Yapay Zeka – Bir Adım Daha Yaklaştık!

Her geçen gün “yapay zeka” kavramını daha sık duymaya başladığımıza şüphe yok. Bunun en doğal sonucu olarak konunun hukuksal boyutunda da pek çok çalışmanın yapıldığını söylemek yanlış olmayacaktır.

Nitekim geçtiğimiz Ocak ayında yine bu mecradan “yapay zeka bir araç mı tehdit mi?” başlıklı yazımızda Information Commisioner’s Office’in (“ICO”) yapay zeka kullanımına ilişkin olarak yayınlamış olduğu taslak kılavuza değinmiştik.

Geride bıraktığımız 7 aylık süreçte de diğer dijital pazarlarda olduğu gibi yapay zekanın hukuksal boyutu kapsamında da Avrupa Birliği düzeyinde pek çok önemli gelişmenin yaşandığını söylemek mümkün.

Bu noktada öncelikle belirtilmesi gereken husus, konunun pek çok hukuk dalı altında işlendiği. Başta kişisel verilerin korunması olmak üzere, rekabet hukuku, tüketici hukuku, ürün kalite ve güvenliği ve tıbbi cihazlara ilişkin düzenlemeler gibi pek çok regülatif alan yapay zekanın kullanımını düzenleme ihtiyacı görmekte.

Aslında konunun son zamanlarda bu denli popüler hale gelmesi de bizler için sürpriz değil. Keza Ursula Von Der Leyen geçtiğimiz Kasım ayında Avrupa Birliği Komisyonu’nun başına geçtiğinde göreve başlamasından itibaren ilk 100 günlük süre içerisinde, yapay zekaya ilişkin mevzuat çalışmalarına hız kazandıracağını ifade etmişti.

Peki hangi gelişmeler oldu?

Öncelikle Avrupa Birliği’nin 2012’den bu yana dijital ekonomiyi yoğun bir şekilde mercek altına aldığı bilinen bir gerçek. Bu çerçevede çıkarılan pek çok mevzuatında özünde yapay zekayı da ilgilendiriyor olduğu rahatlıkla söylenebilir. Dolayısıyla, 2016’da yürürlüğe giren GDPR’ın, kişisel veri statüsünde olmayan verilerin serbest akışına ilişkin 2018’de çıkarılan regülasyonun ve yine 2019’da yayınlanan açık veri direktifinin de yapay zekanın hukuksal boyutu bakımından önemli gelişmeler olduğu gözden kaçırılmamalı.

Bunun yanında Ursula Von Der Leyen başkanlığı sonrasında yapay zekanın konu alındığı son dönem önemli gelişmelere bakacak olursak da, karşımıza öncelikle Kasım 2019’da yayınlanan “Liability for Artificial intelligence and other emerging technologiesraporu çıkmakta. Bu raporda temel olarak product liability’nin yapay zeka sonrası nasıl ele alınması gerektiği konusunun işlendiğini görüyoruz.

Bunun yanında özellikle geçtiğimiz Haziran ayında alevlenen son gelişme ise, Avrupa Birliği Konseyi tarafından “Conclusions on shaping Europe’s Digital Future’ın” yayınlanması oldu. Yapay zekanın pek çok açıdan mercek altına alındığı bu metin de, Avrupa Birliği Komisyonu tarafından daha önce yayınlanmış olan “Artificial Intelligence White Paper’da” belirtilen hususların da olumlu karşılandığı ve bu konuda teşvik edici bir yaklaşım benimsendiğini görüyoruz.

Sonuç olarak

Her ne kadar Avrupa Birliği seviyesinde yapay zekayı doğrudan düzenleyen bir mevzuat bulunmasa da, yapay zekanın artık pek çok düzenleyici işleme konu olduğunu söylemek yanlış olmayacaktır.

Doğrudan yapay zeka özelinde bir mevzuata ilişkin ilk adımların ise 2021’in ilk çeyreğinde atılması bekleniyor.

Yapay zekaya ilişkin tartışmalı konuları ve mevzuatsal gelişmeleri blogumuzdan sizlere duyurmaya devam edeceğiz.

