7. Nesnelerin İnternetinin Hukuki Yönleri

22 Nisan 2022, Av. Işıl Selen DENEMEÇ, LL.M. anlatımı ve Dr. Merve Ayyüce KIZRAK yazımıyla
Dersimizde IoT teknolojisinin hukuki boyutlarını tartışırmak için Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Hukuk Dairesi Başkanı olarak görev yapan avukat Işıl Selen Denemeç'i ağırladık.
"Her şey birbirine bağlıysa, her şey hacklenebilir"  —Ursula von der Leyen
Bağlı cihazların ve sistemlerin hızla büyümesi göz önüne alındığında, veri işleme ve ileri analitik; ekonomilerin, toplumların ve çevrenin dijitalleşmesi için önemli bir bileşendir. Bağlı cihazların veri toplamada, veriyi işlemede ve iletmede ve eylemleri gerçek zamanlı olarak tetiklemede giderek daha akıllı hale gelmesiyle birlikte nesnelerin interneti; cihazları, verileri, bilgi işlem gücünü ve bağlanabilirliği entegre ederek bu dijital dönüşümün merkezindedir.
Nesnelerin İnterneti (IoT) teknolojisi pek çok alanda kullanılabilir ancak projelerin uygulanabilirliği konusunda hala teyit edilmeyi beklemektedir. Buna rağmen evlerde, arabalarda ve çalışma ortamlarımızda fiziksel aktivitelerimizi izleyen “akıllı şeyleri” aktif olarak kullanıyoruz. Büyüyen bir teknoloji pazarı olduğunu söyleyebiliriz. Ancak beklenen faydalarının yanında güvenlik ve mahremiyet sorunları da getirmektedir.
2025 yılına kadar 41 milyardan fazla IoT cihazının piyasaya sürülmesi bekleniyor (International Data Corporation). Bu, verilerin katlanarak büyümesine yol açacak ve bilgi işlem operasyonlarını ve veri analitiğini uç noktalara taşıyacaktır.*

Nesnelerin İnterneti (IoT) Nedir?

Nesnelerin İnterneti temel olarak internet ve birbirlerine bağlı olarak çalışan teknolojinin genel adıdır. IoT, gerçek zamanlı olarak veri toplama ve internet yolluyla diğer cihaz ya da partilerle paylaşabilme ve bulut gibi ortamlarda işleyebilme özelliğine sahiptir. Giyilebilir teknolojilerden, ev aletlerine, araçlarımızdaki kimi eklentilere nesneleri ve insanları içine alan bir veri akışı ağı gibi düşünebiliriz.
IoT, dikkat çekmeden iletişim kurmak ve sorunsuz bir şekilde veri alışverişi yapmak üzere tasarlanmış bu sensörler aracılığıyla kapsamlı veri işleme ilkesine dayandığından, “yaygın” ve “her yerde bulunan” bilgi işlem kavramlarıyla yakından bağlantılıdır.*
Pek çok farklı sensöre sahip cihazlar ve nesnelerin farklı cihazlardan gelen verileri entegre eden bir platform üzerinden ileri analitik ve yapay zekâ gibi veri işleme yöntemlerinden faydalanılmasıyla sonuçlar sunması üzerine kurgulanan bir çalışma şekli vardır. Özellikle akıllı ev uygulamalarındaki tavsiye ve uyarı sistemleri için çok tercih edilen bir teknolojidir. Bunun yanında giyilebilir cihazlar vasıtasıyla sizin ve çocuklarınızın sağlık durumunu anlık takip etmek, daha etkin bir spor programı oluşturmak için çok tercih edilmektedir. Akıllı şehir uygulamalarında da zaman ve maliyet tasarrufu sağlamasıyla hayatımıza girmektedir. Aşağıdaki videoya bir göz atın, IoT nasıl çalışır ve nerelerde karşımıza çıkar size çok hızlı bir fikir verecektir.
Nesnelerin İnterneti nasıl çalışır?

