IoT SİSTEMLERİ VE AKILLI CİHAZLARDA ÜRETİCİNİN SİBER GÜVENLİK VE VERİ KORUMA KAPSAMINDAKİ SORUMLULUĞU

IoT SİSTEMLERİ VE AKILLI CİHAZLARDA ÜRETİCİNİN SİBER GÜVENLİK VE VERİ KORUMA KAPSAMINDAKİ SORUMLULUĞU

IoT CİHAZLAR VE ÜRÜN GÜVENLİĞİ KANUNU

Kanuna göre, ürünün güvenli sayılması için ilgili teknik ve İSG yükümlülüklerine uygun, risk teşkil etmeyen bir ürün olması gerekir. Bu halde aksi ispatlanmadığı takdirde ürün güvenli kabul edilir. Ürün güvenliği kaynaklı sorumluluk emredici niteliktedir ve IoT imalatçısının sözleşmesel sorumsuzluk kayıtları ile bertaraf edilemez.

Kanun’a göre, üründen kaynaklı bir kişiye veya mala zarar gelmesi halinde imalatçı ve ithalatçı tazmin yükümlüsüdür. Iot sistemlerinde; zarar sadece fiziki değil, veri temelli ve sistematik olabilir. Kanun gereği, tazminat sorumluluğunun doğması için zarar, ürünün uygunsuzluğu ve illiyet bağının zarar görence ispat edilmesi gerekir. İlgili Kanun, imalatçı, ithalatçı ve dağıtıcılara sorumluluklar yükler. Buna göre, imalatçı ürünün uygunluk değerlendirmesini sağlamak, ilgili testleri yapmakla yükümlüdür. İthalatçı, IoT cihazların uygunsuzluğunu öngörmesi beklendiği hallerde de ürünü piyasaya arz edemez. Riskli her durumda imalatçı ve yetkili kuruluşu bilgilendirmelidir.

IoT ekosisteminde çok katmanlı üretim modeli, fiilen birden fazla aktörün imalatçı sıfatına yaklaşmasına yol açabilir. Dağıtıcı, ürünü kendi ismi ve markası, tasarlaması ile piyasaya sunar veya ürünün uygunluğunu ve yazılımını değiştirirse imalatçı sayılır. Dağıtıcı, zarara uğrayan kişiye ürünün imalatçısı, ithalatçısı veya tedarik zincirindeki diğer kişilerin iletişim adreslerini paylaşmazsa imalatçı gibi tazminattan sorumlu tutulur.

IoT cihazların, donanım ve yazılımsal olarak bütün olarak değerlendirilerek fiziksel olarak çalışır durumda olmasının yanı sıra siber güvenlik yükümlülüklerinin de sağlanması, altyapıların ilgili mevzuatlara uygun olması gerekir. Aksi takdirde, teknik düzenlemelere aykırı olduğu söylenebilir.

Kanun’a göre, iktisadi işletmecilerin tedarik zincirindeki işletmelerin verilerinin kaydını tutma ve muhafaza etme yükümlülüğü vardır. Bu yükümlülük elektronik ticaret ortamı sağlayan aracı hizmet sağlayıcıları için de geçerlidir.

SİBER GÜVENLİK NEDENİYLE SORUMLULUK

IoT sistemleri ağırlıkla ağ bağlantısı üzerinden veri alışverişi üzerine kurgulandığından imalatçının sorumluluğu sadece fiziki güvenlik ile sınırlı olmamakta, veriler ve ağlar üzerinden gerçekleşen siber tehditler sonucu zararlar doğabilmekte ve ürün başarıyla çalışsa dahi risk doğmasına sebep olabilmektedir.

Siber güvenliğin sağlanması için öncelikle, tasarlanan ürün öngörülebilir durumlarda dış müdahalelere karşı korunmalı, bilinen güvenlik açıkları giderilmeli, güçlü şifre kullanılmalı, veri iletiminde şifreleme sağlanmalı, güncelleme altyapıları hazır tutulmalıdır. İmalatçı ürünün tasarlanması aşamasındaki kusurlardan sorumludur.

IoT cihazlarda bu yükümlülük süreklilik ve dinamizm taşır, imalatçı ürünün piyasaya arzından sonra da düzenli güvenlik taraması ve güncellemeleri yapmak, zafiyetleri gidermek zorundadır. IoT cihazlarda uygunluğun sürdürülmesi yükümlülüğü, güvenlik güncellemesi sağlama ve siber tehditleri izleme yükümlülüğünü de içerir. Ürünün işleyişinde doğan veya doğabilecek ihlallerden imalatçı sorumludur.

IoT sistemlerinde risklere karşı tedbir alma ve kullanıcıyı bilgilendirme yükümlülüğü varsayımlı şifre uyarısı, güçlü parola zorunluluğu, veri işleme şeffaflığını içerir. IoT cihazlarda geri çağırma mekanizması ürün güvenliği ihlalinin bilinmesi gerektiği hallerde de uygulanmalıdır. Fiziksel toplatma ile sınırlı olmayıp, uzaktan yazılım müdahalesi şeklinde de gerçekleşebilir.