DUYMAYAN KALMASIN! ŞİRKET VERİLERİNİ YURT DIŞINA AKTARMAK ÇOK DAHA KOLAY: BAĞLAYICI ŞİRKET KURALLARI GELDİ!

Kişisel verilerin yurt dışına aktarılması Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında uyum sürecinde olan şirketler bakımından en sıkıntılı konulardan bir tanesiydi. Nitekim KVKK kapsamında kişisel verilerin yurt dışına aktarılması 9. madde altında ilgili kişinin açık rızası ile veya yine aynı maddede öngörülen istisna hükümlerince mümkün olabiliyordu.

Hal böyle olunca, gerek güvenli ülkelerin açıklanmaması gerekse taahhüt mekanizmasının pratik bir yol olmaması özellikle çok uluslu şirketleri yurt dışına veri aktarımı bakımından zor durumda bırakıyordu.  Bu sebeple Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından çok uluslu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere bir diğer istisnai yöntem olarak “Bağlayıcı Şirket Kuralları” getirildi.

GDPR kapsamında uygulaması oldukça yaygın olan “Bağlayıcı Şirket Kuralları”, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları olarak tanımlanabilir.

Kurul tarafından yapılan duyuruda, bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kişisel Verileri Koruma Kurumu’na (“Kurum”) başvuruda bulunmaları gerektiği ifade ediliyor.

Kurul’un iznine tabi olacak bu başvuruları mercek altına almadan önce gelin yurt dışına veri transferinde ne gibi problemler yaşanıyordu kısaca hatırlayalım.

Türkiye’de kişisel verilerin yurt dışına aktarımı

Kanun’un 9. maddesinde yurt dışına veri aktarımı yapılması:

  • İlgilinin açık rızasının bulunması
  • Yeterli korumanın bulunduğu ülkelere veri aktarımında, Kanunda belirtilen hallerin varlığı
  • Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması

halinde yapılabilmekteydi.

Ancak ne var ki, ülkemizde hala güvenli ülkelerin açıklanmamış olması özellikle pek çok Avrupa Birliği (“AB”) üyesi ülke ile aynı veri tabanları üzerinden organizasyon içerisinde olan çok uluslu grup şirketleri bakımından problem yaratmaktaydı. Örneğin Kanun kapsamında çalışanlarından gerekmedikçe rıza almaktan imtina eden şirketler, yalnızca insan kaynakları verileri kullanılan ortak yurt dışı veri tabanlı uygulamalar sebebiyle çalışanlarından rıza almak zorunda kalmaktaydı.

Hal böyle olunca, son iki yıldır sektörde herkesin gözü kulağı “Bağlayıcı Şirket Kuralları’nın” ülkemizde de işletilip işletilmeyeceği üzerineydi.

Kurum beklenen açıklamayı 10 Nisan 2020’de yaptı. Peki süreç nasıl işliyor. Öncelikli olarak aklınıza takılabilecek soruları aşağıda toparlamaya çalıştık.

Nedir bu Bağlayıcı Şirket Kuralları?

Kurum tarafından yayınlanan usul ve esaslara göre, Bağlayıcı Şirket Kuralları, bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurtdışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını ifade eder.

Bağlayıcı Şirket Kurallarının mutlak suretle içermesi gereken temel başlıklar şu şekilde sıralanabilecektir:

  • Bağlayıcılık unsuru
  • Etkili uygulama
  • Kurum ile koordinasyon
  • Kişisel verilerin işlenmesi ve aktarılmasına ilişkin süreçler
  • Raporlama ve kayıt değişikliği mekanizmaları
  • Veri güvenliği
  • Hesap verilebilirlik
  • Yardımcı bilgi ve belgeler

Başvuruyu yapma yetkisi kime ait olacak?

Kurum tarafından yayınlanan usul ve esaslara göre, grubun Türkiye’de yerleşik merkezi var ise başvuruyu yapmaya bu teşebbüs yetkili olacak. Grubun Türkiye’de yerleşik merkezi yok ise Türkiye’de yerleşik bir Grup üyesinin kişisel verilerin korunması konusunda yetkilendirilmesi gerektiği belirtiliyor.

Başvuru için gerekli belgeler neler?

