Kişisel Verilerin COVID-19 Enfeksiyonu Salgını Kapsamında İşlenmesi
Ülkemizi ve tüm dünyayı etkisi altına alan COVID-19 enfeksiyonu salgını ile mücadelede, kamu kurum ve kuruluşları, farklı sektörlerde faaliyet gösteren veri sorumluları tarafından bir takım önlemler alınmaktadır. Alınan önlemler kapsamında kişisel verilerle birlikte Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) başkaları tarafından öğrenildiği takdirde ilgili kişinin mağduriyetine veya ayrımcılığa maruz kalabilmesine yol açabilecek olduğundan kişisel verilere göre daha hassas koruma altında olan özel nitelikli kişisel veri olarak kabul edilen sağlık verileri de işlenmektedir.
Kişisel Verileri Koruma Kurumu (“Kurum”), 27 Mart 2020 tarihinde “COVID-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlığıyla yayınladığı kamuoyu duyurusunda, kişisel verilerin işlenmesinde uyulmasının zorunlu olduğu temel ilkelere değinerek COVID-19 enfeksiyonu salgını ile mücadele sürecinde veri sorumlularının veri işleme sürecine ilişkin yönlendirmelerde bulunmuştur.
Kurum’un yayınladığı 27 Mart 2020 tarihli duyurusu uyarınca COVID-19 enfeksiyonu salgını ile mücadelede veri işlenirken hukuk kurallarına uyulması ve verilen mücadelenin kişilerin sağlıklı yaşama hakkının korunması olmasıyla birlikte diğer hayati haklarının da korunmasının unutulmaması gerektiğinin altını çizerek konu ile açıklamalarımız bu çalışmanın konusunu oluşturmaktadır.
COVID-19 İle Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler
Kurum, COVID-19 salgınının yayılmasını engellemek ve etkilerini azaltmak için alınan önlemler kapsamında özel nitelikli kişisel verilerde dahil olmak üzere kişisel verilerin işlenmesinin kaçınılmaz olduğunu belirtmiştir. Kurum, bu süreçte önceliğin sağlık hizmetlerinin sağlanması ve kamu sağlığının korunması esasına değinerek veri işleme faaliyetlerinin KVKK’ya uygun olmasını, veri güvenliğine yönelik gerekli ve idari tedbirlerin alınmasını, özellikle COVID-19 pandemisine karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin (i) gerekli, (ii) amaçla bağlantılı, (iii) sınırlı ve (iv) ölçülü olması gerektiğini dolayısıyla da kişilerin temel hak ve özgürlükleri açısından geri döndürülemez zararların ortaya çıkmamasının önüne geçilmesini ifade etmiştir.
Anılan duyuruda; veri sorumlularının, kişisel verileri işlerken uymak zorunda olduğu temel ilkelere atıfta bulunulmuş, COVID-19 pandemisi ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde temel ilkelerin bulunması gerektiği ve her veri işleme faaliyetinde (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme, (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza ilkelerinin gözetilmesi gerektiği belirtilmiştir.
Kişisel verilerin işlenme şartları KVKK’nın 5.maddesinde, özel nitelikli kişisel verilerin işlenme şartları KVKK’nın 6. maddesinde düzenlenmiş olup Kurum, kişisel verilerin ilgili düzenlemelerdeki şartlara uygun olarak işlenmesi gerekliliğinin unutulmamasına dikkat çekmiştir. Ayrıca COVID-19 pandemisinin yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetlerinin de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmesini, gereğinden fazla kişisel veri işlenmesinden kaçınılması gerektiğinin altı tekrar çizilmiştir.
Kurum, özel nitelikli kişisel verisi olan sağlık verilerinin işlenmesi bakımından işverenlerin, çalışanın açık rızasını alarak bu verileri işleyebileceğini veya salgının yayılma hızı dikkate alınarak çalışanın kendi rızası ile de hastalık bildirimi yapabileceğini, açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacağını ifade etmiştir. Sağlık Bakanlığı ve yetkili kamu kurum ve kuruluşlarının işleme faaliyetleri ise KVKK’nın 28. maddesinde öngörülen istisnalar kapsamında değerlendirilecek olup bu işleme faaliyetleri için KVKK hükümlerinin uygulanmayacağını belirtmiştir.
İşlenecek olan kişisel verilerle ilgili veri sorumlularının aydınlatma yükümlülüğünün devam ettiği ve yerine getirilmesi gerektiği, verisi işlenecek kişilere yapılacak bilgilendirmenin; kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaflığı sağlaması gerektiği ve kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle yapılması gerektiği belirtilmiştir.
COVID-19 pandemisi ile mücadelede işlenen kişisel verilerin açık rıza veya zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemesi gerektiği, sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanununun 136. maddesi kapsamında suç teşkil edebileceği belirtilmek suretiyle gizlilik vurgusu yapılmıştır.
