Covid-19 ile Mücadele: Akıllı Telefonlara Yüklenen Mobil İz Sürme ve Haritalama Uygulamalarının Kişisel Verilerin Korunması Açısından Değerlendirilmesi

Covid-19 ile Mücadele: Akıllı Telefonlara Yüklenen Mobil İz Sürme ve Haritalama Uygulamalarının Kişisel Verilerin Korunması Açısından Değerlendirilmesi

Dünya Sağlık Örgütü’nün koronavirüsü salgın hastalık olarak ilan etmesi ardından, Dünya genelinde covid-19 salgını ile mücadele kapsamında her ülke kendi mücadele politikalarını hızla geliştirmekte ve bu yönde önlemleri de gecikmeden almaktadır.

Virüs ile mücadele amacıyla başta Uzak Doğu’daki ülkelerin, bu amaca özel teknolojik mobil uygulamalar geliştirerek veya teknolojinin imkanlarından faydalanarak vatandaşların günlük temasları hakkında veri topladıkları göze çarpmaktadır. Mobil uygulamalar ve teknolojik imkanlar sayesinde, virüsten etkilenen kişiler ve bu kişiler ile temasta bulunan ya da yolu kesişen kişiler rahatlıkla tespit edilebilmekte (contact tracing), ilgili kişilere uyarı mesajları gönderilerek veya koronavirüs haritaları geliştirilerek, virüs ile temasın azaltılması ve kontrol altına alınması amaçlanmaktadır.

Bu mobil uygulamalar vatandaşlar tarafından akıllı telefonlara kolaylıkla yüklenmekte ve gün içerisinde nerede bulundukları, kimlere ne mesafede yakınlaştıkları yönünde uyarı ve görseller sunan bir iz haritası çıkarılıp, kişiler rahatlıkla takip edilebilmektedir. Bu durum elbette doğrudan kişisel verilerin korunması hususunu ve özel hayatın gizliliğine ilişkin endişeleri akla getirmekte ve birçok hukuksal soruyu ortaya koymaktadır.

Uygulamalar ile kamu sağlığının korunması hedeflenirken bireylere ait kişisel bilgiler ve bireylerin bu şekilde takip edilmesi hem kişisel verilerin korunması hem de özel hayatın gizliliği ile çatışmakta mıdır? İz sürme yoluyla elde edilen veriler hukuksal meşruluğa dayanmakta mıdır? Bu uygulamalar kişisel verilerin korunması ilgili standart ve düzenlemelere ne derece uymaktadır? İşbu yazımız, bu soruları gerek Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) gerekse de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) düzenlemelerine göre hukuksal bir pencereden değerlendirilecektir.

  1. Mobil İz Sürme Uygulamalarını Geliştiren ya da Teknolojik İmkanlara Başvuran Ülkeler

Bu uygulamaların başını çektiği ülkeler arasında Singapur ve Güney Kore gelmektedir. Japonya, Çin, İsrail, Almanya, Hindistan, Tayvan, İran ve Rusya’nın da benzer uygulamalara ve imkanlara başvurulduğu bilinmektedir.

Covid-19 ile mücadele etmek için, bu amaca özel ilk mobil uygulamayı geliştiren ve bundan en sistematik şekilde faydalanan ülke Singapur’dur. Singapur Sağlık Bakanlığı’nın talimatı ile geliştirilen, “Tracetogether” adı verilen uygulamayı yükleyen vatandaşların günlük temasları takip edebilmekte iken; Güney Kore GPS ile telefon sinyali takibi, kredi kart kullanım kayıtlarını inceleme, uydu veya video görüntülerinden yararlanma ve teşhis koyulanlar ile klasik usul soru-cevap yapmak suretiyle bir korona iz haritası çıkarıp, bunu merkezi internet sayfasında düzenli şekilde güncelleyerek kamunun erişimine sunmaktadır. Benzer şekilde Çin de vatandaşlarını GPS ve yaygın video görüntüleme olanakları ile takip etmekte ve hasta olan kişilerin yerlerini anında tespit edebilmektedir. Ayrıca Çin’de her kişi “health code” adı verilen bir numara taşımakla mükellef olup, bu kodlar kişilerin sağlık bilgisini taşımaktadır. Japonya’da ise vatandaşların seyahat bilgilerinin Sağılık Bakanlığı tarafından yayınlandığı ve insanların günlük aktivitelerinin belirli bölgelerde takip edildiği bilinmektedir.

