“SALGINDA” KİŞİSEL VERİLERİN KORUNMASI VE ÖLÇÜLÜLÜK

08
Haz2020

“SALGINDA” KİŞİSEL VERİLERİN KORUNMASI VE ÖLÇÜLÜLÜK

Tüm insanlığı etkisi alarak, hayatın akışını durma noktasına getirmiş olan koronavirüs pandemisi, beraberinde ciddi kayıplar, zorluklar ve korkuları da getirdi.  Amaç öncelikle hayat kurtarmak ve salgını önlemek iken, bu amaca hizmet edeceği düşünülen tüm bilgiler kısıtlamasız ve sınırsız biçimde paylaşılmaya başlandı. Dolayısı ile, hayatta kalma ve sevdiklerini koruma endişesi bu derece yoğun yaşanır iken, çözüm arayışına engel olacak ya da yavaşlatacak tüm düzenlemelerin tartışmalı hale gelmesi de kaçınılmaz olmuştur.

Salgın döneminde kişisel verilerin korunması, titizlikle ele alınması ve en ufak bir ihmal olmaksızın uygulanması gereken bir süreçtir. Bu hususlar fikir ayrılıkları en aza indirilerek, azami dikkat ve özenle uygulanmalıdır. Aksi halde, kişisel verilerin korunamaması söz konusu olacak ve telafisi imkansız sonuçlar doğuracaktır.

Nitekim Avrupa Birliği’nin 28 AB üye ülkesinin birçoğu, tek bir kapsayıcı sıkı veri gizliliği mevzuatına (Genel Veri Koruma Yönetmeliği (GDPR)) sahip olmasına rağmen, Avrupa’nın pek çok ülkesinde pandemi süresince pek çok fikir ayrılıkları ve uygulama farklılıkları ortaya çıkmaya başlamıştır.

Koronavirüs pandemisi Avrupa’ya yayıldıkça, veri koruma yetkilileri (DPA’lar) işverenlerin ve diğer kuruluşların (okullar, apartman blokları ve alışveriş merkezleri de dahil olmak üzere) insanlara kişisel ve tıbbi ile ilgili bilgileri sorma konusunda ne kadar ileri gidebilecekleri konusunda sorularla karşılaşmışlardır. Hal böyle iken, tüm veri koruma yetkilileri (DPA) sadece “temel” bilgilerin toplanması ve paylaşılması gerektiği konusunda hemfikir olsa da, DPA’ların “temel” olanın neleri kapsayabileceği konusunda farklı tolerans seviyelerinde olduğu görülmektedir.

Tüm bunlar, kişisel verilerin korunmasına dair mevcut düzenlemelerin ne kadar belirsiz olduğunu ve farklı yorumlara yol açtığını göstermektedir. Şöyle ki;

