Nesnelerin İnterneti (Internet of Things) ve Kişisel Verilerin Korunması Kanunu

Nesnelerin İnterneti (“IoT”), akıllı nesnelerin oluşturduğu merkezi olmayan ağ şeklinde açıklanabilir. Bu nesneler algılayabilen, kayıt tutabilen, yorum yapabilen, bilgi iletişiminde bulunabilen ve kendi başına ya da diğer nesnelerle birlikte işleyen nesnelerdir. Kısaca, algılayıcısı olan her çeşit nesnenin İnternet’e bağlanarak birbirleri ile haberleşmesi olarak özetlenebilen nesnelerin internetinde bir nesne, örneğin bileğe takılabilen bileklik şeklinde egzersiz takip cihazı’dır. IoT cihazları için tek kıstas network üzerinde adreslenebilen ve basit de olsa kontrol edilebilen olmasıdır.

Nesnelerin İnterneti teknolojisinin en çok kullanıldığı alanlar sağlık, otomobil, evler, işyerleri ve akıllı telefonlar olup, bu teknoloji ile tüketicilerden büyük miktarda veri toplanmakta ve bu durum da önemli gizlilik ve güvenlik sorunlarının ortaya çıkmasına neden olmaktadır.

Uygulamaya bakıldığında, IoT teknolojisi hakkında kullanıcılar/tüketiciler üreticiler tarafından yeterince bilgilendirilmemekte olduğu ve kullanıcılara kolaylıkla sistemden çıkabilme imkânının sağlanmadığı ve/veya kullanıcının rızasının önceden alınmadığı görülmektedir. IoT teknolojisi içeren bir ürünü satın alan tüketicinin bu ürünü kullandığında kendisi hakkında hangi verilerin toplandığı, bu verilerin nasıl kullanılacağı konusunda bilgi sahibi olması hukuken sağlanmalıdır. Unutulma hakkı kapsamında kullanıcıların elde edilen verilerinin silinmesini isteme hakları da olmalıdır.

Örneğin bir bileklik olarak hazırlanmış Fitbit isimli ürün, kullanan kişinin günboyu yaptığı aktiviteleri, kilosunu, uykusunu ve yediklerini takip etmektedir. Böylece kişiye özgü biyometrik verilere ve hassas kişisel verilere ve Fitbit kullanım amacı dışındaki verilere de ilişkin bilgi toplamaktadır. Bu bilgilerin nerede tutulduğu kimlerle paylaşıldığı ve 6698 sayılı kişisel verilerin korunması kanununda tanımlanmış olan İlgili Kişi’ye ait tüm hakların paylaşılması bir Aydınlatma Metni ile gerçekleştirilmeli ve gerekliyse İlgili Kişi’nin Açık Rızası’nın alınması sağlanmalıdır.

Toplanan verilerin kime ait olacağı, hangi biyometrik verilerin veya tam olarak hangi verilerin sensör tarafından toplandığı, ne kadar veri toplandığı, bu verilerin nasıl kullanılacağı veya satılacağı konularında uygulamada tam bir açıklık sağlanmadığından bu durum ürün sağlayıcı şirketlere Kişisel Verilerin Korunması Kurulu tarafından ceza kesilmesine ve öte yandan kullanıcıların Kişisel verilerinin korunmamasına sebebiyet vermektedir. Şirketiniz nezdinde işlenen verilerin Kanun’a uyumlu hale getirilmesi için Kişisel Verilerin Korunması ekibimizle info@dayslegal.com adresinden iletişime geçebilirsiniz.

Bağlı cihaz sayısında artış yaşanırken, güvenlik riskleri de beraberinde gelmektedir. IoT ile çok fazla veri toplanabildiğinden, bu noktada ilgisiz verilerin toplanmaması için gerekli önlemler , bu ürünleri piyasaya arz eden Şirketler tarafından alınmalıdır. Zira siber saldırılarda banka hesabından adres bilgilerine kadar hassas verilerin sızabilmektedir. Kullanıcının kimliğini belirleyici isim, adres, telefon numarası gibi bilgiler kaldırılabilse dahi sensörlerin topladığı veriler sayesinde verilerin sahiplerinin belirlenebilmesi mümkündür. Nesneler üzerindeki sensörlerin toplandığı verilerin çalınması halinde bu cihazları piyasaya süren Şirketler sorumlu hale gelecektir. Bu bakımdan Kanun’a uyum çalışmalarının yapılması ile hem Şirketin hem de Kullanıcıların korunması gerekmektedir.

Türk hukukunda nesnelerin İnternetine ilişkin özel bir kanuni düzenleme mevcut olmayıp, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele

Edilmesi Hakkında Kanun, 5237 sayılı Türk Ceza Kanunu, 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 6102 sayılı Türk Ticaret Kanunu, 4721 sayılı Türk Medeni Kanunu’nun ilgili maddelerinde çeşitli hükümlere yer verilmiştir.

Nesnelerin İnterneti ile toplanan verilerin söz konusu suçları oluşturacak şekilde İnternet’te yayınlanması halinde ilgili İnternet sitesine erişim engellenmesi, bu verilerin Kanun’a aykırı şekilde aktarılması veya işlenmesi Kişisel Verilerin korunması Kurulu tarafından ceza kesilmesi veya hapis cezası gibi müeyyideler söz konusu olabilecektir.