Salgın Sürecinde Devletlerin Topladığı Kişisel Verilere Ne Olacak?

33
16
3
2
2
Dünya Sağlık Örgütü tarafından pandemi olarak ilan edilen Covid-19 salgını, 2019 yılı Aralık ayından beri hayatımızda. Bu süreçte devletler salgın faaliyetlerini kontrol altına almak adına çeşitli mobil uygulamalar ile vatandaşların faaliyetlerine ilişkin verileri elde etti. Bu noktada elde edilen verilerimizin mahremiyeti önemli bir soru işareti oluşturuyor.

İnsanlık için zorlu geçen bir salgın sürecindeyiz. Hepimiz bir an önce hayatımızın eski haline dönmesi için gün sayıyoruz. Devletler de salgın sürecini kontrol altına alarak normalleşmeyi hızlandırmak için her geçen gün yeni çalışmalara imza atıyorlar. Ayrıca teknoloji çağında olmamızın verdiği kolaylıktan da faydalanan devletler, salgın süreçlerini kontrol altına almakta en çok teknolojiye başvuruyorlar.

Salgına karşı alınan önlemlerden olan mobil uygulamalar ile vatandaşlar takip ediliyor, temasa geçtikleri kişi bilgileri ya da karantina alanında olup olmadıkları gibi çeşitli veriler kaydediliyor. Bu noktada toplum sağlığı ile kişilerin veri mahremiyeti arasındaki ince çizginin korunması ve toplumdaki kaygıların yok edilmesi oldukça önemli bir noktayı oluşturuyor.

koronavirüs takip

Bir tarafta mahremiyet ve veri güvenliği hakkını savunanlar, diğer tarafta ise toplum sağlığının ve salgın sürecinin bir an önce sona ermesini savunanlar var. Bu noktada her iki tarafın da haklı endişeleri var.

Teknolojik alanda verilerimizin mahremiyeti “big data” olarak adlandırılan büyük verinin yaygınlaşması ile birlikte oldukça önemli bir noktaya taşındı. Zira büyük veri yığınları ve söz konusu yığınlardan anlamlı sonuçlar çıkarabilme yeteneği gelişen yapay zeka teknolojisi ile birlikte oldukça kolay hale geldi. Böylelikle toplumsal bir büyük veri yığınlarına sahip kimse hemen hemen toplumun tamamı üzerinde gerçekçi analizler yapabilecek imkana sahip oluyor.

Salgın sürecinde devletlerin takip uygulamaları:

koronavirüs takip

Yakın geçmişte Çin’de devletin gerçekleştirdiği takip uygulamasına ilişkin bir video yayınlandı. Bireylerin cep telefonlarına indirilen uygulamadaki barkodla, sağlık durumları sınıflandırılıyor. Yeşil, sarı ve kırmızı etiketler veriliyor. Yeşiller şehirde serbest dolaşım hakkına sahip oluyor, sarılar mahalli izne kırmızılar ise karantina altında kalması gerekenler oluyor. Black Mirror dizisinden bir sahne gibi olsa da salgın sürecinde Çin klasik salgın takip yöntemleri yerine bu yöntem ile salgını minimuma indirmekte başarılı olduklarını savunuyor. 

Devletlerin kullandıkları uygulamalar genellikle Bluetooth teknolojisine dayanıyor. Uygulama vasıtasıyla cihazlar arasında veri aktarımı gerçekleştiriliyor. Bu veriler toplanıp kişilerle eşleştiriliyor. Risk tespit edildiğinde ise toplanan verilerden temasa geçilen kişiler alınması gereken önlemler konusunda uyarılıyor. 

Örneğin telefona mobil takip uygulaması kurulu kişi bir toplu taşıma aracına biniyor. Onunla aynı gün ve saatte aynı toplu taşıma aracında bulunan bir başka kişide koronavirüs pozitif çıktığında; bu kişinin geriye dönük olarak temasta bulunduğu kişilere mobil uygulama üzerinden bildirim gidiyor ve kendilerini karantina altına almaları sağlanıyor. Bazı devlet uygulamalarında ise karantina bölgesinden çıkıldığında doğrudan kişinin mobil lokasyon tespiti yapılarak cezai işlem uygulanıyor. 

salgın

Veri mahremiyetine ilişkin kısım ise bu noktada başlıyor. Çünkü bu uygulamalarda hangi detaylı veriler ne kadar süre ile tutuluyor veya bu verilere kimler erişebiliyor gibi soruların yanıtları net değil. Nitekim merkezi sistem uygulamalar ile merkezi sistem uygulamalar arasında özellikle verilere erişim noktasında farklılıklar mevcut. 

Merkezi sistem uygulamalarda mobil uygulamalar vasıtasıyla toplanan veriler devletin ilgili kurumlarının erişimine açık oluyor ve toplanan verilerin kişilerle eşleştirilmesi bu merkezlerde gerçekleştiriliyor. Merkezi olmayan sistemlerde ise devlet kurumlarının toplanan bilgilere erişimi çok daha kısıtlı oluyor ve müdahale amaçlı gereken bilgilere erişim sağlanabiliyor.

