Giriş
Birleşik Krallık Bilgi Komiserliği Ofisi (Information Commissioner’s Office-ICO), çevrimiçi güvenlik ve veri koruma arasındaki sinerjiyi teşvik etmeyi amaçlayan 2022 yılında Ofcom (Birleşik Krallık’ın iletişim düzenleyici otoritesi) ile yaptığı ortak açıklamadan[1] kaynaklanan taahhütlerinin bir parçası olarak içerik denetimi ve veri korumasına ilişkin kılavuzunu[2] yakın zamanda yayınladı. Bu kılavuz, Birleşik Krallık Genel Veri Koruma Yönetmeliği (General Data Protection Regulation) ve 2018 tarihli Veri Koruma Yasası (Data Protection Act) ile uyumu sağlamak için pratik tavsiyeler sağlamak üzere tasarlanmış olup; kuruluşların içerik denetleme faaliyetlerini yürütürken veri koruma yasalarında nasıl gezinebileceklerine ilişkin kapsamlı bir genel bakış sunmaktadır.
1. Kapsam ve Yaklaşım
Söz konusu kılavuz, içerik denetlemeyi kullanan kuruluşların yanı sıra, hem veri denetleyici otoritelerini hem de veri işleyicilerini kapsayan içerik denetleme ürün ve hizmetleri sağlayıcılarına yöneliktir. 2023 tarihli Çevrimiçi Güvenlik Yasası (Online Safety Act[3]) kapsamındaki yükümlülüklerini yerine getirmek için içerik denetimi gerçekleştiren kuruluşlara yardımcı olmaya odaklanarak, özellikle kullanıcıdan kullanıcıya hizmetlerde kullanıcı tarafından oluşturulan içeriğin denetlenmesini ele alır.
Ancak bu yükümlülüklerin düzenleyicisi Ofcom olduğundan, Çevrimiçi Güvenlik Yasası kaynaklı belirli yükümlülüklere uyumu kapsamaz.
Bilgi Komiserliği Ofisi, kılavuzda ‘zorunlu, olmalı ve yapabilir/olabilir’ (must, should and could) yaklaşımını kullanmaya karar vermiştir. Bu yeni Bilgi Komiserliği Ofisi yaklaşımı, yasanın gerektirdiği ile en iyi uygulamanın ne olduğu arasında net bir ayrım yapmaktadır. ‘Zorunlu’ yasal bir gerekliliktir; ‘olmalı’, Bilgi Komiserliği Ofisi’nin kuruluşların yasaya uymak için yapmalarını beklediği şeyleri ifade ederken, ‘yapabilir/olabilir’, kuruluşların yasaya uymalarına yardımcı olmak için değerlendirebilecekleri seçenekleri veya örnekleri ifade eder.
2. İçerik Denetimi
Şu anda içerik denetiminin evrensel olarak kabul edilmiş bir tanımı yoktur, ancak Bilgi Komiserliği Ofisi bu kavramı[4] şu şekilde tanımlamıştır:
- Belirli standartları karşılayıp karşılamadığını değerlendirmek için kullanıcı tarafından oluşturulan içeriğin analizi ve
- Bu analiz sonucunda bir hizmetin gerçekleştirdiği herhangi bir eylem.
İçerik denetimi şunları içerebilir: içeriğin kaldırılması, hizmet yasakları, özelliklerin engellenmesi, görünürlüğün azaltılması [content removal, service bans, feature blocking, visibility reduction].
3. İçerik Denetimi ve Kişisel Bilgiler
Kişisel bilgi, kimliği belirli veya belirlenebilir bir kişiye ilişkin bilgiler anlamına gelir. Kullanıcı tarafından oluşturulan içeriğin, ya doğrudan belirli bir kişiyi ilgilendirdiği ya da bir kişiyi tanımlanabilir kılan ilave bilgiler ile bağlantılı olduğu için kişisel veri olması muhtemeldir. İçerik denetimi ayrıca kullanıcının yaşı, konumu, ilgi alanları vb. gibi içerikle veya kullanıcı hesabıyla bağlantılı kişisel verileri de içerebilir.
