Kişisel Verilerin Korunması Kanunu Kapsamında Corona Virüsü (Covid-19) Uygulamalarının Değerlendirilmesi
Nisan 2020, Erdemir&Özmen Avukatlık OrtaklığıKişisel Verilerin Korunması Kanunu Kapsamında Corona Virüsü (Covid-19) Uygulamalarının Değerlendirilmesi
Dünya Sağlık Örgütü tarafından pandemi olarak ilan edilen corona virüsü salgını ile mücadele sürecinde ülke çapında alınan tedbirler gereği, kişilerin başta sağlık verileri olmak üzere birçok kişisel verisi toplanmakta, işlenmekte, aktarılmakta ve saklanmaktadır. Bu nedenle bu kişisel veri işleme faaliyetlerinin 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında değerlendirilmesi gerekmektedir.
Corona virüsü salgını sebebiyle idari makamlar tarafından alınan tedbirlere ek olarak işyerlerinde veya çeşitli alanlarda şirketler/işverenler tarafından çalışanlarının, müşterilerinin ve diğer iş ortaklarının sağlıklarını korumak amacıyla belirli olağanüstü tedbir uygulamalarına başlanılmıştır. Bu ek tedbirler kapsamında örneğin; çalışanların, müşterilerin ya da diğer iş ortaklarının işyerlerine girerken ateş ölçümleri yapılmakta ya da bir takım formların doldurulması beklenmektedir.
Salgın Sebebiyle Sağlık Verileri İşlenebilir mi?
Sağlık verileri, özel nitelikli kişisel veriler olarak kabul edilmektedir ve diğer kişisel verilere göre çok daha fazla koruma altında tutulması, özenle işlenmesi gerekmektedir. Nitekim KVKK’nın ve Kişisel Verileri Koruma Kurulu’nun kararları ile rehberlerinde bu husus sıkça vurgulanmaktadır. Zira sağlık verileri, niteliği itibariyle bir kişiye ait en mahrem bilgileri içermektedir, bu nedenle gizliliğinin en yüksek güvenlik önlemleriyle korunması şarttır.
Bilindiği üzere, corona virüsü salgını sebebiyle birçok kişinin sağlık verileri gerek sağlık kuruluşlarında, gerek sağlık çalışanlarının veya idari personelin müdahale ettiği diğer mekanlarda, gerekse de işverenlerce iş yerlerinde işlenmektedir. Bu nedenle, kişisel sağlık verilerinin bu şekilde işlenmesinin hukuka uygunluğu tartışma konusu olmuştur.
Hâlihazırda Corona virüsü salgını ile ilgili Kişisel Verileri Koruma Kurumu tarafından özel bir düzenleme yapılmamış olsa da, kişisel verilerin KVKK ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmesi gerektiği açıktır. KVKK’da “Özel Nitelikli Kişisel Veri” olarak nitelendirilen sağlık verilerinin bu kapsamda belirlenen özel hükümlere de uygun olarak işlenmesi temel esastır. Bu süreçte, şirketlerin/işverenlerin işlediği kişisel sağlık verileri bakımından dikkat edilmesi gereken hususlar vardır. Öncelikle, veri sorumluları şirketler/işverenler ve onların adına kişisel verileri işlemekle görevlendirilen veri işleyenler, çalışanlarının, müşterilerinin, ziyaretçilerinin veya iş ortaklarının özel nitelikli kişisel veri niteliğindeki sağlık verilerini ve diğer kişisel verilerini işleyebilmeleri için bu durumun meşru bir amaç olan iş yeri sağlığı ve güvenliğinin gerçekleştirilmesi amacıyla olması gerekir. Bu bakımdan salgın hastalık sebebiyle meşru bir amacın olduğu ortadadır. Bununla birlikte, işleme amacı olan salgın hastalığın yayılmasının önlenmesi ve tedavisi kapsamıyla bağlantılı, sınırlı ve ölçülü şekilde kişisel verilerin işlenmesi gerekmektedir. Salgın hastalık haliyle alakasız olan sağlık verileri veya diğer kişisel veriler işlenmemeli, gereğinden fazla işleme faaliyetinden kaçınılmalıdır.
