ONTARIO HÜKÜMETİ (KANADA) TARAFINDAN GİZLİLİK MEVZUATINA DAİR EKSİKLİKLERİ, ÖNERİLERİ İÇEREN VE KAMUOYU BİLGİSİNE SUNULAN RAPOR

Yazan: Merve AYDIN

Ontario (Kanada’nın 10 eyaletinden biridir) hükümeti , 17 Haziran 2021 tarihinde özel sektöre yönelik gizlilik yasasıyla ilgili öneri ve geri bildirim almak amacıyla bir rapor yayınlamıştır. Bu çalışmanın asıl amacı, vatandaş verilerinin korunmasını öncelikli hale getirmek, veri sahibi/ilgili kişi ile veri toplayan ve kullanan kuruluşlar arasındaki güç dengesizliğini düzeltmek ve veri korumaya dair ulusal bir standart getirmektedir. Özellikle Covid-19 salgınından sonra yaşamın çevrimiçi ortamda yaşanır hale geldiği bu dönemde, ekonominin geleceği ve vatandaşların refahı  için gizlilik politikasının güncellenmesi gerektiği de ifade edilmiştir.

Halihazırda Ontario’da özel sektöre yönelik gizlilik uygulamalarının dayanağı, Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası’dır (PIPEDA). Kanada Hükümeti, PIPEDA’nın yerini almak ve modernize etmek için Kanada Gizlilik Yasası olan C-11 Tasarısı’nı tanıtmış ve kamuoyu bilgisine sunmuştur. Öneri mahiyetindeki yasanın olumlu tarafları olmakla birlikte birkaç noktada eksiklerinin bulunduğu da değerlendirilmektedir. Bunlardan bazıları şunlardır: Rızanın çerçevesi, çocuklar için özel koruma sağlayamaması, ilgilileri yeni risklerden korumak adına yeterince koruma sağlayamaması.

Ontario Hükümeti, bu eksiklikleri gidermeye karar vermiş ve  Ontario Bilgi ve Gizlilik Komiseri (IPC) de dahil olmak üzere uzman  yorumlarını dikkatle değerlendirdikten sonra rıza kurallarını güncellemek, çocuklar için özel koruma sağlamak, yapay zeka teknolojileri için daha fazla koruma sağlamak gibi birçok konuda güncellemeye ihtiyaç olduğunu ifade etmiştir.

Hal böyle iken Ontario Hükümeti tarafından yayımlanan inceleme mahiyetindeki rapor, bahsi geçen önerileri özetlemekte ve bu korumaların yasalara nasıl yansıtılabileceğini gösteren örnekler sunmaktadır. İlgili rapordaki ana konu başlıkları aşağıdaki gibidir:

• Gizliliğe “hak temelli” bir yaklaşım getirmek;
• Yapay zekanın ve otomatik karar vermenin güvenli kullanımını teşvik etmek;
• Gelişmiş rıza ve kişisel verilerin yasal kullanımları;
• Daha güçlü bir şekilde veri şeffaflığı sağlamak;
• Çocuklar ve gençler gibi savunmasız grupları korumak;
• Adil, orantılı ve destekleyici bir düzenleyici rejim oluşturmak; ve
• Yenilikçileri desteklemek

 *Gizliliğe “hak temelli” bir yaklaşım getirme:

Birçok kuruluşun, kişisel bilgileri toplama, kullanma ve paylaşma faaliyetlerini büyük ölçüde genişleten teknolojideki hızlı gelişmelerle birlikte vatandaşları, potansiyel olarak haksız uygulamalardan korumak ve dijital ekonomide yüksek düzeyde güveni sağlamak için yeni kurallara ve haklara ihtiyaç olduğu ve buradan hareketle “ilke olarak” gizlilik yasasının temelini oluşturan bir gizlilik hakkının gerekli olacağı ve böylelikle ticari çıkarlardan bağımsız olarak vatandaşların korunmasının sağlanabileceği belirtilmiştir.

Gizlilik, İnsan Hakları Evrensel Beyannamesi kapsamında tanınmakta olup, Avrupa Genel Veri Koruma Tüzüğü (GDPR) dahilinde de bireysel veri hakları çerçevesinde düzenlenmiştir. Ancak federal sistemde veri koruma ticari faaliyetlerle sınırlı tutulmuş ve genel olarak Kanada Hukukunda (Quebec Eyaleti hariçtir zira Quebec, Özel Sektör Gizlilik Kanunu’nda gizlilik hakkını açıkça tanımaktadır) hak temelli yaklaşım benimsenmemiştir. Bu nedenle Ontario bir temel hak olarak “gizlilik hakkı” tanıyıp tanımamayı değerlendirmektedir. Bu yaklaşım uyarınca söz konusu temel hakkın önsöz şeklinde yasa metnine dahil edilmesi önerilmiş ve  önsöz içeriğinde şu şekilde ifade edilebileceği açıklanmıştır:

“Önsöz

Mahremiyet toplumda değerli bir değerdir. Her birey bir temel hak olarak gizlilik ve kişisel verilerinin korunması hakkına sahiptir.

Teknolojideki değişiklikler, kuruluşların bireyler hakkında büyük miktarda kişisel verinin kolaylıkla toplamasına imkan tanımıştır ve çoğu zaman bireyin, kendi kişisel verileri üzerindeki kontrolünü zayıflatmıştır.

Bireylerin güvenini ve özgüvenini tesis etmek için kuruluşlar, kişisel bilgilerin toplanması, kullanılması veya ifşa edilmesiyle ilgili olarak ölçülülük, dürüstlük ve yerindelik ilkeleri tarafından yönlendirilen kurallara tabi olmalıdır.”

Ek olarak verilerin, adil ve uygun amaçlar dahilinde toplanması gerekliliğinin de bu önsöz içeriğinde detaylandırılması gerektiği ifade edilmiştir. Özetlemek gerekir ise kuruluşların, bireylerin kişisel bilgilerini, nesnel olarak yalnızca adil ve koşullara uygun amaçlar için toplaması, kullanması ve ifşa etmesi gerekmektedir. “Adil ve uygun” kavramı, izin verilen faaliyetin parametrelerini belirleyen kapsamlı bir koruma olup, kişisel bilgilerin toplanması, kullanılması ve ifşa edilmesi için hangi yasal gerekçelerin geçerli olabileceğine bakılmaksızın, bilgilerin yalnızca bir bireyin makul olarak bekleyeceği amaçlar için toplanabileceğini, kullanılabileceğini ve açıklanabileceğini sağlar. Bu sınırlama hükmü, gizlilik hakkını koruyan tutarlı ve yasal bir çerçeve oluşturmaya daha fazla yardımcı olabilecek “az daha çoktur” şeklindeki veri minimizasyonu ilkesini de desteklemektedir.

Yukarıda ifade edildiği gibi federal gizlilik rejiminin kapsamı ticari faaliyetlerle sınırlıdır. Bu, hayır kurumları, birlikler, dernekler ve diğer kâr amacı gütmeyen kuruluşlar dahil olmak üzere birçok özel sektör kuruluşunun, vatandaşların kişisel verilerinin bu kuruluşlar tarafından toplanmasına ve kullanılmasına rağmen, önerilen yasa tasarısı kapsamında olmadığı anlamına gelir. Bu açığı kapatmak için Eyalet, bu temaların her biri altındaki gizlilik gereksinimlerinin kapsamını, ticari olmayan kuruluşları da içerecek şekilde genişletmeyi ve vatandaşlarının kişisel verilerinin yaşamın her alanında yeterli kapsama ve koruma altına alınmasını sağlamayı hedeflemektedir.

