Dünya genelinde bir çok ülkenin COVID-19 ile mücadele sürecinde mobil takip uygulamaları önemli bir yer teşkil ediyor. Hemen hemen bütün ülkeler tarafından mobil uygulamalar geliştirildiğini, konum takibi yapıldığını, temaslı kişi grubunun belirlendiğini veya bilgilendirildiğini, farklı teknik yöntemlerle sosyal izolasyon kurallarına uyumun denetlendiğini görüyoruz.

Bu makalede öncelikle bu uygulamaların mevzuattaki yerine kısaca değinilecek, sonrasında hangi ülke tarafından nasıl bir uygulamaya gidildiğine yer verilecektir. Konuyla ilgili gelişmeler oldukça makalenin güncellenmesi hedeflenmektedir. Makaleyi kısa tutmak adına mevzuat ve duyurulara mümkün olduğunca yüzeysel değindim, merak edenler ilgili bağlantılar üzerinden detayları inceleyebilirler.

Mevzuat

Konum verilerinin ve sağlık verilerinin işlenmesine ilişkin ABD, AB ve Türkiye’de yürürlükte bulunan düzenlemeler aşağıdaki gibidir:

Amerika Birleşik Devletleri:

ABD’de kişisel verilerin korunmasına ilişkin federal düzeyde yürürlüğe konulmuş herhangi bir düzenleme bulunmamaktadır. Bununla birlikte sağlık verilerinin mahremiyeti, 1996 yılında yürürlüğe giren ve kısaltması HIPAA olan kanunla düzenlenmektedir. Sağlık ve İnsani Hizmetler Bakanlığı Medeni Haklar Ofisi tarafından yayımlanan kılavuzda, (45 CFR 164.502 – 164.512 arasındaki) HIPAA hükümleri çerçevesinde kişiye ilişkin COVID-19 pozitif bilgisi, açık rızası bulunmasa bile salgınla mücadele kapsamında yetkili kişi ve kurumlar tarafından işlenebilmekte ve aktarılabilmektedir. Bunlardan bazıları aşağıdaki gibidir:

  • Kişinin tedavi edilmesi için gerekli olması
  • Bu bilginin paylaşılmasının kanunlarda öngörülmesi
  • Salgını kontrol etme ve önleme amacıyla kamu sağlık otoritesinin bilgilendirilmesi
  • İlk/acil yardım ekiplerine virüsün bulaşma ihtimali bulunması

Diğer taraftan; 11 Eylül saldırıları sonrasında ABD’de yürürlüğe giren terörle mücadele yasaları kapsamında, özellikle kamu güvenliğinin söz konusu olduğu durumlarda her türlü kişisel veri kolaylıkla işlenebilmektedir.

Avrupa Birliği:

AB’de kişisel verilerin korunması, 2018 yılında yürürlüğe giren ve tüm AB ülkelerinde doğrudan uygulanabilir olan Genel Veri Koruma Tüzüğünde (GDPR), konum verilerinin işlenmesi ise 2003 tarihinde yürürlüğe giren ve 2009 tarihinde güncellenen (ayrıca çok yakında değişmesi beklenen) eMahremiyet Direktifinde düzenlenmektedir.

Genel Veri Koruma Tüzüğünün 6 ncı ve 9 uncu maddelerinde kişisel verilerin ilgililerinin açık rızası olmaksızın işlenmesine ilişkin hükümler bulunmaktadır. Buna göre kamu sağlığı kapsamında kamu yararının bulunduğu durumlarda veya kişilerin hayati çıkarlarının söz konusu olduğu durumlarda, anılan mevzuat hükümleri çerçevesinde konum ve sağlık gibi verilerin işlenmesi (bazı kurallara riayet edilmesi kaydıyla) mümkündür.

eMahremiyet Direktifi’nde ise kural olarak konum verilerinin ancak anonim olarak kullanılması veya ilgilisinin açık rızaalınmak suretiyle işlenmesi mümkündür. Bunun istisnasına Direktif’in 15 inci maddesinde yer verilmektedir. Buna göre AB üyesi ülkeler, ulusal güvenlik ve kamu güvenliği kapsamında yürürlüğe koyacakları yasal düzenlemeler ile bu kurala istisna getirebilmektedir.

Türkiye:

Ülkemizde kişisel verilerin korunmasına ilişkin düzenlemeler, AB düzenlemeleri doğrultusunda hazırlandığından büyük ölçüde benzerlik arz etmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu‘nun 6 ncı maddesi uyarınca kamu sağlığının korunması ve koruyucu hekimlik kapsamında kişisel sağlık verileri, ilgili kişilerin açık rızaolmaksızın yetkili kişi, kurum ve kuruluşlar tarafından işlenebilmektedir. Ayrıca Kanun’un 28 inci maddesinde kamu güvenliği ve kamu düzeninin söz konusu olduğu hâllerde kanun hükümlerinin uygulanmayacağı düzenlenmektedir.