4. Veri Koruma Yasası’na Uyulması
İçerik moderasyonunu kullanan kuruluşlar bunun gerekli, orantılı ve veri minimizasyonu ilkesine uygun olduğunu gösterebilmelidir. İçerik denetlemeyi kullanan bir kuruluş olarak ele alınması gereken temel alanlar şunlardır:
- Kişisel veri risklerinin değerlendirilmesi (assessing personal data risks): İnsanların kişisel verilerine yönelik risklerin tanımlanması gerekir. Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment[5]) bu risklerin anlaşılmasına yardımcı olabilir ve Bilgi Komiserliği Ofisi, bunun her durumda yapılmasını önerir. Ancak, işleme süreci yeni teknolojileri (yapay zekâ dâhil) içeriyorsa, çeşitli kaynaklardan elde edilen kişisel verileri ve benzeri birleştiriyor, karşılaştırıyor veya eşleştiriyorsa, kullanıcı üzerinde yasal veya benzer şekilde önemli bir etkisi olan yalnızca otomatik işlemeyi içeriyorsa veya çocukların kişisel verilerini kullanıyorsa Veri Koruma Etki Değerlendirmesinin uygulanması gerekir. Erken bir aşamada yasal uyumu sağlamak için yeni araçların veya yeni işlemlerin geliştirilmesi sırasında Veri Koruma Etki Değerlendirmesinin üstlenilmesi önemlidir.
- Yasal işleme (lawful processing): Kişisel verilerin hukuka uygun şekilde işlediğinden emin olunmalı ve işlenmeye ilişkin yasal dayanaklar belirlenmelidir. Yasal zorunluluk veya meşru menfaatler gibi yasal dayanaklar büyük olasılıkla ilgili olacaktır. Ayrıca sağlık verileri veya biyometrik veriler gibi özel kategori kişisel verileri kullanıp kullanılmadığının da değerlendirilmesi gerekir. Eğer öyleyse, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 9. maddesinde bu tür kişisel verilerin işlenmesine ilişkin 10 koşul[6] vardır. Bilgi Komiserliği Ofisi, özel kategori kişisel verilere ilişkin kapsamlı bir rehber[7] hazırladı.
- Adil işleme (fair processing): Kişisel veriler yalnızca insanların makul olarak bekleyebileceği ve onlar üzerinde haksız olumsuz etkilere neden olmayacak şekilde işlenmelidir. Bu nedenle içerik denetleme sistemlerinin doğru performans göstermesi ve tarafsız, tutarlı çıktılar üretmesi büyük önem taşımaktadır.
- İnsanlara ne yapıldığının söylenmesi (tell people what you are doing): Kişilere, kişisel verilerinin neden kullanıldığı, bunların hangi yasal temelde, ne tür bilgiler olduğu, hangi kararların alındığı, bilgilerin saklanıp saklanmadığı ve ne kadar süreyle saklanacağı, diğer kuruluşlarla paylaşılıp paylaşılmadığı ve onların veri koruma haklarının nasıl kullanılabileceği bildirilmelidir.
- Amaçlar (purposes): Kişisel veriler yalnızca belirtilen, açık ve meşru amaçlar için toplanmalıdır. Amaçlar değişirse veya yeni bir amaç kullanmak istenirse, yeni amacın asıl amaca uygun olduğundan, ilgili kişilerin yeni amaç için özel olarak muvafakat ettiğinden emin olunmalı veya kamu yararına yeni işlemeyi gerektiren veya izin veren bir yasal hükme işaret edilebilir. Yeni amacın işleme için yasal bir temeli olmalıdır.
- Veri minimizasyonu (data minimisation): İçerik denetleme sistemleri, amaçlara ulaşmak için gerekenden daha fazla bilgi toplama kapasitesine sahiptir. Uyumlu olmak için, amaca ulaşmak için kişisel verileri kullanmanın gerekli olduğunun ve bunu başarmak için daha az müdahaleci bir seçeneğin bulunmadığının gösterilebilmesi gerekir.
