Bir tekstil fabrikası, üretim hatlarına bağladığı sensörlerden dakika dakika veri topluyor: makine sıcaklıkları, duruş süreleri, enerji tüketimi. Sistem kurulurken imzalanan sözleşme ise bu verinin kime ait olduğu konusunda tek satır bile içermiyor. Cihazı satan üretici firma, platform hizmetini sunan yazılım şirketi ve fabrika sahibi — üçü de aynı veriye farklı gözlerle bakıyor. Bu tablo, Nesnelerin İnterneti’nin (IoT) hızla yaygınlaştığı bu dönemde Türkiye’deki KOBİ yöneticilerinin henüz tam olarak kavrayamadığı yapısal bir sorunun somut yüzü.
IoT ekosisteminde veri sahipliği meselesi, teknik bir konu gibi görünse de özünde hukuki ve ticari bir çerçeve sorunudur. Cihazdan üretilen ham veri, platform altyapısında işlenerek anlam kazanıyor; bu işlenmiş veri ise zaman zaman üreticinin kendi ürün geliştirme süreçlerine ya da üçüncü taraf pazarlama kanallarına akıyor. Kullanıcı — yani veriyi fiilen üreten fabrika veya işletme — çoğu zaman bu akışın farkında bile değil. Sözleşme metninde yer alan ‘platform, topladığı anonim kullanım verilerini hizmet iyileştirme amacıyla kullanabilir’ gibi genel ifadeler, pratikte çok daha geniş bir veri paylaşımını meşrulaştırıyor.
Bu belirsizliğin üç temel aktörü var. Donanım üreticisi, cihazın ürettiği verinin teknik sahibi olduğunu öne sürebiliyor; çünkü sensör tasarımı ve veri formatı ona ait. Platform şirketi, ham veriyi işlenebilir hale getiren altyapıyı işlettiği için katma değer üzerinde hak iddia ediyor. Son kullanıcı ise verinin kaynağının kendi operasyonel süreci olduğunu düşünerek tam kontrolü bekliyor. Hukuki açıdan bakıldığında Türkiye’de bu üçlü ilişkiyi doğrudan düzenleyen özel bir mevzuat henüz yok; genel sözleşme hukuku ve Kişisel Verilerin Korunması Kanunu’nun (KVKK) hazırlık süreçleri devam ediyor. Bu boşluk, müzakere gücü daha yüksek olan tarafın — genellikle platform şirketinin — lehine işliyor.
Ticari sonuçlar somut ve ölçülebilir. Bir KOBİ, üretim hattı verilerini analiz ederek rakip firmaya karşı verimlilik avantajı elde ettiğini düşünüyor; oysa aynı veri, platform üzerinden sektörel kıyaslama raporlarına giriyor ve dolaylı olarak rakiplerin erişimine açılıyor olabilir. Daha kritik bir senaryo: işletmenin IoT platformunu değiştirmek istemesi durumunda, geçmişe dönük operasyonel verinin yeni platforma taşınması sözleşmede güvence altına alınmamışsa veri kilidi (vendor lock-in) kaçınılmaz hale geliyor. Toplam sahip olma maliyeti (TCO) hesaplanırken bu taşıma maliyeti ve veri erişim riski nadiren modele dahil ediliyor — bu da yatırım kararlarını yanıltıcı kılıyor.
Veri paylaşım modellerinin ticari boyutu ise ayrı bir analizi hak ediyor. Bazı IoT platformları, kullanıcı verilerini anonim ve toplu halde üçüncü taraflara satarak gelir elde ediyor; bu model, kullanıcıya ‘ücretsiz’ ya da düşük maliyetli hizmet sunmanın finansal arka planını oluşturuyor. Bir KOBİ yöneticisi, aylık platform ücretinin rakiplerinden neden bu kadar düşük olduğunu sorgulamıyorsa, asıl ödemenin veri ile yapıldığını göremiyor. Sağlıklı bir ROI analizi yapmak için yöneticinin şu soruyu net biçimde yanıtlaması gerekiyor: Bu platformun gelir modeli nedir ve benim verim bu modelin neresinde duruyor?
Pratik zorluk, sözleşme müzakerelerinde ortaya çıkıyor. Küçük ve orta ölçekli bir işletme, büyük bir IoT platformuyla masa başına oturduğunda standart sözleşme metnini değiştirme gücünden yoksun kalabiliyor. Platform şirketleri ‘standart koşullar’ gerekçesiyle veri sahipliği maddelerini müzakereye kapatıyor. Üstelik teknik ekibin sözleşme detaylarını hukuk birimiyle koordineli biçimde inceleme alışkanlığı Türkiye’deki KOBİ’lerde henüz yerleşmiş değil. Satın alma kararı çoğu zaman teknik özellikler ve fiyat üzerinden veriliyor; veri hakları ise imzadan sonra gündeme geliyor.
Karar vericiler için somut kriter şu: Bir IoT çözümüne yatırım yapmadan önce sözleşmede en az dört maddenin açıkça tanımlanmış olması gerekiyor. Ham verinin ve işlenmiş verinin kime ait olduğu, platform değişikliğinde veri taşıma hakkı ve formatı, üçüncü taraflarla paylaşım koşulları ve veri silme yükümlülüğü. Bu dört madde sözleşmede yoksa ya da muğlak ifadelerle geçiştirilmişse, teknik altyapı ne kadar güçlü olursa olsun işletme operasyonel bir bağımlılık ilişkisine giriyor demektir. IoT’nin getirdiği verimlilik kazanımları gerçek; ancak bu kazanımların sürdürülebilir olması için verinin kime ait olduğunun en baştan netleştirilmesi şart.