Herkesi derinden etkileyen 06.02.2023 tarihli Kahramanmaraş merkezli olarak gerçekleşen iki büyük deprem felaketi bizleri de vicdani olarak çok yaraladı. Kurtarma çabaları, afetzedelerin barınma, sağlık, hijyen sorunları gibi “hayati” kelimesinin tam anlamıyla karşılığı olan ihtiyaçların dahi sağlanamadığı kriz ise halen devam ediyor. Neler yapılacağına ilişkin tartışmalardan ise en iyi bildiğimiz konuları anlaşılır ve kapsamlı şekilde anlatmak, belki şu anki sorunlar belki ileride benzerlerini yaşamamak adına bir katkı sunmak maksadıyla afetlerde kişisel verilere ilişkin bir yazı yazmaya karar verdik.
Konu ilk duyulduğunda daha öncelikli sorunlar var gibi gelse de biraz irdelediğinde arama kurtarma çalışmaları, bilgi dezenfarmosyonu, sosyal medya paylaşımları, dolandırıcılıklar, çocukların korunması, sağlık hizmetlerinin devamlılığı ve sağlık bilgilerimizin korunması gibi krizin tam kalbine dokunur konular olduğunu görüyoruz. Umarız zarar gören herkes adalete kavuşur ve en hızlı şekilde hayatlarını “olabildiğince” normale döner.
İncelenecek konulara ilişkin başlıklar aşağıda şekildedir;
1. Afet Durumlarında Kişisel Verilerin Önemi
a. Genel Notlar
b. Afetin Hemen Sonrası: Arama Kurtarma Çalışmaları Sırasında Kişisel Veriler
c. Afet Sonrası Süreç: Sağlık Hizmetleri, Ailelerin Bilgilendirilmesi ve Listeler ile Kişisel Veriler
2. Afet Hallerinde Kişisel Verileri İşleme Şartları
a. Kişisel Veri İşleme Şartları
b. Özel Nitelikli Kişisel Veri İşleme Şartları
3. Depremin Ardından: Kişisel Veri İhlallerinin Afet Mağdurlarına Etkileri
a. Evleri Olmayan Kalabalık Grupların Kişisel Verileri
b. Sosyal Medya Paylaşımları: Güncel Olmayan ve Gerçeğe Aykırı Kişisel Verilerin Etkisi
c. Sahte Hesaplar ve Dolandırıcılık
4. Dünyadan Örnekler
5. Afetlerde Kişisel Verilerin Korunması: EDPB Kılavuz ve İlkeleri
6. Kişisel Verilerin Güvenliğinin Sağlanması için Alınabilecek Önlemler
7. Afetlerde Hassas Gruplar: Çocukların Kişisel Verilerinin Korunması
8.Sonuç
I. AFET DURUMLARINDA KİŞİSEL VERİLERİN ÖNEMİ
A. GENEL NOTLAR
Türkiye’de kişisel verilere ilişkin mevzuat olarak 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile ilgili yönetmelikler, tebliğler ve Kişisel Verileri Koruma Kurum’u (Kurum) tarafından yayınlanan rehberler ve kararlar kullanılmaktadır.
Bahsi geçen mevzuat kapsamında kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bir diğer tanımlama ise özel nitelikli kişisel veriler için yapılmıştır. Bunlar ise ihlal halinde kişisel veri sahibi kişiye ciddi zararlar doğurması muhtemel olan, daha hassas kişisel veriler olup, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veri” olarak sınırlı şekilde sayılmış ve daha fazla koruma sağlanmıştır.
Afetlere ilişkin ise ülkemizde kanun, yönetmelik, tebliğ vb. çeşitli düzenlemeler mevcuttur. Örnek vermek gerekirse Afet ve Acil Durum Yönetimi Başkanlığı’nın (AFAD) kuruluş ve görevleri hakkında yönetmelikte, afet ve acil durumlarda kişisel verilerin korunmasına ilişkin hükümler yer almaktadır. Bununla beraber afet durumlarında kişisel verilerin nasıl toplanması, saklanması veya aktarılması gerektiği, özel nitelikli kişisel veri olan sağlık bilgilerinin afet durumlarında nasıl korunması gerektiği vb. kritik konuları inceleyen özel bir mevzuat bulunmamaktadır. Bu kapsamda Kanun’daki genel ilkeler söz konusu olup fiili imkansızlık hukuki dayanağı ve temel inceleme noktası olarak “ORANTILILIK, ÖLÇÜLÜLÜK VE AMAÇLA SINIRLILIK” ilkeleri devreye girmektedir.