IoT ile Karşımıza Çıkan Etik Tartışmalar

IoT’deki paydaşların, ürünlerinin ve hizmetlerinin ele alması gereken birçok risk vardır. Bunların başlıcaları; veri kayıpları, kötü amaçlı yazılımların bulaşması, aynı zamanda kişisel verilere yetkisiz erişim, giyilebilir cihazların izinsiz kullanımı veya yasa dışı gözetimdir.
Her ne kadar yasal ve teknik olarak uyumluluk önemliyse, toplum üzerinde oluşacak etki ve sonuçlar da bir o kadar önemlidir. Tasarımdan başlamak üzere veri koruması, mahremiyet ve diğer etik kaygıların gözetilmesi toplumsal sorunların önüne geçmek için gereklidir.
Giyilebilir teknolojiler, akıllı şehir ve akıllı ev gibi pek çok IoT uygulamasını günlük hayatımızda kullanıyoruz. Veri mahremiyeti ve veri korumaya ilişkin başlıca zorlukları şöyle listeleyebiliriz:
  • Kontrol eksikliği ve bilgi asimetrisi
  • Kullanıcı onayının kalitesi
  • Verilerden türetilen çıkarımlar ve orijinal işlemenin yeniden amacı
  • Davranış örüntülerine müdahale ve profil oluşturma
  • Hizmetleri kullanırken anonim kalma olasılığına ilişkin sınırlamalar
  • Güvenlik riskleri: güvenlik ve verimlilik
AB bu bağlamda bir yasal çerçeve çalışması yürütmüştür. Bu çalışma, IoT ekosisteminin temelinde olan veri koruma risklerine yönelik bir rehber niteliğindedir. AB uhdesinde oluşturulan çalışma grubu, ilgili paydaşlar tarafından projelerin merkezine bireysel kullanıcıların ürün yaşam döngüsü boyunca kişisel verileri üzerinde tam kontrole sahip olmalarını garanti etmeyi amaçlamaktadır. Bunun yanında veri işleme için bir temel olarak rıza gerektiğinde, kullanıcıların tamamen bilgilendirilmiş olmaları gerekmektedir. Çalışma Grubu, bu amaca ulaşmalarına yardımcı olmak için, ilgili farklı paydaşlara (cihaz üreticileri, uygulama geliştiriciler, sosyal platformlar, diğer veri alıcıları, veri platformları ve standardizasyon kuruluşları) mahremiyet ve verileri uygulamalarına yardımcı olmak için kapsamlı bir dizi pratik öneri sunmaktadır.
Gerçekten de, bireyleri bilgili, özgür ve güvende tutarak güçlendirmek, güveni ve yeniliği desteklemenin, dolayısıyla bu pazarlarda başarının anahtarı olduğu savunulmaktadır.
Bu Çalışma Grubu, riskleri aşmaya yönelik beklentileri karşılayan paydaşların, verilerin ne ölçüde işlendiği ve paylaşıldığı konusunda bilgisiz kalmasına ve ekosistemlerine kilitlenmesine dayanan diğer oyunculara göre son derece güçlü bir rekabet avantajına sahip olacağına kesin olarak inanmaktadır. Bu amaçla AB, IoT konusunda diğer ulusal veya uluslararası düzenleyiciler ve kanun koyucular ile işbirliğine açıktır.
Bu kapsamda AB Nisan 2021'de, Fireside Chat etkinlğinde yapılan tartışmalardan yola çıkarak, Komisyon tarafından EU-IoT projesiyle ortaklaşa düzenlenen NGIoT & Edge Bilgi İşlem Stratejisi Forumu, öncelikleri hakkında zorlukları ve fırsatları değerlendirdikleri toplantılar yürütmüştür. Forum ayrıca Avrupa’da yeni nesil IoT ve uç bilgi işlem için ortak olarak paylaşılan bir stratejik vizyon oluşmasını sağlamıştır.
Tüm bu risklerin yönetilmesi ve IoT teknolojisinden kamu ve çevre yararı için istifade edilmesi önerilmektedir. Önümüzdeki yıllarda IoT ve Edge Computing, ürünlerin ve süreçlerin stratejik değer zincirlerinde organize edilme ve izlenme biçiminde devrim yaratabileceğiniz söylemek zor değildir. Yapay zeka ve büyük veri ile birlikte IoT, dünya ekonomisinin dijitalleşmesinin merkezindedir.

AB yasalarının IoT’de kişisel verilerin işlenmesine uygulanabilirliğine yönelik incelenmesi gereken başlıklar şöyle sunulmaktadır:

  • Uygulanabilir yasalar
  • Kişisel veri kavramının anlaşılması
  • IoT paydaşlarının belirlenmesi
    • Cihaz üreticileri
    • Sosyal platformlar
    • Üçüncü taraf uygulama geliştiricileri
    • IoT veri platformları
  • Veri sahibi olarak bireyler: aboneler, kullanıcılar, kullanıcı olmayanlar
  • Veri sahiplerinin haklarının açıklanması
Ülkemizde de Kişisel Verileri Koruma Kurumu’nun yayınladığı kişisel verileri işlemeye yönelik prensipler mevcuttur. Kanunun 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:*
  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
Dersin sonunda IoT uygulamasının ortaya çıkardığı faydaları ve pek çok hacklenme olayını tartıştık. Bunlardan yalnızca biri Amerika'nın Las Vegas'ındaki akvaryum sensöründen kumarhane bilgilerinin ele geçirilmesiyle ilgiliydi. Üzerinde tartışılık teknolojinin ve serbest veri akışlarının meydana getieceği riskleri yönetmenin önemine vurgu yaptık. En nihayetinde ne yapılmalı diye kendimize sorduğumuzda yaptğımız çıkarım şu oldu: Doğru bir şekilde maliyet-fayda analizi yapılmalıdır!
Tüm bu riskler ve hacklenme vakalarını gelecek haftaki dersimizde küresel siber güvenlik perspektifinden ele almaya çalışacağız.

Kaynaklar: