IoT Hizmetlerinde Toplanan Verilerin Kullanımı ve Hukuki Sorunlar

Son yıllarda, akıllı ev aletleri gibi ev içinde de kullanımı artan IoT cihazları oldukça kullanışlıdır. Ancak internete bağlı oldukları için bilgi sızıntısı riskiyle karşı karşıya olduklarını söyleyebiliriz. IoT işine girişirken, sadece ev aleti olarak güvenliğin sağlanması değil, aynı zamanda siber saldırılara karşı dayanıklı bir ağ güvenliği yönetiminin de önemli bir konu olduğunu unutmamak gerekir.

Ülke içine baktığımızda, kişisel bilgilerin sızdırılması sorunu giderek ciddi bir hal almıştır. Tokyo Ticaret Araştırmaları, 2021 yılında meydana gelen halka açık şirketlerin kişisel bilgi sızıntısı ve kayıp vakalarının geçmişteki en yüksek sayı olan 137 olay, 5.74 milyon kişiyi etkilediğini bildirmiştir.

Bu makalede, IoT hizmetleriyle toplanan verilerin güvenli bir şekilde kullanımı için bilinmesi gereken yasal düzenlemeler hakkında bilgi vereceğiz.

IoT İşletmeleri İçin Hukuki Düzenlemeler

IoT, ‘Internet of Things’ ifadesinin kısaltması olup, doğrudan çevirisi ‘Eşyaların İnterneti’ anlamına gelir. Bu, günlük hayatta kullandığımız eşyaları internete bağlayarak, uzaktan kontrol, otomatik tanıma ve otomatik kontrol fonksiyonları ekleyerek yaşamımızı daha konforlu hale getirmeyi amaçlayan sistem ve hizmetleri ifade eder.

Ev aletleri gibi donanım yönünden, kullanıcıların fiziksel sağlığını doğrudan etkileyebileceği için, sıkı düzenlemeler uygulanmaktadır.

Yazılım yönünden ise, iletişim ağlarını düzenleyen Japon Radyo Kanunu ve Japon Telekomünikasyon İşletmeciliği Kanunu kapsamında, işletmelerin faaliyet gösterebilmeleri için gerekli kayıt ve bildirimler talep edilmektedir.

IoT’nin donanım ve yazılım yönlerindeki hukuki düzenlemeler hakkında daha detaylı bilgi almak için, lütfen bu makaleye de göz atın.

İlgili makale: IoT İşletmelerinde Dikkat Edilmesi Gereken Donanım ve Yazılım Düzenlemeleri[ja]

IoT işletmelerinde, geleneksel cihazları internete bağlama ve toplanan bilgileri kullanma özelliği bulunmaktadır. Bu nedenle, donanım ve yazılım düzenlemelerinin yanı sıra, toplanan bilgilerin nasıl işleneceği de önemli bir mesele olarak karşımıza çıkmaktadır.

IoT ile Toplanan Verilerin Kullanımıyla İlgili Hukuki Sorunlar

IoT cihazları, kullanıcıların yaşam verilerini istenmeyen şekillerde toplayıp kullanma riski taşımaktadır.

Kullanıcı kaydı sırasında kişisel bilgilerin kullanımına izin verilmiş olsa bile, IoT’nin doğası gereği her kullanımda davranış bilgileri toplanır ve bu durum aşağıdaki gibi sorunlara yol açar:

• Kişisel Bilgi Koruma
• Gizlilik Koruma
• Siber Saldırılara Karşı Koyma

Bu yazıda, IoT cihazlarının içerdiği hukuki sorunları açıklıyoruz.

IoT ve Kişisel Bilgiler

IoT cihazlarının topladığı tüm veriler, tek başına kişisel bilgi olarak koruma altına alınmaz. Kullanıcı kaydı ve yaşam bilgilerinin verileri birleştirildiğinde bir kişiyi belirleyebilir hale geldiğinde, bu veriler Japon Kişisel Bilgilerin Korunması Kanunu’nun 2. Maddesi 5. Fıkrası[ja] kapsamına girer.