*Yapay Zeka ve Otomatik karar vermenin güvenli kullanımı:

Ontario, vatandaşlara zarar verme ihtimali bulunan durumlarda otomatik karar verme sistemlerinin kullanımını yasaklayabilmeyi öngörmektedir. Ontario’daki birçok sektör, insan analizine ve karar vermeye yardımcı olmak veya bunların yerine geçmek için yapay zeka teknolojilerini benimsemiştir. Bu teknolojiler değerli yenilikler sunarken, modern toplumda gözetim yeteneklerini artırmış ve dolayısıyla bireysel haklara ilişkin riskleri de çoğaltmıştır. Yapay zeka, kuruluşların karmaşık faaliyet kalıplarını analiz etmek ve tahmin etmek, bazı durumlarda bireyin bilgisi ve kontrolü olmadan bireyler hakkında son derece hassas bilgiler elde etmek, hareketlerini ve davranışlarını izlemek ve eylemlerini etkilemek için farklı kaynaklardan gelen verileri bir araya getirmek gibi birçok işleme olanak tanır. Gözetim, her zaman yapay zekâ gerektirmese ve tüm yapay zeka süreçleri gözetleme anlamına gelmese de, bu uygulamaların kesişimi vatandaşlar için çok yüksek risk oluşturabilir. Bu gelişmiş gözetim yetenekleri, vatandaşların hak ve özgürlüklerini tehlikeye atabilir ve bireyler ile verilerini kullanan kuruluşlar arasında önemli bir güç dengesizliği yaratabilir.

Buradan hareketle şu kavram üzerinde durmak gerekmektedir: Profilleme

Ontario Hükümetine göre profillemenin tanımı şu şekilde olmalıdır:

‘Profilleme’, bir bireyle ilgili hususları değerlendirmek, analiz etmek veya tahmin etmek için kişisel verilerin herhangi bir şekilde otomatik olarak toplanması, kullanılması veya ifşa edilmesi anlamına gelmektedir.

Profilleme uzun süredir devam eden bir uygulama olmasına rağmen, yapay zekadaki ilerlemeler artık kuruluşların daha kapsamlı veri kümeleri oluşturmak için çeşitli kaynaklardan yararlanmasına olanak tanıdığından profiller, birçok ticari faaliyetin (mobil uygulama hizmetleri vb.) ve ticari olmayan faaliyetlerin (istatistiksel çalışmalar, sağlık ve sosyal hizmetler) yönetimi için gerekli hale gelmiştir. Bu tarz bilgiler, örneğin istihdam kararları gibi bireyler hakkında karar almak için kullanıldığında, Ontario Hükümetinin tanımlanmasını önerdiği bir “otomatik karar verme” biçimi haline gelir.

 ‘Otomatik karar sistemi’, kurallara dayalı sistemler, regresyon (bağlam) analizi, tahmine dayalı analitik, makine öğrenimi, derin öğrenme gibi teknikleri kullanarak karar vericilerin yargılarına yardımcı olan veya bunların yerini alan teknoloji anlamına gelir.

Bu otomatik karar sistemleri, programlara uygunluğu değerlendirmek, iş adaylarını değerlendirmek ve kullanıcı tercihlerine göre ürünleri pazarlamak gibi birçok alanda artık dünya çapında sıklıkla kullanılmaktaysa da bireyler, kullanılan teknoloji hakkında sınırlı bilgiye sahiptir ve ayrıca, bu tarz bir kullanımın ciddi sonuçları olabileceği, yasal veya mali zarara, itibarın zedelenmesine neden olabileceği ve hatta sağlık ve güvenliği tehlikeye atabileceği durumlarla karşı karşıya kalma riski altında olduğundan bireyler, bu sistemlerden korunmalıdır.

