Anayasa Mahkemesi İnternet Kanunu Hükümlerini İptal Etti

Anayasa Mahkemesi, 10 Ocak 2024 tarihli Resmi Gazete'de yayımlanan 2020/76 sayılı Kararı ("AYM Kararı") ile, 10 Kasım 2024 tarihinde yürürlüğe girmek üzere, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'un ("İnternet Kanunu") 8. maddesini kısmen, 9. maddesini ise tamamen iptal etti.

AYM, İnternet Kanunu'nun 8. maddesinin 4. ve 11. fıkralarında düzenlenen içeriğin çıkarılması imkanının bir idari tedbir olarak düzenlendiğini, ancak söz konusu tedbirin, ceza yargılaması sürecinden kopuk ve Bilişim Teknolojileri ve İletişim Kurumu ("BTK") başkanı tarafından yapılacak bir suç tespitine bağlı olarak uygulanan, nihai bir tedbir olduğunu belirtti. Bu kapsamda, AYM Kararı'na göre, ceza kanunlarında suç olarak düzenlenen eylemler bakımından, varlığı kesinleşmiş bir mahkeme kararıyla tespit edilmeksizin, idari bir makamın yapacağı suç tespitine bağlı olarak nihai bir tedbir mahiyetinde olan içeriğin çıkarılması kararı verilmesi ve bu kararın icra edilmemesi durumunda idari para cezası uygulanması masumiyet karinesini ihlal etmektedir. Dolayısıyla, Anayasa Mahkemesi, adil yargılanma hakkını düzenleyen Anayasa'nın 36. maddesi ile masumiyet karinesini güvence altına alan Anayasa'nın 38. maddesine aykırı olduğu gerekçesiyle, BTK tarafından erişimin engellenmesi dışında içeriğin yayından çıkarılması kararı verilmesine ve ilgili içerik, yer ve erişim sağlayıcılara idari para cezası kesilmesine ilişkin İnternet Kanunu'nun 8. maddesinin ilgili kısımlarının iptaline karar verdi.

Anayasa Mahkemesi, İnternet Kanunu'nun 9. maddesi bakımından ise, iptal davasına konu kuralların, internet ortamında yapılan yayınların içeriğinin yayından çıkarılabilmesine ve/veya bu yayınlara erişimin engellenmesine imkân tanımak suretiyle ifade özgürlüğünü (Anayasa'nın 26. maddesi) ve bu yayının internet haberciliği kapsamındaki bir yayın da olabileceği gözetildiğinde basın özgürlüğünü (Anayasa'nın 28. maddesi) sınırlandırdığını belirtti. Anayasa Mahkemesi, bu değerlendirmeden hareketle, kişilik hakları ihlallerine dayalı kararların erişimin engellenmesi yanında içeriğin çıkarılması şeklinde uygulanmasına ilişkin hükmü Anayasa'ya aykırı buldu. Benzer şekilde, Erişim Sağlayıcıları Birliği tarafından kişilik hakkı ihlali kararlarının aynı nitelikte olan başka içerikler bakımından da içeriğin yayından çıkarılması şeklinde uygulanmasına ilişkin hükmü ve mahkeme tarafından verilen erişimi engelleme kararına konu internet adresleri ile başvuranın adının arama motorunda ilişkilendirilmemesine imkan veren hükmü de Anayasa'ya aykırı buldu.

Anayasa Mahkemesi, İnternet Kanunu'nun 9. maddesi kapsamındaki kuralların Anayasa'ya aykırılığını değerlendirirken, bireysel başvuruya ilişkin 27 Ekim 2021 tarihli 2018/14884 sayılı Keskin Kalem Yayıncılık ve Ticaret A.Ş. kararındaki değerlendirmelerine atıf yaptı. Buna göre, Anayasa Mahkemesi, İnternet Kanunu'nun 9. maddesine ilişkin olarak, içeriğinin sınırlanmasına yönelik kademeli bir müdahale yöntemi sunmadığı, bu maddeye dayalı olarak verilen mahkeme kararlarının gerekçesiz olduğu ve genel ifadeler içerdiği, maddenin uygulanması sürecinde çatışan haklar arasında adil bir denge kurulmadığı ve kamusal makamların takdir yetkisinin sınırlandırılması gerektiğinin altını çizerek, söz konusu maddenin yargılama hukukunun usule ilişkin güvencelerinin yanında demokratik toplum düzeninin gereklerine uygun ve orantılı karar verilmesini sağlayacak güvenceleri barındırmadığını ifade etti.

AYM Kararı'na buradan ulaşabilirsiniz.

Kişisel verilerin korunması

Anayasa Mahkemesi Sulh Ceza Hakimliklerinin Kişisel Verileri Koruma Kurumu Kararlarına İtirazları Gerekçesiz Reddetmesi Hakkında Karar Yayımladı

Anayasa Mahkemesi'nin, Kişisel Verileri Koruma Kurumu ("Kurum") tarafından uygulanan idari para cezasına itirazın Sulh Ceza Hakimliği tarafından başvurucunun iddiaları değerlendirilmeksizin gerekçesiz olarak reddedilmesinin mülkiyet hakkını ihlal ettiğine ilişkin 2020/7518 sayılı kararı ("Karar"), 15 Aralık 2023 tarihli Resmi Gazete'de yayımlandı.

