Bilişim hukuku alanında çalışmalar yapan Av. Sabire Sanem Yılmaz ile Tıp Alanınında Kişisel Verilerin Korunması kitabı hakkında konuştuk. Röportajımızda COVID-19 pandemi sürecinde işlenen sağlık verilerinden, temas takip uygulamalarından, sağlık alanında kullanılan yapay zeka teknolojisinden ve tele-tıp uygulamalarından bahsettik.
Keyifli okumalar…
Çolak: COVID-19 pandemi süreci, kitabınızın içeriğini ve kapsamını nasıl etkiledi? Bu süreçte kitabınızı çıkarırken yaşadığınız en büyük zorluk ne oldu?
Yılmaz: Kitabımı çok değerli hocam, kendini pandemi sürecinde toplumun sağlığına adayan önemli doktorlardan Prof. Dr. Cemil Taşcıoğlu hocama adadım. Pandemi sürecinde, Avrupa Konseyi’nin ve Veri Koruma Otoriteleri’nin halkın sağlığının korunmasının yanında veri koruma süreçlerini de askıya almamaları gerektiğini ilan etmeleri ile kitabımda işlediğim konular daha da anlam kazandı. Bu süreçte bu alanda çalışan tüm dostlarım kitaplarını güncellediler. Teknoloji hızla akarken bu alanın stabil kalması mümkün değil. Özellikle, mobil aplikasyonların ve bluetooth teknolojilerinin kullanılması ile hukukun da en dinamik alanı kişisel verilerin korunması ve yapay zeka (“YZ”) tabanlı araçların hukuki süreçleri.
Çolak: “Hayat Eve Sığar” uygulaması gibi temas takip uygulamalarını kişisel verilerin korunması perspektifinden nasıl değerlendiriyorsunuz?
Yılmaz: Hayat Eve Sığar uygulaması hukuksal koruma mekanizmaları çok düşünülmeden hayatımıza girdi ve şu an HES kodu almaksızın birçok kuruma giriş yapılamaz duruma gelmesi de hukuka aykırı uygulamalardan biri. Temas takip uygulamalarının en önemli başarısı bireylerin gizliliğini koruması ve bireylerde gizliliğin korunduğuna dair güven oluşturmasında yatmaktadır. Kullanılan uygulamalarda “tasarımda gizlilik” ve “varsayılanlarda gizlilik” fenomenlerinin uygulanması ve bunun kamuoyu ile paylaşılması oldukça önemli. Kullanıcının temas takip sistemlerini kullanırken karşılaşacağı riskler konusunda tam bir bilgilendirme yapılmalı ve temas takip sistemlerini kullanmadığı ya da kullanmayı tercih etmediği aşamada farklı seçenekler de sunulmalı. Bu bilgilendirmelere uygulamanın güncellendiği her aşama da dahildir ve her aşamada bilgilendirme zorunludur.
Genel anlamda bu tür uygulamaların kullanıcının kontrolüne tamamen bırakılması ve tüm yazılımın bunun üzerine yapılması gerektiğini düşünüyorum. MIT’in “Enigma Projesi” gibi. Verileri merkezi bir sisteme kaydederek ve tek bir hata noktası belirleyerek korumanız mümkün değil. Tüm herkesin açık rızasını alsanız da bu uygulamalar güvenli bir coğrafya oluşturmadığı sürece veri toplama faaliyeti hukuka aykırı olacaktır.
Çolak: Bazı durumlarda, genel nitelikteki kişisel verilerin işlenmesiyle dolaylı olarak sağlık verileri de öğrenilebilmektedir. Kişisel Verilerin Korunması Kanunu’da ve sair mevzuatta, sağlık verilerinin dolaylı şekilde öğrenilebilmesine karşı getirilen bir koruma mekanizması mevcut mudur?
Yılmaz: Böyle bir koruma mekanizması yok maalesef. Avrupa Konseyi mümkün olduğunca doğrudan veri sahibinin kendisinden veri toplanmasının altını çiziyor. Tercih edilenin bu olması ve sadece ihtiyaç duyulan ve yasal işleme faaliyeti kapsamında olan verilerin işlenmesinde yarar var. Tesadüfi olarak bu veriler veri sorumlusuna ulaştığında herhangi bir işleme faaliyeti gerçekleştirmeden imha etmesi ve imha faaliyeti kapsamında da veri sahibini bilgilendirmesi gerekir.