Almanya ise yine Singapur’dakine benzeyen özel bir mobil uygulama geliştirmiştir. Buna göre vatandaşlar günlük temaslarında hastalığı taşıyan kişiler ile yakınlaştığı zaman, telefonlarına uyarı mesajı gönderilecektir.

Ülkemizde de hastaların telefon sinyali vasıtasıyla takip edilebileceği haberi Sağlık Bakanlığı tarafından açıklanmıştır.

  1. Mobil İz Sürme veya Haritalama Uygulamaları Teknik Olarak Nasıl Çalışmaktadır? Mobil Uygulama Haricinde Başka Hangi Yöntemler Kullanılmaktadır?

Singapur, Covid-19 ile mücadele amacına yönelik sıfırdan “Tracetogether” adını verdiği bir mobil uygulama geliştirmiştir. “Blue Trace” teknolojisi kullanılarak geliştirilen uygulama, kısa mesafe bluetooth sinyallerinin, uygulamanın yüklü olduğu cihazlar arasında değiş tokuşu sayesinde, karşılaşanların ne mesafede yakınlaştıklarını ve temas sürelerini içeren bilgiyi 21 gün süreyle cihazın belleğine kaydetmektedir.[1] Bu uygulamada dikkat çekilen husus kişilerin yer bilgilerinden kimlik bilgilerinin kaydedilmediği yönündedir. Herhangi bir uygulama kullanıcısına covid-19 teşhisi koyulması durumunda da Sağlık Bakanlığı kişinin cihaz kayıtlarına girerek, kimler ile yakın temasta bulunduğunun tespit edip, diğer kişiler ile iletişime geçmektedir.[2]

Güney Kore ise daha bilinen uygulamalardan yola çıkarak, yukarıda bahsedildiği gibi GPS ve video görüntülerinden yararlanmakta ve buradan topladığı verileri bir hareket haritası oluşturmak suretiyle, resmi internet sayfasından herkesin ulaşımına sunmaktadır.[3] Bu harita sadece covid-19 tanısı koyulanları kapsamamakta ve hareket halindeki herkesi göstermektedir. Hastalık teşhisi koyulanları ise haritada kırmızı renkte göstererek, bu kimselerle yakın mesafede olunup olunmadığı uyarısını vermektedir.[4]

Japonya, İsrail[5] ve Çin gibi ülkelerin de GPS ve telefon sinyali izleme yoluna başvurmaktadırlar. Böylece ama virüse yakalandığı bilinen kişi(ler) ile yolların kesişmesi veya yakın mesafelerde bulunulması halinde, vatandaşların telefonlarına uyarı mesajları göndererek, kişilerin temasını kontrol edip virüsün yayılmasını önlemeye çalışmaktadır. Özellikle Çin, tüm ülkede yaygın kamera ağı ile kişileri rahatlıkla takip edebilmektedir. Gerektiği takdirde ise yukarıda bahsi geçen ve her kişiye ayrı olarak tahsis edilmiş sağlık kodlarından kişinin sağlık bilgisi sorgusunu gerçekleştirebilmektedir.

Almanya da özel olarak bu amaç için geliştirdiği mobil uygulama sayesinde, yine yakın mesafede bluetooth sinyal değiş tokuşu ile, teşhis koyulmuş kişiler ile ne kadar yakın temasta bulunulduğunu göstermektedir. Yaklaşma gerçekleşince de ilgili kişi telefonuna bir uyarı mesajı almaktadır.[6]

Görüldüğü üzere pek çok ülke, bluetooth sinyal değiş tokuşuna dayalı mobil uygulamalar veya telefon sinyali ya da kamera ağlarından faydalanmak suretiyle iz sürme yöntemlerinden yararlanmaktadır.

  1. İz sürme uygulamaları kişisel verilerin korunması ve özel hayatın gizliliğinin korunması konusunda ne tür endişeler yaratmaktadır?

