ChatGPT'nin bu kararı "her şeyi değiştirebilir". Kişisel Verileri Koruma Kurumu Başkanı kararın ne zaman verileceğini duyurur

• - Politikacılar düşünürlerse, düzenlemelerin mevcut haliyle kişisel verilerin korunması ilkelerini ihlal etmeden kendileri için koydukları hedeflere ulaşmalarını sağlayacağını söylüyor Kişisel Verileri Koruma Ofisi Başkanı Mirosław Wróblewski, Jerzy Ż.'nun verilerinin ifşası hakkında WNP'ye verdiği röportajda. Seçim kampanyasında.
• Wróblewski, Facebook'un iş modelini eleştiriyor. - Mahremiyetin içinde onurumuzu koruyan bir unsur vardır, temel bir haktır. Temel haklarımızı korumak için ücret talep edilmesinin uygun olmadığını düşünüyorum diyor.
• Kişisel Verileri Koruma Kurumu Başkanı, OpenAI ile ilgili çığır açan davada kararın Aralık ayında verileceğini duyurdu. Siber güvenlik araştırmacısı Dr. Łukasz Olejnik, ChatGPT'nin yaratıcısının verilerini yasadışı bir şekilde işlediği gerekçesiyle ofise şikayette bulundu.
• Wróblewski ayrıca GDPR'nin yakın zamanda değişebileceğini de açıklıyor. Avrupa Komisyonu yakın zamanda bu konuda önerilerini sundu.

UODO Başkanı’nın pozisyonu siyasi midir?

- Ne demek istiyorsun?

Bazı durumları değerlendirmenizde selefinizden çok farklısınız. Örneğin zarf seçimleri konusunda.

- Elbette farklı düşünüyoruz, ancak benim değerlendirmelerim esas olarak Adalet Divanı ve idare mahkemelerinin içtihatlarına dayanmaktadır. Bunun siyasetle bir ilgisi olduğunu sanmıyorum.

Politikacılar kampanyalarda veri kullandıkları için cezalandırılacak

Peki GDPR başlı başına bir siyasi mücadele aracı mıdır?

- Ne demek istediğini anlıyorum. Kişisel verilerin işlenmesi sorunu kamusal faaliyetlerde de karşımıza çıkmaktadır. Son yaşanan olaylar, ne yazık ki, siyasetçilerin kişisel verilerin korunmasına ilişkin hükümlere saygı gösterilmesi gerektiğini çoğu zaman duygusallık, acelecilik veya seçim mücadelesi unsurları nedeniyle unutturduğunu göstermektedir.

Aslında öyle olmak zorunda değil; siyasetçiler biraz düşünürlerse, düzenlemelerin mevcut haliyle kişisel verilerin korunması ilkelerini ihlal etmeden, kendilerine koydukları hedeflere ulaşmalarını sağlayacağını düşünüyorum . Şeffaflık ihtiyacı, belirli bilgilerin açıklanması ve bireylerin mahremiyetinin korunması arasında uzlaştırma yapmak mümkündür. Ne yazık ki seçim kampanyası ve siyasal duygular bu düşünceye pek de elverişli değil.

Przemysław Czarnek ve Rafał Trzaskowski'nin, cumhurbaşkanı adayı Karol Nawrocki'nin stüdyo daire satın alacağı kişinin bilgilerini ifşa etmesinden bahsediyoruz. Bu politikacılar UODO Başkanı'ndan ne gibi sonuçlarla karşılaşabilirler?

- Şu anda araştırma aşamasındayız, dolayısıyla teorik olarak her türlü sonuç mümkün. İşlem tamamlanana kadar bu hususun belirlenmesi mümkün değildir.

Peki ne gibi cezalarla karşı karşıya kalıyorlar?

- Ticari olmayan yöneticilere yönelik GDPR hükümlerini ihlal etme durumunda verilebilecek azami para cezası 20 milyon avrodur . Elbette böyle miktarlardan bahsedeceğimizi beklemiyorum. Şimdilik, davanın ardından nasıl bir tepki vereceğimi merak ediyorum. Cezaların bir yandan etkili bir yaptırım, diğer yandan da caydırıcı olması amaçlanıyor ancak ben buna bir de eğitici bir boyut katmak istiyorum.

