Koronavirüs (Covi-19) Salgını Sebebiyle İşlenen Verilerin Kişisel Verilerin Korunması Kanunu Bakımından İncelenmesi
Bilindiği üzere, Kişisel Verilerin Korunması Kanunu (“KVKK”), kişilerin sahip olduğu her türlü veriyi korumayı amaçlar ve bu konuyla ilgili kişilerin haklarını düzenlemektir. KVKK mevzuatına ve bu kapsamda Kişisel Verilerin Koruma Kurumu’nun (“Kurum”) vermiş olduğu güncel kararlar ile KVKK ile ilgili birçok doküman ve bilgilendirme rehberine Kurum’un web sitesinden[1] ulaşabileceğinizi belirtmek isteriz.
Ülkemizde de tüm dünya genelinde mücadele edilen Koronavirüs (Covid-19) salgının yayılmasını önlemek adına çeşitli önlem ve tedbirler alınmakta olup bahse konu tedbirlerin uygulanması sırasında elbette gelişen teknolojik imkânlardan faydalanılmaktadır. Nitekim kullanılan mobil uygulamalar ve bu kapsamda veri işleyen kurum ve kuruluşların ortak sistemler aracılığı ile hem Koronavirüs hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir. İşlenen verilerin hâlihazırda toplum sağlığının korunmasına yönelik olduğu şüphesizdir. Ancak bu durumda dahi, kişisel verilerin güvenliğinin gözetilmesi gerektiği de tartışmasızdır.
Ülkemizde ilk kez yaşanan böylesi salgın hastalık tehlikesi sebebiyle alınan tedbirler ve bu kapsamda işlenen kişisel veriler bakımından güncel olarak tartışmaya açık meselelere ilişkin birçok konuya genel ve kesin bir cevap vermek mümkün olmamakla birlikte görüşlerimizin yer aldığı soru – cevap şeklindeki çalışmamızı bilgilerinize sunarız.
1. Özel nitelikli veri niteliğindeki sağlık verilerinin kişinin açık rızası olmadan işlenmesi mümkün müdür?
KVKK’nın 6. maddesinde kişilerin sağlığı ile ilgili verilerinin özel nitelikli kişisel veri olduğu, özel nitelikli verilerin açık rıza olmadan işlenemeyeceği düzenlenmiştir. Aynı maddenin 3. fıkrasında sağlık verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği de ayrıca belirtilmiştir.
Koronavirüs salgını ile mücadele sürecinde, kamu sağlığının korunması bakımından üstün yarar söz konusu olduğundan, T.C. Sağlık Bakanlığı ile ilgili madde kapsamına giren kişi, kurum ve kuruluşların kişilerin sağlık verilerini işlenmesi hukuka uygundur.
Ancak Koronavirüs teşhisi konulan kişilerin verileri, açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir. Nitekim bu kapsamda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların Türk Ceza Kanunu’nun 136. maddesi kapsamında suç teşkil edebileceğini belirtmek isteriz.
2. Sağlıkla doğrudan ilgili müdahaleci yöntemlere alınan verilerin işlenmesi KVKK’ya uygun mudur?
T.C. İçişleri Bakanlığı Özel Güvenlik Denetleme Başkanlığı’nın özel güvenlik görevlilerinin görev yaptıkları işyerlerine/alanlara giriş yapacak kişiler üzerinde önceden eğitimi verilmek üzere termal kamera ve gelişmiş ateş ölçerler ile uygulama yapabilecekleri yönünde bir emir yayınlamıştır. Bu uygulama her ne kadar KVKK’ya aykırılık teşkil etmekte ise de, hâlihazırda birçok kurum tarafından uygulanmaktadır.