  • Fransa ve İtalya’daki veri koruma yetkilileri, işverenlerin çalışanlarının sağlık durumları hakkında aktif olarak bilgi toplamaması veya nereye gittikleri veya ailelerinin ve arkadaşlarının sağlığı ve refahı hakkında sorular sormaması gerektiğine ancak hastalananların kaydını oluşturabileceğine dair çok erken işaretler vermiştir.
  • Danimarka ve İrlanda veri koruma yetkilileri, hassas kişisel verilerin yasal olarak GDPR kapsamında toplanıp ifşa edilebileceğini, ancak bu tür işlemlerin meşru ve gerekli olanlarla sınırlı olup olmadığının değerlendirilmesinin önemini vurgulamışlardır.
  • Hollanda, işverenlerin çalışanların hastalığına dair detaylı bilgileri kaydetmemesi gerektiğini, ancak bir sağlık sorunu var ise bunun ne kadar süre devam edeceklerini sorgulayabileceklerini açıklamıştır.
  • İngiltere ise, veri korumasının işverenlerin soru sormasını veya meslektaşlarına bildirimde bulunmasını yasaklamadığını, ancak kuruluşların gereğinden fazla bilgi istememesi gerektiğini belirterek, “uygun güvenlik önlemlerini” uygulamalarını hatırlatmıştır.
  • Finlandiya telekomünikasyon işletmecisi olan Telia firması, hükümetin virüsle savaşması için gerçek zamanlı, ancak anonimleştirilmiş kullanıcı hareketi verilerini sağlamaktadır.
  • İtalya ve Avusturya koronovirüsün bulaştığı kişilerin hareketlerini izlemek için mobil konum verilerini kullanmaktadır.
  • Fransa ve Norveç dahil olmak üzere diğer bazı ülkeler merkezi bir yaklaşım seçmiş olup, sağlık görevlileri hastalığı ve yayılmasını kontrol altına alabilmek adına verilere daha kolay ulaşarak analiz yapabilmektedirler.
  • Avrupa dışında, Güney Kore ve İsrail de, koronavirüsün bulaştığı kişilerin hareketlerini izlemek için mobil konum verilerini kullanmaktadır.
  • Çin, virüsü izlemek için yüz tanıma araçlarından yararlanmaya ve insanlara maske takmalarını söyleyen insansız hava araçları çalıştırmaya başlamıştır. Mobil takip ve izleme sistemleri de uygulama da yaygın olarak kullanılmıştır.
  • Singapur, enfeksiyon riski altında olanları belirlemek için Bluetooth kullanan TraceTogether adlı bir uygulama başlatmıştır.

Anlaşılacağı üzere, tüm Dünya’nın hayatta kalma mücadelesi sürerken “veri korumanın” ana endişe kaynağı olmadığı görülmektedir.  Ancak, pandemi sürecinde kişisel verilerin toplanması ve işlenmesi için ilgili kişinin açık rızasını aranmamaktadır. Hal böyle iken, ilgilinin rızası olmaksızın toplanan verilerinin “veri korumanın” temel ilkelerine bağlı şekilde “ölçülü ve amaçla sınırlı” şekilde sürdürülmesi “veri sorumlusu” nun yönetimindedir. Veri sorumlularının bu süreçte, keyfiyet içerecek, sınırı aşacak tüm eylemleri ciddi sorunları ve güvensizlikleri de beraberinde getirecek olup, tüm bu ihtimaller ve boyutları iyi düşünülmelidir.

Nitekim, Avrupa Veri Koruma Kurulu (EDPB) da, GDPR’ın koronavirüs pandemisine karşı mücadelede alınan önlemleri engellemediğini, ancak işletmelerin GDPR’ye uymaktan muaf olmadığının altını çizmiştir. Açıklamadan anlaşılacağı üzere GDPR ilkeleri hala geçerlidir. Bu ilkeler;

  • Amaç sınırlaması ve veri minimizasyonu. İzlenen hedeflere ulaşmak için gerekli olan kişisel veriler, belirlenmiş ve açık amaçlar için işlenmelidir.
  • Şeffaflık. Bireyler, toplanan verilerin elde tutulması süresi ve işlemenin amaçları da dahil olmak üzere, işletmelerin işleme faaliyetleri ve bunların temel özellikleri hakkında açık ve anlaşılır bir dilde şeffaf bilgiler almalıdır.
  • Güvenlik. İşletmeler, kişisel verilerin yetkisiz taraflara ifşa edilmemesini sağlayacak yeterli güvenlik önlemlerini ve gizlilik politikalarını benimsemelidir.
  • Hesap verebilirlik. İşletmeler acil durumu ve temeldeki karar alma sürecini yönetmek için uyguladıkları önlemleri belgelemelidir.

Burada doğru ifade edilmesi ve kabul edilmesi gereken husus; Salgınla mücadele ederken “insan hayatı”  tartışmasız şekilde en değerli ve öncelikli olandır. Kişisel verilerin bu mücadelede sağlayacağı fayda “insan” hayatına hizmet niteliğindedir. Bu bağlamda özellikle ve tekrar belirtmek gerekir ki, kişisel verilerin korunması, kişisel verilerin “salgınla mücadeleye ” karşı korunması değildir. Nitekim mevcut düzenlemeler, toplum sağlığı için gerekli olduğu sürece, ilgili kişilerin rızasını almasına gerek kalmadan kişisel verileri işlemesine izin vermektedir. Bu derece değerli olan verilerin “amaç dışı kullanımdan” korunmaya muhtaç oldukları ise tartışmasızdır.

