Kategori: Genel

Anasayfa / Genel

Beyin-Makine Arayüzü Teknolojisi ve Mahremiyete Dair Yeni Hukuki Sorular

Öz

Nörobilim alanındaki gelişmeler her gün bizi şaşırtmaya devam ederken, yapay zekâ ve iletişim teknolojilerindeki ilerlemeler ile 20. yüzyıldan beri ulaşılmaya çalışılan bir amaca bugün artık daha yakınız: Beyin makinasının kendisini bilgisayara çevirmek. Böylece Parkinson’dan MS’e pek çok rahatsızlığın tedavisi belki de mümkün hale gelecek ve iletişimin fiziki sınırları da ortadan kalkabilecektir. Beyin-makine arayüzü teknolojisi, potansiyel faydaları yanında, hukuki açıdan tartışılması gereken riskleri de beraberinde getirmektedir. Bu makalede beyin makine arayüzü teknolojisinin gelişimi ile bir hukuki kavrama da dönüşmeye başlayan nörodata (beyin makine arayüzü sürecinde elde edilen veri) açısından mahremiyeti yeniden ele alarak, “dolaysız, sürekli, akışkan ve durdurulamayan” veri akışı çağında beyin makine arayüzleri açısından veriye dair çeşitli sorular sorulmuştur. Yeni iletişim teknolojileri ile desteklenecek ve uygulama alanları artacak olan beyin makine arayüzü teknolojisinin geliştirilmesi aşamasından başlayarak insan otonomisine ve mahremiyete saygılı bir hukuki çerçevenin çizilmesi gerektiğini savunduğumuz bu çalışmanın temel amacı ise beyin makine arayüzleri ve mahremiyet hakkı kesişiminde yapılacak hukuki çalışmalara temel bir kaynak olmasıdır.

Yazının tamamına aşağıdaki linkten ulaşabilirsiniz.
https://dergipark.org.tr/tr/download/article-file/1969780

Continue Reading

Filyasyon İzolasyon Takip Sistemi’nin Mahremiyet Politikası Üzerine Değerlendirmeler

Günlerdir Koronavirüsün tespitinde kullanılacak mobil takip sistemi üzerine konuşuyoruz ve henüz programın tam olarak başımıza farklı türlü ne sorunlar açacağını bilmiyoruz. Amacım burada bu programın Kişisel Verilerin korunması hususunda ne kadar donanımlı olduğu ile ilgili. Gözlemlediğim kadarı ile “Hayat Eve Sığar” takip programını akıllı telefonunuza indirdiğinizde tarafınıza sunulan “Aydınlatma Metni” nin yeterli olduğunu söylemek zor. Bir de “Kullanıcı Sözleşmesi ve Mahremiyet Politikası” var ki bu politikayı okudunuz mu bilmiyorum. Politikanın tamamını paylaşıyorum:

T.C. SAĞLIK BAKANLIĞI
FİLYASYON ve İZOLASYON TAKİP SİSTEMİ(FİTAS)
KULLANICI SÖZLEŞMESİ VE MAHREMİYET POLİTİKASI
Amaç ve kapsam
MADDE 1- (1) Bu Politikanın amacı, T.C. Sağlık Bakanlığına ait Halk Sağlığı Yönetim Sistemi kullanıcıları tarafından bilinmesi gereken kullanım koşulları ve mahremiyet politikasına ilişkin usul ve esasları belirlemektir.
(2) Bu Politika, Halk Sağlığı Yönetim Sistemi kullanıcılarını kapsar.
Dayanak
MADDE 2– Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10 uncu ve 11 inci maddeleri ile ilgili diğer yasal ve idari düzenlemelere dayanılarak hazırlanmıştır.
MADDE 3- (1) Bu Politikada geçen;
a) 5651 sayılı Kanun: İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunu,
b) 6698 sayılı Kanun: Kişisel Verilerin Korunması Kanununu,
c) Bakanlık: T.C. Sağlık Bakanlığını,
ç) HSYS Mobil: Halk Sağlığı Yönetim Sistemi’ni,
d) FSEK: 5946 sayılı Fikir ve Sanat Eserleri Kanununu,
e) Kullanıcı: HSYS Mobil kullanıcılarını,
f) Politika: Bu Kullanıcı Sözleşmesi ve Mahremiyet Politikasını,ifade eder.
Kullanıcı sözleşmesi
MADDE 4- (1) Kullanıcı; HSYS Mobil’i kullanırken, HSYS Mobil’da yer alan ve herhangi bir gerçek veya tüzel kişiye ait olan herhangi bir yazı, bilgi, yorum, görüş, haber, görüntü, resim, şekil, grafik ve sair içerikten, bu içeriklerin yayınının kesilmesinden, gecikmesinden veya hatalı yayımlanmasından, bu içeriklerin kullanımından veya bu içeriklere dayalı olarak almış olduğu kararların sonuçlarından, HSYS Mobil’ın kullanım koşullarını okumamış veya okumuş ancak bunlara uygun davranmamış olması sebebiyle uğramış olduğu maddi veya manevi, müspet veya menfi ve olası herhangi bir zarardan veya masraftan Bakanlığın hukuki veya cezai hiçbir sorumluluğu olmadığını, HSYS Mobil’da yer alan bilgilerin doğruluğu veya yeterliliğinin Bakanlık tarafından garanti edilmediğini kabul ve beyan eder.
(2) Kullanıcı, HSYS Mobil logosunun veya HSYS Mobil’de yer alan sayfaların bir başka internet sitesinde herhangi bir şekilde yer almasından veya internet sitesine üçüncü kişiler veya ziyaretçiler tarafından yapılabilecek herhangi bir içerik yüklemesinden dolayı elde edilecek bilgilerin kullanımından veya internetin genel uygulamalar çerçevesinde kullanımı dolayısıyla sorumluluk doğurmayan herhangi bir içerikten Bakanlığın hukuki veya cezai hiçbir sorumluluğu olmadığını kabul ve beyan eder.
Mahremiyet politikası
MADDE 5- (1) Mahremiyet politikası, kişisel verilerinizin işlenmesine ilişkin usul ve esasları düzenler. 6698 sayılı Kanun’da öngörülen yükümlülükler veri sorumlusu tarafından yerine getirilir.a) Veri sorumlusunun kimliği: HSYS Mobil, Bakanlık tarafından yönetilmektedir. Veri sorumlusu ile “kisiselveri [at] saglik.gov.tr” eposta adresi üzerinden irtibat kurabilirsiniz.
b) Kişisel verilerin işlenme amacı: Kişisel verileriniz; doğru işe doğru kişinin görevlendirilmesi, âmirlerin; görev, yetki ve sorumlulukları çerçevesinde kendi mahiyetindeki personeline ilişkin eğitim ve iş tecrübesi bilgilerine ulaşması, 5651 sayılı Kanun’un ilgili hükümleri uyarınca yetkili merci tarafından talep edilmesi hâlinde trafik verilerini sunabilmek amaçlarıyla işlenmektedir.
c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği: Kişisel verileriniz, ancak 6698 sayılı Kanun’un 5 inci maddesinin ikinci fıkrası, 6 ncı maddesinin üçüncü fıkrası ile 28 inci maddesinin birinci ve ikinci fıkrası, 6098 sayılı Kanun’un 419 uncu maddesinde yer alan hükümler uyarınca, talep etmeye yetkili olan yargı makamları ya da kamu kurum veya kuruluşları ile paylaşılabilecektir.
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi: Kişisel verileriniz, 5651 sayılı Kanun ile öngörülen yükümlülük nedeniyle HSYS Mobil’i ziyaret ettiğiniz anda işlenmektedir.
d) Haklarınız: 6698 sayılı Kanun’un 11 inci maddesi uyarınca;
· Kişisel verilerinizin işlenip işlenmediğini öğrenme,
· Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
· İşlenmesini gerektiren sebepleri ortadan kalkan kişisel verilerinizin silinmesini veya yok edilmesini isteme,
· Kişisel verileriniz üzerinde yapılmasını istediğiniz işlemlerin, verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen kişisel verilerinizin otomatik sistemler aracılığı ile analiz edilmesi hâlinde aleyhinize çıkabilecek sonuçlara itiraz etme,
· Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramış olmanız hâlinde bu zararın giderilmesini talep etme,
haklarınızı, (a) bendinde yer alan iletişim kanalları aracılığı ile kullanabilirsiniz.
Kişisel veri güvenliği
MADDE 6- (1) Veri sorumlusu olarak Bakanlık, 6698 sayılı Kanun’un 12 nci maddesinde öngörüldüğü üzere, kişisel verilerinizin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerinize hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerinizin muhafazasını sağlamak amaçlarıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaktadır.
(2) HSYS Mobil kullanıcısı olmanız nedeniyle elde ettiğimiz kişisel verileriniz, 6698 sayılı Kanun ve bu Politika hükümlerine aykırı olarak başkasına açıklanamaz ve işlenme amacının dışında kullanılamaz. Bu yükümlülük herhangi bir süreye tabi değildir ve sonsuza kadar devam eder.
(3) Kişisel verilerinizin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde bu durum en kısa sürede tarafınıza ve Kişisel Verileri Koruma Kuruluna bildirilecektir.
Verilerin imhası
MADDE 7- (1) Bu Politika’da belirtilen amaçlarla işlenmiş olan kişisel verileriniz, 15.04.2011 tarihli ve 27906 sayılı Resmî Gazete’de yayımlanan Kamu Personeli Genel Tebliğinin 8 inci maddesi uyarınca süresiz saklanır ve imha edilmez.
Çeşitli hükümler
MADDE 8- (1) Kullanıcı, HSYS Mobil üzerinde Bakanlığa veya üçüncü bir kişi ya da kuruluşa ait herhangi bir yazı, haber, resim, fotoğraf, şekil vb. materyal bulunabileceğini, Bakanlığın bu materyal ile ilgili olarak FSEK’in düzenlediği yasal haklara sahip olduğunu, bunların Bakanlığın izni olmadan kopyalanamayacağını, değiştirilemeyeceğini, çoğaltılamayacağını, yayınlanamayacağını, satılamayacağını veya kullandırılamayacağını veya bunlara müdahale edilemeyeceğini kabul ve beyan eder.
(2) Kullanıcı, HSYS Mobil giriş yapmadan önce bu Politika’yı okuyacağını, burada yer alan tüm hükümlere uyacağını, bu hükümlere ilişkin herhangi bir uyuşmazlık veya ihtilafın söz konusu olması hâlinde Ankara Mahkeme ve İcra Dairelerinin yetkili olacağını, HSYS Mobil’de yer alan içeriklerin ve Bakanlığa ait tüm elektronik kayıtların 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 193 üncü maddesinin birinci fıkrası uyarınca kesin delil sayılacağını kabul, beyan ve taahhüt eder.

