Mahremiyetimiz için bu defa pazarlık konusu sosyalleşme değil, canımız.

Dünyada ve ülkemizde salgın ile mücadele için teknoloji kullanımı ilk andan itibaren kişisel veri özelinde tartışılmaya başlandı. Basit bir ateş ölçme ile başlayan kişisel veri tartışmaları kişilerin cep telefonu uygulamaları ile takibine kadar geldi. Ve burada da kalacak gibi görünmüyor. İnternet mu hukuku değiştirecek, hukuk mu interneti değiştirecek diye yıllar önce sorduğumuzda ilk değişen kavramın mahremiyet olduğu sonucuna varmıştık. Mahremiyet eşiğimiz 10 yıl öncesine göre çok değişse de yine aynı tartışmalara başladık. Ve bu defa pazarlık konusu sosyalleşme değil, canımız.

Sağlık ve Konum Verisi Toplama Yetkisi

Kişisel Verileri Koruma Kurumu 09.04.2020 tarihinde yaptığı kamuoyu duyurusunda KVKK’nın uygulanmayacağı istisnaların sayıldığı 28. maddede özellikle belirtilmeyen salgın hastalığın, anılan maddede belirtilen kamu düzeni ve kamu güvenliği kapsamında olduğu değerlendirilmiştir [1]. Yetkili kurum ve kuruluşlarca kamu düzeni ve güvenliğinin temini için konum verisi işlenmesinin önünde bir engel olmadığı belirtilmiştir. Burada sadece konum verisi değil, sağlık verisinin de işlendiğinin farkında olan Kurum, yine de teknik ve idari tedbirlere dikkat edilmesi ve amaç ortadan kalktıktan sonra da verilerin silinmesini veya yok edilmesini tavsiye etmiştir. Özetle yetkili kurum ve kuruluşların mobil uygulamalarla hastalık taşıyan ve taşıma riski olan kişilerin tespiti, karantina kontrolü gibi amaçlarla iletişim, sağlık ve konum gibi kritik verilerin işlenmesinin yasal olarak mümkün olduğu sonucuna varılmıştır.

Hayat Eve Sığar ve KVKK

Kurumun görüşü çerçevesinde Sağlık Bakanlığı tarafından geliştirilen Hayat Eve Sığar uygulamasını kısaca inceleyeceğiz [2], [3]. Size sorulan sorularla toplanan sağlık verileriniz sonucunda tavsiye niteliğinde bilgi paylaşılmaktadır. İzolasyon altın olması gereken bir kişi iseniz aydınlatma metninden anlaşıldığı üzere izolasyon bölgesini terk ettiğinizde kolluk kuvvetlerine bildirilmektedir. Tersten bulunduğunuz bölgede izolasyon altında bir kişi varsa ve genel olarak riskli bir bölge ise size riskli bölgede olduğunuz bilgisini vermektedir. Özetle uygulama Kurumun konum ve sağlık verisi açısından uygunluk görüşü kapsamındadır. 

covid uygulamaları

Haberlerde bir süre sonra geliştirilen akıllı algoritmalar sayesinde, vatandaşın riskli kişilerle temas edip etmediğinin gözlemlenmesi de sağlanacağı belirtilmektedir [4]. Haberlere yansıyan uygulamanın özelliklerine dair açıklamalar ile aydınlatma metni arasında henüz devreye girmediğinden farklar mevcuttur [5]. Dünyadaki benzer uygulamalara baktığımızda bunun için en çok kullanılan yöntem bluetooth veya QR kod kullanımı şeklindedir. Bluetooth kullanımında cihazlar birbiriyle haberleşmekte uygulama da bunları otomatik olarak kayıt altına almaktadır. QR yönteminde ise uygulamayı indiren herkes olduğu bölgede herkesin göreceği yerlere uygulamadan indirdiği QR kodunun çıktısını yerleştirmekte ve o bölgeden geçenler bu kodu okutmaktadır. Kabaca bu yöntemlerde amaç kişileri eşleştirmektir. Kişisel verilerin kuluçka dönemi kadar veya en çok pandemi dönemi kadar saklanması sonra amacı bittiği için silinmesi tavsiye edilmektedir. Aksi durumda bu verilerin kamu güvenliği ve düzeni amacı dışına çıktığını düşünebiliriz. 