Bu nedenle, akıllı ev hizmetlerinde yaşam verilerini ve kullanıcı bilgilerini birleştirerek sunan işletmeciler, Japon Kişisel Bilgilerin Korunması Kanunu’nun 19. Maddesinden 26. Maddesine kadar olan yükümlülükleri üstlenirler:

＜Japon Kişisel Bilgilerin Korunması Kanunu’nun 19. Maddesinden 26. Maddesine Kadar Olan Yükümlülükler＞

• Veri doğruluğunun sağlanması ve silme yükümlülüğü
• Güvenlik yönetim tedbirleri yükümlülüğü
• Çalışanların denetimi yükümlülüğü
• Alt yüklenicilerin denetimi yükümlülüğü
• Üçüncü şahıslara veri sağlama sınırlamaları ve kayıt tutma yükümlülüğü

Kişisel bilgileri işlerken, kullanım amacını mümkün olduğunca belirlemeli ve bu amacı ilgili kişiye bildirmeli veya kamuoyu ile paylaşmalısınız. Ayrıca, kullanım ihtiyacı ortadan kalktığında, kişisel bilgiler hızla işlenmelidir. Bilgi sızıntılarına karşı dikkatli önlemler alınmalı ve çalışanlar ile alt yüklenicilere de bu önlemlerin titizlikle uygulanması sağlanmalıdır.

Temel olarak, toplanan kişisel bilgilerin üçüncü şahıslara sağlanması sınırlıdır. Ancak, hizmet kalitesini artırmak için bazen üçüncü şahıslara veri sağlamak gerekebilir. Bu durumda, orijinal kişisel bilgilerin geri getirilemeyecek şekilde anonim hale getirilmesi gerekir.

Ayrıca, (2022) Nisan ayında yürürlüğe giren revize edilmiş Japon Kişisel Bilgilerin Korunması Kanunu, kişisel hakların güçlendirilmesi ve işletmecilerin aşırı sorumluluğunun yanı sıra, yabancı işletmecilere yönelik üçüncü şahıslara veri sağlama konusunu yeni bir düzenleme ile ele almıştır.

Bu revizyonla Kişisel Bilgileri Koruma Komisyonu’nun odaklandığı beş ana nokta şunlardır:

1. Kişisel hak ve çıkarların korunması
2. Koruma ve kullanım arasındaki denge
3. Uluslararası eğilimlerle uyum
4. Yabancı işletmecilerin risk değişikliklerine yanıt verme
5. AI ve büyük veri çağına uyum

Referans: Revize Edilmiş Japon Kişisel Bilgilerin Korunması Kanunu Uyum Kontrol Listesi[ja]

IoT ve Gizlilik Hakları

Toplanan yaşam verileri kişisel bilgi olarak kabul edilmeseler bile, bu yaşam bilgileri bireyin davranışlarının anlaşılmasına yol açabileceğinden dikkatli bir şekilde ele alınmalıdır. Örneğin, elektrik ve gaz kullanım saatleri gibi bilgiler sızdırıldığında, hırsızlık gibi suçlara yol açabilecek kötüye kullanımlara sebep olabilir.

Öte yandan, akıllı ev hizmetlerinin kalitesini artırmak için, bireyin davranış bilgilerini anlamak ve bu bilgileri etkin bir şekilde kullanmak gerekmektedir. Gizliliği korurken kişisel verileri hizmet iyileştirmesi için kullanabilmek adına, gizliliğe saygı göstermek ve kişisel bilgi olarak kabul edilmese bile, Kişisel Bilgi Koruma Yasası’na (Japanese Personal Information Protection Law) uygun hareket etmek gerekecektir.

IoT ve Siber Güvenlik

IoT işi, kişisel bilgilerin ve gizlilik haklarına dokunan bilgilerin toplanmasını, yönetilmesini ve kullanılmasını gerektirir; bu da onun kuruluş ve ilerlemesinin temelini oluşturur. Bilgiler internet üzerinden toplanıp yönetildiği için, ağa bağlı cihazların siber güvenlik önlemleri hayati önem taşır.

Aşağıda, önceden alınması gereken siber güvenlik önlemleri ve gerçekten bir siber saldırıya uğranıldığında üstlenilmesi gereken sorumluluklar hakkında bilgi verilecektir.

Cihaz Üreticilerinin Sorumluluğu: Japon Ürün Sorumluluğu Yasası

IoT cihazı bir siber saldırıya maruz kaldığında, cihaz üreticileri Japon Ürün Sorumluluğu Yasası (Product Liability Law) kapsamında tazminat talebiyle karşı karşıya kalabilirler.

Japon Ürün Sorumluluğu Yasası kapsamında sorumluluğun doğması için aşağıdaki kriterler gereklidir:

1. Üründe bir kusurun bulunması
2. Bu kusurun başka bir kişinin hayatını, bedenini veya mal varlığını ihlal etmiş olması
3. Zararın meydana gelmiş olması

1 numaralı maddede bahsedilen “kusur”, “normalde sahip olması gereken güvenlik” özelliğinden yoksun durumu ifade eder ve üretimdeki kusurlar, tasarımdaki kusurlar ve talimat veya uyarılardaki kusurlar olarak sınıflandırılabilir.