Karara konu olayda, Kurum, holding şirketi konumunda olan veri sorumlusu hakkında, veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle 1.450.000 TL idari para cezası uygulanmasına karar vermiştir.

Veri sorumlusu, Kurum kararına ve karara konu olaya ilişkin iddia ve savunmalarını ilgili sulh ceza hakimliği önüne getirerek, idari para cezasının kaldırılması talebiyle itirazda bulunmuştur. Sulh ceza hakimliği tarafından, "idarece düzenlenen tutanak ile eylemin sabit olduğu, sabit bulunan eylemin oluşturduğu kabahat nedeni ile hakkında idari yaptırım kararı düzenlenen idari yaptırımın yasa ve usule uygun olduğu" belirtilerek veri sorumlusunun itirazı reddedilmiştir. Veri sorumlusu, akabinde, ilgili sulh ceza hakimliği kararına da itirazda bulunmuş, ancak bu itirazı da, benzer şekilde, "verilen kararda usule ve yasaya aykırılık bulunmadığı, verilen kararda değiştirilecek bir husus bulunmadığı" ifade edilerek reddedilmiştir. İlk derece ve itiraz makamının idari para cezasını yasa ve usule uygun bularak veri sorumlusunun itirazını reddetmesi üzerine, veri sorumlusu, ilk derece mahkemesi tarafından yeterli ve gerekli inceleme yapılmaksızın itirazın reddine karar verildiğini ileri sürerek Anayasa Mahkemesi'ne bireysel başvuruda bulunmuştur

Anayasa Mahkemesi, Karar'da, idari para cezasının veri sorumlusunun mal varlığında eksilmeye yol açtığını, dolayısıyla söz konusu cezanın başvurucunun mülkiyet hakkına müdahale oluşturduğunu belirtmiştir. Buna göre, mülkiyet hakkına yapılan müdahaleler orantılı olmalı, müdahale ile ulaşılmak istenen amaç ve araç arasında adil bir denge kurulmalıdır. Anayasa Mahkemesi, başvuruya konu olay bakımından, derece mahkemelerinin başvurucunun yargılamanın bütününü etkileyecek nitelikte olan iddialarını değerlendirmeden, gerekçesiz olarak karar verdiğini gözeterek, müdahalenin Anayasa Mahkemesi, Karar'da, idari para cezasının veri sorumlusunun mal varlığında eksilmeye yol açtığını, dolayısıyla söz konusu cezanın başvurucunun mülkiyet hakkına müdahale oluşturduğunu belirtmiştir. Buna göre, mülkiyet hakkına yapılan müdahaleler orantılı olmalı, müdahale ile ulaşılmak istenen amaç ve araç arasında adil bir denge kurulmalıdır. Anayasa Mahkemesi, başvuruya konu olay bakımından, derece mahkemelerinin başvurucunun yargılamanın bütününü etkileyecek nitelikte olan iddialarını değerlendirmeden, gerekçesiz olarak karar verdiğini gözeterek, müdahalenin

Karar'a buradan ulaşabilirsiniz.

Kurum, Yeni Karar Özetleri Yayımladı

Basın Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun Teklifi ("Değişiklik Kanunu") 13 Ekim 2022'de TBMM'de kabul edildi ve 18 Ekim 2022'de Resmi Gazete'de yayımlandı. Değişiklik Kanunu ile Basın Kanunu'nun kapsamı genişletildi ve internet haber sitelerine yönelik yeni düzenlemeler getirildi. Değişiklik Kanunu'nun 29 ve 30. maddeleri ile Türk Ceza Kanunu'na "halkı yanıltıcı bilgiyi alenen yayma" suçu eklendi.