Bu noktada Koronavirüs salgını ile mücadele eden diğer ülkelerdeki uygulamalara bakmak faydalı olacaktır. Örneğin; İtalyan Veri Koruma Otoritesi Garante, 02 Mart 2020 tarihinde COVID-19’un önlenmesi amacıyla işverenlerin “kanun tarafından açıkça düzenlenmedikçe veya yetkili makamlar tarafından talep edilmedikçe işverenlerin sistematik olarak kişisel veri toplamamaları gerektiğini” hususunda bir açıklama yaparak, kişisel veri işlenmesinde aranacak hukuka uygunluk sebebi oluşturmadığını belirtmiştir. Ancak durumun ciddiyetinin artmasından İtalya’da resmi bir düzenleme yapılarak; kişisel verilerin toplanmasına ve işlenmesine dair işyerleri için çalışma alanına giriş yapılmadan önce herkesin vücut ısılarının ölçülmesini ve buna göre önlemler alınmasını, ilgili kişilerden seyahat bilgisi ile enfekte olmuş kişiler ile temas edilmemiş olduğuna dair beyan alınmasını mümkün kılmıştır.
Ülkemizde de, havaalanları, otogarlar, banka ve kargolar gibi birçok kişinin giriş-çıkış yaptığı alanlarda, çalışanların, müşterilerin ya da ziyaretçilerin ateşlerinin ölçülmeye başlandığı dikkat çekmektedir. Öncelikle belirtmek gerekir ki, resmi kurumlarca bu yönde bir düzenleme olmadığı sürece, ateş ölçümü gibi sağlıkla doğrudan ilgili müdahaleci yöntemler yerine, daha genel önleyici tedbirlerin (dezenfekte uygulamaları veya sınırlı sayıda işçi, müşteri veya ziyaretçi alınması gibi) gerektiğini ifade etmek isteriz.
Ayrıca ateş ölçülmesi gibi sağlık ile ilgili tedbirlerin alındığı yerlerdeki kişisel verilerin sistematik biçimde işlenip işlenmediği de önem arz etmektedir. KVKK kapsamına giren bu gibi veri işleme faaliyetleri için her zaman ilgili kişilere aydınlatma yapılması ve elde edilen veriler sadece bulaşıcılığın önlenmesi amacı ile sınırlı olarak kullanılması gerekmektedir. Diğer bir ifadeyle, ateş ölçümü yapılan kişi verilerinin ateş yüksek olmadığı müddetçe saklanmaması derhal imha edilmesi gerekmektedir. Buna karşın, ilgili kişiden ait ateş bilgisi ve yakın zamanda geçirilen hastalıklara ilişkin bilgi talep edilmesi halinde ise aydınlatma yükümlülüğünün yanı sıra açık rıza alınması gerekecektir. Zira KVKK’nın 6/3. maddesi uyarınca, istisna hallerine girmesi halinde dahi sağlık verilerinin yalnızca sır saklama yükümlülüğü altında olan kurum ve kuruluşlar tarafından işlenebileceği düzenlenmiştir. Bu nedenle, hastalık ve ateş bilgisi gibi sağlık verileri işlenirken her halükarda açık rıza alınması gerekeceğini belirtiriz.
3. İşverenler, Koronavirüs salgınının yayılması önlemleri kapsamında çalışanlarının sağlık verilerini işleyebilir mi?
Bilindiği üzere, işverenler, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun 4. maddesi uyarınca, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlüdür. Bu sebeple işverenler Koronavirüs salgınının işyerinde yayılmasını önlemek ve çalışanlarının sağlığını korumak amacıyla önlemler alması gerektiği tartışmasızdır.
Ülkemizde birçok işveren, ilk olarak çalışanlarının birbiriyle temasını engellemek için evden çalışma uygulamasına geçilmesine karar vermiştir. Ancak her işveren evden çalışma kararı almadığı gibi bazı işler ve meslek gruplarının evden çalışması niteliği gereği mümkün değildir. Bu kapsama giren işverenlerin bazıları, çalışanlarının işyerine geldiği esnada ilk olarak ateşini ölçerek Koronavirüs belirtisi gösterip göstermediğini tespit etmeye çalışmakta, bazıları ise, ateş ölçümüne ek olarak çalışanın son dönemde yurt dışına çıkıp çıkmadığına yönelik sorular sorabilmektedir. Ancak işverenlerin bu kapsamda öncelikli olarak çalışanlardan kişisel veri toplamak yerine ilgili salgın hastalığa dair eğitimler ve somut talimatlar aracılığıyla çalışanları, maske kullanmaya ve hastalık durumunda evde kalmaya teşvik etmesi gerektiği kanaatindeyiz.