Yukarıda metni ilk okuduğumda bunca yıl Kişisel Verilerin Korunması konusunda verilen mücadele nedeni ile ikileme düştüm. 6698 sayılı Kanun’un 10. ve 11. maddesine atıf yapılarak hazırlanan “Kullanıcı Sözleşmesi ve Mahremiyet Politikası” ne bir sözleşme ne bir politika aslında. Politika olması için daha ayrıntılı bir düzenleme içermesi gerekiyor ve örneğin şu maddenin olmaması gerekiyor: “Bu Politika’da belirtilen amaçlarla işlenmiş olan kişisel verileriniz, 15.04.2011 tarihli ve 27906 sayılı Resmî Gazete’de yayımlanan Kamu Personeli Genel Tebliğinin 8 inci maddesi uyarınca süresiz saklanır ve imha edilmez.”

Hiçbir kişisel verinin süresiz saklanması ve amacından daha uzun bir süre işlenmesi 6698 sayılı Kişisel Verilerin Korunması Kanunu ile bağdaşmayacağı gibi 108+ sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, GDPR ve AİHM kararları ile de bağdaşmamaktadır. Türkiye’nin Kişisel Verilerin Korunması konusunda hızlı bir yol katettiğini düşünürken biz hukukçuları çok büyük hayal kırıklığına uğratan Mobil Takip Sistemi uygulamasının teknik özelliklerine daha adım atmıyorum bile. Bu konuda aldığım bilgiler var ancak yazılım uzmanlarının bu konuda daha sağlam verilere eriştiğinden eminim.

Pandemi ile mücadelede teknolojinin çok önemli olduğunu ve hızlı teşhisin bir çok insanın ölümünün önüne geçeceğini, bu anlamda Yapay zeka araçlarının kullanılmasının olumlu olduğunu kabul etmekle birlikte, temel hak ve hürriyetleri ortadan kaldırmadan, insan haklarına bağlı kalarak teknolojik argümanlara başvurulmasının daha da önemli olduğunu düşünüyorum.

Avrupa Konseyi, mobil takip sistemlerinin, “Yapay zekanın”, Pandemi ile mücadelede kullanılmasına karşı olmadıklarını ancak uluslararası sözleşmelerin ve üye ülkelerin veri koruma yasalarının askıya alınmamasını önerdi. Buna göre uygulamaların kullanımının veri güvenliği, gizlilik ve veri koruma yasalarına aykırılık oluşturmaması gerekmektedir.

Uzun uzun sağlık verilerinin işlenme şartlarını yazmak istemiyorum zira bu konu defalarca tekrarlandı. Herkes biliyor ki sağlık verileri hassas veri kategorisinde ve işleme şartları da diğer verilerin işleme şartlarına göre daha özel önlemler gerektirmektedir. Kabul ediyoruz ki salgının önlenmesi için halk sağlığının korunması nedeni ile veri işlenebilir. 6698 sayılı yasaya göre de sağlık verisinin kimler tarafından işlenebileceği ortadadır. Pandemi döneminde sağlık verilerinin kimler tarafından işleneceğine ilişkin yeni bir düzenleme yapılmamıştır ve bu konuda 6698 sayılı yasa yürürlüktedir. Bireyin hak ve özgürlüklerinin korunması için bir önlem de alınmış değildir.

Konum verilerinin, anonimleştirilerek, istatistiksel amaçlarla kullanılması hususunda 6698 sayılı Kanun’a aykırılık bulunmamaktadır. Ancak bu veriler usun süre depolanır ve Mahremiyet Politikasında yazıldığı gibi süresiz olarak saklanır ise burada ciddi sorunları beraberinde getirecektir.

Avrupa Konseyi’nin yayımlamış olduğu Pandemi Dönemi ile Mücadeleye İlişkin Uygulamalara Yönelik Rehber (2020/C 124 I /01)’de gönüllü uygulamaların kullanılması tavsiye edilmiştir, kullanımın kişinin kendi gönüllü iradesine bırakılmasının önemi vurgulanmıştır.

Uygulamaların, kişinin özel hayatına saygı hakkı, aile hayatına saygı hakkı, ayrımcılık yasağı, toplanma ve örgütlenme özgürlüğü gibi[1] bir çok temel hakkı yakından ilgilendirdiği ve fazla veri depolanmasında temel hakları ihlal edeceği ifade edilmelidir. Mobil takip programlarının veri koruma yasalarına uygun olarak dizayn edilmesi ve veri sorumlusunun hesap verilebilirlilik ilkesi çerçevesinde, kişilere tanınan KVKK m.11 haklarını kullandığında cevap verebilir durumda olması beklenmektedir. Pandemi dönemi olağanüstü bir dönem olsa dahi bu olağanüstü dönemde de kişisel verilerin korunması hakları askıya alınamaz.

Mobil takip sistemi, bu sistemi telefonuna indirmeyen ve kullanmayı reddeden kişiler için olumsuz bir sonuç doğurmamalıdır ve kullanıcıların kişisel verilerinin korunması konusunda şüphelerini ortadan kaldırmalıdır.

Kişinin otomatik bir karara tabi kılınması ve otomatik karar içerisinde aleyhine bir sonuç doğmasında itiraz hakkı olduğunun hatırlatılmaması dahi başlı başına bir ihlaldir. Mobil takip sistemini (Hayat eve Sığar uygulaması) incelediğimizde sistemi ya kabul ediyorsunuz ya da sistem sizi dışarıda bırakıyor. Örneğin kabul etmediğinizde ne ile karşılaşacağınız ya da başka bir seçeneğiniz var mı, bu duruma ilişkin yeterli bir düzenleme bulunmuyor. Uygulamadan kısmi olarak yararlanabileceğiniz bir seçenek daha olmalı idi.

Mobil veri uygulamasında, KVKK m.10 ve 11 gereği yeterince Aydınlatma sunulmamıştır. Kişisel verilerinizi işlemeniz gerekiyor ise bu konuda mevzuatın tamamına ve ilgili açıklamalara ulaşmanız sağlanmalıdır. Kişisel verilerinizin kurumlarla paylaşılması konusunda da onayınızın alınmasından sonra paylaşım gerçekleşmelidir. Bu konuda da herhangi bir seçenek sunulmamıştır.

Örneğin işlediğiniz verileri silmek isterseniz, silme hakkınız var mıdır? Mobil veri takip programında bu hususa ilişkin bir açıklama bulunmamaktadır. Tarafınıza verilerinizi silme hakkı KVKK m.11 ve GDPR uyarınca verilmeli idi. Verilerinizi silemediğiniz gibi, verilerinizin kimlerle paylaşıldığına dair aktif bir bilgilendirme sekmesi de bulunmamaktadır.

Pandemi döneminde toplanan kişisel veriler en geç pandemi kontrol altına alındığında silinmelidir. Önemli olan noktalardan biri budur. Diğer önemli nokta ise pandemi dönemi için işlenen verilerin farklı amaçlar için kullanılmamasıdır. Örneğin tesadüfi delil, suç soruşturması gibi. Burada da Aydınlatma Metni’nde mutlaka bu sınırlamanın getirilmesi ve belirsizliklerden uzaklaşılması gerekir.

