batuhan

Fikri Mülkiyet ve Veri Koruma

OpenAI- ChatGPT Fikri Mülkiyet ve Veri Koruma Hukukunu Nasıl Sarsıyor?

Yazar: Ahmet Demirtaş

A. Giriş

ChatGPT (‘‘GPT-3’’), OpenAI tarafından tanıtılan bir diyalog modelidir. Bu model karmaşık talimatları yerine getirebilen, araştırma yapabilen ve daha önce kendisine sorulan soruları da gözeterek geniş çaplı cevaplar verebilen bir yapay zekadır[1].
GPT-3’ün yeteneklerini daha iyi ortaya koyabilmek adına belirtelim ki GPT-3 bir akademik makaleyi tek başına yazabilecek kapasiteye sahiptir[2]. Yazı yazma kabiliyeti dışında, GPT-3 finans, ticaret hatta hukuk dahil olmak üzere birçok alanda kayda değer tavsiyelerde bulunmaktadır[3]. Bazı yazarlar, yeteneklerini belki de abartarak GPT-3’ün ABD’de baro sınavına girmesi halinde, önemli ölçüde başarılı olacağını bile iddia etmişlerdir[4]. Bu kadar övgüye rağmen, anılan yetenekler birtakım önemli hukuki sorunları da beraberinde getirmektedir.

İlk olarak, GPT-3 tarafından üretilen içerikler eser midir? Eğer eserse, bu eserin sahibi kimdir? İkinci olarak, acaba GPT-3 tarafından üretilen içerikler fikri mülkiyet hukuku tarafından korunabilir mi? Üçüncü olarak ise, GPT-3 büyük miktarda veriyi toplayarak içerik ürettiğinden, başka kişilerin fikri mülkiyet hakkını ihlal etmekte midir?

Çalışmamızda, bir yandan GPT-3’ün fikri mülkiyet hukuku açısından ihtiva ettiği tehlikelere değinecek, diğer yandan ise GPT-3 tarafından üretilen içeriklerin 5846 sayılı Türk Fikir ve Sanat Eserleri Kanunu (‘‘FSEK’’) bakımından eser sayılıp sayılmadığını inceleyeceğiz. Son olarak, GPT-3’ün yol açabileceği potansiyel veri koruma hukuku problemlerini, özellikle büyük miktarda veri korumanın
hukukiliğini (?) tartışacağız.

B. GPT-3 Tarafından Üretilen İçerikler FSEK Tarafından Korunabilir Mi?

FSEK m.1/B uyarınca eser; sahibinin hususiyetini taşıyan ve ilim ve edebiyat, musiki, güzel sanatlar veya sinema eserleri olarak sayılan her nevi fikir ve sanat mahsullerini ifade eder.

1. Eser Sahibi Kimdir?

İlk olarak, yapay zekanın (‘‘YZ’’) eser sahibi olup olmadığı değerlendirilmelidir. FSEK m.1/B uyarınca eser sahibinin kişiliği olmalıdır[5]. Bununla birlikte, birçok hukuk düzenine benzer şekilde, Türk Hukuku’nda da henüz YZ’ya kişilik atfedilmemektedir[6]. Bu sebeple YZ’nin FSEK kapsamında eser sahibi olamayacağı değerlendirilmektedir. Fakat o zaman üretilen içeriklerin sahibi kim olacaktır? Bu noktada üç ihtimal akla gelebilir:

1. 1. Yazılımcı eser sahibi olabilir, veya
   2. YZ’yi eğiten kişiler eser sahibi olabilir, veya
   3. Kendi yaratıcı girdilerini paylaşan kullanıcı(lar) eser sahibi olabilir[7].

Her ne kadar yukarıda yer alan aktörlerin her biri eserin ortaya çıkması için önemli rol oynasa da bizce YZ’yi eğiten kişilerin eser sahibi olması yerinde olacaktır çünkü bu kişiler YZ’nin eser üretmesini sağlayan bilgi kapasitesini ona yüklemektedirler.

2. GPT-3’ün Ürettiği Eser, Sahibinin Hususiyetini Yansıtıyor Mu?

Eserin sahip olması gereken bu özellik eserin belirli ölçüde yaratıcı olması ve fikri bir çabayı içermesi anlamına gelmektedir[8]. Çok yakın tarihli bir kararında Yargıtay eğer eser ancak sahibi onu ürettiğinde ortaya çıkabiliyorsa, sahibinin hususiyetini taşıdığını hükme bağlamıştır. Mahkeme ayrıca sadece eserin özgün kısımlarının fikri mülkiyet hukukunun korumasından yararlanabileceğinin de altını çizmiştir[9].

Şu anki çıktıları değerlendirildiğinde, GPT-3 çok düşük olasılıkla Shakespeare’in Hamlet’i gibi büyük sanat eserleri yaratabilir. Fakat GPT-3 tarafından üretilen içerik yine de özgün sayılabilir çünkü o, kendisine aktarılan bütün kaynakları değerlendirip daha iyi bir içerik sunmaya çalıştığından bu araştırma mekanizmasının kendisi de tıpkı çıktısı gibi özgündür. Bu sebeple, biz GPT-3 tarafından üretilen eserlerin, yeterince özgün oldukları takdirde FSEK tarafından korunabileceğine inanıyoruz.

C. GPT-3 İçerik Üretmek İçin Başka Kişilerin Eserlerini Toplarken Telif Hakkını İhlal Ediyor Mu?

Vurgulamak gerekir ki sayısız insan eseri, çoğunlukla eser sahibinin bilgisi veya izni olmaksızın GPT-3’ün eğitim setine dahil edilmiştir[10].  Dahil edilen bu eserlerin bazıları kamuya açık kaynak olabilir fakat bazıları ise telif hakkının koruması altında olan eserlerdir[11]. Bu eserler yazarlarının rızası dışında kullanıldığında GPT-3 fikri mülkiyet hukukunu tehdit ediyor görünmektedir.

