Özet
Giyilebilir teknolojilerin evrimi, basit adım sayarlardan vücut içine yerleştirilen akıllı implantlara ve gelişmiş biyomedikal sensörlere doğru kayarken; bu cihazların topladığı verilerin güvenliği küresel bir sorun haline gelmiştir. Bu çalışma, Kasım 2025 tarihli Apple-Masimo patent ihlali kararını ve giyilebilir teknolojilerin "tıbbi cihaz" statüsünü hukuki açıdan incelerken; Prof. Stuart E. Madnick’in raporları ışığında veri ihlallerindeki artış trendini ve bulut tabanlı riskleri analiz etmektedir. Çalışmada ayrıca; ABD, AB ve Türk Hukuku (KVKK) ekseninde, tedarikçi kaynaklı saldırılar ve uçtan uca şifreleme gerekliliği değerlendirilmiştir.
1. Giriş: "Tüketici Elektroniği"nden "Tıbbi Cihaz" Statüsüne Geçiş
Giyilebilir teknolojilerin tarihsel serüveni, 16. yüzyılda zamanı ölçmek için tasarlanan mekanik saatlerle başlamışsa da; günümüzde bu kavram, insan fizyolojisiyle bütünleşen ve "Dijital Panoptikon" olarak adlandırılabilecek bir gözetim ağının temelini oluşturan kompleks bir ekosisteme dönüşmüştür. "Nesnelerin İnterneti" (IoT) teknolojisindeki ivmelenme ile birlikte bu cihazlar; insan bedeninin üzerine takılan aksesuarlardan, kıyafetlere entegre edilen akıllı tekstil ürünlerine ve hatta vücut içine yerleştirilen mikroçip donanımlı "akıllı implantlara" (smart implants) evrilerek sağlık hizmetlerinin sunumunda devrim yaratmıştır .
Bu teknolojik sıçrama, cihazların işlevini de kökten değiştirmiştir. Geleneksel olarak sadece adım sayısı veya yakılan kalori gibi basit "zindelik" verilerini takip eden bu donanımlar; artık diyabet yönetimi, kandaki oksijen satürasyonu (SpO₂), kalp ritim bozuklukları (aritmiler) ve uyku apnesi gibi doğrudan klinik tanıya esas teşkil edebilecek hayati verileri işlemektedir. Gelinen noktada, bir akıllı saat veya biyosensör, kullanıcıya sadece saati söyleyen bir araç değil; 7/24 çalışan, veri toplayan ve analiz yapan bir "dijital sağlık asistanı" hüviyeti kazanmıştır. Bu durum, "tüketici elektroniği" ile "tıbbi cihaz" arasındaki klasik hukuki ayrımı fiilen ortadan kaldırmakta ve veri güvenliği rejiminin yeniden tanımlanmasını zorunlu kılmaktadır.
1.1. Apple ve Masimo Arasındaki "Nabız Oksimetresi" Savaşı
Giyilebilir teknolojilerin hukuki niteliğindeki dönüşüm, en somut haliyle Apple ile tıbbi teknoloji şirketi Masimo arasındaki patent ihtilafında görülmüştür. İki şirket arasındaki gerilim, Apple'ın 2020 yılında piyasaya sürdüğü Apple Watch Series 6 modeline, kandaki oksijen seviyesini (SpO₂) ölçen bir sensör eklemesiyle başlamışsa da, davanın kökleri çok daha eskiye dayanmaktadır.
Sürecin detayları ve mahkemenin gerekçesi şu şekildedir:
"Truva Atı" ve Beyin Göçü İddiası: Dava dosyalarına yansıyan bilgilere göre; taraflar arasındaki ilişki 2013 yılında potansiyel bir ortaklık görüşmesiyle başlamıştır. Ancak Masimo, Apple'ın bu görüşmeleri "Truva Atı" taktiği olarak kullandığını; asıl amacın ortaklık değil, Masimo'nun baş tıbbi sorumlusu da dahil olmak üzere kilit mühendislerini transfer etmek ve ticari sırlarını ele geçirmek olduğunu iddia etmiştir. Mahkeme sürecinde, Apple'ın bu transferler sayesinde, hastane tipi hassas ölçüm teknolojilerini tüketici elektroniğine entegre etmeyi başardığı vurgulanmıştır.
