Günlerdir Koronavirüsün tespitinde kullanılacak mobil takip sistemi üzerine konuşuyoruz ve henüz programın tam olarak başımıza farklı türlü ne sorunlar açacağını bilmiyoruz. Amacım burada bu programın Kişisel Verilerin korunması hususunda ne kadar donanımlı olduğu ile ilgili. Gözlemlediğim kadarı ile “Hayat Eve Sığar” takip programını akıllı telefonunuza indirdiğinizde tarafınıza sunulan “Aydınlatma Metni” nin yeterli olduğunu söylemek zor. Bir de “Kullanıcı Sözleşmesi ve Mahremiyet Politikası” var ki bu politikayı okudunuz mu bilmiyorum. Politikanın tamamını paylaşıyorum:
T.C. SAĞLIK BAKANLIĞI
FİLYASYON ve İZOLASYON TAKİP SİSTEMİ(FİTAS)
KULLANICI SÖZLEŞMESİ VE MAHREMİYET POLİTİKASI
Amaç ve kapsam
MADDE 1- (1) Bu Politikanın amacı, T.C. Sağlık Bakanlığına ait Halk Sağlığı Yönetim Sistemi kullanıcıları tarafından bilinmesi gereken kullanım koşulları ve mahremiyet politikasına ilişkin usul ve esasları belirlemektir.
(2) Bu Politika, Halk Sağlığı Yönetim Sistemi kullanıcılarını kapsar.
Dayanak
MADDE 2– Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10 uncu ve 11 inci maddeleri ile ilgili diğer yasal ve idari düzenlemelere dayanılarak hazırlanmıştır.
MADDE 3- (1) Bu Politikada geçen;
a) 5651 sayılı Kanun: İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunu,
b) 6698 sayılı Kanun: Kişisel Verilerin Korunması Kanununu,
c) Bakanlık: T.C. Sağlık Bakanlığını,
ç) HSYS Mobil: Halk Sağlığı Yönetim Sistemi’ni,
d) FSEK: 5946 sayılı Fikir ve Sanat Eserleri Kanununu,
e) Kullanıcı: HSYS Mobil kullanıcılarını,
f) Politika: Bu Kullanıcı Sözleşmesi ve Mahremiyet Politikasını,ifade eder.
Kullanıcı sözleşmesi
MADDE 4- (1) Kullanıcı; HSYS Mobil’i kullanırken, HSYS Mobil’da yer alan ve herhangi bir gerçek veya tüzel kişiye ait olan herhangi bir yazı, bilgi, yorum, görüş, haber, görüntü, resim, şekil, grafik ve sair içerikten, bu içeriklerin yayınının kesilmesinden, gecikmesinden veya hatalı yayımlanmasından, bu içeriklerin kullanımından veya bu içeriklere dayalı olarak almış olduğu kararların sonuçlarından, HSYS Mobil’ın kullanım koşullarını okumamış veya okumuş ancak bunlara uygun davranmamış olması sebebiyle uğramış olduğu maddi veya manevi, müspet veya menfi ve olası herhangi bir zarardan veya masraftan Bakanlığın hukuki veya cezai hiçbir sorumluluğu olmadığını, HSYS Mobil’da yer alan bilgilerin doğruluğu veya yeterliliğinin Bakanlık tarafından garanti edilmediğini kabul ve beyan eder.
(2) Kullanıcı, HSYS Mobil logosunun veya HSYS Mobil’de yer alan sayfaların bir başka internet sitesinde herhangi bir şekilde yer almasından veya internet sitesine üçüncü kişiler veya ziyaretçiler tarafından yapılabilecek herhangi bir içerik yüklemesinden dolayı elde edilecek bilgilerin kullanımından veya internetin genel uygulamalar çerçevesinde kullanımı dolayısıyla sorumluluk doğurmayan herhangi bir içerikten Bakanlığın hukuki veya cezai hiçbir sorumluluğu olmadığını kabul ve beyan eder.
