Dijital Ürünlerde Üretici Sorumluluğu ve Siber Güvenlik
CRA ve yeni PLD çerçevesinde dijital ürünlerde siber güvenlik açıkları, kusursuz ürün sorumluluğu doğurur. Üreticiler için yaşam döngüsü boyunca uyum artık hukuki zorunluluktur.Dijital Ürünlerde Ürün Sorumluluğu ve Siber Güvenlik Hukuku: Yaşam Döngüsü Boyunca Güvenlik Yükümlülüğü
Donanım ve yazılımın iç içe geçtiği dijital dönüşüm çağında, ürün güvenliği kavramı kökten yeniden tanımlanmaktadır. Artık bir ürünün "güvenli" sayılabilmesi için yalnızca piyasaya çıktığı andaki fiziksel ve teknik niteliklerinin standartlara uygun olması yeterli değildir. Siber güvenlik, günümüz itibarıyla ürün sorumluluğu hukukunun en dinamik ve kusursuz sorumluluk doğuran asli unsurlarından biri haline gelmiştir. Avrupa Birliği'nin Siber Dayanıklılık Yasası (Cyber Resilience Act — CRA) ve yenilenen Ürün Sorumluluğu Direktifi (Product Liability Directive — PLD) ile Türk hukukunda 7223 sayılı Ürün Güvenliği ve Teknik Düzenlemeler Kanunu, ortak bir ilkeyi hukuki bağlayıcılıkla hayata geçirmektedir: "Ürünlerin yaşam döngüsü boyunca güvenliği esastır."
Bu yazıda, söz konusu yeni hukuki dönemi hem kamu hukuku hem de özel hukuk bağlamında ele alıyor; özellikle dijital unsurlu tıbbi cihazlar üzerinden üretici, ithalatçı ve dağıtıcılar için doğan somut hukuki riskleri ve sorumlulukları değerlendiriyoruz.
1. Ana İlke: "Yaşam Döngüsü Boyunca Güvenlik" (Security Throughout the Lifecycle)
Geleneksel ürün sorumluluğu anlayışı, üreticinin sorumluluğunu büyük ölçüde ürünün piyasaya sürüldüğü andaki güvenlik durumuna göre değerlendirirdi. Bir ürün çıkışında standartlara uygunsa, sonrasında ortaya çıkan riskler üreticinin değil kullanıcının sorunu olarak görülürdü.
Ancak dijital unsurlu ürünler — yazılım entegreli cihazlar, akıllı teknolojiler, Nesnelerin İnterneti (IoT) ürünleri — bu klasik anlayışı geçersiz kılmaktadır. Çünkü:
- Dijital bir ürün, piyasaya çıkışından ömrünü tamamlayana kadar (end-of-life) siber tehditlere açıktır.
- Bugün güvenli olan bir yazılım, yeni keşfedilen bir güvenlik açığıyla yarın kusurlu hale gelebilir.
- Bu açığın kapatılmaması — yani üreticinin zamanında yama (patch) yayınlamaması — o ürünü hukuken "ayıplı/kusurlu ürün" konumuna sokar.
Yeni hukuki çerçeve bu gerçeği açıkça kabul etmektedir: Dijital ürünlerde güvenliğin sürekliliği, üreticinin hukuki sorumluluğunun da sürekliliği anlamına gelmektedir. Üreticinin yükümlülüğü satış faturasıyla sona ermemekte; ürün kullanımda olduğu sürece devam etmektedir.
2. Kamu Hukuku Bağlamı: Düzenleyici Uyum ve İdari Yaptırımlar
Kamu hukuku boyutu, devletin piyasa denetimi ve kamu güvenliğini koruma amacıyla getirdiği emredici yükümlülükleri kapsamaktadır. Bu alanda üreticiler, ithalatçılar ve dağıtıcılar için birbirine bağlı üç temel yükümlülük öne çıkmaktadır.
Tasarım Aşamasından İtibaren Zorunlu Siber Güvenlik (Security by Design)
CRA uyarınca, dijital unsurlu ürünlerin AB pazarına sunulabilmesi için tasarım aşamasından itibaren siber güvenlik standartlarını karşılaması ve CE işareti taşıması zorunludur. Siber güvenlik, artık ürünün fonksiyonel bir özelliği değil; piyasaya arz edilebilirliğin temel koşuludur. Aynı yaklaşım, 7223 sayılı Kanun çerçevesinde Azərbaycan da giderek hayata geçmektedir.
Aktif İhbar ve Siber Olay Bildirimi Yükümlülüğü
Üreticiler, ürünlerinde tespit ettikleri siber güvenlik açıklarını ve aktif olarak istismar edilen zafiyetleri ilgili ulusal siber olaylara müdahale ekiplerine (Azərbaycan TR-CERT/USOM benzeri yetkili otoritelere) derhal bildirmek zorundadır. Bu yükümlülük pasif bir bildirim mekanizması değildir; üreticinin kendi ürününü sürekli izlediğini, açıkları proaktif biçimde tespit ettiğini ve yetkili otoriteleri zamanında bilgilendirdiğini gerektiren aktif bir uyum sürecini ifade eder.