Çolak: Tele-tıp uygulamalarını ve uzaktan konsültasyonları kişisel verilerin korunması perspektifinden nasıl değerlendirmektesiniz? Bu tarz uygulamaları geliştirenlerin tabi oldukları yasal düzenlemeler nelerdir?
Yılmaz: Tele-tıp uygulamaları tasarlanırken Genel Veri Koruma Tüzüğü (“GVKT”) düzenlemesinde yer alan “Tasarımda Gizlilik” ilkesi çerçevesinde tasarlanması çok önemli. Ülkemizde, tele-tıp uygulamaları yapılmakla birlikte herhangi bir altyapısı olduğunu söyleyemeyiz. Acil bir yasal düzenlemeye ihtiyaç var. Hastanın tele-tıp uygulamasına giriş yapmadan önce kişisel sağlık verilerinin işlenme amaçları, yasal nedeni gibi bir çok konuda aydınlatılması ve görüntü kaydı yapılması durumunda meşru amaçlar dışında kaldığında açık rızasının alınması gerekmektedir. Hastanın görüntüsünün kayıt altına neden alındığı, konsültasyon yapılması ihtimali konusunda ayrıca bilgilendirilmesi, zorunlu işleme amaçları dışında veri kaydedilmemesi, fazladan verilerin sistemden ayıklanması ve imha edilmesi gibi hususlar burada ön plana çıkmaktadır. Bunun yanında Avrupa Komisyonu’nun Büyük Veri, Halk Sağlığı, Tele Tıp Final Raporu’nda, tıp alanında geliştirilen tüm sistemlerin başlangıçta gizliliği korumak üzere mimarisinin oluşturulması, gizlilik ihlalleri konusunda içtihat birliği çalışmalarının yapılması, yeni ve yenilikçi veri güvenliği çözümlerinin benimsenmesi hususlarına değinilmiştir. Etik ilkelerin yasal ilkeler kadar önemli olduğu da ifade edilmiştir. Gizliliği arttırıcı teknolojilerin kullanılması oldukça önemli.
Çolak: Kitabınızda yer verdiğiniz bir soruya değinmek isterim. “Unutulma hakkı, sağlık verileri için geçerli bir hak olarak gündeme getirilebilir mi?”
Yılmaz: GVKT’nin 17. maddesinde de düzenlenen Unutulma Hakkı, tüzüğün ihlal edildiği hallerde ve belli koşulların varlığı halinde kullanılabilecektir. Buradan hareketle Kişisel Verilerin Korunması Kanunu (“KVKK”) ‘nun 6. maddesinde düzenlemesini bulan “Özel Nitelikli Verilerin İşlenme Koşulları” ‘na aykırı olarak işleme faaliyeti gerçekleştirildiğinde unutulma hakkı her an kullanılabilecektir. Açık rızanın işleme için ön koşul olduğu hallerde açık rızanın geri alınması durumları için de geçerlidir bu durum. Bu hakkın, “bir verinin istediğimiz zaman istediğimiz yerden talep halinde ve her durumda kaldırılabileceği” anlamında kullanılamayacağını bilmek çok önemli. Bu konuda güncel tartışmalara baktığımda oldukça hatalı yaklaşımlar söz konusu. Silinmemesi gereken bir verinin talep halinde silinmesi de başka bir suç konusu.
Çolak: YZ’nin yol açtığı yanlış teşhis veya tedavi gibi sorunları sorumluluk hukuku perspektifinden nasıl değerlendirirsiniz? Sizce, “YZ teknolojisinin kullanıldığı süreçler bakımından rıza alımı hangi aşamada gerçekleşmelidir?”
Yılmaz: YZ tabanlı tedavi süreçleri tamamen deneyimlerin sonucu ve yüklenen verilerin doğruluğu ile başarı gösteriyor ya da hatalı veriler ile donatıldığında hatalı teşhislere neden olabiliyor. Bu nedenle bir robot doktor yerine atanmadıkça, YZ tabanlı tedavi mekanizmalarının tedaviyi gerçekleştiren doktor tarafından denetlenmesi ve komplikasyon süreçlerinin kontrol altına alınması oldukça önemli. Örneğin YZ’nin tam olarak ölçemediği, teşhis yapamadığı durumlar, ağ ya da altyapı sistemlerinin iyi çalışmadığı zamanlarda hatalı sonuçlara neden olabileceği tedaviyi gerçekleştiren organizasyon tarafından denetlenebilmeli ve raporlanmalı. Bu bağlamda kusur sorumluluktan daha ziyade kusursuz sorumluluk ilkelerinin uygulanması gerektiğini düşünenlerdenim.