Kişisel Verileri Koruma Kurumu, seçim kampanyasında kişisel verilerin işlenmesine ilişkin bir rehber hazırlamıştı, bu kez de o tavsiyeleri hatırlattım. Gördüğünüz gibi, eğitimin fazlası zarardır. Seçim etrafındaki hava biraz serinlediğinde, daha önce de duyurduğum gibi, tatilden sonra Sejm ve Senato Başkanlarına, seçim organlarıyla işbirliği yaparak, eğitim kursları ve diğer konularda önerilerde bulunacağım. Milletvekilliği bürolarında çalışanlar için. Kişisel verilerle ilgili konularda çoğu zaman sorumluluğun onlarda olduğunu düşünüyorum ve benzer ihlallerin bir daha yaşanmaması için bu farkındalığın artmasını istiyorum.

Siyasetle ilgili sordum çünkü anlaşmazlıkta her iki taraf da karşı taraf çok fazla veri gösterdiğinde sizi hakem olarak çağırdı. Hatta daha önce aynı kişiler kendilerini koruyan yasaları eleştirmişlerdi.

- Bir yandan ofis başkanı olarak ihlalleri araştırmak benim sorumluluğum ama diğer yandan insani açıdan, muhtemelen bu kadar geniş çapta tartışılmasını istemeyecek yaşlı bir insanın en hassas bilgilerinin kamuoyuyla paylaşılması durumlarından çok inciniyorum. Ancak burada, çoğu zaman politikacılardan çok daha fazla hassasiyet gösteren ve en hassas verileri bile anonimleştirebilen pek çok medya kuruluşuna bir gönderme var.

GDPR’de büyük değişiklikler mi var? Güzel bir yönlendirme ama bir püf noktası var

Yakın gelecekte veri koruma düzenlemelerinin değişmesi bekleniyor. GDPR revizyonu gerekli bir adım mı?

- Avrupa Komisyonu, şirketler için veri işleme faaliyetlerinin sicilinin tutulmasına ilişkin yükümlülüklerin sınırlandırılması fikrini ortaya attı. Bu sadeleştirmenin sınırının 250'den 750'ye çıkarılması hedefleniyor. Prensip olarak bu hamleyi olumlu değerlendiriyorum ancak bir çekincem var.

Ne?

- Bu sınırın tamamen otomatik olarak ele alınması mümkün değildir. Dijital alanda, az sayıda çalışanı bulunan ve çok hassas kişisel verileri işleyen küçük şirketlerle de karşı karşıya kalabiliriz. Bireylerin hak ve özgürlükleri açısından işlenmesinin yüksek riskler taşıması nedeniyle bunlara ilişkin kuralların farklı şekilde kurgulanması gerekmektedir. Avrupa denetim otoriteleri olan Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Denetçisinin ortak görüşünde bu hususa dikkat çekmiştik.

Mesela online alışveriş platformları?

- Örneğin, online eczaneler. Çok fazla çalışana ihtiyaç duymazlar, ama yine de sağlık verilerini doğal olarak işlerler.

Benim düşünceme göre, basitleştirmenin bir başka kuruluş kategorisi olan sivil toplum örgütleri için de geçerli olması gerekir. Onlar için şartlar işletmelerle aynıdır, ancak kıyaslanamayacak kadar az imkâna sahiptirler. Haziran ortasında Avrupa veri koruma otoritelerinin katılacağı bir konferans düzenliyoruz ve bu konuyu orada gündeme getirmek istiyorum.

GDPR’da başka herhangi bir değişikliğe ihtiyaç olduğunu düşünüyor musunuz?

- Bu konuda yasal değişikliklerin çok da önemli olmadığını düşünüyorum. Girişimciler genel olarak GDPR'nin uygulanması alanında desteğe ihtiyaç duymaktadır , ancak bu düzenlemenin varlığına zaten alışmışlardır ve daha fazla yasal değişiklik veri korumasında gereksiz kaosa neden olabilir. Özellikle, halihazırda yürürlüğe girmiş olan AB düzenlemelerinin uygulanması gibi daha acil sorunlarla karşı karşıyayız, ancak Polonya'da henüz bunlar için belirlenmiş kurumsal bir mekanizma yok.

Dijital Hizmetler Yasası'ndan (DSA) bahsediyorsunuz. Uygulanmaması nedeniyle bizi AYM'ye götürdüler.