Kişilerin konum verileri ya da terminalde depolanan verileri veri minimizasyonu ilkesi gereği sınırlanmalı ve bu veriler daha farklı uygulamaların konusu yapılmamalıdır. (Örneğin teletıp uygulaması için bu verilere ulaşmak gerekmez.)

Enfekte olmuş bir kişinin temasta bulunduğu yakın kişilere ulaşılması için, enfekte olmuş kişinin onayı gerekir ve SMS bu kişilere bu onayla gönderilir. Bu noktada takip programının bu kişilere doğrudan ulaşması kişisel verilerin korunması kurallarını ihlal edebilir. Bir başka husus, enfekte olmuş kişinin verilerinin ifşası sorunudur. Mobil takip sistemi ile gönderilecek SMS’lerde enfekte olmuş kişinin verilerinin de ifşa edilmemesi gerekir.

Kişinin enfekte olmaması, enfekte olmayan kişinin temasta bulunduğu kişilere hatalı mesaj gönderimi, gereksiz uyarı mesajları da mobil takip sisteminin kişisel verilerin korunması kapsamında idari ve teknik tedbirleri yeterince almadığı kapsamında değerlendirilecek ve kişisel verilerin korunması hükümlerini ihlal etmiş olacaktır.

Mobil takip sisteminin işlediği veriler hassas nitelikte kişisel veri içermesi nedeni ile takip sisteminin “Özel Nitelikte Kişisel Verilerin Aktarımında Alınması Gereken İdari ve Teknik Tedbirler” kataloğunun da gözden geçirilmesi gerekir. Örneğin gönderilen mesajların şifrelenmesi ve kişinin kendi telefonunda bu şekilde saklanması gerektiğini sağlamak zorunludur. Kişinin yakınlarına ait veriler de kişinin mobil cihazında takma adla adlandırılarak saklanmalıdır. Mobil cihaz verilerini ele geçirmeye çalışan ve programa saldıran korsanların önüne geçmek için gerekli olan tüm teknik tedbirlerin alınması gerekir. Konsey’in yayımladığı rehberde Bluetooth’un etkinleştirilmesi ancak diğer konum verilerinin hepsinin çalıştırılmasına gerek kalmaması vurgulanmıştır. Böylece üçüncü taraf izlemelerine karşı önlem alınmış olacaktır.

Sonuç olarak;

Mobil takip uygulama programı hakkında derin bir bilgiye sahip olmadığımız ancak paylaşılan sınırlı verilere dayanarak ilgili tahminlerde bulunduğumuz bu günlerde, kişisel veriler açısından değerlendirmeye tabi tutulan bu makalede verilen bilgiler üzerinde derin tartışmaları beraberinde getirecektir ve İnsan hakları düzleminde de birçok hukuk alanını ilgilendiren ihlaller gündeme gelecektir. Bir uygulamanın yeterince açıklanmaması ve sınırlarının çizilmemesi, derecelendirme yapılmaması, uygulamaya olan güveni de sarsmakta ve işlevini etkisiz hale getirmektedir. Bir kısım potansiyel kullanıcı, yarar ya da zarar dengesinden daha çok manifestosu yazılmayan bir uygulamanın açıklarını bilmediği için kullanmaktan kaçınmaktadır. Uygulamanın daha iyi tanıtılması ve gizlilik kurallarının daha ayrıntılı yazılması, kişinin kendi mobil cihazında sakladığı verilerin geri dönülemez bir biçimde silinmesi imkanının kişinin kendi hakimiyetinde olması gibi seçenekler Mobil Uygulamanın daha etkin kullanılmasını ve amacına ulaşmasını sağlayacaktır. Pandemi dönemi Uluslararası hiçbir sözleşmeyi ve İnsan Hakları uygulamalarını askıya almamıştır ve teknolojinin temel hak ve özgürlükleri bloke etmemesi gerekir.

Dipnotlar

  1. Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1587141168991&uri=CELEX:52020XC0417(08) ↩︎
Continue Reading

Çevirmeli Telefon mu Yoksa Şeffaflık mı? Sansür mü?

Babam hakkında bu kadar rahat bilgi toplanması beni şaşırtmadı (Gerçi ülkenin dört bir yanındaki başka kadınlarla ilişkisi olmaması ve üvey kardeşlerimin bulunmaması ya da Kanada Gizli Servisi için çalışıp kazandığı parayı onlara aktarmaması beni biraz hayal kırıklığına uğrattı!) . Herhangi birimize, işine giden, dergilere abone olan, arabasını sigortalatan normal insanlara dair tonlarca bilgi birkaç tuş uzağımızda… Her hareketimizle birtakım istatistiklere dahil edilip ilgili makamlara satılıyoruz. Stephem Rambam bana, “Artık hiçbir şey çöpe atılmıyor. Her şeyi dijital formatta bilgisayarımda saklıyor, sınıflandırıyor ve onlara referans veriyorum. Yapay zeka boynuzsa, boynuz kulağı aştı diyebiliriz. Tek bir insan hakkında altı milyar dökümanım var. Eğer ben bunu yapabiliyorsam devletin neler yapabileceğini bir düşünün. (Dikizleme Günlüğü, Hal Niedzviecki, Ayrıntı Yayınevi, 2019)

Her şey böyle başlamadı elbet, daha da başı var ancak yabancı ve nerede ise hepsi Amerika’da kurulmuş olan sosyal medya şirketlerinin ülkemize girişi bir yasa ile olmadı. Facebook’un Cambridge Analytica skandalının Amerika’da davaya dönüştüğünden bu yana Amerika’nın bile bazen Facebook ile baş edemediğine tanık olduğumuzdan bu yana neler değişti. Facebook ve Google gibi şirketlerin kuruluş amaçlarının büyük data kümeleri oluşturarak, verinin ticareti ve bazen de veri madenciliği sureti ile daha büyük veri kümeleri oluşturmaları olduğunu çoktan anladık. Hatta Google bir tık öteye giderek dijital hastane olmaya talip oldu ve Amerika’da 50.000’e yakın hastaneden ele geçirdiği veriler ile Nightingale Projesini (https://www.wsws.org/en/articles/2019/11/18/nigh-n18.html) hayata geçirdi. Fitbit şirketini satın aldı ve Fitbit üyelerinin datalarını satarken üyelerinden izin dahi almadı. Amerika’da bu anlamda teknolojinin daha üstünde kabul edilen bir insan hakları anlayışı bulunmuyor ve bu Avrupa Birliği’ne üye ülkeleri oldukça tedirgin ediyor.

Sosyal medyada ifade özgürlüğünün, internete erişim hakkının kullanılması için çok önemli araçlar olan Google, Facebook, Twitter ve haberleşmemizi kesintisiz olarak yürüttüğümüz Whatsapp gibi bazı uygulamalar için AB etki alanı içerisinde üye ülkelerin veri koruma otoriteleri harekete geçtiği gibi, ülkemizde de 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girdikten sonra kurulan Kişisel Verilerin Korunması Kurulu da Facebook’a rekor seviyede ceza verdi. Cezanın uygulanabilir olup olmadığı tartışmasına sonra değineceğim fakat bu cezanın popülist bir tavır olarak da değerlendirilmemesi gerektiğini düşünüyorum. Ülkelerin yönetim biçimleri ve ülke siyaseti ile de yakın olan bu durum bazı ülkelerde İnsan hakları ekseninde “Kişisel Verilerin Korunması” anlayışını ortaya koyarken, bazı ülkelerde de ifade özgürlüğüne yaklaşım ilkesini ortaya koymaktadır. Amaçlanan her durumda İnsan Hakları ölçütü olması ve hümanist yapı içinde insanın verisinin kölesi yapılmaması anlayışı yatmalıdır.

Arama motorlarına girmiş olduğunuz her verinin sizin hakkınızda bir profil oluşturduğu, pazarlama alışkanlıklarının ve analizlerin de arama motoruna en çok girdiğiniz kelimeler üzerinden yapıldığı bir toplumda ifade özgürlüğünüze sosyal medya kartellerinin doğrudan müdahalesi olduğunu söylemeden geçemem. Ülkelerin yeni demokrasi anlayışını yönlendiren ve algınızı yöneterek sizi kendinize yabancılaştırmaya çalışan bu araçların masumiyeti başka bir tartışma konusu benim için.

Torba Yasa Taslağı’nda Sosyal Ağlarla İlgili Yer Alanlar

Bugün tartışılan Torba Yasa Taslağı maddelerinin içerisinde yer alan maddelerde, “Sosyal ağ sağlayıcının Türkiye’de temsilci bulundurması, temsilcinin resmi olarak ilan edilmesi, yapılacak tebligatların temsilciye yapılması, Türkiye’de bulunan kullanıcıların verilerinin Türkiye’ye taşınması, erişim engellenmesi taleplerine cevap verilmesi ve yerine getirilmesi, talebin yerine getirilmemesi halinde 100.000 TL’den 1.000.000 TL’ye kadar ceza kesileceği, temsilci tayin edilmemesi durumunda da sosyal ağ sağlayıcının internet trafiği bant genişliği %95’e kadar daraltılacak.” hususları yer alıyor.

