Koronavirüs pandemisinin hayatımıza girmesiyle beraber tüm dünyada ve ülkemizde virüsü kontrol edebilmek ve üstesinden gelebilmek için tedbirler devam ediyor. Bu tedbirlerin bir aracı olarak halihazırda dünyanın çoğu ülkesinde kullanılan takip etme uygulamaları (tracking apps), ülkemizde de HES (Hayat Eve Sığar) uygulamasıyla kullanıma girdi. Avustralya’nın kullandığı COVIDSafe App, Hindistan’ın kullandığı AarogyaSetu, Almanya’nın kullandığı The Corona-Warn-App gibi takip uygulamalarının Türkiye örneği olarak HES, koronavirüsün ülkemizdeki takibi açısından önemli bir yer tutuyor.
HES uygulaması, seyahatlerden iş yerlerine, kamu kuruluşlarından toplu taşıma araçlarına kadar geniş bir yelpazede tedbir amaçlı kullanılıyor. HES uygulamasıyla alınan kod, kontrollü sosyal hayat kapsamında vatandaşların ulaşımdan iş yerlerine kadar zorunlu tutulmuş her alanda ‘koronavirüs’ açısından herhangi bir risk taşıyıp taşımadığının takibine yarıyor.
Dünyanın çoğu ülkesinde olduğu gibi Türkiye’de de zorunlu kılınan bu uygulamalar bir taraftan pandeminin geleceğini etkilerken diğer taraftan da ‘verilerin mahremiyeti’ konusunu tartışmaya açıyor.
Sağlık ve veri mahremiyeti terazisini dengede tutabilmek için nelerin yapılabileceği, Kişisel Verileri Koruma Kanunu’nun ilgili olaylarda hangi maddeleri geçerli saydığı, HES’in uygulanabilirliği, Türkiye’deki vatandaşların ‘veri mahremiyeti kültürü’ olup olmadığını ve tüm hukuki süreçleri Kavlak Avukatlık Bürosu’ndan Av. Deniz Mina Küpana ile konuştuk.
SAĞLIK MI MAHREMİYET Mİ?
HES uygulamasının ve dünyadaki HES gibi zorunlu uygulamaların durumu, veri mahremiyeti ile ilgili soru işaretlerine neden oldu. Türkiye, uygulama ilk kullanıma girdiği andan itibaren tüm verilerin İçişleri Bakanlığı ile paylaşılacağını duyurmuştu. HES ve diğer takip uygulamalarının nasıl bir izleme sistemi oluşturduğu sorusunu yanıtlayan Mina Küpana, “HES uygulaması ve dünyadaki diğer uygulamalar, örneğin gitmiş olduğunuz banka, alışveriş yaptığınız market, yürüdüğünüz yol gibi birçok farklı sisteme entegre edilerek gerçek anlamda bir izleme sistemi oluşturuyor” ifadesini kullandı.
HES KAPSAMINDA ALINAN ŞEY KİŞİSEL VERİ Mİ?
HES kapsamında hem kişisel verilerinizin hem de özel nitelikli verilerin alındığını söyleyen Küpana “Ailenizden biri koronavirüse yakalandığında sizin de verileriniz alınıyor. Hollanda, Belçika ve İngiltere gibi ülkeler pandeminin başında, yaptığı kamuoyu açıklamalarında gerektiği kadar bilgi alınması konusunda uyarılar yapmıştı. Kişisel Verileri Koruma Kurumu da sürecin başlarında yaptığı açıklamada benzer hususlara değinmiş ve bu süreçte mahremetiyet ihlallerine de mümkün mertebe sebebiyet verilmemesini hatırlatmıştı. Ancak diğer yandan HES kapsamında alınan bir takım kişisel bilgiler de mevcut. Özellikle işyerleri vb. kurumlar nezdinde durum daha da karmaşık. Kurumlar tedbiren çalışanları, ziyaretçileri vb. kişilere ait bilgileri HES kanalı ile elde ederken bu bilgilerin KVKK kapsamında özel nitelikli veri olarak kabul edilmesi de ayrı soruları doğurmaktadır.
