Yapay zeka bir araç mı tehdit mi?

Yapay zeka günden güne hayatımıza girmeye devam ediyor. Bizler de bu süreci yakından takip edip önümüzdeki dönemde bunun özellikle regüle piyasalarda ne gibi sonuçlar doğurabileceği noktasında şimdiden kafa yoruyoruz.

Geçtiğimiz haftalarda yapay zeka kullanımına ilişkin İngiltere’de önemli bir gelişme yaşandı.

İngiltere’de başta kişisel verilerin korunması olmak üzere bilgi ve veriye ilişkin konularda yetkili otorite olan Information Commisioner’s Office (“ICO”) yapay zeka kullanımına ilişkin olarak kısa bir taslak kılavuz  ve öneri anketi yayınladı.

Kılavuz temelde üç konuya işaret etmeyi planlıyor:

  • Birinci bölümde temel olarak yapay zeka kavramına ilişkin temel hususlar ele alınıyor.
  • İkinci bölümde ise yapay zekanın uygulamada nasıl kullanıldığı konu alınmış böylelikle uyum süreçlerini yürüten teknik ve idari ekibin bilgilendirilmesi amaçlanmış.
  • Son bölümde ise organizasyonlar içerisinde yapay zekanın nasıl bir konuma sahip olduğuna ve özellikle kişisel verilerin korunması kapsamında hazırlanan politika metinlerinde nasıl bir pozisyona alınması gerektiğine değinilmesi planlanıyor.

Kılavuz’un özellikle şeffaflık ve izlenebilirlik gibi GDPR’da yer bulan kavramlara atıf yapmasıyla kişisel verilerin korunması hukuku bakımından da önemli bir kaynak olma özelliğini taşıması bekleniyor.

Şeffaflık ve izlenebilirliği takiben kılavuzda en çok vurgulanan husus ise yapay zeka içeren projelere ilişkin bir hukuki değerlendirme yapılırken temel olarak tek bir düzen üzerinden gidilmesinin mümkün olamayacağı, zira her bir yapay zeka senaryosunun içeriği uyarınca ayrı bir şekilde ele alınması gerektiği.

Son olarak organizasyonların, yapay zeka projelerinde, çalışmanın hedefleriyle etik amaçların sorgulayıcı bir platformda değerlendirilmesi gerektiği ve bu doğrultuda bir değerlendirme yapılması gerektiği vurgulanıyor.

Şimdilik kavramlar ve kuralların net olduğunu söylemek güç. İlerleyen dönemde yapay zeka kullanımının hukuki sonuçları oldukça tartışılacak gibi duruyor.

Daha fazla bilgi için tıklayınız.

Online platformların uyum sağlaması gereken bir düzenleme daha! AB’den yeni bir regülasyon!

Avrupa’da çevrimiçi platformları ilgilendiren önemli bir gelişme yaşandı.  Avrupa Birliği Konseyi tarafından yürürlüğe sokulan yeni regülasyon ile (“Regulation (EU) 2019/1150 of the European Parliament and of the Council of 20 June 2019 on promoting fairness and transparency for business users of online intermediation services”) çevrimiçi aracı hizmet sağlayıcıları ile ticari işletmeler arasındaki ilişkilere dair önemli düzenlemeler getirildi.

Neden böyle bir düzenlemeye ihtiyaç vardı?

Günümüzde bir milyondan fazla ticari işletme ürün ve hizmetlerini çevrimiçi platformlar üzerinden satmakta. Bunun bir uzantısı olarak Avrupa’da her yıl e-ticaret üzerinden elde edilen gelirin düzenli olarak %15 oranında arttığı gözlemleniyor. Bu sebepledir ki, tüketicilerle bu denli yoğun bir temasın gerçekleştiği çevrimiçi hizmet sağlayıcılara belirli yükümlülükler getirilmesi gerekiyor.

İlgili düzenleme neyi amaçlıyor?

İlgili düzenlemenin temel amacı sektördeki hakkaniyet ve şeffaflığı artırmak. Böylelikle, çevrimiçi hizmetlerin sunulduğu dünyada yeni girişim ve gelişmelerin önünün açılması planlanıyor.

İlgili düzenleme bir yandan çevrimiçi hizmet sunan platformları belirli şeffaflık kuralları çerçevesinde daha sıkı bir gözetim altına almayı planlarken, diğer yandan çerçevesi daha belirli bir yasal düzenleme öngörerek ilgili teşebbüsler bakımından yasal öngörülebilirliğin sağlanmasını amaçlıyor.

Kimler düzenlemenin kapsamında?