Güney Kore’nin kendi resmi internet sayfasında yayınlanan ve güncellenen takip haritasında yer alan verilere dayanarak, bazı mobil uygulama geliştiricileri de geri kalmayıp, daha geniş kapsamlı ve detaylı dijital haritalar içeren uygulamalar ortaya çıkarmaktadır. Örneğin, Güney Kore’de en çok ziyaret edilen internet sayfası coronamap.site, ilk günden bu yana 14 milyondan daha fazla ziyaretçi çekerek, ülkede en çok başvurulan kaynaklardan biri haline gelmiştir.[7]

Uygulamalar her ne kadar enfekte olan kişilerin kimlik bilgilerini açıklamasa da, ender de olsa bu kimselerden bazılarının bulunduğu yer, gün, saat ve detaylı konum bilgilerinden kim olduğunun, mesaj iletilen tarafça tahmin edilebilmesi söz konusudur. Nitekim Güney Kore’de teşhis edilen üçüncü vakanın kim olduğu iletilen veriler ışığında tahmin edilmiş ve bu şahıs online saldırılara maruz kalmıştır.[8] Başka bir durum ise Güney Kore’de hastalık teşhisi koyulan bir kişinin seyahat geçmişine ilişkin bilgiler yayınlanınca ilgili kişi “Ulusal İnsan Hakları Komitesi”ne özel hayatının gizliliğinin ihlal edildiğini belirterek başvurmuştur. Komite kişinin seyahat bilgilerinin kamuya ifşasını, gereklilik sınırları dışında ve ölçüsüz olarak değerlendirmiştir. Komite’nin tavsiye niteliğindeki kararına göre de hastanın özel hayatını korumak amacıyla adres ve çalıştıkları yer bilgilerinin paylaşılmaması ve özellikle günlük ziyaret ettikleri yerlerin ve seyahat bilgilerinin kamuya ifşa edilmemesi gerektiği hükmüne varılmıştır.[9] Yine Komite’nin tavsiyesine göre, kişinin gittiği yerler ve kullandığı vasıtalar hakkında bilgi, ancak sahiden ve gerçek bir tehlike varsa, temasta bulunan kişi ile paylaşılmalıdır.[10]

Öte yandan Singapur’da “Tracetogether” uygulamasının ardından özel hayatın gizliliğine dair artan endişelere karşılık, Singapur Sağlık Bakanlığı, geliştirilen uygulamanın, kullanıcı adı ve yer bilgilerinden kullanıcıların kimliğini kaydetmediğini, kişinin telefon rehberi gibi verilere erişilmediğini, sadece teşhis koyulan bir kişi ile karşılaşıldığında uyarı gönderildiğini belirtmiştir. Uygulamanın özel bir şifreleme bazında kişileri anonim olarak kaydettiğini de vurgulamıştır.[11]

Almanya ise getirilen mobil uygulamanın kişilerin kimlik bilgilerini kaydetmediğini, uygulamanın anonim olarak hizmet verdiğini belirtmiş olup, kişilerin verilerinin GDPR usul ve esaslarına uygun şekilde toplanıp, korunacağı bilgisini vermiştir.[12]

Elbette bireylerin kişisel verilerinin korunması ve özel hayatın gizliliği gibi haklar, bu tür uygulamalar vasıtasıyla tehlike altına girebilir. Akıllara ilk gelen sorulardan birisi, bu verilerin sadece covid-19 salgını ile mücadele kapsamında kullanılmayıp, bunun da ötesine geçen bir kullanıma yayılmasıdır. Hasta olduğu bilinen ve kimliği kolaylıkla ortaya çıkarabilecek olan kişiler, ileride işe alınmama, sigortalanmama veya başka önemli kurumlardan faydalanamama gibi risklere maruz kalırlar mı şeklinde pek çok endişe de vuku bulmaktadır.

 

  1. İz sürme yoluyla elde edilen veriler hukuksal meşruluğa dayanmakta mıdır? İlgili düzenlemelerin getirdiği usul ve esaslar ne demektedir?

