CONTACT TRACING APPS (FİLYASYON-TEMAS TAKİP İZLEME) UYGULAMALARI VE HAYAT EVE SIĞAR UYGULAMASI HUKUKİ VE TEKNİK DEĞERLENDİRMELER

  1. Giriş

İşbu metnin kaleme alındığı Haziran 2020 tarihi itibarıyla tüm dünyada II. Dünya Savaşı ile eşdeğer çapta etkiye ulaşan, görünen o ki daha da büyüyecek etkisiyle COVID-19 (coronavirüs) Pandemisi ile dünyada başlayacak yepyeni bir çağın fragmanı olan uygulamaların virüsün resmileştiği tarih referans alındığında bugün itibarıyla sadece 6.ayında olduğu görülmektedir. Öyle ki; içinde bulunduğumuz değişim ve dönüşüm süreci, zaten belirsiz olan geleceği öngörme ihtiyacımızı daha da arttırmış ve hayatlarımızın ilk yeni normali olan COVID sonrasında, parçası oldukları sistemlerin de belirsiz olduğu birçok x-değişkeni doğurmuştur.

Bu süreçte olağanüstü hızlanan dijital dönüşüm ile online mecralara aktarılan birçok sektör, uygulama ve iş modelleri genel anlamda veriye ve bilgiye, bu metnin odaklanacağı ve özel anlamda ise kişisel veriye ilişkin “yeni nesil” birçok soru işaretini beraberinde getirmiştir. Bu nedenle başta veri koruma alanında en uzun geçmişe sahip Avrupa Birliği ülkeleri “Genel Veri Koruma Tüzüğü” (GDPR) usul ve esaslarını, birtakım diğer ülkeler ise GDPR veya kendi yerel veri koruma mevzuat hükümlerini gözeterek özellikle kişisel sağlık verisinin işlenmesi ve korunmasına ilişkin düzenlemeleri hızla hayata geçirmeye çalışmıştır.

  1. Temas Takip İzleme ve Yaygın Uygulamaları

Bu düzenlemelerin en önemlilerinden biri ise şüphesiz “contact tracing” yani “filyasyon” uygulamaları olup söz konusu uygulamalar kişinin diğer kişilerle temas geçmişi koordinasyonunun izlenerek potansiyel hastalık bulaştırma riskinin takip edilmesi amacıyla oluşturulan uygulama ve yaklaşımlardır. Halk sağlığının korunması ve böylece kamu düzeni ile kamu güvenliğinin sağlanması amacıyla yetkili kurum ve kuruluşlarca bu tür yöntemlere başvurulması yasal olarak mümkün olup böyle durumlarda başta insan hakları ile veri gizliliği ve güvenliğinin gözetilmesi gerektiği ise tartışmasızdır. Ancak pratik uygulamalarda bu işleyişin gerçekten bu ilkelere riayet edilerek yapılıp yapılmadığı ise oldukça tartışmalıdır.

Salgının dünyaya yayıldığı kaynak Çin Halk Cumhuriyeti’nin salgının ilk gününden bugüne şeffaflığı ve salgının önlenmesine ilişkin uyguladığı tedbirler her daim tartışma konusu olmuştur ve müteakip süreçte de tartışılmaya devam edecektir. Yurtdışı kamuoyuna bildirildiği kadarıyla salgının neredeyse yok olduğu Çin’de bu kapsamda uygulanan tedbirlerin başında lokasyon takibi, bu itibarla kişilerin temas geçmişi takibi yer almaktadır. Çok sıkı ve katı uygulanan bu tedbir, dünyanın batı yarısında çok yaygın olmayan ancak doğu yarısında sosyal medya ve mesajlaşma gibi birçok hizmeti kapsayan WeChat ve Alipay uygulamaları ile gerçekleştirilmektedir. Kişilerin hastalık durumuna göre kırmızı, sarı ve yeşil renk ile sınıflandırıldığı bu uygulama ile kişilerin sağlık dahil birçok kişisel verisi işlenmektedir. Otoriter ve baskın karakteri ile bilinen Çin hükümeti bu uygulamaları vatandaşlara zorunlu tutmaktadır ve salgın ile mücadeledeki başarılarını bu sıkı uygulamaya bağlamaktadır. Lokasyon takibinin ilk uygulayıcılarından olan Çin’den hemen sonra tüm dünya ülkeleri de sırasıyla temas takibe ilişkin birtakım çalışmalara imza atmıştır. Her bir uygulama özelindeki dinamikler ve kullanılan sistemler farklı olabilse de kesin olan tek bir şey vardır ki bu uygulamalar başta sağlık verisi olmak üzere kişilerin birçok ayak izini işlemekte, kaydetmekte ve birçok amaçla kullanmaktadır.