Ontario, bazı önemli istisnalara tabi olarak, otomatik karar sistemi kullanımını yasaklamayı planlamaktadır. Bu kapsamda aşağıdaki durumlar hariç olmak üzere bir kurum/kuruluş, profilleme de dahil olmak üzere bir kişiye yönelik  otomatik karar sistemi kullanamayacaktır:

• Bu karar, kişi ile kuruluş arasında bir sözleşmenin akdedilmesi veya ifa edilmesi için gerekliyse;
• Böyle bir karara kanunen yetki verilmişse; veya
• Kuruluş, bireyin açık onayını alırsa;

Bu yönde bir sınırlandırmanın, vatandaşlara önemli güvenceler sağlayabileceği ve tüketicilere, verilerinin sınırsız şekilde kullanılamayacağına dair güven verebileceği aşikardır. Bununla birlikte Ontario Hükümeti, bireylerin bu süreci kontrol etme ve bu sürece katılma, yani bir kararın anlamını ve etkisini anlama ve çıkarlarını tehlikeye atabilecekse karara müdahale etme  hakkı olmadan bu korumanın eksik olacağını ifade etmiş olup, bu yönüyle bilgi isteme, düzeltme ve itiraz hakkı gibi ek haklar dahil etme düşüncesindedir. Bu kapsamda otomatik karar almanın yasaklanmasını düzenleyecek maddenin ikinci fıkrasına eklenmesi önerilen düzenleme aşağıdaki gibidir:

(2) Bir kuruluş, birinci fıkradaki (istisnai) hallerden hangisinin bireye uygulanacağına karar vermek için otomatik karar sistemi kullanırsa, birey şunlardan herhangi birini yapabilir:

1. Karar vermek için kullanılan kişisel bilgileri talep etme,

2. Bu karara yol açan gerekçeleri ve temel faktör ve parametreleri talep etme,

3. Karar vermede kullanılan kişisel verinin düzeltilmesini isteme,

4. Karara yorum yapma,

5. Karara itiraz etme,

6. Kararın kuruluş içinden gözden geçirmek için yeterli bir birey tarafından gözden geçirilmesini isteme.

 *Rızanın geliştirilmesi ve kişisel verilerin diğer hukuka uygun kullanımları:

Kanada Gizlilik Yasası ve C-11 Tasarısı’nda rıza, kişisel bilgi işlemede kurum/kuruluşların birincil yasal dayanağıdır. Bu düzenlemeler ayrıca, onay almanın mümkün olmadığı veya gerekli olmadığı durumlarda istisna da sağlamaktadır.

Verilerin sürekli olarak toplandığı ve bilgi akışlarının karmaşık olduğu günümüz modern dijital ortamında Ontario Hükümeti, veri toplamak için alternatif bir yola ihtiyaç olduğunu belirtmiştir. C-11 Tasarısı’nda bu alternatifler, rızanın istisnaları olarak çerçevelenmiştir. Ontario Hükümeti ise bu istisnaları, rızaya alternatif olarak kişisel bilgilerin toplanabileceği, kullanılabileceği veya ifşa edilebileceği durumlar olarak çerçevelemeyi değerlendirmektedir. Mevcut Kanada gizlilik yasalarında olduğu gibi Ontario Hükümeti, ilgili kişisel verilerin hassasiyetini dikkate alarak, kuruluşların belirli koşullar altında zımni (örtülü) rıza ile de veri işlemenin mümkün olabileceği hususunu değerlendirmekte olup, bunun aynı zamanda vatandaşlar için “rıza yorgunluğunu” azaltmaya da yardımcı olacağı düşünülmektedir. Ayrıca, bireylerin bir hizmet veya ürün almak için gerekli olanın ötesinde kişisel bilgilerin toplanması, kullanılması veya ifşa edilmesi için onay vermeleri gerekmeyecek ve ayrıca ilgililer, kuruluşa bildirimde bulunarak onaylarını geri alma olanağına da sahip olacaktır. Buradan hareketle aşağıda belirtilen hallerde kişisel bilgilerin rıza gerektirmeden toplanması, kullanılması ve ifşa edilmesi mümkün olacaktır:

• Bir kuruluş, bir iş faaliyeti için toplama veya kullanım yapılmışsa,
• Kuruluşun ticari riskini önlemek veya azaltmak için gerçekleştirilen bir faaliyet ise
• Kuruluşun bilgi, sistem veya ağ güvenliği için gerekli olan bir faaliyet ise
• Kuruluşun sağladığı bir ürün veya hizmetin güvenliği için gerekli olan bir faaliyet ise
• Öngörülen diğer faaliyetler.