Teknolojinin Niteliği (Işık Bazlı Ölçüm): Davaya konu olan teknoloji, ışık dalgalarını kullanarak kandaki oksijen satürasyonunu ölçen "nabız oksimetresi"dir. Masimo, bu teknolojinin klinik ortamda hastaların yaşamsal fonksiyonlarını takip etmek için geliştirildiğini ve patentlerinin "tıbbi cihaz" kategorisinde olduğunu savunmuştur. Apple ise söz konusu fonksiyonun "zindelik" (wellness) amaçlı olduğunu öne sürerek savunma yapmıştır.
"Hasta Takip Cihazı" (Patient Monitor) Tespiti: Kasım 2025 tarihli kararda Jüri, Apple'ın savunmasını reddederek tarihi bir nitelemeye imza atmıştır. Mahkeme, Apple Watch'un ilgili sensörlerinin, Masimo'nun patentli teknolojisiyle birebir örtüştüğünü tespit etmiş ve cihazı hukuken bir "hasta takip cihazı" olarak değerlendirmiştir. Bu niteleme, cihazın sadece adım sayan bir aksesuardan öte, tıbbi bir tanı ve takip aracı olduğunu tescillemiştir.
Tazminat ve Sonuç: Mahkeme, Apple’ın Masimo’nun patentlerini ihlal ettiğine hükmederek şirketi 634 milyon dolar tazminata mahkûm etmiştir (Masimo Corp. v. Apple Inc., Case No. 8:20-cv-00048, C.D. Cal. 2025). Bu karar, sadece ödenen tazminat miktarıyla değil; teknoloji devlerinin, medikal şirketlerin geliştirdiği hassas teknolojileri "tüketici ürünü" kılıfı altında lisanssız kullanamayacağını göstermesi açısından da bir dönüm noktasıdır.
2. Siber Tehditlerin Boyutu ve Bulut (Cloud) Riski
Giyilebilir sağlık teknolojileri, topladıkları verileri işlemek ve saklamak için büyük oranda bulut bilişim altyapılarına bağımlıdır. Ancak bu yapı, verileri siber saldırılara açık hale getirmektedir.
2.1. Veri İhlallerindeki Artış ve Fidye Yazılımları
Massachusetts Institute of Technology (MIT) öğretim üyesi Dr. Stuart E. Madnick’in Aralık 2023 tarihinde yayınlanan “The Continued Threat to Personal Data: Key Factors Behind the 2023 Increase” isimli çalışmasına göre; veri ihlalleri endişe verici bir hızla artmaktadır. Küresel ölçekte veri ihlallerinin sayısı 2013 ile 2021 yılları arasında üç katından fazla artış göstermiştir. Özellikle 2023 yılının ilk dokuz ayında, ABD'deki veri ihlalleri bir önceki yılın tamamına kıyasla %20 oranında artmıştır.
Sağlık verilerinin hassasiyeti, bu alanı siber suçlular için cazip bir hedef haline getirmektedir. Fidye yazılımı (ransomware) saldırıları 2023 yılının ilk üç çeyreğinde, bir önceki yılın aynı dönemine göre yaklaşık %70 artış göstermiştir. Saldırganlar artık sadece sistemleri kilitlemekle kalmamakta, ele geçirdikleri hassas sağlık verilerini sızdırmakla tehdit ederek şantaj yapmaktadır.
2.2. En Zayıf Halka: Tedarikçi Zinciri (Supply Chain)
Giyilebilir cihaz ekosistemindeki en büyük güvenlik açığı, cihaz üreticilerinin entegre çalıştığı üçüncü taraf yazılımlar ve tedarikçilerdir. Madnick raporuna göre, kuruluşların %98'inin, son iki yıl içinde veri ihlali yaşamış bir tedarikçiyle ilişkisi bulunmaktadır . Saldırganlar, yüksek güvenlikli bir teknoloji şirketine (örneğin Apple veya Google) doğrudan saldırmak yerine, bu şirketlerin tedarik zincirindeki daha az güvenli bir satıcıyı veya yazılımı hedef alarak "yan kapıdan" (side door) ana sisteme sızmaktadır.