B. AFETİN HEMEN SONRASI: ARAMA KURTARMA ÇALIŞMALARI SIRASINDA KİŞİSEL VERİLER
Afet durumlarında, öncelikle ilk aşamada afetzedelerin enkazdan çıkartılması, yaralıların sağlık hizmetine ulaştırılması, ve maalesef Kahramanmaraş depremi ile yüzleştiğimiz üzere vefat eden kişilere erişilmesi için arama ve kurtarma süreçleri yürütülmekte ve bu noktada kişisel veriler kritik öneme sahip olmaktadır.
Bu aşamada henüz afete maruz kalan kişilerin hayati durumu ve beden bütünlüğüne ilişkin doğrudan bilgi sahibi olunamadığından genellikle yakınları, fiziken aynı bölgede bulunan kişiler, olaya müdahale etmeye giden ekipler vb. tarafından ve eğer bilinçleri açık ise ve iletişim kurma fırsatları var ise direkt kendileri tarafından kişisel verileri iletilmektedir.
Afet sonrasında genellikle afetzedelerin lokasyonları, ad – soyad, TCKN gibi kimlik bilgileri, adres ve yakınlarının cep telefonu numaraları gibi iletişim bilgileri ve tabi ki kan grubu, kronik rahatsızlık vb. sağlık bilgilerinin işlenmesi, saklanması ve aktarılması süreçleri yürütülmeye başlanır.
Bahsi geçen ilk aşamada afetzedelerin kişisel verileri, kendi yakınları, devlet kuruluşları, yardım ekipleri vb. tarafından aktarılarak arama kurtarma çalışmaları, sağlık hizmetlerinin planlanması ve yönetimi, acil yardım dağıtımı gibi amaçlarla saklanır ve çoğu durumda yardım ekipleri, yakınları, bazı durumlarda duyuru ve yardım talepleri amacıyla sosyal medya üzerinden gibi platformlar aracılığı ile aktarılır.
C. AFET SONRASI SÜREÇ: SAĞLIK HİZMETLERİ, AİLELERİN BİLGİLENDİRİLMESİ VE LİSTELER
Afet sonrası yukarıda açıklanan arama – kurtarma çalışmalarının akabinde kurtarılan yaralıların sağlık hizmetine ulaştırılması, vefat edenlerin ailelerine veya yetkililere ulaştırılması, bu kişilerin yakınlarının bilgilendirilmesi süreçlerinde kişisel veriler elde edilmekte, saklanmakta ve aktarılmaktadır. Buna ek olarak, afet sonrası yaşanan ciddi ihtiyaçlar sebebiyle çeşitli yardım listeleri oluşturulmakta ve bu listelerde de kişisel veriler yer almakta bazen de bu yardım listelerinin iletilmesi ile beraber kişisel veriler de iletilmektedir. Örneğin, enkazdan kurtulan ve çadır ihtiyacı olan depremzedelerin listelerinde ad – soyad, iletişim için telefon numaraları ve o anda bulundukları adresler belirtilmektedir.
İlk arama – kurtarma sürecinde olduğu kadar sonrasında da acil durum yönetim süreci, sağlık hizmetlerinin iletilmesi, barınma ve gıda gibi temel ihtiyaçların iletilmesi gibi sebepler ile kişisel verilere ilişkin yoğun süreçler yürütülmektedir.
Sağlık verilerinin özel nitelikli veri olduğu ve afete maruz kalmış ilgili kişilerin hayat ve beden bütünlüğünün içinde bulunduğu risk değerlendirildiğinde, afet hallerinde kişisel verilere ilişkin süreçlerin olağan süreçten çok daha hızlı ve aynı derecede afetzedeler için riskli şekilde ilerlediği görülmektedir. Örneğin, evsiz kalan bir mağdurun adresi, sağlık durumu veya aile bilgileri gibi hassas verileri, oldukça hızlı bir şekilde yayılabilmektedir. Bu gibi durumlar aynı zamanda kötü niyetli kişilerin bu verileri ele geçirmesine ve ilgililerine daha büyük zararlar verilmesine de yol açabilmektedir. Ayrıca, kişisel verilerin ihlal edilmesi, mağdurların gelecekteki haklarını da olumsuz etkileyebilir.
Deprem sonrası hastanelerin güvenlik açıklarından kaynaklanan veri ihlalleri sonucu hasta bilgilerinin çalınması, gerçeğe aykırı bilgilerin duyurulması, kişisel verilerin toplanması aşamasında yetersiz kalınması gibi haller de ilgililer için ayrıca zarar doğurmaktadır.