Bilindiği üzere kişisel verilerin toplanabilmesi ve işlenebilmesi ulusal ve uluslararası düzenlemelere tabi olup kimse dilediğince dilediği veriyi elde edip işleyemez. Kişisel veriler ancak kanunda öngörülen usul ve esaslara uygun olarak işlenebilir. Bu meseleyi özellikle Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ve Kişisel Verilerin Korunması Kanunu açısından değerlendirecek olursak; öncelikle veri işlenebilmesinde hakim genel ilkelere bakmak gerekecektir:

  • Kişisel Verilerin İşlenmesine Dair Genel İlkeler

GDPR madde 5’e göre; kişisel veriler;

  • veri sahibi ile ilgili olarak hukuka uygun, adil ve şeffaf bir biçimde işlenmelidir;
  • açık ve meşru amaçlara yönelik olarak toplanmalı ve bu amaçlara uygun bir şekilde işlenmeli ve kamu yararı için arşivleme, bilimsel veya tarihi araştırma ya da istatistik yapma amaçları ile yapılan işlemeler, 89.madde ve iş burada anılan amaçlara aykırı olmamalıdır;
  • işlendikleri amacın gerçekleşmesi için yerinde ve gerekli olanla sınırlı kalmalıdır;
  • doğru ve güncel şekilde tutulmalıdır ve işlendikleri amaçlar göz önünde tutularak, doğru olmayan kişisel verilerin gecikmeden silinmesi veya düzeltilmesi sağlanmalıdır;
  • veriler, yalnızca işlenme amaçlarının gerektirdiği süre boyunca ve ilgilinin teşhis edilmesini sağlayan bir şekilde tutulmalıdır;
  • yetkisiz veya yasa dışı işlemeye karşı ve kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere gereken teknik tedbirlerin alınması suretiyle kişisel verilerin güvenliğini sağlayacak şekilde işlenmelidir.

Yukarıdaki düzenlemeye bakacak olursak kişisel veriler

  1. Hukuka uygun meşru bir amaç ile sınırlı
  2. sadece amacın gerçekleşmesine hizmet edecek gereklilik ve ölçüde
  3. doğru bir şekilde
  4. işlendikleri amaç için gerekli olan süre kadar ve
  5. gizlilik ve güvenlik esaslarına uygun şekilde işlenebilecektir.

GDPR’ye göre daha kısa bir düzenleme içeren KVKK madde 4 uyarınca da kişisel verilerin işlenmesi; (i) hukuka ve dürüstlük kurallarına uygun olmalı, (ii)  belirli, açık ve meşru amaçlar için işlenmeli, (iii) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı ve (iv) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Konumuza ilişkin en dikkat çeken temel ilkeler; amaçla sınırlı olma ve ölçülülük ilkeleridir.

Belirli amaç ile sınırlı olmak; veri sorumlusunun, veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Diğer bir deyişle veri sorumlularının, ilgili kişiye belirttikleri amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.

Kamu sağlığı ve güvenliğinin korunması, covid-19 ile mücadele kapsamında özellikle uzak doğuda başlatılan iz sürme uygulamaları için ilk bakışta yeterince açık, meşru ve belirli bir amaç gibi gözükebilir. Kamu sağlığının korunması ile bireye ait bilgilerin ifşası arasında doğrudan kamu sağlığının menfaat terazisinde ağır bastığı da söylenebilir. Tam bu noktada konuyu ayrıca ölçülülük ilkesi açısından değerlendirmekte fayda olacaktır.

Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberler ışığında ölçülülük ilkesi; veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Yani veri işlemenin, amacı gerçekleştirecek ölçüde olması gerekmektedir.

GDPR gerekçe ve kılavuzlarına bakıldığında da ölçülülük ilkesi; “[i]şbu Tüzüğün amacı bireylerin özel hayatının gizliliğini korumak ve rahat bir bilgi akışı sağlamak arasında eşit bir koruma yaratmaktır…[y]ine işbu Tüzüğün amacı ile uyumlu olmak üzere bilgi, ulaşılmak istenen amaca hizmet edecek gereklilikte olmalıdır ve o gerekliliğin ötesine geçmemelidir [13]şeklinde açıklanmıştır.

O halde ölçülü olma, temelinde gereklilik ibaresine işaret etmektedir. Bu konuda Avrupa İnsan Hakları Mahkemesi kararlarından yardım almak mümkündür.

