Hit enter after type your search item

DR. YASİN AYDOĞDU İLE HES UYGULAMASI VE KİŞİSEL VERİLERİN KORUNMASI

/

Son zamanlarda ortaya çıkan yeni virüs varyantları ve buna bağlı olarak artan vaka sayıları bizleri endişelendirirken; Sağlık Bakanlığının, pandeminin etkilerini azaltmak ve kamu sağlığını korumak amacıyla uygulamaya koyduğu ve hayatımızın rutin bir parçası haline gelen Hayat Eve Sığar uygulamasının işlediği kişisel veriler KVKK’ye ne ölçütte uyumlu? Ekibimizden Sertuğ Atik, HES Uygulamasını ve kişisel verilerin korunması konusunu Dr. Öğretim Üyesi Yasin Aydoğdu ile ele aldı.

1- Kişisel veriler ile kamu yararı arasındaki denge nasıl kurulmalıdır? Burada hangi ölçütler dikkate alınabilir?

Dr. Yasin AYDOĞDU: Öncelikle ‘kişisel veri’ kavramının tanımını yapmakta fayda görüyorum. Konuya dair uluslararası düzenlemelerde ve 6698 sayılı Kişisel Verilerin Korunması Kanuna göre kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. İnsanların kişisel verileri özel hayatlarının gizliliği kapsamında korunması gereken temel haklardan biridir. Nitekim Anayasaya göre: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.” (m. 20/3).

Kişisel verilerin korunmasını talep etme kişinin bireysel menfaatini gözetmektedir. Ancak belirli durumlarda toplumun menfaatinin bireyin menfaatinden üstün tutulması gerekmektedir. Toplum menfaati yahut kamu yararı ile kişisel veriler arasındaki dengenin kurulmasındaki ölçütler Anayasada düzenlenmektedir. Yani anayasal bir hak olarak kişisel verilerin korunması hakkı, yine anayasada öngörülen belirli durumlarda ve belirli ölçütlere uyularak sınırlandırılabilmektedir. Bu ölçütler Anayasanın 13. maddesinde şöyle düzenlenmektedir: “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.”

Kişisel verilerin korunması hakkına ilişkin Türk Hukukundaki temel norm 6698 sayılı Kişisel Verilerin Korunması Kanunudur ve bu hakkın sınırlandırılmasına dair düzenlemeler bu Kanunda yer almaktadır. Kanundaki düzenlemelere göre kamu yararının gözetildiği birçok durum Kanunun uygulanması bakımından istisna hali olarak karşımıza çıkmaktadır (m. 28). Ancak kamu yararının gözetildiği bu durumlarda kişisel verilerin korunmayacağı anlamı çıkmamalıdır. Bu istisnai durumlarda kişisel verilerin işlenmesine dair genel ilke ve prensiplere riayet edilmeye devam edilmelidir. Ezcümle toplum yararı gözetilirken bireyin zararına göz yumulmamalıdır.

2- HES Kodu’nun talep edilebilmesi için mutlaka kişinin açık rızası alınmalı mıdır? Kamu Kurumları hangi maddeye dayanarak açık rıza talep etmektedirler?

Dr. Yasin AYDOĞDU: Ülkemizde Covid-19 vakalarının görülmeye başlanmasının ardından kısa süre içerisinde Sağlık Bakanlığı tarafından geliştirilen Hayat Eve Sığar (HES) Uygulaması ve bu uygulama tarafından kişiye özel verilen kodlar kısa sürede hayatımızın önemli birer parçaları haline geldi. 2021 yılı ortalarında Covid-19 aşılama uygulamalarının hız kazanmasının ardından kademeli normalleşmeye geçilmesiyle beraber ise HES Kodları birçok yere girebilmek için zorunlu hale geldi. Yani sorunuzu cevaplayacak olursam HES Kodunun talep edilebilmesi için kişilerden açık rıza talep edilmemekte.

Burada iki hususu ayırmakta fayda görüyorum. Hayat Eve Sığar Uygulaması ile HES Kodu aynı anlama gelmemelidir. Nitekim HES Uygulamasını kullanmak gönüllülük esasına dayanırken, yani kullanıcılarından açık rıza alınırken, HES Kodu için aynı durum söz konusu değildir. Uygulamayı indirmeden de e-devlet üzerinden yahut resmi kurumlar üzerinden fiziki olarak veya SMS yoluyla da kişiler HES Kodu alabilmektedir. 10 haneli bu HES kodları olmaksızın başta kamu kurumları, alışveriş merkezleri, sinema, tiyatro, banka gibi yerlere girilemediği gibi şehirlerarası ulaşım araçları da kullanılamamaktadır. Kısaca HES Kodu olmaksızın kişinin hayatını devam ettirebilmesi oldukça zor bir hal almıştır.

Peki, bu denli hayatımızın merkezinde bulunan bir Kod Uygulamasının yasal dayanağı nedir? Bu soruyu maalesef ki “Sağlık Bakanlığı tarafından çıkarılan genelgeler” şeklinde cevaplıyoruz. Maalesef dememin sebebi ilk sorunuzda yanıt verdiğim temel hak ve özgürlüklerin sınırlandırılmasındaki temel kriter olarak kanunilik ilkesine riayet edilmiyor olmasıdır. Burada her ne kadar genelgenin dayanağı olarak Umumi Hıfzıssıhha Kanunu ve temel birkaç kanunu dayanak gösterseler de ben şahsen içinde bulunduğumuz salgın dönemlerine dair ayrı özel bir kanuni düzenlemenin ivedilikle parlamento tarafından çıkarılması gerektiği kanaatindeyim. Aksi halde şekli olarak HES Kodu başta olmak üzere tüm Covid kısıtlamaları anayasaya aykırı halde kalacaktır.