Başvuru için en temel belge elbette ki başvuru formu, bunun yanımda form ile birlikte “bağlayıcı şirket kuralları” metninin de Kurum’a iletilmesi gerekiyor. Bu kuralların hali hazırda pek çok çok uluslu şirket tarafından kaleme alındığını söyleyebiliriz. Bu aşamada Türkiye bakımından da çok fazla ayrıksı bir kural bulunmuyor. Ancak Kurum’un başvuru ile ilgili gerekli gördüğü diğer tüm bilgi ve belgeleri talep edebileceğini söylemekte fayda var. Dolayısıyla buradaki yetkinin geniş tutulduğunu rahatlıkla söyleyebiliriz.

Başvurular ne kadar sürede sonuçlandırılacak?

Başvurular Kurum’a elden veya posta yolu ile iletilebilecek. Resmi başvuru tarihinden itibaren de bir yıl içerisinde değerlendirilerek sonuca bağlanacaktır. Gerekmesi halinde bu sürenin altı aylık sürelerle uzatabileceği düzenlenmiştir.

Sonuç olarak

Uzunca bir süredir özel sektör tarafından beklenen Bağlayıcı Şirket Kuralları nihayet ülkemizde de yurt dışına veri aktarımı için bir hukuki yol olarak tanındı. Bununla birlikte zamanla başvuru süreçlerine ilişkin birtakım sorunlar ve aksamalar olabilmesi mümkün. Özellikle başvuruların değerlendirme süresinin sınırsız bir şekilde uzatılabilmesi özel sektör bakımından öngörülebilirliği düşürebilecek bir faktör olarak dikkate çarpıyor.

Karantinada Kişisel Verilerinizi Korumayı Unutmayın!

Blogumuz vasıtasıyla sizlere pek çok defa kişisel verilerin korunması alanındaki güncel gelişmeleri ve bunlara dair hukuki tartışmaları aktarıyor olduk. Bugün dünya genelinde olduğu gibi ülkemiz de küresel bir salgın ile karşı karşıya. Hal böyle olunca şu an bir kişisel verilerin korunması hukuku tartışmasının ne önemi var diye düşünebilirsiniz. Ancak resmin bütününe baktığımızda her geçen gün daha da artan bu salgına karşı şirketlerin önlemlerini artırdığını ve bu vesileyle de birtakım kişisel veri işleme senaryolarının oluştuğunu görüyoruz.

Bu yazımızla sizlere bu süreçte şirketlerin Kişisel Verilerin Korunması Kanunu (“KVKK”) nezdinde karşılaşabileceği başlıca sorunlara değinmeyi amaç edindik.

COVID-19 kapsamında ne gibi veriler işliyoruz? Bunları işlememizde bir hukuki dayanağımız var mı?

Kuşkusuz COVID-19 bir sağlık sorunu ve bu kapsamda ilk akla gelen husus sağlık verileri, yani özel nitelikli verilerin işlenmesine dair özel hususlar. Elbette KVKK’nın 6. maddesinden söz ediyoruz ve pek çoğumuzun bildiği üzere bu madde en çok da sağlık verilerinin rızadan istisnai olarak işlenmesi noktasında şirketlerin elini kolunu bağlar vaziyette.


Bu bakımından temel kuralın her ne kadar küresel bir salgın ile karşı karşıya olunsa da bu verilerin ilgili kişinin rızası dahilinde işlenmesi olduğu unutulmamalıdır. Bu yönüyle şirketler işlenen veri uyarınca gerekli aydınlatmayı yapmalı ve istisnai süreçler bulunmadığı sürece ilgili kişinin rızasını almalıdır.

Bu noktada hatırlatılması gereken en önemli konu, sürecin “sır saklama yükümlülüğü altında olan” işyeri hekimlerince yürütülmesidir. Böylelikle gerekli veri koruma önlemlerinin de alınmasıyla sağlık verileri bakımından rıza alma koşulu bertaraf edilebilecektir.

Bunun yanında alınan her verinin sağlık verisi olmadığına da değinmekte fayda var. Örneğin bir çalışanın son bir aydaki seyahat geçmişi özel nitelikli bir veri olarak kabul edilmeyecektir. Dolayısıyla bu veriler bakımından KVKK’nın 5.maddesinde yer alan daha geniş kapsamdaki istisnai hükümler söz konusu olabilecektir.

