Dezavantajlı Kişilerin Kullandıkları Akıllı Cihazların GVKT’ye Uyumu
Complying with the GDPR When Vulnerable People Use Smart Devices
Stanislaw PIASECKI, Jiahong CHEN, Mustafa KESKİN
Gün geçtikçe akıllı ev cihazlarının sayısı artmaktadır. Özel olarak kendileri için mi yoksa toplumun geneli için mi tasarlandıklarına bakılmaksızın, akıllı cihazlar (akıllı kapı kilitleri, akıllı alarm sistemleri veya sesli asistanlar gibi) dezavantajlı kişiler tarafından kullanılmaktadır. Bu Makale, çocuklara ve doğası gereği dezavantajlı yetişkinlere odaklanmakta ve Bilgi Komiserliği Ofisi rehber ve raporlarına atıfta bulunarak akıllı cihazlar kullanıldığında Genel Veri Koruma Tüzüğü’ne (“GVKT”) nasıl uyulacağını analiz etmektedir. Dezavantajlı kişilerin verilerinin işlenmesiyle ilgili GVKT hükümlerine uymak yalnızca bu kişiler için değil aynı zamanda akıllı cihazlar geliştiren ve dağıtan kuruluşlar için de faydalı olacaktır. Bu makale, her akıllı cihazda tasarım ve varsayılan olarak dezavantajlı kişilerin verilerinin korunmasından yanadır. Aynı zamanda bu çalışmanın amacı, tüm veri koruma ilkeleri genelinde güvenlik açığı hakkında düşünme ihtiyacına dikkat çekmek ve bu bağlamda GVKT’ye nasıl uyulacağına dair çözümler önermektir.
Çocuklar, Dezavantajlı Kişiler, GVKT, Akıllı Cihazlar, Akıllı Evler.
The number of smart home devices is increasing. They are used by vulnerable people regardless of whether they are designed specifically for them or for the general population (eg, smart door locks, smart alarms, or voice assistants). This article focuses on children and inherently vulnerable adults, and analyses how to comply with the General Data Protection Regulation (GDPR) when the latter use smart products, with a particular focus on the UK through references made to the Information Commissioner’s Office guidelines and reports. Complying with the GDPR provisions related to the processing of vulnerable people’s data would be beneficial not only for the latter but also for organizations developing and deploying smart devices. This article argues in favour of protecting vulnerable people’s data by design and default in every smart product. The objective of this work is also to draw attention to the need of thinking about vulnerability across all data protection principles and to propose solutions on how to effectively comply with the GDPR in this context.
Children, Vulnerable People, GDPR, Smart Devices, Smart Home Devices.
Arka Plan ve Hedefler
Bu makale, dezavantajlı kişilerin kullandıkları akıllı cihazları üreten ve dağıtan kuruluşların veri koruma düzenlemelerine uyumları konusunu eleştirel bir gözle analiz etmektedir. Doğaları gereği dezavantajlı yetişkinlere ve çocuklara yoğunlaşılacak ve onların verilerinin nasıl daha iyi korunabileceği incelenecektir. Genel Veri Koruma Tüzüğü’ne (General Data Protection Regulation, Bundan sonra “GVTK olarak anılacaktır.) uymak yalnızca dezavantajlı kişiler için değil aynı zamanda akıllı cihazlar geliştiren ve dağıtan kuruluşlar için de faydalı olacaktır. Şirketler, dezavantajlı müşterilerinin haklarını koruyarak cezalardan, iş kesintilerinden kaçınabilir ve müşterilerinin güvenini kazanabilir. Özel olarak, kendileri için mi yoksa toplumun geneli için mi tasarlandıklarına bakılmaksızın, akıllı cihazlar (akıllı kapı kilitleri, akıllı alarm sistemleri veya sesli asistanlar gibi) dezavantajlı kişiler tarafından kullanılmaktadır. GVKT dezavantajlı kişilere ilişkin çeşitli hükümler içermektedir ve kuruluşların bu hükümlere uyması gerekmektedir. Örneğin, kuruluşlara çocukların haklarını korumak için özel önlemleri alma yükümlülüğü getirmektedir (Gerekçe 38)1 . Bu önlemlerin bazıları tüm kişiler için yararlı olabilirken (örneğin, gizlilik politikasının çocukların anlayabilecekleri dilde kaleme alınması gibi), bazı önlemlerin de dezavantajlı kişilerin özel ihtiyaçlarına uyumlu hale getirilmesi gerekmektedir (örneğin, demanslı kişilere satılacak akıllı cihazlarda olduğu gibi). Bilgi mahremiyeti, çocukların ve dezavantajlı yetişkinlerin haysiyetleri korunan insanlar olarak tanınması için esastır2 . Birleşmiş Milletler Çocuk Hakları Sözleşmesi gibi uluslararası düzenlemelerin dışında, GVKT de insan haysiyetiyle bilgi mahremiyeti arasında temel bir bağ olduğunu kabul etmekte ve 88’inci madde de bu husus düzenlenmektedir3 . Akıllı cihazları dezavantajlı kişiler tarafından kullanılan kuruluşlar GVKT uyarınca hangi önlemleri almalıdır? GVKT’nin hangi ilkesine odaklanmalıdırlar?
