Covid-19 virüsü dünya genelinde yayılma ve artış gösterdikçe, devletlerin bu virüsten korunmaya yönelik aldıkları önlemler de çeşitlenip sıklaştı. Klasik tedbirlerden olan karantina uygulaması, sosyal mesafe ve izolasyonun yanı sıra, 21. yüzyıl teknolojisinin sağlamış olduğu imkânlar sayesinde elde edilen kişilere ait konum bilgileri ve konum bilgilerine dayanarak da hareketliliğin izlenmesi gibi tedbirler de gündeme gelmektedir.  Dünya genelinde bu tedbirlere başvurulduğu gibi Türkiye’de de teknolojik sistemler kullanılarak salgının yayılmasını önlemek adına daha etkili ve farklı tedbirlere başvurulmaktadır.

Hastalığın yayılmasının önüne geçmek amacıyla konum verisi işlenebilecek mi?

Türkiye’de Sağlık Bakanlığı tarafından yakın zamanda hayata geçirilen “Pandemi İzolasyon Takip Projesi” de bu teknolojik tedbirlerdendir.

• Bu projelerin hayata geçirilmesi kişisel verilerin korunması açısından hukuka uygun mu? Bu tedbirlere konu olan cep telefonu, sağlık verileri ve konum gibi kişisel veriler ilgili kişinin bilgisi ve/veya rızası olmadan yetkili kamu kurum ve kuruluşları tarafından işlenebilir mi?

İşte bu sorular dün itibariyle Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından açığa kavuşturuldu.

Yasal olarak mümkün

Kişisel Verilerin Korunması Kanunu (“Kanun”) madde 28(ç)’de, Kanun’un hükümlerinin şu hallerde uygulanmayacağını düzenlemiştir:

“Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.”

O halde salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanun’un 28.maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.

Veri güvenliği sağlanmalı: teknik ve idari tedbirler alınmalı

Her ne kadar, yetkili kamu kurum ve kuruluşların salgını önlemek adına kişisel verileri tedbir amaçlı işleyebilecekleri Kurul tarafından duyurulmuş olsa da, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verileri silmeleri veya yok etmeleri gerektiğinin de altı çizilmiştir.

Kişisel Verileri Koruma Kurumu'nun ilgili duyurusuna bu linkten ulaşabilirsiniz. 

Saygılarımızla,