İzin Almaksızın Kişisel Veri İşleme

Yetkili kurum ve kuruluşların uygulamaya ihtiyaç duymaksızın mobil cihazınızın konumunu takip etmesi de mümkün müdür? Sağlık Bakanlığı’nın talebi Bilgi Teknolojileri ve İletişim Kurumu’nun aracılığı, Operatörler’in yükümlülüğü şeklindeki sade bir zincir ile konum verisinin uygulama olmaksızın işlenmesi de mümkündür. Çok büyük bir veriden bahsetmiş olsak da hasta ve konum verilerinin bu şekilde eşleştirmesinin önünde yine yasal bir engel bulunmamaktadır. Elbette istisna kapsamında olması demek sınırsız bir kullanım hakkı da vermeyecektir. Bunu uygulayan ülkelere ilk tepki mahremiyet konusunda gelmiştir. Uygulamalar ile kişiler bilinçli olarak bu sürece dahil olmakta ve sonuçları bilmektedirler. Bu şekilde arka planda bilmedikleri bir sürecin sonucunda kendileriyle irtibata geçilmesi veya ne zaman irtibata geçilecek acaba beklentisi tedirgin edecektir. 

Bu arada bir başkası yazının konusu olmakla birlikte konum verisi her ne kadar özel nitelikli bir kişisel veri olmasa da çoğu zaman sağlık verisi ile yarışır uygulama alanlarını olduğunu da unutmamak gerekiyor.

KVKK ve Konum
Photo by Tobias

Yine istisna kapsamında duran bu uygulamayı yetkili kurum ve kuruşlar yaptıkça sorun yoktur. Hatta yapması bir görev dahi olabilir.

  • Salgın ile sınırlı olması, siber güvenlik tedbirlerine dikkat edilmesi,
  • Mümkün olduğunca az tedarikçi ile çalışması,
  • İhtiyaç olmayan verinin işlenmemesi,
  • Verilerin mümkün olduğunca ilgili kişinin cihazında tutulması,
  • Bir veri aktarımı gerekiyorsa bunun bulanıklaştırarak yapılması,
  • Her seviye kullanıcıya hitap eden sade, anlaşılır ve şeffaf aydınlatmanın yapılması şeklinde temennilerimizi sıralayabiliriz.

Panik oluşması çekincesi, uygulamaların manipüle edilme ihtimali, yanlış kişilerle iletişime geçilmesi gibi riskler kamunun bir ayağının frende olmasına da sebep olmaktadır. Yaygın olması, sağlık hizmetlerine erişimi kolaylaştırması, ücretsiz olması ve herşeyden önemlisi güven duyulması bu uygulamaların başarısını artıracaktır. Bu uygulamalar elbette kesin çözüm değil, kötünün iyisi tedbirlerdir. Çünkü çoğu kişinin teknolojiye erişimi yok veya teknoloji okur yazarlığı düşük olduğu için bu uygulamaları kullanamayacaktır.

Kamunun Çekinceleri

Panik oluşması ihtimali, uygulam kurgularının manipüle edilme ihtimali, yanlış kişilerle iletişime geçilmesi, otomatik süreçlerin hatalı sonuçlar üretmesi gibi riskler kamunun bir ayağının frende olmasına da sebep olmaktadır.

Yaygın olması, sağlık hizmetlerine erişimi kolaylaştırması, ücretsiz olması ve herşeyden önemlisi güven duyulması bu uygulamaların başarısını artıracaktır. Bu uygulamalar elbette kesin çözüm değildir. Çünkü çoğu kişinin teknolojiye erişimi yok veya teknoloji okur yazarlığı düşük olduğu için bu uygulamaları kullanamayacaktır.

Teknolojinin kişisel veri ile ilişkisine devletlerin ürettiği uygulamalar çerçevesinde değindik, takip eden yazılarımızda salgın için uygulama geliştirmek isteyen özel sektörle beyin fırtınası yapacağız.

1. https://kvkk.gov.tr/Icerik/6726/COVID-19-ILE-MUCADELEDE-KONUM-VERISININ-ISLENMESI-VE-KISILERIN-HAREKETLILIKLERININ-IZLENMESI-HAKKINDA-BILINMESI-GEREKENLER-2-
2. https://apps.apple.com/tr/app/hayat-eve-sığar/id1505756398?l=tr
3. https://play.google.com/store/apps/details?id=tr.gov.saglik.hayatevesigar&gl=TR
4. https://www.aa.com.tr/tr/koronavirus/kovid-19-ile-mucadelede-hayat-eve-sigar-mobil-uygulamasi-hayata-gecirildi/1809714