  1. Güvenlik vs Gizlilik

Hukuk düzeninin insan hakları sistematiğindeki hak ve özgürlük yarışması gibi belki de “kişisel veri” kavramının doğduğu andan itibaren süregelen “elde edilen menfaat” ve “korunmak istenen değer” ikilisinin çatışması burada da kendini göstermektedir. Küresel Gizlilik Meclisi (GPA) konuyla ilgili yaptığı ilanda bu dönemde temas takibine ilişkin çalışmalarda kamuya güvenin korunmasının amaçlanması, özellikle veri koruma kurumlarının veri gizliliği ve koruması anlamında farkındalık ve bilinci arttırmak amacıyla  aktif görev üstlenmesi, veri korumaya ilişkin en temel ilkelerden olan “privacy by design” tasarımda gizlilik yaklaşımının uygulanması ile operasyonel süreçlerin şeffaf ve mevzuata uygun kurgulanması gerektiği hakkında açıklamalarda bulunmuştur.

Ülkemizde de Kişisel Verileri Koruma Kurumu bu konudaki fikrini “salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28/1/ç bendi kapsamında değerlendirildiği” ve “konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmadığı” şeklinde ilan etmiştir.

Görünen odur ki pandemi sürecinin en başlarında biraz panik ile biraz da tarihte daha önce böyle bir durumun yaşanmamasının verdiği tecrübesizlikle veri işleme faaliyetlerinin normalden farklı yapılabileceği yönünde toplanan birtakım görüşler, sonrasında bu faaliyetlerin mutlaka temel ilke ve esasların gözetilerek uygulanması noktasında toplanmıştır. Öyle ki; süreç içinde veri koruma otoritelerinden bu hususta görüş değişikliğine gidenler de bulunmaktadır.

  1. Hayat Eve Sığar

Hayat Eve Sığar Mobil Uygulaması, T.C. Sağlık Bakanlığı tarafından vatandaşları COVID-19 konusunda bilgilendirmek, yönlendirmek ve yaşanabilecek salgın hastalık ile ilgili riskleri en az seviyeye indirmek ve yayılmasını önlemek amacıyla geliştirilen mobil uygulamadır. İlk yayınlandığı günden bugüne kadar çeşitli güncellemelerle geliştirilen programa en son eklenen özellik ise “HES Kodu” olmuştur. HES Kodu, kontrollü sosyal hayat kapsamında, vatandaşların şehirler arası yolculuklarında, kurum ziyaretlerinde ya da bireysel iletişim gerektiren kamusal alanlarda COVID-19 açısından herhangi bir risk taşıyıp taşımadığını güvenli şekilde paylaşmasına ve salgının takibine yarayan bir uygulama olacaktır.

HES Kodu ile beraber kişinin bulunduğu lokasyondaki salgın düzeyini ve hatta aile yakınları lokasyonlarını da gösteren uygulama canlıya alındığı günden itibaren vatandaşlarımızı “gizlilik saikiyle yüklemeyenler” ve “her halükârda yükleyenler” olarak ikiye ayırmıştır. En çok merak edilenlerden biri ise uygulamanın yüklendikten sonra hangi verilere erişebildiği sorusudur. Şöyle ki; bu konuda hizmet veren bir kurumdan sorgulandığı üzere uygulama hassas GPS ve ağ tabanlı konum bilgileri, kamera, rehber, kablosuz bağlantılar ve tam ağ, Google hizmet yapılandırması erişimi ile bluetooth ayarlarına erişebilme imkanına sahiptir. Konum servisleri ve bluetooth uygulamalarının lokasyon takibinde kullanılan temel yöntemler olduğu göz önüne alındığında uygulamanın neden kamera veya rehbere erişim imkanının olduğu bir soru işareti olarak kalmaktadır.