  • 15 Haziran 2023 tarihli ve 2023/1041 sayılı karar: Kararda, ilgili kişi, veri sorumlusu tarafından satışa sunulan ürünün (i) gizlilik ve aydınlatma metinleri işaretlenmeksizin ve (ii) kişisel verilerin yurt dışına aktarılmasına ilişkin açık rıza metnine onay verilmeksizin satışına izin verilmediği gerekçesiyle, veri sorumlusu aleyhine Kurum nezdinde şikayette bulunmuştur. Kurum, yaptığı değerlendirmede, veri sorumlusunun internet sitesini değerlendirmiş ve yurt dışına veri aktarımına ilişkin açık rızaya internet sitesi üzerinden yapılan satışlarda yer verildiği, ancak kişisel verilerinin yurt dışına aktarılmasına açık rıza vermeyen müşteriler için müşteri hizmetleri aracılığıyla kullanılabilen alternatif bir satış kanalının bulunduğu ve bu kanalın herhangi bir ek maliyet/yükümlülük öngörmeksizin müşterilere alışveriş olanağı sunduğu tespit etmiştir. Bu kapsamda, Kurum, ilgili kişinin, herhangi bir zarara uğramadan ve kişisel verilerinin yurt dışına aktarılmasına izin vermek zorunda bırakılmadan ürünü temin edebildiğinden hareketle, yalnızca, veri sorumlusunun üyelik ve satış ekranlarında alternatif satış kanalına ilişkin yolun açık ve anlaşılır biçimde gösterilmesi hususunda talimatlandırılmasına karar vermiştir. Gizlilik ve aydınlatma metinlerine ilişkin işaretlemenin zorunlu tutulması bakımından ise, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirdiğini, ve bu nedenle Kişisel Verilerin Korunması Kanunu'na ("KVKK") aykırılık bulunmadığını belirtmiştir. İlgili karar özetine buradan ulaşabilirsiniz.
  • 17 Ağustos 2023 tarihli ve 2023/1430 sayılı karar: Kararda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin telefon ve T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine, konu hakkında Kurum tarafından resen inceleme başlatılmıştır. Yaptığı inceleme sonucunda Kurum, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceğini gözeterek, yemek kartı kullanıcıları tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın işveren aracılığıyla veri sorumlusuna iletilecek kart bilgisi veya telefon numarası gibi verilerle sağlanmasının ölçülülük ilkesine uygun olacağını belirtmiştir. Bu değerlendirmeden hareketle; Kurum, (i) KVKK'nın 4. maddesindeki kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğunu belirterek KVKK'nın 12. maddesinin 1. fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına; (ii) T.C. kimlik numarasının işlenmemesi için gerekli teknik ve idari tedbirleri alması ve sonucu hakkında Kurum'a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına; (iii) işlenmesini gerektiren hukuki sebebi olmayan T.C. kimlik numaralarının KVKK'nın 7. maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'e uygun bir biçimde imha edilmesi, imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile Kurum'a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir. İlgili karar özetine buradan ulaşabilirsiniz.
  • 3 Ağustos 2023 tarihli ve 2023/1321 sayılı karar: Kararda, ilgili kişi, daha önce ortağı olduğu veri sorumlusu şirketten ayrılarak yeni bir şirket kurduğunu ancak veri sorumlusu şirketin ortağıyken sahip olduğu e-posta adresinin hala veri sorumlusu tarafından aktif olarak kullanıldığı ve e-postaları okunduğu için kişisel verilerinin haksız bir şekilde işlendiğini belirtmiştir. Veri sorumlusu, Kurum'a iletmiş olduğu cevabında, ilgili kişiye ait olan e-posta adresinin, ilgili kişi ortaklıktan ayrıldığı zaman kapatıldığını ve silinen e-posta adreslerinin, veri sorumlusu şirkete ait uzantıya sahip olduğunu ve bu adrese gönderilen e-postaların "tanımsız e-posta" olarak yönetici e-posta hesabına düştüğünü ifade etmiştir. Kurum, yapmış olduğu değerlendirmede, veri sorumlusu nezdindeki ortaklığını bitirdiğini bilmeyen eski bir müşterinin ilgili kişinin eski e-posta adresine mesaj ilettiğini, söz konusu mesajı okuyan veri sorumlusu şirket yetkilisinin ilgili müşteriyle iletişime geçtiğini tespit etmiştir. Dolayısıyla, tanımsız e-posta olarak adlandırılmış bile olsa, ilgili kişinin işten ayrılmasından sonra tanımsız e-postasındaki iletilerinin görüntülenmesine imkan sağlanmak suretiyle veri sorumlusunun kişisel veri işlemeye devam ettiğini ve KVKK'nın 5. maddesindeki herhangi bir işleme şartına dayanmadığını belirtmiştir. Bu değerlendirmeden hareketle (i) KVKK'nın 18. maddesi uyarınca veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına; (ii) söz konusu sistemin işten ayrılan kişilere ilişkin kişisel veri işlenme faaliyetine devam edilmemesini sağlayacak şekilde düzeltilerek sonucuna ilişkin Kurum'a bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına ve (iii) şikayete konu kişisel verilerin imha edilerek sonucundan Kurum'a bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar vermiştir. İlgili karar özetine buradan ulaşabilirsiniz.

Kurum'un yayımlamış olduğu diğer karar özetlerine buradan ulaşabilirsiniz.

Kurum, T.C. Kimlik Numaralarının İşlenmesi Hakkında Rehber Yayımladı

Kurum, 16 Ocak 2024 tarihinde, kendisine intikal eden muhtelif sayıdaki şikayet sebebiyle, kişisel veri niteliğindeki T.C. kimlik numaralarının, KVKK ve ikincil mevzuata uygun bir şekilde işlenebilmesi için yol göstermeyi amaçlayan Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber ("Rehber") yayımladı.

Rehber'de, e-ticaret, kargo, taşımacılık, elektronik haberleşme, sigortacılık gibi sektörlerin yanı sıra kamu kurum ve kuruluşları tarafından sunulan hizmetlerde T.C. kimlik numarasının işlenmesine ilişkin ilgili mevzuat hakkında detaylı bilgiler yer alıyor.