Düzenleme temel olarak çevrimiçi aracı hizmet sağlayıcıları ve çevrimiçi arama hizmeti sunan platformları kapsıyor. Bu noktada vurgulanması gereken husus ise düzenlemenin ilgili teşebbüslerin Avrupa Birliği’nde kurulup kurulmadığından bağımsız bir şekilde uygulama alanı bulması.

Nitekim ilgili düzenlemeye göre, teşebbüsler Avrupa Birliği’nde yerleşik olmasalar dahi Avrupa Birliği’nde bulunan tüketicilere yönelik olarak bir hizmet sağlıyorlarsa ilgili düzenlemenin kapsamında sayılıyorlar. Dolayısıyla ülkemizde faaliyet gösteren çevrimiçi platformlar da Avrupa Birliği’nde yer alan tüketicilere bir hizmet sağladıkları takdirde bu yeni düzenlemeye dikkat etmek durumunda kalacaklar.

Bunun en önemli sonuçlarından biri de, dijital hizmetlerin vergilendirmesinde olduğu gibi Avrupa ve Dünya’daki regülatif gelişmelerin yakından takip edildiği dikkate alındığında benzer bir düzenlemenin ülkemizde de gelme olasılığının yüksek olabileceğidir.

Düzenleme ile öngörülen önemli hususlar neler?

En önemli değişikliklerden bir tanesi çevrimiçi hizmetlerin sunumunda aracı platformların ticari işletmeler ile yaptıkları anlaşmalara yönelik. Nitekim platformlar ile ticari işletmeler arasında doğan uyuşmazlıkların %19’nun genel hüküm ve koşulların beklenmedik bir şekilde değişmesinden kaynaklandığı belirtiliyor. Bu çerçevede, yeni düzenlemeye göre genel hüküm ve koşulların taraflar arasında daha açık ve anlaşılır bir dil ile yazılması zorunluluğu öngörülmüştür. Bunun yanında platformlar genel koşullarda bir değişikliğe giderse mutlaka ilgili işletmeleri bu konuda bilgilendirmek zorundadır.

Getirilen bir diğer önemli değişiklik ise belirli hizmet veya ürünlerin satışının ilgili platform sağlayıcı tarafından sınırlandırılması/ kaldırılması veya yasaklanması halinde bu durumun gerekçelendirilmesi gerekliliğine ilişkindir.

Bunun yanında ilgili çevrimiçi hizmet sağlayıcılara veri politikası oluşturma zorunluluğu getirilmiştir. Bu kapsamda ilgili hizmet sağlayıcılar bünyelerinde sunulan hizmet çerçevesinde işlenen verilere ilişkin genel bir bilgilendirmeyi paylaşmak yükümlülüğü altında kalacaktır.

İlgili hizmet sağlayıcılığa getirilen bilgilendirme yükümlülükleri bunlarla da sınırlı değildir. Düzenlemeye göre sağlayıcılar, platformlarında yer alan ürün ve hizmetlerin nasıl sıralandığına ilişkin olarak ilgili işletmeleri aydınlatmak ile sorumlu kılınmıştır.

Son olarak, şikayet başvurularına ilişkin olarak ilgili platformların kurumsal bir sistem kurması öngörülmüştür. Bu yükümlülük yalnızca 50’den fazla çalışanı bulunan ve yıllık 10 milyon Avro’dan fazla gelir elde eden teşebbüsler bakımından geçerlidir. Bunun yanında taraflar arasındaki uyuşmazlıkların daha hızlı çözülmesi bakımından zorunlu bir arabulucuk sisteminin tesis edilmesi de ilgili düzenlemeyle öngörülen hususlar arasındadır.

İlgili düzenleme metnine buradan ulaşabilirsiniz.

California’da CCPA Dönemi

Geçtiğimiz ay Birleşik Devletler’in California eyaletinde büyük teknoloji firmalarını ilgilendiren önemli bir gelişme yaşandı. Buna göre 1 Ocak 2020’de yürürlüğe girecek olan California Consumer Privacy Act of 2018 (“CCPA”) ile California, Birleşik Devletler’de kapsamlı bir verilerin korunması mevzuatına sahip olan ilk eyalet olacak.

Neden büyük teknoloji firmalarını ilgilendiriyor?

