Gizlilik Politikalarının Şeffaflık İlkesi Kapsamında Açık ve Anlaşılır

Mobil uygulama gizlilik politikalarında geliştiricilerin güvenlik tedbirleri ve önlemlerini alması uygulamanın faaliyeti sırasında yönetişim ve hesap verilebilirlik

257_{https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf} Erişim Tarihi: 24.04.2020

258_{https://cpg.doc.ic.ac.uk/blog/evaluating-contact-tracing-apps-here-are-8-privacy-questions-we-}

think-you-should-ask/ Erişim Tarihi: 24.04.2020 259 _{Bknz. 15 nolu dipnot.}

süreçlerin ve bu işlemenin gerekli ve etkili olduğunun belirlenmesi, takip faaliyetinin nasıl yürütüldüğü bu konuda hangi kontrol vasıtalarına sahip olunduğu ve gizliliği korumak adına ne gibi önlemler alındığı açıkça belirtilmelidir.

Singapur Sağlık Bakanlığı tarafından çıkarılan “Trace Together” uygulaması hakkında ayrıntılı bilgi verilen internet sitesinde uygulamanın hangi verileri, hangi yöntemle toplandığı ve ne kadar süre sakladığı, uygulamanın çalışma yöntemi, verilen rızanın nasıl geri alınabileceği, verilerin nasıl korunduğu vb. bilgiler açık bir şekilde yer alırken ayrıca uygulamanın çalışma yönteminin kullanıcıların daha kolay ve anlaşılır olmasını sağlamak adına animasyon video hazırlanmıştır260_{. Buna}

karşılık ülkemizde kullanılan Hayat Eve Sığar mobil uygulaması ile ilgili hazırlanan aydınlatma metni, en basit ifade ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ çerçevesinde aydınlatma metninde olması gereken başlıklara yer vererek veri sahibinin sahip olduğu haklar, kişisel verilerin toplama yöntemleri ve hukuki sebepleri ve başvuru yöntemine ilişkin mevzuat maddelerine atıf yapmaktadır. Aydınlatma metninde, mobil uygulamanın hangi veri işleme faaliyetinde hangi kanuni sebebe dayanarak veri işlediği tam olarak açık şekilde belirtilmemiştir. Metinde kişsiel verilerin kimlerle paylaşıldığı bilgisi yer almasına rağmen hangi kullanıcıların verilerinin kimlerle paylaşıldığının belirtilmemesi, kullanıcı açısından karışıklığa sebep olabilecektir. Örneğin uygulama içerisinde COVID - 19 teşhis edilmiş birinin konum verisi ve diğer verilerinin paylaşılması ile teşhis edilmemiş bir kullanıcının verilerinin paylaşılması arasında bir ayrım olup olmadığı bilinmemektedir.

4.2.3. Konum Verilerinin Anonim Şekilde Kullanılması Ve Veri Minimizasyonu Kapsamında Veri İşlenmesi

Bazı ülkeler kullanıcıların hareketlerini anonim veri kullanarak izlerken bazı ülkelerde bu konuda daha detaylı veri işlenmesi söz konusu olabilmektedir. Temas

takip uygulamalarında kişinin hareketlerine ilişkin veri toplamak, veri minimizasyonu ilkesini ihlal edeceği gibi bu durum büyük ölçekte güvenlik ve mahremiyet risklerini de beraberinde getirecektir. Konum verisinin bireyi belirlenebilir kılması riskini indirebilmek amacıyla uygulamada maskeli veya anonim konum verisi kullanılması daha doğru olacaktır. AVKK, temas takip uygulamalarının bireylerin konum verilerine ihtiyaç duymadığını belirterek bu kapsamda uygulamanın amacının vakaları tespit etmek, test sonucu pozitif çıkan kişilere temas edenler olduğunu, kişilerin hareketlerini takip etmek ve talimatların uygulanmasını sağlamak olmadığını, belirtmiştir.

Kurul’un internet sitesinde 9 Nisan 2020 tarihinde yayımlanan kamuoyu duyurusunda, salgın hastalık durumunda toplum sağlığı ve kamu düzeni ile kamu güvenliğinin sağlanmasını teminen konum verisinin kişisel veri olarak kullanılmasının gerekli olduğu durumda 6698 Sayılı Kanun’un 28. maddesinin 1. fıkrasının ç bendinde261 düzenlenen istisna maddesinin uygulama alanı bulacağı açıklanmış, her halükarda ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbirlerin almaları ve verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi gerektiği yer almıştır262_.

Ülkemizde kullanınan mobil uygulamada işlenen veri kategorilerinin, kimlik verileri, iletişim verileri, konum verileri, meslek ve sağlık verileri olduğu düşünüldüğünde bu uygulamanın veri minimizasyonu ilkesine aykırı şekilde veri işlediği söylenebilecektir. Özellikle kişilerin ailelelerinin iletişim bilgilerini de uygulamaya eklemesine ilişkin bir yapı ile üçüncü taraf kişisel verilerin uygulama aracılığı ile paylaşılması amaçla sınırlılık ve ölçülülük ilkesine uygun olmayacaktır.

261 _{Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik} güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacaktır.

262_{https://kvkk.gov.tr/Icerik/6726/COVID-19-ILE-MUCADELEDE-KONUM-VERISININ-}

ISLENMESI-VE-KISILERIN-HAREKETLILIKLERININ-IZLENMESI-HAKKINDA- BILINMESI-GEREKENLER-2- Erişim Tarihi: 24.04.2020

Singapur’da kullanılan “TraceTogether” uygulamasının gizlilik politikası incelendiğinde, uygulamanın GPS, kablosuz ağ izi, hücresel ID gibi fiziksel konum verisini toplamadığı, sadece bluetooth aracılığı ile yakınlık bilgisi topladığı bu şekilde kullanıcının konumunu izleyerek kullanıcının kimliğine ulaşmanın imkansız olduğu belirtilmiştir. Kullanıcıların enfekte olmuş bir hastaya yaklaştığının tespit edilmesi halinde durumun Sağlık Bakanlığı tarafından kendisine haber verilmesi amacıyla aranmak için sadece mobil telefon numarasının işlendiği, verilerin kullanıcıların cihazında saklandığı hususları dikkate alındığında kullanıcıya COVID - 19 teşhisi konulması halinde bu kişi ile yakın temas kurmuş kişilere ulaşmak amacıyla Bakanlık kişinin açık rızasına istinaden son 21 günlük mobil uygulama datasına erişmektedir263_.

Android ve IOS işletim sistemi üreticileri Google ve Apple şirketleri sağlık otoriteleri tarafından geliştirilen temas takip uygulamaları ile etkileşime geçecek ortak bir arayüz çalışmasını 2020 yılının Mayıs ayında tamamlayacaklarını açıklamıştır. İki işletim sistemi üreticisi, bu arayüz ile birlikte, temas takip uygulama kullanıcılarının Bluetooth Low Energy (BLE) transfer yöntemi ile veri paylaşımı yapılabilecekleri ve tüm sağlık otoritelerinin tek bir sistem üzerinde çalışacağı bir yapı tasarlamaktadırlar264_{. Bu şekilde enfekte kişiler ile bu kişilerle}

temas eden kullanıcılara ait verilere başka uygulamalar aracılığı ile tek bir sistem üzerinden erişilmesi gizlilik ve güvenlik riskini de beraberinde getirmektedir.

4.2.4. Uygulama Aracılığıyla Yanlış Vaka Tespit Edilmesi Riskinin En Aza