SAĞLIK ALANINDA KİŞİSEL VERİLERİN İŞLENMESİ İLE İLGİLİ REHBER
SAĞLIK ALANINDA KİŞİSEL VERİLERİN İŞLENMESİ İLE İLGİLİ REHBER
STATİS + DATA tarafından hazırlanmıştır.
STATİS + deidati
AV. SABİRE SANEM YILMAZ
İÇİNDEKİLER
1- Çalışma kimleri kapsamaktadır?
2- GDPR ve KVKK sağlık verilerini işleme faaliyetini nasıl tanımlar?
3- Sağlık alanında veri işleme faaliyeti, veri işleme amaçları, veri işlemenin yasallığı kavramları.
4- Amaç Sınırlaması
5- Yeterli Güvenlik Tekniklerinin Benimsenmesi
6- Sağlık Verilerini İşleyenlerin Gözden Geçirmesi Gerekenler
STATİS + deidati
AV. SABİRE SANEM YILMAZ
1- Çalışma Kimleri Kapsamaktadır?
Bu rehber, GDPR (Genel Veri Koruma Tüzüğü), KVKK (Kişisel Verilerin Korunması Kanunu), ICO (İngiltere Veri Koruma Otoritesi) çalışmaları ışığında hazırlanmıştır. KVKK m. 6’da düzenlenen “Sağlık meslek mensupları” kimleri kapsamaktadır ve sağlık alanında veri işleme faaliyeti kim, hangi kurum ve kuruluşlar, şirketler tarafından yerine getirilebilir sorusunun aydınlatılması amacı ile mevzuat ve GVKT (GDPR) yorumlanmıştır.
Çalışma, sağlık kuruluşları, özel muayenehanede çalışan kişiler, doktorlar, özel hastaneler, eczaneler, tıbbi analiz yapan laboratuvarlar, optisyenler, iş yeri hekimleri, turizm doktorları, araştırma ve kamu hastaneleri, üniversite hastaneleri gibi sağlık verisi işleyen profesyonelleri kapsamaktadır.
2- GDPR ve KVKK sağlık verilerini işleme faaliyetini nasıl tanımlar?
GDPR m. 9, özel nitelikli kişisel verilerin işlenmesi alanını düzenlemektedir. Sağlığa ilişkin veriler ile bireyin cinsel yönelim ve yaşamına ilişkin veriler özel nitelikli veriler olarak kabul edilmiştir. Özel nitelikli verilerin işlenmesi, genel olarak açık rıza şartına tabi tutulmuşsa da bazı durumlarda işleme açık rıza aranmaksızın gerçekleştirilebilir düzenlemesi önemlidir. Bu bağlamda m.9 (2) b/c/h/i/j sağlık verilerinin açık rıza alınmaksızın işlenebileceği halleri düzenlemiştir. Sırasıyla;
- m.9 (2) b, Veri sorumlusunun yükümlülüklerini yerine getirebilmek amacıyla istihdam, sosyal güvenlik, sosyal güvenlik kanunundan kaynaklanan işleme nedenleri ile sağlık verilerinin işlenmesi,
- m.9 (2) c, veri sahibinin fiziksel ya da yasal olarak rıza veremeyeceği durumlarda kendisinin ya da başkasının hayati çıkarlarının korunması için sağlık verilerinin işlenmesi,
- m.9 (2) h, koruyucu tıbbi bakım, teşhis, bakım hizmetleri, sağlık ve bakım hizmetlerinin yürütülmesinin sağlanması, çalışanların çalışma kapasitesinin değerlendirilmesi, tıbbi cihazların kalitesinin arttırılması, yeterli korumanın sağlanması şartıyla sağlık verilerinin işlenmesi,
- m.9 (2) i, sağlığa yönelik ciddi sınır ötesi tehditlerin önlenmesi, tıbbi ürünlerin veya tıbbi cihazların yüksek kalite ve standartlarının belirlenmesi gibi, halk sağlığının korunması için alınacak tedbirler kapsamında sağlık verilerinin işlenmesi,
- GDPR m.89’da yer alan düzenlemede dikkate alınarak kamu yararına arşivleme, bilimsel ve tarihi araştırma ve istatistiksel çalışmalar amacıyla işlemenin gerekli olması, (temel hak ve özgürlüklere zarar vermemek ve yeterli önlemleri almak koşuluyla)
KVKK m. 6’da düzenlenen sağlık verilerinin işlenme şartları küçük farklılıklar dışında GDPR ile benzerlik göstermektedir.
3- Sağlık alanında veri işleme faaliyeti, veri işleme amaçları, veri işlemenin yasallığı kavramları.
Sağlık verileri, özel bir kişisel veri kategorisi veya hassas kişisel veriler olarak ele alınır. Ancak, KVKK, “sağlık verilerinin” ne anlama geldiği tam olarak tanımlanmamıştır. Bir tanımın bulunmaması, belirli verilerin sağlık verileri olarak nitelendirilmesine ilişkin belirsizliklere yol açabilir, böylece sağlık verileri yanlışlıkla sıradan kişisel veriler olarak değerlendirilebilir. Bazı durumlarda doğrudan sağlık verisi olarak tanımlamadığımız veriler bir kaç veri ile bir araya geldiğinde sağlık verisini tanımlayabilir.
GDPR, yararlı bir şekilde sağlık verilerinin bir tanımını sunar ve “sağlıkla ilgili verileri, yani o kişinin sağlık durumu hakkında bilgileri ortaya çıkaran sağlık hizmetlerinin sağlanması dahil olmak üzere, bir gerçek kişinin fiziksel veya zihinsel sağlığıyla ilgili verileri” kapsadığını açıklığa kavuşturur. GDPR, sağlık verilerinin, sağlık hizmetleri için kayıt sırasında veya bu hizmetlerin sağlanması sırasında toplanan kişi hakkındaki bilgileri, bir kişiyi sağlık amacıyla benzersiz bir şekilde tanımlamak için bir gerçek kişiye atanan bir sayı, simge veya belirli bilgileri içerebileceğini düzenlemektedir. Genetik veriler ve biyolojik veriler dahil olmak üzere bir vücut parçasının test edilmesinden veya incelenmesinden elde edilen bilgiler veya örneğin bir hastalık, hastalık riski (yani bir bireyin gelecekteki potansiyel sağlık durumuna ilişkin veriler), engellilik hakkında herhangi bir bilgi tıbbi geçmiş veya bir bireyin fizyolojik veya biyomedikal durumunun, kaynağından bağımsız olarak klinik tedavisi sağlık verisi olarak tanımlanmaktadır.
Genel işleme amacı “açık rıza” almaksızın işlenmemesi yönündedir. GDPR m. 9 (2) b,c, h,i,j’de düzenlenen durumlar söz konusu olduğunda açık rıza alınmaksızın işlendiği düzenlenmiştir.
KVKK m. 6 sağlık ve cinsel hayata ilişkin verilerin açık rıza alınmaksızın işlenebileceği halleri şu şekilde kategorize etmiştir:
- Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
- Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
İşlemenin yasallığı ancak Kurul tarafından belirlenen “Yeterli Önlemler” in alınması ile mümkündür.
İyi bir veri yönetişim sistemi kurmak özellikle sağlık verilerinin korunması açısından önemlidir. Aşağıdaki tabloda bir çerçeve çizilmiştir.
STATİS + deidati
AV. SABİRE SANEM YILMAZ
İyi bir veri yönetim sistemi kurmak için:
| Verilerin işlendiği sistemi iyi tanımlayın ve doğru bir veri yönetişim sistemi kurun. |
↓
| Veriyi koruma yöntemlerinizi tanımlayın ve verileri güvenli datalarda muhafaza edin. | İşlemeniz için zorunlu olan verileri tespit edin ve fazla veri işlemeyin. (Veri minimizasyonu süreci) |
↓ ↓ ↓
| Organizasyonunuzu gözden geçirin. | Şikayet mekanizmasını kurun. | Tüm veri işleme faaliyetlerinizde şeffaf olun. |
4- Amaç sınırlaması.
Sağlık verileri için KVKK ve GDPR’da getirilen doğal amaç sınırlaması verilerin başka amaçlarla kullanılmasının da önüne geçecektir. Sağlık verilerinin profilleme ve pazarlama amacıyla kullanılması açık rıza aranmaksızın veri işleme halleri arasında sayılmadığı için ve pazarlama, profilleme gibi faaliyetler daha fazla veri işleme ve daha fazla verinin işleme tabi tutulması anlamında değerlendirileceğinden “açık rıza” alınmış olsa dahi “açık rıza” nın her zaman geri alınabileceği ve yeterli önlemlerin alınmasının gerekeceği hususlarının da göz ardı edilmemesi gerekir. Alınan açık rıza metinleri genel ifadelerden uzak, somut ve sadece ilgili durum için sınırlı olarak düzenlenecektir. Açık rıza metinlerinin bir süresi olduğu ve süre bittiğinde de açık rızanın otomatik olarak ortadan kalkacağı ve işlenen verilerin yasallığının da ortadan kalkma anında sona ereceği dikkate alınmalıdır.
5- Yeterli güvenlik tekniklerinin benimsenmesi.
Sağlık verileri, ister giyilebilir cihazlar, ister mobil uygulamalar, ister bulut ortamında ya da veri tabanları aracılığıyla toplansın, kötüye kullanımın sonuçları veri sorumluları açısından oldukça ağır sonuçlar doğurur. Bu nedenle veri ekosisteminin güvenli olması önemlidir.
Veri sorumlusu, veri işleyen ile birlikte ve ayrı ayrı sistemin güvenliğinden sorumludur. Verinin işlenmesinde uygun teknik organizasyon gözden geçirilecek, şifreleme, takma adla adlandırma dahil uygun veri koruma yöntemi belirlenecektir. Verinin işlendiği sistemi düzenli olarak kontrol etmek, verinin tehlikede olduğu durumda erişilebilir ve şeffaf olarak organizasyon sürecini yürütmek, veri sahiplerini süresinde uyarmak, veri koruma otoritesine
STATİS + deidati
AV. SABİRE SANEM YILMAZ
gecikmeksizin durumu haber vermek ve teknik tüm önlemleri almak sürecin olmaz ise olmazıdır.
6- Sağlık Verilerini İşleyenlerin Gözden Geçirmesi Gerekenler.
- Veri koruma ile ilgili rejimi gözden geçirmek gerekir. Eğer AB üyesi alanına giren bir işleme faaliyeti söz konusu ise üye ülkelerde bulunan rejim de gözden geçirilmelidir.
- Sağlık verilerinin tanımlarını yapabilecek bir sistem kurulmalı ve sistemde işlenmiş tüm sağlık verilerini yeterli düzeyde tanımlanmalıdır.
- Sağlık verilerini işlemek için yeterli gerekçeler gözden geçirilmelidir.
- Veri sahiplerinin temel hak ve özgürlüklerinin zarar görme ihtimalinin her aşamada gözden geçirilmesi ve zarar görebileceği durumlarda yeterli önlemlerin alınması ve risklerin veri sahiplerine açıklanması gereklidir. Bu anlamda gizlilik etki değerlendirmesi yapmak önemlidir.
Türkiye Barolar Birliği Dergisi Yazımız
6100 Sayılı Hukuk Muhakemeleri Kanunu Açısından Kadın
Kitaplarımız
TIP ALANINDA KİŞİSEL VERİLERİN AÇIKLANMASI SUCU
Av. Arb. Sabire Sanem YILMAZ
Günlük hayatta bize komşumuz “Doktora gidiyorum.” Dediğinde hastalığını, ağrısının nerede olduğunu, yaptırdığı testleri, gebe olup olmadığını vs. gibi birçok şeyi merak ederiz ve soruların ardı arkası kesilmez. Genelde yanıt vermekten hoşlanmayan kişi utanarak sorularınıza yanıt vermeye çalışır. Doktora gittiğinizde sorulan tüm sorulara tüm gerçekliği ile cevap vermek zorundasınızdır; çünkü tedavi sorulara verdiğiniz doğru cevaplar ile şekillenecektir. Kaygınız, bu en mahrem bilgileriniz yani kişisel verileriniz, başkaları tarafından bilindikçe daha da artar. Bazı durumlarda öyle bir hale gelir ki soruya cevap vermektense, tedavi olmaktan bile vazgeçebilirsiniz.
Komşunuzun sorusuna vermiş olduğunuz cevabın başkalarına açıklanması ile hekiminizin ya da sağlık meslek mensubunun sizin hakkınızda tedavi nedeni ile öğrendiği kişisel verilerinizin başkasına açıklanması arasında elbette fark vardır.
Kitabımın ikinci baskısında bu bağlamda tıp alanında kişisel verinin ne olduğunu, nereden doğduğunu, neden bu kavramın önemli olduğunu, sağlık meslek mensubu tarafından hastanın kişisel verisinin açıklanmasının ne anlama geldiğini, yaptırımlarını, uluslararası ve ulusal düzlemde Yargıtay içtihattan ve Anayasa Mahkemesi kararlan ışığında ele almaya çalıştım.
Kitapta güncellemeleri yaparken farklı noktalara da değinmeye çalıştım.
Okurlarıma faydalı bir eser olması inancıyla. Görüşlerinizi ve değerli katkılarınızı sanemyilmaz@sanemyilmaz.av.tr adresine yazabilirsiniz.
Terazi Dergisi Yazısı
Tıp Alanında Kişisel Verilerin Açıklanması Suçu yazısı
Terazi Dergisi Sayı:119 | Temmuz 2016
Kişisel Verilerin Korunması Regülasyonu ve Unutulma Hakkı yazısı
Terazi Dergisi Sayı:142 | Haziran 2018
BİTCOİNE HUKUKİ BAKIŞ
Bu satırları yazarken tüm dünya başka bir teknolojiyle bizi tanıştırmaya hazırlanırken,kıyısından ucundan yakaladığımız Bitcoin, Kriptopara ve Blockchain teknolojisinden ve hukukla ilişkisinden bahsedeceğim. Yazı tamamlanmadan Bitcoin ne kadar olacak ve kim zengin olacak öngöremiyorum. Belki de sistem tamamen ortadan kaldırılacak. Bitcoin 2008 yılında Satoshi Nakamoto tarafından ya da bir grup kişi tarafından geliştirilen bir kriptoparadır. Satoshi daha sonra bir vergi soruşturması kapsamında kimliğini açıklamış Craig Wright olduğunu itiraf etmiştir. Kriptopara, hiçbir devlet desteği ya da söz hakkının olmadığı, merkezi olmayan bir sistemin para birimidir. Blockchain ise tüm bu sistemi kapsayan bir veritabanıdır. 1 Bitcoin dijital bir para birimidir. internet olan heryerde transferi gerçekleştirebileceğiniz, her tür para birimine anında dönüştürebileceğiniz, sınırlarımızı zorlayan bir transfer aracıdır.