Bilindiği üzere kişisel verilerin korunmasına ilişkin olarak Avrupa Birliği ve yerel mevzuatlar kapsam olarak kişisel verileri işleyen hemen hemen tüm teşebbüsleri kapsama alıyor. Bununla birlikte, kişisel veriler üzerinden milyonlar kazanan firmalarla küçük teşebbüslerin aynı kurallara tabi olması uzun bir süre eleştiri konusu olmuştu. Bu noktada CCPA’nin en önemli özelliği kişisel veriler ile ticari açıdan yakın ilişki sağlayan ve bundan yüksek kar elde eden firmaları hedef alıyor olması. Nitekim ilgili mevzuat yalnızca California’da yerleşik kişilerin verilerini işleyen ve aşağıda yer alan koşulların en az birini taşıyan teşebbüsleri kapsıyor. Bu çerçevede:

  • Gayri safi gelirin 25 milyon Amerikan Dolarını aşması,
  • Yılda 50.000’den fazla California’da yerleşik kişinin kişisel verilerinin satın alınması, satılması, alınması veya paylaşılması,
  • Yıllık net gelirin yarısının müşterilerin kişisel verilerinin satılmasından elde edilmesi,

koşullarından birinin taşınması halinde ilgili firma CCPA’in kapsamında olacak.

GDPR ile benzer mi?

Tanımlar maddesine bakıldığında ise genel olarak Avrupa Veri Koruma Tüzüğü (“GDPR”) ile paralel bir şekilde kişisel veri kavramının oldukça kapsayıcı şekilde tanımlandığını, böylelikle, ilgili kişi ile ilişkilendirilebilecek her türlü verinin, kişisel veri olarak kabul edildiğini görüyoruz.

Bunun karşın GDPR’a nazaran ilgili kişilerin haklarının oldukça geniş tutulduğunu söyleyebiliriz. Nitekim CCPA kapsamında ilgili kişiler hangi verilerinin işlendiğini ve bu verilerin kimlere satıldığını veri sorumlusundan öğrenebilecekler. Ayrıca, veri sorumluları kişisel verilerin üçüncü kişilere satılıp satılmaması noktasında ilgili kişiye seçim hakkı tanımak zorunda bırakılmış. Bu durum uzun vadede büyük teknoloji firmalarının epey bir canını yakacak gibi gözüyor.

Cezai Yaptırımlar oldukça ağır

CCPA her bir ihlal başına 2.500 Amerikan Doları ceza öngörüyor, kasıtlı ihlallerde ise bu rakam 7.500 Amerikan Dolarına kadar çıkabiliyor. Bir veri sızıntısı çerçevesinde on binlerce kişinin verisinin ihlal edileceği göz önüne alındığında, veri sorumluların oldukça yüksek miktarda idari yaptırımlar ile karşı karşıya kalabileceğini rahatlıkla söyleyebiliriz.

Bu noktada en önemli farklılıklardan biri ise CCPA kapsamında ilgili kişiler istedikleri takdirde toplu davaların yanında bireysel olarak da veri sorumlusu hakkında dava açarak tazminat talep edebiliyorlar.

Sonuç olarak

Birleşik Devletler’de kişisel verilerin korunması adına oldukça önemli bir gelişme yaşandı. Bu gelişmenin en önemli mesajı ise daha önce uluslararası vergi hukukunda da gördüğümüz üzere büyük teknoloji firmalarına yönelik, doğrudan bu firmaları hedef alan regülasyonların gün geçtikçe daha popüler hale gelebileceği. Dolayısıyla bu ve benzer düzenlemelerin yakın zamanda Avrupa’da ve ülkemizde de söz konusu olabileceğini öngörebiliriz.

OTT Regülasyonu geliyor!

Günümüz regülasyon hukuku tartışmalarından belki de en popüleri Over-the-Top (OTT) hizmetlerinin düzenlenmesi.

Peki neden ülkeler OTT hizmetlerini regüle etmek konusunda bu denli istekli?

Türkiye’de isteğe bağlı internet yayınlarının denetlenmesine ilişkin yeni düzenlemeler bizi nereye götürüyor?

Şahin Ardıyok ile OTT’ye ilişkin güncel meseleleri kısaca özetlediğimiz “Network Industries Quarterly” dergisinde yayınlanan makalemizi okumak için tıklayınız.

Bir karar da BTK’dan geldi! Türksat artık diğer işletmecilere ait altyapıları kullanabilecek

Bildiğiniz üzere Türksat, kendi ve diğer uydular üzerinden her türlü uydu haberleşmesini gerçekleştiren operatörlerden biri. Bu çerçevede Türksat, mevcut kablo altyapısı üzerinden abonelerine kablo TV ve genişbant Internet hizmeti sunuyor. Sizlere geçmiş yazılarımızda duyurduğumuz son dönemdeki Rekabet Kurulu’nun bireysel muafiyet kararlarına paralel olarak Bilgi Teknolojileri ve İletişim Kurulu (“BTK”) da Türksat ve telekomünikasyon şirketleri arasındaki işbirliğine yeşil ışık yaktı.