Her halükârda KVKK’nın 4. maddesinde yer alan temel ilkeler de göz ardı edilmemeli ve söz konusu kişisel veriler özellikle amacına uygun bir şekilde ve ölçülülük ilkesine uymak kaydıyla işlenmelidir.

Son olarak değinilmesi gereken husus, GDPR’ın özellikle özel nitelikli veriler bakımından KVKK’ya göre oldukça kapsamlı bir istisna rejimi barındırıyor oluşudur. Bu yönüyle özellikle Türkiye’de faaliyet gösteren ancak küresel ayağı da bulunan şirketlerin KVKK’nın bu noktadaki ayrıksı pozisyonunu göz ardı etmemeleri önem arz etmektedir.

Bir çalışanımızın COVID-19’a yakalandığından emin olduk. Peki, bu durumu kimler ile paylaşmalıyız? Diğer çalışanımızı ve kamu otoritelerini ne ölçüde bilgilendirebiliriz?

COVID-19’un yayılma hızı ve yıkıcı etkileri göz önüne alındığında, yetkili otoritelere bildirimlerin hızlı bir şekilde yapılması ve tedbirlerin ivedilikle alınması gerektiği açıktır.

KVKK anlamında, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden verilerin Sağlık Bakanlığı ve ilgili otoritelerce işlenmesinin önünde bir engel bulunmamaktadır. Ancak, sağlık verilerinin işveren tarafından otoritelere aktarımı, KVKK’ya tabi olacaktır. Çalışanın enfekte olduğu bilgisi sağlık verisi olarak kabul edileceğinden, özel nitelikli kişisel verilere ilişkin hükümler göz önüne alınmalıdır. Çalışanın rızasını alma yoluna gidilmesi tercih edilebilir. Ancak özellikle içinde bulunduğumuz durumun potansiyel mali etkileri göz önüne alınırsa, enfekte olan çalışanın iş güvenliği anlamında kendini baskı altında hissetme riski bulunmaktadır. Bu doğrultuda çalışanın rızasına dayanarak gerçekleştirilen işleme ve aktarım faaliyetleri riskli gözükmektedir. Diğer yandan, teoride bu bildirimlerin iş yeri hekimleri tarafından yapılması gerekeceği söylenebilir. Ancak, mevcut durumda bu yöntemin uygulanabilirliği tartışmalı olacaktır. Geniş pencereden incelediğimizde hekimler her zaman işyerinde bulunmayabilir. Salgının yayılma hızı düşünülürse, çalışan işyerine gelmeden ya da hekimi ziyaret etmeden de hastalık bildirimi yapabilir.

Bu durumda, kamu sağlığının korunması adına hızlı aksiyon alabilmek için şirketler, insan kaynakları gibi çalışana doğrudan temas eden birimleri içerisinde sınırlı sayıda ekipler oluşturularak, gerekli bildirimleri bu ekipler üzerinden gerçekleştirmeyi tercih edebilirler. Bu noktada, genel veri işleme prensipleri göz önüne alınarak, çalışanın enfekte olduğuna dair bilginin mümkün olduğunca dar bir çevrede bilinmesi, ekiplerin az sayıda (bir veya iki kişi) çalışandan oluşturulması gerekmekte ve enfekte olan çalışanın gizliliğine üst seviyede dikkat edilmelidir.

Bir diğer yandan, enfekte olan çalışanın gizliliği göz önüne alınarak, çalışanın kimliğinin şirket içerisinde duyurulmaması gerekmektedir. Ancak yukarıda da açıkladığımız üzere, maalesef salgın çok ciddi bir hızla yayılmaktadır. Bu doğrultuda, iş sağlığı ve güvenliğinin önemi göz önüne alınarak, diğer çalışanın sağlığının ve bağışıklığının korunması adına, şirket içerisinde COVID-19 enfekte bir çalışanın bulunduğunun isim belirtmeksizin duyurulması gerekebilir.

Şirket içerisinde yapılacak duyurularda şirket çalışanlarına COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini sağlayacak detaylar paylaşılmamalıdır.

Pek çok şirket evden/uzaktan çalışma metodunu benimsemiş gözüküyor. Peki, uzaktan çalışan personeli takip edebilir miyiz?