Birçok avantajı yanında dezavantajının da olduğunu düşündürse de bizleri dünya bu teknolojiyi geliştirmek ya da reddetmek noktasında gidip geliyor.
Biz hukukçuların ise üzerinde hayli kafa yoracağı ve kötüye kullanıldığında hukuken nasıl bir yol izleyeceğimiz konusunda düşündüren bir sistem. Bitcoin bir emtia mı ya da para mı?
Yoksa her ikisinden de özellikler barındıran Sui generis bir hizmet mi?
Bitcoine kimi uygulayıcılar sanal para demektedir. Sanal para özelliğini de hiçbir düzenlemeye tabi olmamasında bulmaktadır.
Sistemin işleyişinde herhangi bir finansal kurumdan geçmeden para transferi sağlayan Bitcoin sisteminde mükerrer ödeme kavramı gündeme geldiğinde bu durumda hukuki olarak nasıl bir yanıt vermek gerektiği henüz bilinmemektedir. Şu an yürürlükte olan bankacılık mevzuatı ve TCK bu konuda net yanıtlar veremeyecektir elbette. Avrupa Adalet Divanı, bitcoinin bir emtia olmadığına, bir para birimi olduğuna karar vererek, Bitcoin alım satımının KDV uygulamasına tabi olmadığına karar verdi. 2 Burada hukuki ve cezai sorumluluk tamamen Bitcoin kullanıcısına ait diyebilir miyiz? Bitcoin bir algoritma eseri ve elinizde bir cüzdan ve şifreniz var. Bu şifre başka bir kullanıcının şifresi ile asla benzeşmiyor. Şifrenizi unuttuğunuz taktirde bu şifrenizi yeniden alacağınız bir 1 ( http://coin-turk.com/yeni-baslayanlar-icin-13-maddelik-bitcoin-rehberi)
2http://www.milliyet.com.tr/yazarlar/prof-dr-erol-ulusoy/dikkat-bitcoin-suc-olmasin–2561080/
muhattabınız da yok. Şifrenizin yer aldığı bir sistemi sistem çözücülere kaptırır ya daçaldırırsanız sonucu ile tamamen başbaşasınız.
Peki Bitcoin ile yasadışı bir ticaret yapıldığında bunun tespiti ve hukuki sonuçları ne olacak? Şu an Türkiye teknolojisi ile dark net alanında bulunan bu yasadışı satın almalar ( uyuşturucu, çocuk pornosu) tespit edilebilir durumda mı? Bir taraftan bitcoinin güvenli bir algoritma ile yazılmış olması bir taraftan da dark web alanında satın almaların da tespit edilememesi sonucunu doğuruyor. Alıcı ve satıcının da tespit edilemediği gerçeği ile karşılaştığımızda hukuk bu anlamda cevapsız kalıyor. Tamamen etik konusunun içerisinde kaldığını ve hukukun da yeterliliğinin sorgulanacağı bu alan ticaretin hızlı akmasını sağlarken ve şu an vergi avantajı getirirken bir taraftan da karanlık bir alan yaratarak suçun önlenmesinin önünde
kocaman bir engel gibi duruyor.
Ticarette ve hukukta sosyal bir dönüşüm yaratan bu alan hukukçuların bu konuda acilen bir startup oluşumuna girmesini ve hukuksal düzenlemelerin de hızlanması için en azından önleyici hukuk alanlarının geliştirilmesi için çalışmaları gerçeğini önümüze getiriyor. Bitcoini koruyan sigorta sistemleri geliştirilmedikçe şu an Türkiye'de Bitcoin kullanıcılarının güvende olduğunu tam olarak söyleyemeyiz. Hukuki altyapı oluşturulmadan uygulamaya geçen işlemlerle ilgili de hukukun kafasının da karışık olduğu aşikâr. Henüz tüm Dünyada da nasıl bir yasal düzenleme yapılacağı belirsiz. Avrupa Adalet Divanı'nın3 aldığı kararla Bitcoinin hukuki Statüsü henüz belirlenmişken yasal düzenlemelerin yapılması ya da uygulamada işlerlik kazanması uzun zaman alacağa benziyor.
Bugün Bitcoin ile bir malımı satmak istiyorum, beni güvence altına al diyen birine bir Hukukçu olarak vereceğim cevap sanırım iyi bir Bitcoin yazılımcısı ile hareket et olurdu. Ya da hiç bu yola tevessül etme! Bitcoin yazılımcısı bulmak da panda bulmaktan daha zor ise işimiz hayli zor.
Bu anlamda biz hukukçuların vereceği cevabı beklerseniz bitcoin zengini olmak için hayli bekleyeceksiniz.
Geleceğin Hukuku: ‘Yapay Zeka’ ile mi işleyecek?
Acaba insan gibi davranan sistemler tamamen insanın yerini aldığında gerçekleştirdiği iş ve eylemlerden hukuki ve cezai sorumluluk konusunda hukuk nasıl bir yanıt verecek. İngiliz bilim adamlarının 600’e yakın dava ile ilgili bir algoritma hazırladığı, özellikle Avrupa İnsan Hakları Mahkemesi’nde görülen davaların içeriklerini ve kararlarını bir yazılım içerisine yüklediler ve bu robot davalarla ilgili tahmin yürüterek davaların sonuçlarının ne olacağı konusunda %75’e yakın başarı sağlıyor. Bu yazılım tanık ifadelerini ve avukatların savunmalarını değerlendirerek davanın yüzde kaç başarı ile kazanılacağına dair tahminde bulunuyor. Yapay zeka mekanizmasının avukatların ya da hakimlerin yerini alması dün bir hayalden ibaret gibi görünse de bugün gerçeğe bir adım daha yakın görünüyor.
Yapay zeka insanların gündelik hayatını kolaylaştırmak için yaşamımıza girmiş olsa da bugün insanlığın korkulu rüyası haline gelebilir mi ya da mesleklerin yerini alabilir mi gibi birtakım sorularla kafamızı meşgul ediyor.
Yapay zeka araçları ile ilgili henüz yasal bir düzenlememiz elbette yok. Bugün biz bazı hukukçular hayatımızda mevcut önemini erkenden sezmiş durumdayız ve bu konu ile ilgili kafa yormaya şimdiden başladık. Yapay zeka eşya mı kişi mi gibi sorular sorarken, ne kişi ne de eşya ama üçüncü bir modül olarak değerlendirme yapmak mümkün.
Yapay zekayı oluşturan insan ona çeşitli öğrenme sistemlerini tanıtması ve uygulaması gerekiyor ki karşımızda yapay zeka diyeceğimiz o üçüncü modül var diyebilelim. Biz buna makine öğrenmesi / robot öğrenme diyoruz. Yapay zekanın da bugün tanımlayabildiğimiz dört adet türü var. İlki, IBM’in satranç oynayan bilgisayarı Deep Blue’da olduğu gibi belleği olmayan, geçmiş tecrübeleri algılayamayan, bilgileri kaydedemeyen tepkisel tür. İkincisi, sürücüsüz otonom araçlarda olduğu gibi sınırlı belleği olan yapay zeka. Üçüncüsü, Star Wars filmindeki gibi insanların duygu düşüncelerini algılayan ve onlara göre tepki veren, his ve niyet algılayan yapay zeka. Dördüncüsü, Ex Machina filmindeki Eva gibi süper zeki, duygulu, bilinçli yapay zeka. Bu son ikisi hakkında çalışmalar yoğun bir şekilde sürerken, insanlığın sonu mu geliyor tartışmaları da çığ gibi büyüyor. Hatta yapay zeka adam öldürebilir mi? Acıkır mı Hakaret ederse cezai sorumluluk kimindir?