EDPB (Avrupa Veri Koruma Kurulu) başkanı Andrea Jelinek de, “Veri koruma kuralları (GDPR gibi) koronavirüs pandemisine karşı mücadelede alınan önlemleri engellemiyor” şeklindeki söylemi ile, kişisel verilerin korumanın salgın ile mücadeleye zarar vermeyeceğinin altını çizmiştir.

O halde, kişisel verilerin salgın ile mücadeleden uzak tutulması değil, salgın ile mücadeleye katkıda bulunurken ölçülü ve amaca bağlı kalınmak suretiyle korunması amaçlanmalıdır. Bu yazının içerisinde geçen tüm “Kişisel Verilerin Korunması” ifadeleri de; bu verilerin salgın ile mücadeleye fayda sağlamasının desteklenmesi ve fayda sağlarken de korunması anlamında kullanılacaktır.

Böyle bir süreçte kişisel verilerin ölçülü şekilde toplanması, işlenmesi, değerlendirilmesi ve korunması ise, ancak sınırların iyi belirlenmesi ve “amacın” doğru şekilde ortaya konulması ile mümkün olacaktır.

Belirtmek gereken diğer bir husus da, devletin kişisel verileri toplama amacı ve sürece dair şeffaf bir politika belirlemesi gerektiğidir.  Salgın sürecinde pek çok tedirginlik ve tereddüt arasında toplumun, kişisel verilerinin ne şekilde işleneceğine dair bilgilendirilmesi ve bu bakımdan tereddütlerini giderecek bir süreç yönetimi kamuya  duyulan güveni daha da sağlam hale getirecektir. Amaç ile bağlantılı ve orantılı (ölçülü) bir uygulama kadar, şeffaf yürütülen bir süreç de büyük öneme sahiptir.

Burada ortak ve temel amaç ve fayda toplum sağlığını güvende tutmak, salgının daha fazla yayılmasının önüne geçmek ve tıbben erken müdahalede bulunarak kişilerin hayatta kalma ihtimalini arttırmaktır. Amaç net ve tartışmasız şekilde ortada iken, netleştirilmesi gereken ve esnek uygulanma ihtimali daha kuvvetli bulunan hususlar kısaca şu şekilde sıralanabilir;

  1. “Kimlerin” verileri toplanacaktır?
  2. Toplanacak, işlenecek ve korunması gerekecek verilerin “türleri” nelerdir?
  3. Bu verileri “kimler, hangi yöntemle” toplayacak ve erişeceklerdir?
  4. Veriler “nerelere ve nasıl” aktarılacaktır?
  5. Veriler “nerede ve nasıl muhafaza” edilecektir? Nelere dikkat edilmesi gerekmektedir?
  6. Veriler “ ne kadar süre” boyunca saklanacak ve “ne şekilde imha” edilecektir?

Bu sorulara verilecek yanıtlar Kişisel Verilerin Korunması yönünden büyük önem arz etmektedir.

  1. “Kimlerin” verileri toplanacaktır?

Hızlı şekilde yayılan ve bulaşıcılık seviyesi ileri boyutta olan bir virüs salgını mevcut iken, toplumda yaşayan tüm gerçek kişiler virüsün yayılmasına etki edecek derecede önem arz etmektedirler. Veri sahibi gerçek kişilerin yanında, aile (yakını) üyelerinin ve/veya en son görüştüğü kişilerin kimler olduğu da salgının yayılma hızına etki edecek faktörlerdendir. Bu sebeple tüm bu kişilerin birbiri ile bağlantılı şekilde verilerinin toplanması gerekebilecektir. Burada sınırların belirlenmesi ise; yalnızca virüsün bulaşmış olduğunun tespit edildiği, ya da bulaşma ihtimalinin (mesleği veya temasta bulunduğu kişiler sebebi ile) yüksek olduğu kişi ve/ veya bu kişi ile temas/yakınlık halinde olan kişilerin verilerinin toplanması ile sağlanmış olacaktır. En önemli faktör salgın ile mücadelede kişisel veri sahibinin arasında bir bağın/ilişkinin mevcut olması ya da kurulacak olmasıdır.

