COVID-19 KAPSAMINDA KONUM VERİSİNİN İŞLENMESİ
Kişisel Verileri Koruma Kurumu tarafından 09.04.2020 tarihinde yapılan duyuru ile COVID-19 kapsamında konum verilerinin işlenmesine ilişkin bilinmesi gereken hususlar kamuoyu ile paylaşılmıştır. Duyuru kapsamında açıklanan hususlara geçmeden önce konum verisi kavramının değerlendirilmesi gerekmektedir.
KONUM VERİSİ
Konum verisi kavramı Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik kapsamında “kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak ifade edilmektedir. Bu tanımdan konum verisi bilgisayar ve akıllı telefon gibi cihazların konum servisleri ile tespit edilen veriler olarak anlaşılmaktadır. Bugün hemen hepimizin kullandığı telefon uygulamaları konum verisi için izin talep etmektedir. Kimi zaman kullanıcı olarak bizler bu uygulama özelinde uygulamayı kullanırken izin vermekte isek de konum servislerinin açık bırakılması sebebiyle sonrasında da izleme devam edebilmektedir. Bazı uygulamalar da ise kullanıcının rızası olmasa dahi bu bilgileri izlenebilmektedir. Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik ile konum verilerinin işlenmesine ilişkin hususlar belirlenmektedir. Yönetmeliğin 11. maddesinde konum verilerinin;
Katma değerli elektronik haberleşme hizmetleri sunmak amacıyla ihtiyaç duyulan ve trafik verisi niteliğinde olmayan konum verileri, anonim hale getirilerek veya ilgili abonelerin/kullanıcıların işlenecek konum verileri, işleme amacı ve süresi hakkında bilgilendirilmelerinden sonra rızalarının alınması kaydıyla, alınan rızaya uygun olarak sadece katma değerli elektronik haberleşme hizmetlerinin gerektirdiği ölçü ve sürede işlenebilir. İşletmeciler trafik verisi niteliğinde olmayan konum verilerinin işlenmesinde abone/kullanıcılara geçici olarak bu verilerin işlenmesini reddetme imkânı sağlar.
İşletmeciler, abonelerin/kullanıcıların trafik verisi niteliğinde olmayan konum verilerinin işlenmesi için, kısa mesaj, çağrı merkezi, internet ve benzeri yöntemlerle vermiş oldukları rızayı aynı yöntem ya da basit bir yöntem ile her zaman ücretsiz olarak geri almalarına imkân sağlar.
İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, ancak afet ve acil durum halleri ile acil yardım çağrıları kapsamında abonenin/kullanıcının rızası aranmaksızın konum verisi ve ilgili kişilerin kimlik bilgileri işlenebilir.
Hususlarına uygun olarak işlenmesi gerektiği belirtilmektedir. Bunun yanında konum verileri işleme yetkisi ise, katma değerli elektronik haberleşme hizmetlerinin sunulması hususunda ya da afet ve acil durum halleri ile acil yardım çağrıları kapsamında elektronik haberleşme hizmeti sunan, haberleşme şebekesi sağlayan veya at yapı sağlayan şirketler veya bunlar tarafından yetkilendirilen kişilerle sınırlandırılmıştır. Konum verisinin belirtilen kimselerce ve hizmetin gerektirdiği kapsamda kullanılması gerekmektedir.
Söz konusu veriler, gerçek kişileri belirlenebilir kılması sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri olarak kabul edilmektedir. Yukarıdaki hususlara ek olarak konum verisinin, genel veri koruma ilkeleri olan;
Hukuka ve dürüstlük kurallarına uygun olma
Belirli, açık ve meşru amaçlar işlenme
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
Doğru ve gerektiğinde güncel olma
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
İlkelerine de uygun olarak işlenmesi gerekmektedir. Yine verileri işleyecek olan işletmenin Kanunda yer alan istisnaların bulunmaması halinde veri sahibinden açık rıza alması gelmektedir.
Genel olarak konum verilerine ilişkin açıklamalara yer verdikten sonra belirtmek isteriz ki ülkemiz ve dünyayı etkisi altına almış olan COVID-19 salgını sebebiyle, virüsün yayılmasını önleme ve etkin sağlık hizmeti sunma gibi amaçlarla konum verilerinin işlenmesi gündeme gelmektedir. Bu kapsamda Sağlık Bakanlığının yürüttüğü “Pandemi İzolasyon Takip Projesi” ile COVID-19 testi pozitif çıkan hastaların konum verileri işlenerek, evlerinden ayrılmaları halinde konumlarının takip edilerek gerekli uyarıların yapılarak önlem alınması hedeflenmektedir. Projenin kişisel verilerin korunması kurallarına uygunluğu noktasında Kişisel Verileri Koruma Kurumu tarafından yapılan açıklama ile hukuka uygun olduğu belirtilmiştir.
Kişisel Verilerin Korunması Kanunu’nun 28. maddesi ile istisna olarak belirtilen “kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” hallerinde kanun hükümlerinin uygulanmayacağı belirtilmektedir. Covid-19 salgınının kamu düzeni ve kamu güvenliğini tehdit etmesi ve söz konusu tehdidin engellenmesi için gerekli aksiyonların alınması gerekmektedir. Bu kapsamda COVID-19 testi pozitif olan kimselerin bulaşıcılık riski olan dönemde izolasyon sağlamaları istisnai haller arasında kabul edilmektedir. Ayrıca genel nüfusun konum verilerinin yetkili kamu kurum ve kuruluşları tarafından işlenerek, kalabalık alanların tespit edilmesi ve hastalığın yayılmasını önleyici tedbirlerin alınması da istisnai haller arasında değerlendirilmektedir.
Önemle belirtmek isteriz ki COVID-19 salgını ile mücadele kapsamında konum verisi işlenmesi yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilebilmektedir. Bu kapsamda sağlık verileri gibi hassas verilerin de elde edilebilme ihtimali bulunduğundan 3. kişiler tarafından söz konusu verilerin ele geçirilmemesi için ilgili kurum ve kuruluşların gereken her türlü idari ve teknik tedbirleri alması gerekmektedir. Söz konusu verilerin yalnızca, COVID-19 salgını süresince, salgınla müdahale amacına uygun olarak kullanılması, salgın riski sona erdiğinde söz konusu verilerin imha edilmesi gerekmektedir. Konum verilerinin belirtilen amaç ve kurallara uygun olarak kullanılması, gerekli teknik ve idari tedbirlerin alınması yahut üçüncü kişilerin ele geçirmesini önleyecek şekilde sistem güvenliğinin sağlanmasını devlet güvencesi altında tutulmuş olup, ülkemizin etkin teknolojik önlemlerle bu süreci sıkıntısız bir şekilde atlatmasını dileriz.