Merkezi sisteme örnek olarak Çin, Güney Kore, Türkiye gibi ülkelerin uyguladığı takip sistemleri, merkezi olmayan sisteme örnek ise Apple ve Google’nin ortak geliştirdikleri “temas takip” projesi verilebilir. 

Veri mahremiyeti mi? Toplum sağlığı mı?

takip uygulamaları

Veri mahremiyetini savunanlar tarafından merkezi olmayan takip yazılımlarının kullanılması gerektiği ileri sürülüyor. Böylelikle kişilere ait veriler “bağımsız” bir veri merkezinde tutularak devletlerin erişimi kısıtlandırılıyor veya veriler anonimleştiriliyor. Böylelikle bireylerin veri mahremiyetinin korunacağı ileri sürülüyor. Az önce verdiğimiz örneği ele aldığımızda Google'ın ortak olduğu bu sistemde bunun bir ütopya olacağı konusunda hepimiz hemfikiriz sanırım. Google’a Avrupa’da kişisel veri ihlalinden ötürü verilen cezalar halen gündemde. Hal böyleyken devletlere vermekten sakındığımız bu verileri büyük veri analisti firmalara rahatlıkla veriyor olabiliriz. 

Merkezi sistemde ise şüpheler kişilerin doğrudan özel nitelikli kişisel verilerinin devlet elinde büyük veri oluşturularak analiz edilmesine yönelik oluşuyor. Bu noktada veri mahremiyetini savunanlar bu verilerin devlet tarafından salgın sürecinin devamında da kullanılıp, kullanılmayacağından veya bu veri setleri ile başkaca veriler bir arada değerlendirilip istihbarat amaçlı bilgi toplama faaliyetinin de gerçekleştirilebiliyor oluşundan çekince duyuyor. Bazı ülkelerde verilerin anonimleştirildiği açıklanmışsa da bu konuda AB Veri Koruma Komiseri’nin açıklamalarında kişilere ilişkin verilerin tam anlamıyla ve geri döndürülemeyecek şekilde anonimleştirilebilmesinin neredeyse imkânsız olduğunu ifade ettiğini hatırlatmak gerekir. 

salgın

Bu bakımdan Avrupa birliği ülkelerinin uygulamaları daha çok veri mahremiyeti ile toplum sağlığı arasında denge kurmayı amaçlıyor. Bunun için mobil uygulamalar ile toplanan verilerin sadece salgın süreciyle kısıtlı tutulacağı, sonrasında imha edileceğini ve salgının normalleşme süreci tamamlandığında artık yeni veri tutulmayacağı ifade ediliyor. Ayrıca merkezi sistemle toplanan verilere sadece sağlık kurumları ve gerektiğinde kolluk kuvvetleri tarafından erişim sağlandığına ilişkin bilgilendirmeler yapılıyor. 

Avrupa Birliği içerisinde dolaşıma elverişli bir şekilde merkezi olmayan bir sisteme geçiş yapılmak isteniyor. Böylelikle Lüksemburg’da yaşayan bir kimse işi sebebiyle Almanya’ya geçtiğinde de temas kurduğu kimselerin takibi yapılabilir olması gerekiyor. Bunu yapabilirlerse sınırları tahminlerinden daha erken açabileceklerini ifade ediyorlar. 

Baktığımızda veri mahremiyeti ile toplum sağlığı arasında denge kurulması sağlanarak hem salgının yayılmasını önleme faaliyetlerinde etkili bir bireysel takip sistemini kullanabilmek hem de kişinin özgürlüklerine zarar vermeden veri mahremiyeti sağlanabilecek yol en makulü görünüyor.

Ülkemizde salgınla mücadele kapsamında kullanılan “Hayat Eve Sığar” uygulaması nasıl çalışıyor?

hayat eve sığar

Hayat Eve Sığar” uygulaması da merkezi sistem olarak çalışıyor. Toplanan verilerin sadece yetkilendirilen kamu kurumları ile paylaşıldığı açıklanıyor. Hayat Eve Sığar uygulamasını indirirken kullanıcıdan alınan izinler ve erişimler ise şunlar: GPS ve ağ tabanlı konum bilgilerine erişim, telefon rehberi, kamerada resim çekme ve görüntü kaydetme, kablosuz bağlantılar, tam ağ erişimi, Bluetooth ayarlar ve internetten veri alma.

Bunlara ek olarak hali hazırda kayıtlı olan e-devlet kimlik bilgileri, e-nabız sistemi ve Mernis (nüfus ve vatandaşlık işleri) verilerine de erişim sağlanıyor. Böylelikle salgınla ilgili “büyük veri” oluşturuluyor. Hayat Eve Sığar uygulaması Türkiye'de faaliyet gösteren üç GSM operatörüyle çalıştığı için cep telefonunun kayıtlı olduğu operatörle paylaşılan tüm veriler yine bu uygulama aracılığıyla devlet sistemlerine paylaştırılıyor.