Veri Koruma Otoriteleri

Amerika Birleşik Devletleri:

ABD’de, federal düzeyde veri koruma otoritesi muadili herhangi bir kurum bulunmamaktadır.

Avrupa Birliği:

AB Veri Koruma Kurulu (EDPB) tarafından yapılan duyuruda özetle; yürürlükteki mevzuatın COVID-19 ile mücadelede ülkelerin elini zayıflatmadığı ve engel teşkil etmediği, kamu sağlığının ve kamu güvenliğinin söz konusu olduğu durumlarda konum verilerinin ve sağlık verilerinin açık rıza olmaksızın işlenebileceği ifade edilmiştir.

AB Veri Koruma Kurulu tarafından konuyla ilgili soru-cevap yöntemiyle hazırlanan ayrı bir doküman da bulunmaktadır.

AB Veri Koruma Denetçiliği (EDPS) tarafından yayımlanan duyuruda ise özetle:

  • Büyük verinin büyük sorumluluk anlamına geldiğine,
  • Salgınla mücadele kapsamında elimizdeki araçları doğru bir şekilde kullanmamız gerektiğine,
  • Kişisel veri işleme faaliyetinin insanlığa/topluma hizmet etmesi gerektiğinin GDPR’da açıkça ifade edildiğine,
  • Kişisel verilerin korunmasının mutlak bir hak olmadığına; bunun diğer insan hakları ile dengeli ve ölçülü bir şekilde değerlendirilmesi gerektiğine,
  • GDPR’ın, sınır ötesi tehdit arz eden ciddi sağlık tehditleriyle mücadele edilmesi gibi kamu sağlığı kapsamında kamu yararının bulunduğu durumlarda özel nitelikli kişisel verilerin işlenebileceğine dair hüküm ihtiva ettiğine,

değinilmekte, bu duyuru ile tüm AB üyesi ülkelere COVID-19 ile mücadele için tek bir uygulama geliştirilmesine ve kullanılmasına yönelik çağrıda bulunulmaktadır. Bu uygulamanın; AB Veri Koruma Denetçiliği’nin gözetiminde, Dünya Sağlık Örgütü ve AB Kurumlarının koordinasyonunda geliştirileceği ifade edilmektedir.

Türkiye:

Kişisel Verileri Koruma Kurulu, 27 Mart tarihinde yaptığı kamuoyu duyurusunda;

Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

Kişisel Verileri Koruma KuruluKamuoyu Duyurusu

demiş, COVID-19 salgınının kamu güvenliği ve kamu düzenini etkilediğini ifade etmiş ve 6698 sayılı Kanun m. 28/1-ç uyarınca salgınla mücadele kapsamında Sağlık Bakanlığı tarafından yapılacak veri işleme faaliyetlerinde kanun hükümlerinin uygulanmayacağını belirtmiştir.

KVK Kurulu tarafından 9 Nisan tarihinde yapılan bir diğer kamuoyu duyurusunda ise; “salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.” denilmiş ve anılan veri işleme faaliyetlerinin mevzuata uygun olduğu belirtilmiştir.

Diğer:

Yaklaşık 40 ülkenin veri koruma otoriteleri ile ilgili kurum ve kuruluşlar tarafından COVID-19 kapsamında yapılan açıklamalara, Küresel Mahremiyet Asamblesi’nin internet sitesinden (geneli İngilizce) ulaşılabilmektedir.

Ülkelerin Tercihleri

Ülkeler üzerinde bulunan işaretlere tıklayarak; hayata geçirilen mobil takip uygulamaları hakkında bilgi sahibi olabilir, veri koruma otoriteleri tarafından konuya ilişkin yapılan duyurulara erişebilirsiniz (Harita üzerindeki bilgiler daha sonra detaylı bir şekilde işlenecektir).

Bluetooth Uygulamaları

Diğer ülkelerde sıklıkla tercih edilen bir takım uygulamaların ülkemizde değerlendirilmemiş olmasının, hukuki ve/ya faydalı bulunmadığından tercih edilmediği düşünülmektedir.

Örneğin Bluetooth teknolojisini kullanmak suretiyle salgınla mücadele edilmesine yönelik uygulamalarının ülkemizde kullanılması gerçeklikten uzaktır. Bunun gerekçelerine kısaca değinmek gerekirse:

  • Herkesin akıllı telefonu bulunmamaktadır.
  • Akıllı telefon kullanıcılarının ancak kısıtlı bir bölümü günlük hayatta bluetooth özelliğini devamlı aktif tutmaktadır.
  • Belirli bir süre temasta bulunduğu tespit edilen kişilerden herhangi birisine COVID-19 pozitif tanısı konulduğunda diğer kişiye bilgilendirme yapılabilmesi için uygulamanın her iki tarafça yüklenmiş olması gerekmektedir.
  • Kalabalık ortamlarda duvarla bölünen bitişik yerlerde bulunan kişilerin, gereksiz yere panik yaşaması ihtimali bulunmaktadır.