İşbu makalede, ilk olarak akıllı ev ve dezavantajlı kişiler kısaca tanımlanacaktır. Takip eden bölümlerde, hukuka uygunluk sebebinin seçimi (hukuka uygunluk ilkesi) ve GVKT’nin konuyla ilintili diğer ilkeleri değerlendirilecektir.
Akıllı Ev ve Dezavantajlı Kişilerin Kısa Tanımları
Dezavantajlı Kişiler Tanımı
GVKT uyarınca, ebeveyn onayı mekanizması genellikle çocuk 16 yaşından küçük olduğunda geçerlidir4 . Kişisel verinin hukuka uygun işlenebilmesi için, çocuğun ebeveynin veya vasisinin bu işlemeye onay vermesi gerekmektedir.5 ancak üye devletlerin kendi ulusal mevzuatlarında bu eşiği 13 yaşına kadar düşürmeleri mümkündür. Çocuklar GVKT’de açıkça belirtilen tek dezavantajlı gruptur (gerekçe 38, gerekçe 58, gerekçe 65, gerekçe 71, gerekçe 75, madde 6.1(F), madde 8, madde 12, madde 40.2(g) ve madde 57.1(b)). Dezavantajlılık teriminin geçtiği tek yer gerekçe 75’tir ve şu şekilde yer almıştır: “gerçek kişilerin hak ve özgürlüklerine yönelik, değişen olasılık ve şiddette risk, fiziksel, maddi veya manevi zarara yol açabilecek kişisel veri işlenmesinden kaynaklanabilir” bilhassa “dezavantajlı gerçek kişilerin, özellikle çocukların kişisel verilerinin işlendiği durumlarda”. Bu nedenle GVKT, açık bir şekilde herhangi bir şeyden bahsetmemekle birlikte, diğer dezavantajlı kişi kategorilerini hariç tutmazken, özellikle çocuklara dikkat edilmesine vurgu yapar6 . Gerekçe 38’e göre, “kişisel verilerin işlenmesiyle ilgili riskler, sonuçlar, güvenceler ve hakları hakkında daha az bilinçli olabileceklerinden” veri sorumluları tarafından çocukların kişisel verileri için özel önlemlerin alınması gerekmektedir7 . Bu ifade, özel önlemlerin alınması gereken diğer dezavantajlı gruplar için de geçerli olacaktır. Bu yaklaşım Örneğin, 39. gerekçede veri sahibine sağlanan herhangi bir bilginin “çocuklar gibi dezavantajlı kişilerin ihtiyaçlarına göre uyarlanması gerektiğini” belirten 2016/680 sayılı Direktif gibi diğer Avrupa Birliği (AB) veri koruma mevzuatına uygundur8 .