1. Telif Hakkı Korumasının Kapsamı

FSEK m.21-25 arasında, eser sahiplerinin hakları detaylı olarak açıklanmıştır. Aşağıda yer alan bu haklar telif hakkı sahipleri için de geçerlidir:

1. 1. Eseri işleme hakkı
   2. Çoğaltma/Kopyalama hakkı
   3. Yayma hakkı
   4. Yararlanma hakkı

Bu haklar münhasıran telif hakkı sahibine verilmiş haklardır; bu nedenle, GPT-3 eser sahibinin izni olmaksızın, başkasının eserini işleyerek yeni eser üretemez, başkasının eserini kopyalayamaz veya yayamaz.

2. Haklı Kullanım Doktrini

Haklı kullanım doktrini telif hakkıyla korunan materyalin eser sahibinin rızası olmaksızın, eleştiri, yorum, haber raporlaması, eğitim-öğretim veya araştırma için kullanılması anlamına gelmektedir[12]. FSEK buna ek olarak, kişisel kullanım[13] ve kamuya arz edilen yazılı ve müzikal eserlerden alıntı yapmayı da haklı kullanım kapsamında değerlendirmektedir[14].  Haklı kullanım doktrinindeki amaç telif hakkı sahibinin menfaati ile toplumun menfaatleri arasında dengeyi sağlamaktır.

Haklı kullanım doktrininin uygulanıp uygulanmayacağını belirlemek için yargı uygulamasında dört kıstas yaygın olarak dikkate alınmaktadır[15]:

a.  Kullanım amacı ve niteliği, özellikle ticari ve farklılaştıran şekilde kullanılıp kullanılmaması;

b.   Telife konu eserin durumu;

c.    Telife konu eserin hangi miktarda ve ölçüde kullanıldığı; ve

d.  Telife konu eserin kullanılmasının eserin piyasa değerine etkisi.

GPT-3 faaliyetleri araştırma olarak görülebilir fakat sadece bu haklı kullanım doktrininin uygulanması için yeterli değildir çünkü yukarıda yer alan kıstaslar yerine getirilmemiş gibi gözükmektedir. İlk olarak, GPT-3 ticari amaçla başkalarının eserlerini kullanmaktadır ve bu ihlal ihtimalini artırmaktadır. İkinci olarak, OpenAI her ne kadar aksini savunsa da[16], GPT-3 henüz kullandığı eserlerden yeterince farklılaşan sonuçlar ortaya çıkaramamaktadır. Eğer üretile içerikler farklı bir anlatımı veya manayı getirecek şekilde değişiklik içerirse bu haklı kullanım doktrininden yararlanma olasılığını artıracaktır. Bunun dışında, telife konu eserin, oluşturulan yeni eserdeki etkisi de önem arz etmektedir. Eğer yeni oluşturulan içerik, önemli ölçüde telife konu eserden etkilenmiş ise, bu telif hakkı ihlali olasılığını güçlendirecektir. Sonuç olarak özetle, GPT-3’ün oluşturduğu eser ne kadar özgün ve farklı olursa, o derece teli hakkı ihlali olasılığı azalacak ve haklı kullanım doktrininin uygulama alanı genişleyecektir[17].

D. GPT-3’ün Faaliyetleri ile İlgili Olarak Oluşabilecek Potansiyel Veri Koruma Hukuku Endişeleri

GPT-3, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (‘‘KVKK’’’) kapsamında kişisel veri sayılan veriler de dahil olmak üzere büyük miktarda veriyi işlemek için dizayn edilmiştir. Haklı olarak şu sorular akla gelebilir: Burada hukuka uygunluk sebepleri nelerdir? Veri sorumlusu kimdir? GPT-3 veri koruma hukukunun verilerin asgarileştirilmesi, şeffaflık ve sınırlı amaçla veri işleme gibi temel prensipleriyle uyumlu mudur?

1. GPT-3 Tarafından Toplanan Verilerin Hukuka Uygunluk Sebepleri

GPT-3 tarafından verilen hizmetten yararlanan kullanıcılar için rıza, veri işlemenin bir numaralı hukuka uygunluk sebebi olabilir. Buna karşın asıl tartışmalı nokta GPT-3 eğitilirken ona ilgili kişilerin rızası olmaksızın aktarılan kişisel verilerdir. Bu halde, kişisel verilerin ilgili kişiler tarafından alenileştirdiği ve bu sebeple veri işlemenin KVKK m.5 (2) (d) ve Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) uyarınca hukuka uygun hale geldiği iddia edilebilir[18]. Bununla birlikte, GPT-3 tarafından aleni veriler kullanılarak işlenen veriler amaçla bağlantılı, sınırlı ve ölçülü veri işleme prensibini ihlal etmiş olacaktır çünkü ilgili kişiler muhtemelen verilerinin YZ faaliyetleri kapsamında işlenmesi amacıyla verilerini alenileştirmemiştir. Dolayısıyla, bu gibi durumda ilgili kişinin rızası olmaksızın kişisel veri işlenmesi veri koruma hukukunun ihlali olarak görülecektir.

2. Veri Sorumlusu Kimdir?

Veri sorumlusu veri işleme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişi olarak tanımlanmaktadır. Bu olayda, OpenAI veri sorumlusudur çünkü bu YZ şirketi veri işleme amaçlarını ve hangi şekilde verilerin işleyeceğini kararlaştırmaktadır.

3. Veri Koruma Hukukunun Temel Prensipleri ve GPT-3

Kanaatimizce, GPT-3 en az üç temel veri koruma hukuku prensibini ihlal etmektedir. İlk olarak, GPT-3 faaliyetleri doğrudan sınırlı amaçla veri işleme prensibiyle çelişmektedir. Bu prensip kişisel verilerin ‘‘Belirli, açık ve meşru amaçlar için işlenmemesini öngörmektedir’.’ Öte yandan, GPT-3 aleni verilerin hangi amaçla alenileştirdiğini dikkate almadan, bu amacın tamamen dışında ve kendi ticari amacı için aleni verileri kullanmaktadır.

İkinci olarak, GPT-3 tarafından icra edilen faaliyetler verilerin asgarileştirilmesi ilkesini de ihlal eder. Verilerin asgarileştirilmesi ilkesi, verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi anlamına gelmektedir. Buna karşın, GPT-3 çok fazla veriyi gerekli olup olmadığını dikkate almaksızın işlemektedir.