Bununla birlikte, gerektiği durumlarda KVKK hükümlerine uygun şekilde işlenen kişisel sağlık verilerinin güvenliğinin sağlanmasına yönelik gerekli tüm idari ve teknik tedbirlerin en üst düzeyde alınmasına özen gösterilmesi de önem arz etmektedir.
Sağlık Verilerinin İşlenmesinde Herhangi Bir Sınırlama Var Mıdır? Nelere Dikkat Edilmelidir?
KVKK’da kişisel verilerin ve özel nitelikteki kişisel verilerin kanuna uygun olarak işlenme şartları düzenlenmekle birlikte, özel nitelikli kişisel verilerin işlenmesi daha hassas koşullara bağlanmıştır. Bu kapsamda, özel nitelikteki kişisel verilerin kişinin açık rızası olmaksızın işlenmesi kural olarak yasaklanmıştır. Ancak bu kuralın istisnaları da vardır. Buna göre, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunda öngörülen hallerde ilgili kişilerin açık rızası olmadan işlenebilecektir.
Sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir.
Bu çerçevede, mekanlarda, özellikle işyerlerinde kişisel sağlık verileri işlenirken KVKK’ya uyulması gerekmektedir. Örneğin; işyerlerine girerken ateş ölçüm verilerinin alınması her ne kadar çalışanların ve kamunun sağlığını korumaya yönelik bir amaç taşısa da KVKK’da belirtilen şartların varlığı aranmalıdır.
Diğer bir deyişle, mevcut durum kapsamında sağlık verileri ancak kişinin açık rızasının alınması veya açık rıza alınmaksızın kamu sağlığının korunması amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir. Dolayısıyla, sağlık verisi olarak işyerinde veya bir alanda bulunan kişilerin corona virüsü hastalığını veya belirtilerini taşıyıp taşımadığına dair her türlü veri ile vücut ısısı ölçüm bilgilerinin toplanması ve salgın risk tespiti bakımından veri sorumlusu tarafından zorunlu bir önlem olarak değerlendirilmesi mümkündür. Bu şekilde toplanan kişisel sağlık verilerinin, KVKK m.6/f.3 gereğince, kamu sağlığının korunması koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlendiği kabul edilmektedir. Ancak, sağlık verilerinin işyeri hekimi vasıtası ile sadece işyeri hekimlerinin erişimi ile işlenmesi gerekmektedir.. Söz konusu sağlık verilerinin iş yeri hekimleri ile işlenmesinin mümkün olmadığı durumlarda mümkünse açık rıza alınması veya hastanın kendisinin doğrudan bildirimde bulunması aranmaktadır. Ancak KVKK’da açık bir hüküm bulunmamakla birlikte, acil durumlarda yorum yoluyla KVKK m.5/f.2/(b) gereği; fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması şartı uygulanarak kişisel sağlık verilerinin ölçülü şekilde son çare olarak işlenebileceği de kabul edilebilir. Sağlık verilerinin dışında kişinin en son hangi ülkeye seyahat ettiği veya işyerindeki pozisyonu, bulunduğu işyerindeki departmanlar ve temas ettiği kişi bilgileri gibi bilgiler özel nitelikli kişisel veriler olmadığından bu verilerin işlenmesinde açık rıza alınması gerekmemektedir.