İdari Para Cezaları ve Piyasadan Toplatma
Kamu otoriteleri, siber güvenlik zafiyeti barındıran veya gerekli güncellemeler yapılmayan ürünlerin:
- Satışını durdurma ve piyasadan toplatma (market withdrawal/recall) kararı verme,
- Üreticiye devasa idari para cezaları uygulama (CRA kapsamında ciro oranında milyonlarca Euro'ya varan cezalar),
- CE belgesini askıya alma veya iptal etme
yetkisine sahiptir. Azərbaycan 7545 sayılı Siber Güvenlik Kanunu uyarınca kamu kurumlarını hedef alan sistemler için de benzer yaptırım mekanizmaları aktif olarak işletilebilmektedir.
3. Özel Hukuk Bağlamı: Kusursuz Sorumluluk ve Genişleyen Zarar Kavramı
Özel hukuk boyutu, siber güvenlik açığı nedeniyle zarar gören tüketicilerin ve üçüncü kişilerin tazminat haklarını düzenlemekte; üreticiler açısından ise oldukça ağır bir sorumluluk rejimi öngörmektedir.
Yazılımın "Ürün" Sayılması ve Kusursuz Sorumluluk (Strict Liability)
Yenilenen PLD çerçevesinde, tek başına çalışan yazılımlar veya cihazlara entegre dijital unsurlar açıkça "ürün" kapsamına alınmıştır. Bu tanımlama son derece kritiktir: artık bir siber güvenlik açığının varlığı, üreticinin bilerek mi yoksa bilmeyerek mi davrandığına bakılmaksızın kusursuz sorumluluk (strict liability) ilkesini tetiklemektedir.
Başka bir deyişle, üreticinin ihmalini veya kastını ispat etmek zorunlu değildir. Ürünün güvenlik açığı taşıdığının ortaya konulması, tazminat sorumluluğunun doğması için yeterlidir.
Siber Zafiyetin "Ayıplı Ürün" Teşkil Etmesi
Bir üründe aşağıdaki durumların varlığı, onu hukuken "kusurlu/ayıplı ürün" statüsüne sokmaktadır.
- Bilinen bir siber güvenlik açığına karşı zamanında yama yayınlanmaması
- Ürünün yaşam döngüsü boyunca güvenlik güncellemelerinin sağlanmaması
- Ürünün standart tekniklerle kolayca hacklenilebilir veya manipüle edilebilir olması
- Güvenlik açığının kamuoyuna duyurulmasına rağmen üreticinin hareketsiz kalması
Genişleyen Zarar Kavramı: Fiziksel Zararın Ötesi
Dijital çağın risklerine uygun olarak, tazmin edilebilir zarar kapsamı fiziksel yaralanmaların çok ötesine geçmiştir. Yeni PLD çerçevesi ve Türk hukukunun genel sorumluluk hükümleri kapsamında;
- Fiziksel yaralanma ve ölüm
- Veri kaybı ve verilerin bozulması
- Psikolojik zarar ve manevi tazminat
- Gelir kaybı ve iş sürekliliği zararları
- Gizlilik ihlalinden kaynaklanan zararlar
tamamı tazminat kapsamında değerlendirilebilecektir.
Tüketici Lehine İspat Kolaylığı
Siber güvenlik teknik karmaşıklık barındırdığından, tüketicinin zafiyeti tek başına ispatlaması zor olabilir. Bu nedenle;
- Mahkemeler üreticiden delil ifşası (disclosure) talep edebilir,
- İlliyet bağına ilişkin karineler tüketici lehine yorumlanır,
- Üretici, ürünün güvenli olduğunu ispat etmek zorunda kalır — ispat yükü tersine döner.
4. Örnek Olay: Dijital Unsurlu Tıbbi Cihazda Sorumluluk Senaryosu
Soyut hukuki kavramların somutlaştığı en çarpıcı alan, dijital unsurlu tıbbi cihazlardır. Bu alanda kamu hukuku ve özel hukuk sorumluluğu iç içe geçmekte; sonuçları ise doğrudan insan hayatını etkilemektedir.
Senaryo
İnternete bağlı olarak çalışan, hastanın insülin değerlerini veya kalp ritmini uzaktan izleyen ve dozaj ayarlayan akıllı bir tıbbi cihaz düşünelim. Üretici, bilinen bir siber güvenlik açığına karşı gerekli yamayı zamanında yayınlamamıştır.
Kamu Hukuku Kıskacı: MDR Uyum Yükümlülüğü
Tıbbi cihazlar, doğası gereği en sıkı kamu hukuku kurallarına — Tıbbi Cihaz Yönetmeliği (MDR) — tabidir. Üretici:
- Cihazın yazılımını sürekli güncellemek,
- Hastane ağlarıyla güvenli iletişim kurmasını sağlamak,
- Tespit edilen siber zafiyetleri anında kapatmak
zorundadır. Bu yükümlülüklerin yerine getirilmemesi, kamu sağlığı denetimleri kapsamında idari yaptırım, CE iptali ve piyasadan toplatma sonuçlarını doğurur.