Özel nitelikli veri ise kişisel veriden ayrı olarak getirilen bir tanım. Örneğin X kişisi sağlık açısından riskli durumdadır dediğimizde bu bir özel nitelikli veri kapsamına giriyor. Özel nitelikli verileri işlemek için de kanunun 6. maddesine dikkat etmek gerekiyor. Nedir bu 6. madde, Kişisel Verileri Koruma Kanunu’nun 6. maddesi ‘Sağlık ve cinsel hayat dışındaki özel nitelikli veriler; ancak kanunlarda öngörülen hallerde kişinin açık rızası olmaksızın işlenebilecektir’ ifadesini kullanıyor. Peki biz şirket olarak HES kodunu alacağız ancak yetkili bir sağlık kuruluşu değiliz, nasıl alacağız dendiğinde ya ‘açık rıza’ ile ya da ‘sır saklama yükümlülüğü altında bulunan kişiler’ ile yapmaları Şirketlere söyleniyor. Bu noktada ise şirket bünyesindeki sıklıkla haftanın belirli günleri olan sağlık görevlileri veya açık rıza haricinde Şirketler için büyük bir belirsizlik meydana geliyor.
HES KODU ENTEGRASYONU
HES uygulamasının kullanımının yaygınlaştırılması ve belirli sektörlerde zorunlu tutulması hakkında konuşan Küpana, “İçişleri Bakanlığı’nın genelgeleriyle HES kodu için, konaklama gibi sektörlerde uygulama zorunluluğu getirildi. Diğer taraftan işyerleri, restoranlar gibi çalışma alanlarına zorunluluk değil ama uygulanması tavsiye edildi. Son olarak da en az 500 çalışanı olan kamu kuruluşları ve işyerleri için de toplu HES kodu entegrasyonu getirildi. Ancak Kişisel Verileri Koruma Kanunu’nda şöyle bir madde var ‘Sağlık ve cinsel hayata ilişkin veriler ise; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.’
Kamu kuruluşları sizden HES kodu isterken pandemi sürecinde kamu sağlığının korunmasını örnek göstererek kendilerini istisna tutuyorlar. Diğer taraftan özel sektörde ise ya çalışanlardan rıza alınması ya da HES kodu almak isteyen şirketteki sır saklama yükümlülüğü altında bulunan kişiler yani o şirketin hekimi veya hemşiresine HES kodlarını toplaması gerekiyor.
Buradaki uygulama yönteminde şu iki sorun karşımıza çıkıyor, birincisi çalışanlar Covid-19 pozitif olduğunu çeşitli ‘iş ve gelecek’ korkularından ötürü paylaşmaktan imtina edebiliyor. Eğer bu rızaya tabii tutulursa çoğu kişi bunu söylemekten imtina edecek. Özellikle mavi yakalılar düşünüldüğünde ‘işimden olurum’ kaygısıyla bilgilerini paylaşmaya rıza göstermeyen pek çok kişi olacaktır. İkincisi ise şirkette genellikle haftada 2-3 gün görev yapan ilgili şirketin hekimi veya hemşiresine inanılmaz bir yük bindiriyor. İşte bu noktada bu kaygılarla HES kodu almak çok zorlaşıyor. Küpana, “Problem de burada başlıyor. Şirketler rıza vermeyeni nasıl yöneteceğim veya sağlık görevlileri kanalı ile nasıl hareket etmem lazım ikileminde hareket ediyor. Bu ve çoğaltılabilen örnekler HES’in uygulamasının eksikliklerini gösteriyor.” açıklamasını yaptı.
NASIL BİR YOL İZLEMEK GEREKİYOR?
Pandemi sürecinde kişisel bilgilerin işlenmesinin devam edeceğini ifade eden Küpana, “Bunun yapılmadığı noktada pandemiyi önlemek zorlaşıyor. Ama bunu nasıl yapacağız noktasında da mahremiyet önemli bir konu başlığı. Mahremiyet ve sağlık arasında nasıl bir denge kurulabilir, buraya odaklanmak gerekiyor. Bu sadece Türkiye özelinde değil, Avrupa’da da böyle işliyor. Sağlık ve mahremiyet arasında bir sıkışmışlık söz konusu. Ancak hepsinin başlangıcı, süreç tasarımının başlangıçtan itibaren mahremiyet odaklı olarak düzenlenmesi, veri ihlallerini engellemeye yönelik yapılması, oluşturulan sistemlerin açıklarının çıkmaması, üçüncü kişilerin verilerine erişimin engellenmesi, bu tartışmaları ortadan kaldırmak için bize bir başlangıç noktası sunabilir” ifadesini kullandı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