Özellikle kayıp ve yaralılara ilişkin listelerin doğruluğu ve güvenilirliği tam olarak kontrol edilmediği için, bazı durumlarda yanlış kişilerin listelere eklenmesi veya yanlış bilgilerin yer alması gibi durumlar sıklıkla yaşanmıştır. Bu durum, kayıp olanların aileler için oldukça kaygı verici olup ayrıca arama çabalarının doğru bir şekilde yürütülememesine de sebep olmaktadır.
II. AFET HALLERİNDE KİŞİSEL VERİLERİ İŞLEME ŞARTLARI
Mevzuat kişisel verilerin işlenmesi sürecine ilişkin öncelikle ilkelere uygunluğunu ardından da hukuka uygun bir işleme şartı aramaktadır, bu kriterler sağlanmaksızın kişisel verilerin işlenmesi normalde hukuki dayanaktan yoksun olması sebebiyle ihlal sebebi oluşturacaktır.
A. KİŞİSEL VERİLERİN AFET DURUMUNDA OLASI İŞLENME ŞARTLARI
İlgili mevzuat kanun maddesinde tüm işleme şartları göstermiştir. Açık rıza dışında afetlerde kişisel veri işlemeye ilişkin aşağıdaki şartlar kullanılabilir.
Kişisel Verileri Koruma Kurumu – Kişisel Verilerin Korunması Kanunu ve Uygulaması
1. Kanunlarda açıkça zorunlu tutulması hallerinde kişisel veriler işlenebi Bir sağlık çalışanının ilgili yönetmelikler kapsamında bir yaralıya müdahale ederken kan grubu, bilinç durumu, sağlık durumu gibi detayları işlemesinin açıkça kanunlardan kaynaklanması örnek verilebilir.
2. Fiili imkânsızlık kişisel verilerin işlenmesi halini Kurul şu şekilde açıklamıştır:
“..fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan kişinin veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri rızası aranmaksızın işlenebilecektir. Bu duruma örnek olarak kişinin bilincinin yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale anında kişinin kan grubu, geçirdiği hastalıklar ve ameliyatlar, 51 kullandığı ilaçlar gibi bilgilerin edinilmesi ve ilgili sağlık sistemi üzerinden kişisel verilerin işlenebilmesi halleri verilebilir. Kanuna göre fiili imkânsızlık halinde, kişisel verilerin işlenebilmesi için ilgili kişinin veya üçüncü bir kişinin hayatı veya beden bütünlüğünün korunması bakımından zorunluluk bulunmalıdır. Örneğin, hürriyeti kısıtlanan bir kişinin kurtarılması amacıyla kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu verilerin işlenmesi gibi.”
Yukarıda verilen örnekler incelendiğinde ve özellikle “bir kişinin hayatı veya beden bütünlüğünün korunması bakımından zorunluluk” kriteri göz önüne alındığında, afet durumlarında kişisel verileri işleme şartlarından en olası dayanak olarak “fiili imkansızlık” gözükmektedir.
3. Alenileyet kazandırma ise ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli durumlarda kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir.
4. Veri işlemenin ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması şartına ilişkin Kurum “Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işlenme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek yeteri düzeyde etkin, belirli ve halihazırda mevcut olan bir menfaatine ilişkin olmalıdır. Veri sorumlusunun gerçekleştirdiği güncel aktivitelerle ilişkili ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir.” açıklamalarını yapmıştır.
Meşru menfaat işleme şartı genellikle veri sorumlusuna bir menfaat sağlamakta ancak bu menfaat ilgili kişinin temel hak ve özgürlüklerine zarar vermemekte ve aynı zamanda meşru bir sebebe dayanmaktadır. Deprem gibi afet durumlarında veri işlemenin, veri sorumlusuna bir menfaat sağlaması halleri oldukça risklidir. Şöyle ki veri sorumlusuna sağlanan menfaat meşru dahi dursa afet gibi hayati önem taşıyan bir olay karşısında ilgili kişinin haklarının ve hatta hayatının ve beden bütünlüğünün korunması karşısında genellikle önemsiz kalacaktır. Bu işleme şartı ancak ilgili kişinin menfaatinin korunması ile veri sorumlusunun menfaatinin korunmasının paralel şekilde ilerlemesi hallerinde mümkün görünmektedir. Afet halleri dışında uygulamada da en çok suiistimal edilen işleme şartının meşru menfaat olduğu düşünülürse buna dayanan işlemelerin özellikle detaylı incelenmesi gerekmektedir.