Rehber'de, T.C. kimlik numaralarının elde edilmesinin bununla ilişkilendirilmiş olan diğer kişisel verilere ulaşılmasına imkan sağladığı ve ilgili kişiler üzerinde önemli olumsuz etkiler doğurabileceği değerlendiriliyor. Bu değerlendirmeye paralel olarak, Rehber, T.C. kimlik numarasının kanunda sayılan özel nitelikli kişisel veriler arasında yer almamasına rağmen, genel nitelikli kişisel veriler arasında oldukça önemli bir yere sahip olduğunu belirtiyor. Kişisel verilerin işlenmesi faaliyetlerinde genel ilkeler ile işleme şartlarının bir bütün olarak gözetilmesi gerektiğinin altını çizen Rehber, KVKK'nın 4. maddesinde yer alan "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü" olma ilkesinin T.C. kimlik numaralarının işlenmesi sürecinde önemli olduğunu ifade ediyor. Buna göre, T.C. kimlik numarasının işlenmesi bakımından, veri sorumlularının, kişisel verilerin korunması hakkına daha az müdahale eden bir yöntemin mevcut olup olmadığını incelemesi, varsa bu yöntemi tercih etmesi ve gerekli teknik ve idari tedbirleri alması gerekiyor.

Uygulamadaki kişilere yol göstermeyi hedefleyen Rehber'de, T.C. kimlik numarasının işlenmesini öngören mevzuat hükümleri listeleniyor. Bu kapsamda, gerçek kişiler tarafından ticari elektronik iletilere ilişkin Ticaret Bakanlığı'na şikayette bulunulması, posta gönderilerinin teslimi, esnaf tarafından ticari elektronik ileti gönderimi, posta gönderilerinin teslimi, anonim ve limited şirketlerin kuruluşunun ve tasfiyesinin tescili, yolculuk, etkinlik ve spor müsabakaları biletlemeleri gibi durumlar T.C. kimlik bilgilerinin işlenmesini öngören hallere örnek olarak gösterilmiş.

Ek olarak, Rehber, T.C. Kimlik numarası içeren belgelerin ya da kimlik bilgilerinin, kimlik tespiti ve sair amaçlarla yetkili mercilere ibrazı, gösterilmesi veya bildirilmesini gerektiren ilgili mevzuat hükümlerine de yer veriyor. Bu kapsamda, Rehber'de sayılan durumlardan bazıları, elektronik haberleşme sektöründe kimlik doğrulama işlemleri, elektronik ödeme hizmeti, mesafeli sözleşme yapılması, özel hastanelerde biyometrik yöntemlerle kimlik doğrulama şeklinde örneklendirilmiş.

Rehber'e buradan ulaşabilirsiniz.

Kurum, Mobil Uygulamalarda Mahremiyetin Korunmasına İlişkin Tavsiyeler Yayımladı

Kurum, 22 Aralık 2023 tarihinde, mobil cihazların genel kullanımının artmasıyla birlikte kişilerin yaşantısının bir parçası haline gelen mobil uygulamalarda, kişisel verilerin korunmasına ilişkin olarak Mobil Uygulamalarda Mahremiyetin Korunmasına İlişkin Tavsiyeler ("Tavsiye") yayımladı. Tavsiye, genel olarak, akıllı telefonlar ve tabletlerde kullanılan mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerine odaklanıyor ve uygulama sağlayıcısı, uygulama geliştiricisi, reklam ağı, uygulama mağazası kuruluşu, işletim sistemi sağlayıcısı, kütüphane sağlayıcısı ve cihaz üreticisi başta olmak üzere birçok aktöre sorumluluk getiriyor.

Tavsiye uygulamayı kullanan bireylere yönelik ve uygulama aracılığıyla kişisel veri işleyen taraflara yönelik olmak üzere iki bölüme ayrılıyor ve her iki kategori için farklı tavsiyelere yer veriliyor. Buna göre, her iki kategori için de öne çıkan tavsiyeler aşağıdaki gibi örneklendirilebilir:

