COVID-19: Hastalık Takibi Amacıyla Alınan Dijital Tedbirlerin Kişisel Veriler Üzerindeki Etkisi

Tüm dünyayı etkisi altına alan Yeni Koronavirüs Hastalığı (“Covid-19”) birçok ülkede hayatı durma noktasına getirirken, devletler bireylerin normal hayata en kısa sürede dönüşünü sağlamak üzere sıkı tedbirler almaya devam etmektedir. Devlet yetkililerinin almış olduğu bazı tedbirlerin örneklerine daha önceden rastlamak mümkünken, Covid-19 ile birlikte kimi tedbirler, dijital çağın getirileri olarak ilk defa tecrübe edilmektedir. 

Yeni teknoloji sayesinde geliştirilen ve amacı Covid-19’un yayılım hızını azaltmak/sonlandırmak olan mobil uygulamalar, yüz tanıma sistemleri vb. yöntemlerle, devletler ve/veya teknoloji şirketleri tarafından kişilerin; kimlik, iletişim, konum, sağlık, biyometrik, görsel ve işitsel verileri işlenebilmektedir. 

 

Küresel olarak olağanüstü bir durum yaşanıyor olsa da tüm bu kişisel veri işleme faaliyetlerinin, ilgili ülke ve/veya bölgenin kişisel verilere ilişkin mevzuatına uygun olarak yerine getirilmesi gerekmektedir.

 

1. Kişisel Verilerin Korunması Kanunu ("KVKK") Bakımından Mobil Uygulamalar ile Kişisel Veri İşleme Faaliyetleri

 

Sağlık Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu Başkanlığı ve tüm GSM operatörlerinin yürütmüş olduğu ortak proje sonucu, 9 Nisan 2020 itibariyle  Pandemi İzolasyon Takip Projesi  (“İTP”) hayata geçirilmiştir. 

​1.1. İTP Nedir?  

İzolasyon, Covid-19 salgınının yayılma hızının yavaşlatılması adına devletlerin başvurmuş olduğu bir tedbir olarak karşımıza çıkmaktadır. İTP uygulaması ile;

  • Sağlık Bakanlığı tarafından Covid-19 riski nedeniyle evde izolasyon uygulamasına riayet etmeyen kişilere, SMS yoluyla “İzolasyon bölgenizin dışına çıktığınız tespit edildi. Herkesin iyiliği için lütfen evinizde kalmaya devam edin.” mesajı iletilmekte,

  • Uyarılara rağmen izolasyon uygulamasına uymayan kişilerin durumu, ikinci adım olarak emniyet birimleriyle paylaşılmakta,

  • Emniyet birimleri tarafından gerekli idari önlem ve yaptırımların uygulanması sağlanmakta, 

  • Yol kontrolü yapan emniyet ekipleri, izolasyon altında bulunması gereken kişilerin bilgilerini sorgulayarak kişilerin gerçekleştirdiği izolasyon ihlalinin detaylarını öğrenebilmektedir.

  • Bu doğrultuda, evde izolasyon altında bulunması gereken kişilerin, adı ve soyadı bilgileri (kimlik verisi), telefon numaraları (iletişim verisi), Covid-19’u geçirip geçirmediği bilgisi (sağlık verisi) ve konum bilgileri (konum verisi) idari makamlar tarafından İTP vasıtasıyla işlenebilecektir. 

 

1.2. İTP’nin KVKK Çerçevesinde Değerlendirilmesi

 

1.2.1. Sağlık Verileri

Sağlık verisiKVKK’da açıkça belirtildiği üzere özel nitelikli kişisel veri niteliğini haiz olup Kişisel Sağlık Verileri Hakkında Yönetmelik’te tanımlandığı üzere “kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri” ifade etmektedir. 

Kural olarak, kişisel ve/veya özel nitelikli kişisel veriler, kişilerin açık rızasına başvurulmadan işlenemezken, KVKK’nın 5. ve 6. maddelerinde düzenlenen istisnalardan birinin varlığı halinde açık rıza aranmaksızın işlenebilmektedir.

Özel nitelikli kişisel veri niteliğindeki sağlık ve cinsel hayat verileri ise sadece kamu sağlığının korunmasıkoruyucu hekimliktıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesisağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla sınırlı olmak üzere, sır saklama yükümlülüğü altında bulunan kişiler (doktor, uzman hekim, işyeri hekimi vb.) veya yetkili kurum ve kuruluşlar tarafından (Sağlık Bakanlığı vb.) ilgili kişinin açık rızası aranmaksızın işlenebilir.