Dünyaca ünlü fizikçi, Stephen Hawking bilgisayarların ve yapay zekanın çok hızlı bir şekilde geliştiğini ve insanlığı yok edecek noktaya geleceğini söylerken, kendimize küçük bir gezegen bulup oraya yerleşmemizi de öneriyor.
Tüm bunlar gerçekleşirken hukuk bunun neresinde diye soranlar için verilecek cevap basitten karmaşığa doğru ilerliyor. Yapay zekanın hukuka aykırı işlemlerinde cezai boyutu ile değerlendirdiğimizde faili bulmamızın güçlüğünden tutun da, hatalı bir işlem yapıldığında örneğin kişisel verilerimiz yapay zeka robotunun içerisinden çalındığında bunun sorumlusunun yazılım şirketi mi olduğu ya da yapay zekanın hizmet ettiği şirket mi olduğu konusu meraklı biz hukukçuların gündemini hayli meşgul edeceğe benziyor.
Tesla’nın kurucusu Elon Musk da yapay zeka konusunda gelişmelerden endişe duyduğunu ifade ederken özellikle yasal çerçevede buna insanlığın yararına kullanılmadığı durumlardaki yaptırımları belirlemediğimiz halde oldukça tehlikeli olduğunun altını çizmişti. En önemlisi de böyle bir teknolojinin kullanılmasında etik kodların yazılması ve etik kodların da sıkı bir şekilde uygulanmasının sağlanmasıdır. Biliyoruz ki teknoloji iyi insanların elinde iyiye, kötü insanların elinde de kötüye kullanılacaktır.
Yapay zekanın da hukuki altyapısını kurarken Roma döneminde mevcut olan kölelik sistemi hukukunu iyi analiz ederek, haklar ve yükümlülükler, yaptırımlar kısmını iyi belirlemek ve bunları da günümüz teknolojik ilerlemelerini yakından takip ederek tanımlamak gerekmektedir. Özellikle eşya ve kişi ayrımından sonra üçüncü bir başlık altında robot ve yapay zekayı ele almak ve burada uygulanacak hukukun kendine özgü disiplinini oluşturmak geleceği yakalamamızı kolaylaştıracaktır. Hukuki zeminde boşluk olması elbette yapay zekanın kötüye kullanımlarını da beraberinde getirecektir.
Geleceğin robot hukukçularının ayak sesleri hiç de uzaktan gelmemektedir.
YAKIN GELECEĞİN KONUSU: KİŞİSEL VERİLERİMİZİN GELECEĞİ
Kişisel veriler dünyada çok konuşulan konulardan biri. Özellikle gelişen teknoloji ile birlikte Twitter, Facebook, Google gibi sosyal ağların yaygınlaşması ve kişilerin internet denilen sokağa gece gündüz rahatlıkla ve sınırsız çıkması konunun daha cazip olmasını ve yasal önlemler almayı da beraberinde getirdi.
Dünyayı bir panoptikona çevirmeye çalışan küresel güçler, kişisel verilerle ilgili ülkemizde tam bir koruma sağlanamaması ve mevzuatın yetersiz olması nedenleri ile maalesef kişisel verilerimizin geleceği ile oynuyorlar.
Toplum olarak kişisel verinin ne olduğu ve sınırsız kullanımının hayatımıza olumsuz etkisinin ne olacağı konusunda yeterli bilgiye sahip olmamamız nedeni ile gerek sosyal medya ağlarında gerek kamu kurumlarında gerekse özel birtakım başvurularımızda gerekli olsun olmasın tüm bilgilerimizi paylaşıyor ve bu bilgilerin başvuru işlemimiz dışında kullanılmamasını beyan eder bir uyarıda da bulunmuyoruz. Burada açık rızamıza dayanmadan birçok bilgilerimiz bizden alınıyor ve bir sonraki adımda nerede karşımıza çıkar hiç bilmiyoruz. Verilerimizi anonimleştirilmeden sisteme işleniyor ve kimler tarafından görülebilir bir bilgi olduğunu sınırlandıramıyoruz.
Bu anlamda konunun çok önemli olması nedeni ile size birtakım kavramları daha açık izah edeceğim ve bu konuda ne tür haklarımız olduğundan bahsedeceğim.
ÖZEL HAYATIN GİZLİLİĞİ HAKKI / NON OF YOUR BUSİNESS
Özel hayatın gizliliği hakkı çok özel bir haktır. 1982 Anayasasının dışında birçok uluslar arası belge ile de koruma altına alınmıştır ve kişinin yaşamının nerede ise çekirdeğini oluşturur, müdahale kişinin yaşamını çekilmez hale getirir, hakkın korunması ise kişinin sosyal, ekonomik, siyasal tüm yaşamını korur ve sağlıklı bir yaşam sunar.
Ülkemizde, özel hayatın gizliliği hakkı önemsenmemekte ve hakkın korunmamasının kişinin yaşamına etkisi bilinmemektedir. Toplumumuz kişinin en mahrem bilgilerini dahi bilmeyi, öğrenmeyi merak etmeyi normal kabul etmekte ve kişinin mahremini saklamasını, söylememesini ayıp karşılamaktadır.
Özel hayatın gizliliği çerçevesinde, kişinin kamusal alanda yaşadığı ancak özel hayatın gizliliği hakkı içerisinde değerlendireceği bilgiler de olabilir. Örneğin kalp pili ile yaşamını sürdüren bir yaşlı kadının bu durumun onun için hassas olması nedeni ile başkaları tarafından bilinmesi özel yaşamının gizililiğini ihlal olarak nitelendirilebilecektir.
Sosyal medya ağlarına baktığımızda size bütün hayatınızı paylaşmanızın kapısını açmakta ve sorularla sizi saniyelik kararlar almanıza zorlamaktadır. Örneğin, “nerede yaşıyorsun, İstanbul mu? Paylaş.”, “şu an X Lokantasına çok yakınsın, orada mısın?”, “yaşın kaç”, “sevdiğin müzikleri paylaş”, “burada yakınlarını tagler misin” gibi birçok soru sosyal medya sayesinde hayatımıza girdi ve belki normal şartlarda paylaşılmasına onay vermeyeceğimiz bilgilerimizi varsayımsal rızalarımızla paylaşmaya başladık. Varsayımsal rıza diyorum çünkü sosyal medyada kişisel verilerimizi paylaşırken tarafımıza ayrıntılı bir açıklama yapılmadığı gibi verilerimizin nerede ne kadar süre ile saklanacağı konusunda da açıklayıcı bilgi verilmemektedir. Bu nedenle aslında nerede kullanılacağını ve ihlal durumunda yasal haklarımızın ne olduğunu bilmeden paylaştığımız verilerimizin sosyal medyada kullanılması geçerli rızalarımıza dayanmamaktadır.