Birleşik Krallık Bilgi Komiserliği Ofisi (bundan sonra “ICO” olarak anılacaktır) özgürce rıza vermelerinin veya kişisel verilerinin işlenmesine itiraz etmelerinin ya da işlemenin sonuçlarını anlama yetilerinin kısıtlı olduğu durumlar içerisinde olan bireyleri dezavantajlı kişiler olarak tanımlamaktadır.9 Bu, çok çeşitli durumları kapsayan çok geniş bir dezavantajlılık tanımıdır. Bu, ICO’nun amacının, veri koruması söz konusu olduğunda, her türlü dezavantajlılığı kapsamak olduğunu ortaya koymaktadır. Dezavantajlı yetişkinlere ilişkin olarak, kesin bir liste vermemekle birlikte ICO yaşlıları ve belirli engelleri olan kişileri örnek olarak vermektedir. Bir kişinin otomatik olarak dezavantajlı olarak kategorize edilemediği durumda bile, başka bir kişiyle ilişkilerinde bir güç dengesizliği olması GVKT kapsamında dezavantajlılık olarak değerlendirilebileceği ICO tarafından ifade edilmektedir. Kişisel verilerinin işverenleri tarafından işlenmesine itiraz etmekte zorlandıkları bir güç dengesizliği olduğunda işçilerin dezavantajlı grup olarak tanımlanması bu durumun örneğini oluşturur.10 ICO kişinin mali durumuyla ilgili konular (kredi notunun oluşturulması vb.) veya hastanın tıbbi bakımı nedeniyle kişisel verilerinin işlenmesi hali gibi farklı durumların da dezavantajlı sayılma hususuna örnek teşkil edeceğini belirtmektedir11 .
AB düzeyinde de Madde 29 Veri Koruma Çalışma Grubu12 (bundan sonra “Çalışma Grubu” olarak anılacaktır) dezavantajlı ilgili kişilerin, çalışanları, çocukları (bilinçli ve düşünceli olarak rıza verme veya veri işleme faaliyetlerine itiraz etme kapasitelerinin olmadığı kabul edilebileceğinden), özel korumaya ihtiyaç duyan nüfusun dezavantajlı gruplarını (ruh sağlığı sorunları olan kişiler, yaşlılar, hastalar vb.) ve veri sorumlusuyla ilgili kişi arasında güç dengesizliğinin mevcut olduğu herhangi bir durumda olan kişileri kapsadığını ifade etmektedir13 . Bu oldukça geniş tanım ve sınırlı sayıda olmayan dezavantajlı kişi listesi, ICO’nun rehberiyle benzerlik göstermektedir.
Dezavantajlılık çok çeşitli gerçeklere dayalı durumları ifade etmektedir. Dikkat edilmesi gereken fiziksel ve zihinsel koşullar esnek bir yaklaşım gerektirir. Herkes, bazı özel durumların varlığı halinde dezavantajlı olabilir. Bu durumların gerçekleştiği hallerde, mevzuat ve ilgili aktörler uyumlu ve duyarlı olmalıdır. Bu, mevcut ve ortaya çıkmakta olan dezavantajlı kişi grupları hakkında sürekli genişleyen bir içtihat oluşturan Avrupa İnsan Hakları Mahkemesi’nin (bundan sonra “AİHM” olarak anılacaktır) yaklaşımında yansımasını bulmaktadır. Bu yaklaşım, daha “sağlam bir eşitlik fikri” elde etme misyonuna yardımcı olabilir14 .
Dezavantajlılık, mahremiyet ve veri koruma, araştırmacılar tarafından nadiren araştırılırken, Malgeiri ve Niklas yakın zamanda “dezavantajlı ilgili kişi kavramının rolünü ve potansiyelini” analiz etti15 . Onlar, dezavantajlılığın evrensel (tüm kişiler dezavantajlıdır) veya özel (bazı kişiler diğer kişilerden daha dezavantajlıdır) olarak iki farklı yaklaşımla ele alınabileceğini belirtmektedirler. Gerçekten de araştırmacılar daha önce her ikisinin de lehinde tartışmışlardır. Fineman dezavantajlılık insanlığın evrensel bir unsuru olduğunu ve herkes tarafından paylaşıldığını ileri sürerken, Cooper ise bunun doğru olması halinde, evrensel bir yaklaşımın, polis nazarında her zaman şüpheli olmaya devam eden siyahi genç erkeklerin kimliğe dayalı belirli deneyimlerinin göz ardı edileceğinin altını çizmektedir16 . Malgieri ve Niklas dezavantajlılığı veri koruma çerçevesi içine yerleştirmenin sorunlu bir yaklaşım olduğunu düşünmektedirler. Çünkü tüm ilgili kişiler evrensel olarak dezavantajlı olarak kabul edilirse, aralarındaki önemli farkların göz ardı edilebileceğini, böylece de bazı kişilerin zaten dezavantajlı olan durumlarının daha da kötüleşebileceğini, daha spesifik veri koruma kurallarının mevcutta da karmaşık olan yasal ortamın daha da parçalanmasına neden olabileceğini ileri sürmektedirler17 . Bu bilmeceye bir çözüm olarak Luna’nın katmanlı dezavantajlılık teorisini öneriyorlar18 . Luna, tüm insanların dezavantajlı olduğunu, ancak bazı kişilerin diğerlerinden daha fazla dezavantajlılık katmanına sahip olduğunu savunarak evrensel ve özel ayrımının üstesinden gelir. Bu katmanlı yaklaşım, GVKT’nin risk temelli yaklaşımını yansıtıyor gibi görünüyor; ikincisi, herkesin dezavantajlı olabileceğini, ancak çeşitli düzeylerde ve farklı bağlamlarda olabileceğini öne sürüyor. Aynı zamanda Calo’nun “hiç kimse her zaman ve her bağlamda tamamen dezavantajlı değildir” ve “hepimiz dereceler ve koşullara göre dezavantajlıyız” duruşunu yansıtıyor19 . Calo, hukukun dezavantajlılığı genellikle bir kişi veya grubun statüsü ya da bireyler veya kuruluşlar arasındaki bir ilişki olarak kabul etmesine rağmen, Hukuki araştırmaların, bu kavramın en iyi, bazı bireylerde ve bağlamlarda, ancak bazen tüm insanlarda daha sık ve yoğun bir şekilde var olan bir durum olan ‘kişilik katmanı’ olarak algılandığını giderek daha fazla kabul etmekte olduğunu ileri sürmektedir20 . Bu tartışma, bu makalenin veri koruma alanında yapmaya çalıştığı katkıya nasıl dönüşüyor?
Bu çalışma, dezavantajlılık katmanlarının herhangi bir kişide ortaya çıkabileceğini ve katmanlı yaklaşımın, herkesi, hatta en ince dezavantajlılık durumlarını bile dikkate alma avantajına sahip olduğunu ve aynı zamanda kesişen ve kümülatif bir yaklaşımı teşvik ettiğini kabul etmektedir. Bununla birlikte, bazı durumlarda dezavantajlı bireylerin kategorilere ayrılmasının, veri korumalarının daha yüksek düzeyde sağlanmasına yardımcı olabileceğini de savunmaktadır. Bu makale, “bağlamsal” dezavantajlılığa değil, doğası gereği dezavantajlı olarak kabul edilen, yani engelli yetişkinler gibi dezavantajlılık katmanları sürekli ve kesin olarak mevcut olan çocuklar ve yetişkinlere odaklanmaktadır. Çocukların ‘veriye dayalı mimarinin karmaşıklığını anlama kapasitesi sınırlıdır, daha az deneyime sahiptir, riskler ve haklar konusunda daha az farkındalığa sahiptir ve kolayca manipüle edilebilir’ (bu, GVKT’nin hükümlerine yansıtılmıştır), engelli yetişkinlerin doğasında bulunan dezavantajlılık, AİHM içtihatlarında kendisine yer bulmuştur21 . İnsanların dezavantajlı olarak kabul edilebileceği (örneğin, işverenler ve çalışanlar arasındaki yukarıda bahsedilen güç dengesizliği durumları) birçok dezavantajlılık katmanı veya diğer durumlar vardır, ancak bunların gerçekte olup olmayacağına karar vermek, vaka bazında bir analiz gerektirir. Bu ince dezavantajlılık durumları bu çalışmanın kapsamına girmez. Böyle bir odak seçimi, uç örneklerden gelen daha az dikkat dağıtıcı ile en acil pratik zorlukları vurgulama avantajına sahiptir. Tabii ki bu, ikincisinin herhangi bir şekilde daha az önemli olduğu anlamına gelmez, ancak bu çalışmanın amacı, argümanlarımızı göstermek için doğası gereği dezavantajlı bireylerden örnekler kullanarak GVKT ve akıllı ev bağlamındaki dezavantajlılığı daha geniş bir şekilde yansıtmaktır.