Sosyal medya üzerinde ve Whatsapp gruplarında, şirketlerin evden çalışan personeli farklı şekillerde denetlediğine dair söylemlerle karşılaşmaktayız.

İşveren’in, çalışanlara teslim etmiş olduğu işlerin akıbetini takip etmek istemesi, yönetim hakkı kapsamında mümkündür. Ancak personelin çalışma takibini gerçekleştirirken, kişisel verilerin korunması kapsamındaki genel ilkelere riayet edilmesi çok önemlidir. Buradan doğabilecek olumsuz sonuçların yansıması yalnızca kişisel verilerin korunması alanında değil, iş hukuku açısından da işverenleri zor durumda bırakabilir.

Bu doğrultuda, çalışan cihazlarından konum takibi, web cam ve benzeri izleme teknolojileri aracılığıyla çalışanın kontrolü gibi ‘aşırı’ veri işleme faaliyetlerinden kaçınılmalı, çalışan ile günlük bazda gerçekleştirilecek telefon görüşmeleri gibi biraz daha düşük teknolojili ve eski usul metotların tercih edilmesi önerilmektedir.

Uzaktan çalışmanın doğurduğu riskleri veri güvenliği açısından ne şekilde minimize edebiliriz?

Pek çok şirket hali hazırda 21.yüzyılın gereklerine ve tehlikelerine ayak uydurmuş ve ofisteki çalışma cihazları ve sistemleri için veri güvenliğini üst düzeye taşımıştır. Ancak şirketlerin ister istemez evden çalışma metoduna eğilim gösterdiği bu dönemde, aynı güvenlik önlemlerinin evden/uzaktan çalışma için de uygulanması gerekmektedir.

COVID-19 salgınının bu kadar hızlı bir şekilde yayılmış olması sebebiyle, maalesef pek çok şirket her bir çalışana ayrı bir uzaktan çalışma cihazı tesis etme fırsatı bulamadı. Bu sebeple zaman zaman çalışanın şahsi cihazlarından ofis işlerini yürüttüğünü görmekteyiz.

Bu durumun doğurabileceği risklerin minimize edilmesi adına, başta şirket sistemlerine ve dokümanlarına VPN bağlantısı ile erişim, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliği ve işlerliğinin sağlanması olmak üzere, her türlü iyi piyasa uygulaması izlenmeli ve şirketler bünyesinde uygulamaya alınmalıdır.

Ek olarak, iş hayatındaki veri gizliliği (hem kişisel veri hem de ticari anlamda gizli bilgiler babında) ihlallerinin çok büyük oranı, çalışanın doküman gönderirken ya da uzaktan çalışırken kişisel e-posta hesaplarını kullanması neticesinde gerçekleşmektedir. Herkesin uzaktan çalışma metoduna geçtiği bugünlerde, çalışanın bu uygulamanın olumsuz sonuçları konusunda dikkatle bilgilendirilmesi gerekmektedir.

Sonuç olarak,

COVID-19 küresel bir salgın olsa da hukuksal açıdan da şirketler bakımından ele alınması gereken yeni konuları beraberinde getiriyor. Bu süreçle mücadele ederken şirketlerin hukuk düzenin gerekliliklerini yerine getirmesi de hala önem arz ediyor.

Kişisel verilerin korunması alanı bu süreci en yakından ilgilendiren regüle alanlardan bir tanesi. Pek çok veri koruma otoritesi bu süreçte uyulması gereken kurallara ilişkin yönlendirici açıklamalar yaparken ülkemizde Kişisel Verilerin Korunması Kurumu halen sessizliğini korumakta. Bu konuda Kurum’dan bir açıklama yapılması durumda sizleri bilgilendirmeye devam ediyor olacağız.

Yapay zeka bir araç mı tehdit mi?

Yapay zeka günden güne hayatımıza girmeye devam ediyor. Bizler de bu süreci yakından takip edip önümüzdeki dönemde bunun özellikle regüle piyasalarda ne gibi sonuçlar doğurabileceği noktasında şimdiden kafa yoruyoruz.

Geçtiğimiz haftalarda yapay zeka kullanımına ilişkin İngiltere’de önemli bir gelişme yaşandı.