Özellikle son zamanlarda Google ile ilgili açılan davalar dikkat çekicidir. Henüz ülkemizde google hakkında açılmış bir dava yoktur ama Avrupa ülkelerinde Google arama motorundan geçmişini silmek isteyen insanlar dava açmakta ve unutulma hakkı çerçevesinde geçmiş bilgilerinin silinmesini ya da kişileri rahatsız eden bilgilerinin silinmesini talep etmektedirler. Google şirketinin en büyük operasyon merkezi İrlanda’da bulunuyor, bugün halen Google şirketine dava açmak isteyenlerin nerede dava açacağı tartışılıyor ve davalarda daha çok bu tartışmalarla geçiyor. Türkiye’den paylaştığınız verilerinize ilişkin datalarınız Google tarafından İrlanda’da saklanıyor ve siz verilerinizin geleceği hakkında hemen hemen hiçbir şey bilmiyorsunuz. Tabiiki geçmişinizi de silemiyorsunuz. Hakkınızda sizi rahatsız eden bir haber çıktığında arama motorlarında ilk başlık olarak sizi rahatsız eden bu haber çıkıyor ve bu haberin arama motorundan silinmesi ve unutulma hakkınızı kullanmak istediğinize yönelik talep de Google şirketi tarafından kabul edilmiyor.
KİŞİSEL VERİ
Kişisel veri, kapsamlı bir şekilde, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme’de tanımlanmıştır. Buna göre, kişisel veri, belirli veya belirlenebilir bir bireyle bağlantılandırılabilen tüm bilgiler olarak tanımlanmıştır. TBMM’de halen bekleyen ve uzun süredir yasalaşmayan Kişisel Verilerin Korunması Kanunu Tasarısı’nda da benzer bir tanımla, belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler, kişisel veridir, denilmiştir. Bu anlamda kişiyi diğer kişilerden ayıran tüm bilgileri kişisel veri kabul edilir. Kişinin en hassas verileri de kişisel veri olarak nitelendirilecektir. Sağlığa ilişkin verileri, cinsel hayatı ile ilgili verileri, ticari verileri, kişinin adı gibi hususlar kişisel veri kabul edilir. Hangi unsurların kişisel veri olarak kabul edileceğini de en çok kişinin kendisi belirleyecektir. Toplumun bilinmesinde sakınca görmediği bilgiler de kişinin kendisince kişisel verisi olarak benimsenebilir ve bu bilgilerin açıklanması kişisel verilerin gizliliğini ihlal edebilir.
Özellikle dedikodu ve merak toplumunda yaşayan bizler ile ilgili günün hemen hemen birçok kısmını kişisel verilerin gizliliğini ihlal ederek geçirdiğimizi söyleyebilirim. Bu anlamda toplumda aydınlanma ve bilinçlendirme olmalı, kişisel veriler ile ilgili farkındalık yaratılmalıdır. Belki de daha ilkokul çağlarında mahremiyetin ne olduğu ile ilgili bir eğitim de vermek gerekiyor çocuklarımıza.
Kişisel Verilerin Korunması ile ilgili Türkiye’de de yargı kanadında konuya eğilim artmışsa da Avrupa İnsan Hakları Mahkemesi kararları kadar konuya derin bir bakış açısı getiren bir karar bulunmamaktadır. Örneğin AHİM İtalya-Botta kararında kişisel verilere müdahale ve bu alanın ihlalinin kişinin maddi ve manevi varlığını geliştirmesinin önünde engel teşkil ettiğini vurgulamıştır. Rotaru-Romanya davasında, mahkeme, kamu kurumlarının kişisel verileri sistematik bir şekilde depolamasının, kişinin özel hayatı kapsamında değerlendirileceği, özellikle geçmişe ait verilerin süresiz bir şekilde depolanmasının kişisel verilerin korunmasını ihlal edeceği anlamına geldiğini kaydetmiştir. AHİM genel olarak kamuya açık mekanlarda da özel hayatın gizliliğine dikkat edilmesi gerektiği ve kişinin kamuya açık mekanda dolaşmasının onun kişisel verilerinin ihlal edileceği anlamına gelmediği yaklaşımındadır. Yani bizim merak toplumu olarak açıklanmasında sakınca görmediğimiz birçok husus aslında kişisel veridir ve bireyin kendini özgürce geliştirmesini engellemektedir.
Anayasa Mahkemesi de yakın tarihte verdiği kararlarda kişinin bazı bilgilerinin sadece kendisi ve seçtiği kişiler tarafından bilinmesini isteme hakkının temel hak ve hürriyeti olduğunu vurguluyor ve kişisel verilerin korunmasının kişinin doğrudan kendisi ile ilgili bir hak olduğunun da altını çiziyor.
Daha önce Tasarıda vurgu yaptığımız husus tüzel kişilere ait verilerin de kişisel veriler olarak değerlendirilebileceği ve tüzel kişilerin de koruma kapsamında olduğu idi. Bu manada tarafıma sıkça iletilen sorulardan birine yanıt vermek isterim.
BOOKİNG.COM YA DA TATİLSEPETİ.COM GİBİ SİTELERDE MÜŞTERİLER TARAFINDAN OTELİ KARALAYICI YORUMLAR KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA DEĞERLENDİRİLEBİLİR Mİ?
Bu soruya daha önce başka bir yerde yanıt verildiğini sanmıyorum. Sıklıkla turizmcilerin aklını meşgul eden bir husus esasında. Kişisel Verilerin Korunması Kanunu Tasarısına göre, belirli ya da kimliği belirlenebilir gerçek veya tüzel kişilere ait tüm bilgiler kişisel veridir. Bu anlamda bir tatil mekanı ya da otele ilişkin otelin açıklanmasından memnun olmayacağı, onu açıklandığında diğerlerinden ayırt eden ve bilinmesinde sakınca bulunan bilgilerinin Booking.com ya da Tatilsepeti.com gibi sitelerde açıklanması da kişisel verilerin gizliliğinin ihlalidir ve TCK m. 136 kapsamında cezalandırılır. Bu durumda müşteriler, kendilerine kötü şartlarda tatil hizmeti sunan turizm şirketi hakkında başkalarını uyarmanın kamuyu bilgilendirme açısından doğru olduğunu savunabilirler. Ancak burada bir dava ve mahkeme kararı olmaksızın bu bilgilerin sitede yayınlanması açıkça kişisel verilerin gizliliği hakkına aykırılık teşkil eder. Paylaşım sahipleri ve Booking.com, tatilsepeti.com gibi servis sağlayıcıları hakkında oteller, turizm şirketleri, acentalar suç duyurunda bulunabilir. Booking.com, her ne kadar acentalar ya da otellerle sözleşme olduğu ve otellerin haklarında yapılacak olumsuz paylaşımlara izin verdiği savunmasını getirse de sözleşme geçerli değildir, rıza açık rıza olmadıkça otel sahibini ya da turizm acentasını bağlamayacaktır.
SAĞLIK VERİLERİNİN GELECEĞİ VE TURİZME YANSIMASI NASIL OLACAK!