B. AFET HALLERİNDE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME ŞARTLARI
Yukarıda da bahsedildiği gibi özel nitelikli veriler kanunda açıkça sayılmış ve kişinin açık rızası halinde oldukça sınırlı hallerde işlenebileceği belirtilmiş olup, yukarıdaki süreçten daha farklı ilerlemektedir.
Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde de mümkündür:
- Kanunlarda öngörülen hallerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Afetlerde sağlık bilgilerinin aktarımı en kritik konulardan birini oluşturmaktadır. Açıklandığı üzere kan grubu gibi sağlık bilgileri özel nitelikli kişisel veri olduğundan yalnızca Kanunlarda belirtilen özel hallerde ve açık rıza halinde işlenebilir. 2. maddede belirtilen haller ise afet durumları gibi kamu sağlığını ilgilendiren olaylara özgü belirtilmiş olup yalnızca bu kapsama giren ve bu amaçla örtüşen kişisel verilerin paylaşımı oldukça önemlidir.
III. DEPREMİN ARDINDAN: KİŞİSEL VERİ İHLALLERİNİN AFET MAĞDURLARINA ETKİLERİ
A. EVLERİ OLMAYAN KALABALIKLARIN KİŞİSEL VERİLERİ
Afet durumları, kişisel verilerin güvenliği açısından ciddi bir tehdit oluşturmaktadır. Deprem sonrası, evleri yıkılan ya da hasar gören binlerce insan çoğu zaman barınma sorunuyla karşı karşıya kalmaktadır. Bu durumda, toplu barınma alanları, afet mağdurlarının kişisel verileri açısından özellikle hassas bir durum yaratmaktadır. Afet sonrası fiziki koşulların zorluğu kişisel veri işleme, saklama ve aktarma sürecine gösterilen özeni de azaltmaktadır. Afet sonrasında barınma veya ihtiyaç listeleri, kurtarılmayı bekleyenlerin listeleri gibi çok ciddi kişisel veriler hiçbir önlem alınmaksızın elden ele dolaşabilmekte bazen bir kağıt parçası bazen bir tweet ile iletilmektedir.
Kişisel verilerin güvenliği, ikincil bir öncelik gibi dursa da aslında tam da afet mağdurlarının güvenliği için oldukça önemlidir. Bahsi geçen kişisel verilerin dolaşımı kimlik hırsızlığı, dolandırıcılık veya diğer kötü amaçlarla kullanılma riski hali hazırda oldukça zor durumda olan afet mağdurlarını daha başka zorluklar ile karşı karşıya bırakmaktadır.
Afet mağdurlarının kişisel verilerinin korunması için, barınma alanlarının yöneticileri ve ilgili kurumlar, verilerin toplanması, işlenmesi ve paylaşımında özenli davranmalıdır. Verilerin toplandığı kayıt sistemleri, güvenli ve şifrelenmiş bir ortamda saklanmalıdır. Verilerin paylaşımı, yalnızca yetkili kişiler tarafından ve gerekli izinler alındıktan sonra yapılmalıdır.
Afetlerin oluşturduğu ortamda hukuki düzenlemelerin uygulanması daha zor hale gelebilir, bu noktada özellikle yardım kuruluşları ve devlet kurumları, mağdurların kişisel verilerini korumak için özel önlemler almakla yükümlüdür. Bu önlemler arasında, verilerin güvenli bir şekilde saklanması, sadece gerektiği kadar verinin toplanması ve işlenmesi, veri güvenliği ve gizliliğini sağlamak için uygun teknik ve organizasyonel önlemler alınması, ve veri ihlalleri durumunda hızlı bir şekilde müdahale edilmesi yer alabilir.
B. SOSYAL MEDYA PAYLAŞIMLARI: GÜNCEL OLMAYAN VE GERÇEĞE AYKIRI KİŞİSEL VERİLERİN ETKİSİ
Deprem gibi doğal afetlerin ardından özellikle Türkiye gibi iletişim özgürlüğü konusunda kısıtlamalara tabi ülkelerde sosyal medya, haber alma ve iletişim aracı olarak kullanılan bir platform halini alıyor. Buradan yapılan paylaşımlar afetlerdeki arama – kurtarma çalışmaları, ihtiyaçların toplanması gibi hayati konulara çok ciddi destekler sağlıyor ve bununla paralel olarak benzer riskleri de yanında taşıyor.