  • Bireylere Yönelik Tavsiyeler: Tavsiye uyarınca bireyler, kişisel verilerinin güvenliğini sağlayabilmek adına uygulama yüklenmeden önce uygulamanın hangi verilere erişim izni istediğini kontrol etmeli gizlilik politikasını gözden geçirmelidir. Uygulamalar, uygulama mağazaları gibi güvenilir olduğu değerlendirilen platformlar üzerinden indirilmelidir. Tavsiye ayrıca, bireyleri uygulama kullanımı sırasında talep edilen izinler konusunda dikkatli olunması gerektiği konusunda da uyarıyor. Benzer şekilde, uygulamaların ilgili sosyal ağ hesabından bilgi toplamasının ve hesapları tehditlere karşı daha savunmasız hâle getirmesinin önüne geçmek adına, uygulamalara giriş yapılırken sosyal medya hesaplarının kullanılmasından kaçınılması gerektiği belirtiliyor.
  • Bireylere Yönelik Tavsiyeler: Tavsiye uyarınca bireyler, kişisel verilerinin güvenliğini sağlayabilmek adına uygulama yüklenmeden önce uygulamanın hangi verilere erişim izni istediğini kontrol etmeli gizlilik politikasını gözden geçirmelidir. Uygulamalar, uygulama mağazaları gibi güvenilir olduğu değerlendirilen platformlar üzerinden indirilmelidir. Tavsiye ayrıca, bireyleri uygulama kullanımı sırasında talep edilen izinler konusunda dikkatli olunması gerektiği konusunda da uyarıyor. Benzer şekilde, uygulamaların ilgili sosyal ağ hesabından bilgi toplamasının ve hesapları tehditlere karşı daha savunmasız hâle getirmesinin önüne geçmek adına, uygulamalara giriş yapılırken sosyal medya hesaplarının kullanılmasından kaçınılması gerektiği belirtiliyor.
  • Kişisel Veri İşleyen Taraflara Yönelik Tavsiyeler: Tavsiye, KVKK'nın 4. maddesi uyarınca belirlenen ilkeler ışığında örnekler vererek kişisel veri işleyen taraflara önerilerde bulunuyor. Uygulamalar aracılığıyla veri işleme faaliyetlerinin belirli bir hukuki sebebe dayanması, veri işleme faaliyetlerine ilişkin dürüst ve şeffaf olunması ve ilgili kişilerin haklarını kullanmalarına imkan sağlanması gerektiğini belirten Tavsiye, sesli komut ile çalışan uygulamalar aracılığıyla işlenen kişisel veriler hakkında şeffaflık sağlanması gerekliliğini bu duruma örnek olarak gösteriyor. Tavsiye'ye göre, doğru ve gerektiğinde güncel olma ilkesi uyarınca, veri sorumluları, kullanıcılara kişisel verilerini düzeltme imkânı tanımalı ve uygulamanın tasarımı sürecinde bu hususun göz önünde bulundurulduğundan emin olmalıdır. Bu kapsamda, Tavsiye, mobil uygulamaya üye olunması esnasında kullanıcı tarafından e-posta ve telefon numarası bilgilerinin girildiği ancak söz konusu mobil uygulamada bu bilgiler için herhangi bir doğrulama yapılmadığı durumda kişisel verilerin üçüncü bir kişiye ifşa olması riskinin altını çiziyor. Tavsiye'de, ek olarak, kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerektiği, ve bu kapsamda, örneğin, bulaşıcı hastalıklarla mücadele amacıyla temas takibinde kullanılan bir mobil uygulamada Bluetooth teknolojisi ile toplanan veriler aracılığıyla kişilerin birbirlerine hangi süre zarfında ne kadar yakın olduğu bilgisi elde edilebiliyorken kullanıcıların tam konumu ve hareketine erişilmesinin ölçülülük ilkesine aykırılık teşkil edeceği ifade ediliyor. Son olarak, kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiğine ve örneğin, elektronik posta hizmeti sunan bir mobil uygulamanın kullanıcısının, belirli bir süre boyunca uygulamaya giriş yapmaması durumunda statüsünün aktif olmayan kullanıcıya dönüştürülmesi ve aktif kullanıcılara kıyasla kişisel verilerinin saklanma süresinin daha kısa olmasının iyi uygulama örneği teşkil edeceğine de değiniliyor.

Tavsiye'de, ayrıca, şeffaflığın sağlanabilmesi adına aydınlatma metni ve gizlilik politikalarının mobil uygulamalarda kolaylıkla erişebilir olması ve uygulama içerisinde Türkçe dil seçeneği veya Türkiye'ye teslimat seçeneği sunulması gibi göstergelerle Türkiye'deki ilgili kişileri hedefleyerek mal ve hizmet sunan yurt dışında yerleşik veri sorumlularının VERBİS'e kayıt yükümlülüğü altında olmaları gibi başkaca yükümlülüklerden de söz ediliyor. Tavsiye'ye göre, mobil uygulamalar üzerinden gerçekleştirilecek kişisel veri işleme faaliyetlerinde, uygulamanın asıl işlevinin yerine getirilmesi için ihtiyaç duyulmayan kişisel verilerin işlenmesi durumunda kullanıcının açık rızasının alınması gerekiyor. Örneğin, bir kullanıcı tarafından talep edilen bir uygulamanın herhangi bir özelliği veya işlevi için kullanıcının konumuna erişilmesi gerekmeyen durumlarda, kullanıcı açık rıza vermediği sürece hedefli reklamcılık amaçları doğrultusunda kullanıcının konum verisinin toplanmaması gerektiği belirtiliyor.

Tavsiye'de mobil uygulamalar aracılığıyla çocukların kişisel verilerinin işlenmesi durumunda veri sorumlularının alması gereken önlemlere de yer veriliyor. Buna göre, özellikle çocuklara yönelen veya çocuklar tarafından yaygın olarak kullanıldığı bilinen uygulamalar açısından, kullanıcıların yaşını doğrulayacak sistemler kurulması ve çocuklara yönelikişleme faaliyetlerinin ayrı bir politika ve prosedür takip edilerek gerçekleştirilmesi öneriliyor. 

Kurum tarafından yayımlanan Tavsiye'ye buradan ulaşabilirsiniz.

