Atty. İrem Gül GENÇ
Please click here to download the article in .pdf format.
Please click here to watch the 2nd episode of our Instagram Live Broadcast Series, “The Coronavirus Pandemi in terms of the Law on Turkish Personal Data Protection”, concerning to the subject of this article.
Bilindiği üzere Covid-19 salgının dünyada ve ülkemizde görülmeye başlanması üzerine pek çok işyeri, kamu kurum ve kuruluşları bu kapsamda çeşitli önlemler almaya başlamıştır. Alınan bu önlemlerin hem ulusal hem uluslararası hukuk düzeninde de birtakım yansımaları meydana gelmiştir. Meydana gelen bu yansımalardan biri de kişisel verilerin korunması hukuku kapsamında bulunmaktadır.
Öncelikle belirtmek gerekir ki 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) ile kişisel veri kavramı hayatımıza girmiştir. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Aynı doğrultuda olmak üzere kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmıştır.
Bu kavramlar, Covid-19 sebebiyle alınan önlemler bakımından değerlendirilmesi gereken kavramlardır. Nitekim salgının kontrol altına alınabilmesi adına işletmeler, kamu kurum ve kuruluşları çalışanlarının, ziyaretçilerinin sağlık verilerini, seyahat verilerini sormaktadır. Ayrıca bazı işletmeler ile kamu kurum ve kuruluşlarına giriş esnasında termal kameralar konumlandırılarak ve/veya görevlendirilmiş kişiler vasıtası ile kişilerin ateş ölçümleri yapılmaktadır. Dolayısıyla kişilerin özel nitelikli verilerinden sağlık verisi işlenmektedir. Öte yandan kişilerin seyahat bilgileri normal şartlar altında özel nitelikli kişisel veri olmasa dahi burada asıl amaç kişinin sağlık durumuna ilişkin bilgi edinmeye çalışmak olduğu görülmektedir. Ancak buna karşılık Kişisel Verileri Koruma Kurumu’nun Kamuoyu Duyurusunda “Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanunun 5 inci maddesinde kişisel veri işleme şartlarının dikkate alınması gerekecektir.” ifadelerine yer verilerek seyahat verisinin özel nitelikli veri olarak değerlendirilmediği ifade edilmiştir.
Tam da bu aşamada belirtmek gerekir ki işletmeler, kamu kurum ve kuruluşları her ne kadar bir salgın döneminde bulunulsa dahi KVK Kanunu uyarınca minimum veri ilkesine uygun hareket etmelidir. Başka bir ifadeyle veri sorumluları Covid-19 kapsamında veri işlerken yalnızca gerekli ve ölçülü derecede veri işlemelidir. Aksi takdirde KVK Kanunu’na aykırı bir veri işleme faaliyeti gerçekleşmiş olacaktır.
Kişisel Verileri Koruma Kurumu tarafından da belirtildiği üzere, işverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu sebeple de Covid-19’dan kaynaklanan şartlar kapsamında işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri olduğu söylenebilecektir.
Bu açıklamalar özel nitelikli verilerin kural olarak açık rıza alınmadan işlenemeyeceği noktasında önem arz etmektedir. Nitekim KVK Kanunu m.6/2 “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” hükmünü ihtiva etmektedir. Dolayısıyla işletmeler ile kamu kurum ve kuruluşlarının çalışanlarının ve/veya ziyaretçilerinin sağlık verilerini işlerken bu kişilerden açık rıza alması gerekmektedir.
Her ne kadar işverenlerin Covid-19 sebebiyle kişilerden kişisel verilerini, özel nitelikli kişisel verilerini talep etmesi için haklı gerekçeleri var ise de burada KVK Kanunu’nda doğan yükümlülüklerini de yerine getirmesi gerektiğine dikkat çekilmesi gerekmektedir. Nitekim Covid-19 salgını her ne kadar hukuk dünyasında da birtakım önlemler alınmasına neden olmuş ise de KVK Kanunu da dahil hiçbir kanunun uygulanmasını durdurmamıştır. Başka bir ifadeyle işverenlerin, kamu kurum ve kuruluşlarının KVK Kanunu’nda belirlenmiş sorumluluk ve yükümlülüklerine yerine getirmeye devam etmesi gerekmektedir.
Bu kapsamda işletmeler ile kamu kurum ve kuruluşları Covid-19 sebebiyle işlemiş oldukları kişisel verileri, özel nitelikli kişisel verileri KVK Kanunu’na uygun bir biçimde işlemelidir. Burada da yukarıda belirtildiği üzere verisini işlediği kişilere karşı aydınlatma yükümlülüğü ile özel nitelikli kişisel veriler bakımından – sağlık verileri- açık rıza alma yükümlülüğünü yerine getirmekle mükelleftir.
Ancak burada KVK Kanunu m.6/3 “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmüne de değinilmesi gerekmektedir. Söz konusu hükme göre özel nitelikli verilerin sır saklama yükümlüsü olan kişiler –doktorlar, iş yeri hekimleri vb. gibi- açık rıza almaksızın işlenebilmesi mümkündür. Dolayısıyla işletmeler, kamu kurum ve kuruluşları girişlerde ateş ölçümlerini işyeri hekimlerine yaptırarak açık rıza almadan veri işleme külfetinden kurtulabilecektir.