Sosyal medya platformları, kullanıcıların kişisel verilerini depolayan ve kullanıcılar arasında paylaşan ağlar olduğundan, özellikle afet mağdurlarının barınma durumu, iletişim bilgileri, sağlık durumu gibi özel nitelikli veriler içerebilir. Afet dönemlerinde sosyal medya platformlarda yapılan paylaşımların güncel olmayan ve gerçeğe aykırı kişisel veriler içermesi, kötü niyetli kullanıcıların erişimine açık olması, bilgi dezenformasyonuna oldukça açık olması sebepleriyle yine başta afet mağdurları ve genel anlamda toplumun zarar görmesine sebep olabiliyor.
Kurumun ülkemizde yaşanan deprem akabinde yaptığı aşağıda yer alan paylaşımlar da bu konunun ciddiyetini vurgulamıştır.
Kurum duyurularında değinilen diğer önemli noktalardan biri ise sosyal medyada yapılan paylaşımların ilgili kişi açısından ayrımcılık ve mağduriyete sebep olma ihtimallerinin gözetilerek hareket edilmesi gerektiğidir. Afet anında ve genel anlamda toplumda buna yol açabilecek durumlar ortalama bir kişi tarafından tahmin edilebilecek olup, hali hazırda ciddi hayati tehditler altında olan afet mağdurlarına zarar vermeyecek şekilde hareket etme yükümlülüğü herkes için geçerlidir.
Afet sonrası enkazdan kurtarılma anlarına ilişkin basın veya orada bulunan kişilerce çekilen fotoğraflar, videolar ilgili kişilerin görsel işitsel kayıtları birer kişisel veridir ve bunların sosyal medya üzerinde paylaşımı esnasında bu paylaşımın ilgili kişisi üzerindeki etkilerinin de gözetilmesi gerekmektedir. Haber alma özgürlüğü, acil durum yönetiminin planlanması gibi meşru gerekçeler olmakla beraber bu nedenler ile afet mağduru ilgili kişinin mahremiyet hakkının çatışması söz konusudur. Bu çatışmada kişisel veriler açısından her zaman ölçülülük, orantılılık, amaçla sınırlı olma ve genel etik kurallar gözetilmelidir. Özetle afet durumunda sosyal medyada yapılan paylaşımların güvenilirliği ve doğruluğu konusunda oldukça dikkatli olunmalıdır.
C. SAHTE HESAPLAR VE DOLANDIRICILIK
Afetler sırasında mağdur olan insanların, acil ihtiyaçlarının karşılanması amacıyla sosyal medya veya çeşitli platformlar aracılığı ile yardım duyuruları yapılabilmekte veya kampanyaları yürütülebilmektedir.
Afet sonrası hakim olan bu karmaşık ortam dolandırıcıların veya sahte yardım kampanyaları yürütenlerin ortaya çıkmasına olanak sağlamaktadır. Bahsi geçen eylemlerde inandırıcılığın arttırılması amacıyla kötü niyetli kişilerce, alınmadığı afet mağdurlarına ilişkin kişisel veriler de kullanılabilmektedir.
Kişilerin sosyal medya üzerinde paylaştıkları bilgilere dikkat etmeleri ve bu tür kampanyalara katılmadan önce doğrulama yapmaları önemlidir. Bahsi geçen dolandırıcılıklarla ilgili farkındalık yaratmak için, resmi yardım kuruluşlarının internet sitelerinden ve sosyal medya hesaplarından yardım toplama konusundaki politikalarını açıklamaları gerekmektedir.
IV. DÜNYADAN ÖRNEKLER: AFET HALLERİNDE KİŞİSEL VERİLER
Yukarıda ülkemizde gerçekleşen deprem ve yaşanan sorunlara ilişkin detaylı açıklamalara yer verdik. Konuyu daha geniş perspektiften ele alabilmek adına dünya genelinde yaşanan afetler sonrasında kişisel verilerin korunması konusunda sorunlara değineceğiz.
- Japonya depremi (2011): Japonya’da 2011 yılında meydana gelen depremde, kişisel verilerin çalınması ve kötüye kullanılması gibi sorunlar yaşanmıştır. Özellikle, deprem sonrasında evsiz kalan kişilerin barınma merkezlerindeki kişisel bilgilerinin, bilgisayar korsanları tarafından çalındığı tespit edilmiş
- Hurricane Katrina (2005): ABD’nin Louisiana eyaletinde 2005 yılında meydana gelen Hurricane Katrina sonrasında, kişisel verilerin korunması konusunda özellikle, bölgedeki hastanelerdeki hasta bilgilerinin çalınması ve kötüye kullanılması gibi olumsuz olaylar yaşanmıştır.