GVKT’nin yalnızca bir grup dezavantajlı kişiden (çocuklardan) açıkça bahsetmesinden kaynaklanabilecek bir sorun, kuruluşların diğer dezavantajlı grupları görmezden gelirken sadece çocuklara odaklanma ihtimalidir. Dezavantajlı yetişkinler kesinlikle Avrupa veri koruma yasaları tarafından korunmaktadır, ancak dezavantajlılık, akıllı ürünler üzerinde çalışanlar için veri koruma önlemlerini etkin bir şekilde ayarlamak için çok fazla soyut bir kavram olarak görülebilir. Bazı kuruluşlar, GVKT’de dezavantajlı yetişkinlere ilişkin somut düzenleme eksikliğini, dezavantajlı yetişkinleri korumak için çocuklardaki kadar çok kaynak ayırmaya gerek olmadığının bir göstergesi olarak görebilir. Bu nedenle, Avrupa ve ulusal veri koruma yetkililerinin GVKT’nin nasıl uygulanacağına ilişkin rehberleri özellikle önemlidir. Ancak, İngiltere’nin ICO’su tarafından Yaşa Uygun Tasarım uygulama kurallarının benimsenmesi, hem veri koruma yetkililerinin hem de veri sorumlularının çocukların durumuna odaklanacağının bir başka göstergesidir22 . Bir veri sorumlusu, ürününün çocuklar tarafından kullanılmayacağını düşünürse (daha sonra tartışacağımız gibi, her zaman olabileceğini varsaymak daha iyidir), veri sorumlusunun benimsemesi gereken özel veri koruma önlemlerini görmezden gelebileceği veya bu önlemler hakkında bilgi sahibi olmayabileceğinden, bu dezavantajlı yetişkinlerin veri korumasını zayıflatabilir. Bu soruna bir çözüm, Komisyonun uygulama tasarrufları yoluyla bir davranış kurallarının (code of conduct) “Birlik içinde genel geçerliliğe” sahip olduğuna karar verebileceğini belirten GVKT’nin 40. maddesi olabilir. Dezavantajlı yetişkinleri tartışan bir davranış kuralları yazılırsa, Komisyon tüm Üye Devletlerde uygulanmasını teşvik edebilir.
Akıllı Evler ile İlgili Önemli Veri Koruma Sorunları
Akıllı evler nedir ve neden bu özel ortama odaklanmalıyız? Akıllı ev, “konfor, sağlık, güvenlik, asayiş, enerji ve tasarrufu için konut yönetimine zekayı dahil eden, her yerde bulunan bilgi işlemin çağdaş bir uygulaması” olarak tanımlanabilir23 . Gerçekten akıllı bir ev, “çevreyle ilgili tüm bilgilerin toplu olarak depolandığı ve analiz edildiği, kalıpların çıkartıldığı ve kullanıcının müdahalesi olmadan kararların alındığı” bir evdir24 . Herhangi bir cihaz akıllı hale gelebilir ve insanların evlerinde kullanılabilir. Akıllı evle ilgili ürünlerin bazı kategorileri şunlardır: akıllı güvenlik cihazları (akıllı kilitler, güvenlik kameraları, duman dedektörleri gibi), ev otomasyonu ve akıllı alarm sistemi, eğlence cihazları (akıllı televizyonlar, hoparlörler gibi), akıllı ev asistanları (Alexa, Siri, Cortana, Google Home gibi), akıllı elektronik aletler (bulaşık makineleri, buzdolapları, su ısıtıcıları, ampuller gibi)... Bu cihazlara, genellikle nesnelerin interneti ürünleri (internet of things) de denir. Elektrik ve Elektronik Mühendisleri Enstitüsü, nesnelerin internetinin ne olduğuna ilişkin bir tanım ortaya koymaya çalışmıştır25 . Tanımlayabilmek için, standardizasyon kuruluşları, akademisyenler, ve diğer birçok kaynak tarafından sağlanan tanımların en son haritasını çıkartmışlardır. Bu çalışmanın sonunda, Enstitü, nesnelerin internetini şu şekilde açıklamıştır: “Nesnelerin interneti, benzersiz bir şekilde tanımlanabilen nesneleri internete bağlayan bir ağ olarak tanımlanabilir. Nesneler, algılama/hareket etme ve potansiyel programlanabilirlik yeteneklerine sahiptir. Benzersiz tanımlama ve algılamanın kullanılmasıyla, nesne hakkında bilgi toplanabilir ve nesnenin durumu her yerden, her zaman, herhangi bir şey tarafından değiştirilebilir.26 Bu çalışmada, akıllı cihazlar ve nesnelerin interneti ürünleri birbirinin yerine kullanılacaktır.