Ek olarak KVKK’nın 28. maddesinin 1. fıkrasının (ç) bendinde “kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde KVKK hükümlerinin uygulanmayacağı düzenlenmektedir. 

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) yayınladığı  Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler  başlıklı kamuoyu duyurusunda belirtildiği üzere, KVKK’nın 28. maddesinin 1. fıkrasının (ç) bendi uyarınca, mevcut durumun kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından kişisel verilerin işlenmesinin önünde herhangi bir engel bulunmamaktadır.

Kurum tarafından yetkili kurum ve kuruluşların hangileri olduğuna ilişkin net bir açıklama getirilmemiş olmakla birlikte, yukarıda bahsedilen kamuoyu duyurusunda “ilgili sağlık kurum ve kuruluşları” Covid-19 çerçevesinde kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar gönderilmesine ilişkin yetkili kurum ve kuruluş olarak nitelendirilmiştir. Bu kapsamda Sağlık Bakanlığı’na bağlı İl Sağlık Müdürlükleri de Covid-19’ün önlenmesine yönelik amaçlarla sınırlı olmak üzere yetkili kurum ve kuruluş olarak nitelendirilebilmektedir. Ayrıca önleyici, koruyucu ve istihbari faaliyetler kapsamında kamu güvenliği veya kamu düzenini sağlamaya yönelik olarak faaliyet gösteren istihbarat birimleri de Covid-19’u önlemeye yönelik faaliyetlerle sınırlı olmak üzere yetkili kurum ve kuruluş olarak örnek gösterilebilmektedir.  

1.2.2 Konum Verileri

Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik’te tanımlandığı üzere konum verisi, “kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” anlamına gelmekte olup konum verisinin gerçek kişileri belirlenebilir kılması sebebiyle KVKK kapsamında kişisel veri olduğu açıktır. Bu bağlamda, konum verilerinin işlenmesi için ya kişilerin açık rızalarına başvurulması ya da açık rıza istisnalarından birisinin bulunması gerekmektedir.

 25 Mart 2020 tarihinde ilan edilen Bilgi Teknolojileri ve İletişim Kurumu’nun yetkilerine ilişkin düzenleme  ile idari makamlar tarafından, deprem vb. acil durumlarda, kişilerin telefon ve konum bilgilerinin temin edilebileceği hususu düzenlenmiştir. Bu düzenleme arama kurtarma faaliyetlerinin hızlı bir şekilde yerine getirilmesini amaç edinmiş olmakla birlikte, Covid-19 vakalarının takibi de durum özelinde değerlendirdiğimizde bu yolla sağlanabilecektir. İlgili düzenleme, KVKK’nın 5. maddesinde düzenlenen, kişisel verilerin kanunlarca görülmesi halinde açık rızaya başvurulmaksızın işlenebileceği istisnasını da karşılamaktadır.

 

Kurum, 9 Nisan 2020 tarihinde bu durumu destekler nitelikte  Covid-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler  adlı bir kamuoyu duyurusu daha yayınlamıştır. Kurum tarafından yayınlanan kamuoyu duyuruları ile mobil uygulamalar aracılığıyla işlenecek kişisel verilere ilişkin hukuka uygun bir zemin oluşturulmak istenmiştir.

1.2.3. KVKK‘nın Genel İlkelerine Uygunluk

Pandemi halinin niteliği gereği ve yapılan düzenlemelerle yetkili kurum ve kuruluşların kişisel verileri işleyebilmesinin önü açılmış olsa da her kişisel veri işleme faaliyetinin KVKK’nın genel ilkelerine uygun olması gerekmektedir. Bu sebeple, Covid-19’a karşı alınan önlemler kapsamında işlenen kişisel veriler (kimlik, iletişim, sağlık, konum verileri vb.) hukuka ve dürüstlük kurallarına uygun olarak belirli, açık ve meşru amaçlar için işlenmeli, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Ayrıca kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

  • Örnek 1: İTP aracılığıyla toplanan sağlık bilgilerinin, Covid-19’un önlenmesine yönelik amaçlar haricinde 3. kişi şirketlere aktarılması, hukuka aykırı bir kişisel veri işleme faaliyeti teşkil edecektir. 

 

  • Örnek 2: Afet ve acil durum hallerinde Bilgi Teknolojileri ve İletişim Kurumu tarafından elde edilen telefon numaralarının, pazarlama faaliyetlerinin yürütülmesi amacıyla kişilere SMS gönderilmesi için kullanılmasıhukuka aykırı bir kişisel veri işleme faaliyetine sebebiyet verecektir.