  1. Toplanacak, işlenecek ve korunması gerekecek verilerin “türleri” nelerdir?

Salgın ile mücadele; salgının yayılmasının önlenmesi ve mevcut vakıaların hayatta kalmalarının sağlanması ile sürdürülmektedir. Bu çerçevede yalnızca salgını önleme ve tedavi kapsamında gereken veri türlerinin işlenmesi büyük önem arz etmektedir. Belirli bir amaca yönelik gerçekleştirilen söz konusu veri işleme faaliyetinde gereğinden fazla kişisel veri işlenmesi sınırın aşılması ve ihlal niteliğinde kabul edilecektir.

Bu bağlamda kimlik ve iletişim verisi haricinde ve ilaveten işlenecek veriler;

  • Seyahat veya konum verisi: Risk teşkil eden bölge ve yerlerde, tiyatro, konser, sergi vs faaliyetlerde bulunulmuş olması yönünden,
  • Çalışma ve çalışanların verisi: Çalışanlar ve temasta bulundukları diğer şahıslara bulaşmanın önlenmesi yönünden,
  • Aile veya yakını verisi: Bu kişilere de bulaşmanın önlenmesi, veya bu kişilerde mevcut bir bulaşı olması durumunda veri sahibi olan ilgili kişiye bulaşmasının önlenmesi yönünden,
  • Sağlık verisi: Kronik rahatsızlık gibi riskli durumların tespit edilerek önlem alınması yönünden,
  • Banka ve finans verisi: Kişinin alışverişte bulunduğu yerlerin riskli olduğu tespit edilmesi durumunda erken müdahalede bulunulması ve yayılmaması için gerekli önlemlerin alınması yönünden,
  • Görsel veri: Kişinin temasta bulunduğu yer ve kişilerin tespit edilerek erken müdahalede bulunulması ve yayılmaması için gerekli önlemlerin alınması yönünden,

toplanması mümkün görünmektedir.

  1. Bu verileri “kimler, hangi yöntemle” toplayacak ve erişeceklerdir?

Öncelikle, ilgili kişinin, yukarıda sayılan türde verilerini toplayacak olan veri sorumlularının, kişisel verilerin korunması gerekliliğine, sorumluluklarına vakıf olması, amaçla ile bağlantılı ve sınırlı olacak şekilde veri toplaması, işlemesi ve korunması gerekmektedir.

Veri sahibi vatandaş yönünden Sağlık Bakanlığı, İçişleri Bakanlığı, Ulaştırma Bakanlığı gibi kamu otoritelerinin salgının önlenmesi ve kontrol altına alınabilmesi amaçlı uygulamalar, yazılımlar, kontroller gerçekleştirerek, telefon veya diğer iletişim yöntemleri ile ulaşarak verileri toplaması mümkündür.

Kişisel Verileri Koruma Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Mevcut salgın, kamu güvenliğini ve kamu düzenini tehdit etmekte olup, kişisel verilerin Sağlık Bakanlığı ve kamu kurum ve kuruluşları tarafından işlenmesi mümkündür.