Sağlığa ilişkin veriler, hassas veriler olup bunlar mutlak olarak korunması gereken alanda yer almaktadır. Yani sağlığa ilişkin veriler de kişisel veriler olarak kabul edilmektedir. Ülkemizin son zamanlarda sağlık politikaları ve sağlık verilerinin Datamed adlı bir şirkete satılması, sağlıkta parmak izi uygulaması, dijital kayıtlar gibi bir dizi yenilikler kişisel sağlık verilerimizin tehdit altında olduğunu gözler önüne seriyor. Birçok yabancı hastayı sağlık turizmi adı altında ülkemize çektiğimiz bugünlerde kişisel sağlık verilerinin geleceğinin tehdit altında olduğunu ve kişisel sağlık verilerini koruyan yeterli yasal düzenlemenin olmadığını bilen yabancılar sağlık turizmi konusunda ülkemizi tercih etmeyecektir. Çünkü geçmişte kan bilgisinden bir veriye ulaşmak kolay olmaz iken şimdi kan verisinden kişiye ilişkin birçok kişisel veriye ulaşmak mümkündür. Özellikle Avrupa mevzuatı da kişisel verilerin korunması konusunda oldukça hassastır ve bu konuya ilişkin birçok düzenleme yapılmıştır. Hastanelerimizde hasta kayıtlarının nerede ise panolarda yazılacağını ve hastalığımıza ilişkin bilgilerimizin öğrenilmesinin kimlik numaramızın bilinmesi ile mümkün olduğu düşünüldüğünde yabancılar açısından tablo korkunçtur. Bu anlamda sağlık verilerinin bilgisayarlara işlenebilmesi kişinin açık rızasına bağlı olmalı ve hastanın doktorundan başka kişi tarafından bu verilere erişimin engellenmesi gerekmektedir. Ülkemizde sağlık verilerimiz satılmakta ve sigorta şirketleri de bu verilerimize kolaylıkla ulaşmaktadır. Maalesef sağlık verilerimizin geleceği de tehdit altındadır.
İNTERNET VE KİŞİSEL VERİLERİN GELECEĞİ
Belkide birçoğumuzun tanımını dahi bilmeden dahil olduğu bir sistem “İnternet”. “Tüm dünya bilgisayar ağlarının ağı”, “ağlar arası ağ” da denilen sistem sizi sanal bir sokağa çekiyor ve sizi sokaktaki tüm evlere davet ediyor. Bir Alman reklamında annenin internet başında duran oğlunun güvende olduğunu düşünmesi eleştirel bir bakışla ele alınmıştı ve reklamda aynen şöyle diyordu: “Oğlunuz internetin kapı eşiği neresi bilmeyebilir. Onu da güvence altına alın.” Reklam hayli dikkatimi çekti ve gerçekten de doğru. İnternet belki artık sokaktan daha tehlikeli diyebiliriz. Yei geldi sokaktaki ayak izlerimizin izlerini silebiliyoruz ancak internette sildiğimizi düşündüğümüz birçok veri bir yerlerde bizim adımıza kayıt oluyor. Truva atı, Salam tekniği, Hacking (Sistem güvenliğinin kırılıp içeri girilmesi), Ağ solucanları, Tavşanlar, Bukalemunlar, Mantık bombaları, Bilişim virüsleri, Spamlar (istem dışı alınan elektronik postalar) gibi birtakım virüslerle internet sokağında kişisel verilerimiz de büyük risk altındadır. Bilişim suçlarının yoğun işlendiği günümüzde de suç meydana geldikten sonra koruyucu mekanizmaların yetersiz kaldığı da görülmektedir.
İnternet ortamını kamusal alan olarak kabul eden görüşler yanında özel hayatın gizliliği çerçevesinde değerlendiren görüşler de azımsanmayacak kadar çoktur. Kanımca, her ne kadar internet ortamında özel hayatımıza ilişkin birtakım verileri paylaşıyor olsak da bu verilerin rızamız dışında başka yerlerde kullanılması durumunda kişisel verilerimizin gizliliği de ihlal edilmiş olacaktır. Nitekim, Facebook’la ilgili verilen kararlarda Facebook tarafından verilerimizin paylaşılmasına ilişkin alınan rızalar geçerli kabul edilmemiş ve her defasında kişinin rızasına tabi tutulması hükme bağlanmıştır.
İnternet ortamında kişisel verilerinizin ele geçirilmesi, verilmesi, yayılması suçlarının işlenmesi durumlarında ispat sorunu ile karşı karşıya kalınan günümüzde Facebook, Google gibi şirketlerinin ülkemizde temsilcilik ya da merkezlerinin bulunmaması nedeni ile sorunlar yaşanmakta, ABD ve İrlanda’da bulunan merkezlere hukuka aykırı içeriklerin kaldırılması için yazışma yapıldığında çoğu içeriğin merkez şirketin hukukuna göre suç oluşturmadı yanıtı ile karşılaşılmaktadır.
En güçlü çözüm tabiî ki Verilerimizin geleceğini koruyan bağımsız bir ceza yasası ve Facebook, Google gibi şirketlerin temsilciliklerinin ülkemizde kurulması için devlet olarak girişimlerde bulunmaktır. Adli kolluk içerisinde de bilişim suçları ile ilgili özel birimlerin sayısını artırmak ve verilerimizi gelecek yakın tehlikelerden korumak acil olarak sağlanmalıdır.
Tüm bunlar dışında en önemli bilinmesi gereken de verilerin geleceğini koruyacak olan yine kişinin kendisidir. Bu nedenle internet kullanımı konusunda ilkokul çağından başlayarak bilinçlenme ve internetin zararlarının anlatılması eğitim politikasının içerisinde benimsenmelidir. Çağımız dijital çağdan başkası değildir.
E-NABIZ-KİŞİSEL VERİ-SIR SAKLAMA
Öncelikle burada konuyu en öz şekilde sizlere aktarmak zorunda olduğum hatırlatmasını yaparak bugün çok önemli hale gelmiş kişisel verilerin korunması konusunu bu konuda yer alan tezimde de anlattığım gibi “Tıp Alanında Kişisel Verilerin Korunması” olarak ele alacağım.
Daha bugünlere gelmeden önce herkes Hipokrat derken bir akademisyen olan İngiltereli Mark Siegler (Mark Siegler, 1982 yılında New EnglandJournal of Medicineda “Confidentiality in Medicine: A DecrepitConcept” )(Tıpta Mahremiyet / Sır Saklama Yükümlülüğü: Yıpranmıs/Zayıflamıs bir Kavram) baslığı ile yer alan makalesinde, sır saklama kavramının hekimler ve hastalar tarafından geleneksel olarak anlaşıldığı anlamı ile artık var olmadığını savunmaktadır: “Hipokrattan bu yana, hekimle ilgili tüm and ve yasalarda yer alan bu tarihi etik ilke artık eskimiş, yıpranmış ve yararsız hale gelmiştir.” demiştir. Ünlü akademisyenin bu çıkışı artık sır saklama ve kişisel verilerin saklanması konusunda daha farklı bir koruma sağlamak gerekliliğini ortaya koymuştur.
Kişisel Verilerin Korunması hususu ilk defa İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından ele alınmıştır. OECD tarafından gündeme gelen konular arasında kişisel verilerin korunması ile ilgili çerçeve kurallar da belirlenmiştir. 28 Ocak 1981 tarihinde Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme imzaya açılmış, Türkiye sözleşmeyi imzalamış ancak henüz onaylamamıştır.
Mevzuatımızda ilgili alanlarda özel bir kanunla olmasa da kişisel verilerin korunması ile ilgili düzenlemeler mevcut olup, kişisel verilerin korunması kanunu tasarı halindedir. Ancak henüz özel kanunu çıkmadan, sağlık verilerinin otomatik olarak sisteme işlenmesi ile ilgili kararlar alınmakta ve sağlık çalışanları verileri işlemekle ilgili zorunlu tutulmaktadır.