 

  • Örnek 3Covid-19 salgınının önlenmesine yönelik olarak toplanan sağlık ve konum bilgilerinin, Covid-19 salgını sona erdikten sonra imha edilmemesi, kişisel verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesine aykırılık teşkil edecektir.

Sonuç olarak, Covid-19 salgınının sona erdirilmesine yönelik mobil uygulamalar vb. yöntemlerle elde edilen kişisel veriler;

  • KVKK’nın genel ilkelerine uygun olarak işlenmeli, 
  • Salgın sürecinin sona ermesiyle birlikte kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmeli, 
  • Kişisel veri işleme faaliyetini gerçekleştiren yetkili kurum ve kuruluşlar ile şirketler tarafından gerekli idari ve teknik tedbirler alınmalıdır.

2. Covid-19 Çerçevesinde Gerçekleştirilen Diğer Uygulamalar 

 

Covid-19 salgınının kontrol altına alınması amacıyla birçok ülke tarafından mobil uygulamalar ve dijital teknolojinin sağladığı izleme yöntemleri kullanılmaya başlanmıştır. Çin, Singapur, Hong Kong, Güney Kore, İsrail ve Rusya hükümetleri de bu uygulamaları yürürlüğe almışken, Avrupa’da da  Pan-Avrupa Gizlilik Koruma Yakınlık İzleme Girişimi  'nin (PEPP-PT) faaliyete geçirilmesine yönelik hazırlıklar devam etmektedir.

2.1. Çin

2.1.1. Yüz Tanıma Sistemi            

Dünyanın en kalabalık ülkelerinden biri olan Çin’de, 2019 yılından itibaren aktif bir şekilde kullanılmaya başlanan  yüz tanıma sisteminin  yaygınlaşması amacı ile, yüz tarama kaydı yaptıran vatandaşlara metro hizmeti ücretsiz hale getirilmiştir. Ülkede bulunan yaygın gözetleme ağı, 350 milyon civarı kapalı devre kamera sistemini içermekle birlikte hükümet tarafından Covid-19 kapsamında alınan önlemler çerçevesinde, izolasyon altında bulunan kişilerin evlerinin kapılarının önüne kapalı devre kamera sistemleri yerleştirilmiştir. 

 

Çin’deki yüz tanıma sistemleri sayesinde, kamera ile görüntüleri kaydedilen kişilerin kimlikleri kolaylıkla belirlenebilmekle birlikte, otoriteler tarafından kişilerin görüntüleri ve bilgileri, kırmızı ışıkta geçme gibi küçük suçlarda bile  meydanlarda yer alan geniş ekranlara yansıtılabilmektedir . Ek olarak,  ülkede 2019 yılında düzenlenen yönetmelikle birlikte , akıllı telefonlardaki yüz tanıma özelliğinin kullanılması zorunlu hale getirilmiştir. Bu doğrultuda, Çin hükümetinin yüz tanıma sistemini günlük hayatta aktif bir şekilde kullandığını söylemek mümkündür.  

Peki, bu yüz tanıma sistemi ile kişilerin hangi kişisel verileri işlenmektedir? 

2016/679 sayılı Genel Veri Koruma Tüzüğü’nde yer alan tanıma paralel olarak Türk Hukuku’nda biyometrik veri, “yüz görüntüleri veya daktiloskopik veriler gibi benzersiz tanıtıcılarla bir gerçek kişinin özgün bir şekilde teşhis ve teyit edilmesini sağlayan, bireyin fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin spesifik teknik işlemlerden kaynaklanan kişisel veriler” olarak tanımlanmıştır. 

Bu kapsamda kişilerin görsel verileri doğrudan biyometrik veri olarak değerlendirilmemekle birlikte, görüntülerin, spesifik teknik işlemlerle (yüz tanıma sistemi, parmak izi okuyucu vb.) kişinin özgün bir şekilde teşhisi ve teyit edilmesini sağlaması halinde biyometrik veri işleme faaliyeti söz konusu olacaktır.

Yukarıda belirttiğimiz üzere Çin’de bulunan yapay zekâ destekli kapalı devre kamera sistemleri ile kişilerin; yüzleri tanımlanabilmekte ve kimlikleri belirlenebilmektedir. Bu bilgiler ışığında, Covid-19 önlemleri çerçevesinde evlerin önüne yerleştirilen kamera sistemleri kullanılarak kişilerin, spesifik teknik işlemlerle yüzleri tanımlanabiliyorsa hem sağlık hem de biyometrik verileri işlenmiş olacaktır. 