Akıllı cihazların her yerde bulunması bir gerçeklik haline gelmekte ve küresel ölçekte sayılarının artması uzun vadede kesin görülmektedir. 2018 raporuna göre, 2025 yılına kadar 21,5 milyar nesnelerin interneti cihazı hayatımızda olacak ve %25’ten fazla siber saldırı gerçekleştirilecek (2018’deki 7 milyar cihaza kıyasla)27 . Akıllı cihazlar, giderek artan miktarda veriyi internet üzerinden aktarmaktadır. Bu cihazlar, genellikle kişisel verileri toplarlar ve analiz için bunları buluta aktarırlar. Analiz sonuçları, hizmeti daha etkili hale getirmek için cihaza geri entegre edilir. Örneğin, kuruluşlar, akıllı hoparlörler aracılığıyla toplanan verileri analiz ederek ses kalıpları ve insanların tercihleri hakkında bilgi edinebilirler28 . Zayıf güvenlik önlemleri (varsayılan parolaların değiştirilmemesi gibi) ve mevcut veri madenciliğine, bulut veri tabanlarında depolamaya ve bununla ilişkili çeşitli veri gizliliği tehditlerine yol açan bulut mimarileri nedeniyle nesnelerin interneti ürünleriyle ilgili veri hack’lerinin sayıca artması muhtemeldir29 . Son veri ihlallerinin skalası, bunun gerçekleşmesinin muhtemel olduğunu göstermektedir30 .
Tüketiciler, akıllı ürünleri kullandıklarında ve güvenli bir akıllı ev ortamı oluşturmak için teknik kapasiteye sahip olmadıklarında, verilerinin taşıdığı risklerin nadiren farkına varırlar31 . Cihaz yönetimi ve ağ yönetimi ile ilgili sık sık sorunlar yaşarlar. Sonuç olarak, akıllı cihazlara, bunları geliştiren ve dağıtan kişilerin yanı sıra politika yapıcılar tarafından da özel ilgi gösterilmelidir. İnsanların cihazlarını ve ağlarını etkin bir şekilde yönetebilmeleri (ve dolayısıyla verilerini koruyabilmeleri) ancak onların kullanımı için bu cihazlar kolaylaştırıldığında mümkün olabilecektir32 .
Akıllı ev ürünleriyle ilgili tehditler yeni bir sorun değil, bazıları uzun zamandır iyi bilinmektedir. Daha 2014 yılında, Çalışma Grubu akıllı cihazlardan kaynaklanan kişisel veri güvenliğine yönelik çeşitli tehditlerin varlığını kabul etmiştir33 . Bu tehditler, üçüncü kişiler tarafından izlenen ve kişisel verilerinin nasıl kullanıldığı üzerinde gerçek bir kontrole sahip olmayan tüketicilerle bağlantılıdır. Diğer riskler, insanların verilerini işleme amacını, profil oluşturma teknikleri ve kullanıcıların davranış kalıpları hakkında bilgi edinmeyle ilgilidir. Evlerinde nesnelerin interneti cihazları olan kişiler için anonim kalmak giderek daha zor hale gelmiştir34 . İnsanlar, kimlik hırsızlığı, siber taciz ve ayrımcılığın kurbanı olabilir ve verilerin sızdırılması ve ele geçirilmesi nedeniyle itibar kaybı yaşayabilirler. Ayrıca, siber suçlular yeni tehditler icat etmeyi sürdürürler ve genellikle güvenlik engellerini aşmada başarılı olurlar. Dezavantajlı kişilerin bu tür veri güvenliği risklerine karşı kendilerini savunma kapasiteleri daha düşük olabilir. GVKT, veri koruma mekanizmalarını dezavantajlı kişilerin ihtiyaçlarına göre uyarlama ihtiyacı olduğunu kabul eder (örneğin GVKT’nin 38 ve 75 gerekçeleri).