Üçüncü olarak, GPT-3’ün faaliyetleri şeffaflık ilkesini de ihlal etmektedir. Bunun sebebi karar alma sürecinin nasıl gerçekleştiğine ilişkin bilgi eksikliğinden kaynaklanmaktadır. Kullanıcılar karar alma süreci ve yapısıyla ilgili sınırlı bilgiye sahiptir. GPT-3 diğer YZ çözümleri gibi daha şeffaf bir yapıda olmalıdır.

Bunun dışında, verilerin hukuka uygun işlenmesi, verilerin doğruluğu ve sınırlı süre verilerin muhafaza edilmesi gibi prensiplere de ne derece uyulduğu tartışılabilir. Bu bilgiler ışığında, GPT-3’ün mevcut yapısının veri koruma dostu olmadığı ve veri koruma otoriteleri tarafından çeşitli soruşturmalara maruz kalabileceğini söyleyebiliriz.

[1] Fei Sun, ‘‘ChatGPT, the Start of a New Era: A Bright and Gloomy Future’’, 2022, s.2.

[2] GPT Generative Petrained Transformer, Almira Osmanovic Thunström, Steinn Steingrimsson, ‘‘Can GPT-3 Write an Academic Paper on Itself, with Minimal Human Input?’’, 2022, s.6.

[3] Michael Dowling, Brian Lucey, ‘‘ChatGPT for (Finance) Research: The Banarama Conjecture’’, 2023, s.2.

[4] Michael Bommarito, Daniel Martin Katz, ‘‘GPT Takes the Bar Exam’’, 2022, s.9.

[5] Her ne kadar FSEK’te gerçek ve tüzel kişilerin eser sahibi olabileceği izlenemi varsa da bazı yazarlar sadece gerçek kişilerin eser sahibi olabileceğini iddia etmektedirler. Tartışma için bknz: Mustafa Zorluel, ‘‘Artificial Intelligence and the Copyright’’, 2019, s.318.

[6] ABD için bknz: Simon Chesterman, ‘‘Artificial Intelligence and the Limits of Legal Personality’’, 2020, s.19, Fransa için bknz: Clemence Lapotre, Celine Bey, ‘‘Artificial Intelligence in France’’, 2022, s.3

[7] Arthur Roberts, Alain Godements, ‘‘Who Owns the Copyright in AI-generated Art?’’, 2022, s.2

[8] Osman Gazi Güçlütürk, Rifat Cankat, ‘‘Yapay Zekâ ile Oluşturulan Ürünlerin Eser Niteliği ve Eser Sahipliği Meselesi’’, 2021, s. 208.

[9] Yargıtay 11.HD, E.2021/8676, K.2022/3718, T.11.5.2022.

[10] Carol Hayes, ‘‘Did a Robot Write This Title? Creativity, Ownership, Justice and Copyright Law’’, 2022, s.2.

[11] Ibid, 2.

[12] Diana Bikbaeva, ‘‘AI Trained on Copyrighted Works: When Is It Fair Use?’’, 2023, s.3.

[13] FSEK m.38.

[14] FSEK m.35.

[15] Benjamin L. W. Sobel, ‘‘Artificial Intelligence’s Fair Use Crisis’’, 2020, s. 5.

[16] Comment of OpenAI LP, Comment Regarding Request for Comments on Intellectual Property Protection for Artificial Intelligence Innovation Docket No. PTO-C-2019-0038, s.5.

[17] Sobel, ibid, s.5.

[18] Bkz. GDPR m.9 (2) (e) ve m. 86.

Türkiye’deki Hukuki Gelişmeler: Bir Bakışta 2023

Yeni bir yıla tüm hızımızla başlarken, bu yılın henüz başında gerçekleşen ve ilerleyen günlerde gerçekleşmesi beklenen -ve özellikle çalıştığımız sektörleri ilgilendiren- hukuki gelişmeleri paylaşmak istedik.

Çeşitli Parasal Sınırlarda Güncellemeler

2023 ile birlikte, istinaf ve temyiz sınırlarından idari para cezalarına birçok parasal sınırda güncelleme oldu.

Sermaye piyasası mevzuatında da birçok sınır benzer şekilde değişti. Aşağıda, Sermaye Piyasası Kurulu’nun 30 Aralık 2022 tarih 2022/74 sayılı bülteninde yayımlanan duyuru ile bahse konu mevzuatta meydana gelen değişikliklerden bazılarına yer verilmiştir:

Ödeme Hizmetleri ve Elektronik Para Sektörü’nde Hızlı Bir Başlangıç

Ödeme Hizmetleri ve Elektronik Para Kuruluşları, yılsonunda yeni düzenlemelere uyum için yoğun bir çaba sarfetmişti. Türkiye Cumhuriyet Merkez Bankası, tam da bu dönemde bahse konu kuruluşların faaliyet alanlarıyla ilgili önemli duyurular, rehberler ve listeler yayımladı:

• Ödeme ve Elektronik Para Kuruluşları 2023 Yılı Bildirim Takvimi[1]
• Bazı Ödeme[2] ve Elektronik Para Kuruluşları’nın Faaliyet İzni Kapsamlarının Tespitine İlişkin Karar[3]
• Halihazırda faaliyette olan Ödeme ve Elektronik Para Kuruluşları’nın[4] ilgili düzenleme kapsamındaki faaliyet sınırlarına ilişkin tablolar TCMB’nin sitesinde yayımlandı.
• Ödeme ve Elektronik Para Kuruluşlarının FAST Sistemine Katılımına İlişkin Basın Duyurusu[5]
• Açık Bankacılık Basın Duyurusu[6]
• Ödemeler Alanında Sunulan İş Modellerinin Ödeme Hizmeti Türleri ile İlişkilendirilmesine İlişkin Rehber[7]

E-Ticaret Sektörü’ne Yeni Yönetmelik

Elektronik Ticaret Aracı Hizmet Sağlayıcı ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik yılın son günlerinde yayımlanarak birçok hükmüyle birlikte yürürlüğe girdi.