3. Verilerin Hukuki Niteliği: KVKK ve Doktrinel Analiz
Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 6. maddesi, sağlık verilerini "özel nitelikli kişisel veri" olarak tanımlar ve bunların işlenmesini, genel nitelikli verilere kıyasla çok daha sıkı şekil şartlarına ve güvenlik önlemlerine bağlar.
3.1. "Yaşam Tarzı" ve "Tıbbi Cihaz" Ayrımında Verinin Niteliği
Giyilebilir teknolojilerin hukuki sınıflandırmasında yaşanan en büyük ikilem, cihazların ticari tanımları ile işledikleri verinin özü arasındaki uyumsuzluktur. Doktrinde ve uygulamada, cihaz üreticilerinin ürünlerini "sportif amaçlı aktivite takipçisi" (fitness tracker) veya "yaşam tarzı aksesuarı" olarak pazarlayarak, toplanan verileri sağlık verisi statüsünden çıkarma eğiliminde oldukları gözlemlenmektedir. Bu yaklaşım, sağlık verisi işlemenin getirdiği ağır hukuki yükümlülüklerden (KVKK m. 6/4 uyarınca Kurul tarafından belirlenen yeterli önlemler vb.) kaçınma stratejisi olarak değerlendirilmektedir.
Ancak Türk hukuk doktrininde kabul edilen hakim görüşe göre; bir verinin "sağlık verisi" olarak nitelendirilmesinde belirleyici olan unsur, verinin elde edildiği cihazın adı veya pazarlama stratejisi değil, verinin içeriği ve bu veriden elde edilebilecek sonuçlardır. Bir akıllı saat veya yüzük; kandaki oksijen seviyesini (SpO₂), kalp ritim değişkenliğini (HRV) veya uyku apnesi belirtilerini ölçüyorsa, bu veriler kişinin fizyolojik ve biyolojik durumuna ilişkin kesin bilgiler içerdiğinden, tartışmasız şekilde "özel nitelikli sağlık verisi"dir.
Bu doktrinel yaklaşım, Kasım 2025 tarihli Apple-Masimo kararı ile uluslararası hukuk düzleminde de teyit edilmiştir. Mahkemenin, Apple Watch’un ilgili fonksiyonunu bir "hasta takip cihazı" (patient monitor) olarak tanımlaması , cihazın fonksiyonel olarak tıbbi bir amaca hizmet ettiğini tescillemiştir. Dolayısıyla, "akıllı implantlar"dan basit adımsayarlara kadar uzanan bu spektrumda, eğer veri kişinin bedensel veya ruhsal sağlığına dair bir analiz yapılmasına imkân tanıyorsa, KVKK m. 6 koruma şemsiyesi devreye girmektedir.
3.2. Açık Rıza Rejimi ve "Tıbbi Zorunluluk" İstisnası
Giyilebilir cihazlarda sağlık verilerinin işlenmesinin temel hukuki dayanağı, ilgili kişinin "açık rızası"dır. Ancak bu rızanın geçerliliği, hem teorik hem de pratik düzlemde ciddi sorunlar barındırmaktadır.
Rıza Yorgunluğu ve Şekli Onay: Dr. Stuart E. Madnick’in araştırmalarına göre, kullanıcılar dijital hizmetlere erişebilmek için genellikle uzun, karmaşık ve hukuk diliyle yazılmış "Hizmet Koşulları"nı okumadan onaylamaktadır. Bu durum, rızanın KVKK m. 3’te aranan "belirli bir konuya ilişkin olma" ve "bilgilendirilmeye dayanma" unsurlarını zedelemekte; rızayı, özgür iradeyle açıklanan bir beyan olmaktan çıkarıp şekli bir prosedüre dönüştürmektedir.