Kamu yararına faaliyet gösteren sivil toplum kuruluşlarının, kişide mevcut veya yakınlarında/temasta bulunduğu kişilerde mevcut olabilecek salgının kontrol altına alınması, bulaşının önlenmesi amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Veri sahibi çalışanlar yönünden, işverenlerinin çalışanlarda mevcut veya olası salgının önlenmesi, azaltılması amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Özel sağlık kuruluşlarına başvuran kişiler yönünden, kişinin güncel sağlık durumunun bulaşıcılık riski taşıyıp taşımadığı, olası bulaşının önlenmesi, kişide mevcut veya yakınlarında/temasta bulunduğu kişilerde mevcut olabilecek salgının kontrol altına alınması, bulaşının önlenmesi amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Bankalar, kargo firmaları, alışveriş merkezleri ile iş ve işlemleri olan kişiler yönünden, kişinin temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda olası bulaşının boyutları tespit edilerek salgının kontrol altına alınması, bulaşının önlenmesi amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Oteller, organizasyon, ulaşım veya seyahat firmaları ile iş ve işlemleri olan kişiler yönünden, kişinin güncel sağlık durumunun bulaşıcılık riski taşıyıp taşımadığı, olası bulaşının önlenmesi, kişinin temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda bulaşının boyutları tespit edilerek salgının kontrol altına alınması, bulaşının önlenmesi amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Eğitim Kurumları, kreşler ile iş ve işlemleri olan kişiler yönünden, kişinin güncel sağlık durumunun bulaşıcılık riski taşıyıp taşımadığı, olası bulaşının önlenmesi, ileride bulaşı olması durumunda temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda bulaşının boyutları tespit edilerek salgının kontrol altına alınması, amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Site yönetimlerine bağlı evlerde ikamet eden kişiler yönünden, olası bulaşının önlenmesi, ileride bulaşı olması durumunda temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda bulaşının boyutları tespit edilerek salgının kontrol altına alınması, amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Dernek ve vakıflar, birliklerin üyeleri, barolara bağlı kişiler yönünden (kişinin güncel sağlık durumunun bulaşıcılık riski taşıyıp taşımadığı, olası bulaşının önlenmesi, ileride bulaşı olması durumunda temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda bulaşının boyutları tespit edilerek salgının kontrol altına alınması, amacına hizmet eden) kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

  1. Veriler “nerelere ve nasıl ” aktarılacaktır?

Her bir veri sorumlusu yönünden toplanacak veriler farklılık arz edebilecek ise de hepsinin ortak yönü salgının önlenmesi ve ortadan kaldırılması amacına hizmet etmesi olacaktır. Aynı husus aktarım için de geçerlidir.

Kişisel verilerin aktarımı da, toplanması ve saklanması kadar titizlikle alınması gereken bir karar ve aynı titizlikle yürütülmesi gereken bir süreçtir. Hal böyle olunca salgını önlemek, azaltmak, ortadan kaldırmak amacıyla toplanan verilerin aynı amaçtan kopmadan aktarılabileceğini unutmamak gerekir. Bu kapsamda öncelikle toplum sağlığına hizmet eden kamu otoritelerine (Sağlık Bakanlığı, İç İşleri Bakanlığı,  Ulaştırma Bakanlığı) aktarımın ölçülü olacağını düşüncesindeyiz. Aynı şekilde özel sağlık kuruluşlarına aktarımın talep edilmesi ve salgın ile mücadelede gerekli olduğu kanaatinin uyanması durumunda veri aktarımının gerçekleştirilebileceği kanaatindeyiz.

Salgının yayılma hızını azaltmak, etkilenecek kişi sayısını en aza indirmek, tedbir olunmasını sağlamak amaçlarıyla, temasta bulunulmuş olacak kişilerle iletişime geçilmesi ve risk hakkında gerektiği kadar (hastalığın bulaştığı ve onunla temasta bulunulan kişinin de imlik verisi ve sağlık durumunu kısmen içeren) bilgiler vermek suretiyle paylaşımda bulunulması uygun olacaktır. Yani, işverenler personeli koronavirüs vakaları hakkında bilgilendirmeli ve koruyucu önlemler almalı, ancak gereğinden fazla bilgi iletmemelidir. Hatta rıza almanın zorunlu olmadığı durumlarda dahi,  hastalığın bulaştığı çalışan, hakkında (diğer çalışanlara) aktarılacak bilgiler konusunda bilgilendirilmeli ve mahremiyetlerine saygı gösterildiği (ölçülülük) iletilmelidir. 