Yedinci Yargı Reformu Paketi

Konutta haczin zorlaştırılması, ceza hukukuna ilişkin önemli düzenlemelerin yanı sıra, özellikle ticaret hukuku alanında önemli gelişmeler 7. Yargı Reformu Paketi’nin gündemini oluşturuyor. Yakın zamanda Türkiye Büyük Millet Meclisi gündemine gelmesi planlanan reform paketin, özellikle şirketleri ilgilendiren hususları ise şu şekilde:

• Ticaret mahkemesinde tek hakimli işlerin sınırı 1 milyon TL’ye çıkıyor.
• Menfi tespit, itirazın iptali ve istirdat davalarında dava şartı arabuluculuğa ilişkin tartışmaların, kanuna bu yönde açık bir düzenleme eklenerek giderilmesi planlıyor.
• Dava şartı arabuluculuğun kapsamı genişletiliyor ve kira, ortaklığın giderilmesi ve kat mülkiyeti uyuşmazlıkları da kapsama alınıyor.
• Kanun yollarına başvuru süreleri iki hafta olarak yeknesaklaştırılıyor.

Kişisel Verileri Koruma Kanunu’nun Avrupa Veri Koruma Tüzüğü ile Uyumlaştırılması

Yeni yılda, Kişisel Verileri Koruma Kanunu’nun Avrupa Veri Koruma Tüzüğü (GDPR) ile uyumlaştırılması kapsamında da önemli değişiklikler beklenmektedir. Bu doğrultuda, özel nitelikli kişisel verilerin (hassas verilerin) işlenmesinin hukuka uygunluk sebeplerini içeren 6. madde ve yurt dışına veri aktarımını düzenleyen 9. maddenin GDPR ile uyumlu hale getirilmesi planlanmaktadır[8].

Rekabet Hukuku’nda İdari Para Cezalarında Güncelleme

Rekabetin Korunması Hakkında Kanun’da öngörülen idari para cezalarına ilişkin alt sınır, 27 Aralık 2022 tarihli Resmî Gazete’de yayımlanan Tebliğ ile değiştirilmiştir. Buna göre; 2022 yılında 47.409 TL olarak uygulanan idari para cezası alt sınırı, %122,93 artırılarak 2023 yılı için 105.688 TL olarak belirlenmiştir.

Yukarıda yer alan konulardaki gelişmeleri ve her bir konuya ilişkin detaylı değerlendirmelerimizi ilerleyen günlerde sosyal medya hesaplarımızdan takip edebilirsiniz.

[1] https://www.tcmb.gov.tr/wps/wcm/connect/a9702024-8e61-4cad-b1fd-e72020fa8368/ODEPA+2023+Bildirim+Takvimi.pdf?MOD=AJPERES (E.T.:10.01.2023).

[2]https://www.tcmb.gov.tr/wps/wcm/connect/TR/TCMB+TR/Main+Menu/Temel+Faaliyetler/Odeme+Hizmetleri/Odeme+Kuruluslari (E.T.:10.01.2023).

[3] https://lnkd.in/dsR6PX8e (E.T.:10.01.2023).

[4]https://www.tcmb.gov.tr/wps/wcm/connect/TR/TCMB+TR/Main+Menu/Temel+Faaliyetler/Odeme+Hizmetleri/Elektronik+Para+Kuruluslari (E.T.:10.01.2023).

[5] https://www.tcmb.gov.tr/wps/wcm/connect/TR/TCMB+TR/Main+Menu/Duyurular/Basin/2022/DUY2022-53 (E.T.:10.01.2023).

[6] https://www.tcmb.gov.tr/wps/wcm/connect/TR/TCMB+TR/Main+Menu/Duyurular/Basin/2022/DUY2022-48 (E.T.:10.01.2023).

[7] https://www.tcmb.gov.tr/wps/wcm/connect/5b814310-a57b-4e64-82fe-76e520d0e0b1/%C3%96demeler+Alan%C4%B1nda+Sunulan+%C4%B0%C5%9F+Modellerine+%C4%B0li%C5%9Fkin+Rehber.pdf?MOD=AJPERES (E.T.:10.01.2023).

[8] Detaylı değerlendirmeler için bkz.: Aygün Aykut, Başak, 2022 Yılında Türkiye’de Veri Koruma Hukuku Alanındaki Gelişmeler, (https://solakpartners.com/2022-yilinda-turkiye-de-veri-koruma-hukuku-alanindaki-gelismeler/ , E.T.:10.01.2023)

Veri Koruma Hukuku 2022

Kişisel Verileri Koruma Kanunu’nda (“KVKK”) Meydana Gelmesi Beklenen Değişiklikler

İnsan Hakları Eylem Planı ve Ekonomik Kalkınma Eylem Planı kapsamında, KVKK’nın değiştirilmesi kararlaştırmış ve bu değişiklik gündeme alınmıştır. Planlanan değişikliklerin amacı KVKK’yı Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumlu hale getirmektir.

Önerilen kanun değişiklikleri KVKK’da oldukça tartışmalı olan bazı maddelere işaret etmekte ve onların değiştirilmesini öngörmektedir. Değiştirilmesi önerilen önemli maddeler arasında, özel nitelikli kişisel verilerin (hassas verilerin) işlenmesinin hukuka uygunluk sebeplerini içeren 6. madde ile yurt dışına veri aktarımını düzenleyen 9. madde yer almaktadır.

Bahsedilen değişikliklerin kısa sürede Türkiye Büyük Millet Meclisi’nin gündemine alınıp değerlendirilmesi beklenmektedir. Parlamento’nun hassas verilerin işlenmesi ve yurt dışına veri aktarılması ile ilgili olarak sunulan değişikliği kısa sürede tartışması, geri kalan konulardaki değişiklikleri ise yeni yılda gündemine alması öngörülmektedir. GDPR ile uyumlu değişikliklerin tamamlanması halinde, Veri Sorumluları Sicilinin (“VERBİS”) kaldırılması beklenmektedir.