İngiltere’de başta kişisel verilerin korunması olmak üzere bilgi ve veriye ilişkin konularda yetkili otorite olan Information Commisioner’s Office (“ICO”) yapay zeka kullanımına ilişkin olarak kısa bir taslak kılavuz  ve öneri anketi yayınladı.

Kılavuz temelde üç konuya işaret etmeyi planlıyor:

  • Birinci bölümde temel olarak yapay zeka kavramına ilişkin temel hususlar ele alınıyor.
  • İkinci bölümde ise yapay zekanın uygulamada nasıl kullanıldığı konu alınmış böylelikle uyum süreçlerini yürüten teknik ve idari ekibin bilgilendirilmesi amaçlanmış.
  • Son bölümde ise organizasyonlar içerisinde yapay zekanın nasıl bir konuma sahip olduğuna ve özellikle kişisel verilerin korunması kapsamında hazırlanan politika metinlerinde nasıl bir pozisyona alınması gerektiğine değinilmesi planlanıyor.

Kılavuz’un özellikle şeffaflık ve izlenebilirlik gibi GDPR’da yer bulan kavramlara atıf yapmasıyla kişisel verilerin korunması hukuku bakımından da önemli bir kaynak olma özelliğini taşıması bekleniyor.

Şeffaflık ve izlenebilirliği takiben kılavuzda en çok vurgulanan husus ise yapay zeka içeren projelere ilişkin bir hukuki değerlendirme yapılırken temel olarak tek bir düzen üzerinden gidilmesinin mümkün olamayacağı, zira her bir yapay zeka senaryosunun içeriği uyarınca ayrı bir şekilde ele alınması gerektiği.

Son olarak organizasyonların, yapay zeka projelerinde, çalışmanın hedefleriyle etik amaçların sorgulayıcı bir platformda değerlendirilmesi gerektiği ve bu doğrultuda bir değerlendirme yapılması gerektiği vurgulanıyor.

Şimdilik kavramlar ve kuralların net olduğunu söylemek güç. İlerleyen dönemde yapay zeka kullanımının hukuki sonuçları oldukça tartışılacak gibi duruyor.

Daha fazla bilgi için tıklayınız.

Online platformların uyum sağlaması gereken bir düzenleme daha! AB’den yeni bir regülasyon!

Avrupa’da çevrimiçi platformları ilgilendiren önemli bir gelişme yaşandı.  Avrupa Birliği Konseyi tarafından yürürlüğe sokulan yeni regülasyon ile (“Regulation (EU) 2019/1150 of the European Parliament and of the Council of 20 June 2019 on promoting fairness and transparency for business users of online intermediation services”) çevrimiçi aracı hizmet sağlayıcıları ile ticari işletmeler arasındaki ilişkilere dair önemli düzenlemeler getirildi.

Neden böyle bir düzenlemeye ihtiyaç vardı?

Günümüzde bir milyondan fazla ticari işletme ürün ve hizmetlerini çevrimiçi platformlar üzerinden satmakta. Bunun bir uzantısı olarak Avrupa’da her yıl e-ticaret üzerinden elde edilen gelirin düzenli olarak %15 oranında arttığı gözlemleniyor. Bu sebepledir ki, tüketicilerle bu denli yoğun bir temasın gerçekleştiği çevrimiçi hizmet sağlayıcılara belirli yükümlülükler getirilmesi gerekiyor.

İlgili düzenleme neyi amaçlıyor?

İlgili düzenlemenin temel amacı sektördeki hakkaniyet ve şeffaflığı artırmak. Böylelikle, çevrimiçi hizmetlerin sunulduğu dünyada yeni girişim ve gelişmelerin önünün açılması planlanıyor.

İlgili düzenleme bir yandan çevrimiçi hizmet sunan platformları belirli şeffaflık kuralları çerçevesinde daha sıkı bir gözetim altına almayı planlarken, diğer yandan çerçevesi daha belirli bir yasal düzenleme öngörerek ilgili teşebbüsler bakımından yasal öngörülebilirliğin sağlanmasını amaçlıyor.

Kimler düzenlemenin kapsamında?