Veri işleme ve toplama amacının temelini oluşturan bu salgın ulusal seviyede olmayıp, tüm Dünya için tehlike arz eder hale gelmiştir.  Tüm Dünyayı ilgilendiren ve oldukça hızlı şekilde bulaşıcılık arz eden bu hastalığın önlenmesi ve sona erdirilmesi amaçlarıyla pek çok ülkede çalışmalar yürütülmektedir. Bu sebeple Türkiye’de üçüncü kişilere ve kurumlara aktarımlar haricinde, küresel bu salgının yayılmasının önlenmesi ve tedavi amaçlarıyla, mevzuatta öngörülen şartlara uygun olarak ve mevzuatta belirtilen güvenlik önlemlerini alarak  yurt dışına aktarım da söz konusu olabilecektir.

Tüm bu veri aktarımları sırasında, verilerin korunması ve olası sızıntıların önlenmesi de oldukça önemlidir.

  1. Veriler “nerede ve nasıl muhafaza” edilecektir? Nelere dikkat edilmesi gerekmektedir?

Kişisel verilerin toplanması ve aktarılması kadar muhafazası da önem taşımaktadır.

Salgın ile birlikte, insanların uzaktan (evlerinde) çalışma hayatına geçmesi, yeterli güvenlik sistemleri içermeyen ağ bağlantıları gerçekleşmesi sebebi ile ciddi risk teşkil etmektedir. Çünkü, mevcutta pek çok işyeri uzaktan çalışma hayatına geçmiş ise de, çalışanların uzaktan çalışmalarını sağlayan (kişisel verilerin topladığı, işlendiği ve muhafaza edildiği) bilişim sistemlerinin yeterince güvenli olduğu ve uzaktan çalışmaya hazır olduğunu söylemek  pek de mümkün değildir. Zira siber güvenlik bağlamında suçlular, salgın sonrasında uzaktan eğitim, uzaktan çalışma gibi yöntemlerin artmasını kendileri için bir fırsat olarak görmüşler, bu amaçla çeşitli yöntemler geliştirmişlerdir. Bunlara örnek olarak; hileli e -postalar (saldırıya uğradığınızı ve bunların çözülmesine yardımcı olacaklarını belirten ‘yardımcı’ kişilerden) veya telefon aramaları, hayali güvenlik önlemleri veya web sitelerine bağlantılar içeren enfekte eklere sahip (salgın temalı) kimlik avı e-postaları gösterilebilir.

Bu sebeple söz konusu salgın öncesi ve sonrası toplanan verilerin titizlikle (ihmalin olmadığı ve her türlü ihtimalin değerlendirildiği şekilde)  korunması adına, azami idari ve teknik tedbirlerin alınması şarttır. (Koronovirüs salgını sonrası toplanan kişisel veriler gibi, salgın öncesi mevcut olan kişisel verilerin de korunması güvenlik tedbirlerini arttırmak gerekecektir. )

İdari güvenlik tedbiri olarak; uzaktan çalışma politikası belirlenmeli, şüpheli bir veri ihlali olması durumunda, olası tedbirler ve yapılacaklar belirlenmeli, irtibat kişilerinin güncel bilgileri belirlenmeli ve çalışanların bu politikaya bağlı kaldıkları denetlenmelidir. Uzaktan çalışma sırasında işyeri dışına çıkartılmış olunan kağıtlar, dosyalar vs. güvenli bir şekilde teslim edilmeli, taşınmalı, muhafaza edilmeli ve ger alınmalıdır. Çalışanın ailesi veya evinde bulunan diğer kişilerin gerek bilgisayar gerek ise bu evraklara erişiminin olmayacağı bir alanda çalışması ve cihazların kullanılmadığında kapalı, kilitli veya dikkatli bir şekilde saklandığından emin olunması gerektiği belirtilmeli, denetlenmeli (Çalışanın evinde kilitler, alarm sistemleri vb. gibi ileri düzeyde fiziksel güvenliğin olması aranmalıdır ) ve sorumluluk uyarısında bulunulmalıdır.