Türksat, BTK’ya yaptığı başvuru aracılığıyla diğer işletmeci şebekelerine erişim ve alt marka yönetimiyle mobil hizmetlerin satışı-pazarlanmasına ilişkin talepte bulunmuştu.

BTK, yaptığı inceleme sonucunda, Türksat’ın talebine ilişkin nihai kararını verdi.

Verilen karar göre, Türksat, Kablo TV altyapısı üzerinden sunduğu hizmetleri, artık teknik imkânlar dâhilinde diğer işletmecilere ait xDSL, xPON, FTTX vb. kablolu altyapılara veri akış erişimi, toptan al/sat ve benzeri modellerle erişim sağlayarak da sunabilecek.

Kararda ayrıca Türksat’ın alt marka yöntemiyle mobil hizmetlerin satışı-pazarlanmasının, Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği’nin 19. maddesine aykırı olmayacak şekilde yürütülmesi gerektiği ifade edilmiştir. Bu kapsamda Türksat, belirli yükümlülüklere tabi olmak kaydıyla, alt marka yöntemiyle satış ve pazarlama faaliyetlerini de gerçekleştirebilecek. Karara göre ayrıca:

  • Türksat, kendisi tarafından sunulduğu izlemini oluşturabilecek satış ve pazarlama yöntemlerini kullanmamalıdır.
  • Türksat, her türlü satış ve pazarlama faaliyetinde hizmeti sunan mobil şebeke işletmecisini açıkça belirtmelidir.
  • Türksat, herhangi bir şekilde al-sat vb. bir iş modeli ile mobil hizmetlerin yeniden satışını yapmamalıdır.
  • Türksat, ilgili diğer mevzuattan kaynaklanan yükümlülüklerini yerine getirmelidir.

Sonuç olarak, Türksat, bundan böyle sunduğu hizmetleri Kablo TV dışında kablolu altyapılarla sağlayabilecek ve alt marka yöntemiyle satış ve pazarlama gerçekleştirebilecektir.

Türksat ve telekomünikasyon şirketleri arasındaki işbirliğine ilişkin yeni gelişmeler oldukça sizlere duyurmaya devam edeceğiz.

Kararın tam metni için tıklayınız.

YENİ BİR VERİ İHLALİ BİLDİRİMİ: Aman çalışanlarınıza dikkat!

Kişisel Verileri Koruma Kurumu’na (“KVKK”) yapılan veri ihlali bildirimlerinin sayısı her geçen gün artmaya devam ediyor. Bu sefer ki başvuru ise ING Bankasından geldi. İhlale konu olayın ilk tespiti ise Türkiye Bankalar Birliği tarafından (“TBB”) yapılmış. Nitekim KVKK’nın internet sitesinde yapılan duyuruya göre TBB tarafından Risk merkezi nezdinde ING Bankası çalışanı tarafından yapılan sorguların şüpheli olduğu bildirilmiştir.

Bunun üzerine ING Bankası tarafından başlatılan incelemede, ilgili kişinin banka uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (“KRM”) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği tespit edildi. ING Bankası tarafından bu eyleme iştirak eden veya benzer şekilde hareket eden başka bir personelin bulunmadığı açıklamasına yer verildi.

This image has an empty alt attribute; its file name is Corp-Gov-Getty.jpg


Bununla birlikte 2018 yılı boyunca ihlale sebebiyet verin ING Bankası çalışanının pek çok TC kimlik numarası (“TCKN”) ve vergi kimlik numarası (“VKN”) bilgileriyle sorgular yaptığı ve söz konusu sorgular sonucu oluşan verilerin elektronik haberleşme yollarıyla Banka dışına sızdığı bildirildi.

ING Bank’ın yaptığı incelemeler sonucunda sistemde yapılan sorgularda şirketler dışında gerçek kişi tacirlerin bilgilerinin de yer aldığı ve bilgilerine ulaşılan hem tüzel kişi hem de gerçek kişi tacirlerin büyük çoğunluğunun ING Bank’ın müşterisi olmaması sebebiyle TCKN ve VKN verilerinin dışarıdan temin edildiği anlaşıldı. Bankanın müşterisi olan az sayıda şirketin VKN bilgilerinin ise dışarıdan gelen listelerden alındığı tahmin ediliyor.