Mahremiyet politikası
MADDE 5- (1) Mahremiyet politikası, kişisel verilerinizin işlenmesine ilişkin usul ve esasları düzenler. 6698 sayılı Kanun’da öngörülen yükümlülükler veri sorumlusu tarafından yerine getirilir.a) Veri sorumlusunun kimliği: HSYS Mobil, Bakanlık tarafından yönetilmektedir. Veri sorumlusu ile “kisiselveri [at] saglik.gov.tr” eposta adresi üzerinden irtibat kurabilirsiniz.
b) Kişisel verilerin işlenme amacı: Kişisel verileriniz; doğru işe doğru kişinin görevlendirilmesi, âmirlerin; görev, yetki ve sorumlulukları çerçevesinde kendi mahiyetindeki personeline ilişkin eğitim ve iş tecrübesi bilgilerine ulaşması, 5651 sayılı Kanun’un ilgili hükümleri uyarınca yetkili merci tarafından talep edilmesi hâlinde trafik verilerini sunabilmek amaçlarıyla işlenmektedir.
c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği: Kişisel verileriniz, ancak 6698 sayılı Kanun’un 5 inci maddesinin ikinci fıkrası, 6 ncı maddesinin üçüncü fıkrası ile 28 inci maddesinin birinci ve ikinci fıkrası, 6098 sayılı Kanun’un 419 uncu maddesinde yer alan hükümler uyarınca, talep etmeye yetkili olan yargı makamları ya da kamu kurum veya kuruluşları ile paylaşılabilecektir.
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi: Kişisel verileriniz, 5651 sayılı Kanun ile öngörülen yükümlülük nedeniyle HSYS Mobil’i ziyaret ettiğiniz anda işlenmektedir.
d) Haklarınız: 6698 sayılı Kanun’un 11 inci maddesi uyarınca;
· Kişisel verilerinizin işlenip işlenmediğini öğrenme,
· Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
· İşlenmesini gerektiren sebepleri ortadan kalkan kişisel verilerinizin silinmesini veya yok edilmesini isteme,
· Kişisel verileriniz üzerinde yapılmasını istediğiniz işlemlerin, verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen kişisel verilerinizin otomatik sistemler aracılığı ile analiz edilmesi hâlinde aleyhinize çıkabilecek sonuçlara itiraz etme,
· Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramış olmanız hâlinde bu zararın giderilmesini talep etme,
haklarınızı, (a) bendinde yer alan iletişim kanalları aracılığı ile kullanabilirsiniz.
Kişisel veri güvenliği
MADDE 6- (1) Veri sorumlusu olarak Bakanlık, 6698 sayılı Kanun’un 12 nci maddesinde öngörüldüğü üzere, kişisel verilerinizin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerinize hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerinizin muhafazasını sağlamak amaçlarıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaktadır.
(2) HSYS Mobil kullanıcısı olmanız nedeniyle elde ettiğimiz kişisel verileriniz, 6698 sayılı Kanun ve bu Politika hükümlerine aykırı olarak başkasına açıklanamaz ve işlenme amacının dışında kullanılamaz. Bu yükümlülük herhangi bir süreye tabi değildir ve sonsuza kadar devam eder.
(3) Kişisel verilerinizin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde bu durum en kısa sürede tarafınıza ve Kişisel Verileri Koruma Kuruluna bildirilecektir.
Verilerin imhası
MADDE 7- (1) Bu Politika’da belirtilen amaçlarla işlenmiş olan kişisel verileriniz, 15.04.2011 tarihli ve 27906 sayılı Resmî Gazete’de yayımlanan Kamu Personeli Genel Tebliğinin 8 inci maddesi uyarınca süresiz saklanır ve imha edilmez.
Çeşitli hükümler
MADDE 8- (1) Kullanıcı, HSYS Mobil üzerinde Bakanlığa veya üçüncü bir kişi ya da kuruluşa ait herhangi bir yazı, haber, resim, fotoğraf, şekil vb. materyal bulunabileceğini, Bakanlığın bu materyal ile ilgili olarak FSEK’in düzenlediği yasal haklara sahip olduğunu, bunların Bakanlığın izni olmadan kopyalanamayacağını, değiştirilemeyeceğini, çoğaltılamayacağını, yayınlanamayacağını, satılamayacağını veya kullandırılamayacağını veya bunlara müdahale edilemeyeceğini kabul ve beyan eder.