Bu kapsamda, teknik tedbirlere de yönelerek; yalnızca güvenilir wifi ağları (kamuya açık veya riskli wifi ağları kullanılmamalıdır) veya bulut hizmetleri kullanılmalı,  cihazların şifrelemeyle güvence altına alınmalı, verilerin muhafaza edildiği ortamlara (fiziki, bilişim sistemleri, veri kayıt sistemleri içerisine v.s.) erişim kısıtlaması getirilmeli, çevrimiçi güvenlik önlemleri (anti-virüs sistemlerinin kurulması ve güvenlik duvarlarının risk içermemesi) , kamera sistemleri kurulmalı, denetime tabi girişler uygulanmalıdır.

Bir başka veri türü olan, (mobil telefon aracılığı ile toplanan)  konum verilerinin ve uygulamaların muhafazası hususunda ise;

Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmıştır. Kişiyi belirlenebilir hale getiren konum verisi, kişisel veri kapsamındadır.

Bu verinin salgın sürecinde toplanması ve işlenmesi; hasta kişilerin tespiti, hastalığı bulaştırma riski bulunan kişilerle görüşmüş kişilerin tespiti, virüsün yayılma haritası çıkartılarak karantina uygulanması geliştirilmesi, riskli yerlerin tespiti, sürecin kontrollü sürdürülmesi gibi (virüsün yayılımını önlemek ve sona erdirmek) amacıyla olmalıdır.

Bu veri “cep telefonu takibi” yolu ile toplanmakta olup,  bu verinin toplanma ve işlenme yönünden ekstra inceleme ve güvencelere tabi olması gerekmektedir. Zira konum verileri kişinin özel hayatına dair ciddiyetle ele alınması ve korunması gereken diğer bir veri türüdür.

Bu veri toplanırken de, veri minimizasyonu sağlanmalı, gerçek kişiyi tanımlayan tüm veriler ve konum verisi birlikte toplanmak suretiyle orantısız bir uygulamaya gidilmemelidir. Öyle ki, konum verisinin işlenmesindeki amaç (salgında bulaşının izlenmesi veya tespit edilebilmesi) , insanların temasta bulundukları mesafe ve sürenin bilinmesi, toplulukların tespiti ve konumu ile sağlanabilmekte ise, (bunun yanında ayrıca) kişilerin kimlik verilerinin işlenmesi,  aile verilerinin işlenmesi, iletişim verilerinin işlenmesi  amacın dışına çıkan (gerekenden fazla) bir veri işleme ortaya çıkarır. Bunun yerine orantıyı sağlamak adına konum verileri ile gerçek kişinin diğer (bazı) kişisel verileri ile kurulacak bağlantı ancak kişiye virüs bulaşmış, ya da temasta bulunduğu kişiye bulaşmış olduğu tespit edildiğinde kurulmalıdır. Hastalığın tespit edilmesi durumunda anonimleştirilmiş ya da kodlanmış verilerin nasıl kullanılacağı ise analiz edilerek planlanmalıdır. Böyle bir tespit olana kadar da konum verisi yanında (haricinde) gerçek kişiyi tanımlayan diğer veriler kodlanarak veya anonimleştirilmiş halde işlenmelidir.

Konum verilerine ulaşım da ayrıca sınırlandırılmalıdır. Bu verilere ulaşım, yalnızca “amaç” için gerekli olduğunda, yetkili kişilerin iznine tabi şekilde gerçekleştirilmelidir.

Ayrıca tek bir merkezi sunucuda korunan verilerin saldırı durumunda daha büyük bir riskle karşı karşıya olacakları da tartışmasızdır. Bu sebeple verilerin gizlilik ve korunması bağlamında ileride doğabilecek tüm riskler değerlendirilerek ve önlemler alınarak (anonim hale getirilmesi gibi) muhafaza edilmeleri önemlidir.

Tüm bunların yanında, veri sahibinin de, aydınlatılarak, haberdar edilmesi,  ölçülü ve iyi niyetli bir yaklaşım olacaktır.

  1. Verilere“ ne kadar süre” boyunca erişilecek ve “ne şekilde imha” edilecektir?

Söz konusu verilerin toplanma ve işlenme amacı, salgının önlenmesi ve tedavi amaçlı olup, bu amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda, verilerin salgın hastalık süresince saklanması gerekli olduğundan şüphe yoktur. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması da ancak salgının sona ermesi ile mümkün olacaktır.