Peki tüm bunlar ne demek? Türkiye sansüre mi gidiyor?

Kişisel Verilerin Korunması Kanunu’na göre verilerin yurtdışına aktarılması konusunda belli şartlar getirilmiştir. Veri sorumlularınca kullanılan e-posta altyapıları dahi yurtdışında olduğundan, bugün e-posta gönderimi dahi yurtdışına veri aktarma koşullarına tabidir. Üstelik veri aktarımında güvenli ülke ilan edilmesi ve güvenli ülkeler arasında veri aktarımının bu şartlar dahilinde yapılması gerekecektir ki henüz KVK Kurumu tarafından “güvenli ülke” tayini gerçekleşmemiştir.

Facebook, Google, Twitter, Whatsapp gibi uygulamaların (son zamanlarda adını çok duyduğumuz Zoom uygulaması vs.) kullanımında gerçekleştirilen veri transferlerinin tamamı yurtdışına veri aktarmadır ve “Aydınlatma Yükümlülüğü”, “Açık Rıza” koşulu gibi koşullar yerine getirilse dahi “Özel Nitelikli Kişisel Verilerin Aktarılması” için daha ağır şartların yerine getirilmesi gerekmektedir. Örneğin Whatsapp üzerinden hasta kabulü, hasta verilerinin paylaşımı, parmak izi uygulaması vs.

Veri ihlali durumunda, ülkemizde temsilcisi olmayan sosyal medya ağları hakkında “Veri ihlal başvurusu” yapmanız mevcut durumda mümkün değildir. KVKK, öncelikle veri sorumlusuna başvuru şartı aramaktadır. Facebook, Twitter, Google, Instagram gibi sosyal ağlar tarafından işlenen verilerin sızması, satılması gibi durumlarda “Veri Sorumlusunun Bildirim Yükümlülüğünü Yerine Getirmesi” yolu da ülkemizde işlememektedir. Kişisel Verilerin Korunması Kurumu resen sosyal ağlarda inceleme yapma imkanına sahip değildir; çünkü datalar ülkemizde tutulmamaktadır.

Torba Yasa Taslağında getirilen düzenlemeler, Kişisel Verilerin Korunması Kanunu gereği atılması gereken bir adımdır. Torba Yasa Taslağında, kullanıcı verilerinin de ülkemizde tutulması zorunluluğu getirilmiştir. Bu yükümlülüğü yerine getirmediğinde de sosyal ağa 5.000.000 TL’ye kadar para cezası verilecektir.

Avrupa Adalet Divanı’nın AB ile ABD arasında veri transferinin geçersiz olduğuna hükmetmesinden sonraki süreçte, AB ile ABD arasında 2 Şubat 2016 yılında yeni Safe Harbour ilkeleri yürürlüğe girmiş ve GDPR (Genel Veri Koruma Yönetmeliği) ile birlikte AB üyesi ülke vatandaşlarının veri ihlali durumunda etkin başvuru yollarını kullanmasının yolu açılmıştır. Buna göre Facebook, Google gibi sosyal ağlar AB üyesi ülkelerde GDPR kurallarına tabi kılınmıştır.

Kişisel verilerinizin silinmesi, erişimin engellenmesi, düzeltilmesi gibi taleplerinizin bugün ülkemizde karşılanması mümkün değildir ve düzenleme ile bu taleplerinizin karşılanması beklentisi biraz olsun düşüncelerimizi rahatlatmıştır. Sansür, denetleme, ülke devletlerinin kötüye kullanımı gibi hususlar ile ilgili atılan adımlar sonucunda gerekli tartışmalar yapılacaktır.

Örneğin, gelecek kuşak haklarından olan Unutulma Hakkı ile ilgili Avrupa Adalet Divanının önüne gelen meşhur Gonzales davasında, Google’ın uluslararası veri sorumlusu olduğu ve verinin içeriğini denetleme hususlarının altı çizilmiştir. Google’dan gerçek anlamda size ait bir verinin silinmesini istemek ülkemiz yargı sistemi için imkansızdır. Öneri, içeriği sizi rahatsız eden verilerinizi uzman yardımı ile yüksek maliyetlerle ileri sayfalara atma (pushing yöntemi) yöntemidir. Torba Yasa Taslağı ile sosyal ağlar ülkemizde faaliyetlerine devam etmek ve kullanıcılarını kaybetmek istemiyorlar ise öncelikli olarak Türkiye’de temsilci atamak zorunda kalacaklardır. Çin’de hala çevrimiçi olan kullanıcı kapasitesi ve sosyal ağların çözüm arayışları devam ederken bu mücadelenin Türkiye’de nasıl ilerleyeceği şimdiden merak uyandırıyor.

Aranızdan Pandemi savaşlarının başladığını söyleyenleri duymuş gibiyim! Günümüzü yoğun tartışmalarla kapattığımız bir günü daha geride bırakırken sözü tekrar Dikizleme Günlüğü kitabından dizelere bırakıyorum: “İstenmeyen sonuçlardan biri de “şeffaf” toplum mefhumunun yaygınlaşması. Şimdi daha fazla insan “Dikizleme Kültürü”nün geleceğini tahmin etmeye çalışıyor. “Abartılı paylaşım”, GPS takibi, her yerde karşımıza çıkan güvenlik kameraları, bloglar, firmaların sadakatimizi temin etmek için cüzdanlarımıza soktuğu kartlar ve tüm diğerleri daha eşitlikçi bir toplumun tohumlarını atıyor. Bu toplumda kimse yalan söyleyemeyecek, çalamayacak, çünkü herkesin gözü birbirinin üstünde olacak.

Continue Reading

KVKK Uyum Sorunsalı: “Veri Sorumlusu ve Veri İşleyen Kavramlarını İyi Anlamak”

Bu başlığı atarken çok zorlanmadım zira veri sorumlusu ve veri işleyen kavramlarının halen tartışmaya açık alanlar olduğunu görüyorum. Amaç şirketlerin uyum çalışmalarının mevzuata uygun gerçekleşmesi yanında gerçekçi olması, Türkiye’de mevcut şirketlerin varlığını devam ettirebilmesi için doğru tanımlar ve uygulanabilir yöntemlerin belirlenmesi ve diğer yasal düzenlemeler doğrultusunda konuya tartışmasız açıklık getirmek olmalıdır. Veri Koruma Otoritelerinin de cezalandırma temel prensibinin yanında veri sorumlularına etkin bir uyum birlikteliği sağlama görevi de bulunmaktadır.

Tanımlar

A.1. 108 + Sayılı Kişisel Verilerin İşlenmesine Karşı Bireylerin Korunmasına İlişkin Modern Sözleşmede Veri Sorumlusu (Kontrolör) ve Veri İşleyen (İşlemci) Kavramları

Danimarka’da 17-18 Mayıs 2018 tarihinde imzalanan 108+ sayılı Modern Sözleşme, daha önce imzalanan 108 sayılı sözleşmenin revizesi sonucu ortaya çıkmıştır. Revize daha çok bilimsel ve teknolojik değişimler ışığında, GDPR’a (Genel Veri Koruma Tüzüğü’ne) uyum amacıyla yapılmış ve son halini almıştır.

Sözleşmenin 2. maddesinde kavramlar tanımlanmıştır. Buna göre; Kontrolör, “tek başına veya başkalarıyla birlikte veri işleme konusunda karar verme gücüne sahip olan gerçek veya tüzel kişi, kamu otoritesi, hizmet, ajans veya herhangi bir diğer organ”, İşlemci, “denetleyici adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu otoritesi, hizmet, ajans veya başka herhangi bir kuruluş” olarak tanımlanmıştır.

A.2. Genel Veri Koruma Tüzüğü’nde (GDPR) Veri Sorumlusu (Kontrolör) ve Veri İşleyen (İşlemci) Kavramı

Genel Veri Koruma Tüzüğü’nde, Kontrolör, “kişisel verilerin işlenmesinin amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi, ajans veya diğer organ”, İşlemci, “kişisel verileri denetleyici adına işleyen gerçek veya tüzel kişi, kamu otoritesi, ajans veya başka bir organ” olarak tanımlanmıştır. (GDPR m.4)

Bu tanıma göre bir örnek vermek gerekir ise, örneğin bir banka, müşterisine bir hesap açtığında verisini işler ve burada veri sorumlusudur ancak verinin dijitalleştirilmesi ve bir sistemde saklanması faaliyetini dışarıdan hizmet aldığı bir kuruluş vasıtası ile gerçekleştirir ise bu kuruluş veri işlemcisidir. Peki bu iki sıfat bir gerçek ya da tüzel kişide birleştiğinde nasıl bir tanım yapılacaktır. Veri kontrolörü de veri işlemcisi de veri kontrolüdür mü denilecektir?