3- Banka, AVM, özel işyerleri gibi (Kamu Kurum ve Kuruluşu olmayan) alanlara girerken HES Kodu bilgisinin verilmesinin zorunlu olması Kişisel Verileri Koruma Kanununa uygun mudur?

Dr. Yasin AYDOĞDU: HES Kodunun kişilerin kimlik ve sağlık verilerini içermesi nedeniyle 6698 sayılı Kanunun uygulanması bakımından özel nitelikli kişisel veri olduğunu rahatlıkla söyleyebiliriz. Özel nitelikli kişisel verilerin işlenmesine dair 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6/3 hükmüne dayanarak kamu kurum ve kuruluşları kamu sağlığının korunması amacıyla açık rıza almaksızın kişilerin sağlık verilerini işleyebilmektedir[1]. Kamu sağlığının korunması amacıyla insanların toplu olarak bulunduğu ve yakın temasın yoğun olduğu yerlere girerken HES Kodunun alınmasında bir sıkıntı bulunmamaktadır. Ancak daha önce ekibimizce hazırlanan ve şahsım tarafından 1. Uluslararası Kişisel Verileri Koruma Kongresi’nde sözlü olarak sunulan ilgili tebliğde de ifade ettiğim üzere HES Uygulaması üzerinden kişilerin kodunun taratıldığında ekranda görünen kimlik verilerinden kesitler (isim, soy ismin ilk 2 harfleri ve TC kimlik numarasının son 3 rakamı) için ayrıca önlem alınmalı ve kontrolde bulunan görevliler için ilave prosedürler uygulanmalıdır.

4- Yukarıdaki sorularla bağlantılı olarak; KVKK’nin 28/09/2021 tarihli ve 2021/980 sayılı Kararı ile yetkili kurumlar ve işverenlerin aşı ve PCR test sonucu bilgisini işlemesinin kanuna aykırı olmadığına karar verilmesi hakkında düşünceleriniz nelerdir?

Dr. Yasin AYDOĞDU: Kurumun kamuoyu duyurusunda belirttiği uygulamaların hukuka uygunluğu meselesine ben de katılıyorum. Bir önceki soruda da bunun gerekçelerini belirttim zaten. Ancak Kurumun duyurusundaki bir hususa şerh koymak istiyorum. Duyuruda yer alan “Covid-19 aşısının, koronavirüsün yayılımını önlediği, hastalığın etkilerini de önemli ölçüde azalttığı bilinmekte olup; bu bilimsel gerçeklikten hareketle devletler, kamu sağlığının korunmasını teminen işyerleri de dâhil olmak üzere toplu halde bulunulacak alanlarda, Covid-19 aşı bilgisi ve/veya PCR testi sonuçlarının işlenmesi zorunluluğu getirmektedirler” şeklindeki ifade ile Covid-19 aşılarının hastalığın etkilerini azaltması ve virüsün yayılım hızını yavaşlatması gerçeğinin yanı sıra olası yan etkilerine dair bilimsel raporların da göz önünde bulundurularak ‘zorunlu aşı’ uygulamasını meşrulaştıracak söylemlerden uzak durulması kanaatindeyim.

5- HES Uygulamasına benzer sistemler kullanan ülkeler kişisel verilerin korunması konusunda nasıl bir yol izlemektedirler?

Dr. Yasin AYDOĞDU: HES Uygulamasına benzer uygulamalar hemen her ülkede yetkili organlarca geliştirilmiş ve kullanıma sunulmuştur. Çin, Singapur, Güney Kore gibi belirli Asya ülkeleri dışında Türkiye dâhil çoğu ülkede gönüllülük esasına dayanarak kullanılan temas takip uygulamalarına dair aydınlatma metinlerini incelediğimde birkaç hususta farklılık gördüğümü söyleyebilirim. Özellikle Almanya’da uygulanan ‘Corona Warm App’ adlı uygulamanın kişisel verilerin işlenmesi bakımından ideal bir sistem üzerine kurulduğunu gözlemledim. Peki, bu uygulamanın HES Uygulamasından farkı nedir? En temel fark veri işleme yöntemi olarak tercih edilen anonimleştirme ve imha uygulamalarıdır. Burada kullanıcıların kişisel verileri uygulama içinde anonim hale getirilerek olası bir veri sızıntısı durumunda kullanıcıların mağduriyetlerine yol açmamak amaçlanmakta. Yine kullanıcı verilerine artık ihtiyaç kalmadığında serverlarda tutmak yerine ilgili veriler imha edilmekte. Bu konuda HES Uygulaması için veri sorumlusu olarak Sağlık Bakanlığı’nın kamuoyu ile paylaştığı bir bilgi maalesef ki bulunmamakta.

Bu röportaj ilk kez 19.01.2022 tarihinde www.caseresmi.com’da yayımlanmıştır.

[1] Madde 6: Özel nitelikli kişisel verilerin işlenme şartları:

“(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

This div height required for enabling the sticky sidebar