Verilerin işlenmesi ve muhafaza edilmesini gerektiren amacın yani salgının ortadan kalkması ve ilerde oluşacak olası bir salgının önlenmesi amacıyla ve bu amaçla sınırlı olacak şekilde verilerin saklanmasının gerekmemesi halinde, kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kamu otoritesi tarafından salgını önlemek ve sona erdirmek gayesi ile çıkılan bu yolda, salgının ortadan kalkmasına rağmen verilerin işlenmeye devam edilmesi yani bunun keyfiyete ve alışkanlığa dönüşmesi, başta Anayasa olmak üzere tüm hukuk ilkeleri ile çelişecektir. Mahremiyeti ortadan kaldıracak bu yaklaşım, devlete ve kamu kurumlarına olan güveni ciddi biçimde zedeleyecek, eski hale getirilmesi imkansız bir hal alacaktır.

Bunun için resmi makamlarca ve yine Kişisel Verilerin Korunması Kurumunun kamuoyuna bilgilendirme içeren açıklamalarda bulunması gerekmektedir. Zira sürecin belirli şekilde ve güvencelerle yürütülmesi ne kadar önemli ise, bunun topluma açıklanması da o derece önemlidir. Bu hassasiyetle açıklamalar yapılması beklenmekte olup, kurumların duyurularının takip edilmesinde fayda vardır.

Toplanan verilere erişim hususunda ise; sürekli erişim orantısız bir uygulama olacaktır. Mevcut verilerin toplanması ve işlenmesi gibi erişilmesi de gerektiren koşullar yani amaçla bağlantılı şekilde sürdürülmelidir. Bu amaç (sadece salgın ile mücadele ve önleme) mevcut iken erişilmesi gerekli olan verilere erişilmesi gerekmektedir. Bu sürecin şeffaf ve en ufak bir tereddüte mahal vermeyecek şekilde titizlikle yürütülmesi hayati önem sahiptir. Aksi halde keyfiyete tabi şekilde korunamamış verilerden bahsedilecektir.

Tüm bu açıklamalar ışığında şu kanaate varmak mümkündür ki; Dünyayı saran salgınla savaşabilmek için ciddi yarar sağlayan bu verilerin önemi hayatidir. Çünkü kişisel verilerin, aynı şekilde korunmaları da bundan sonra yaşanabilecek olası hayati durumlar için o denli önemli olduğu sabit iken verileri korumanın yaşam hakkı ile de bağlantılı olacağı savına varmak mümkündür.

Ancak bu salgının, tüm verileri sınırsız şekilde toplamak ve paylaşmak için yetki ve haklılık vermeyeceğini de üzerine basarak tekrar belirtmek gerekmektedir.  Salgından ciddi şekilde insanların yaşadığı korku ve endişe beraberinde çaresizlik, vazgeçmişlik getirse de tüm bunlar sona erdiğinde, geriye (eskiye dönülemez şekilde) hasar almış ve kişilerin verilerini koruyamamış bir yapı kalmaması adına çalışmalarda bulunmak, riskleri değerlendirmek ve önlemler almak ciddi bir husustur. Tüm bunları ciddiye alan ve kişisel verileri “koruyarak” salgın ile savaşmayı başaran yapı, yeni hayatlarımız başladığında kişisel verilerimizi ve aslında bizlerin “hayatını” korumaya devam edebilecek güçte olacaktır.

Av. MELEK ATALAN

 

Leave your comment

Please enter your name.
Please enter comment.

Uyarı!


Dolandırıcılar tarafından Atalan Hukuk Bürosu adıyla, aranarak para tahsilatı yapılmak istendiği öğrenilmiştir. Büromuz tarafından aranılarak para tahsilatı işlemi yapılmadığını ve arayan bu şahıslara itibar edilmemesi gerektiğini bilgisini kamuoyunun dikkatlerine önemle sunarız.

This will close in 10 seconds