 Çerez Uygulamaları Hakkında Rehber

Çerez Uygulamaları Hakkında Rehber (“Rehber”) Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Eylül 2021 hazırlanmaya başlanmasının ardından 20.06.2022 tarihinde yayımlanmıştır.

Rehber; çerezlerin kullanımı hakkında Avrupa Birliği’nde çıkarılan rehberlere paralel açıklamalar içermekte, çerez türlerini belirtmekte, elektronik haberleşme ile KVKK arasındaki ilişkiyi ortaya koymakta ve bunun yanı sıra hangi çerezlerin kullanılmasında açık rıza gerektiğini ve açık rıza alınmasının unsurlarını, ilgili kişiyi bilgilendirme yükümlülüğünü açıklamakta, Veri Koruma Otoritesi’nin 27 Şubat 2020 tarihli ve 2020/173 sayılı çerez kullanımına ilişkin kararındaki analizlerini ve bakış açısını hatırlatmakta, ayrıca çerezler aracılığıyla yurt dışına veri aktarımı hakkında detaylı açıklamalar içermektedir.

İlaveten, Rehber’in ekinde; veri sorumluları için bir kontrol listesi sunulmuş, çerez yasaklayıcıları ve rıza yönetim platformları bakımından iyi ve kötü uygulama örnekleri açıklanmış ve örnek bir gizlilik bildirimi paylaşılmıştır.

Sigortacılıkta Verilerin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik

31987 sayılı ve 18 Ekim 2022 tarihli Resmi Gazete’de Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik (“Yönetmelik”) yayımlanmıştır. Yönetmelik genel olarak, sigorta verilerinin işlenmesinin detaylarını düzenlemekte, üye kuruluşlardan, uzman kuruluşlardan ve diğer yetkili kullanıcılardan sigorta verilerinin toplanmasına ilişkin usul ve esasları belirlemekte ve Sigorta Bilgi ve Gözetim Merkezi’nin faaliyetleri ile Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu ile ilişkisini düzenlemektedir.

Bankacılık Sektöründe Kişisel Verilerin Korunmasına İlişkin Rehberleri

Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi’ni (“Bankacılık Rehberi”) 5 Ağustos 2022 tarihinde yayımlamıştır.

Bankacılık Rehberi; bankaların KVKK ve ikincil düzeydeki mevzuata uymasına ilişkin usul ve esasları açıklamaktadır. Bunun için Bankacılık Rehberi; bankaların veri işleme faaliyetlerini ortaya koymakta, detaylı açıklamalara ve iyi uygulama örneklerine yer vermektedir. Ayrıca bu rehberler, Kişisel Verileri Koruma Kurumu’na yapılacak şikayetler ve ihlal bildirimleri üzerine re’sen yürütülecek soruşturmalar için, her bir vakanın özelliğine göre ayrı değerlendirmeler yapılacağını vurgulamaktadır.

Bankacılık Rehberleri, ayrıca 5411 sayılı Bankacılık Kanunu’nun (“Bankacılık Kanunu”) 73. maddesiyle KVKK arasındaki ilişkiyi de açıklamaktadır. Buna göre 73. madde kapsamındaki müşteri bilgilerinin aktarımında Bankacılık Kanunu hükümleri geçerli olacaktır. Bankalar, Bankacılık Rehberi gözden geçirmeli ve Bankacılık Rehberi uygun aksiyonları almalıdır.

Sadakat Programlarında Kişisel Verilerin İşlenmesine İlişkin Rehber Taslağı

Kişisel Verileri Koruma Kurumu, 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayımladı. Rehber Taslağı’na ilişkin görüş bildirme süre sınırı 16.07.2022 tarihinde dolduğundan, artık Rehber Taslağı’nın son halinin yayımlanması beklenmektedir.

Rehber Taslağı; sadakat programlarını tanımlamakta ve sadakat programları kapsamında kişisel verilerin işlenmesine ilişkin ayrıntılı açıklama ve örnekler sunmaktadır. Rehber Taslağı, veri işleme faaliyetinin amaçları dikkate alınarak uygun yasal dayanağın belirlenmesinin önemini vurgulamakta ve sadakat programları kapsamında en yaygın veri işleme amaçlarına örnekler içermektedir.

Kurum, Rehber Taslağı’nda açık rıza kıstaslarına işaret etmiş ve esas mal ve hizmetlerin sağlanması ile bir rıza paketine yol açılmazsa, ilgili kişilerden açık rıza talep etmenin mümkün olduğunu belirtmiştir.

Rehber Taslağı ayrıca sadakat programları kapsamındaki e-pazarlama iletişimlerine de değinmekte ve KVKK ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi hakkında Kanun uyarınca elektronik ileti gönderilebilmesi için ilgili kişilerden rıza alınması gerektiği belirtilmektedir.

Aile Şirketleri

Aile Şirketleri’nde Kurumsallaşma: Peki Ama Nasıl?

Dünya’da ve Türkiye’de Aile Şirketleri’nin En Büyük Problemi: Devamlılık

Dünya ve Türkiye ekonomisinin itici gücünü şirketler, bunların da lokomotifini aile şirketleri oluşturmaktadır. Gerçekten, Türkiye’deki halka kapalı anonim ortaklıkların % 95’ini, dünya genelinde ise %80’e yakınını aile şirketleri teşkil etmektedir. Aile şirketi; genellikle ailenin geçimini sağlamak ve mirasın dağılmasını önlemek amaçlarıyla kurulan, yönetim kademeleri ve önemli üst düzey görevlerde aile üyelerinin bulunduğu, sermayenin ve oy çoğunluğunun da yine aile üyelerinde olduğu ve bu sebeple şirketin kontrolünün aile tarafından sağlandığı şirket olarak tanımlanabilir.

Yüzyıllar boyu tercih edilen bir iş yapış şekli olan aile şirketi; gelişen ve evrilen ekonomik yaşam karşısında önemli yıpranmalara uğramıştır. Bunun en önemli sebeplerinden birini, aile şirketlerinin kuruculardan sonraki kuşaklara devrinde yaşanan sorunlar yani devamlılık oluşturmaktadır.