Bu bağlamda, işverenler, Koronavirüsün yayılmasını önleme amacına yönelik gerçekleştirilen tüm veri işleme faaliyetlerini, amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmesi gerekmekte ve veri işleme amacının ortadan kalkmasının akabinde kişisel verileri derhal imha edilmelidir.
Ayrıca, işverenlerin her daim KVKK’yı dikkate alarak öncelikle sağlık verilerinin işleneceğine dair aydınlatma metinleriyle bilgilendirme yapması, bahsedilen müdahalelerinse gerektiği ölçüde uygulanması gerekmektedir. Ayrıca işverenler, bahse konu tedbirlerin uygulanması esnasında sağlık verisi başta olmak üzere kişisel verilerinin işlenmesinin söz konusu olması halinde çalışanlarının açık rızalarını da almakla yükümlüdür. Diğer bir deyişle, Koronavirüs salgını ile mücadele sırasında alınan tüm önlemlerin uygulanması sırasında KVKK’da belirtilen yükümlülüklere uygun hareket edilmelidir.
4. İşverenler alınan önlem ve tedbirler kapsamında çalışanlarının lokasyon ve seyahat verilerini tutabilirler mi?
İşverenlerin, çalışanlarından konum ve seyahat bilgilerini talep edilmesi halinin açık rızanın istisnalarından olan “meşru menfaat” kapsamına gireceği dolayısıyla yalnızca aydınlatma yükümlülüğünün yerine getirilerek bu bilgilerin temin edilebileceğini belirtiriz. Bununla birlikte veri sorumlusu işverenlerin, söz konusu verileri işlerken, KVKK’nın 4. maddesindeki genel ilkelere ve KVKK’nın 5. maddesinde sayılan kişisel veri işleme şartlarına uygun davranması gerekmektedir. Bu çerçevede işverenler söz konusu verileri hukuka ve dürüstlük kurallarına uygun ve doğru ve güncel bir şekilde ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlemelidirler. Dolayısıyla veri sorumlusu işverenler çalışanların lokasyon ve seyahat verilerini, yalnızca Koronavirüs salgını ile mücadele etmek ve işyerinde gerekli önlemleri alabilmek için yeterli ve gerekli ölçüde almalı ve işlemeli; gerektiğinden fazla kişisel veri işlememelidir. Örnek vermek gerekirse, çalışanın salgının ortaya çıktığı dönemde hangi ülkelere seyahat ettiği bilgisini talep etmesi makul kabul edilebilecekken ilgili ülkede bulunulan spesifik adresin talep edilmesinin ölçülülük sınırını aştığı kabul edilebilir.
5. Koronavirüs testi pozitif çıkan veya semptomları gösteren çalışanlar bakımından işverenin yükümlülükleri nelerdir?
Bir işyerinde, Koronavirüs testi pozitif çıkan ya da salgın hastalık semptomları gösteren çalışan ile sadece sır saklama yükümlülüğü olan işyeri hekiminin temas kurması ve işyeri hekimin durumu derhal ilgili sağlık kurumları ve talepte bulunan kamu kurumları ile paylaşması gerekmektedir. İşyeri hekimi bulunmayan işyerlerinde ise bu faaliyetler, işverenin çalıştığı ve yine sır saklama yükümlülüğü bulunan bir hekim veya yetkili kurum aracılığı ile gerçekleştirmelidir.