Kişisel sağlık verilerinin işlenmesi ile ilgili en önemli hususlar ise bu verilerin gizliliğinin sağlanarak korunması ve imha edilmesidir. Bu doğrultuda, Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler[1]" dikkate alınmalıdır. Bu kapsamda başlıca uyulması gereken tedbirler; özel nitelikli kişisel verilerin işlenmesine dair politika ve prosedürlerin belirlenmesi, bu tür verilerin işlenme aşamalarında yer alan kişilere düzenli olarak veri güvenliği eğitimleri verilmesi, bu kişilerle gizlilik sözleşmelerinin yapılması, bu kişilerin ilgili verilere erişirken yetki kapsamları ile sınırlarının belirlenmesi, yetki kontrollerinin periyodik olarak yapılması, görev değişikliği olması halinde eski yetkilerin kaldırılması ile bu kişilere verilen belge ya da envanterlerin iade alınması gibi tedbirlere uyulması olarak sayılabilir. Bununla birlikte, özel nitelikli kişisel veriler kriptografik yöntemlerle muhafaza edilmeli ve işlem kayıtları güvenli şekilde loglanmalıdır. Özel nitelikli kişisel verilerin fiziksel ortamda saklanması halinde yeterli güvenlik önlemlerinin alınmış olmasına su baskını, yangın, vb. durumlara karşı korunmasına ve bu ortamlara yetkisiz giriş çıkışın engellenmesine dikkat edilmelidir. Özel nitelikli kişisel verilerin aktarılması da yine yüksek güvenlik düzeyi sağlanarak yapılmalıdır.Bütün bunlarla birlikte tartışmalara açıklık getirmek amacıyla, corona virüsü salgını ile mücadele sürecinde dikkat edilmesi gereken hususlarla ilgili 27.03.2020 tarihinde Kişisel Verileri Koruma Kurumu tarafından “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı bir duyuru yayımlanmıştır.[2] Buna göre, aşağıda detaylı olarak açıklanan hususlara açıklık getirilmiştir.
Sağlık Verilerinin Paylaşılması
Salgın hastalık durumu sebebiyle belirli alanlarda bulunan kişilerin sağlık verilerinin gerektiğinde kamu kurum ve kuruluşları ile paylaşılması gerekecektir. Bu durumda, KVKK m.28/f.1/(ç) bendi uyarınca:
“Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz: … ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi… ”
şartının mevcut olduğu ve bu nedenle KVKK’nın uygulanmayacağı açıktır. Bu çerçevede, şirketlerin veya işverenlerin işyerlerinde ya da çeşitli alanlarda bulunan kişilerin her türlü kişisel verisini yetkili kamu kurum ve kuruluşları ile paylaşmasında hiçbir engel ve sakınca yoktur. Burada belirleyici ölçüt, kamu güvenliğinin sağlanması amacıyla sınırlı olarak kişisel verilerin aktarılmasıdır.
Aydınlatma Yükümlülüğü
Veri sorumluları, kişisel verileri işlemeden önce veya en geç işleme anında veri sahibi olan ilgili kişilere bu kişisel verileri hangi amaçla topladığı ve ne kadar süre ile saklayacağı dahil olmak üzere kişisel veriyle ilgili bilgilendirmeyi yapmak zorundadır. Bu süreçte de veri sorumlularının aydınlatma yükümlülüğünü yerine getirmesi; kolay anlaşılır ve açık bir dille bilgilendirme yapması gerekmektedir. Bununla birlikte, aydınlatma yapıldıktan sonra sağlık verileri açısından yukarıda açıkladığımız koşullar kapsamında gerekli ise, ilgili kişilerden açık rıza alınmalıdır.
Bununla birlikte aydınlatma yapılırken, içinde bulunduğumuz bulaşıcı hastalık halinin ciddiyeti gereği, 5237 sayılı Türk Ceza Kanunu’nun 195. maddesi kapsamında bulaşıcı hastalıklara ilişkin tedbirlere aykırı davranılmasının suç olduğunun hatırlatılmasını öneririz.
Gizlilik
Herhangi bir veri işleme faaliyetinde, veri sorumlusu tarafından veri güvenliğine ilişkin gerekli idari ve teknik tedbirler alınmak zorundadır. Bu kapsamda, corona virüsü taşıyan bir çalışanın isim, soy isim bilgileri açık ve zorunlu bir gerekçe olmaksızın üçüncü kişilerle paylaşılmamalıdır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
İşlenen kişisel veriler yalnızca salgın dolayısıyla alınması gereken tedbirlerin gerektirdiği müddet veya mevzuatta herhangi bir süre öngörülmüşse öngörülen süreler kadar saklanmalı daha sonra Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak imha edilmelidir.