Aile Şirketleri Nasıl Ayakta Kalır?: Kurumsal Yönetim

1. 1. 1. 1. Genel Olarak

Anılan sorunun çözümü için öngörülen en temel kavram, kurumsallaşma ve bunu sağlayacak olan kurumsal yönetim ilkeleridir. Kurumsal yönetim; hakkaniyet, şeffaflık, hesap verebilirlik ve sorumluluk sac ayakları üzerinde yükselen, ortaklığın kuruluşundan tasfiyesine değin tüm süreçte hakim olan bir ilkeler bütünüdür.

Aile şirketlerinin kurumsal yönetim dairesinde yapılandırılması tam ve zamanında gerçekleştirilemediği takdirde, şirket genellikle ilk ya da ikinci kuşağın sonunda dağılmaktadır. Dolayısıyla, gerek aile şirketlerinin kendi çıkarları gerekse ülke ekonomileri ve giderek dünya ekonomisi için aile şirketlerinin kurumsal yönetim çerçevesinde sürdürülebilir bir yapıya kavuşması önem arz etmektedir.

2. Araçlar

Aile şirketlerinde kurumsallaşmanın sağlanmasında birkaç farklı aracın bir arada yahut farklı kombinasyonlarla kullanılması düşünülebilir. Bu araçlar; (i) aile anayasası, (ii) aile meclisi ve (iii) aile konseyidir.

 Aile anayasası; kısaca aile ile şirket ilişkilerinin nasıl olması gerektiğini düzenleyen yaşayan bir belgedir. Bu belgede; beklentiler, hedefler, stratejiler, başarı ölçütleri ve detaylı haleflik planlaması konularına yer verilmelidir. Yanı sıra, anılan belgenin günün ihtiyaçları doğrultusunda belirli periyotlarda gözden geçirilmesi de en az bu kurumun teşkili kadar önem arz eder.

Aile meclisi; aile üyeleri arasındaki çatışma, kırgınlık, çekişme ve dargınlıkların, açık ve samimi bir ortamda dile getirilmesiyle giderilmesini amaç edinen şirkete dair gelecek vizyonu ve stratejisinin ortaya konulmasını sağlayan bir yapıdır.

Aile konseyi ise; aile meclisinden farklı olarak, aile şirketinin iki unsuru olan aile ile şirket ve bunların arasındaki ilişki bakımından politikalar düzenleyen, kararlar alan ve uygulayan araçtır.

3. Sonuç

Yukarıda; aile şirketlerinin ekonomilerdeki önemine kısaca vurgu yapılmış ve temel problem dairesinde çözüm araçları ortaya konulmuştur. Yürürlükteki düzenlemeler çerçevesinde aile şirketlerinde kurumsal yönetim adımlarının atılması mümkün olduğu kadar elzemdir. Ancak, kurumsal yönetim ilkelerinin yerleşmesi aynı zamanda bir kültürün de yerleşmesi demektir. Bu sebeple, sadece yürürlükteki mevzuata uyum ile yetinilmemeli; meslek odaları, sivil toplum kuruluşları ve çeşitli inisiyatifler ile iş birliği içerisinde aile şirketlerinde kurumsal yönetim ilkelerinin yerleşmesi için çalışmalar yürütülmelidir. Son olarak, bu denli köklü yapıları ayakta tutmak için geliştirilecek çözümlerde, hukuki omurganın iyi bir şekilde tasarlanmasının önemine dikkat çekmek gerekir.

Yazar: Av. Barış C. CANTÜRK, LL. M.

Fintech 2023

Ranked in Fintech 2023 edition of Chambers and Partners

We are delighted to announce that Solak & Partners Law Firm is ranked in Fintech 2023 edition of Chambers and Partners.

We congratulate all of our colleagues for this success, and thank all of our clients for their support and trust in us.

Mergers & Acquisitions

M&A Bakımından Teknoloji Girişimleri

04.03.2022 tarihli ve 31768 sayılı Resmi Gazete’de yayımlanan ve 04.05.2022 tarihinde yürürlüğe giren Rekabet Kurulu’ndan İzin Alınması Gereken Birleşme ve Devralmalar Hakkında Tebliğ’de Değişiklik Yapılmasına Dair Tebliğ (“2022/2 sayılı Tebliğ”); birleşme devralma işlemleri kapsamında kullanılacak yeni ciro eşikleri, teknoloji şirketleri kavramı ve yeni bir bildirim formunu beraberinde getirmiştir.

Yeni düzenleme kapsamında birleşme ve devralma işlemlerinde uygulanan eşikler aşağıdaki şekilde güncellenmiştir:

Buna ek olarak, 2022/2 sayılı Tebliğ’de yer verilen teknoloji şirketleri kavramı ile birlikte teknoloji şirketleri için Türkiye’ye özgü bir eşik sistemi getirilmiştir. Rekabet Kurumu (“Kurum”) tarafından söz konusu eşik sistemine ilişkin yapılan açıklamada;

• • Son dönemde dijital pazarlarda önemli pazar gücüne sahip teşebbüsler tarafından gerçekleştirilen işlemler ile yeni kurulan veya gelişmekte olan girişim (start-up) şirketlerinin potansiyel bir rakip olarak tanımlanarak,
  • Rekabetin önüne geçmek için devralma şeklindeki işlemler (“Öldürücü Devralmalar”) göz önünde bulundurularak teknoloji teşebbüslerinin birleşme ve devralma rejimi kapsamına alındığı,
  • Bu işlemlerin büyük ölçüde Kurum denetimine tabi tutulması yoluyla,
  • Anılan teşebbüslere ilişkin Öldürücü Devralmaların önüne geçilmesi hedeflendiği belirtilmiştir.

Teknoloji teşebbüsleri, 2022/2 sayılı Tebliğ kapsamında “dijital platformlar, yazılım ve oyun yazılımı, finansal teknolojiler, biyoteknoloji, farmakoloji, tarım kimyasalları ve sağlık teknolojileri alanlarında faaliyet gösteren teşebbüsleri veya bunlara ilişkin varlıklar” olarak tanımlanmıştır. Bu kapsamda, yeni düzenlemeye göre Türkiye’de faaliyet gösteren veya AR-GE faaliyeti bulunan ya da Türkiye’deki kullanıcılara hizmet sunan teknoloji teşebbüslerinin devralınmasına ilişkin işlemler bakımından 250 milyon TL eşiği uygulanmamaktadır. Dolayısıyla, Türkiye’de yerel bağlantısı bulunan teknoloji teşebbüslerinin devralınmasına ilişkin işlemlerde hedef şirket için öngörülen ciro eşikleri uygulaması kaldırılmış olmaktadır.