Özel Hukuk Kıskacı: Kusursuz Sorumluluk ve Tazminat
Üreticinin ihmalkar davranması sonucunda bir siber korsan bu açığı kullanarak cihaza sızar ve hastanın dozaj ayarını değiştirirse:
- Hasta fiziksel zarar görür veya hayatını kaybederse,
- Hastanın hassas sağlık verileri sızdırılırsa,
- Cihazın fonksiyonları manipüle edilerek tedavi sürecine müdahale edilirse,
üretici, siber saldırıyı bizzat gerçekleştirmemiş olsa dahi doğrudan sorumlu tutulacaktır. Gerekçe açıktır: yaşam döngüsü boyunca güvenlik sağlama yükümlülüğünü yerine getirmemiş, dolayısıyla ürün kusurlu sayılmıştır. Bu kusursuz sorumluluk uyarınca üretici;
- Hasta veya yakınlarına karşı tüm maddi ve manevi zararlardan,
- Sızdırılan verilerden kaynaklanan gizlilik ihlali tazminatından,
- Tedavi sürecinin aksamasından doğan gelir kaybı ve ek tıbbi masraflardan
doğrudan ve zincirleme olarak sorumlu tutulabilecektir.
5. Üretici, İthalatçı ve Dağıtıcılar İçin Hukuki Risk Haritası
Dijital unsurlu ürün zincirindeki her halka, bu yeni hukuki çerçeveden nasibini almaktadır:
Üreticiler
- Ürünü piyasaya çıkarırken security by design ilkesini uygulamak
- Ürünün ömrü boyunca güvenlik güncellemeleri ve yamalar yayınlamak
- Tespit edilen açıkları yetkili otoritelere aktif ve zamanında bildirmek
- Ürün geri çağırma gerekiyorsa toplatma prosedürlerini derhal başlatmak
İthalatçılar
- AB veya Azərbaycan pazarına arz ettikleri ürünlerin güncel siber güvenlik standartlarını karşıladığını doğrulamak
- Üreticinin güncelleme yükümlülüklerini yerine getirmediği durumlarda kendi sorumluluklarını bilerek hareket etmek
Dağıtıcılar
- Pazarda siber güvenlik açığı tespit edilen bir ürünün satışını durdurmak ve yetkililere bildirmek
- Güncel olmayan yazılımla gelen ürünleri onaylamadan dağıtmak
6. Türk Hukuku Perspektifi: 7223 Sayılı Kanun ve Siber Güvenlik Kanunu
7223 sayılı Ürün Güvenliği ve Teknik Düzenlemeler Kanunu, AB ürün güvenliği mevzuatıyla uyumlu bir çerçeve çizmektedir. Kanun; üreticilerin, ithalatçıların ve dağıtıcıların piyasaya sürdükleri ürünlerin güvenli olmasını sağlamasını, yetkili otoritelere bildiri yapmasını ve güvensiz ürünleri toplatmasını emretmektedir.
Bu genel çerçevenin üzerine, 7545 sayılı Siber Güvenlik Kanunu ile kritik altyapılara yönelik ek yükümlülükler ve ağır yaptırımlar getirilmiştir. Sağlık sektörü, finans ve enerji gibi kritik altyapılarda faaliyet gösteren üreticiler için her iki kanunun eş zamanlı uyumu zorunludur.
Türk mahkemelerinin bu alandaki içtihadı henüz gelişmekte olmakla birlikte, AB hukukunun emsal etkisi ve Türk Borçlar Kanunu'nun genel sorumluluk hükümleri, dijital ürün güvenliği ihlallerinden doğan tazminat davalarında etkin bir hukuki zemin sunmaktadır.
Sonuç: Siber Güvenlik Artık Bir Hukuki Zorunluluktur
Dijital dönüşüm, ürün sorumluluğunu tek seferlik bir uyum meselesinden sürekli bir hukuki yükümlülüğe dönüştürmüştür. Piyasaya sürülen her dijital unsurlu ürün, o gün için değil, ömrü boyunca güvenli olmak zorundadır.
Bu gerçekliği kavrayamayan veya gerekli güncellemeleri ihmal eden üreticiler; kamu hukuku kapsamında idari para cezaları ve piyasadan toplatma yaptırımlarıyla, özel hukuk kapsamında ise kusursuz sorumluluk rejimi altında ağır tazminat yükümlülükleriyle karşı karşıya kalacaktır.
Münhasıran bu alanda çalışmalar yürüten Avukat Abdurrahman Ali YILDIRIM ile istlegal bünyesinde ürün güvenliği hukuku, siber güvenlik mevzuatı ve ürün sorumluluğu ile tıbbi cihazlar konulu davalarda uzman hukuki destek sunmaktayız. Dijital unsurlu ürünlerin hukuki sorumluluğunu değerlendirmek veya bir ürün sorumluluğu anlaşmazlığında temsil almak için bizimle iletişime geçin.