Kurum, Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Hakkında Duyuru Yayımladı

Kurum), 13 Kasım 2023 tarihinde, mağazalarda alışveriş sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin Kurum'a intikal eden şikayetlerin devam ettiğini belirterek, konuya ilişkin ikinci bir kamuoyu duyurusu ("Duyuru") yayımladı. Duyuru, temel olarak, mağazalarda gerçekleştirilen alışverişlerde kasa işlemleri sırasında doğrulama amacı ile ilgili kişilere SMS gönderildikten sonra ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderilmesi şikayetlerine yönelik tavsiyelere yer veriyor. Bu kapsamda Duyuru'nun yer verdiği tavsiyeler aşağıdaki gibidir:

  • Kasa işlemleri sırasında ilgili kişilere katmanlı bir aydınlatma yapılması gerekmektedir. Buna göre, gönderilen SMS içeriklerinde ve mağazalarda yetkili kişiler tarafından, ilgili kişilere, söz konusu SMS'in amacı ve kendisine iletilen kodu okuması halinde ilgili kişinin ne gibi sonuçlarla karışılacağı hakkında aydınlatma yapılmalıdır.
  • İlgili kişilerden, SMS ile doğrulama kodu gönderilerek, üyelik sözleşmesinin onaylanması, ticari elektronik ileti gönderilmesi ve kişisel verilerin işlenmesi gibi birbirinden farklı işleme faaliyetleri için tek bir rıza alımına son verilmesi ve her bir işleme amacı için ayrı ayrı rıza alınması gerekmektedir.
  • Açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi ve SMS doğrulama kodu ile rıza alınması halinde söz konusu rızanın, açık rızanın tüm unsurlarını içermesi gerekmektedir.
  • Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesi için alınan açık rızanın hizmetin ön koşulu gibi konumlandırılmaması ve ilgili kişilerde oluşabilecek karışıklığın önüne geçilmesi amacıyla gerekli aydınlatma yapılarak ilgili açık rızanın alışverişin tamamlanmasından sonra talep edilmesi gerekmektedir. 

Kurum tarafından yayımlanan Duyuru'ya buradan ulaşabilirsiniz.

Dünyadan gelişmeler

ICO İşe Alım Süreçlerinde Adayların Kişisel Verilerin Korunması İle İlgili Rehber Taslağını Kamuoyu Görüşüne Sundu

Information Commissioner's Office ("ICO"), işverenlerin ve işe alım uzmanlarının adayların kişisel bilgilerini kullanırken veri koruma yükümlülüklerini anlamalarına yardımcı olma hedefiyle 12 Aralık 2023 tarihinde, işe alım süreçlerinde kişisel verilerin korunmasına ilişkin hazırladığı taslak rehberi ("Taslak Rehber") 5 Mart 2024 tarihine kadar görüş toplamak üzere kamuoyuna sundu.

İşe alım sürecinde işverenler tarafından hukuka uygun olarak adayların kişisel verilerinin işlenebilmesi bakımından adayların bulunması, test edilmesi, mülakat süreçleri, sağlamış oldukları bilgilerin doğrulanması ve işe alım kayıtlarının tutulması gibi aşamalara dair ayrıntılı yönlendirmeler içeren Taslak Rehber'de otomatik karar verme ve profilleme yolu ile işe alımlara ilişkin açıklamalar öne çıkıyor. Taslak Rehber, işverenlerin otomatik karar verme ve profilleme yolu ile işe alım süreçlerinde ortaya çıkabilecek riskleri ve işverenlerin dikkat etmeleri gereken hususları düzenleniyor.

Taslak Rehber'e göre, kısmen veya tamamen otomatik karar verme ve profilleme yoluyla kişisel verilerin işlenmesi, adayların hakları ve özgürlükleri açısından çeşitli riskler taşıyor. Örneğin, algoritmalar, belirli adayların haksız veya ayrımcı şekilde hedeflenmesine neden olabiliyor. Başka bir ifade ile, otomatik karar verme ve profilleme sonucu verilen kararlarda hata payı her zaman mümkün olduğundan adaylar için olumsuz etkiler söz konusu olabiliyor. Adayın ciddi bir hastalığı olduğu için özgeçmişinde eksiklik olması halinde veya işverenin istediği bölgeye taşınma niyetinde olsalar bile, iş yerinden belirli bir mesafe uzakta yaşayan adayların elenmesi bu duruma örnek teşkil ediyor. Bu bakımdan, Taslak Rehber, veri sorumluları adayların verilerinin işlenmesinden ve yapay zeka sisteminin bilgileri yalnızca işverenin planladığı veya beklediği şekillerde kullanmasını sağlamaktan sorumlu olduğunu belirtiyor.

Taslak Rehber'in, söz konusu risklerin önüne geçebilmek adına işverenlere sunduğu öneriler arasında sürece insan müdahalesi dahil etmek, otomatize yöntemlerin ne zaman ve ne ölçüde kullanılacağı konusunda seçici olmak ve kullanılan yazılımın, adayları hedef alan veya onlara karşı ayrımcılık yapan önyargılar içermediğinden emin olmak yer alıyor. 

Ek olarak, profillemenin, adaylar tarafından beklenmeyen bir veri işleme faaliyeti olabileceği belirtilerek işe alım sürecinde profillemeye başvurulacağı ve kişilerin bilgilerinin nasıl kullanılacağı konusunda adayların bilgilendirilmesinin önem taşıdığının altı çiziliyor. Bu anlamda Taslak Rehber, işverenlere ve işe alım uzmanlarına, otomatik karar verme ve profilleme sürecinden doğabilecek riskleri ve bu risklerin en aza indirilmesi amacıyla alınan önlemleri (yazılımı düzenli olarak test etmek, yazılım tarafından kullanılan algoritmanın adil, etkili ve ayrımcı olmamasını sağlamak gibi); karar alma sürecine insan katılımı düzeyinin ne olduğu ve ilgili kişinin otomatik karar alma sürecine tabi olmama hakkı bulunduğu konusunda ilgili çalışan adaylarına bilgilendirme yapılmasını tavsiye ediyor. 

