2023’nin İlk Çeyreğinde Veri Koruma ve Yapay Zekâ Ekosisteminde Neler Oldu?
2023’ün ilk çeyreği, veri koruma, siber güvenlik ve yapay zekâ uygulamalarından çokça bahsedilen bir dönem oldu. Gelin 2023’ün başlangıcıyla birlikte veri koruma ve yapay zekâ uygulamalarında dikkat çekici gelişmelerin birkaçını birlikte mercek altına alalım.
Avrupa Komisyonu yeni siber güvenlik kurallarını içerir NIS2 Direktifini yayımladı[1].
Ağ ve Bilgi Güvenliği (The Network and Information Security-“NIS”) Direktifi, Avrupa Birliği (“AB”) çapında siber güvenlikle ilgili ilk mevzuat olma özelliğine sahip olmakla; temel amacının Üye Devletler arasında yüksek düzeyde ortak bir siber güvenliği sağlamak olduğu bilinmektedir.
2023 başında Parlamento tarafından yayımlanan bildiride NIS Direktifinin Üye Devletlerin siber güvenlik kapasitelerini artırmış olsa da, dijitalleşme ve siber saldırılardaki artışla birlikte artan tehditlere yanıt vermek üzere, NIS Direktifini değiştirmek ve böylece güvenlik gerekliliklerini güçlendirmek, daha sıkı denetim tedbirleri ve daha katı uygulama gereklilikleri getirmek uzun vadede Avrupa'da siber güvenlik düzeyinin arttırılmasına yardımcı olmak amacıyla NIS2 Direktifi gündeme gelmiştir.
NIS2 Direktifinde dikkat çekici hususlar listelenmektedir:
•Orta ve büyük ölçekli kuruluşlar Direktifin kapsamında dahil edilmiş, belirlenen güvenlik kurallarına uymaları zorunlu hale getirilmiş,
•Tedarik zinciri güvenliği, şifreleme ve güvenlik açığı ifşası gibi olaylardan etkilenen şirketlere haberdar olunması ile birlikte ilk 24 saat içinde ilk rapor, 1 ay içinde ise final rapor sunma zorunluluğu getirilmiş,
•Direktifte sayılan önlemleri almayan Şirketlere yönelik 10 milyon Euro’ya yakın veya dünya çapındaki cirosunun %2’si veya daha yüksek oranda idari para cezasının uygulanacağı düzenlenmiştir.
Gelinen bu noktada NIS2 Direktifi 16 Ocak 2023 tarihinde yürürlüğe girmiş olup, Üye Devletlerin 17 Ekim 2024 tarihine kadar 21 aylık bir süre içerisinde anlaşmanın tedbirlerini ulusal hukuklarına aktarmaları gerekmektedir.
Twitter, güvenlik politikasında güncelleştirmeye gitti.
Sosyal medya platformu Twitter, “sözlü şiddete karşı sıfır tolerans” politikasını başlattığını, şiddet içerikli, tehditkâr, şiddeti övme ya da kışkırtılmasını tamamen yasakladı.
Twitter, hesabı geçici ya da kalıcı olarak askıya almadan önce işlemleri inceleyeceğini, hiciv ve sanatsal ifadelerin yer aldığı hesaplara müdahale etmeyeceğini fakat kuralların ihlal edilmesi halinde ilgili hesapları askıya alacağını, ihlalin tekrarı halinde hesabı doğrudan kapatacağını bildirdi.
Kişisel Verileri Koruma Kurumu (“KVKK”), TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına karar verdi.
KVKK internet ve sosyal medya platformlarında TikTok uygulaması ile ilgili olarak yaptığı inceleme neticesinde,
•TikTok’un hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği, ayrıca kullanıcılara ilişkin risklerin belirlenerek risklerin azaltılmasına dair yeterli tedbirlerin alınmadığı,
•13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu,
•Hizmet Koşulları kısmında onay alınırken ilgili metnin henüz Türkçe’ye tercüme edilmediği, bu sebeple kullanıcılara içeriğin kolay anlaşılır bir biçimde sunulmadığı, açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı,
•çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı sebepleriyle
1.750.000 TL idari para cezası uygulanmasına karar vermiştir[2].
ChatGPT hakkında soruşturma talebi[3]!
Reuters'da yayımlanan habere göre, İspanya'nın veri koruma otoritesi Agencia Española de Protección de Datos (“AEPD”), Avrupa Veri Koruma Kurulu'nu OpenAI şirketine ait ChatGPT'yi AB Genel Veri Koruma Tüzüğüne (“GDPR”) uygunluğunu resmi olarak incelemeye çağırdı. Bir AEPD sözcüsü tarafından, konunun "GDPR'ın uygulaması çerçevesinde uyumlaştırılmış eylemlerin uygulanabilmesi" amacıyla gündeme getirildiğini ifade edilmiştir.