1 Aralık 2013 tarihinde özel hastanelerde uygulanmaya başlanılan “Biyometrik Kimlik Doğrulama Sistemi “ ile özel hastanelerde sağlık hizmeti almak için başvuran hastaların avuç içi, damar izinin alınması yöntemi gibi Kişisel Verilerin Korunması hakkının özünü ortadan kaldırmaya yönelik düzenlemeler gündeme tartışılması gereken yeni başlıklar açmış ve tıp alanında çalışan tüm STK’ları yasal yolları aramak üzere harekete geçirmiştir.
TBMM cephesine baktığımızda Kişisel Verilerin Korunması Kanunu Tasarısı 34 yıldan sonra 2.12.2015 tarihinde Başkanlığa gelmiştir. Son zamanlarda özellikle Sağlık sisteminde genelgelerle, kişisel verilere karşı hoyratça yürütülen uygulamalardan sonra kaygılı bir şekilde kanun beklenmektedir.
Özellikle e-Nabız sisteminde, kişisel verilerin dijital olarak işleme tabi tutulması ve kişinin sağlığı ile ilgili her verinin sisteminde yer alacak olması / kişinin e-devlet şifresi ya da aile hekiminden alacağı geçici şifre ile sistemine ulaşabileceği yolunda getirilen düzenlemede oldukça hassas davranılması gerekmektedir ve özellikle bilinmelidir ki kişinin sağlığına ilişkin bilgileri hassas kişisel veridir. Yani bu şu demektir: “Korunması en elzem olan ve ihlali durumunda da telafisi mümkün olmayacak derecede olan veridir.”
Tıp dünyasında mevcut gelişmeler kişisel veri olarak kabul edilecek verilerin gün geçtikçe artmasını sağlamakta, koruma açısından da yeni tartışma alanları yarattığı görülmektedir.
Sağlık ile ilgili tüm tıbbi veriler, arşiv, kayıtlar hassas nitelikte veriler olup, bu verilerin korumasının da aynı derecede hassas olarak ayrı bir kanun ile yapılması ve sınırlarının da tam olarak tanımlanması gerekecektir. (bknz. Kişisel Verilerin Korunması Kanun Tasarısı)
Avrupa Konseyi Bakanlar Komitesi’nin (97) 5 sayılı Tavsiye Kararınnda “Tıbbi verilerin toplanması ve işleme tabi tutulması sırasında temel hak ve özgürlüklere özellikle mahremiyete saygı hakkı sağlanmalıdır. Tıbbi veriler sadece iç hukuk tarafından sağlanan güvencelere uygun olarak toplanabilir ve işleme tabi tutulabilir.” demiştir ve bu konuda üye ülkelerin iç hukuklarında yeterli güvenceyi almaları gerektiğini tavsiye etmiştir. Türkiye bu konuda yeterince güvence sağlayamamış, ancak hastaların tıbbi kayıtlarının bilgisayarlara işlenmesi ve biyometrik sağlık uygulamasına geçmiştir.
Tıp alanındaki kişisel verilerin hassas olması nedeniyledir ki; 1983 yılında Venedik/İtalya’da Dünya Tabipler Birliği’nin 35. Genel Kurulu’nda “Bilgisayarın Tıpta Kullanılmasına İlişkin Duyuru” nun son maddesinde “Tıbbi veri bankaları, hiçbir zaman başka merkezi veri bankalarıyla ilişkili olmamalıdır” düzenlemesine yer verilmiştir.
E-Nabız sisteminde kişilerin e-devlet şifresi ile sisteme gireceklerine dair yapılan düzenlemenin sakıncaları ilerleyen zamanlarda acı bir tecrübe olarak ortaya çıkacaktır. Zira henüz e-devlet sisteminin hangi bilgisayar bağlantıları ile ortak bankalara sahip olduğu bilinmemektedir. Bugün e-devlet şifresi ile yargının ağı olan UYAP’a bağlanabilen kişi sağlık verilerine de aynı şifre ile, Sosyal Güvenlik Kurum bilgilerine de aynı şifre ile ulaşabilecektir. Bu büyük bir sorun olarak karşımıza çıkabilir.
Peki sağlığa ilişkin veriler hangi durumda işlenebilecektir? Bu durum da şöyle açıklanabilir:
(95/46/AT) Yönergede
-İlgili kişinin rızası var ise işlenebilir.
-Devlet tarafından tüm koruma mekanizmaları kurulduğunda işlenebilir.
-Sağlığın korunması, tıbbi teşhis, tedavi veya sağlık hizmetlerinin yönetimi için gerekli veriler ise, ancak sır saklama yükümlülüğüne tabi olan kişiler tarafından işleniyor ise yasak değildir.
Gördüğünüz gibi sağlığa ilişkin veriler ancak hastanın rızası ile ve sadece sır saklama yükümlülüğüne tabi olan kişiler tarafından işlenebilir. Burada biz Sağlık Bakanlığı’nın veri işleme işini bir firmaya ihale ettiğini ve bu firma tarafından verilerin bilgisayarlara işlendiğini biliyoruz. Burada da kocaman bir soru doğuyor.
Burada TBMM’de bulunan tasarıdan neler çıkacak, nasıl kabul edilecek ve uygulama nasıl olacak söylemek şu an mümkün olmasa da bu kanun çıkmadan genelge ile verilerin işlenmesine karar veren, sır saklama yükümlülüğüne tabi olmayan bir firmaya verilerimizi emanet eden bir devlet mekanizması ile bu kanunun nasıl uygulama bulacağı biraz kendisini gösteriyor. Tüm kişilerin E-Nabız sistemine rızası olmadan işlenen verilerin silinmesini Sağlık Bakanlığı’ndan talep etmeleri ve ancak rıza olan verilerin sisteme girişinin sağlanması için mücadele vermelerini öneriyorum.