Tıbbi Zorunluluk İstisnasının Uygulanamazlığı: KVKK m. 6/3-e bendi, sağlık verilerinin "sır saklama yükümlülüğü altında bulunan kişiler (hekimler vb.) tarafından tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla" rıza aranmaksızın işlenebileceğini düzenler. Doktrindeki baskın görüşe göre; teknoloji şirketleri ve cihaz üreticileri, "sağlık meslek mensubu" statüsünde olmadıkları ve kanuni bir "sır saklama yükümlülüğü" taşımadıkları için bu istisnadan yararlanamazlar. Cihazın "erken teşhis" yapıyor olması, veriyi işleyen şirketin bu istisnai hükme dayanmasını hukuka uygun hale getirmez. Bu nedenle, teknoloji şirketleri için "açık rıza" dışında bir hukuki çıkış yolu, mevcut yasal çerçevede -kanunlarda açıkça öngörülmedikçe- bulunmamaktadır.
Alenileştirme Yanılgısı: Kullanıcıların koşu rotalarını veya sağlık verilerini sosyal medyada paylaşması (alenileştirmesi), bu verilerin veri sorumluları tarafından sınırsızca işlenebileceği anlamına gelmez. Öğretide vurgulandığı üzere; alenileştirme, kişinin "alenileştirme iradesiyle sınırlı" olarak bir hukuka uygunluk sebebi yaratır. Kullanıcı verisini arkadaşlarıyla paylaşmak için yayınlamışsa, bu verinin sigorta şirketleri tarafından risk analizi veya reklam şirketleri tarafından profilleme amacıyla kullanılması hukuka aykırıdır.
4. Küresel Regülasyonlar ve Çözüm Önerileri
Farklı hukuk sistemleri, artan siber tehditlere karşı yapısal olarak birbirinden ayrışan önlemler geliştirmektedir. Bu ayrım, özellikle ABD ve Kıta Avrupası (dolayısıyla Türk Hukuku) arasında belirgindir.
4.1. ABD Hukukunda "Kapsam" Sorunu ve Masimo Kararının Etkisi
Amerika Birleşik Devletleri, veri koruma hukukunda "sektörel" bir yaklaşım benimsemektedir. Sağlık verilerini koruyan temel yasa olan HIPAA (Health Insurance Portability and Accountability Act), yalnızca "kapsanan kuruluşlar" (covered entities) olarak tanımladığı hastaneler, doktorlar ve sigorta şirketleri için geçerlidir. Bu geleneksel yapı nedeniyle, Apple Watch, Fitbit veya Oura Ring gibi giyilebilir teknoloji ürünleri, teknik olarak "tüketici elektroniği" sınıfında sayıldığından HIPAA'nın katı denetim mekanizmalarının dışında kalmaktadır.
Ancak, Kasım 2025 tarihli Apple-Masimo kararı, bu hukuki boşluğu (lacuna) fiilen ortadan kaldırma potansiyeline sahiptir. Mahkemenin Apple Watch'un kandaki oksijen ölçüm fonksiyonunu bir "hasta takip cihazı" (patient monitor) olarak nitelendirmesi , cihazın statüsünü "tüketici ürününden" çıkarıp "tıbbi cihaza" dönüştürmüştür. Bu içtihat değişikliği, giyilebilir teknoloji üreticilerinin artık HIPAA benzeri daha sıkı federal denetimlere ve FDA regülasyonlarına tabi olması gerektiği yönündeki hukuki argümanları güçlendirmektedir.