Mobil uygulama kullanımının zorunlu tutulmadığı bir durumda bu uygulamadan ne kadar verim elde edilebilecektir? Şüphesiz herhangi bir mobil uygulama yüklenmesinin zorunlu tutulması; hukuki açıdan özgürlükleri kısıtlayıcı, müdahaleci ve sert bir önlem olarak değerlendirilmelidir. Bu halde uygulamanın yüklenmesi, ancak kullanıcılara sağlanacak bir takım teşvikler ile kısmen de olsa mümkün olabilecektir, fakat salgınla mücadelede kapsamı ve etkisi de sınırlı kalacaktır. Toplumun büyük bir kesimi tarafından (bluetooth özelliği bulunmayan telefon kullanmak, güvenlik endişesiyle uygulamayı indirmemek gibi) farklı gerekçelerle uygulamanın kullanılmaması durumunda ise etkisi yine çok kısıtlı olacaktır.

Ülkemizde Durum

Bilgi Teknolojileri ve İletişim Kurumu ve tüm GSM operatörleri ile yapılan işbirliği kapsamında Sağlık Bakanlığı tarafından geliştirilen Pandemi İzolasyon Takip Projesi kapsamında:

  • Evde izolasyon altında bulunması gereken kişilerin evlerini terk etmeleri halinde telefonlarına uyarı mesajı gideceği,
  • Otomatik çağrı teknolojisi aracılığıyla bu kişilerle iletişime geçileceği ve izolasyon altında bulunmaları gereken yere dönmelerinin isteneceği,
  • Uyarıya riayet etmeyen ve ihlâle devam edenler hakkında emniyet birimlerine bilgilendirme yapılarak gerekli idari yaptırımların uygulanmasının sağlanacağı,
  • Yolda kontrol yapan emniyet ekiplerinin entegrasyon ile sağlanan sorgulama yetkisi çerçevesinde izolasyon ihlâli yapılıp yapılmadığını görebileceği,

ifade edilmiştir. Bu proje kapsamında bir de mobil uygulama geliştirilmiş ve bu uygulama aracılığı ile:

  • Vatandaşların hastalık durumlarının periyodik bildirimlerle ve sorularla takip edileceği, COVID-19 riskinin arttığı durumlarda en yakın sağlık tesisinin ziyaret edilmesinin isteneceği,
  • Harita üzerinden hastalığın yoğunluk durumun gösterileceği ve böylelikle vatandaşın evde kalma motivasyonunun güçlendirileceği, akıllı algoritmalar sayesinde vatandaşın riskli kişilerle temas edip etmediğinin gözlemlenmesinin sağlanacağı,

belirtilmiştir. Şüphesiz COVID-19 salgını ile mücadelede %100 sonuç veren teknik bir önlem yoktur; burada hedef, temel insan hak ve özgürlüklerine en ufak müdahale ile en etkin mücadeleyi sağlayabilmektir. Sağlık Bakanlığı tarafından geliştirilen uygulamaların da tam sonuç vermesinin beklenmesi mümkün değildir. Nitekim ülkemizde, başkası adına kayıtlı hat kullanım oranı diğer ülkelere kıyasla bir hayli yüksektir, bu da izolasyon kurallarına kimlerin uymadığının tespitini ciddi anlamda zorlaştırmaktadır.

Bir diğer husus, İl İdaresi Kanunu‘nun Ek 2 nci maddesinde yapılan değişiklik, deprem ve çığ felaketlerinde gündeme gelen ve hazırlanan bir değişikliktir. O dönemde hazırlanmasına karşın salgın döneminde yürürlüğe giren değişiklik, salgınla mücadele adına alınan önlemler kapsamında değerlendirilmemelidir.

Sonuç olarak ülkemizde, COVID-19 ile mücadele sürecinde bugüne kadar başvurulan tedbir ve önlemlerin özel hayatın gizliliğine en az müdahalede bulunulacak şekilde yürütüldüğü, her ne kadar Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kanun m. 28/1-ç hükmü kapsamında Sağlık Bakanlığının tam muafiyet hâli kapsamında hareket edebileceği duyurulmuş ise de başta ölçülülük ilkesi olmak üzere veri koruma mevzuatında yer alan düzenlemelere en üst düzeyde riayet edildiği değerlendirilmekte, bu süreçte işlenen kişisel verilerin salgın riski sona erdiğinde imha edileceği vurgusunun önemli olduğu düşünülmektedir.