Ne var ki Covid-19 salgını sebebiyle tüm doktorların, işyeri hekimlerinin salgını önlemek adına çalıştığı dikkate alındığında ateş ölçümlerinin gün boyunca işyeri hekimi tarafından yapılması pek mümkün görünmemektedir. Nitekim halihazırda da çoğu işyeri bu faaliyetleri güvenlik görevlileri vasıtasıyla gerçekleştirmektedir. Bu sebeple de işverenlerin açık rıza alma yükümlülüklerin devam ettiği söylenebilmektedir.
Öte yandan sıkça gündeme geldiği üzere işverenlerin elde etmiş olduğu kişilerin pozitif Covid-19 bilgilerinin diğer çalışanlar ile ya da yetkili merciler ile paylaşılıp paylaşılmayacağı hususunun değerlendirilmesi gerekmektedir.
Yukarıda belirtildiği üzere işveren, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yükümlülüklerini yerine getirmekle mükelleftir. Dolayısıyla işverenler çalışanlarının sağlığının korunması adına pozitif vakaları diğer çalışanlar ile paylaşabilecektir. Ancak bu bilgilendirmeyi yaparken KVK Kanunu kapsamında belirtilen esasları dikkate alacaktır. Başka bir ifadeyle işveren zorunlu olmadığı takdirde pozitif vaka olarak tespit edilen çalışan ismini ya da kişiyi belirli kılacak herhangi bir bilgiyi diğer çalışanlar ile paylaşmadan bilgilendirme yapmalıdır. Bu kapsamda Kişisel Verileri Koruma Kurumu “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” örneği ile bilgilendirmenin nasıl yapılabileceğini belirtmiştir. Buna karşılık salgın bakımından gerekli önlemlerin alınabilmesi adına Covid-19’un bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinde ve bu şekilde diğer çalışanlara bilgi verilmesinde fayda görülmektedir.
Aynı doğrultuda olmak üzere işverenler hem çalışanların sağlığını hem de kamu sağlığını korumak adına Covid-19 bulaşan kişilerin bilgilerini KVK Kanunu 8. madde” (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.” uyarınca yetkili merciler ile paylaşılabilecektir. Nitekim 1593 sayılı Umumi Hızıssıha Kanunu m.64 “57 nci maddede zikredilenlerden başka her hangi bir hastalık istilai şekil aldığı veya böyle bir tehlike baş gösterdiği takdirde o hastalığın veya her hangi bir hastalık şeklinin memleketin her tarafında veya bir kısmında ihbarı mecburi olduğunu neşrü ilâna ve o hastalığa karşı bu kanunda mezkür tedabirin kaffesini veya bir kısmını tatbika Sıhhat ve İçtimai Muavenet Vekaleti salahiyettardır.” başta olmak üzere ilgili düzenlemeler uyarınca da salgın hastalıklara ilişkin bilgilerin yetkili kurumlar ile paylaşılması gerekmektedir.
Bu aşamada belirtmek gerekir ki Covid-19 sebebiyle işlenen kişisel veri ve özel nitelikli kişisel verilerin işleme sebebinin ortadan kalkması üzerine KVK Kanunu m. 7 uyarınca imha edilmesi gerekmektedir. Ancak söz konusu verilerin Kişisel Sağlık Verileri Hakkında Yönetmelik m.16 “(1) Kanunun 28 inci maddesinin birinci fıkrasının (b) bendi kapsamında veri sorumlusu tarafından anonim hâle getirilen kişisel sağlık verileri ile bilimsel çalışma yapılabilir. (2) Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi kapsamında kişisel sağlık verileri, ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla alınacak teknik ve idari tedbirler çerçevesinde, bilimsel amaçlarla işlenebilir.” Hükmü uyarınca veri sorumlusu işletme, kamu kurum ve kuruluşları tarafından anonim hale getirilerek bilimsel amaçlar ile kullanılması mümkün olabilecektir.
Sonuç olarak Covid-19 salgını sebebi ile kamu sağlığının korunması adına işletmeler ile kamu kurum ve kuruluşlarının KVK Kanunu ve ilgili sair mevzuata uygun bir biçimde kişisel veri, özel nitelikli veri işlemesi mümkündür. Ancak burada aydınlatma yükümlülüğünü ve özel nitelikli veriler bakımından açık rıza alma yükümlülüğünün yerine getirilmesi gerekmektedir. Öte yandan yine KVK Kanunu ve ilgili sair mevzuata uygun bir biçimde elde etmiş olduğu kişisel verileri gerekli olması durumunda diğer çalışanlar ve/veya yetkili merciler ile paylaşabilecektir.
KAYNAKÇA
- 6698 Sayılı Kişisel Verileri Koruma Kanunu, Kişisel Sağlık Verileri Hakkında Yönetmelik ve ilgili mevzuat
- 1593 sayılı Umumi Hızıssıha Kanunu
- Kişisel Verileri Koruma Kurumu Kamuoyu Duyurusu, Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler
- Doç. Dr. Murat Volkan DÜLGER; Covid-19 Pandemisine İlişkin Kişisel Verileri Koruma Kurulu’nun Son Duyurusu Hakkında Değerlendirme
Av. İrem Gül GENÇ
(Katkıları için Gültekin & Genç & Polat Hukuk ve Danışmanlık Bürosuna teşekkür ederiz!)