Avrupa İnsan Hakları Sözleşmesi’nin özel hayatın gizliliğini koruyan 8.maddesinin gerekçesinde, özel hayatın gizliliği ile bilgiye erişim arasındaki menfaat dengesinin nasıl kurulması gerektiğini görmekteyiz. Bu dengenin hangi kriterler esas alınarak gözetilmesi gerektiği Avrupa İnsan Hakları Mahkemesi’nin pek çok kararında değerlendirilmiştir. Dudgeon v the United Kingdom[14] kararında; bireyin özel hayatının gizliliğinin korunması ile kamunun bilgiye erişimi birbiriyle yarışan iki menfaattir. Menfaatler arası denge sağlanması ve meşruluk için, “bireye ait bir bilginin kullanılması sahiden gerekli mi” sorusu mutlaka sorulmalıdır. “Gerekli” ifadesi faydalı, mantıklı ya da makbul olan anlamına gelecek şekilde geniş bir şekilde yorumlanamamalı ve o bilginin edinilmesi açısından “zorunlu bir toplumsal gereksinim” (pressing social need) ihtiyacı olmalıdır. Zorunlu toplumsal gereksinim, demokratik bir toplumda, kamu menfaatinin korunması için bireysel bir hakka müdahale ihtiyacının doğması şeklinde yorumlanmaktadır (Sunday Times v the United Kingdom).[15]

Covid-19 ile mücadele etme ve virüsün yayılmasını önlemek amacıyla veri elde edilmesi amaç ile bağlantılı bir önlem midir? Amaç kamu sağlığı ve güvenliğinin korunmasını sağlamak ise, verinin, açıkça bu amaçla sınırlı olarak ve bu amaca hizmet etmek niyeti ile elde edilmesi elbette meşrudur. Ancak sadece amacın meşru olması yeterli değildir. Bu yöntemlere başvurmak covid-19 ile mücadelede sahiden ölçülü müdür? Yani, veri işleme ve gerçekleştirilmek istenen amaç arasında makul bir denge kurulmakta mıdır?

Yukarıda bahsi geçen izleme yöntemleri tek bir teknik uygulamaya dayanmamaktadır. Bireylerin takip edilebilmesi için özel olarak uygulama geliştiren ülkeler de var, GPS veya telefon sinyali ya da kameralar ağları aracılığıyla iz sürme yoluna başvuran ülkeler de var. Ancak bu yöntemler ışığında hangi bilgiler elde edilmekte, veriler nasıl, ne derecede ve ne kadar süre ile işlenmektedir noktasına odaklanılmalıdır. Neredeyse sayılan tüm yöntemlerin özel hayatının gizliliğine dair endişeye mahal verdiği açıktır. Zira kişilerin ziyaret ettiği noktalar kaydedilmekte ve temas ettikleri kişilerin virüsü taşıyıp taşımadığı bilgisi mesaj olarak iletilmektedir. Virüsü taşıyan kişilerin hangi saat, nerede ve hangi gün o noktada bulundukları bilgisi iletilmesi, bazı durumlarda ilgili kişinin kim olduğunun tahmin edilmesi sonucunu doğurmaktadır. Tahmin edilmeleri bir husus olmakla birlikte, çoğu harita uygulaması ise kırmızı noktalar halinde virüs teşhisi koyulmuş kişileri hareket halinde göstermekte ve bu kişi size yaklaşmakta ise uyarı vermektedir. Bu sayede karşınıza denk gelen kişinin hasta olduğunu bilmekle birlikte, simasını da görüyor olabilirsiniz. Diğer bir deyişle, hastalığı taşıyan kişi, fiziki olarak karşısındaki kişinin karşısında teşhir edilmiş de olabiliyor.

Peki ya bu kimse sizin uzaktan tanıdığınız birisi ise? Şahsen tanımasanız bile mahallenizde sıkça görmekte olduğunuz ya da ortak tanıdıklarınızın olduğu birisi ise? Günümüzde sosyal medya gibi bir vasıtanın da olduğunu düşünecek olursak, kişinin az çok kim olduğunu tahmin ederek sosyal medya hesabını bulmak, haliyle de adına ulaşmak pek zor olmayacaktır. Bu ihtimallerde sahiden ölçülü bir şekilde hareket edildiğinden bahsetmek rahatlıkla mümkün olmayabilir. Zira işlenen veri ile gerçekleştirilmek istenen amaç arasında pek de makul olmayan bir denge ortaya çıkmaktadır. Amaç kamu sağlığını korumak iken hasta olan bireylerin ciddi bir şekilde ifşa olması ve hatta itham ve dışlanmaya varacak tehditlere maruz bırakılması söz konusu olabilir.