A.3 KVKK’ya göre Veri Sorumlusu ve Veri İşleyen Kavramı

KVKK’da, Veri Sorumlusu, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”, Veri İşleyen, “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır.

Kişisel Verilerin Korunması Kurumu, veri işleyenin, veri sorumlusunun bünyesi dışında, onun organizasyon sahası dışında bir gerçek kişi veya tüzel kişi olduğunu ifade etmiştir.

A. Veri İşleyenin Hukuki Statüsü

Veri işleyenin hukuki statüsü nedir? Bu kavramı Türkiye’nin mevcut yasal düzenlemeleri gereği doğru değerlendirmek gerekecektir. Her ne kadar veri işleyenin, veri sorumlusunun bünyesinde ve onun organizasyon sahasında olmayan bir kişi olacağı ifadesi kullanılıyor ise de veri sorumlusunun bünyesinde çalışanlar da veri sorumlusunun adına veri işleme faaliyetini yürütmektedir. “Veri sorumlusunun adına” kavramından anlaşılması gerekenin kanuni düzenlemenin dışında bir yerde aranması doğru değildir. Bu nedenle özellikle Hizmet Sözleşmesi ve Vekalet Sözleşmesinin unsurlarına bakmak ve “Vekil”, “Ticari Vekil”, “Temsilci” kavramlarına değinmek gerekecektir. Borçlar Hukuku ve Sözleşme Hukuku alanında çalışanlar konuyu mutlaka daha derin değerlendireceklerdir ancak genel hukuk bilgileri kapsamında bir değerlendirme yapmak istiyorum.

Hizmet Sözleşmesi tanımına baktığımızda, “Hizmet sözleşmesi, işçinin işverene bağımlı olarak belirli veya belirli olmayan süreyle işgörmeyi ve işverenin de ona zamana veya yapılan işe göre ücret ödemeyi üstlendiği sözleşmedir.” (TBK m. 393) İş sözleşmesi ile hizmet sözleşmesi temel unsurlar açısından birbirinden ayrılmaz sadece tabi oldukları mevzuat açısından birtakım farklılıklar gösterir ancak en temel unsurları, bağımlılık, ücret ve zaman unsurudur. Eser ve Vekalet sözleşmeleri tanımlarında ise hizmet sözleşmesinden ayıran temel ayraç “Bağımlılık” ve “Zaman” kavramlarıdır. Mekan kavramını birlikte değerlendirmememin sebebi, teknolojik gelişmeler ışığında mekan kavramının her üç sözleşmede de işverenin fiziksel mekanından farklı yerlerde gerçekleştirilmesidir. Pandemi döneminde görülmüştür ki işyerinde olmayan işçi, evden çalışma ortamında tamamen bağımlı olmayan bir biçimde iş faaliyetini yürütmektedir.

Sözleşmelerin tanımlarına baktığımızda görülmektedir ki “Veri İşleyen” kavramını “Veri Sorumlusu” kavramının uzağına atmak ve örneğin işverenden emir talimat almayan Eser Sözleşmesi’nin Müteahhit kavramının içerisine yerleştirmek ya da işin vekil aracılığı ile gerçekleştirildiği ve sadece iş kapsamında sınırlı ve süreli yetkilendirilen Vekalet Sözleşmesi’nde yer alan Vekil aktörü ile açıklamak tam anlamı ile mümkün değildir.

Veri sorumlusunun adına veri işlemek kavramının örneklerine bakıldığında genelde aşağıdaki örneklerle karşılaşılmaktadır:

  • Kuruluşunuzun İK departmanı (denetleyici), korunması ve kullanılması gereken adayların ve çalışanların kişisel verilerini işlemektedir. İK departmanınız bu verileri işleme faaliyetini başka bir şirkete devreder ise bu şirket veri işlemcisidir.
  • Pazarlama ekibiniz potansiyel ve mevcut müşterinin kişisel verilerini işlemektedir. Örneğin, bu verileri kampanyalar için kullanan bir e-posta pazarlama şirketi veya ajansına devrettiğinde e-posta pazarlama şirketi veri işlemcidir.

Türkiye’de şirketler dışarıdan hizmet almakla birlikte, kendi ekibini şirket bünyesinde oluşturmayı tercih etmekte ve maliyetlerden kurtulmaktadır. Yukarıda yer alan örnekler dışında şirketlerde ücret dışında prim usulü çalışan çalışanların da olduğu düşünüldüğünde bir çalışanın kendi çıkarları için de sözleşme yaptığı ve veri işlediği düşünüldüğünde veri sorumlusu mu veri işleyen kavramı mı yoksa hala bağlı çalışan kavramı mı gündeme gelmelidir?

İşveren dışarıdan hizmet almak yerine, konusunda uzman departmanlar kurmakta ve bu departmanların da teknik bilgisinden ve uzmanlığından yararlanmaktadır. Bu ilişki de işveren çoğu zaman talimat veren değil, uzman fikirlerin bağımsız olarak şirkette varlığını devam ettirmesine olanak sağlayan konumdadır. Vergilendirme açısından da maliyetler açısından da en kazançlı yöntemlerden biri budur. Veri işleme faaliyeti açısından da departmanları aracılığı ile veri işleme faaliyetini yürüteceği için bu açıdan veri işleme faaliyeti şirketin organizasyon sahası içerisinde kalacaktır. İşveren (veri sorumlusu-kontrolör) hem müşterilerinin hem de çalışanlarının verisini işlemektedir. Bir yandan kendi çıkarları için veri işleme faaliyeti yürütmekte, bir yandan da müşterilerinin çıkarları için veri işleme faaliyetini yürütmektedir. Burada kamu kurum ve kuruluşlarının talepleri doğrultusunda da işlemekten kaçınacağı çoğu veriyi de işlemek yükümlülüğü de devreye girmektedir. O nedenle veri sorumlusu kavramı ile veri işleyen kavramı ülkemizde birlikte vücut bulmaktadır ve çift sıfat taşımak eş zamanlı gerçekleşmektedir. Veri sorumlusu asıl veri işleyen olarak kadrosunda çalışan diğer çalışanları ile birlikte alt veri işleyen faaliyeti de yürütebilir. Kanaatimce, kanuni düzenlemede ve hukuki statü açısından buna bir engel yoktur. Genel kanaat aksi görüşlerden oluşmakta ise de ülkemiz şirketler hukuku, mikro şirketlerin ve kobilerin maliyet yaklaşımı açısından ve bir çok farklı nedenle bu anlayışın uzak olduğunu söylemek mümkün değildir.

Talimat, bağımlılık, zaman ve ücret gibi her unsuru birlikte değerlendirdiğinizde, veri sorumlusu ile veri işleyen arasındaki organizasyonun ne kadar karışık olduğunu algılamak güç olmayacaktır. Örneğin,

  • Veri işlemcisinin, veri sorumlusunun organizasyon sahasının dışında belirlenmesi halinde denetleme mekanizmasının işlemesinin güç olması,
  • Veri işlemcinin dışarıdan tayin edildiğinde sadece tek bir veri sorumlusuna ait veriyi işlemeyeceği düşünüldüğünde kötüye kullanımların artacağı,
  • Temel hak ve hürriyetlerin daha fazla zarar göreceği ve ihlallerin artacağı,
  • Mikro ölçekli şirketlerin ve kobilerin maliyet yükünün artacağı,
  • Veri sorumlusunun bünyesinde veri işleme faaliyeti ile ilgili uzman yetiştirmesinin önünde engel oluşturacağı,
  • Veri sorumlusunun sorumluluk sahasına ölçüsüz müdahale teşkil ettiği ve tazminat hukuku açısından haksızlıklara neden olacağı.

Veri işlemcisinin şirketin dışında bir başka şirket olması ya da gerçek kişi olması yukarıda listelediğim hususlar çerçevesinde kişisel verilerin minimizasyonunun sağlanması, ihlallerin önüne geçilmesi, aktarma gruplarının sınırlandırılması ve hesap verilebilirlik, şeffaflık gibi ilkeler gereği uzaklaşılması gereken bir tanımlamadır.