Taslak Rehber'de ayrıca, adayların işe alım sürecinde sağlamış olduğu bilgilerin işverenler tarafından incelenmesi ve doğrulanması sırasında işverenlerin dikkat etmesi gereken hususlar da yer alıyor. Buna göre, Taslak Rehber, işverenlere, adayların sağlamış oldukları bilgilerin doğruluğunu teyit etmek istedikleri takdirde, yalnızca ihtiyacı olan asgari bilgileri edinmelerini, doğrulama sürecinde kullanılacak metotlar hakkında adayları bilgilendirmelerini, referans gösterilen kişilerden sadece ihtiyaç duydukları bilgileri istemelerini tavsiye ediyor. Taslak Rehber'de, adayların sağlamış olduğu bilgileri doğrulmanın yanı sıra, işverenlerin istihdam öncesinde adayların geçmişi hakkında üçüncü taraflara danışarak kendi araştırmalarını yapmaları hakkında açıklamalara da yer veriliyor. Söz konusu incelemenin ağır bir müdahale oluşturabileceğinin altını çizen Taslak Rehber, işverenlerin, sadece, yasal bir yükümlülük söz konusu olması, veya müşteriler veya başkaları için riskli bir durum tespit edilmesi halinde istihdam öncesi inceleme yapması gerektiğini belirtiyor. 

Taslak Rehber'e buradan (İngilizce) kamuoyu görüşlerinin toplandığı sayfaya ise buradan (İngilizce) ulaşabilirsiniz.

Avrupa Birliği Konseyi Veri Yasası'nı Kabul Etti

Avrupa Komisyonu ("Komisyon"), 23 Şubat 2022'de, Avrupa Veri Stratejisi'nin bir parçası olarak, Veri Yasası taslağını kamuyla paylaşmıştı. Söz konusu gelişmeleri takiben, Avrupa Birliği Konseyi ("Konsey"), 27 Kasım 2023 tarihinde Veri Yasası'nı kabul etti. Veri Yasası, 22 Aralık 2023 tarihinde Avrupa Birliği Resmi Gazetesi'nde yayımlanmasını takiben, 11 Ocak 2024 tarihinde yürürlüğe girdi ve yürürlüğe girmesinden yirmi ay sonra, 12 Eylül 2025 tarihi itibariyle uygulanmaya başlayacak.

Avrupa Birliği, Veri Yasası ile, dijital dönüşüm stratejisi kapsamında 2030 yılında ulaşmayı hedeflediği noktaya bir adım daha atarken, verilere erişimi artırmayı ve verilerin kullanımı için adil bir ortam sağlamayı amaçlıyor. Veri Yasası, bireyler ve özel sektör arasındaki veri akışını, verilere ilişkin temel hakları ve verilerden kimlerin, hangi koşullar altında fayda sağlayabileceğini düzenliyor.

Bu doğrultuda, Veri Yasası, özetle, (i) veri paylaşımı ve veri işleme için işbirliği standartlarını destekleyen önlemlere, (ii) bağlantılı ürünlerin ve ilgili hizmetlerin kullanımı yoluyla üretilen verilere erişim haklarına, (iii) özel sektör verilerinin istisnai durumlarda kamu kurumları ve AB kurumları/organları ile paylaşımına ilişkin yükümlülüklere, (iv) bulut hizmet sağlayıcı ve diğer veri işleme hizmet sağlayıcıları arasında geçiş yapmayı kolaylaştırmak amacı ile öngörülen çeşitli sözleşme, ticari ve teknik gerekliliklere ilişkin düzenlemeler getiriyor.

Veri Yasası'na ilişkin ayrıntılı bilgi için hukuk bültenimizeburadan, Avrupa Birliği Resmi Gazetesi'nde yayımlanan Veri Yasası'na ise buradan (İngilizce) ulaşabilirsiniz.

Avrupa Birliği Yapay Zeka Yasası Hakkında Anlasmaya Vardı

Akıllı cihazlar, öneri sistemleri ve otomasyon gibi uygulamaların yaşantımıza daha fazla entegre olmasıyla birlikte, yapay zeka hakkında hukuki tartışmalar ve gelişmeler de hızla ilerlemektedir. Bu kapsamda, Temmuz ayında yayımlanan DigiDiary sayımızda, Yapay Zeka Yasası'na ilişkin yasalaşma sürecinde üçlü müzakerelerin başlayacağını belirtmiştik. Avrupa Komisyonu, Avrupa Birliği Konseyi ve Avrupa Parlamentosu arasında gerçekleşen ve yoğun tartışmalarla geçen üçlü müzakereler sonucunda, taraflar, 8 Aralık 2023 tarihinde, Yapay Zeka Yasası üzerinde anlaşmaya vardı.