Yeni teknolojiler, dezavantajlı bireylere çeşitli şekillerde yardımcı olmak için uzun süredir kullanılmaktadır. Farklı sağlık koşullarına sahip olan veya sadece yaşlılığa bağlı semptomlar yaşayan insanlar, teknolojik gelişmelerin bir sonucu olarak daha özerk bir şekilde yaşayabilmektedir. Bu, ortam destekli yaşam (ambient assisted living) başlığı altında bilgisayar alanında uzun süredir devam eden bir araştırma dizisinin konusu olmuştur. Akıllı cihazların kullanımı bu alandaki en son gelişmedir. Bu ürünlerin dezavantajlı kişilerin verilerini nasıl işlediğini tespit etmek çok önemlidir. Dezavantajlılık, veri işleme sırasında (örneğin, aydınlatmaya dayalı izin verme açısından bazı kişiler için daha fazla risk olabilir) veya işlemenin bir sonucu olarak (veri işleme, ayrımcılığa veya örneğin psikolojik zararlara yol açabilir) sonuçlar doğurabilir35 . akıllı cihazların bazıları, belirli kişi kategorilerini hedeflemektedir36 . Çocuklar örneğinde, etkileşimli bebekler veya robotlar gibi mağazaların raflarında internete bağlı oyuncaklar ortaya çıkmaktadır37 . Ebeveynler ayrıca çocuklarının uyku düzenini, konumunu ve tıbbi verilerini takip eden akıllı bebek telsizleri veya akıllı saatler gibi ürünleri satın almaktadır38 . Demanslı kişiler söz konusu olduğunda, günlük yaşam faaliyetlerinde onları desteklemek için geliştirilmiş birçok sağlık cihazı veya izleme cihazı bulunmaktadır39 . Nüfusun belirli kısımlarını hedefleyen nesnelerin interneti ürünleri, tüketicilerin belirli dezavantajlılık katmanlarına dayalı olarak [ve kuruluşların bu bağlamda yürütmesi gereken veri koruma etki değerlendirmeleri (bundan sonra “VKED” olarak anılacaktır) açısından]veri sorumlularından daha odaklı bir yaklaşım sergilemesini gerektirir. Çünkü bu yaklaşım, önlemlerin veri işleme aşamasında dezavantajlı kişilerin ihtiyaçlarına daha iyi uyarlanmasını sağlamaya yardımcı olabilir. Sesli asistanlar gibi yaygın olarak kullanılan cihazların, herkesin dezavantajlılık katmanları farklı olduğu için herkese uyum sağlaması daha zordur. Bu, bu makalenin ilerleyen kısımlarında incelenecek olan daha genel veri koruma önlemleri [tasarım yoluyla ve varsayılan olarak veri koruma ilkesinin uygulanması] yoluyla veri işlemenin olası olumsuz etkilerinin önlenmesiyle kısmen ele alınabilir.
Nesnelerin interneti dünyasının hızla genişlemesinin ve zamanla artan sayıda insanın akıllı evlerde yaşayacağı gerçeğinin bir sonucu olarak, en dezavantajlı olanların kişisel verilerinin en iyi şekilde nasıl korunacağını tartışmak çok önemlidir. Çoğu nesnelerin interneti ürününün şu anda tasarlanma şekli nedeniyle, sayıları arttıkça güvenlik sorunlarının sayısı da maalesef büyük olasılıkla artacaktır. Veri koruma hükümlerini, dezavantajlı kullanıcıları olası ihlallere karşı koruyacak ve verilerinin nasıl işleneceğine karar vermeleri için onlara yardımcı olacak şekilde uygulamak elzemdir. Çocukların çevrimiçi etkinlikleriyle ilgili özel veri koruma önlemleri ve Birleşmiş Milletler Çocuk Haklarına Dair Sözleşme’nin 16. Maddesinde yer alan temel haklarını mahremiyete dönüştürmek için yapılan çağrılar, önceki AB mevzuatına kıyasla dezavantajlılığa ilişkin yeni GVKT hükümleriyle sonuçlanmıştır.40 Bu, kuruluşların veri koruma politikalarını çocukların ve diğer dezavantajlı kişilerin ihtiyaçlarına göre uyarlamaları gerektiği anlamına gelmektedir. Kuruluşlar için veri koruma düzenlemelerine uymak, yalnızca parasal yaptırımlardan kaçınmak değil, aynı zamanda müşterilerin güvenini kazanmak için stratejik bir hamle olabilir.