- Otomatik karar verme (automated decision-making): Bazı içerik denetleme sistemleri, herhangi bir anlamlı insan müdahalesi olmadan kararlar alır; örneğin, içeriği sınıflandırmak ve üzerinde işlem yapmak için kullanılan yapay zekâ tabanlı araçlar büyük olasılıkla otomatik karar almayı gerektirecektir.
Bu nedenle, içerik denetleme sisteminin bu tür kararlar alıp almadığı göz önünde bulundurulmalı ve yanıt evet ise, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 22. maddesi[8] konuyla alakalı hale gelir ve istisna olmadıkça yalnızca otomatikleştirilmiş karar alma sürecine ‘yasal veya benzer önemli etkileri’ (birinin yasal haklarını veya finansal durumunu etkileyen veya kullanıcılara karşı ayrımcılığa yol açan kararlar) olan kısıtlamalar getirir.
Yorum
Bu Bilgi Komiserliği Ofisi kılavuzu mevcut Birleşik Krallık veri koruma mevzuatına dayanmaktadır. İçerik denetiminin, açık bir yasal çerçeveye sahip olmayan, gelişen bir alan olduğu kabul edilerek, bu kılavuz, içerik denetimi konusunda veri koruma endişelerini yönlendiren kuruluşlara güvence sağlar.
Ancak Veri Koruma ve Dijital Bilgi (Data Protection and Digital Information) Tasarısı 2024 yılının ortalarında yasalaştığında, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nde ve 2018 tarihli Veri Koruma Yasası’nda bu kılavuz ile ilgili bazı değişiklikler meydana gelebilir. Ayrıca Ofcom, bu konuda daha fazla rehberlik sağlayacak bazı teknoloji ve çevrimiçi güvenlik uygulama kurallarını tamamlama sürecindedir. Bilgi Komiserliği Ofisi, bunun rehbere yansıtılacağını ve değiştirileceğini söylemiş ve önümüzdeki yıl içerik denetimi konusunda ek kılavuz üretme planını da duyurmuştur.
Diğer yandan, 01 Mayıs 2024 tarihinde Bilgi Komiserliği Ofisi ve Ofcom, 2022 tarihli ortak beyanlarına dayanan çevrimiçi güvenlik ve veri korumasına ilişkin başka bir ortak beyan[9] yayınladılar. Çevrimiçi güvenlik ve veri koruma rejimleri ile ilgili ortak çıkar konuları olan ‘İşbirliği Temaları’ (collaboration themes) olarak adlandırılan konuların ortaya çıkışını belirlemeyi ve sürekli olarak izlemeyi kabul ettiler. Ayrıca, hem çevrimiçi güvenlik hem de veri koruma rejimlerine tabi olan ve hem Bilgi Komiserliği Ofisi hem de Ofcom’un düzenleyici ilgisi olan şirket veya hizmetleri belirlemeyi de kabul ettiler. Son olarak, hizmetlere ilişkin bilgileri kendi aralarında kamuya ifşa etme niyetlerini özetlediler.
[1] <https://assets.publishing.service.gov.uk/media/637f923dd3bf7f154876adc1/DRCF_joint_statement.pdf>
[2] <https://ico.org.uk/media/for-organisations/uk-gdpr-guidance-and-resources/online-safety-and-data-protection/content-moderation-and-data-protection-0-0.pdf>
[3] <https://www.legislation.gov.uk/ukpga/2023/50/enacted>
[4] Kavrama ilişkin ICO tanımının İngilizcesi şöyledir: [“the analysis of user-generated content to assess whether it meets certain standards; and any action a service takes as a result of this analysis”]
[5] <https://ico.org.uk/media/about-the-ico/documents/4028427/content-moderation-ia.pdf>
[6] <https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/special-category-data/what-are-the-conditions-for-processing/>
[7] <https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/special-category-data/>
[8] <https://www.legislation.gov.uk/eur/2016/679/article/22>
[9] <https://ico.org.uk/media/about-the-ico/documents/4029425/joint-statement-ofcom.pdf>
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.