- Sırada Yapay Zeka Yasası, Veri Yönetişimi Yasası, siber güvenlikle ilgili NIS2 direktifi var ve bunları daha da uzatabiliriz. Burada çok fazla belirsizlik var, çünkü kurumlar genellikle iki veya üç tane bu tür büyük düzenlemeyi uygulamak ve çabalarını bunlara yoğunlaştırmak zorunda kalıyorlar. AB yasama organı önümüze pek çok zorluk koydu. Dolayısıyla eş zamanlı bir değişikliğin, bu kez GDPR alanında gerçekleşmesi pek de beklenen bir durum değil.

Kişisel Verileri Koruma Kurumu'nun OpenAI ile ilgili yıl sonuna kadar bir kararı olacak

Sayın Cumhurbaşkanı, tapu ve ipotek kayıtları kişisel veri mi olacak, olmayacak mı?

- Tapu ve ipotek kayıt numaraları kişisel veridir, bunu Danıştay'ın kesin kararından biliyoruz. Günümüzde, Tapu ve İpotek Kayıtları Kanunu hükümlerine uygun olarak tapu ve ipotek kayıtlarının şeffaflığının sağlanması ve gizliliğin korunması aynı anda sağlanması gereken bir zorluktur.

Bu uzlaştırılabilir mi?

- Kitaplara erişimin, erişim yetkisi olan kişinin kimlik doğrulaması ile sağlanması yönünde bir mekanizmanın hayata geçirilmesini bekliyoruz. Amaç, sistemlerin otomatik araçlar kullanarak kitap araması yapmasını ve daha sonra bu bilgileri internette satmasını önlemek. Adalet Bakanlığı bu sorunun çözümüne yönelik proje geliştirileceğini duyurdu. Bir ay önce bu çalışmanın durumu hakkında bilgi almıştım ancak henüz bir gelişmeye ilişkin cevap alamadım.

Ben şahsen bu sorunun çözülmesini çok isterim. Ancak bu, AB düzenlemelerinin AB dışında kayıtlı kuruluşlara yönelik etkin uygulanmasında karşılaşılan sorunların bir yönüdür.

Büyük teknoloji şirketlerinden hesap sorulamadı. Yıllardır davayı yürüten İrlandalı muhatabınız, onlarla yaşadığınız her türlü anlaşmazlıktan sorumludur.

- GDPR'nin nasıl yapılandırıldığıyla ilgili bir konu. Zira İrlanda'ya intikal ettirmek durumunda kaldığımız davaların yargılama süreci yıllar alıyor, bu nedenle burada etkin bir denetim sisteminin olduğu izlenimi oluşmuyor. Bu konu daha önce Dijital Hizmetler Yasası'nda farklı şekilde çözümlenmişti; büyük şirketlere karşı düzenlemeleri uygulama yetkisi şirketin merkezinin bulunduğu ülkeye değil, Avrupa Komisyonu'na aitti. Bu çözümleri ideal bulmuyorum ama bu tür vakalarla başa çıkma prosedürlerini kesinlikle kolaylaştırabilir ve basitleştirebilir.

Sadece İrlanda'ya aktarılan davalar devam etmiyor. Ağustos 2023 itibarıyla OpenAI'ye karşı şikayette bulunan bağımsız siber güvenlik araştırmacısı Dr. Łukasz Olejnik'in davasında henüz bir karar alınmadı. Şirketin kendisine ait verileri hukuka aykırı olarak işlediğini ileri sürdü.

- Bu konunun kapanmasını istiyordum. Ama sonra yönetici uyandı ve o kadar kapsamlı bir dokümantasyon sunmaya başladı ki, bunların analizi çok uzun zaman aldı.

Basitçe anlatmak gerekirse: OpenAI sizi belgelerle boğdu mu?

- Ben böyle kelimeler kullanmam.

Ben kullandım.

- İnkar etmeyeceğim. Meslektaşlarımdan bu konuyu en kısa sürede ele almalarını istedim, ancak aynı zamanda standartları ve usul adaletini de korumamız gerekiyor, çünkü bunu yapmazsak en ufak bir dikkatsizlik veya acelecilik daha sonra karara idari mahkemede itiraz etmenin en kolay yolu olacaktır. Küçük bir hata, çok büyük emeklerin boşa gitmesine yeter.

Kimin haklı olduğu ne zaman ortaya çıkacak?

- En geç tatile kadar işi bitirmek istiyorum. Benim için son tarih yıl sonu.

Kararınız OpenAI'nin Avrupa'daki tüm işini etkileyebilir.