- Nepal depremi (2015): Nepal’de 2015 yılında meydana gelen deprem sonrasında ortaya çıkan yardım kampanyalarında, sahte hesaplar kullanılarak kişisel verilerin kötüye kullanımı gerçekleşmiştir.
- Hurricane Maria (2017): Porto Riko’da 2017 yılında meydana gelen Hurricane Maria sonrasında, bölgedeki hastanelerdeki hasta bilgilerinin kaybedilmesi veya çalınması gibi olaylar sık sık yaşanmıştır.
Yukarıda verilen tüm örnekler akabinde kişisel verilerin korunması konusunda yaşanan sorunlar, hükümetleri yeni yasalar çıkarmaya ve kişisel verilerin korunması konusunda daha fazla önlem almaya teşvik etmiştir.
2016 yılında İtalya’da meydana gelen depremde ise yerel bir hastanenin veri ihlali sonucu binlerce hasta kaydı internete sızdırılmıştı. Bu olay, İtalyan Veri Koruma Otoritesinin (Garante per la protezione dei dati personali) dikkatini çekmiş ve sonuç olarak European Data Protection Board (EDPB) – Avrupa Veri Koruma Kurulu da bu konuyu incelemeye almış ve sağlık verilerinin korunmasına ilişkin kuralların nasıl uygulanacağına dair kılavuzlar yayınlamıştır.
EDPB, afet durumlarında kişisel verilerin korunmasına ilişkin bir diğer emsal kararı ise, 2020 yılında COVID-19 salgını sırasında almıştır. EDPB, salgınla mücadele etmek için kişisel verilerin nasıl kullanılabileceği konusunda rehberlik sağlamıştır. Bu rehberlikte, özellikle sağlık verileri konusunda veri koruma ilkelerinin nasıl uygulanacağına dair ayrıntılı bilgilere yer vermiştir.
V. AFETLERDE KİŞİSEL VERİLERİN KORUNMASI: EDPB KILAVUZ VE İLKELERİ
EDPB kılavuzlarında afetlerle ilgili özel bir bölüm bulunmamaktadır ancak, kılavuzlar afetlerin yol açabileceği veri koruma risklerine genel bir yaklaşım sunmakta ve afetlerde kişisel verilerin korunmasıyla ilgili kapsayıcı temel ilkelere oluşturmaktadır. Özellikle, kılavuzlar afetlerde kişisel verilerin işlenmesinin gerekliliğinin ve orantılılığının önemine vurgu yapar ve kişisel verilerin afet durumunda kullanımının sınırlandırılması ve korunması için bazı önlemler önerir.
Örneğin, “Kişisel Verilerin İşlenmesi için Gerekli İlkeler Kılavuzu” afet durumlarında kişisel verilerin işlenmesinin meşruiyet koşullarını ve veri koruma prensiplerinin uygulanmasını ele alır. Benzer şekilde, “İşverenlerin Çalışanların Kişisel Verilerini İşlemesi İçin Gerekli İlkeler Kılavuzu” işverenlerin afet durumlarında çalışanların kişisel verilerini nasıl işleyebileceklerini tartışır. EDPB ayrıca “Kısa Süreli ve Öngörülemeyen İşlemler İçin Kılavuz”da, afet durumlarında kişisel verilerin işlenmesinin sınırları ve kapsamı hakkında bilgi verir.
EDPB – Kısa Süreli ve Öngörülemeyen İşlemler İçin Kılavuz
Avrupa Veri Koruma Kurulu (EDPB) tarafından hazırlanmış bu kılavuz, kısa süreli ve öngörülemeyen işlemler sırasında kişisel verilerin korunmasına ilişkin bilgi sağlamaktadır. Kılavuz, afet durumları, acil durumlar, kurtarma operasyonları, sağlık hizmetleri, güvenlik önlemleri, iş sürekliliği ve benzeri durumlarda kişisel verilerin işlenmesi için bir çerçeve sunar. Kılavuz, veri sorumlularının, veri işleyenlerinin ve diğer ilgili tarafların bu tür durumlarda kişisel verilerin işlenmesi ve korunması için dikkat etmeleri gereken hususları ve adımları açıklamaktadır.
Afet durumlarında kişisel verilerin korunması için dikkat edilmesi gereken konular şunlardır:
- Kısa süreli ve öngörülemeyen işlemler için önceden belirlenmiş prosedürler hazırlanmalıdır.