2.2. Singapur ve Hong Kong

 

Covid-19 salgının yayılmasını önlemek amacıyla Singapur hükümeti 20 Mart’tan itibaren  Trace Together  adlı uygulamayı hayata geçirmiş olup uygulama Bluetooth sinyalleri ile Covid-19 hastalarının başkalarıyla temas halinde olup olmadığını tespit edebilmektedir. Bu uygulama ile kişilerin sadece telefon numaraları ve Bluetooth sinyal bilgileri toplanmaktadır.

 

Hong Kong’ta ise  akıllı cep telefonlarına bağlanabilen bileklikler  kullanılmaktadır. Bu bileklikler aracılığıyla hükümetlere kişilerin evden çıkıp çıkmadığı bilgileri aktarılmakta olup bileklik kırıldığında, çıkarıldığında veya bilekliğin akıllı cep telefonu ile bağlantısı kesildiğinde Sağlık ve Emniyet Birimi’ne kişinin konum bilgileri ile birlikte uyarı mesajı gönderilmektedir. Bu gönderilen uyarı mesajı kişinin yaşını, cinsiyetini, adres ve tıbbî semptom bilgilerini içermekte olup hastalık bulaşan kişilerin ad ve soyadı bilgileri idari makamlara iletilmemektedir. Bu bağlamda, Singapur ve Hong Kong hükümetlerinin, kişilerin temel hak ve özgürlüklerini ön plana çıkaran ve daha bireyci bir yaklaşımla durumu kontrol altına almaya çalıştığını söyleyebiliriz. 

2.3. Apple ve Google İş Birliği ile Temas İzleme Teknolojisi

Geçtiğimiz günlerde Google salgınla mücadele planlamalarına yardımcı olunması amacıyla kişilerin konum bilgilerini kullanarak insanların eğilimlerini belgelediğini ve bunları yayınlamaya başladığını  duyurmuştur . Konum bilgileri Google tarafından anonim bir şekilde tutuluyor olsa da bu kişisel veriler Google tarafından gerekli idari ve teknik tedbirler alınarak işlenmek zorundadır.

Bu duyurunun ardından Apple,  10 Nisan 2020’de temas izleme teknolojisi için Google ile iş birliği  yaptığını duyurmuştur. İlgili duyuruda Apple ve Google’ın temas izlemeye yardımcı olacak uygulamalar ve işletim sistemleri geliştirdiği yer almaktadır. Kullanıcılar bu uygulamalara Android ve iOS aygıtlarında bulunan uygulama mağazalarından ulaşabilmekle birlikte, çalışmanın ikinci aşamasında bu işlevin temel platformlara entegre edileceği ve daha geniş bir Bluetooth tabanlı temas izleme platformu oluşturulacağı belirtilmektedir.

 Apple’ın resmi internet sitesinde yayınlanan teknik belge taslaklarında  yer aldığı üzere, temas izleme yöntemi ile kullanıcılar, Bluetooth sinyalleri aracılığıyla Covid-19 teşhis edilen birine yakın zamanda temasta bulundular ise uyarılacak ve bu şekilde Covid-19’un yayılmasının önüne geçilecektir. Bu doğrultuda, Covid-19 ile birlikte kişisel verilerimizin aktarılacağı şirketlere Google ve Apple’ın da katıldığını söyleyebilmek mümkündür. 

 

3. Sonuç

Özetle, devletler Covid-19 salgınının yaratacağı fiziksel, sosyal, ekonomik ve psikolojik yıkımı önlemek adına çeşitli dijital tedbirlere başvurmaktadır. Bu tedbirler uygulanırken kişisel veriler, yetkili kurum ve kuruluşlar ile teknoloji şirketleri tarafından toplanabilmektedir. Kimi ülkelerde dijital tedbir yöntemleriyle bireylerin sağlık, biyometrik, iletişim, konum vb. birçok verisi toplanmaktayken, kimi ülkeler daha hafif önlemler alarak sadece kişilerin konum ve hastalık bilgilerini kullanmaktadır.

Her ne kadar kamu güvenliği ve kamu düzeni tehdit altında olsa da kişilerin Covid-19 salgınını önlemek üzere yetkili kurum ve kuruluşlar ile şirketler tarafından toplanan kişisel veriler;

  • Gerekli idari ve teknik tedbirler alınarak muhafaza edilmeli, 

  • Belirlenen amaçla sınırlı ve bağlantılı olarak işlenmeli, 

  • Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. 

Covid-19 salgınını ne zaman atlatacağımız henüz belirli olmamakla birlikte bu salgın sebebiyle uygulanan/uygulanacak dijital tedbirler, veri güvenliği ve veri gizliliği konularını daha çok gündeme getirecek gibi gözüküyor.