Ek olarak habere içeriğinde, OpenAI’ın ChatGPT hakkında yapılan hata bildirimleri için 20.000 ABD Dolarına kadar ödeme yaptığı bildirilmektedir.
Kişisel Veri Koruma Kurallarını ihlal ettiği gerekçesiyle ChatGPT İtalyada bloke edildi.
BBC’nin haberine göre İtalyan veri koruma otoritesi (“Veri Koruma Otoritesi) tarafından, İtalyan kullanıcıların verilerinin toplanması ile ilgili kuralları ihlal ettiği gerekçesiyle, ChatGPT’ye bloke kararı verdi. Kullanıcıların verilerinin işlenmesinin durdurulması yönünde de talimat veren veri koruma otoritesi, kullanıcının yaşını belirleyen bir sistem olmaması sebebiyle de çocukların gelişimi ve farkındalığı ile uygun düşmeyen yanıtlara maruz kalınabileceğini yönünde uyarıda bulunmuştur.
Bu kararın 20 Maart tarihinde yaşanan bir veri kaybı sonucunda ortaya çıktığı aktarılmaktadır. Veri koruma otoritesi, OpenAI şirketine talep edilen önlemleri alması için 20 gün süre verdiğini, talimatlara uyulmaması halinde şirkete 20 milyon Euro’ya ya da yıllık küresel cirosunun yüzde 4’üne kadar ceza verilebileceği ifade etmiştir[4].
Tesla araçlarında video skandalı![5]
Reuters tarafından yapılan bir araştırmaya göre, eski Tesla çalışanlarının şirket içi mesajlaşma sisteminde "müşterilerin araç kameraları tarafından kaydedilen son derece müdahaleci video ve görüntüleri" dolaşıma soktukları iddia ediliyor. Haber içeriğinde, "kayıtların Tesla müşterilerini utanç verici durumlarda yakaladığını" ve 2019-2022 yılları arasında çalışanlar arasında paylaşıldığını iddia eden dokuz eski çalışanla röportajlar yer almaktadır. Tesla'nın gizlilik bildiriminde "kamera kayıtlarının anonim kaldığı ve kişi ya da araç ile bağlantılı olmadığı" belirtilse dahi birden fazla çalışan Tesla'nın videoların nerede çekildiğini bulabilecek bir programa sahip olduğunu ifade etmektedir.
Fransa Veri Koruma Otoritesi’nden coğrafi konum verilerinin toplanması nedeniyle kiralık scooter şirketine büyük ceza[6]!
Fransa Veri Koruma Otoritesi (“CNIL”) tarafından araçların coğrafi konum verilerini topladığı ve kaydını tuttuğu için kiralık scooter şirketi Cityscoot'a 125.000 Euro para cezasına hükmedildi.
CNIL, Cityscoot'un AB Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki veri minimizasyonu ve sözleşmeden doğan çerçeve yükümlülüklerine uymadığını ve ayrıca kullanıcıları bilgilendirmemek ve verilere erişim için onay almamakla Fransız Veri Koruma Yasasını ihlal ettiğini ifade etmektedir.
Yapay Zekâ Teknolojileri Yargı Kararlarında Rol Sahibi![7]
Şubat ayında Guardian’da yayımlanan bir habere göre otizmli bir çocuğun tıbbi ihtiyaçlarına yönelik sigorta masraflarının finansmanına yönelik hukuki uyuşmazlıkta Kolombiyalı hakim Juan Manuel Padilla, karar verirken yapay zeka aracı ChatGPT’yi kullandığını, kararı desteklemek için geçmiş tarihli emsal kararları da kullandığını ifade etti. Padilla, ebeveynleri karşılayamayacağı için otizmli çocuğun tıbbi ve nakil masraflarının sigortası tarafından ödenmesine karar vermiş ardından da konuya yapay zeka aracı ChatGPT’yi dahil etmiştir. Padilla, ChatGPT’ye otistik çocuğun terapileri için ücret ödemekten muaf olup olmadığını soruyor ve ve ChatGPT’de Kolombiyadaki düzenlemelere göre otizm teşhisi konan reşit olmayan çocukların tedavi ücretlerini ödemekten muaf olduğu yönünde dönüş yapmıştır.