Ek olarak muhtemel bir ticari işlemin tarafı olan kuruluşlar, bir bireyin kişisel bilgilerini aşağıdaki durumlarda kullanabilir ve ifşa edebilir:

(a) Bilgiler kullanılmadan veya ifşa edilmeden önce anonimleştirilir ve işlem tamamlanana kadar öyle kalır;

(b) Gereklilik arz eden bir anlaşma yapılmış olması  hali de sayılabilir. Ancak ilgili kuruluşun, bu bilgileri yalnızca işlemle ilgili amaçlar       için kullanması ve ifşa etmesi gerekecek, bilginin hacmine, doğasına ve hassasiyetine uygun güvenlik önlemleri ile bilgileri koruyacak ve işlem devam etmezse, bilgiyi ifşa eden kuruluşa iade etmesi veya makul bir süre içinde elden çıkarması gerekecektir.

İlaveten rıza gerekmeksizin bir kuruluşun, bir bireyin kişisel verilerini aşağıdaki süreler geçtikten sonra açıklayabileceği belirtilmiştir. Bunlar;

(a) bilgileri içeren kaydın oluşturulmasından 100 yıl sonra;

(b) kişinin ölümünden 30 yıl sonra.

*Veri Şeffaflığı:

Ontario Hükümeti, kuruluşların gizlilik politikaları ve prosedürleri uygulamasını zorunlu tutmak istemektedir. Bu gizlilik yönetimi programları ile gerçekleştirilmek istenmekte ve bahse konu bu gizlilik programları, talep üzerine Ontario’nun gizlilik düzenleyicisi olan Ontario Bilgi ve Gizlilik Komisyonu’na (IPC) sunulacaktır. Bu gizlilik yönetimi programı asgari olarak aşağıdakileri içermelidir:

(a) kişisel bilgilerin korunması;

(b) bilgi taleplerinin ve şikayetlerin nasıl alındığı ve değerlendirildiği;

(c) politikalarına, uygulamalarına ve prosedürlerine ilişkin olarak kuruluşun personeline sağlanan eğitimler; ve

(d) kuruluşun bu kapsamdaki yükümlülüklerini yerine getirmek için uyguladığı politikaları, uygulamaları ve prosedürleri açıklamak için kullanılan materyaller.

Yukarıdaki gerekliliğe ek olarak, bir diğer husus şeffaflık olup kişisel bilgilerinin toplanmasına onay vermeleri istenen kişilere bildirimde bulunulmasıyla ilgilidir. Rızanın alınmasında şeffaflık önemlidir çünkü bu, bireylerin kendi kişisel bilgileri üzerinde bir miktar kontrol sahibi olmaları için önemli bir araçtır. Ancak yukarıda belirtildiği gibi  rıza bildirimleri bireyleri güçlendirmek yerine onları bunaltabilir. Aşırı yoğun ve karmaşık bilgiler, rızanın geçerliliğini aşındırabilir. Bu nedenle Ontario Hükümeti, ilgilileri uzun ve net olmayan yazılı gizlilik politikaları veya bulunması zor bildirimlerle boğmak yerine, sade bir aydınlatma dili kullanılmasını istenmektedir. Diğer bir deyişle bir kuruluş, bu mevzuat kapsamındaki yükümlülüklerini yerine getirmek için uyguladığı politikaları, uygulamaları ve prosedürleri açıklayan bilgileri sade bir dille hazır bulunduracaktır.

*Çocuklar ve gençler gibi savunmasız grupları korumak:

Çocuklar dijital mecrada en savunmasız gruplar arasında yer almaktadır. Bu kapsamda Ontario Hükümeti, asgari bir rıza yaşı getirerek kuruluşların kararlarını veya davranışlarını etkilemek amacıyla çocukların izlenmesini yasaklamayı ve çocukların, bu artan tehlikelere karşı korunmaları için özel bir koruma sağlamayı hedeflemektedir.