Peki başvurulan bu yöntemler sahiden gerekli midir? Diğer bir deyişle, Avrupa İnsan Hakları Mahkemesi’nin, kişilerin ve toplumun yarışan menfaatlerinin dengelenmesi konusunda “gereklilik” ibaresini yorumlarken ifade ettiği üzere bu yöntemler başvurulması zorunlu olan toplumsal bir gereksinim midir?

Bu uygulamalardan elbette sonuç alınmaktadır. Öyle ki; pek çok ülke işbu yazı yazıldığı anda dahi bu uygulamaları hızla kendi sistemleri içine almakta ve uygulamaya koymaktadır bile. Söz konusu haritalama ve uyarı yöntemleri pekala vatandaşların, teşhis koyulmuş kişiler ile temasını kontrol etmekte etkin ve haliyle virüsün yayılmasını engelleyebilecek niteliktedir. Kamu sağlığı ve güvenliğinin tekrar sağlanması için her ülkede zorunlu olan bir toplumsal gereksinim vardır. Ama zorunlu bir toplumsal gereksinim başlı başına bu yöntemleri ve haliyle veri elde edilmesini meşru kılamayacaktır. Önemli olan yukarıda da bahsedildiği üzere elde edilen bu veriler ile ne yapılacağıdır. Eğer ilgili kamu kurumları veri sorumlusu olarak, bu bilgileri kontrolsüzce ve dilediğinde ihtiyaç bahanesi altında işliyorsa ya da uygulama şifrelerini kırıp kişilerin bilgilerine ulaşıyorsa işte bu durumlarda, ölçülülük prensibi delinmeye başlanacaktır.

Örneğin, Singapur’da getirilen “Tracetogether” mobil uygulamasında kişilere ait yer verilerin şifrelenerek telefonlara kaydedildiği ve buradan alınan bilgilerin kişiler bazında özel bir şifreli kimlikte saklandığı belirtilmiştir. Ama Singapur Sağlık Bakanlığı tarafından yapılan bir açıklamada ihtiyaç duyulması halinde bu şifrelerin kırılıp, kişilerin kim olduğu bilgisine erişilebildiği açıklanmıştır. Bilindiği üzere pek çok ülke vatandaşlarının bilgilerine rahatlıkla erişebilmektedir. Ama bu bilgilerin nasıl ve ne için ifşa edildiği esas mesele olmaktadır. Bir ülkede kamu sağlığı ve güvenliğinin sağlanmasında ilgili Sağlık Bakanlığı elbette yetkili bir veri sorumlusudur ancak bu yetki çok dikkatli ve sınırlı kullanılmalıdır. Sağlık Bakanlığı hastalığı taşıyan kişilerin kim olduğu bilgisini bir harita oluşturmak suretiyle ifşa ediyor ise, kanımızca bu rahatlıkla o kişiyi ifşa etmek sayılabilecek ve menfaat dengesi birey aleyhine bozulabilecektir.

  • Kişilerin sağlık bilgisinin (özel nitelikli kişisel bilginin) işlenmesi

Bu durumu ayrıca özel nitelikli kişisel veri olarak sayılan sağlığa ilişkin verilerin işlenmesi açısından da değerlendirmek yararlı olacaktır. Nitekim bu kategoride sayılan verilerin kamu güvenliği ve sağlığının gerektirdiği hallerde açık rıza aranmadan işlenmesine müsaade edilmiş ve bu tür veriler farklı bir düzenlemeye tabi tutulmuştur.

KVKK madde 6 uyarınca;

  • kişilere ait sağlık bilgisi özel nitelikli kişisel veri olarak sayılmıştır.
  • Kural olarak özel nitelikli kişisel veriler kişinin açık rızası olmadan işlenemez.
  • Ancak yine aynı maddenin üçüncü fıkrası uyarınca, sağlık ve cinsel hayat hakkındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Yine bu düzenlemenin esasını oluşturan GDPR madde 9’a göre de;

  • Kişilerin sağlığına ilişkin verilerin işlenmesi kural olarak yasaktır.
  • Ancak sağlığı tehdit edecek sınır ötesi tehlikeler veya yüksek standartlarda sağlık hizmeti kalitesi ve güvenliğini sağlamak gibi kamu sağlığına ilişkin, kamunun menfaatini ilgilendiren durumlarda kişilere ait sağlık bilgilerinin üye devletin mevzuatı kapsamında gereken tüm hukuki koruma tedbirleri alınmak suretiyle (mesleki sır tutma yükümlülüğü de dahil) ilgili kişinin hak ve hürriyetine bir halel gelmeden, yetkili kurumlar tarafından işlenmesine müsaade edilmiştir.

