İzolasyon Takip Projesi ve kişisel verilerimiz hakkında bir tartışma

Bolkar Özkan* [email protected]

Detayları Cumhurbaşkanlığı İletişim Başkanı Fahrettin Altun tarafından paylaşılan Pandemi İzolasyon Takip Projesi Covid-19 ile mücadele kapsamında geliştirildi. Ancak projenin, açıklandığı kadarıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında birtakım eksiklikleri/hataları bulunmaktadır. Bu eksikler/hatalar yeni bir projeye ilişkin olarak yapılan bir açıklamadan kaynaklı olabileceği gibi, bunların yeteri kadar tartışılmaması halinde hukuki bir krizi ortaya çıkarabileceği de açıktır. Bu sebeple bu yazı ile projeyi ilgili kanun kapsamında -her ne kadar sınırlı bir değerlendirme yapmak pek mümkün olmasa da- hukuki bağlamda değerlendireceğim.

Pandemi İzolasyon Takip Projesi neler sunuyor? Korona virüsü taşıyıcılarının tespit edilmesini müteakip bu kişilere uygulanacak olan izolasyonun denetimine ilişkin olarak geliştirilen bu proje, izolasyon kurallarına uygun davranmayan kimselerin bu aykırı davranışlarının konum bilgileri (veya başka kayıtlar) kapsamında tespit edilerek bu kişilere uyarı mesajlarının gönderilmesini, uyarı aramalarının yapılmasını ve gerektiğinde kolluk kuvvetlerinin olaya dahil olması ile aykırı davranışı sergileyen kişiye adli, idari yaptırımların uygulanmasını içeriyor.

Projenin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile ilgisi nedir? Bu kanunda -bu yazının içeriği ile sınırlı olarak sayacak olursam- kişisel verinin tanımı ve tasnifi, veri işleme faaliyetinin kapsamı-şartları, veri ilişkisinin öznelerinin tespiti ve sorumlulukları, kanundan istisna halleri düzenlenmiştir. Bu düzenlemeleri başlıklar halinde inceleyerek projeyi tartışacağım.

a- Kişisel veri nedir, türleri nelerdir, proje ile hangi kişisel verilerin işlenmesi öngörülüyor?

Kişisel veri, kanunda, gerçek kişiler ile ilgili her türlü bilgi olarak tanımlanmaktadır. Kişisel verilerin türü, kanunun 6. maddesinde sayılanlar kapsamında ikiye ayrılmaktadır. Bu maddede sayılan veriler özel nitelikli kişisel veriler olarak adlandırılmıştır. Bu verilerin özel olarak sayılmasının sebebi, sayılan bu verilerin hiyerarşik olarak diğer verilerden üstün olması değil, birazdan bahsedeceğim işleme şartlarındaki farklılıklardır. Bu kapsamda öncelikle proje kapsamında hangi verilerin işleneceğinin tek tek belirlenmesi gerekmektedir. Projenin paylaşılan detaylarından öncelikle bu projenin korona virüsü taşıyıcılarına yönelik olduğu anlaşılmaktadır. Öyleyse proje ile ilk olarak kişilerin sağlık verileri işlenmektedir. Sağlık verileri 6. maddede sayılan özel nitelikli kişisel verilerdendir.

Korona virüsü taşıyıcılarının izolasyona aykırı hareketlerinin tespiti bugünün teknolojisi ile cihazlardan alınan konum bilgisini gerektirmektedir. Konum bilgisi özel nitelikli kişisel veriler arasında sayılmamıştır.

İzolasyona aykırı hareketin tespiti ile kişinin telefonuna mesaj gönderilebilmesi yahut otomatik aranması bu kişinin iletişim bilgilerini gerektirmektedir. İletişim bilgileri de kanunda özel nitelikli kişisel veriler arasında sayılmamıştır.

Projenin detayları daha da belirginleştikçe bu verilerin sayısında artışlar olabilir.

b-Veri türlerine göre veri işleme şartlarının nelerdir, hangi eylemler veri işleme kapsamındadır, proje kapsamında işlenecek verilerin işlenme şartları nelerdir?

Verinin iki türünden biri olan özel nitelikli kişisel verilerin, diğer tip genel nitelikli verilerle olan farkının hiyerarşik olmadığını, bu verilerin işlenme şartları bakımından önemli farklılıklar taşıdığını belirtmiştim. Özel nitelikli sayılmayan kişisel verilerin hangi hallerde işlenebileceği kanunun 5. maddesinde, özel nitelikli verilerin işlenme şartları ise 6. maddede sayılmıştır. Ancak öncelikle işleme kavramının kanuni kapsamının belirlenmesi gerekir. Öyle ki verilerin işlenmesi (işleme eyleminin biçimi yönünden de değerlendirilmelidir); verinin elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hale getirme, sınıflandırma ya da kullanılmasını engelleme eylemlerinin genel adıdır (6698 Sayılı KVKK - 3/e).