Ayrıca çalışanlarından birinin test sonucunun pozitif çıkması durumunda, işverenin, iş sağlığı ve güvenliği kapsamında salgına yakalanan kişinin kimliğini bildirmeden, durumu diğer çalışanlara ve çalışanın özellikle yakın ilişkide bulunduğu kişilere, işyeri hekimi aracılığıyla veya doğrudan genel bir bilgilendirme ile aktarması uygun olacaktır. Hatırlatmak gerekir ki, bu bilgilendirme de KVKK’daki sır saklama yükümlülüğüne ve ölçülülük ilkesine uygun olarak yapılmalıdır.
Ayrıca çalışan, çalışan yakını veya üçüncü kişinin Koronavirüsü taşıdığının tespiti halinde Hıfzıssıhha Kanunu’nun 61. maddesine göre gecikmeden işyeri hekimi aracılığıyla yetkili kurumlara bildirim yapılması gerektiğini de önemle belirtiriz.
6. Kamu kurum ve kuruluşları sağlık verisi ve diğer kişisel verileri işleyebilir mi? İşverenler, çalışanlarına ilişkin kişisel verileri yetkili kamu kurum ve kuruluşları ile paylaşabilirler mi?
KVKK’nın 28. Maddesinde KVKK’nın uygulanmayacağı (istisna) durumlar tek tek belirtilmiştir. Nitekim KVKK’nın 28/1(ç). maddesi uyarınca kişisel verilerin “kamu güvenliğini sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” durumu istisna olarak düzenlenmiştir. Nitekim Dünya Sağlık Örgütü (DSÖ) tarafından ilan edilen uluslararası kamu sağlığı acil durumu kapsamında Koronavirüs salgının KVKK’nın 28/1(ç) maddesinde sayılan istisnasından yararlanabileceği düşünülmektedir. Dolayısıyla yetkili kamu kurum ve kuruluşlarının kamu güvenliği amacıyla yapacakları veri işleme faaliyetleri, KVKK’nın kapsamı dışında kalacaktır.
Bu kapsamda yetkili kamu kurum ve kuruluşlarının söz konusu faaliyetler çerçevesinde işverenlerden çalışanlara yönelik verilerin paylaşılmasını istemesi halinde işverenlerin çalışanlarının kişisel verilerini paylaşmasında bir engel bulunmadığı kanaatindeyiz. Talep edilen kişisel verilerin özel nitelikli veri olmaması halinde, işverenler, kişisel verileri KVKK’nın 5/2(ç). maddesi uyarınca “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartı çerçevesinde ilgili kurum ve kuruluşlarla paylaşabilecektir. Talep edilen verilerin sağlık verisi gibi özel nitelikli veriler olması durumunda ise, söz konusu veriler ancak KVKK’nın 6/3. maddesi uyarınca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından talep edilmesi halinde paylaşılabilecektir.
7. Sağlık kuruluşları önceden izin almaksızın COVID-19 ile ilgili kişilerle iletişim kurabilir mi?
Belirtmek gerekir ki, hekimlerin Koronavirüs teşhisi konulan hastalarını, T.C. Sağlık Bakanlığı’na bildirmesi zorunludur. Dünya kapsamında olduğu gibi, Türkiye’nin de kamu sağlığını ve kamu düzenini sağlamak ile ilgili yükümlülükleri bulunmaktadır. Bu sebeple tüm kamu kurum ve kuruluşları, kamu sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin işlenmesine ve paylaşılmasına ihtiyaç duyabilecektir. Bu çerçevede, sağlık kurum ve kuruluşlarının ilgili kişilere telefon, mesaj veya e-posta yoluyla kamu sağlığı ile ilgili mesajlar göndermesi yahut sır saklama yükümlülüğü bulunan aile hekimleri aracılığıyla iletişime geçmeleri, KVKK açısından bir aykırılık teşkil etmeyecektir. Zira uygulamada da, Koronavirüs testi pozitif çıkan kişiler ve yakınları ile aile hekimi vasıtasıyla iletişime geçilmektedir.