B. Sonuç Yerine

Veri sorumlusunun ve veri işleyenin mevcut düzenlemelere göre her zaman iki farklı yerde duran aktörler olduğu yanılsamasından uzaklaşarak, aynı anda birlikte aynı çatı altında da bulunacağı ve benzer sorumluluklara sahip olacağı ortadadır. Kavramlar konusunda keskin değerlendirmeler yapmak ve mevcut yasal düzenlemeler ile birlikte değerlendirmemek de sorumluluk hukuku açısından uygulamayı zorlaştırmaktadır. Pratikte veri sorumlusunun işlemesi gereken bir ticari faaliyetinin de olduğunu düşündüğümüzde karmaşık çatı altında ve onu aşırı mali yük altına sokan bir yaklaşımı terk etmek, amaca yönelmek gerekmektedir. Veri işleyenin çalışanlardan oluşması, departmanların sorumluluk altında tutulması, veri sorumlusunun kendi departmanları aracılığı ile veri işleyen sıfatıyla da faaliyetini yürütmesi kanuni düzenlemeye aykırılık teşkil etmeyecektir. Veri işleyenin kendi bünyesinde alt veri işleyenler tayin etmesi yasağı ya da veri işleme faaliyetinin aktörlerinin belli sayı ile sınırlı olması gibi bir tanımlama da yapılmış değildir. Faaliyetlerini yürütmek amacı ile veri sorumlusu, veri işleyen sıfatı ile veri işleme faaliyetini çalışanlarına devrederek yürütebilmelidir. Sorumluluk rejimi açısından bu yaklaşımın benimsenmesi pratikte daha uygundur.

Yararlanılan Kaynaklar

  1. https://gdpr-info.eu/ (Erişim tarihi: 14.05.2020)
  2. What is a data processor and what are the duties of a data processor under the GDPR? https://www.i-scoop.eu/gdpr/data-processor-gdpr/
    (Erişim tarihi: 14.05.2020)
  3. Dario Fumagalli, GDPR, guida pratica alla scelta del responsabile del trattamento, 10.Mag.2019, https://www.cybersecurity360.it/legal/privacy-dati-personali/gdpr-guida-pratica-alla-scelta-del-responsabile-del-trattamento/ (Erişim Tarihi: 14.05.2020)
  4. Akkurt, Sinan Sami, Türk Özel Hukukunda İş Sözleşmesi ile Eser Sözleşmesinden Kaynaklanan Başlıca Yükümlülükler ve Anılan Sözleşmelerden Ayırt Edilmesi, Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi Cilt: 10, Sayı 2, 2008, s. 13-64 (Basım Yılı: 2010), https://hukuk.deu.edu.tr/dosyalar/dergiler/dergimiz10-2/akkurt.pdf (Erişim Tarihi: 14.05.2020)
Continue Reading

SAĞLIK ALANINDA KİŞİSEL VERİLERİN İŞLENMESİ İLE İLGİLİ REHBER

SAĞLIK ALANINDA KİŞİSEL VERİLERİN İŞLENMESİ İLE İLGİLİ REHBER

     STATİS + DATA tarafından hazırlanmıştır.

 STATİS + deidati

    AV. SABİRE SANEM YILMAZ    

       İÇİNDEKİLER

1- Çalışma kimleri kapsamaktadır?

2- GDPR ve KVKK sağlık verilerini işleme faaliyetini nasıl tanımlar?

3- Sağlık alanında veri işleme faaliyeti, veri işleme amaçları, veri işlemenin yasallığı kavramları.

4- Amaç Sınırlaması

5- Yeterli Güvenlik Tekniklerinin Benimsenmesi

6- Sağlık Verilerini İşleyenlerin Gözden Geçirmesi Gerekenler

 STATİS + deidati

    AV. SABİRE SANEM YILMAZ    

1- Çalışma Kimleri Kapsamaktadır?

Bu rehber, GDPR (Genel Veri Koruma Tüzüğü), KVKK (Kişisel Verilerin Korunması Kanunu), ICO (İngiltere Veri Koruma Otoritesi) çalışmaları ışığında hazırlanmıştır. KVKK m. 6’da düzenlenen “Sağlık meslek mensupları” kimleri kapsamaktadır ve sağlık alanında veri işleme faaliyeti kim, hangi kurum ve kuruluşlar, şirketler tarafından yerine getirilebilir sorusunun aydınlatılması amacı ile mevzuat ve GVKT (GDPR) yorumlanmıştır.

Çalışma, sağlık kuruluşları, özel muayenehanede çalışan kişiler, doktorlar, özel hastaneler, eczaneler, tıbbi analiz yapan laboratuvarlar, optisyenler, iş yeri hekimleri, turizm doktorları, araştırma ve kamu hastaneleri, üniversite hastaneleri gibi sağlık verisi işleyen profesyonelleri kapsamaktadır.

2- GDPR ve KVKK sağlık verilerini işleme faaliyetini nasıl tanımlar?

GDPR m. 9, özel nitelikli kişisel verilerin işlenmesi alanını düzenlemektedir. Sağlığa ilişkin veriler ile bireyin cinsel yönelim ve yaşamına ilişkin veriler özel nitelikli veriler olarak kabul edilmiştir. Özel nitelikli verilerin işlenmesi, genel olarak açık rıza şartına tabi tutulmuşsa da bazı durumlarda işleme açık rıza aranmaksızın gerçekleştirilebilir düzenlemesi  önemlidir. Bu bağlamda m.9 (2) b/c/h/i/j sağlık verilerinin açık rıza alınmaksızın işlenebileceği halleri düzenlemiştir. Sırasıyla;

  • m.9 (2) b, Veri sorumlusunun yükümlülüklerini yerine getirebilmek amacıyla istihdam, sosyal güvenlik, sosyal güvenlik kanunundan kaynaklanan işleme nedenleri ile sağlık verilerinin işlenmesi,
  • m.9 (2) c, veri sahibinin fiziksel ya da yasal olarak rıza veremeyeceği durumlarda kendisinin ya da başkasının hayati çıkarlarının korunması için sağlık verilerinin işlenmesi,
  • m.9 (2) h, koruyucu tıbbi bakım, teşhis, bakım hizmetleri, sağlık ve bakım hizmetlerinin yürütülmesinin sağlanması, çalışanların çalışma kapasitesinin değerlendirilmesi, tıbbi cihazların kalitesinin arttırılması, yeterli korumanın sağlanması şartıyla sağlık verilerinin işlenmesi,
  • m.9 (2) i, sağlığa yönelik ciddi sınır ötesi tehditlerin önlenmesi, tıbbi ürünlerin veya tıbbi cihazların yüksek kalite ve standartlarının belirlenmesi gibi, halk sağlığının korunması için alınacak tedbirler kapsamında sağlık verilerinin işlenmesi,
  • GDPR m.89’da yer alan düzenlemede dikkate alınarak kamu yararına arşivleme, bilimsel ve tarihi araştırma ve istatistiksel çalışmalar amacıyla işlemenin gerekli olması, (temel hak ve özgürlüklere zarar vermemek ve yeterli önlemleri almak koşuluyla)

                        KVKK m. 6’da düzenlenen sağlık verilerinin işlenme şartları küçük farklılıklar dışında GDPR ile benzerlik göstermektedir.

3- Sağlık alanında veri işleme faaliyeti, veri işleme amaçları, veri işlemenin yasallığı kavramları.

            Sağlık verileri, özel bir kişisel veri kategorisi veya hassas kişisel veriler olarak ele alınır. Ancak, KVKK, “sağlık verilerinin” ne anlama geldiği tam olarak tanımlanmamıştır. Bir tanımın bulunmaması, belirli verilerin sağlık verileri olarak nitelendirilmesine ilişkin belirsizliklere yol açabilir, böylece sağlık verileri yanlışlıkla sıradan kişisel veriler olarak değerlendirilebilir. Bazı durumlarda doğrudan sağlık verisi olarak tanımlamadığımız veriler bir kaç veri ile bir araya geldiğinde sağlık verisini tanımlayabilir.

GDPR, yararlı bir şekilde sağlık verilerinin bir tanımını sunar ve “sağlıkla ilgili verileri, yani o kişinin sağlık durumu hakkında bilgileri ortaya çıkaran sağlık hizmetlerinin sağlanması dahil olmak üzere, bir gerçek kişinin fiziksel veya zihinsel sağlığıyla ilgili verileri” kapsadığını açıklığa kavuşturur. GDPR, sağlık verilerinin, sağlık hizmetleri için kayıt sırasında veya bu hizmetlerin sağlanması sırasında toplanan kişi hakkındaki bilgileri, bir kişiyi sağlık amacıyla benzersiz bir şekilde tanımlamak için bir gerçek kişiye atanan bir sayı, simge veya belirli bilgileri içerebileceğini düzenlemektedir. Genetik veriler ve biyolojik veriler dahil olmak üzere bir vücut parçasının test edilmesinden veya incelenmesinden elde edilen bilgiler veya örneğin bir hastalık, hastalık riski (yani bir bireyin gelecekteki potansiyel sağlık durumuna ilişkin veriler), engellilik hakkında herhangi bir bilgi tıbbi geçmiş veya bir bireyin fizyolojik veya biyomedikal durumunun, kaynağından bağımsız olarak klinik tedavisi sağlık verisi olarak tanımlanmaktadır.

Genel işleme amacı “açık rıza” almaksızın işlenmemesi yönündedir. GDPR m. 9 (2) b,c, h,i,j’de düzenlenen durumlar söz konusu olduğunda açık rıza alınmaksızın işlendiği düzenlenmiştir.