Üçüncü kişi korsan yazılımların saldırıları sonucu yaşanan veri ihlallerinin doğan zararda illiyet bağını kesip imalatçının sorumluluğunu kaldırması için olağanüstü ve öngörülemez nitelikte bir saldırı gerçekleşmelidir. Öngörülebilir ve önlenebilir saldırılar imalatçının sorumluluğunu etkilemeyecektir.

DATA ACT BAĞLAMINDA SORUMLULUK

IoT cihazlarından üretilen veriler imalatçının yanında kullanıcının da erişim ve kullanımına Data Act ile açılmıştır. Bu sayede, kullanıcı lehine bir rekabet ortamı yaratılarak kullanıcıların daha iyi bir hizmet alması sağlanmıştır. KVKK/GDPR hükümleri saklı olup çelişki halinde öncelikli uygulanır.

İmalatçılar ve hizmet sağlayıcılar, kullanıcıların veri erişim taleplerini teknik/sözleşmesel gerekçelerle engelleyemez. Kullanıcıların isteği doğrultusunda, imalatçı veriyi hemen ve ücretsiz olarak, kullanıcının seçtiği üçüncü bir servise vermek zorundadır. Kullanıcı onayıyla üçüncü tarafların da veriye erişmesi mümkün olacaktır.

Veri, taşınabilir formatta ve yaygın kullanılan biçimde sunulmalıdır. Veri erişimini veya sağlayıcı değiştirmeyi fiilen imkansız kılan veya aşırı zorlaştıran sözleşme şartları geçersiz sayılabilecek niteliktedir.

Data Act yükümlülüklerinin ihlali halinde, idari yaptırımlar, faaliyet durdurulması, sözleşmenin geçersizliği, haksız fiil sorumluluğu uygulanabilir.

KİŞİSEL VERİLERİN KORUNMASI NEDENİYLE SORUMLULUK

IoT sistemleri, doğası gereği sürekli ve yoğun kişisel veri işleme faaliyetlerini barındırdığından öncelikle IoT ekosisteminde yer alan aktörlerin hukuki statüsünün belirlenmesi gerekir. İmalatçı, yazılım sağlayıcı, bulut hizmet sağlayıcısı veya platform işletmecisi gibi aktörlerin veri sorumlusu ya da veri işleyen sıfatını haiz olup olmadıkları somut olayın özelliklerine göre tespit edilmelidir. Veri işleyen konumundaki taraflarla KVKK’ya uygun veri işleme sözleşmelerinin akdedilmesi zorunludur.

Kişisel verilerin işlenmesi, KVKK’da öngörülen hukuki sebeplerden en az birine dayanmalıdır. IoT sistemlerinde çoğu durumda hukuki sebepler yeterli olabilse de açık rızaya da istisnai hallerde ancak kanuni işleme şartlarının bulunmadığı hallerde başvurulabilmektedir. İşleme faaliyetinin hukuki dayanağına bağlı olarak aydınlatma yükümlülüğü eksiksiz yerine getirilmeli; şeffaf, anlaşılır ve erişilebilir aydınlatma metinleri hazırlanmalı; ilgili kişilerin başvuru ve hak arama mekanizmaları etkin şekilde tesis edilmelidir. Özel nitelikli kişisel verilerin işlenmesi halinde ise KVKK’da öngörülen sıkı şartlara riayet edilmeli; bu tür veriler kural olarak işlenmemeli, ancak kanunda sınırlı olarak sayılan hukuki sebepler mevcutsa ve gerekli güvenlik önlemleri alınmışsa işlenmelidir.

Yurt dışına veri aktarımı söz konusu olduğunda ise KVKK m.9 çerçevesinde uygun hukuki mekanizmalara dayanılmalıdır. Özellikle IoT sistemlerinin bulut tabanlı çalışması nedeniyle sınır ötesi veri aktarım riskleri dikkatle yönetilmelidir.

IoT sistemlerinin sürekli veri üretmesi ve çoğu zaman kullanıcı davranışlarını analiz etmesi nedeniyle, veri güvenliğine ilişkin teknik ve idari tedbirler özel önem taşımaktadır. Bu kapsamda ürünün tasarım aşamasında “privacy by design” ve varsayılan ayarlar bakımından “privacy by default” ilkelerine uygun hareket edilmeli; veri minimizasyonu ve ölçülülük ilkeleri gözetilmeli; işlenmesi gerekmeyen veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. Veri ihlali halinde Kurum’a ve ilgili kişilere yapılacak bildirimlere ilişkin prosedürler önceden belirlenmelidir.