Bilindiği üzere modern veri uygulamalarıyla ilintili riskler, savunmasız topluluklar için önemli ölçüde daha yüksektir. Çocuklar ve gençler, özellikle çevrimiçi öğrenme veya sosyal medyada paylaşım yapma gibi sanal etkinliklere katıldıkları zaman bu güvenlik açığına bir örnek teşkil edecektir. Yeterli koruma olmadan çocuklar, yapay zeka da dahil olmak üzere modern bilgi teknolojilerinin kullanımıyla yaratılabilecek veri istismarı uygulamaları için kolay hedefler olabilir. Bu sebeple Ontario Hükümeti, GDPR uygulamasına benzer olarak çocuk 16 yaşından büyükse çocuğun kişisel verilerinin çocuğun açık rızasıyla işlenmesi, çocuk 16 yaşından küçükse açık rızanın çocuğun yasal velayetinin bulunduğu veli ya da vasi tarafından verilmesi gerektiği yönünde bir öneri sunmuştur.

Buradan hareketle çocuk 16 yaşından küçük ise, çocuğun kişisel bilgilerinin toplanması, kullanılması veya ifşa edilmesi durumunda, çocuğun yasal velayetine sahip olan veli ya da vasi tarafından çocuk adına onay verilmelidir. Bu kapsamda Ontario Hükümeti, 13 ila 16 yaş arasındaki çocukların ebeveynlerinin (veya vasinin) kendi adlarına onay verme veya vermeme işlemine itiraz etme hakkı da tanımayı planlamaktadır.

*Adil, orantılı ve destekleyici bir düzenleyici rejim oluşturmak:

Ontario Hükümeti, Ontario Bilgi ve Gizlilik Komiseri (IPC)’nin onayına tabi sertifika programları ile kuruluş uygulamalarının hem belirli bir kontrolden geçtiği hem de gizliliği yönetip koruduğuna dair bireylere güvence vererek güven oluşturulabileceğini değerlendirilmektedir. Etkili bir gözetim organı olmak için IPC’nin çeşitli yetkilere sahip olması gerektiği belirtilmiştir.  Bu bağlamda IPC’nin soruşturma ve denetimleri başlatma, yürütme ve kuruluşların, kişisel bilgilerin nasıl yönetileceği konusunda ilgili bilgileri sağlamaya zorlama yetkisine sahip olması gerekliliği ifade edilmiştir. Bir soruşturmanın ardından IPC’nin, yasalara uymadığı tespit edilen kuruluşlara bağlayıcı emirler verme ve para cezasına hükmetme yetkileri verilmesi gerekliliği de açıklanmıştır. IPC’nin ceza kararları, Ontario’nun halihazırda diğer yargı kararlarında olduğu gibi yargı denetimine tabi olacaktır.

*Yenilikçileri desteklemek:

Kuruluşlar, anonim hale getirilen kişisel bilgileri araştırma ve yenilik amaçlı çalışmalar için kullanmak isteyebilir. Ontario Hükümeti, bunu desteklemektedir. Anonimleştirilmiş bilgilerin bu tür kullanımları, vatandaşlarının gizliliğini korurken gelişimi de sağlayacaktır. Ancak bunu güvenli bir şekilde yapmak için kuruluşlar, anonim hale getirilen verileri kullanırken gizlilik kurallarını ihlal etmediklerinden emin olmalıdır. Türk Hukukunda da rıza aranmaksızın bu şekilde anonim hale getirilen kişisel bilgiler, araştırma amaçlı faaliyet alanlarında kullanılmaktadır. Ancak yukarıda da belirtildiği gibi herhangi bir güvenlik zafiyetinin olmadığının titizlikle değerlendirilmesi gerekmektedir.

Tüm bunlara ek olarak Ontario Hükümeti, bu belgede ana hatlarıyla belirtilen önerilerin kabul edilmesi halinde bir geçiş dönemi gerektireceğini ve yürürlüğe girmesi halinde en az iki yıl süreceğini değerlendirmektedir.

Raporun tamamına ulaşmak için tıklayınız.