KVKK m. 6 sağlık ve cinsel hayata ilişkin verilerin açık rıza alınmaksızın işlenebileceği halleri şu şekilde kategorize etmiştir:

  •  Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
  • Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

                        İşlemenin yasallığı ancak Kurul tarafından belirlenen “Yeterli Önlemler” in alınması ile mümkündür.

                        İyi bir veri yönetişim sistemi kurmak özellikle sağlık verilerinin korunması açısından önemlidir. Aşağıdaki tabloda bir çerçeve çizilmiştir.

 STATİS + deidati

    AV. SABİRE SANEM YILMAZ    

İyi bir veri yönetim sistemi kurmak için:

Verilerin işlendiği sistemi iyi tanımlayın ve doğru bir veri yönetişim sistemi kurun.

 

Veriyi koruma yöntemlerinizi tanımlayın ve verileri güvenli datalarda muhafaza edin. İşlemeniz için zorunlu olan verileri tespit edin ve fazla veri işlemeyin. (Veri minimizasyonu süreci)

                          ↓                                             ↓                                                ↓

Organizasyonunuzu gözden geçirin. Şikayet mekanizmasını kurun. Tüm veri işleme faaliyetlerinizde şeffaf olun.

4- Amaç sınırlaması.

Sağlık verileri için KVKK ve GDPR’da getirilen doğal amaç sınırlaması verilerin başka amaçlarla kullanılmasının da önüne geçecektir. Sağlık verilerinin profilleme ve pazarlama amacıyla kullanılması açık rıza aranmaksızın veri işleme halleri arasında sayılmadığı için ve pazarlama, profilleme gibi faaliyetler daha fazla veri işleme ve daha fazla verinin işleme tabi tutulması anlamında değerlendirileceğinden “açık rıza” alınmış olsa dahi “açık rıza” nın her zaman geri alınabileceği ve yeterli önlemlerin alınmasının gerekeceği hususlarının da göz ardı edilmemesi gerekir. Alınan açık rıza metinleri genel ifadelerden uzak, somut ve sadece ilgili durum için sınırlı olarak düzenlenecektir. Açık rıza metinlerinin bir süresi olduğu ve süre bittiğinde de açık rızanın otomatik olarak ortadan kalkacağı ve işlenen verilerin yasallığının da ortadan kalkma anında sona ereceği dikkate alınmalıdır.

5- Yeterli güvenlik tekniklerinin benimsenmesi.

 Sağlık verileri, ister giyilebilir cihazlar, ister mobil uygulamalar, ister bulut ortamında ya da veri tabanları aracılığıyla toplansın, kötüye kullanımın sonuçları veri sorumluları açısından oldukça ağır sonuçlar doğurur. Bu nedenle veri ekosisteminin güvenli olması önemlidir.

            Veri sorumlusu, veri işleyen ile birlikte ve ayrı ayrı sistemin güvenliğinden sorumludur. Verinin işlenmesinde uygun teknik organizasyon gözden geçirilecek, şifreleme, takma adla adlandırma dahil uygun veri koruma yöntemi belirlenecektir. Verinin işlendiği sistemi düzenli olarak kontrol etmek, verinin tehlikede olduğu durumda erişilebilir ve şeffaf olarak organizasyon sürecini yürütmek, veri sahiplerini süresinde uyarmak, veri koruma otoritesine

 STATİS + deidati

    AV. SABİRE SANEM YILMAZ    

gecikmeksizin durumu haber vermek ve teknik tüm önlemleri almak sürecin olmaz ise olmazıdır.

6- Sağlık Verilerini İşleyenlerin Gözden Geçirmesi Gerekenler.

  • Veri koruma ile ilgili rejimi gözden geçirmek gerekir. Eğer AB üyesi alanına giren bir işleme faaliyeti söz konusu ise üye ülkelerde bulunan rejim de gözden geçirilmelidir.
  • Sağlık verilerinin tanımlarını yapabilecek bir sistem kurulmalı ve sistemde işlenmiş tüm sağlık verilerini yeterli düzeyde tanımlanmalıdır.
  • Sağlık verilerini işlemek için yeterli gerekçeler gözden geçirilmelidir.
  •  Veri sahiplerinin temel hak ve özgürlüklerinin zarar görme ihtimalinin her aşamada gözden geçirilmesi ve zarar görebileceği durumlarda yeterli önlemlerin alınması ve risklerin veri sahiplerine açıklanması gereklidir. Bu anlamda gizlilik etki değerlendirmesi yapmak önemlidir.
Continue Reading

Kitaplarımız

TIP ALANINDA KİŞİSEL VERİLERİN AÇIKLANMASI SUCU

Av. Arb. Sabire Sanem YILMAZ

Günlük hayatta bize komşumuz “Doktora gidiyorum.” Dediğinde hastalığını, ağrısının nerede olduğunu, yaptırdığı testleri, gebe olup olmadığını vs. gibi birçok şeyi merak ederiz ve soruların ardı arkası kesilmez. Genelde yanıt vermekten hoşlanmayan kişi utanarak sorularınıza yanıt vermeye çalışır. Doktora gittiğinizde sorulan tüm sorulara tüm gerçekliği ile cevap vermek zorundasınızdır; çünkü tedavi sorulara verdiğiniz doğru cevaplar ile şekillenecektir. Kaygınız, bu en mahrem bilgileriniz yani kişisel verileriniz, başkaları tarafından bilindikçe daha da artar. Bazı durumlarda öyle bir hale gelir ki soruya cevap vermektense, tedavi olmaktan bile vazgeçebilirsiniz.

Komşunuzun sorusuna vermiş olduğunuz cevabın başkalarına açıklanması ile hekiminizin ya da sağlık meslek mensubunun sizin hakkınızda tedavi nedeni ile öğrendiği kişisel verilerinizin başkasına açıklanması arasında elbette fark vardır.

Kitabımın ikinci baskısında bu bağlamda tıp alanında kişisel verinin ne olduğunu, nereden doğduğunu, neden bu kavramın önemli olduğunu, sağlık meslek mensubu tarafından hastanın kişisel verisinin açıklanmasının ne anlama geldiğini, yaptırımlarını, uluslararası ve ulusal düzlemde Yargıtay içtihattan ve Anayasa Mahkemesi kararlan ışığında ele almaya çalıştım.

Kitapta güncellemeleri yaparken farklı noktalara da değinmeye çalıştım.

Okurlarıma faydalı bir eser olması inancıyla. Görüşlerinizi ve değerli katkılarınızı [email protected] adresine yazabilirsiniz.

Continue Reading

BİTCOİNE HUKUKİ BAKIŞ

Bu satırları yazarken tüm dünya başka bir teknolojiyle bizi tanıştırmaya hazırlanırken,kıyısından ucundan yakaladığımız Bitcoin, Kriptopara ve Blockchain teknolojisinden ve hukukla ilişkisinden bahsedeceğim. Yazı tamamlanmadan Bitcoin ne kadar olacak ve kim zengin olacak öngöremiyorum. Belki de sistem tamamen ortadan kaldırılacak. Bitcoin 2008 yılında Satoshi Nakamoto tarafından ya da bir grup kişi tarafından geliştirilen bir kriptoparadır. Satoshi daha sonra bir vergi soruşturması kapsamında kimliğini açıklamış Craig Wright olduğunu itiraf etmiştir. Kriptopara, hiçbir devlet desteği ya da söz hakkının olmadığı, merkezi olmayan bir sistemin para birimidir. Blockchain ise tüm bu sistemi kapsayan bir veritabanıdır. 1 Bitcoin dijital bir para birimidir. internet olan heryerde transferi gerçekleştirebileceğiniz, her tür para birimine anında dönüştürebileceğiniz, sınırlarımızı zorlayan bir transfer aracıdır.
Birçok avantajı yanında dezavantajının da olduğunu düşündürse de bizleri dünya bu teknolojiyi geliştirmek ya da reddetmek noktasında gidip geliyor.
Biz hukukçuların ise üzerinde hayli kafa yoracağı ve kötüye kullanıldığında hukuken nasıl bir yol izleyeceğimiz konusunda düşündüren bir sistem. Bitcoin bir emtia mı ya da para mı?
Yoksa her ikisinden de özellikler barındıran Sui generis bir hizmet mi?
Bitcoine kimi uygulayıcılar sanal para demektedir. Sanal para özelliğini de hiçbir düzenlemeye tabi olmamasında bulmaktadır.
Sistemin işleyişinde herhangi bir finansal kurumdan geçmeden para transferi sağlayan Bitcoin sisteminde mükerrer ödeme kavramı gündeme geldiğinde bu durumda hukuki olarak nasıl bir yanıt vermek gerektiği henüz bilinmemektedir. Şu an yürürlükte olan bankacılık mevzuatı ve TCK bu konuda net yanıtlar veremeyecektir elbette. Avrupa Adalet Divanı, bitcoinin bir emtia olmadığına, bir para birimi olduğuna karar vererek, Bitcoin alım satımının KDV uygulamasına tabi olmadığına karar verdi. 2 Burada hukuki ve cezai sorumluluk tamamen Bitcoin kullanıcısına ait diyebilir miyiz? Bitcoin bir algoritma eseri ve elinizde bir cüzdan ve şifreniz var. Bu şifre başka bir kullanıcının şifresi ile asla benzeşmiyor. Şifrenizi unuttuğunuz taktirde bu şifrenizi yeniden alacağınız bir 1 ( http://coin-turk.com/yeni-baslayanlar-icin-13-maddelik-bitcoin-rehberi)

2http://www.milliyet.com.tr/yazarlar/prof-dr-erol-ulusoy/dikkat-bitcoin-suc-olmasin–2561080/

muhattabınız da yok. Şifrenizin yer aldığı bir sistemi sistem çözücülere kaptırır ya daçaldırırsanız sonucu ile tamamen başbaşasınız.