İşleme eylemi verinin türüne bakılmaksızın asli olarak ancak verisi işlenecek kişinin rızasına bağlıdır. Ancak veri türüne göre farklılık gösteren istisnai işleme şartları da bulunmaktadır. Buna göre öncelikle özel nitelikli kişisel veri sayılan sağlık verisi yani bir kişinin korona virüsü taşıyıcısı olup olmadığının bilgisi (yani olmamaya ilişkin bilgi de) ancak bir kişinin rızası ile işlenebilir. İstisnai olarak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir (6698 Sayılı KVKK – 6/3). Nitekim Fahrettin Altun tarafından paylaşılan projenin içeriğinin de bu hükme dayandığı belirtilmiştir. Açıklama ilk bakışta doğru görünebilir. Ancak projenin içeriği ve kanun sistematiği dikkatle incelendiğinde çok önemli hatalar ve eksiklikler göze çarpmaktadır.

Bu projeyi yeni kılan nedir? Proje kapsamında korona virüsü taşıyıcılarının tespit edilmesi midir? Elbette hayır. Zira bu işlem halihazırda bu proje olmaksızın da yerine getirilmektedir. Projede yeni olan husus konum bilgisinin izlenebilmesi, izlenen konum bilgisinin paylaşılması ve nihayet iletişim bilgilerinin kullanılması sonucunda kişinin uyarılması ve hatta yaptırımla karşı karşıya bırakılmasıdır. Bu noktada ilk eksiklik projenin uygulama alanı ile kanuni düzenleme arasındaki açık farklılıktır. Cumhurbaşkanlığı İletişim Başkanlığı tarafından sağlık verilerine ilişkin olarak belirtilen madde, konum ve iletişim bilgisi bakımından geçerli değildir. Zira konum ve iletişim verileri özel nitelikli kişisel veri değildir. Bu noktada 6. maddenin 3. fıkrası bu verilere uygulanamaz. Özel nitelikli kişisel verilerin hiyerarşik olarak genel verilerden üstün veri statüsünde sayılamayacağını da yukarıda ifade ettim. Bu kapsamda özel nitelikli verilerden sağlık ve cinsel hayata ilişkin olan 6. maddenin 3. fıkrası hükmü, genel nitelikli verilere evleviyet kuralı kapsamında da uygulanamaz. Projeye ilişkin olarak yapılan açıklamada ilk hata budur.

Öyleyse konum ve iletişim bilgilerinin rıza olmaksızın işlenmesi nasıl mümkündür? Projenin açıklanmasındaki ilk eksik de budur. Bu sorunun cevabı ancak kapsamlı bir çalışma ile mümkün hale gelir. Bunun dışında İletişim Başkanlığı tarafından açıklanan bilgiler ışığında henüz aydınlanmamış olan bir proje kapsamında bu sorunun cevaplanması her hâlükârda hatalı olacaktır. Öyle ki şu an açıklanan haliyle projenin 6698 sayılı Kanun ile uyumlu hale getirilebilmesi için birçok kanuni düzenlemeye yahut projede önemli birtakım değişikliklere ihtiyaç olduğu açıktır.

c- Veri ilişkisinin özneleri kimdir, verinin işlenmesinde yetki kavramının önemi nedir, proje kapsamında özne-yetki denklemi kurulabilmiş midir?

Veri ilişkisi çoklu özneler kümesine sahiptir. Ancak bu özneler iki başlık olarak tasnif edilebilir: İlgili kişi ve veri sorumlusu. İlgili kişi verisi işlenen gerçek kişidir. Veri sorumlusu ise veriyi kanunda öngörülen kapsam ve araçlarla işleyen gerçek veya tüzel kişidir. Yukarıda sağlık ve cinsel hayat verilerine ilişkin olarak alıntıladığım fıkrada belirtildiği üzere bu tip veriler ancak sır saklama yükümlülüğü bulunanlar veya yetkili kurum veya kuruluşlar tarafından gerçekleştirilebilir. Yetki kavramı işte burada büyük önem kazanmaktadır. Zira kanun kapsamında verilerin işlenebilmesi için sayılan haller tek başına yeterli değildir aynı zamanda veriyi işleyecek veri sorumlusunun da yetkili olması gerekir. Bu yetki yine işleme fiilini (bu fiilin hangi eylemleri içerdiğini yukarıdaki başlıkta inceledim) gerçekleştiren her veri öznesi için (proje kapsamında veri sorumlusu sayılacak her özne için) geçerli olmalıdır. Aksi halde özne-yetki denklemi kurulamayacağından veri işleme eylemi hukuka aykırı olacaktır.