GDPR kılavuzlarına baktığımızda “sağlığa ilişkin veri”, sağlık hizmetlerinin sağlanması amacıyla ilgili kişinin sağlık durumunun ifşa edilmesi de dahil, gerçek bir kişinin fiziksel veya akıl sağlığına ilişkin veri olarak tanımlanmıştır.[16]

Bu her iki düzenlemede de dikkatimizi çeken şey, kişilerin sağlık bilgisini içeren verilerin herhangi bir veri sorumlusu tarafından değil ancak kamu sağlığının korunması amacıyla ve sır saklama yükümlülüğü altında bulunan kurumlar tarafından işlenebildiğidir. Bu durumda veri sorumlusu olacak kişi, amaç için yetkili ve mesleki sır saklama yükümlülüğü altında olan bir kişi ya da kurum olmalıdır.

Özellikle Güney Kore örneğine bakacak olursak, ülkenin kendi resmi internet sayfasında yayınlanan ve güncellenen takip haritasında yer alan verilere dayanarak, bazı mobil uygulama geliştiricilerinin daha geniş kapsamlı haritalar içeren uygulamalar sunduğundan bahsetmiştik. İşte tam bu noktada, mobil uygulama geliştiricilerinin özel kişi ya da kurumlar olması ve mesleki sır saklama yükümlülüğü altında olmayan, yetkisiz veri işleme sorumlusu olarak kabul edilmeleri mümkün olabilecektir. Zira, haritalar hasta olan kişiyi göstermekle, ilgili kişilere ait sağlık bilgisini ifşa etmiş olmaktadır. Bu nitelikte bilgiler, sadece sınırlı sayıda kurum ve kişiler tarafından, kanuni düzenlemelere uygun ve bireylerin hak ve hürriyetlerini mutlak surette koruyarak işlenmelidir. Sanırız bu şekilde yaygın ve kontrol dışına çıkan uygulamalar kişisel verilerin korunması usul ve esaslarına uygun düşmeyecektir.

Yine sağlık bilgisine dair veriyi işlemeye yetkili olan kurum veya kuruluşlar da sıkı prensiplere bağlı kalmalı, hukuki kısıtlama ve çerçevelere mutlaka uyarak bireylere ait bu derece hassas verileri işlemelidirler. Bu tür verilere rahatlıkla kamuya açık bir veri tabanından ulaşılması, kurumlara tanınan bu hakkın oldukça esnek ve hukuki sınırlardan uzak kullanıldığı anlamına gelebilir. Zamanla bu durum daha keyfi esaslara dayanarak kullanılabilir, özel kişi ya da kurumlar bu durumdan fayda sağlayabilir.

  1. İz sürme uygulamaları ve teknolojik imkanlar sayesinde temas takibi hususuna dair hukuki netice

Covid-19 ile küresel salgına karşı Dünya’da hızla önlemler alınmakta ve neredeyse tüm ülkeler haklı olarak en büyük önceliğini ve kaynaklarını virüs ile savaşmaya ayırmaktadır. Alınan pek çok önlem arasında teknolojik imkanlardan faydalanmak suretiyle gün içinde hareket halinde olan kişilerin birbiriyle temasının kontrol edilmek istenmesi ve bu sayede virüsün yayılmasını yavaşlatmak da çok anlaşılır, kamu menfaatine yönelik ve mücadelede etkinliği tartışmasız bir yöntemdir. Yöntemin etkinliği tartışılmamakla birlikte, bu yöntemler ile kişilerin gün içi faaliyetleri, gittikleri yerler, görüştükleri kişiler ve hasta olup olmadıkları gibi pek çok nitelikte veri elde edildiği için bu veriler ile ne yapılacağı, bu verilerin ne kadar süre ile saklanacağı ve nasıl kullanılacağı meselesi olmaktadır.