(2) Kullanıcı, HSYS Mobil giriş yapmadan önce bu Politika’yı okuyacağını, burada yer alan tüm hükümlere uyacağını, bu hükümlere ilişkin herhangi bir uyuşmazlık veya ihtilafın söz konusu olması hâlinde Ankara Mahkeme ve İcra Dairelerinin yetkili olacağını, HSYS Mobil’de yer alan içeriklerin ve Bakanlığa ait tüm elektronik kayıtların 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 193 üncü maddesinin birinci fıkrası uyarınca kesin delil sayılacağını kabul, beyan ve taahhüt eder.
Yukarıda metni ilk okuduğumda bunca yıl Kişisel Verilerin Korunması konusunda verilen mücadele nedeni ile ikileme düştüm. 6698 sayılı Kanun’un 10. ve 11. maddesine atıf yapılarak hazırlanan “Kullanıcı Sözleşmesi ve Mahremiyet Politikası” ne bir sözleşme ne bir politika aslında. Politika olması için daha ayrıntılı bir düzenleme içermesi gerekiyor ve örneğin şu maddenin olmaması gerekiyor: “Bu Politika’da belirtilen amaçlarla işlenmiş olan kişisel verileriniz, 15.04.2011 tarihli ve 27906 sayılı Resmî Gazete’de yayımlanan Kamu Personeli Genel Tebliğinin 8 inci maddesi uyarınca süresiz saklanır ve imha edilmez.”
Hiçbir kişisel verinin süresiz saklanması ve amacından daha uzun bir süre işlenmesi 6698 sayılı Kişisel Verilerin Korunması Kanunu ile bağdaşmayacağı gibi 108+ sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, GDPR ve AİHM kararları ile de bağdaşmamaktadır. Türkiye’nin Kişisel Verilerin Korunması konusunda hızlı bir yol katettiğini düşünürken biz hukukçuları çok büyük hayal kırıklığına uğratan Mobil Takip Sistemi uygulamasının teknik özelliklerine daha adım atmıyorum bile. Bu konuda aldığım bilgiler var ancak yazılım uzmanlarının bu konuda daha sağlam verilere eriştiğinden eminim.
Pandemi ile mücadelede teknolojinin çok önemli olduğunu ve hızlı teşhisin bir çok insanın ölümünün önüne geçeceğini, bu anlamda Yapay zeka araçlarının kullanılmasının olumlu olduğunu kabul etmekle birlikte, temel hak ve hürriyetleri ortadan kaldırmadan, insan haklarına bağlı kalarak teknolojik argümanlara başvurulmasının daha da önemli olduğunu düşünüyorum.
Avrupa Konseyi, mobil takip sistemlerinin, “Yapay zekanın”, Pandemi ile mücadelede kullanılmasına karşı olmadıklarını ancak uluslararası sözleşmelerin ve üye ülkelerin veri koruma yasalarının askıya alınmamasını önerdi. Buna göre uygulamaların kullanımının veri güvenliği, gizlilik ve veri koruma yasalarına aykırılık oluşturmaması gerekmektedir.
Uzun uzun sağlık verilerinin işlenme şartlarını yazmak istemiyorum zira bu konu defalarca tekrarlandı. Herkes biliyor ki sağlık verileri hassas veri kategorisinde ve işleme şartları da diğer verilerin işleme şartlarına göre daha özel önlemler gerektirmektedir. Kabul ediyoruz ki salgının önlenmesi için halk sağlığının korunması nedeni ile veri işlenebilir. 6698 sayılı yasaya göre de sağlık verisinin kimler tarafından işlenebileceği ortadadır. Pandemi döneminde sağlık verilerinin kimler tarafından işleneceğine ilişkin yeni bir düzenleme yapılmamıştır ve bu konuda 6698 sayılı yasa yürürlüktedir. Bireyin hak ve özgürlüklerinin korunması için bir önlem de alınmış değildir.