- Kişisel verilerin toplama, işleme ve paylaşımı konusunda yeterli bilgiye sahip personel görevlendirilmelidir.
- Acil durumda veri paylaşımının hukuki dayanağına ilişkin açık bir mevzuat oluşturulmalıdır.
- Kişisel verilerin güvenliği ve bütünlüğü için uygun teknik ve organizasyonel tedbirler alınmalıdır.
- Kişisel verilerin toplanması, işlenmesi ve paylaşımı sınırlı olmalıdır ve sadece afetle mücadele için gerekli olan bilgiler alınmalıdır.
- Veri sahipleri, kişisel verilerinin hangi amaçla kullanıldığı ve kimlerle paylaşıldığı konusunda bilgilendirilmelidir.
- Kişisel veriler, afet sonrası normale dönüş sürecinde de korunmalıdır.
- Kişisel verilerin otomatik işleme tabi tutulması durumunda, bireylerin haklarına saygı gösterilmelidir.
- Afet durumlarında özellikle çocukların ve diğer özel grupların kişisel verileri özenle korunmalıdır.
- Kişisel veri ihlallerine karşı acil önlemler alınmalı ve gerekli raporlama süreçleri uygulanmalıdır.
VI. KIŞISEL VERILERIN GÜVENLIĞININ SAĞLANMASI IÇIN ALINABILECEK ÖNLEMLER
Yukarıda detaylıca açıklandığı ve yakın dönemde maalesef ülkemizde doğrudan yaşayarak gördüğümüz üzere, afet durumlarında kişisel verilerin güvenliği için önlemler alınması hayati öneme sahiptir. Bu önlemler, kişilerin kişisel verilerinin güvende olmasını sağlarken aynı zamanda dolandırıcılık ve diğer suç faaliyetlerinin önlenmesine yardımcı olabilir. Aşağıda afet durumlarında kişisel verilerin güvenliği için alınabilecek hukuki önlemlere ilişkin örnekler yer almaktadır:
- Kişisel verilerin güvenliği için sorumlu kişiler belirlenmelidir: Afet durumlarında, kişisel verilerin güvenliği için bir dizi sorumlu kişi belirlenmelidir. Bu kişiler, hükümet yetkilileri, kurtarma ekipleri, sağlık çalışanları ve sivil toplum kuruluşları gibi çeşitli kişileri içerebilir. Sorumlu kişiler, kişisel verilerin güvenliği için uygun önlemleri alarak, verilerin güvenliğini sağlayabilirler.
- Veri güvenliği protokolleri hazırlanmalıdır: Afet durumları sırasında, kişisel verilerin güvenliği için protokoller hazırlanmalıdır. Bu protokoller, kişisel verilerin toplanması, depolanması ve paylaşılmasını yönetir. Protokoller, verilerin güvenliğini ve gizliliğini sağlamak için tasarlanmalıdır.
- Kişisel verilerin güvenliği için teknolojik önlemler alınmalıdır: Teknolojik önlemler, kişisel verilerin güvenliğini artırabilir. Bu önlemler, verilerin şifrelenmesini, yedeklenmesini ve korunmasını içerebilir. Ayrıca, veri merkezleri gibi fiziksel önlemler de alınabilir.
- Dolandırıcılık ve sahtekarlığı önlemek için yasal tedbirler alınmalıdır: Afet durumlarında, dolandırıcılık ve sahtekarlık eğilimleri artabilir. Bu nedenle, bu tür faaliyetleri önlemek için yasal tedbirler alınmalıdır. Bu, sahte hesapları, dolandırıcılığı ve diğer su
- Bilgilendirme Kampanyaları: Afet öncesi, sırası ve sonrasında, veri sahiplerine kişisel verilerinin nasıl kullanılacağı, kimlerle paylaşılacağı, hangi haklara sahip oldukları ve bu hakları nasıl kullanabilecekleri konularında bilgilendirme kampanyaları düzenlenmelidir. Bu kampanyalar, basılı, görsel ve işitsel medya aracılığıyla yapılabilir.
- Veri İhlallerinin İzlenmesi: Veri ihlalleri, hızlı bir şekilde tespit edilerek önlenmelidir. Bu amaçla, afet durumunda veri güvenliği konusunda uzmanlaşmış ekipler oluşturulabilir.