Her ne kadar 2022/2 sayılı Tebliğ kapsamında teknoloji şirketlerine ilişkin bir tanıma yer verilmiş olsa da, hangi şirketlerin teknoloji teşebbüsü olarak değerlendirileceği ve hatta Türkiye ile yerel bağlantının nasıl kurulacağı noktasında bazı belirsizlikler bulunmaktaydı. Bunun en önemli sebebi ise 2022/2 sayılı Tebliğ’de yer verilen teknoloji teşebbüsleri tanımındaki faaliyetleri asli değil aksine yan hizmet olarak sunan teşebbüslerin de teknoloji teşebbüsü olarak nitelendirilip nitelendirilemeyeceği sorusundan kaynaklanmaktaydı. Her ne kadar bu belirsizlik ortamı tamamen son bulmasa da, Rekabet Kurulu’nun güncel tarihli kararları teknoloji teşebbüsleri tanımı ve yerel bağlantının kurulması noktasında bazı ipuçları sağlamaktadır.

Nitekim Rekabet Kurulunun 02.06.2022 tarih ve 22-25/403-167 sayılı kararı kapsamında, geniş bant operatörler için akıllı wi-fi çözümleri sunan bir teşebbüs, ana faaliyetlerini tamamlayıcı nitelikte yazılım hizmetleri de sunduğu için Rekabet Kurulu tarafından teknoloji teşebbüsü olarak değerlendirilmiştir. Benzer şekilde, Rekabet Kurulu’nun 18.05.2022 tarih ve 22-23/372-157 sayılı kararında da hayat sigortası paketleri aracılığıyla tasarruf ve yatırım ürünleri sağlayan bir teşebbüs, faaliyetlerinin bir bölümünü dijital platformlar üzerinden yürüttüğü için teknoloji teşebbüsü olarak değerlendirilmiştir. Ayrıca, her ne kadar ilgili teşebbüs Türkiye’de doğrudan ciro elde etmese de, Türkiye’deki 230 kullanıcının ilgili teşebbüsün dijital platformlar üzerinden sunduğu hayat sigortası hizmetlerini kullanması Rekabet Kurulu tarafından ilgili teşebbüsün yerel bağlantısını ortaya koymak için yeterli görülmüştür.

Yukarıda yer verilen kararlar ışığında; 2022/2 sayılı Tebliğ’de yer alan teknoloji teşebbüsleri tanımının, Rekabet Kurulu tarafından oldukça geniş kapsamlı olarak ele alındığı ve ilgili tanımında sayılan faaliyetleri yan hizmet veya tamamlayıcı hizmet olarak sunan teşebbüslerin dahi Rekabet Kurulu tarafından teknoloji teşebbüsü olarak değerlendirilebileceği sonucuna varılabilecektir. Bu kapsamda; yazılım ve oyun yazılımı, finansal teknolojiler, biyoteknoloji, farmakoloji, tarım kimyasalları ve sağlık teknolojileri alanında herhangi bir asli, yan veya tamamlayıcı hizmet sağlayan teşebbüslerin ve dijital platformların taraf olduğu birleşme ve devralma işlemleri bakımından 2022/2 sayılı Tebliğ kapsamında getirilen teknoloji teşebbüslerine özgü eşik sisteminin uygulama alanı bulacağının ve hedef şirkete ilişkin ciro eşiklerinin aranmayacağının unutulmaması gerekir.

Yazar: Av.Öykü Erdil Attar

İlgili kişilerin kişisel verilerinin işlenmesi için öncelikle ilgililerin aydınlatılması gerekmektedir. Ayrıca; Kişisel Verilerin Korunması Kanunu (“Kanun” veya “KVKK”) m.5 gereği gerçek kişilerin kişisel verilerinin işlenebilmesi için maddede belirtilen hukuki sebeplerden birinin mevcut olması gerekir. İlgili hukuki sebeplerden herhangi birinin bulunmaması halinde ise ilgili kişinin açık rızasının alınması suretiyle, kişisel verileri işlenebilecektir. Bu noktada; Kanun ve ikincil mevzuat kapsamında ergin kişiler ile çocuklar arasında bir ayrım yapılmamıştır. Bu hususta çocukların kendi kişisel verilerinin geleceğini tek başlarına tayin edip edemeyecekleri sorusuna cevap bulmak gerekecektir.

Türk Hukuku ve Uluslararası Hukuk Kapsamında Çocukların Kişisel Verileri

Türk Hukuku

Kişisel verilerin işlenmesi, ilgili kişiye sıkı sıkıya bağlı bir hukuki işlemdir. Çocukların kendilerinin mi yoksa yasal temsilcilerinin mı aydınlatılacağı, açık rızanın gerektiği hallerde kişisel verilerinin işlenmesine tek başlarına rıza verip veremeyecekleri, verebileceklerse hangi yaştan büyük çocukların doğrudan kendilerinin aydınlatılacağı ve/veya gerekli hallerde tek başlarına açık rıza verebileceği Kanun’da belirtilmemiştir.

Kişisel Verilerin Korunması Kanunu yorumlanırken Türk Medeni Kanunu’nun (“TMK”) 5. maddesi dikkate alınarak, TMK’nin niteliğine uygun düştüğü ölçüde bütün özel hukuk ilişkilerine uygulanacağı esası gözden kaçırılmamalıdır. Zira karma bir hukuk dalı olan kişisel verilerin korunması hukuku, içerisinde birçok konuda özel hukukla ilişkili düzenlemeler barındırmaktadır. Bu sebeple; KVKK ve genel düzenleme olarak kabul edilebilecek TMK’yi birlikte değerlendirmek gerekecektir. KVKK bağlamında kişisel verilerin korunması kapsamındaki hukuki güvenceler tüm “gerçek kişilere” tanınmaktadır. TMK uyarınca, gerçek kişilerin, hak ve borçlara ehil olması için fiil ehliyetinin bulunması gerekmektedir. TMK’nin 11.  ve 14. maddeleri uyarınca 18 yaşın altındaki küçüklerin fiil ehliyetine sahip olmaması sebebiyle, bu kişiler adına işlemlerin yasal temsilcileri (velisi ya da vasisi) tarafından gerçekleştirilebileceği anlaşılmaktadır.