Peki Bitcoin ile yasadışı bir ticaret yapıldığında bunun tespiti ve hukuki sonuçları ne olacak? Şu an Türkiye teknolojisi ile dark net alanında bulunan bu yasadışı satın almalar ( uyuşturucu, çocuk pornosu) tespit edilebilir durumda mı? Bir taraftan bitcoinin güvenli bir algoritma ile yazılmış olması bir taraftan da dark web alanında satın almaların da tespit edilememesi sonucunu doğuruyor. Alıcı ve satıcının da tespit edilemediği gerçeği ile karşılaştığımızda hukuk bu anlamda cevapsız kalıyor. Tamamen etik konusunun içerisinde kaldığını ve hukukun da yeterliliğinin sorgulanacağı bu alan ticaretin hızlı akmasını sağlarken ve şu an vergi avantajı getirirken bir taraftan da karanlık bir alan yaratarak suçun önlenmesinin önünde
kocaman bir engel gibi duruyor.
Ticarette ve hukukta sosyal bir dönüşüm yaratan bu alan hukukçuların bu konuda acilen bir startup oluşumuna girmesini ve hukuksal düzenlemelerin de hızlanması için en azından önleyici hukuk alanlarının geliştirilmesi için çalışmaları gerçeğini önümüze getiriyor. Bitcoini koruyan sigorta sistemleri geliştirilmedikçe şu an Türkiye'de Bitcoin kullanıcılarının güvende olduğunu tam olarak söyleyemeyiz. Hukuki altyapı oluşturulmadan uygulamaya geçen işlemlerle ilgili de hukukun kafasının da karışık olduğu aşikâr. Henüz tüm Dünyada da nasıl bir yasal düzenleme yapılacağı belirsiz. Avrupa Adalet Divanı'nın3 aldığı kararla Bitcoinin hukuki Statüsü henüz belirlenmişken yasal düzenlemelerin yapılması ya da uygulamada işlerlik kazanması uzun zaman alacağa benziyor.
Bugün Bitcoin ile bir malımı satmak istiyorum, beni güvence altına al diyen birine bir Hukukçu olarak vereceğim cevap sanırım iyi bir Bitcoin yazılımcısı ile hareket et olurdu. Ya da hiç bu yola tevessül etme! Bitcoin yazılımcısı bulmak da panda bulmaktan daha zor ise işimiz hayli zor.
Bu anlamda biz hukukçuların vereceği cevabı beklerseniz bitcoin zengini olmak için hayli bekleyeceksiniz.

Continue Reading

Geleceğin Hukuku: ‘Yapay Zeka’ ile mi işleyecek?

Acaba insan gibi davranan sistemler tamamen insanın yerini aldığında gerçekleştirdiği iş ve eylemlerden hukuki ve cezai sorumluluk konusunda hukuk nasıl bir yanıt verecek. İngiliz bilim adamlarının 600’e yakın dava ile ilgili bir algoritma hazırladığı, özellikle Avrupa İnsan Hakları Mahkemesi’nde görülen davaların içeriklerini ve kararlarını bir yazılım içerisine yüklediler ve bu robot davalarla ilgili tahmin yürüterek davaların sonuçlarının ne olacağı konusunda %75’e yakın başarı sağlıyor. Bu yazılım tanık ifadelerini ve avukatların savunmalarını değerlendirerek davanın yüzde kaç başarı ile kazanılacağına dair tahminde bulunuyor. Yapay zeka mekanizmasının avukatların ya da hakimlerin yerini alması dün bir hayalden ibaret gibi görünse de bugün gerçeğe bir adım daha yakın görünüyor.

Yapay zeka insanların gündelik hayatını kolaylaştırmak için yaşamımıza girmiş olsa da bugün insanlığın korkulu rüyası haline gelebilir mi ya da mesleklerin yerini alabilir mi gibi birtakım sorularla kafamızı meşgul ediyor.

Yapay zeka araçları ile ilgili henüz yasal bir düzenlememiz elbette yok. Bugün biz bazı hukukçular hayatımızda mevcut önemini erkenden sezmiş durumdayız ve bu konu ile ilgili kafa yormaya şimdiden başladık. Yapay zeka eşya mı kişi mi gibi sorular sorarken, ne kişi ne de eşya ama üçüncü bir modül olarak değerlendirme yapmak mümkün.

Yapay zekayı oluşturan insan ona çeşitli öğrenme sistemlerini tanıtması ve uygulaması gerekiyor ki karşımızda yapay zeka diyeceğimiz o üçüncü modül var diyebilelim. Biz buna makine öğrenmesi / robot öğrenme diyoruz. Yapay zekanın da bugün tanımlayabildiğimiz dört adet türü var. İlki, IBM’in satranç oynayan bilgisayarı Deep Blue’da olduğu gibi belleği olmayan, geçmiş tecrübeleri algılayamayan, bilgileri kaydedemeyen tepkisel tür.  İkincisi, sürücüsüz otonom araçlarda olduğu gibi sınırlı belleği olan yapay zeka. Üçüncüsü, Star Wars filmindeki gibi insanların duygu düşüncelerini algılayan ve onlara göre tepki veren, his ve niyet algılayan yapay zeka. Dördüncüsü, Ex Machina filmindeki Eva gibi süper zeki, duygulu, bilinçli yapay zeka. Bu son ikisi hakkında çalışmalar yoğun bir şekilde sürerken, insanlığın sonu mu geliyor tartışmaları da çığ gibi büyüyor. Hatta yapay zeka adam öldürebilir mi? Acıkır mı Hakaret ederse cezai sorumluluk kimindir?

Dünyaca ünlü fizikçi, Stephen Hawking bilgisayarların ve yapay zekanın çok hızlı bir şekilde geliştiğini ve insanlığı yok edecek noktaya geleceğini söylerken, kendimize küçük bir gezegen bulup oraya yerleşmemizi de öneriyor.

Tüm bunlar gerçekleşirken hukuk bunun neresinde diye soranlar için verilecek cevap basitten karmaşığa doğru ilerliyor. Yapay zekanın hukuka aykırı işlemlerinde cezai boyutu ile değerlendirdiğimizde faili bulmamızın güçlüğünden tutun da, hatalı bir işlem yapıldığında örneğin kişisel verilerimiz yapay zeka robotunun içerisinden çalındığında bunun sorumlusunun yazılım şirketi mi olduğu ya da yapay zekanın hizmet ettiği şirket mi olduğu konusu meraklı biz hukukçuların gündemini hayli meşgul edeceğe benziyor.

Tesla’nın kurucusu Elon Musk da yapay zeka konusunda gelişmelerden endişe duyduğunu ifade ederken özellikle yasal çerçevede buna insanlığın yararına kullanılmadığı durumlardaki yaptırımları belirlemediğimiz halde oldukça tehlikeli olduğunun altını çizmişti. En önemlisi de böyle bir teknolojinin kullanılmasında etik kodların yazılması ve etik kodların da sıkı bir şekilde uygulanmasının sağlanmasıdır. Biliyoruz ki teknoloji iyi insanların elinde iyiye, kötü insanların elinde de kötüye kullanılacaktır.

Yapay zekanın da hukuki altyapısını kurarken Roma döneminde mevcut olan kölelik sistemi hukukunu iyi analiz ederek, haklar ve yükümlülükler, yaptırımlar kısmını iyi belirlemek ve bunları da günümüz teknolojik ilerlemelerini yakından takip ederek tanımlamak gerekmektedir. Özellikle eşya ve kişi ayrımından sonra üçüncü bir başlık altında robot ve yapay zekayı ele almak ve burada uygulanacak hukukun kendine özgü disiplinini oluşturmak geleceği yakalamamızı kolaylaştıracaktır. Hukuki zeminde boşluk olması elbette yapay zekanın kötüye kullanımlarını da beraberinde getirecektir.

Geleceğin robot hukukçularının ayak sesleri hiç de uzaktan gelmemektedir.

 

Continue Reading

bonus veren siteler