Gerçekte bir siber saldırıya uğrandığında üreticinin sorumluluğu taşıyıp taşımayacağı aşağıdaki durumlara göre değerlendirilir:

• Teslim edildiği sırada beklenen teknik düzeyi karşılayıp karşılamadığı
• Yayınlanmış en güncel rehberlere veya özgün standartlara uygun olup olmadığı

Cihaz üreticileri, kusurun farkında olamayacakları gerçeğini kanıtlarlarsa sorumluluktan kaçınabilirler. Ancak, teslimat sırasındaki en yüksek teknik düzeyle bile kusurun tespit edilemediğini kanıtlamaları gerektiğinden, bu durumun gerçekten kabul edilme olasılığı düşüktür.

Ağ Yöneticilerinin Sorumluluğu: Medeni Kanun

Bir ağa yönelik siber saldırı sonucu bilgi sızıntısı gibi olaylar meydana geldiğinde, Ürün Sorumluluğu Kanunu yerine Medeni Kanuna göre aşağıdaki sebeplerden dolayı tazminat talebiyle karşı karşıya kalabilirsiniz:

1. Ağ yöneticisi ile kullanıcı arasındaki sözleşme ihlali
2. Ağ yöneticisinin güvenlik önlemleri yükümlülüğünün ihlali nedeniyle borç ihlali
3. Ağ yöneticisinin dikkatsizliğinden kaynaklanan haksız fiil sorumluluğu (Medeni Kanun Madde 709)

Her üç durumda da, ağ yöneticisinin “gerekli güvenlik önlemlerini ihmal etmesinde bir kusur olup olmadığı” tartışma konusu olacaktır.

Ayrıca, “gerekli güvenlik önlemleri” sadece sözleşme anındaki standartlara uygun önlemler değil, aynı zamanda siber saldırının gerçekleştiği sırada yayınlanmış olan rehberlere uygun önlemleri de kapsamaktadır, bu durum bazı yargı kararlarında belirtilmiştir (Tokyo Bölge Mahkemesi, Heisei 26 (2014).1.23).

Bu nedenle ağ yöneticileri, teslimattan sonra bile önemli güvenlik rehberlerinin güncellemelerini takip etmeli ve gerektiğinde yazılımları güncellemelidir.

＜Mevcut Bilgi Güvenliği Rehberleri＞

• IoT Güvenlik Rehberi ver1.0[ja] | Ekonomi, Ticaret ve Sanayi Bakanlığı
• Güvenli IoT Sistemleri İçin Genel Güvenlik Çerçevesi[ja] | NISC
• IoT Geliştirmede Güvenlik Tasarımı Kılavuzu | IPA

İlgili makale: Siber saldırı sonucu zarar. Sistem tedarikçisinin tazminat sorumluluğu nedir? Sözleşme örnekleri ile açıklama[ja]

Özet: IoT İşinde Uzman Hukuki Bilgi Gerekir

IoT işi, kullanıcıların kişisel bilgilerini ve gizlilikle ilgili verilerini internet üzerinden toplayarak ve bu bilgileri kullanarak ilerler.

Bu nedenle, işletmeler sadece ev aletleri olarak ürün sorumluluğunu üstlenmekle kalmaz, aynı zamanda kişisel bilgileri işleyen bir işletme olarak, Kişisel Bilgi Koruma Yasası ve bilgi güvenliği rehberlerinin güncellemelerine de dikkat etmelidirler.

Ürün kazaları sadece kullanıcıların fiziksel sağlığını etkileyebilir, aynı zamanda bilgi sızıntıları nedeniyle belirsiz sayıda kişiye zararın yayılma ihtimali de vardır.

IoT işine başlarken, Ürün Sorumluluğu Yasasından Kişisel Bilgi Koruma Yasasına ve en güncel bilgi güvenliği rehberlerine kadar geniş bir uzmanlık bilgisine sahip avukatlara danışmak önemlidir.

Hizmetlerimiz Hakkında Bilgilendirme

Monolith Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. Son yıllarda IoT işleri dikkat çekmekte ve hukuki denetim ihtiyacı giderek artmaktadır. Büromuz, IoT işleriyle ilgili çözümler sunmaktadır.

Monolith Hukuk Bürosu’nun uzmanlık alanları: IT ve Girişimcilik Şirket Hukuku[ja]