Düzenleme temel olarak çevrimiçi aracı hizmet sağlayıcıları ve çevrimiçi arama hizmeti sunan platformları kapsıyor. Bu noktada vurgulanması gereken husus ise düzenlemenin ilgili teşebbüslerin Avrupa Birliği’nde kurulup kurulmadığından bağımsız bir şekilde uygulama alanı bulması.

Nitekim ilgili düzenlemeye göre, teşebbüsler Avrupa Birliği’nde yerleşik olmasalar dahi Avrupa Birliği’nde bulunan tüketicilere yönelik olarak bir hizmet sağlıyorlarsa ilgili düzenlemenin kapsamında sayılıyorlar. Dolayısıyla ülkemizde faaliyet gösteren çevrimiçi platformlar da Avrupa Birliği’nde yer alan tüketicilere bir hizmet sağladıkları takdirde bu yeni düzenlemeye dikkat etmek durumunda kalacaklar.

Bunun en önemli sonuçlarından biri de, dijital hizmetlerin vergilendirmesinde olduğu gibi Avrupa ve Dünya’daki regülatif gelişmelerin yakından takip edildiği dikkate alındığında benzer bir düzenlemenin ülkemizde de gelme olasılığının yüksek olabileceğidir.

Düzenleme ile öngörülen önemli hususlar neler?

En önemli değişikliklerden bir tanesi çevrimiçi hizmetlerin sunumunda aracı platformların ticari işletmeler ile yaptıkları anlaşmalara yönelik. Nitekim platformlar ile ticari işletmeler arasında doğan uyuşmazlıkların %19’nun genel hüküm ve koşulların beklenmedik bir şekilde değişmesinden kaynaklandığı belirtiliyor. Bu çerçevede, yeni düzenlemeye göre genel hüküm ve koşulların taraflar arasında daha açık ve anlaşılır bir dil ile yazılması zorunluluğu öngörülmüştür. Bunun yanında platformlar genel koşullarda bir değişikliğe giderse mutlaka ilgili işletmeleri bu konuda bilgilendirmek zorundadır.

Getirilen bir diğer önemli değişiklik ise belirli hizmet veya ürünlerin satışının ilgili platform sağlayıcı tarafından sınırlandırılması/ kaldırılması veya yasaklanması halinde bu durumun gerekçelendirilmesi gerekliliğine ilişkindir.

Bunun yanında ilgili çevrimiçi hizmet sağlayıcılara veri politikası oluşturma zorunluluğu getirilmiştir. Bu kapsamda ilgili hizmet sağlayıcılar bünyelerinde sunulan hizmet çerçevesinde işlenen verilere ilişkin genel bir bilgilendirmeyi paylaşmak yükümlülüğü altında kalacaktır.

İlgili hizmet sağlayıcılığa getirilen bilgilendirme yükümlülükleri bunlarla da sınırlı değildir. Düzenlemeye göre sağlayıcılar, platformlarında yer alan ürün ve hizmetlerin nasıl sıralandığına ilişkin olarak ilgili işletmeleri aydınlatmak ile sorumlu kılınmıştır.

Son olarak, şikayet başvurularına ilişkin olarak ilgili platformların kurumsal bir sistem kurması öngörülmüştür. Bu yükümlülük yalnızca 50’den fazla çalışanı bulunan ve yıllık 10 milyon Avro’dan fazla gelir elde eden teşebbüsler bakımından geçerlidir. Bunun yanında taraflar arasındaki uyuşmazlıkların daha hızlı çözülmesi bakımından zorunlu bir arabulucuk sisteminin tesis edilmesi de ilgili düzenlemeyle öngörülen hususlar arasındadır.

İlgili düzenleme metnine buradan ulaşabilirsiniz.

California’da CCPA Dönemi

Geçtiğimiz ay Birleşik Devletler’in California eyaletinde büyük teknoloji firmalarını ilgilendiren önemli bir gelişme yaşandı. Buna göre 1 Ocak 2020’de yürürlüğe girecek olan California Consumer Privacy Act of 2018 (“CCPA”) ile California, Birleşik Devletler’de kapsamlı bir verilerin korunması mevzuatına sahip olan ilk eyalet olacak.

Neden büyük teknoloji firmalarını ilgilendiriyor?

