Hazırlayan: Stj. Av. Bengisu Salmaner
COVİD-19 İLE MÜCADELE SÜRECİNDE KİŞİSEL VERİLERİN İŞLENMESİNE DAİR KURUM DUYURUSU
Tüm Dünyada ve ülkemizde hızla yayılmakta olan koronavirüs (COVID-19) salgınının etkisinin azaltılması ve sona erdirilmesi amacıyla hükümet bazında ve bireysel olarak birtakım önlemler alınmaya devam edilmektedir. Bu önlemlerin alınması sırasında başta özel nitelikli kişisel sağlık verileri olmak üzere birtakım kişisel verilerin işlenmesi lüzumu hâsıl olmaktadır.
Geçirmekte olduğumuz bu sıra dışı dönemde önceliğimiz kamu sağlığını ve güvenliğini sağlamaktır. Bununla beraber, kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun” veya “Kanun”) hükümlerine uygun olarak işlenmesi ve bu konuda alınan herhangi bir önlemin kişisel verilerin işlenmesine ilişkin ilkelere uygun olması, bu çerçevede kişilerin temel hak ve özgürlüklerinin ihlale uğramaması yüksek derecede önem arz etmektedir. Özellikle COVID-19 salgınına karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Kişisel Verileri Koruma Kurumu, 27 Mart 2020 tarihinde yayınladığı “COVID-19 Kapsamında Kamuoyu Duyurusu”nda veri sorumlularının başta sağlık verisi olmak üzere kişisel verileri işlerken hangi hususlara dikkat etmeleri gerektiğini açıklamıştır.[1] Kurum, kişisel verilerin işlenmesine ilişkin temel ilkelere vurgu yaparak, söz konusu ilkelerin, salgın ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde bulunması gerektiğini ve tüm kişisel veri işleme faaliyetlerinin bu ilkelere uygun olarak gerçekleştirilmesi gerektiğine dikkat çekmiştir.
Bilindiği ve Kurumun da kamuoyu duyurusunda belirtmiş olduğu üzere, kişisel verilerin işlenmesine ilişkin temel ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir.
Hukuka uygun olma ilkesi, kişisel verilerin işlenmesinde kanunlar ile getirilen hükümlere ve ilkelere uygun olarak faaliyette bulunma zorunluluğunu ifade etmektedir. Hukuka uygunluk kapsamında ilgili kişinin sağlık bilgilerinin işlenebilmesi için aranan şartlar ise 6698 sayılı Kanunun 6’ncı maddesinin 3’üncü fıkrasında şu ifadelerle hüküm altına alınmıştır; “…Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”
Kurum bu minvalde sağlık verilerinin işlenmesi açısından ilk ihtimal olarak özellikle çalışanın rızasını alma yoluna gidilmesi tercih edilebileceğini, ikinci bir ihtimal olarak ise açık rıza dışındaki şartlar dâhilinde, sağlık verilerinin iş yeri hekimleri tarafından işlenmesinin söz konusu olabileceğini bildirmektedir. Bunun yanı sıra, Kişisel Verilerin Korunması Kanunu’nun 28/1-ç hükmüne ilişkin olarak salgının kamu düzenini ve güvenliğini tehdit eder niteliği göz önünde bulundurulduğunda kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmadığına da ayrıca belirtmiştir. Nitekim 28/1-ç bendinde kişisel verilerin kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı öngörülmektedir.
Yine Kurum kamuoyu duyurusunda temel ilkeler kapsamında işlenen kişisel veriler ile ilgili olmak üzere aydınlatma yükümlülüğünün yerine getirilmesi gerekliliğine vurgu yapmıştır. Kişisel verileri işleyen veri sorumluları, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dâhil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır.
Koronavirüs salgınının yayılmasını önlemek amacıyla veri sorumluları ve veri işleyenlerce veri işleme faaliyetinde kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınması ve kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemesi gerektiğine değinilmiştir. Sosyal medya hesaplarında sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanunu’nun 136’ncı maddesi kapsamında suç teşkil edebileceği konusunda uyarıda bulunulmuştur.