Kural olarak küçükler kendi işlemleriyle borç altına giremezler. Bu hususun iki istisnası TMK’nin 16. maddesinde sayılmıştır.  Bu istisnalardan biri de küçüğün kişiye sıkı sıkıya bağlı hakkını kullanmasıdır. Önemli olan nokta ise bu istisnanın ayırt etme gücü olan çocuklar bakımından geçerli olmasıdır. Doktrinde bir görüş; ayırt etme gücüne sahip küçüklerin, kişisel verilerinin işlenmesine dair haklarını tek başına kullanabilmelerini savunmaktadır. Bu görüşe göre; somut olaya göre çocuğun ayırt etme gücünün mevcudiyeti değerlendirilmeli ve buna göre eylem alınmalıdır. Ancak; KVKK bu hususta bir hüküm getirmediğinden, bununla ilgili net bir yaş sınırı belirtmek mümkün değildir. Zira ayırt etme gücü nispi bir kavramdır.

11/08/2020 tarihli ve 2020/622 sayılı kararında Kişisel Verileri Koruma Kurulu; 18 yaşını doldurmamış çocuğun babasının, çocuğa ilişkin sağlık raporunun silinmesi ile ilgili talebinde, babanın çocuk adına böyle bir talepte bulunabileceğini kabul etmiştir. Buna ek olarak, çocuğun da tek başına bu talepte bulunacağı da kabul edilmiştir. Zira Kurum burada çocuğun kişisel verilerinin korunması hakkını kullanmasını nispi kişiye sıkı sıkıya bağlı hak olarak kabul etmiştir.

Yukarıdaki şekilde ayırt etme gücüne sahip küçüklerin, kişisel verilerinin işlenmesine dair haklarını tek başına kullanabileceklerini savunan bir görüş olsa dahi mevcut düzenlemeler ışığında, çocukların kişisel verilerinin işlenmesi noktasında, aydınlatma ile gerekmesi halinde açık rıza yükümlülüklerinin çocuğun yasal temsilcisine karşı yerine getirilmesi gerekecektir. Başka bir ifadeyle; bir çocuğun kişisel verisini işlemeden önce veri sorumlularının ilk önce çocuğun yasal temsilcisini aydınlatması ardından da gerekmesi halinde veri işleme süreci için yasal temsilcisinin açık rızasını alması gerekecektir.

Bu noktada; doğrudan çocukları ilgilendiren kişisel veri işleme faaliyetlerinde, kişisel verilerin korunmasına dair haklar nispi kişiye sıkı sıkıya bağlı hak olarak kabul edildiğinden, yaşlarına bağlı olarak çocukların da anlayabilecekleri şekilde ayrıca aydınlatılmaları/bilgilendirilmeleri uygun olacaktır.

Nitekim; Kurum tarafından yayımlanan çocukların kişisel verilerinin korunmasına ilişkin bir Rehber[1]’de de “Ürün ve hizmetin hitap edeceği kitle çocuklar ise aydınlatma yükümlülüğü kapsamında çocukların algı düzeyine uygun bilgilendirici metinler hazırlanmalı, gerekirse resim ve görsel efektlerle desteklenen daha anlaşılır, sade ve açık bir dil kullanılmalıdır.” denmektedir.

Uluslararası Düzenlemeler

Avrupa Birliği ülkeleri için doğrudan bağlayıcı olan ve 25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Yönetmeliği’nin (“GDPR”) 8. maddesi bilgi toplumu hizmetlerinin sunulması bağlamında çocuklara ait kişisel verilerin işlenmesiyle ilgili düzenlemeler içermektedir. İşbu madde uyarınca çocuğa ait kişisel verilerin işlenmesi için çocuğun en az 16 yaşında olması aranmış olup, belirlenen bu yaştan küçük çocukların kişisel verilerinin işlenebilmesi için yasal temsilcilerinin izni gerekmektedir. Üye devletler bu yaşı 13’e kadar indirebilmektedir. Buna ek olarak veri sorumlusuna bu gibi durumlarda, mevcut teknoloji göz önünde bulundurularak ebeveyn tarafından onay verilip verilmediğini doğrulamak için makul çabayı gösterme yükümlülüğü verilmiştir.

Amerikan hukukunda da özel bir kanun (Children’s Online Privacy Protection Act) ile çevrimiçi sistemler dâhilinde işlenen çocuklara ait kişisel veriler hakkında düzenlemeler getirilmiştir. İlgili kanuna göre; 13 yaşından küçük olmamak şartı ile çocuklar kendilerine ait kişisel veriler hakkında tasarrufta bulunma hakkına haiz olup 13 yaşından küçükler için ise velilerinin rızasının alınması şart koşulmuştur.

Sonuç

KVKK’de çocukların kişisel verilerinin işlenme süreciyle ilgili özel bir düzenlenme yer almamaktadır. GDPR madde 8’e benzer bir hüküm 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda bulunmamaktadır. Dolayısıyla; mevcut düzenlemeler çerçevesinde, çocukların kişisel verileri işlenirken aydınlatma ile gerekmesi halinde açık rıza yükümlülüklerinin çocuğun yasal temsilcisine karşı yerine getirilmesi gerekecektir.

Doğrudan çocukları ilgilendiren kişisel veri işleme faaliyetlerinde ise, yaşlarına bağlı olarak çocukların da anlayabilecekleri şekilde ayrıca aydınlatılmaları/bilgilendirilmeleri uygun olacaktır.

BAŞAK AYGÜN AYKUT

AHMET DEMİRTAŞ