KVKK yükümlülüklerinin ihlali halinde idari para cezaları, bazı durumlarda cezai sorumluluk ve ayrıca genel hükümler çerçevesinde maddi ve manevi tazminat sorumluluğu gündeme gelebilecektir. Bu nedenle IoT sistemleri gibi yoğun ve sürekli veri işleme faaliyetleri içeren yapılarda kapsamlı bir risk analizi yapılması, veri koruma uyum programlarının oluşturulması ve sürekli denetim mekanizmalarının işletilmesi zorunluluk arz etmektedir.

AI ACT KAPSAMINDA ALGORİTMİK HATA VE YANLIŞ YORUMLAMA

AI Act yapay zeka sistemlerini risk temelli bir yaklaşımla kategorize etmektedir. IoT sistemleri özellikle sağlık sistemleri, biyometrik tanıma gibi özel nitelikli kişisel verilere temas eden durumlarda ve işe alım süreçleri gibi profillemeye mahal verebilecek durumlarda yüksek risk teşkil edebilir. Bu nedenle bu sistemler için sıkı yükümlülükler öngörülmüştür.

Algoritmik hata, sistemsel bir risk olup veri güvenliği ihlallerine, sistematik ayrımcılığa sebep olabilir. IoT cihazlarında yapay zekâ sistemleri çoğu zaman sensör verilerini gerçek zamanlı analiz eden gömülü yazılımlar şeklinde çalışmaktadır. Bu durum, algoritmik hatanın yalnızca dijital ortamda değil, fiziksel dünyada da zarar doğurmasına yol açabilmektedir. AI Act bu bağlamda, imalatçılara veri yönetişimi yükümlülüğü ve ayrımcılık yasağı, profillemeyi önleme sorumluluğu getirir. imalatçı, yalnızca yazılımı üretmekle değil, verinin kalitesini sağlamakla da sorumludur.

Model hatası ise, yanlış sınıflandırma, hatalı tahmin, sistematik olarak yanlış sonuca varma, yanlış pozitif veya negatif üretme gibi haller doğurabilir. IoT bağlamında tasarlanan akıllı ev sisteminin her temasta güvenlik tehdidi algılaması, akıllı sağlık cihazlarının yanlış risk uyarısı üretmesi örnek verilebilir. Bu tür hatalar, yalnızca AI Act’e aykırılık değil; aynı zamanda ürün güvenliği mevzuatı kapsamında da sorumluluk doğurabilir.

Yanlış yorumlama ise iki boyutlu olarak ortaya çıkabilir: Birincisi, sistem çıktısının yeterince şeffaf ve açıklanabilir olmaması nedeniyle kullanıcının kararı yanlış değerlendirmesi; ikincisi ise yapay zeka sisteminin insan gözetimi olmaksızın otomatik karar üretmesi sonucu hatalı sonucun düzeltilmemesidir. AI Act bu riskleri azaltmak amacıyla şeffaflık, açıklanabilirlik ve insan gözetimi yükümlülüklerini düzenlemektedir. Özellikle yüksek riskli sistemlerde, karar süreçlerinin izlenebilir olması ve gerektiğinde insan müdahalesine imkan tanınması zorunludur.

Tüm bu riskleri önlemek için AI Act, şeffaflık yükümlülüğü, veri güvenliği yükümlülüğü, insan gözetimi, açıklanabilirlik, risk yönetim sistemi, teknik dokümantasyon, piyasaya arz öncesi uygunluk değerlendirmesi mekanizmaları getirmektedir. Bu yükümlülüklerin ihlali halinde yüksek tutarlı idari para cezaları, sistemin piyasadan çekilmesi veya kullanımının yasaklanması gibi yaptırımlar söz konusu olabilecektir. Ayrıca algoritmik hata sonucunda kişilerin zarara uğraması halinde, genel hükümler çerçevesinde tazminat sorumluluğu da gündeme gelebilecektir.

AI Act kapsamında yüksek riskli sistemler bakımından öngörülen piyasa sonrası gözetim yükümlülüğü, IoT sistemlerinde sürekli veri akışı nedeniyle özel önem taşımaktadır. IoT sistemlerinde sürekli veri akışı olup fiziksel dünyaya etkisi yüksek olduğundan imalatçıların daha yüksek bir özen sorumluluğu olduğu unutulmamalıdır.

Tüm bu risklerin yanında güven sorumluluğuna da değinmek gerekir. IoT cihazlarda kimi zaman, kullanılan bazı yazılım sistemleri için sektörlerinde bilinen üretici firmalarla işbirliği kurulabilmekte ve kullanıcılara yapılan bu işbirliği çerçevesinde ilgili markanın desteği ile “yazılım ve siber güvenlik güvencesi” verilerek reklam faaliyetlerinde bulunulabilmektedir. Bu bağlamda yaşanan olası ihlallerde kullanıcıların kendilerinde oluşturulan bu güven dolayısıyla ilgili üretici firmaların sorumluluğuna başvurma riski doğabilmektedir.