Padilla, melektaşları tarafından yapay zekanın hukukta kullanılması sebebiyle eleştirilse de, kararı desteklemek için önceki emsalleri kullandığını, yargıçların yerine geçmek için değil hukuk sistemini daha verimli hale getirebilmek adına bu teknolojiyi kullandığını ifade etti.
ChatGPT’nin Yeni Sürümü GPT-4 Çıktı[8].
Mart ayında ABD merkezli yapay zeka şirketi OpenAI tarafından sohbet robotu ChatGPT’nin son sürümü 4 tanıtıldı.
Bilindiği üzere ChatGPT sayesinde kullanıcılar sordukları sorulara yanıt alabiliyor, robot ise kullanıcılardan gelen isteklere göre cevap verebiliyordu. OpenAI daha güvenli ve kullanışlı olduğunu belirttiği ChatGPT-4 ile birlikte bir önceki sürümünde yalnızca metne dayalı bir sistem üzerinden çalışan robot, artık görsel girdisi de kabul ediyor. Ek olarak, kullanıcının yazım tarzını öğrenen robot şarkılar besteleyerek senaryo da üretebiliyor. OpenAI tarafından yayımlanan duyuruda, GPT-4’ün eski sürümlere göre sorunlara daha iyi yanıt bulduğu, sınavlarda daha yüksek skor elde ettiği ifade edilmektedir. Son olarak, bir önceki sürüme nazaran güvenlik özelliklerinin çoğunu iyileştirdikleri, fakat bir önceki sürümlerle benzer riskleri taşıdığı raporlanmıştır.
Kısa Kısa:
•Kişisel Verileri Koruma Kurumu, 2023’ün ilk çeyreğinde toplam 9 veri ihlal bildirimi yayımladı.
•Yapay zekâ sohbet robotu ChatGPT’nin “finans hali” BloombergGPT duyuruldu[9].
•Microsoft yetkilileri tarafından, 2023 yapay zeka için 'kritik bir dönüm noktası olarak bildirilmiştir[10].
•Hollanda ulusal demiryolu şirketi NS, bir veri ihlalinin 780.000'den fazla yolcuyu etkilemiş olabileceğini açıkladı[11].
•Norveç'in veri koruma otoritesi Datatilsynet, Temmuz 2021'de yaşanan bir veri ihlalini GDPR’ın gerektirdiği 72 saatlik süre içinde bildirmediği için ABD merkezli Argon Medical Devices'a 2,5 milyon kron para cezası verdi[12].
[1]İlgili Direktife ulaşmak için bkz. (ENG) https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf, (E.T. 18.04.2023).
[2] KVKK ilgili karar metni için bkz. https://www.kvkk.gov.tr/Icerik/7538/2023-134, (E.T. 18.04.2023).
[3] Detaylı bilgi için bkz. https://iapp.org/news/a/aepd-urges-edpb-probe-into-chatgpt/, (E.T. 19.04.2023).
[4] Haber içeriği için bkz. https://www.bbc.com/turkce/articles/cw0971dy8rzo, (E.T. 19.04.2023).
[5] Haber içeriği için bkz. https://iapp.org/news/a/former-tesla-employees-allege-they-circulated-videos-of-customers-captured-by-their-vehicle/, (E.T. 19.04.2023).
[6] İlgili duyuru için bkz. https://iapp.org/news/a/cnil-fines-rental-scooter-company-over-geolocation-data-collection/, (E.T. 19.04.2023).
[7]Guardian haberi için bkz. (ENG) https://www.theguardian.com/technology/2023/feb/03/colombia-judge-chatgpt-ruling#:~:text=A%20judge%20in%20Colombia%20has,rulings%20to%20support%20his%20decision,
(E.T. 18.04.2023).
[8] CPT-4 duyuru metni için bkz. https://openai.com/research/gpt-4, (E.T. 18.04.2023).
[9] Detaylı bilgi için bkz. https://fintechistanbul.org/2023/04/10/yapay-zeka-sohbet-robotu-chatgptnin-finans-hali-bloomberggpt-duyuruldu/, (E.T. 19.04.2023).
[10] Detaylı bilgi için bkz. https://iapp.org/news/a/2023-a-critical-inflection-point-for-ai/, (E.T. 19.04.2023).
[11] Detaylı bilgi için bkz. https://iapp.org/news/a/marketing-firm-contracted-by-dutch-national-railway-breached-through-a-software-supplier/, (E.T. 19.04.2023).
[12] Detaylı bilgi için bkz. https://iapp.org/news/a/norwegian-dpa-fines-medical-device-company-for-breach-notification-violation/, (E.T. 19.04.2023).