Burada kamu sağlığının tekrar sağlanmasına dair ciddi bir menfaat ve ihtiyaç yatmaktadır ancak sanırız ki bunu hala sağlamak mümkündür. Örneğin; harita uygulamaları ile hastalığı taşıyan kişileri ifşa etmek yerine, bazı ülkelerin yaptığı üzere, uyarı mesajları göndermek ve bunu yaklaşık bir metrekare belirtmek suretiyle olabildiğince hasta olan kişiyi teşhis etmekten uzak ama yine de menfaate hizmet edecek şekilde kullanmak en mantıklısı olacaktır. Bu sayede yarışan menfaatler arası denge olabildiğince korunmuş ve bir taraf aleyhine geçmemiş olur. Unutmayalım ki amaç ölçülülük ilkesini en vahim durumlarda dahi korumaktır. Bu sayede demokratik bir toplumda birey hak ve hürriyetlerinin sahiden her daim korunduğunun garantisi verilmiş olacaktır.

Ülkeler güçlü takip ve gözetleme oluşturmak yerine, gerçekten hedeflenen amaca hizmet etmeye yarayacak şekilde vatandaşlarının temasını kontrol etmelidir. Elde edilen verileri arzu ettiğinde şifreleri kırarak kişilerin kimlik bilgilerini kamunun bilgisine açık hale getirmek kişisel verilerin korunması usul ve esasları ile bağdaşmayacaktır. Önemli olan hastalığın yayılmasını önlemek olup, durum bir cadı avı haline getirilmemeli ve hastalığı taşıyan kişiler ifşa edilmemelidir. Nitekim salgın geçtiği ve hayat normale döndüğü zaman bu kimselerin hayat devamlılığı kaldığı yerden sağlanabilecek durumda olmalıdır. Yine aynı şekilde bu kişilere ait sağlık bilgileri de çok özenle işlenmeli ve kişilerin ileride sigorta kapsamı dışında bırakılması ya da işe alınmaması gibi sonuçlara neden olmamalıdır.

Ülkeler bu iz sürme yöntemlerini kötüye kullanmamalı, salgın ile mücadele sona erdiği zaman mobil uygulamaların veya telefon sinyali ile sürme durumu sona ermelidir. Diğer bir deyişle, yine kişisel verilerin korunması ilkeleri kapsamında veri sadece ihtiyaç duyulan süre ile sınırlı kalarak, ötesine geçmeyerek kullanılmalıdır.

Daha detaylı bilgi için lütfen hande.aksu@ege-law.com veya info@ege-law.com

 

[1] https://bluetrace.io/

[2] https://www.pymnts.com/coronavirus/2020/app-lets-singapore-track-virus-patients-movements/

[3] https://www.washingtonpost.com/world/asia_pacific/coronavirus-south-korea-tracking-apps/2020/03/13/2bed568e-5fac-11ea-ac50-18701e14e06d_story.html

[4] a.g.e.

[5] https://www.haaretz.com/israel-news/israel-unveils-app-that-uses-tracking-to-tell-users-if-they-were-near-virus-cases-1.8702055

[6] https://www.npr.org/sections/coronavirus-live-updates/2020/04/02/825860406/in-germany-high-hopes-for-new-covid-19-contact-tracing-app-that-protects-privacy

[7] https://www.washingtonpost.com/world/asia_pacific/coronavirus-south-korea-tracking-apps/2020/03/13/2bed568e-5fac-11ea-ac50-18701e14e06d_story.html

[8] a.g.e.

[9] http://english.hani.co.kr/arti/english_edition/e_national/932783.html

[10] https://phmovement.org/phm-korea-statement-on-covid-19-outbreak-and-responses-in-south-korea/

[11] https://www.pymnts.com/coronavirus/2020/app-lets-singapore-track-virus-patients-movements/

[12] https://www.npr.org/sections/coronavirus-live-updates/2020/04/02/825860406/in-germany-high-hopes-for-new-covid-19-contact-tracing-app-that-protects-privacy

[13] https://gdpr-info.eu/recitals/no-170/

[14] https://www.echr.coe.int/Documents/Guide_Art_8_ENG.pdf

[15] https://globalfreedomofexpression.columbia.edu/cases/the-sunday-times-v-united-kingdom/

[16] https://gdpr-info.eu/recitals/no-35/