- Şirket bunu mutlaka sorgulayacaktır, buna hazırım. Zarf seçimleri davasıyla ilgili olarak bugüne kadar ofis tarafından verilen en yüksek cezayı alan Poczta Polska da idari mahkemeye başvurdu. Bunu yapma hakkı var, ancak tam da bu nedenle prosedürlerin uygulanmasını sağlamamız gerekiyor.

Eleştirmenler Polonya'da yapay zekanın gelişimini sınırladığınızı söyleyecekler.

- Elbette, birileri ona o şekilde davranabilir. Ancak şunu söyleyeceğim: Amacımız hiçbir şeyi engellemek değil. Burada, herhangi birinin kampanya basın toplantıları düzenlemesini veya faydalı yapay zeka tabanlı uygulamalar geliştirmesini yasaklamak söz konusu değil. Önemli olan, kişisel verilerin korunmasını sağlayarak hedefe ulaşabilmektir. Ve tabii ki bu çoğu zaman çok zordur; biraz çaba, yeni teknolojik ve yasal çözümlerin getirilmesini gerektirir. Ama her iki hedefi de gerçekleştirmekten başka bir yol yok aslında.

Bir hususa daha dikkat çekmek istiyorum. UODO Başkanı'nın kararları hiçbir zaman "hayır, GDPR nedeniyle" şeklinde yazılmaz. Mevzuata uygunluğun nasıl sağlanacağı konusunda rehberlik sağlamaya çalışıyoruz. Bu elbette ortaklarımızın hukuki veya teknik nitelikte çözümler bulmasını gerektiriyor.

Gizliliğin korunması temel bir haktır. Facebook bunun için ücret talep edemez

Facebook, kullanıcıların mahremiyetine yönelik aşırı müdahaleye "öde ya da kabul et", yani gözetimi kabul et ya da öde seçeneğini sunarak çözüm buldu. Ve başkan bundan hâlâ hoşlanmıyordu.

- Bazen çözüm bulmak daha fazla çaba gerektirir, bazen de çok zordur. Ama bunlar olmadan ilerleme olmaz.

Facebook'a ya veriyle ya da kullanım karşılığında parayla ödeme yaptığımız bu modelde yanlış olan ne?

- Bazı zorluklar etik niteliktedir.

Mahremiyetin onurumuzu koruyan bir yönü vardır, temel bir haktır. Temel haklarımızı korumak için ücret talep edilmesini uygun bulmuyorum.

Meta ayrıca verilerinizi yapay zeka eğitimlerinden hariç tutmanıza da olanak tanır.

- Bu şirketle yaşadığım deneyimden sonra, değişime ve işbirliğine açık bir şirket olduğunu görüyorum. Rafał Brzoska gibi isimlerin de etkilendiği dolandırıcılıkta durum böyleydi. Bu tür sahte reklamların otomatik olarak tespit edilmesini sağlayan bir araç oluşturuldu .

NASK'taki CERT Polska'nın da kanıtladığı gibi, bu işe yaramıyor.

- Evet, ancak sorunun çözümü için girişimlerde bulunuluyor ve şirket duyarlı davranıyor, başlangıçta hiç duyarlı olmasa da. İş dünyasının pragmatik olması ve başını belaya sokmak istememesi nedeniyle, dile getirdiğimiz hususlara cevap vereceğine inanıyorum.

Bu, Polonyalı girişimcilerin de öğrenmesi gereken bir ders mi? Her yıl, Ofis tarafından Polonyalı girişimcilere uygulanan para cezalarının sayısı ve şiddeti artıyor.

- Bunun nedeni, düzenlemenin yürürlüğe girmesinden itibaren yedi yıl sonra GDPR'ye uyum konusunda beklentilerin başlangıçtakinden daha yüksek olmasıdır. Bu saatten sonra birinin temel görevlerinin ne olduğunu bilmediğini savunmak zor.

Merhamet yok mu?

- Kesinlikle. UODO'nun elbette bir eğitim misyonu var; Polonya'nın her yerini dolaşıyoruz, girişimcilerle görüşüyoruz ve yerel yönetimlerle işbirliği yapıyoruz. Ancak aynı zamanda ihlal durumlarında kontrol faaliyetlerinin, yaptırımların ve işlemlerin devam ettiği gerçeği de gizlenemiyor. Bu yıl alınan kararlardan da anlaşılacağı üzere, kişisel verilerin korunması konusunda kamu sektörüne de çok iş düşüyor.