“Amaçla sınırlılık” kişisel verilerin korunmasında hâkim olan en önemli ilkelerden biridir. Bu ilkeye uyulmaksızın yapılan veri işleme faaliyetleri ilgili kişilerin temel hak ve özgürlüklerinin ihlali ile sonuçlanabilecektir. Bu nedenle kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Kurum da COVID-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetlerinin de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmesi, gereğinden fazla kişisel veri işlenmesinden kaçınılması gerektiğine dikkat çekmiştir.
Kurum duyurusunda kişiler ve kurumlar tarafından sıkça sorulan bazı soruları yanıtlayarak bilgilendirmelerde bulunmuştur. Kurumca açıklanan bu hususlara kısaca değinmekte fayda bulunmaktadır.
- Kurum, Sağlık kuruluşlarının COVID-19 ile ilgili, kişilerle telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde 6698 Sayılı Kanun açısından bir engel bulunmadığını belirtmiştir. Nitekim kamu sağlığı ve güvenliğinin ön planda olduğu mevcut durumumuzda kamu kurum ve kuruluşlarının halk sağlığına yönelik bir takım önlemler almak amacıyla kişisel verilerin toplanmasına ve paylaşılmasına ihtiyaç duyabilecektir. Dolayısıyla bu amaca yönelik olarak ve bu kapsamın dışına çıkmamak kaydıyla halk sağlığı ile ilgili mesajlar gönderilmesinde sakınca yoktur.
- Salgın sırasında evden çalışan personelin kendi cihazlarını veya iletişim ekipmanlarını kullanabileceği belirtilmiştir. Ancak bu durumda da kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir. Alınabilecek tedbirler aşağıdaki şekilde tahdidi olarak sayılmıştır;
- Sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi
- Herhangi bir zafiyet içermemesinin sağlanması
- Anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması
- Konuya ilişkin çalışanların dikkatle bilgilendirilmesi
- Kişisel verilerin güvenliği açısından her türlü tedbirin alınması
Ayrıca ve ancak Kurum, alınacak tedbirlerin Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmadığı hususuna dikkat çekmektedir.
- İşverenin, işyerinde görülen vakalar hakkında personeli COVID-19 enfekte çalışanın/çalışanların bulunduğu hususunda bilgilendirebileceğini ancak bilgilendirme yapılırken bireylerin kim olduğunu ortaya çıkaran ve amaç dışı gereğinden fazla bilgi verilmemesi gerektiğini belirtmiştir.
- İşverenlerin, gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması kadıyla, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabileceğine değinilmiştir. Gerçekten de işverenlerin iş sağlığı ve güvenliğini sağlamaya yönelik bir takım yasal yükümlülükleri vardır. Sıra dışı mevcut durumumuz göz önüne alındığında işverenlerin iş sağlığını sağlamak amacıyla kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelebilir. Kurum aynı zamanda bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması şartına dikkat çekmektedir.
- İşveren, kamu ve iş sağlığını sağlamak amacıyla Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde çalışanların sağlık bilgilerini, yetkililer ile paylaşabilecektir.
- Kurum şikâyet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının mevzuatta yer alan sürelere riayet edilmesi gerektiğine dikkat çekmiştir. Söz konusu yasal sürelerde herhangi bir uzatma olmadığı; ancak COVID-19 salgını sebebiyle veri sorumluları tarafından alınan önlemler kapsamında farklı uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, Kurulun olağanüstü koşulları göz önünde bulunduracağı şeklinde değerlendirmede bulunmuştur.
Konuyla ilgili diğer sorularınız için bizlerle her zaman iletişime geçebilirsiniz.
E-posta: [email protected]
[1] Kamuoyu duyurusu için bknz Çevrimiçi: https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-