- Güvenli Veri Depolama: Afet durumunda kişisel verilerin güvenliği için verilerin güvenli bir şekilde depolanması gerekir. Bu, yedekleme, şifreleme, firewaller ve diğer güvenlik önlemleri kullanılarak yapılabilir.
- Veri Erişiminin Kontrolü: Afet durumunda, sadece yetkili kişilerin kişisel verilere erişimi olmalıdır. Bu amaçla, kimlik doğrulama ve yetkilendirme mekanizmaları kullanılabilir.
- Yasal Düzenlemeler: Afet durumunda, kişisel verilerin korunması ile ilgili yasal düzenlemelerin yapılması gerekir. Bu düzenlemeler, kişisel verilerin işlenmesine ilişkin açık kurallar içermeli ve veri sahiplerinin haklarını korumalıdır.
VII. AFETLERDE HASSAS GRUPLAR: ÇOCUKLARIN KIŞISEL VERILERININ KORUNMASI
Afet herkes için oldukça zorlu bir dönem olmasına karşılık çocuklar gibi hassas gruplar, bu süreçte daha da savunmasız hale gelmektedir. Afetlerde çocukların kişisel verilerinin korunması, onların güvenliği açısından son derece kritik öneme sahiptir. Afetlerde çocukların kişisel verilerinin korunması, hukuki ve etik bir sorumluluktur. Bu sorumluluk, özellikle uluslararası insan hakları sözleşmeleri ve ülkelerin kendi yasaları ile belirlenmiştir. Aşağıda afet durumlarında çocukların kişisel verilerin güvenliği için alınabilecek hukuki önlemlere ilişkin örnekler yer almaktadır:
- Afetlerde, çocukların kişisel verilerinin kaybolması veya hasar görmesi olasıdır. Bu nedenle afet öncesi dönemde, yasal dayanağı olan meşru kurumlar ve yetkililer tarafından çocukların kişisel verilerinin toplanması ve saklanması değerlendirilebilir.
- Afet sonrası dönemde ise çocukların kişisel verilerinin güvenli bir şekilde saklanması, kayıp çocukların aranması, aileleriyle yeniden bir araya getirilmesi ve güvenli bir ortamda barındırılması konuları gündeme gelmektedir. Bu noktada çocuğun üstün yararı gözetilerek en üst seviyede hassasiyet gösterilmelidir.
- Afet durumlarında, çocukların kişisel verilerinin gizliliği ve güvenliği için özel önlemler alınması gerekmektedir. Bu nedenle, çocukların kişisel verilerinin paylaşımına özellikle sosyal medya platformlarından sadece gerekli durumlarda ve yasal düzenlemelere uygun olarak izin verilmelidir.
- Afet durumlarında, çocukların korunması için hukuki tedbirler alınması önemlidir. Bu tedbirler, çocukların kişisel verilerinin korunmasını ve güvenliğini sağlamak için gereklidir.
VIII. SONUÇ
Ülkemizin içinde olduğu bu afet süreci, çok daha detaylı ve kapsamlı değerlendirilerek, bu depremin bu denli bir felakete dönüşmesine sebep olan tüm unsurların çözülmesi için en üst seviyede çaba sarf edilmelidir.
Bizler de bu incelemeye katkı gösterebilmek adına, kişisel verilerin afet sırasında ve sonrasında ilgili kişiler için ne kadar hayati öneme sahip olduğu üzerinde durduk. Yazımızda incelediğimiz bazı konular: afet durumlarından kişisel verilerin önemi, işleme şartları, elde edilme, saklanma ve aktarılma süreçleri, ihlal durumları ve bunun doğurabileceği zararlar, sosyal medya paylaşımları, sahte hesaplar ve dolandırıcılık gibi gündemde olan sorunlar, dünyadaki örnekler, EDPB tarafından yayınlana kılavuzlarda tavsiye edilen önlemler, afet hallerinde çocukların kişisel verilerinin korunması şeklindeydi. Tüm bunlardan da yola çıkarak kişisel verilerin korunması kapsamında alınabilecek önlemlere ilişkin öneri niteliğinde bir liste hazırlamaya çalıştık. Umarız faydalı olur.
Hayatını kaybedenler, yaralananlar, onların yakınları, doğduğu şehri kaybedenler ve daha nicelerinin acılarını paylaşıyoruz ve bir daha bu denli bir yıkım görmemek adına elimizden gelen her önlemin alınması adına çalışmaya çalışıyoruz.
Ayrıca bakınız; https://jurcom.nl/beklenen-gdpr-kanun-teklifi-usul-kurallarinin-birlestirilmesi-gerekliligi/