4.2. AB (GDPR) ve Türk Hukuku (KVKK): Tedarikçi Zinciri ve Veri Sorumluluğu
ABD'nin aksine, Avrupa Birliği (GDPR) ve Türk Hukuku (KVKK), meseleyi kurumun türüne göre değil, işlenen verinin niteliğine göre ele alan "bütüncül" bir yaklaşım sergiler. Türk hukuk doktrininde kabul edildiği üzere; giyilebilir cihazı geliştiren, üreten veya pazara sunan teknoloji şirketi, verilerin işleme amaçlarını ve vasıtalarını belirlediği için doğrudan "veri sorumlusu" sıfatını haizdir. Bu nedenle, verinin güvenliğinin sağlanmasında ve hukuka uygun işlenmesinde birinci derecede sorumlu olan taraf, sağlık hizmeti sunucusu olmasa dahi bu teknoloji şirketleridir.Bu sorumluluk rejimi, özellikle tedarikçi zinciri güvenliği (supply chain security) noktasında kritik önem taşır. Prof. Madnick’in 2023 raporuna göre, kuruluşların %98'inin, son iki yıl içinde veri ihlali yaşamış bir tedarikçiyle (örneğin bulut sağlayıcı veya yazılım firması) ilişkisi bulunmaktadır . GDPR ve KVKK, veri sorumlusunun sadece kendi sistemlerini değil, entegre çalıştığı tüm "veri işleyen" (data processor) tedarikçilerini de denetlemesini zorunlu kılar.
Bu bağlamda, Türk hukukunda veri sorumlusu olan cihaz üreticisi;
1. Verileri sakladığı bulut sağlayıcısının güvenliğinden,
2. Kullandığı üçüncü taraf yazılımların (API) açıklarından,
3. Veri aktardığı diğer partnerlerin ihlallerinden
müteselsilen sorumlu tutulma riskiyle karşı karşıyadır. Madnick'in raporunda vurguladığı "en zayıf halka" (least secure link) prensibi , hukuk sistemimizde "veri güvenliğini sağlama yükümlülüğü" kapsamında, tedarikçi seçiminde gösterilmesi gereken "özen borcu" olarak karşılık bulmaktadır.
5. Sonuç
Giyilebilir sağlık teknolojileri, Apple-Masimo davasıyla birlikte hukuken "tüketici elektroniği" kabuğundan sıyrılarak "tıbbi cihaz" statüsüne yaklaşmıştır. Ancak Prof. Madnick’in raporları, bu cihazların siber suçlular için bir numaralı hedef haline geldiğini; veri ihlallerinin %80'inden fazlasının bulut ortamında gerçekleştiği ve tedarikçi kaynaklı risklerin %98 seviyesine ulaştığı bir ekosistemde, klasik veri koruma yöntemlerinin (şekli rıza, basit aydınlatma metinleri) artık iflas ettiğini göstermektedir.
Bugün kolumuza taktığımız akıllı saatlerin ve parmağımıza geçirdiğimiz yüzüklerin, yarın vücudumuza entegre edilen "akıllı implantlara" dönüşeceği açıktır. Bu teknolojik gidişat, hukuk dünyasını Black Mirror dizisinin "The Entire History of You" veya "Arkangel" bölümlerindeki distopik senaryolarla yüzleşmeye zorlamaktadır. "Arkangel" bölümünde, çocuğunun tüm biyolojik verilerini ve konumunu bir tablet üzerinden izleyen annenin yarattığı gözetim toplumu, bugün giyilebilir teknolojilerin "sağlık takibi" adı altında sunduğu hizmetin, hukuki sınırlar çizilmezse varacağı noktayı temsil etmektedir.
Eğer hukuk sistemleri; sadece veriyi toplayanı değil, veriyi işleyen tüm tedarikçi zincirini denetleyen, uçtan uca şifrelemeyi (E2EE) bir lütuf değil zorunluluk haline getiren dinamik bir "Tasarım Gereği Gizlilik" rejimine geçiş yapmazsa; bireyler mahremiyetlerini tamamen yitirecekleri bir "Dijital Panoptikon"a hapsolma riskiyle karşı karşıyadır. Zira günümüzde bir kullanıcının mahremiyeti, artık kapısının kilidiyle değil; verisine erişimi olan "en zayıf halkanın" güvenliğiyle ölçülmektedir. Gelecek, veriyi sadece toplayanların değil; onu insan onuruna yaraşır şekilde koruyabilenlerin olacaktır.