Rıza, YZ süreçlerinin kullanılmasından çok önce alınmalı. KVKK açısından veri işlenmeden önce aydınlatma yükümlülüğü ve açık rıza şartları yerine getirilmeli.
Çolak: Google, Amazon gibi büyük teknoloji firmalarının her geçen yıl sağlık alanına daha fazla yatırım yaptığını gözlemlemekteyiz. Bu sayede, büyük teknoloji firmaları ciddi miktarda sağlık verisine sahip olmaktadır. Buna karşı devletlerin alması gereken ilave önlemler olmalı mıdır?
Yılmaz: Fitbit şirketini satın alan Google ve Nigthingale Projesi gerçekten sağlık teknolojisi alanında bu şirketlerin yeni bir alana adım attığının ilanı idi. Fitbit’in satın alınması Avrupa Birliği Adalet Divanı’nın ve bir çok Veri Koruma Otoritesi’nin gündemine oturdu. Burada esas problem, veri koruması açısından, satın alınan veriler nedeni ile veri sahiplerinden açık rıza alınmadığı ve aktarma grupları konusu idi. Esasında verinin endüstriyel veri haline dönüştürülmesi ve bunun yeni bir petrol kaynağı olması endişe verici. Devletlerin alması gereken önlemler elbette var ancak ütopya alanında her şey daha hızlı ilerliyor. Çok yüksek cezalar veriliyor ancak arka planda Ar-Ge çalışmaları devam ediyor. Bir yandan da Google, Amazon gibi uluslar arası veri sorumlusu olan bu şirketlerin veri madenini parlatan, tamamıyla veri sahipleri. Arama motorlarına yazdığımız her bir araştırma konusu ya da alışveriş talepleri, Profilleme yöntemi ile dijital bir otokrasi yaratma yolunda ilerliyor. Dijital hastane olma yolunda adım atan Google ile ilgili bir dizi önlem Avrupa Birliği tarafından alındı ancak yeterli değil. Neticede veri akışının coğrafyası yok. Bu durum ikili anlaşmalar ve ortak projeler ile çözülebilir. Ya da tüm ülkelerin veri koruma noktasında ortak bir politika yürütmesi de etkili olacaktır.
CODEƎRA 
Sabire Hanimin kitabi hakkında bilgi edinmemizi sağladığınız için teşekkürler. Emeğinize sağlık
LikeLike
Bu faydalı etkileşim için teşekkür ederim. Henüz kitabı okumadığım için bu konudaki görüş ve önerilerimi röportajda ki sorular ve yanıtlar üzerinden yapacağım.
“Hayat eve sığar” uygulaması neresinden bakılırsa bakılsın, hem çıkış hem de işleyiş yolu bakımından kişisel verileri korumak konusunda oldukça sorunlu. Uygulamayı indirirken verilen izinler tamamen zorunluluktan, bu sebeple açık rızadan bahsetmek mümkün değil.
Bir hekim olarak; tıbbın uzaktan /online olamayacağını, hastaya dokunmadan teşhis ve tedavinin doğru bir yöntem olmadığını dolayısıyla Tele-tıp uygulamalarının kullanım alanının oldukça kısıtlı olduğunu belirtmek isterim. Ayrıca bu uygulamaların suistimale oldukça açık bir alan olması nedeniyle (kimlik tespiti zorluğu, görüntü kaydı yapılmak istenmesi -ki bu asla gerekli değil- , hastanın uygulama kullanırken yardımcı ihtiyacı vs.) tüm altyapının tamamen hazır olmadan uygulamaya sokulmasının yanlış olduğu kanaatindeyim.
Yapay zeka tabanlı teknolojileri konusunda ise şuan için en az endişe edecek konu, kişisel verilerdir kanımca. Çok yolun başında bir teknoloji ve aşılması gereken çok zorluk var bunlar da zaman alacak işler.
Unutulma hakkı ile ilgili soruda sayın Yılmaz’ın “Silinmemesi gereken bir verinin talep halinde silinmesi de başka bir suç konusu.” şeklinde bir beyanı var. Burada geçen GEREKLİLİK kime ve neye göre belirlenir.
Konu hakkında ki yorum ve güncellemelerinizi bekliyorum sağlıkla kalın…
LikeLike