Konum verilerinin, anonimleştirilerek, istatistiksel amaçlarla kullanılması hususunda 6698 sayılı Kanun’a aykırılık bulunmamaktadır. Ancak bu veriler usun süre depolanır ve Mahremiyet Politikasında yazıldığı gibi süresiz olarak saklanır ise burada ciddi sorunları beraberinde getirecektir.
Avrupa Konseyi’nin yayımlamış olduğu Pandemi Dönemi ile Mücadeleye İlişkin Uygulamalara Yönelik Rehber (2020/C 124 I /01)’de gönüllü uygulamaların kullanılması tavsiye edilmiştir, kullanımın kişinin kendi gönüllü iradesine bırakılmasının önemi vurgulanmıştır.
Uygulamaların, kişinin özel hayatına saygı hakkı, aile hayatına saygı hakkı, ayrımcılık yasağı, toplanma ve örgütlenme özgürlüğü gibi[1] bir çok temel hakkı yakından ilgilendirdiği ve fazla veri depolanmasında temel hakları ihlal edeceği ifade edilmelidir. Mobil takip programlarının veri koruma yasalarına uygun olarak dizayn edilmesi ve veri sorumlusunun hesap verilebilirlilik ilkesi çerçevesinde, kişilere tanınan KVKK m.11 haklarını kullandığında cevap verebilir durumda olması beklenmektedir. Pandemi dönemi olağanüstü bir dönem olsa dahi bu olağanüstü dönemde de kişisel verilerin korunması hakları askıya alınamaz.
Mobil takip sistemi, bu sistemi telefonuna indirmeyen ve kullanmayı reddeden kişiler için olumsuz bir sonuç doğurmamalıdır ve kullanıcıların kişisel verilerinin korunması konusunda şüphelerini ortadan kaldırmalıdır.
Kişinin otomatik bir karara tabi kılınması ve otomatik karar içerisinde aleyhine bir sonuç doğmasında itiraz hakkı olduğunun hatırlatılmaması dahi başlı başına bir ihlaldir. Mobil takip sistemini (Hayat eve Sığar uygulaması) incelediğimizde sistemi ya kabul ediyorsunuz ya da sistem sizi dışarıda bırakıyor. Örneğin kabul etmediğinizde ne ile karşılaşacağınız ya da başka bir seçeneğiniz var mı, bu duruma ilişkin yeterli bir düzenleme bulunmuyor. Uygulamadan kısmi olarak yararlanabileceğiniz bir seçenek daha olmalı idi.
Mobil veri uygulamasında, KVKK m.10 ve 11 gereği yeterince Aydınlatma sunulmamıştır. Kişisel verilerinizi işlemeniz gerekiyor ise bu konuda mevzuatın tamamına ve ilgili açıklamalara ulaşmanız sağlanmalıdır. Kişisel verilerinizin kurumlarla paylaşılması konusunda da onayınızın alınmasından sonra paylaşım gerçekleşmelidir. Bu konuda da herhangi bir seçenek sunulmamıştır.
Örneğin işlediğiniz verileri silmek isterseniz, silme hakkınız var mıdır? Mobil veri takip programında bu hususa ilişkin bir açıklama bulunmamaktadır. Tarafınıza verilerinizi silme hakkı KVKK m.11 ve GDPR uyarınca verilmeli idi. Verilerinizi silemediğiniz gibi, verilerinizin kimlerle paylaşıldığına dair aktif bir bilgilendirme sekmesi de bulunmamaktadır.
Pandemi döneminde toplanan kişisel veriler en geç pandemi kontrol altına alındığında silinmelidir. Önemli olan noktalardan biri budur. Diğer önemli nokta ise pandemi dönemi için işlenen verilerin farklı amaçlar için kullanılmamasıdır. Örneğin tesadüfi delil, suç soruşturması gibi. Burada da Aydınlatma Metni’nde mutlaka bu sınırlamanın getirilmesi ve belirsizliklerden uzaklaşılması gerekir.