Temas takibi uygulamalarının alt ana başlıklarından bir diğerini ise uygulama yönetiminin “merkezi” veya “merkezi olmayan” yolla yapılması oluşturmaktadır. Temelde bluetooth teknolojileri kullanan her iki sistemin farkı kullandığı gizlilik kurallarının derecesidir. Şöyle ki; merkezi olmayan yazılımlar veri güvenliği ve gizliliği ilkeleri ile daha uyumlu iken merkezi yazılımlar ilgili kişi verilerinin tek bir merkezde toplandığı ve özellikle devletler olmak üzere üçüncü taraf aktarımlarında yaşanan güvenlik açıkları sebebiyle daha riskli görülmektedir. Özellikle merkezi olmayan yazılımlar en çok bilinen merkezi olmayan sistem olarak blockchain teknolojilerinin kullanılması, anonimleştirme ve veri güvenliği protokollerinin doğru uygulanmasıyla öne çıkarken merkezi sistemlerin güvenlik açıklarının bulunması, anonimleştirme gibi veri üzerinde yapılacak işlemlerde yüksek hata oranına sahip olması açısından tercih edilmemesi gerektiği kabul edilmektedir.

Bu süreçte hem devletler tarafından hem de özel teşebbüsler tarafından oluşturulan yeni uygulamaların merkezi olmayan yapıya sahip olması amaçlanması bir yana Hayat Eve Sığar uygulaması ise verilerin devlet kurumlarının doğrudan erişimine ve kontrolüne açan merkezi bir sistem kullanmaktadır. Yukarıda bahsi geçen veri güvenliği ve gizliliği ilkeleri ışığında ülkemizde de merkezi olmayan bir yazılımın kullanılması oldukça yerinde olacaktır. Bu nedenle dünyada mobil işletim sisteminin devleri Apple ve Google merkezi olmayan sisteme sahip yazılımlarını henüz ilan etmişlerdir. Son dönemin önemli ifadelerinden “Veri – Yeni para birimi” kabulünden hareketle önümüzdeki dönemde özellikle temas takip uygulamaları kapsamında birçok farklı açılım ve gündemi meşgul edecek gelişme yaşanacağı şüphesizdir. Yukarıda bahsedilen yeni çağın fragmanı bile bitmeden şirketler COVID sürecinin de yadsınamaz etkisiyle kişilere yönelik veri toplama noktasında kıyasıya rekabet etmektedir.

  1. Gelecek

Bir yandan dünyada COVID mücadelesi devam ederken diğer yandan yeni normal düzenlemelerini netleştirecek birçok soru işaretine de cevap aranmaktadır. İlerleyen zamanlarda dünyada veri politikalarına yön veren kurumların bakış açılarını ne tarafa çevirecekleri konusu; “Dijital Çağ” olarak anılan ve çoğu kompetanıyla iç içe olduğumuz ama hep çok uzakmış gibi gelen bu yepyeni çağda insanları daha korumacı mı yoksa veri paylaşımına dayanan daha esnek ve işbirlikçi bir geleceğin mi beklediği, bu soru işaretlerinden belki de en önemlisidir. İnsanların makineleşmesi, mikroçip takibinde denetim ve gözetim toplumu, dijital eşitsizlik, güven algılarındaki dalgalanmalar ve bunun gibi örnekler belki de COVID döneminin dünyaya alıştırdığı “yeni normal”ler olacaktır.

Kısaca özetlenmeye çalışılan süreç elbette uzun bir zaman gerektirecektir. Ancak hayata geçirilen her uygulamanın gelecek on yıl ve yüzyıldaki etkilerini öngörmeye çalışmak kanaatimce insanlık için en yararlı ve en sorumlu yaklaşım olacaktır.