Halihazırda yapılan açıklamada veri sorumlusunun kim/kimler olduğu da belirsizdir. İlgili kanun kapsamında getirilen en önemli yenilik, ilgili kişinin verisinin kim tarafından işlendiğini bilme hakkıdır. Bu kapsamda veri sorumlusunun kimliğini bilme kanuni bir haktır. Proje ise yapısı itibariyle, veri işlemenin (aktarımının) çeşitli olduğu yapısı nedeniyle, veri ilişkilerini ve öznelerini çoğaltmaktadır. Bu kapsamda ilgili kişiler kanuni hakkı kapsamında tüm bu veri sorumlularının kimliği bilmeli ve sorumlular tarafından gereği gibi aydınlatılmalıdır. Ancak bu hususlar yönünden de projenin tanıtımında büyük eksiklikler göze çarpmaktadır.

d- Kanunun istisnaları nelerdir, proje kapsamındaki veri sorumluları istisna sayılabilir mi, özne-istisna denklemi kurulabilmiş midir?

Kanunun 28. maddesinde kanundan istisna halleri sayılmıştır. Proje kapsamında önemli sayılabilecek olan şu yönde bir istisnai hal düzenlemiştir: Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi (6698 Sayılı KVKK – 28/1-ç). Proje kapsamında toplanacak verilerin yukarıda yer alan nedenlerden biriyle özne-yetki denklemi bağlamında işlenmesi halinde bu başlığa kadar söylediklerimizin hiçbir önemi kalmamaktadır. Zira kanun, kendi uygulama alanını 28. Madde kapsamındaki veri işleme süreçlerinden ayrı tutmuştur. Ancak bu hükme proje kapsamında başvurmak yukarıda c başlığında incelenen hususlardan daha karmaşıktır. Zira bu hükümde özne-istisna denklemi de sağlıklı bir biçimde kurulabilmelidir. Yani veri sorumlusu öznesinin yukarıdaki hususlar yönünden veri işlemeyi gerçekleştirmesi gerekmektedir. Bu da yetersizdir. Aynı zamanda bu veri sorumlusu özne-yetki denklemini de gerçekleştirmelidir. Yani veri sorumlusu kanunla görev ve yetki verilmiş kamu kurum kuruluşu olmalı ve önleyici, koruyucu ve istihbari faaliyet kapsamında veri işlemelidir.

Proje, veri ilişkisinde yer alan birden çok veri sorumlusu bakımından dikkate alındığında çok önemli yetki tartışmalarına sebebiyet verebilecek niteliktedir. Bunun yanı sıra, yukarıdaki istisnaya dayanması halinde yalnızca yetki tartışmasına değil, istisna tartışmasına da sebebiyet verebilir. Zira proje kapsamında veri sorumlusu sıfatıyla yer alan örneğin GSM operatörleri ne yetkili ne de istisna kapsamında sayılabilecek niteliktedir. Bir kez daha ifade edersem, bu istisnai hüküm yalnızca yetkili kurumu işaret etmemektedir ve işlemenin niteliğini ve işlemenin faaliyet alanını da sınırlı tutmaktadır. Sağlık-Konum-İletişim başlıklı bu veriler yukarıdaki niteliklerden hangisine dahil olabilecektir, kamu güvenliği-kamu düzenine mi? Tüm verilerin ve veri ilişkilerinin ayrı ayrı incelenmesi gerektiği dikkate alındığında, proje kapsamında örneğin sağlık verilerine ulaşmada, işlemede yine örneğin GSM operatörlerinin kanunla tanımlanmış bir yetkisi var mıdır? Peki, bu faaliyetlerin içeriği önleyici, koruyucu ve istihbari midir? Bu soruların her bir veri işleme faaliyeti ve konusu yönünden ayrı ayrı cevaplanması gerekir.

Kaldı ki Cumhurbaşkanlığı İletişim Başkanı Fahrettin Altun yaptığı açıklamada projenin 6698 sayılı kanuna uygun olduğunu ifade etmiştir. Bu ifade, yetkililer tarafından da bu projenin ilgili kanuna tabi olduğunun düşünüldüğü anlamına gelmektedir. Böyle bir durum dahi proje ile Kişisel Verileri Koruma Mevzuatımız arasında çok önemli gerilimler olduğunu göstermektedir.

Projede verilerin kim/kimler tarafından işleneceği (kanuni kapsamı ile genel anlamda işleme faaliyetini kimin/kimlerin yapacağı) sorusuna sağlıklı bir yanıt verilemedikçe bu tartışmaların dahi herhangi bir önemi kalmayacaktır. Zira projenin gelişimi ile birlikte görülecektir ki proje kapsamında genel bir mevzuat değerlendirmesi dahi yeterli olmayacaktır, projeye dahil olan her bir veri işleme faaliyeti tek tek değerlendirilmek zorunda kalınacaktır. Proje geniş bir veri işleme ağını ortaya çıkaracaktır. Böyle bir durumda projeye Kişisel Verilerin Korunması Mevzuatı kapsamında ayrıca çalışılmalı ve veri koruma süreçlerine ilişkin olarak bu yazıda değinmediğim güvenlik çalışmalarının yapılması gerektiği de dikkate alınmalıdır. Aksi halde proje, korona virüsü taşıyıcılarının kişisel verilerinin, kabaca ifade edilirse, ortalığa saçılmasına sebebiyet verecektir.

*Avukat