Kişilerin konum verileri ya da terminalde depolanan verileri veri minimizasyonu ilkesi gereği sınırlanmalı ve bu veriler daha farklı uygulamaların konusu yapılmamalıdır. (Örneğin teletıp uygulaması için bu verilere ulaşmak gerekmez.)
Enfekte olmuş bir kişinin temasta bulunduğu yakın kişilere ulaşılması için, enfekte olmuş kişinin onayı gerekir ve SMS bu kişilere bu onayla gönderilir. Bu noktada takip programının bu kişilere doğrudan ulaşması kişisel verilerin korunması kurallarını ihlal edebilir. Bir başka husus, enfekte olmuş kişinin verilerinin ifşası sorunudur. Mobil takip sistemi ile gönderilecek SMS’lerde enfekte olmuş kişinin verilerinin de ifşa edilmemesi gerekir.
Kişinin enfekte olmaması, enfekte olmayan kişinin temasta bulunduğu kişilere hatalı mesaj gönderimi, gereksiz uyarı mesajları da mobil takip sisteminin kişisel verilerin korunması kapsamında idari ve teknik tedbirleri yeterince almadığı kapsamında değerlendirilecek ve kişisel verilerin korunması hükümlerini ihlal etmiş olacaktır.
Mobil takip sisteminin işlediği veriler hassas nitelikte kişisel veri içermesi nedeni ile takip sisteminin “Özel Nitelikte Kişisel Verilerin Aktarımında Alınması Gereken İdari ve Teknik Tedbirler” kataloğunun da gözden geçirilmesi gerekir. Örneğin gönderilen mesajların şifrelenmesi ve kişinin kendi telefonunda bu şekilde saklanması gerektiğini sağlamak zorunludur. Kişinin yakınlarına ait veriler de kişinin mobil cihazında takma adla adlandırılarak saklanmalıdır. Mobil cihaz verilerini ele geçirmeye çalışan ve programa saldıran korsanların önüne geçmek için gerekli olan tüm teknik tedbirlerin alınması gerekir. Konsey’in yayımladığı rehberde Bluetooth’un etkinleştirilmesi ancak diğer konum verilerinin hepsinin çalıştırılmasına gerek kalmaması vurgulanmıştır. Böylece üçüncü taraf izlemelerine karşı önlem alınmış olacaktır.
Sonuç olarak;
Mobil takip uygulama programı hakkında derin bir bilgiye sahip olmadığımız ancak paylaşılan sınırlı verilere dayanarak ilgili tahminlerde bulunduğumuz bu günlerde, kişisel veriler açısından değerlendirmeye tabi tutulan bu makalede verilen bilgiler üzerinde derin tartışmaları beraberinde getirecektir ve İnsan hakları düzleminde de birçok hukuk alanını ilgilendiren ihlaller gündeme gelecektir. Bir uygulamanın yeterince açıklanmaması ve sınırlarının çizilmemesi, derecelendirme yapılmaması, uygulamaya olan güveni de sarsmakta ve işlevini etkisiz hale getirmektedir. Bir kısım potansiyel kullanıcı, yarar ya da zarar dengesinden daha çok manifestosu yazılmayan bir uygulamanın açıklarını bilmediği için kullanmaktan kaçınmaktadır. Uygulamanın daha iyi tanıtılması ve gizlilik kurallarının daha ayrıntılı yazılması, kişinin kendi mobil cihazında sakladığı verilerin geri dönülemez bir biçimde silinmesi imkanının kişinin kendi hakimiyetinde olması gibi seçenekler Mobil Uygulamanın daha etkin kullanılmasını ve amacına ulaşmasını sağlayacaktır. Pandemi dönemi Uluslararası hiçbir sözleşmeyi ve İnsan Hakları uygulamalarını askıya almamıştır ve teknolojinin temel hak ve özgürlükleri bloke etmemesi gerekir.
Dipnotlar
Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1587141168991&uri=CELEX:52020XC0417(08) ↩︎