Kurum, sıkça sorulan sorular başlığı altında da aşağıda yer alan soruları yanıtlamıştır:
1. Bir sağlık kuruluşunun önceden izin almaksızın COVID-19 ile ilgili kişilerle iletişim kurulabilmesi açısından: Kamu kurum ve kuruluşları, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabileceğinden ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde KVKK açısından bir engel bulunmadığı belirtilmiştir.
2. İşverenin, çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilmesi imkanı açısından: İşverenin vakalar hakkında personeli bilgilendirmesi, bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemesi gerektiği, ancak koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanlara bu hususta önceden bilgilendirme yapılmasının mümkün olduğu ve işverenin çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumluluklarının bulunduğu belirtilmiştir.
3. Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilme imkanı açısından: İşverenlerin, çalışanın sağlığını koruma ve güvenli bir işyeri sağlamaya ilişkin yükümlülükleri kapsamında, personel ve ziyaretçilerden seyahat bilgilerine veya hastalığa dair belirti gösterip göstermediği hususunda bilgi istemesi için haklı gerekçe bulunması halinde gündeme gelebileceği; bu kapsamda bilgi talebinin gerekli ve ölçülü olması ve risk değerlendirmesine dayanan güçlü bir gerekçesi bulunması gerektiği, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurların dikkate alınması gerektiği belirtilmiştir.
4. İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgilerinin yetkililerle paylaşılması açısından: KVKK’nın 8. maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel verilerin, işveren tarafından ilgili makamlar ile paylaşılabileceği belirtilmiştir.
5. Veri sorumlularının, ilgili kişilerin başvurularına yanıt verme ve Kurum’a karşı yükümlülükleri kapsamında KVKK’da ve ilgili mevzuatta belirtilen süreler geçerliliğine ilişkin: KVKK’da ve ilgili mevzuatta belirtilen yasal sürelerin uzatılmasının söz konusu olmadığını ancak her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından ülkenin içinde bulunduğu olağanüstü koşulların (uzaktan çalışma, dönüşümlü çalışma vb.) gözetileceği ifade edilmiştir.
İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Açıklaması
Ülkede ve dünyada COVID-19 enfeksiyonu salgınına karşı yürütülen mücadelede, hukuk kurallarına uyulmamasının durumu daha da kötüleştirdiğini, verilen mücadelenin kişilerin sağlıklı yaşama hakkının korunmasına yönelik olması ancak kişilerin sağlıklı yaşama hakkının yanında başka hayati haklarının da olduğu ve bunlarında korunması gerektiğinin unutulmamasının önemini vurgulamıştır. Temel hak ve özgürlüklerden olan kişisel verilerin korunması hakkı da bu haklardan biri olduğu ifade edilmiş ve sosyal medyada birçok kişinin sağlık bilgisi veya diğer bilgileri yazılı veya görsel olarak herhangi gizleme ihtiyacı duyulmadan sosyal medyada paylaşılarak hukuksuzluk yaratıldığı, kişisel verilerin korunması hakkının ihlal edildiği ifade edilmiştir.
Avrupa Veri Koruma Kurulu Açıklaması
Avrupa’daki hükümetler ve özel kuruluşların dikkatini çekmiş ve mevzuatlarında yer alan Avrupa Birliği Genel Veri Koruma Tüzüğü(GDPR) özelinde COVID-19 enfeksiyonu salgını çerçevesinde kişisel verilerin işlenmesine ilişkin açıklama yapmıştır. Bu açıklamada orantılılık ve veri minimizasyonu ilkesinin uygulanarak işverenin ulusal yasaların izin verdiği ölçüde sağlık bilgisine ihtiyaç duyabileceği ifade edilmiştir.
Sonuç olarak, ülkemizde ve dünyada COVID-19 enfeksiyonu salgını ile mücadele kapsamında kamu kurum ve kuruluşları ile farklı sektörlerde faaliyet gösteren veri sorumluları tarafından alınacak önlemlerde, veri işleme faaliyetlerinin KVKK ve ilgili mevzuatta yer alan düzenlemelere uygun yürütülmesi ve bu süreçte sağlıklı yaşama hakkının korunması için yürütülen önlemlerin kişisel verilerin korunması hakkına zarar vermemesi gerekliliği ortaya koyulmuştur. Bu süreçte veri sorumluları, KVKK ve ilgili mevzuatta yer alan düzenlemelere uygun veri işlemeyi ihmal etmemeli, özellikle COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmasına önem vermeli ve Kurum’un yönlendirmelerine uygun davranarak Kurum’un bu konudaki duyuru ve açıklamalarını takip etmelidir.