesine İlişkin Taslak Kılavuz Yayımladı

EDPB, 8 Ekim 2024 tarihinde, hukuka uygunluk sebeplerinden meşru menfaatin düzenlendiği GDPR madde 6(1)(f) kapsamında kişisel verilerin işlenmesine ilişkin olarak 1/2024 sayılı Taslak Kılavuz'u ("Taslak Kılavuz") yayımladı. Taslak Kılavuz, veri sorumlularının gerçekleştirdiği veri işleme faaliyetlerinin hangi hallerde meşru menfaate dayalı olarak gerçekleştirilebileceğine ilişkin olarak yönlendirici açıklamalar içermektedir.

Taslak Kılavuz temel olarak, meşru menfaat hukuki sebebinin, (i) veri sorumluları tarafından geniş bir şekilde yorumlanmaması ve (ii) diğer hukuka uygunluk sebeplerinden birine dayanılamadığı durumlarda veri işleme faaliyetlerini meşrulaştırmak için açık kapı olarak değerlendirilmemesi gerektiğini vurgulamaktadır.

Taslak Kılavuz uyarınca, meşru menfaat hukuki sebebine dayanabilmek için, meşru menfaatin niteliği ve kaynağı, söz konusu işleme faaliyetinin ilgili kişi üzerinde yaratacağı etki ve ilgili kişinin beklentisi gibi çeşitli hususların göz önünde bulundurulması gerekmektedir. Taslak Kılavuz ayrıca, veri sorumlusunun meşru menfaatinin olay bazlı olarak ele alınması gerektiğini belirterek dolandırıcılığın önlenmesi, doğrudan pazarlama faaliyetlerinin gerçekleştirilmesi, bilgi güvenliğinin sağlanması gibi çeşitli senaryolar kapsamında meşru menfaatin nasıl değerlendirilmesi gerektiğine ilişkin pratik önerilerde bulunmaktadır. Bu kapsamda, örneğin, meşru menfaate dayalı olarak kişisel verilerin doğrudan pazarlama faaliyetleri kapsamında işlendiği bir senaryoda, veri sorumluları, ilgili kişilerden veri işleme faaliyetine ilişkin aldığı itirazlara söz konusu itirazın haklılığına ilişkin bir değerlendirme yapmaksızın uyum sağlamalıdır. Bir başka ifade ile, veri sorumlusunun bu tür amaçlar doğrultusunda veri işleme faaliyetine devam etmesini haklı kılan zorlayıcı bir meşru menfaati olduğuna dair bir gerekçe göstermeye çalışarak ilgili kişinin itirazını reddetmemesi gerekmektedir.

Meşru menfaat kavramının veri sorumluları tarafından nasıl değerlendirilmesi gerektiğine ilişkin olarak ayrıntılı yönlendirmeler içeren Taslak Kılavuz, 20 Kasım 2024 tarihine kadar kamuoyu görüşüne açık olacaktır.

Taslak Kılavuz'a buradan (İngilizce), Taslak Kılavuz'a ilişkin kamuoyu görüşlerinin toplandığı sayfaya ise buradan (İngilizce) ulaşabilirsiniz.

Avrupa Birliği Konseyi, Siber Dayanıklılık Yasası'nı Kabul Etti

Avrupa Birliği Konseyi, donanım ve yazılım ürünlerinin daha az güvenlik açığı ile piyasaya sürülmesini amaçlayan ve dijital unsurlar içeren ürünlerin güvenliğini sağlamak konusunda dijital ekosistemde yer alan pek çok paydaşa çeşitli yükümlülükler getiren Siber Dayanaklılık Yasası'nı 10 Ekim 2024 tarihinde kabul etti. Siber Dayanıklılık Yasası; bağlantılı ev kameraları, buzdolapları, televizyonlar ve oyuncaklar gibi dijital unsurlar içeren ürünlerin yetkin düzeyde siber güvenlik önlemleri göz önünde bulundurularak tasarlanmasını, geliştirilmesini ve pazarlanmasını zorunlu kılmakta ve bu kapsamda üreticilere çeşitli yükümlülükler getirmektedir.

Siber Dayanıklılık Yasası, risk temelli bir yaklaşım ile ürünleri önemli dijital unsurlara sahip olmasına göre aşağıdaki şekilde sınıflandırmaktadır:

  1. Varsayılan Ürünler: Kritik güvenlik açıklarına sahip olmayan ürünlerdir. Avrupa Komisyonu, nesnelerin interneti (İng. "IoT") cihazları, dijital tüketici ürünleri ve diğer yaygın olarak kullanılan yazılım ve cihazları içeren ürünlerin %90'ının varsayılan ürünler kategorisine girmesi gerektiğini belirtmektedir.
  2. Kritik Ürünler: Varsayılan kategoriye kıyasla daha riskli ürünleri içermektedir. Kritik ürünler kendi içerisinde (i) Sınıf I ve (ii) Sınıf II olarak iki alt başlığa ayrılmaktadır. "Sınıf I" ürünler esas olarak, VPN'ler, anti-kötü amaçlı yazılımlar veya antivirüs yazılımı, endüstriyel IoT gibi özel nitelikli kişisel verilere sınırlı erişimi olan ve tüketicilerin kullanımına sunulan ürünlerden oluşmaktadır. Sınıf I altında yer alan ürünlerin siber güvenlik tehlikesi ile karşılaşması halinde ciddi bir etki doğmadığı kabul edilmektedir. Buna karşılık, "Sınıf II" kapsamında yer alan ürünler, Sınıf I'e göre daha yüksek siber güvenlik riski taşımaktadır ve ele geçirilmesi halinde bireyler, kuruluşlar veya toplum üzerinde önemli olumsuz etkileri olabilecek dijital ürün ve hizmetleri içermektedir. Bu sınıf altında yer alan ürünlere, tıbbi cihazlar, özel nitelikli kişisel veriler veya finansal veriler işleyen ürünler örnek olarak gösterilmektedir.

Siber Dayanıklılık Yasası uyarınca, ürünlerin yer aldığı sınıfa göre üreticilerin, distribütörlerin ve hizmet sağlayıcıların yükümlülükleri farklılık göstermektedir. Buna göre, Siber Dayanıklılık Yasası; siber güvenliği sağlama riski arttıkça, söz konusu ürünün siber güvenlik gereksinimlerini nasıl karşıladığına dair ayrıntılı raporlamalar hazırlama, bağımsız değerlendirmeler yapıldığını belgelendirme ve güvenlik açıklarının tespitinin daha titiz bir şekilde yapılması gibi daha katı yükümlülükler öngörmektedir.

Dijital unsurlar içeren ürünlerin güvenliğini sağlamak konusunda dijital pazarda yer alan pek çok aktörü etkileyecek olan Siber Dayanıklılık Yasası'nın Avrupa Birliği Konseyi tarafından kabul edilmesinin ardından, Avrupa Birliği Konseyi ve Avrupa Parlamentosu tarafından imzalanması ve akabinde, Avrupa Resmi Gazetesi'nde yayımlanması beklenmektedir. Siber Dayanıklılık Yasası, Avrupa Resmi Gazetesi'nde yayımlandıktan yirmi gün sonra kademeli olarak yürürlüğe girecektir.

Siber Dayanıklılık Yasası'na buradan (İngilizce) ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More