Kişisel Verileri Koruma Kurulu’nun 27.03.2020 Tarihli Duyurusu’nda Yanıtlanan Sorular ve Cevapları
27.03.2020 tarihinde Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı duyuru kapsamında sıkça sorulan sorulara cevaplar verilmiştir[3], böylelikle birçok husus açıklığa kavuşturulmuştur. Bu hususlar aşağıdaki şekilde anılan duyuru metninden alıntılanmıştır:
“Bir sağlık kuruluşu önceden izin almaksızın COVID-19 ile ilgili kişilerle iletişim kurulabilir mi?
Yönetimlerin, COVID-19 virüsü gibi küresel salgın boyutuna ulaşan durumlarda kamu sağlığını ve kamu düzenini sağlamak ile ilgili yükümlülükleri bulunmaktadır. Kamu kurum ve kuruluşları, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir.
Bu çerçevede, ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kişisel Verilerin Korunması Kanunu açısından bir engel bulunmamaktadır.
Salgın sırasında kuruluşların personelinin çoğunun evden çalıştığı bilinmektedir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?
Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir. Salgın sırasında personel evden çalışabilir ve kendi cihazlarını veya iletişim ekipmanlarını kullanabilir. Kişisel verilerin korunması mevzuatı bunu engellemez, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.
Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir.
Ancak unutulmamalıdır ki, çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.
Bir işveren, bir çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilir mi?
İşveren, vakalar hakkında personeli bilgilendirmelidir. Bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görülmektedir. İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları bulunmaktadır.
Bu kapsamda ilk etapta işverenler tarafından örneğin “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” şeklinde açıklamalarda bulunulması yoluna gidilebilir.
Yukarıdaki örnekte olduğu gibi, bir kurum, kuruluş veya şirket içerisinde yapılacak duyurularda çalışanlara COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır.
Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilir mi?
İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir.
Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.
Kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.
İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle paylaşılabilir mi?
Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.
Salgın sırasında, kuruluşların geçici olarak kapatıldığı veya veri sorumlularının ilgili kişilerin taleplerini yerine getirme kapasitesinin COVID-19 nedeniyle kısıtlandığı durumlarda, zaman çizelgelerine göre ilgili kişilerin başvurularına yanıt verme ve Kurumumuza karşı yükümlülükleri kapsamında Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta belirtilen süreler hala geçerli midir?
Kişisel verilerin korunması mevzuatı kapsamında Kurumumuza intikal eden şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurumumuza gerek ilgili kişilere karşı yükümlülükleri açısından Kanunda ve ilgili alt düzenlemelerde çeşitli süreler belirlenmiş olup, veri sorumluları tarafından bu sürelere riayet edilmesi önem arz etmektedir.
Kanun ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu değildir, ancak Ülkemizin içinde bulunduğu bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşullar gözetilecektir.”
Sonuç
Özetle, corona virüsü salgını ile mücadele sürecinde, şirketlerin veya işverenlerin, iş yerlerinde ya da çeşitli alanlarda bulunan kişilerin sağlık verilerini işleme süreçlerinde KVKK’ya uygun şekilde; mümkün olduğu ölçüde veri sahibi ilgili kişileri veri işleme süreci hakkında bilgilendirdikten sonra bu kişilerden açık rızalarını almaları, varsa işyeri hekimleri aracılığıyla bu süreçleri yürütmeleri, sağlık verilerini üst düzey güvenlik önlemlerini temin ederek muhafaza etmeleri, gerektiğinde yetkili kamu kurum ve kuruluşlarıyla bu bilgileri paylaşmaları, yalnızca salgın hastalığın tedavisi ve yayılmasının engellenmesi amacıyla sınırlı şekilde veri işlemeleri ve bu verileri gerektirdiği süre kadar saklayarak bu sürelerin sonunda imha etmeleri gerekmektedir. Bu kapsamda, corona virüsü salgını ile mücadele sürecinde Kişisel Verileri Koruma Kurumu’nun yayımlayacağı karar ve düzenlemelerin dikkate alınarak kişisel veri işleme faaliyetlerinin bu çerçevede gerçekleştirilmesi önem arz etmektedir.
Kaynaklar:
[1] https://www.kvkk.gov.tr/Icerik/4110/2018-10
[2] https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Corona virüsü-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-
[3] https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Corona virüsü-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-r-