Müzakerelerin ilk aşaması, genel amaçlı yapay zeka (İng. "general purpose AI") sistemlerine ilişkin hükümler, yasaklanan ve yüksek risk kategorisine giren sistemler ile Yapay Zeka Yasası'nın uygulanmasından sorumlu idari yapının oluşturulmasına odaklanırken; ikinci kısım, ulusal güvenlik ve kolluk kuvvetleri muafiyetlerine ilişkin tartışmaları ele aldı. 

Müzakere sonucunda, genel amaçlı yapay zeka sistemlerine ilişkin olarak şeffaflık yükümlülükleri üzerinde anlaşmaya varıldı. Bu kapsamda, Yapay Zeka Yasası'nın anlaşmaya varılan mevcut hali, genel amaçlı yapay zeka sistemleri bakımından, sistemik riske neden olabilecek güçlü sistemler için risk yönetimi, önemli olayların izlenmesi ve model değerlendirme başta olmak üzere bir takım ek yükümlülüklere yer veriyor. Söz konusu yükümlülüklerin, sektör uygulaması, sivil toplum ve akademik çalışmalar tarafından uygulamada geliştirilen kurallar aracılığıyla yerine getirilmesi bekleniyor.

Yapay Zeka Yasası hükümlerinin uygulanmasına ilişkin denetimin, hem ulusal düzeyde hem de Avrupa Birliği tarafından gerçekleştirileceği ve bu amaçla, Avrupa Komisyonu bünyesinde yeni bir Yapay Zeka Ofisi kurulacağı belirtiliyor.

Yapay Zeka Yasası, sağlayıcılar tarafından kullanılan sistemleri (i) yasaklı, (ii) yüksek riskli ve (iii) asgari risk teşkil eden veya (iv) risk teşkil etmeyen yapay zeka sistemleri olarak sınıflandırıyor. Gerçekleştirilen üçlü müzakereler sonucunda, Yapay Zeka Yasası'nda yer alan yasaklı ve yüksek riskli sistemlerin kapsamı üzerinde de anlaşmaya varıldı. Buna göre, Yapay Zeka Yasası kişilerin özgür iradesine müdahale ederek insan davranışını manipüle eden, sosyal puanlama yapan sistemlere ve belirli unsurlar bakımından tahmine dayalı polislik faaliyetlerine(İng. predictive policing) yasaklı sistemler arasında yer veriyor. Ek olarak, işyerlerinde ve okul sistemlerinde duygu tanıma yazılımlarına yer verilmesi de yasaklı sistemler arasında sayılıyor. Öte yandan, Yapay Zeka Yasası, kolluk kuvvetleri alanında, adalet ve demokratik süreçlerin yönetiminde ve insanların temel haklarına müdahale edebilecek hukuk uygulamalarında kullanılan yapay zeka sistemlerini yüksek riskli sistemler olarak değerlendiriyor.

Yapay Zeka Yasası, düzenlemelere aykırılık halinde, sabit veya küresel yıllık ciro üzerinden hesaplanacak tutara göre farklı seviyelerde para cezaları öngörüyor. Buna göre, yasaklı yapay zeka sistemleri kullanılması halinde, söz konusu şirketin küresel yıllık cirosunun %7'si veya 35 milyon Euro'ya kadar; yüksek riskli yapay zeka sistemleri kullanılması halinde, söz konusu şirketin yıllık küresel cirosunun %3'ü veya 15 milyon Euro'ya kadar; yanlış bilgi verilmesi halinde ise söz konusu şirketin yıllık küresel cirosunun %1.5'i veya 7.5 milyon Euro'ya kadar idari para cezası uygulanmasına imkan tanınıyor.

Parlamenterler, yasaklanan yapay zeka sistemleri hakkında tartışırken, söz konusu yasakların sadece Avrupa Birliği içerisinde kullanılan sistemlere uygulanmakla kalmayıp, Avrupa Birliği merkezli şirketlerin yasaklı uygulamaları Avrupa dışına ihraç etmelerinin de engellenmesi konusunda ısrarcı olmalarına rağmen, söz konusu ihracat yasağı, yeterli yasal dayanağa sahip olmadığı gerekçesiyle kabul görmedi.

Yapay Zeka Yasası'nın Avrupa Birliği Resmi Gazetesi'nde yayımlandıktan 20 gün sonra yürürlüğe girmesi ve iki yıl sonra tam olarak uygulanmaya başlaması bekleniyor. Bu süreçte, Yapay Zeka Yasası'nda yasaklanan kullanımların Yapay Zeka Yasası'nın Avrupa Birliği Resmi Gazetesi'nde yayımlanmasından altı ay sonra, genel amaçlı yapay zeka hükümlerinin ise bir yıl sonra yürürlüğe girmesi öngörülüyor. Kamuya açık kaynaklardan elde ettiğimiz bilgilere göre, Avrupa Birliği Komisyonu, geçiş süreci için ilgili aktörlerin Yapay Zeka Yasası'ndaki önemli yükümlülüklere hükümlerin yürürlüğe girmesinden evvel uyum çalışmalarını tamamlamaları için bir Yapay Zeka Paktı imzalamayı planlıyor.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.