Ülkemizde kişisel verileri korumaya yönelik olarak 2016 yılından itibaren yürürlükte olan bir kanunumuz var: 6698 sayılı Kişisel Verilerin Korunması Kanunu.(KVKK) Uygulama tarafından toplanan bu veriler kanunun istisnası bir durumu kapsamında yer alıyor. KVKK m.28/1-ç düzenlemesi ile Sağlık Bakanlığı ve ilgili madde kapsamında yetkilendirilen kamu kurum ve kuruluşları tarafından kişisel verilerin işlenmesi önünde bir engel bulunmuyor.

koronavirüs

Ülkemizde uygulama ile toplanan bu veriler kişiler ile eşleştirilebilir bir halde bulunuyor. Bunun sakıncalı noktası ise ne kadar çok detaylı veri toplanırsa o kadar çok analize imkan sağlamanız oluyor. Böylelikle ihtiyaçtan daha fazla bilgiye veri setleri analiz edilerek ulaşılabiliyor. 

Örneğin konum verileri ile birlikte yaşadığımız şehir bilgisi birlikte analiz edilerek yaşadığımız şehirde sıklıkla bulunduğumuz noktaların tespitine elverişli bir bilgiyi sunmuş oluruz. Bunu bir derece daha ileri götürelim. Konum verimiz, yaşadığımız şehir bilgimiz ve kablosuz bağlantı bilgilerimiz. Böylelikle bir apartman içinde hangi daireye gittiğimiz bilgisine kadar ulaşılabilecek bir veri seti bilgisi paylaşıyoruz. Salgınla mücadele kapsamında bireysel takip bakımından etkili bir sistem olarak düşünebiliriz ancak ya politik görüşleri tespit amaçlı istihbarat faaliyeti için kullanırsa ? 

Gerek ülkemiz olsun gerekse diğer devletler bakımından olağanüstü bir salgın sürecinde olmamız sebebiyle verilmiş yetkiler kapsamında özel nitelikli kişisel verilerimizin işlenmesine ilişkin yasal düzenlemeler mevcuttur. Veri mahremiyetimizi koruyacak olan ise uluslararası anlaşmalar ile korunan temel haklarımızın halen geçerli olması. Bu noktada devletler salgınla mücadele kapsamında bu hususu göz ardı etmeksizin veri korunması mahremiyet kurallarına uygun hareket etmeli

Sonuç:

koronavirüs

Vatandaşların veri mahremiyeti endişesinin önüne geçebilmek adına devletlerin, işlenen verilerin nasıl ve nerede hangi amaçla ne kadar süreyle kullanılacağı konusunda kamuyounu açık bir şekilde bilgilendirmesi gerekiyor. Ayrıca bu verilerin güvenliğinin de sağlanması, yetkisiz kişilerce erişimi noktasında üst düzey güvenliğin şart olduğu bir gerçek. Kullanılan uygulamalar ile toplanan verilerin suistimale yol açmayacak bir şekilde toplandığının güvencesinin topluma verilmesi gerekiyor.

Devletin verdiği güvenceye inanmak ise topluma kalıyor. Böylelikle toplumun devlet politikalarına karşı güveni de önemli bir etken oluyor. Bu konuda Güney Kore güzel bir örnek olarak verilebilir. Salgın sürecinde uyguladıkları politikalar ile veri mahremiyetini koruyarak salgın sürecini kontrol altına aldılar. Ancak bu durumun tam tersi de olabilir. Toplumun, devlet politikalarına karşı güven duymasının zor olabildiği ülkeler mevcut. Bunun sebebi ise bu zamana kadar uygulanan politikalarda halkın devlete olan güveninin azalmış olması.

Sonuç olarak devletlerin salgınla mücadele döneminde işlenen bu verilere ilişkin güvence sunması, bu verilerin amacı dışında kullanılamayacağı ve toplanmasına ilişkin sebep ortadan kalktığında imha edileceği gibi hususlarda toplumun güvenini kazanması gerekiyor. Ayrıca uygulanan sistemlerde veri mahremiyeti ihlallerinin minimuma indirilmesi de önem arz ediyor. Böylelikle salgınla mücadelede etkin bir yöntem izleyip, toplumun temel hak ve özgürlükleri arasında denge sağlayabiliriz.

Kaynaklar:

1- BBC Türkiye :

2- Ayșe Nur AKINCI, Büyük Veri Uygulamalarında Kișisel Veri Mahremiyeti Uzmanlık Tezi, Şubat 2019, Sektörler Ve Kamu Yatırımları Genel Müdürlüğü

3- How Europe splintered over contact tracing apps, Financial Times

4- Apple and Google’s covid-tracing tech has been released to 23 countries, MIT Technology Review 

33
16
3
2
2
Emoji İle Tepki Ver
33
16
3
2
2