Veri ihlalini gerçekleştiren şahsın ulaştığı kayıtların, bireysel nitelikli kredi kayıtları olmadığı, gerçek kişi ve tüzel kişi tacirlere sorgu yapabilen KRM kayıtları olduğu belirtildi. Ancak KRM kayıtlarında çek rapor sorgusunun da seçilmesi halinde raporlanan bilgiler arasında, ilgili firmanın Bankalar nezdindeki kredi limiti, risk ve teminat bilgileri, ibraz edilen çeklerin adedi, vadesi ve tutarı, geçmiş döneme ilişkin ciro bilgisi, ortaklık yapısı ve ortaklarının TCKN bilgilerine gibi oldukça detaylı bilgiler yer alıyor. Bu kapsamda, 1.172 adet gerçek kişi ticari işletmenin KRM raporlarının ve bu ticari işletmeler bünyesindeki toplam 19.055 gerçek kişinin TCKN ve isim bilgilerinin sızdırılmış olduğu raporlandı.

ING Bank Kurul’a sunduğu yazıda, veri ihlalini gerçekleştiren şahsın yetki denetimini devre dışında bırakmak için kullandığı yöntemin engellendiğini ve bu güvenlik açığını gidermek üzere değerlendirmeler gerçekleştirildiğini bilgilerine yer verdi. Veri güvenliği ihlalinden etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak bildirimlerin usul ve içeriğine ilişkin olarak ING Bank ile TBB Risk Merkezi arasındaki çalışma sürüyor.

Rakipler arası işbirliği artık eskisinden daha kolay!

Rekabet Kurulu, işbirliği yapma planları içerisinde olan rakip teşebbüsleri yakından ilgilendiren bir muafiyet kararına imza attı. Superonline tarafından yapılan bildirimde Superonline ve Türksat’ın birbirlerine kendi şebekeleri üzerinden toptan seviyede veri akış erişimi hizmeti, TV hizmeti ve destek hizmetleri sunmasına yönelik anlaşmaya muafiyet tanınması talep edildi.

Kurul, Bilgi Teknolojileri ve İletişim Kurulu’nun (“BTK”) da görüşünü almak suretiyle ilgili muafiyet başvurusunu inceledi. Yapılan inceleme neticesinde ilgili ürün pazarı “toptan sabit genişbant erişim hizmetleri pazarı” olarak tanımlanmış, ancak ilişki değerlendirilirken “perakende sabit genişbant erişim hizmetleri pazarı” ve “ödemeli dijital TV yayıncılığı pazarı” üzerindeki etkilerine de bakılmıştır.


Kurul tarafından yapılan bireysel muafiyet incelemesinde, söz konusu işbirliğinin Türk Telekom’un hakim durumda olduğu ilgili pazarda Türksat ve Superonline’nın aynı bölgeye birden fazla altyapı kurulması için katlanılacak maliyeti azaltarak çifte yatırım maliyetinin önüne geçip maliyet tasarrufu sağlayacağı tespitinde bulunuldu.


Söz konusu yatırım maliyetlerinin düşmesi neticesinde genişbant internet pazarında rekabetçi yapının gelişeceği, böylelikle ilgili teşebbüslerin daha hızlı ve kaliteli internet erişimi hizmeti sunma şansına erişeceği belirtildi.
Bu doğrultuda, toptan seviyede yapılan işbirliği ile sunulan hizmet kalitesinde yaşanacak olan artışın perakende pazara yansıması ile birlikte, tüketici nezdinde de doğrudan olumlu sonuçlar doğuracağı vurgulanıp, daha uygun koşul ve fiyatlarla ilgili ürünlerin nihai tüketiciye ulaştırılabileceğine dikkat çekildi.


Yine yukarıdaki açıklamalara paralel olarak, Türk Telekom’un gerek perakende gerek toptan sabit genişbant hizmetleri pazarlarındaki pazar payı dikkate alındığında ilgili pazarın söz konusu işbirliği ile sağlanan maliyet tasarrufu ile daha da rekabetçi bir yapıya kavuşacağı değerlendirildi.


Rekabetin zorunlu olandan fazla sınırlanıp sınırlanmadığına ilişkin olarak ise, söz konusu işbirliğinin başka teşebbüslerle de yapılabileceği, ayrıca ilgili işbirliğinin yalnızca toptan seviyede yapıldığı belirtilerek, perakende seviyede rekabetin zorunlu olandan fazla sınırlanmayacağı ifade edildi.


Böylelikle, bireysel muafiyet şartları çerçevesinde yapılan değerlendirmede Kurul, rakipler arasındaki işbirliğinin ilgili şartları taşıması nedeniyle rekabetçi bir endişe doğurmayacağı sonucuna ulaştı.


Bu kararın akabinde aynı konuda Vodafone ile Türksat arasındaki işbirliğine de Kurul tarafından izin verildiğini belirtmek isteriz.


Kararın tam metni için tıklayınız.