Bilindiği üzere kişisel verilerin korunmasına ilişkin olarak Avrupa Birliği ve yerel mevzuatlar kapsam olarak kişisel verileri işleyen hemen hemen tüm teşebbüsleri kapsama alıyor. Bununla birlikte, kişisel veriler üzerinden milyonlar kazanan firmalarla küçük teşebbüslerin aynı kurallara tabi olması uzun bir süre eleştiri konusu olmuştu. Bu noktada CCPA’nin en önemli özelliği kişisel veriler ile ticari açıdan yakın ilişki sağlayan ve bundan yüksek kar elde eden firmaları hedef alıyor olması. Nitekim ilgili mevzuat yalnızca California’da yerleşik kişilerin verilerini işleyen ve aşağıda yer alan koşulların en az birini taşıyan teşebbüsleri kapsıyor. Bu çerçevede:

  • Gayri safi gelirin 25 milyon Amerikan Dolarını aşması,
  • Yılda 50.000’den fazla California’da yerleşik kişinin kişisel verilerinin satın alınması, satılması, alınması veya paylaşılması,
  • Yıllık net gelirin yarısının müşterilerin kişisel verilerinin satılmasından elde edilmesi,

koşullarından birinin taşınması halinde ilgili firma CCPA’in kapsamında olacak.

GDPR ile benzer mi?

Tanımlar maddesine bakıldığında ise genel olarak Avrupa Veri Koruma Tüzüğü (“GDPR”) ile paralel bir şekilde kişisel veri kavramının oldukça kapsayıcı şekilde tanımlandığını, böylelikle, ilgili kişi ile ilişkilendirilebilecek her türlü verinin, kişisel veri olarak kabul edildiğini görüyoruz.

Bunun karşın GDPR’a nazaran ilgili kişilerin haklarının oldukça geniş tutulduğunu söyleyebiliriz. Nitekim CCPA kapsamında ilgili kişiler hangi verilerinin işlendiğini ve bu verilerin kimlere satıldığını veri sorumlusundan öğrenebilecekler. Ayrıca, veri sorumluları kişisel verilerin üçüncü kişilere satılıp satılmaması noktasında ilgili kişiye seçim hakkı tanımak zorunda bırakılmış. Bu durum uzun vadede büyük teknoloji firmalarının epey bir canını yakacak gibi gözüyor.

Cezai Yaptırımlar oldukça ağır

CCPA her bir ihlal başına 2.500 Amerikan Doları ceza öngörüyor, kasıtlı ihlallerde ise bu rakam 7.500 Amerikan Dolarına kadar çıkabiliyor. Bir veri sızıntısı çerçevesinde on binlerce kişinin verisinin ihlal edileceği göz önüne alındığında, veri sorumluların oldukça yüksek miktarda idari yaptırımlar ile karşı karşıya kalabileceğini rahatlıkla söyleyebiliriz.

Bu noktada en önemli farklılıklardan biri ise CCPA kapsamında ilgili kişiler istedikleri takdirde toplu davaların yanında bireysel olarak da veri sorumlusu hakkında dava açarak tazminat talep edebiliyorlar.

Sonuç olarak

Birleşik Devletler’de kişisel verilerin korunması adına oldukça önemli bir gelişme yaşandı. Bu gelişmenin en önemli mesajı ise daha önce uluslararası vergi hukukunda da gördüğümüz üzere büyük teknoloji firmalarına yönelik, doğrudan bu firmaları hedef alan regülasyonların gün geçtikçe daha popüler hale gelebileceği. Dolayısıyla bu ve benzer düzenlemelerin yakın zamanda Avrupa’da ve ülkemizde de söz konusu olabileceğini öngörebiliriz.

OTT Regülasyonu geliyor!

Günümüz regülasyon hukuku tartışmalarından belki de en popüleri Over-the-Top (OTT) hizmetlerinin düzenlenmesi.

Peki neden ülkeler OTT hizmetlerini regüle etmek konusunda bu denli istekli?

Türkiye’de isteğe bağlı internet yayınlarının denetlenmesine ilişkin yeni düzenlemeler bizi nereye götürüyor?

Şahin Ardıyok ile OTT’ye ilişkin güncel meseleleri kısaca özetlediğimiz “Network Industries Quarterly” dergisinde yayınlanan makalemizi okumak için tıklayınız.