Av. Arb. Sabire Sanem YILMAZ
(Bu köşe yazısı, sayın Av. Sabire Sanem YILMAZ tarafından www.hukukihaber.net sitesinde yayınlanması için gönderilmiştir. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)
—————————————————
[1]Yokuş Sevük, H., V. Türk-Alman tıp hukuku sempozyumu, Tıp Ceza Hukukunda Kişisel Verilerin Açıklanması konulu Tebliği, “Bu ilkeler 1-) Kişisel veri toplanması ve işlenmesinin sınırlı olması ve ilkelere bağlılığı, 2-) Kişisel veride kalite ilkesi, 3-)Kişisel veri toplanmasında ve işlenmesinde amacın belirginliği ilkesi, 4-)Amaca uygun kullanım ilkesi, 5-)Kişisel verilerin korunması için gereken tedbirlerin alınması ilkesi, 6-) Açıklık ilkesi, 7-)Kişisel veri konusu kişin bireysel katılımı ilkesi, 8-)Sorumlu tutulabilirlilik ilkesi
[2] Akyürek, G., age, s. 56 “Tıp dünyasındaki gelişmelerde kişisel veriler konusundaki tartışmalara yenisi eklenmiştir: DNA ve buna ilişkin veri bankaları. AB yönergesinin tanımına açıkça uyan, elde edilmesi ve işlenmesi gerek vücut bütünlüğü gerekse özel hayatın gizliliği tartışmalara yol açan DNA verilerinin işlenmesi, 1985 yılında ilgili kişinin kimliğinin belirlenmesine yarayacak biçimde incelenmesine olanak sağlayan tekniğin bulunmasından sonra özellikle son yıllarda suçla mücadele ve suçluların belirlenmesinde yoğun olarak başvurulan bir yöntemdir. Ayrıca kurulan veri bankaları da ülkelerarası işbirliği çerçevesinde bu verilerin değişimini sağlamaktadır. İleri sürülen eleştirilerden biri, DNA aracılığı ile büyük çaplı araştırmalar yapılabilme olasılığıdır. Böylece ortada somut bir şüphe yokken , suçla mücadele adına kişilerin DNA örneklerinin alınması bu kişiler açısından özel hayatın gizliliğini ihlal etmektedir. Bunun yanında toplumda bazı kimselerin, ırk, milliyet ve din nedeniyle ayrımcılığa tabi tutulmasına da yol açabilmektedir. Bu nedenle DNA verilerinin alınması ve işlenmesi konusunda haklı sebeplere dayanan çok sıkı koşulların konması gerektiği ifade edilmekte ve örneğin İsviçre’de, suç işlediğinden veya suça iştirak ettiğinden şüphelenilen kişilerin, basit şüpheye dayanılarak, DNA verilerinin saklanması ve de bunun yürütme tarafından 2000 yılında çıkarılan bir kararname ile yapılması eleştirilmektedir. İngiltere’de ise 1995’te oluşturulan ulusal genetik bilgi arşivi dünyanın en büyük DNA profili bankası haline gelmiştir ve 2006 yılı itibariyle nüfusun %5’ine karşılık gelecek şekilde yaklaşık 3.5 milyon kişinin kaydını içermektedir. Ayrıca başlangıçta yedi Avrupa ülkesi tarafından (Almanya, Avusturya, Belçika, Fransa, Hollanda, İspanya, Lüksemburg) 27 Mayıs 2005’te imzalanıp daha sonra Haziran 2007’de Avrupa Birliği Yönetmeliği haline getirilerek Birlik Hukukuna dahil edilen Prüm Antlaşması, başta DNA olmak üzere birçok kişisel verinin Avrupa sathında değişimini öngörmektedir. Hatta tüm bu gerçeklerin de ötesinde 2007 yılının Ocak ayında yapılan bir Avrupa Birliği güvenlik toplantısında, dönemin Fransız Bakanı, ChristianEstrosi, tamamen “güvenlikçi” bir yaklaşımla, bütün Avrupa vatandaşlarının doğumdan itibaren genetik verilerinin toplanmasını önerebilmiştir. Salt güvenlik gerekçesine dayanan böylesine totaliter /bütüncül bir yaklaşım orantılılık ilkesini tamamen yok ederek kişilerin bu alandaki özel hayatın gizliliği hakkını ortadan kaldırılmasının yanında herkesin vücut bütünlüğü hakkını da açıkça ihlal edeceği kuşkusuzdur.”
[3] Yokuş Sevük, H., age, s. 785.
[4]Hakeri, H., age, s.38.
[5] Şimşek, O., age,s.88.
Yapay Zeka Zirvesi
Yapay zeka zirvesi
Yeni Aşkımız Yapay Zeka” ile 14 Şubat Sevgililer Günü’nde, İstanbul Teknik Üniversitesi Süleyman Demirel Kültür Merkezi’nde buluştuk. GelecekHane‘nin liderliğinde Türkiye Yapay Zeka İnsiyatifi (TRAI) tarafından düzenlenen Türkiye Yapay Zeka Zirvesi beklenenin üstünde bir katılımla gerçekleşti. Yoğun talep üzerine zirve, internet üzerinden canlı yayınlandı. Zirvede konuşma ve panellerin dışında, Google, IBM, Etiya, İTÜ ve AI Ethics Lab’ın katkılarıyla eğitimler düzenlendi. Yapay zekanın finans, ticaret, üretim ve etik alanlarındaki karşılıkları dışında Türkiye’de sektörün durumunun da incelendiği zirve, Pera Güzel Sanatlar’ın sunduğu piyano dinletisi ile güzel bir başlangıç yaptı.
RIZAYA DAYANMAYAN SES KAYDI HUKUKA AYKIRI DELİLDİR
Android cep telefonlarında, telefona play store ya da benzeri programlardan indirilen casus ses kayıt
cihazları sonucu elde edilen deliller ile ilgili verilen mahkeme kararları, anayasaya ve TCK’nın amacına
aykırı olmaya başlamıştır. Yargıtay Ceza Genel Kurulu kararında da özellikle hakaret ve tehdit
davalarında ses kayıt cihazlarına kaydedilen delillerin hukuka uygun olarak elde edilmiş delil olarak
kabul edildiği ve müştekinin başka bir yolla suçu kanıtlayamadığı hallerde, ses kayıt cihazı ile elde ettiği
bu delili kullanabileceği ifade edilmiştir. Yargıtay Ceza genel Kurulu kararına Anayasa ve TCK ilkeleri
ışığında katılmamaktayım.
Özellikle TCK’da kişisel veriler, özel hayatın gizliliği, haberleşme hürriyetinin gizliliğini ihlal gibi suçlar
düzenlenmişken, casus ses kayıtlarına diğer tarafın sesinin kayıt edilmesi ve üstelik tarafın rızasının
alınmamış olması bu delilin hukuka aykırı delil olarak kabulünü zorunlu kılmalıdır.
Son zamanlarda TCK’nın ruhunu aşan şekilde hakim uygulamaları sanığın savunma hakkına zarar
vermekte ve Ceza Kanunu’nun amacının ceza adalet sistemini aşarak, her ne pahasına olursa olsun
suçun ortaya çıkarılması şeklinde algılanmasına yol açmaktadır. Türk Ceza Kanunu’nun amacı asla “her
ne pahasına olursa olsun” suçun ortaya çıkarılması olmamalı ve hukuka aykırı deliller doğru
değerlendirilmelidir.
Özellikle bankalar ya da resmi kurumlar müşteri hizmeti kalitesi açısından ve güvenlik açısından sesin
kayıt altına alındığını tarafa hatırlatmakta ve ancak hatırlatmadan sonra kayıt yapmaktadır. Casus kayıt
programlarında karşı taraf sesinin kayıt altına alındığını bilmemekte ve kayıt altına alan da sesin kayıt
altına alındığını karşı tarafa bildirmemektedir. Bu anlamda kayıt altına alınan ses kaydının delil olarak
kullanılması hukuka aykırıdır. Sadece bu delile dayanarak ve delil başkaca delille desteklenmeksizin
sanığa ceza verilemeyecektir.
Yargıtay Ceza Genel Kurulu kararları hatalı yorumlanmakta ve TCK’nın 132 ve 133. Maddeleri
yeterince anlaşılamamakta ve sanığa hukuka aykırı delillere dayanarak ceza verilmektedir. Almanya,
kişinin kendi katıldığı bir telefon konuşmasında karşı tarafın sesini gizlice kayda alması olayında suçun
çok ağır ve kamuyu ilgilendiren önemli bir suç olmasını aramakta ve delilin bu anlamda elde
edilmesinin önemli olduğuna vurgu yapmaktadır. Türk Ceza Yargısında bu manada bir ayrıma da
gidilmeksizin ses kayıt cihazları ile aslında başka bir suç daha işlenmektedir: “Kişiler arasından
haberleşmenin gizliliğinin ihlali”
Kanaatimce, özel kişiler tarafından kaydedilen rızaya dayanmayan ses kayıtları hukuka aykırıdır ve ceza
yargılamasında hukuka uygun delil olarak kullanılmamalıdır.
