COVID-19 SALGINI SÜRECİNDE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Covid-19 virüsünün küresel salgın
boyutuna ulaşması akabinde “pandemi” ilan edilmesi ile ülkeler tarafından
virüsle mücadele kapsamında birçok önlem alınmaya başlamıştır. Ülke yönetimleri;
kamu sağlığı ve güvenliğinin korunması amacıyla vatandaşlarının belli başlı
kişisel verilerini toplama, işleme ve paylaşma işlemleri gerçekleştirebilecektir.
Öncelikle söylemek gerekir ki kamu kurum ve kuruluşlarının kişilere telefon,
mesaj ve e-posta ile halk sağlığı içerir bilgileri ulaştırmasında 6698 sayılı
Kişisel Verilerin Korunması Kanunu (Bundan böyle yalnızca “Kanun” olarak
anılacaktır.) çerçevesinde engel oluşturacak bir durum bulunmamaktadır.
Başkaları tarafından öğrenilmesi
halinde, ilgili kişi hakkında ayrımcılık yapılmasına ve bu nedenle kişinin
toplum içerisinde birçok mağduriyet yaşamasına sebep olabilecek nitelikteki
hassas veriler Kanun tarafından “özel nitelikli kişisel veriler” olarak
adlandırılmıştır. Kanunun 6. Maddesinde:
“(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi,
felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel
nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık
rızası olmaksızın işlenmesi yasaktır.
(3) Birinci
fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda
öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık
ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde,
ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” denilerek özel nitelikli kişisel veriler numerus
clausus ilkesi gereğince kanun lafzı ile sınırlandırılmış olup bu nedenle
yorum yoluyla genişletilmesi mümkün olamayacağı gibi ilgili kişinin açık rızası
olmaksızın işlenemeyecektir. Ancak Kanun maddesinde istisna hali ile ilgili ikili
ayrım yapılmış; sağlık ve cinsel hayat verileri dışındaki özel nitelikli
kişisel verilerin açık rıza olmaksızın işlenmesi açısından “kanunlarda
öngörülme hali” aranırken, sağlık ve cinsel hayata ilişkin verilerin
işlenmesinde ise istisnai olarak “kamu sağlığının korunması, koruyucu hekimlik,
tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurumlar tarafından işlenmesi” hususlarının
varlığı aranmıştır.
Sır saklama yükümlülüğü altında bulunan kişilerin kim
olduğuna ilişkin yasal bir düzenleme bulunmadığından, sağlık hukuku
çerçevesinde yapılacak değerlendirme ile sağlık çalışanlarının sır saklama
yükümlülüğü altında bulunan kişiler olduğunu söylemek yanlış olmayacaktır.
Yukarıda yapılan tüm
açıklamalar akabinde, Covid-19 virüsüne ait belirtilerin varlığına yönelik
kişisel verilerin, istisnai hallerin varlığı nedeniyle açık rıza aranmaksızın
işlenebileceği söylenebilir. Ancak diğer taraftan ise söz konusu verilerin
üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi
zararlar ortaya çıkabileceği dikkate alınmalı ve ilgili kurumun kişisel
verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari
tedbirleri almaları gerekmekte ve etkilenen kişilerin verileri açık ve zorunlu
bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir. Ayrıca bu
verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu
kişisel verilerin silinmesi veya yok edilmesi hususunun gerekliliği gözden
kaçırılmamalıdır.
Kanaatimizce Covid-19
virüsünün yayılmasını önleme amacıyla gerçekleştirilen tüm veri işleme
faaliyetlerinde veri minimizasyonu gözetilmeli, amaca ulaşmak için sınırlı
bilgiler edinilmeli ve gereğinden fazla kişisel verinin işlenmesinden
kaçınılması sağlanmalıdır.
Nitekim bu süreçte
sağlık verilerinin işlenmesi hususuna ilişkin Kişisel Verileri Koruma Kurumu
tarafından 27.03.2020 tarihli “Covid-19 ile Mücadele Sürecinde Kişisel
Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” adlı kamuoyu
duyurusu da yayımlanmıştır.[1]
Duyuruda özetle; pandemiye karşı alınan tedbirler kapsamında özel nitelikli
kişisel verilerin işlenmesinin zaruri olduğu, tüm işlemlerde olduğu gibi
covid-19 salgınına ilişkin verilerin işlenmesi işlemlerinde de temel ilkelere
bağlı kalınması gerektiği, fazla veri işlenmesinden kaçınılması gerektiği,
Kanun’un istisnalara yönelik 28. Maddesi
gereğince pandemi sürecinin istisnalar kapsamında olduğu ve kişisel verilerin
işlenmesi süresinde tüm idari ve teknik önlemlerin alınması gerektiği hususlarına
yer verilmiştir.
Öte yandan işçi-işveren
ilişkisi ve işyerinde işlenecek veriler açısından ayrıca bir değerlendirme
yapılacak olursa öncelikle belirtmek gerekir ki; işverenler iş sağlığı ve
güvenliği açısından mevzuat kaynaklı yükümlülükleri bulunan ve işyerinde
çalışan tüm personelin güvenliği açısından her türlü önlemi almakla yükümlü
kişilerdir. Bu nedenle iş sağlığına ilişkin verilerin -özel nitelikli kişisel veriler hariç–
işlenmesinde veri sahibinin açık rızasının alınması zorunlu tutulmayacaktır.
Ancak özel nitelikli kişisel veri kapsamına giren sağlık verilerinin işlenmesi
halinde işveren, sır saklama yükümlülüğü bulunan sağlık çalışanı olmadığından
işçinin açık rızası ile bildirmesi haricinde kişinin covid-19 virüsü taşıyıp
taşımadığına ilişkin bilgilere erişemeyecek ve bu verileri kamu sağlığının
korunması kapsamında işleyemeyecektir. Bu durumda işyeri hekimleri gündeme
gelecek olup, kişinin sağlık verisi sır saklama yükümlülüğü bulunan işyeri
hekimi tarafından işlenebilecektir. Aydınlatma yükümlülüğünün yerine
getirilmesi akabinde işyeri hekiminin gerçekleştirdiği işleme faaliyetinin veri
sahibinin açık rızası olmaması halinde işveren ile paylaşması mümkün
olmayacaktır. Ancak yine işyeri hekimi/işyeri
sağlık personeli tarafından riskli durumların varlığı halinde özel nitelikli
kişisel veriler ifşa edilmemeli, uygun görülen tedbirler işverene tavsiye
talebi ile ulaştırılmalıdır. Ayrıca
gerek işveren gerekse işyeri hekimi tarafından edinilen verilerin Kanunun
istisnalar kapsamında sayılan halin mevcudiyeti nedeniyle ilgili makamlarla
paylaşmasında veri sahibinin açık rızası aranmamaktadır.
İşveren;
işyerinde gerçekleşen olası bir virüs vakası durumunda işyeri personellerini
bilgilendirmelidir. Ancak bu kapsamında fazla bilgi vermekten kaçınmalı, anonim
duyuru yapmalı ve çalışanın kim olduğu doğrudan açıklanmamalıdır. İşverenin,
çalışanlarının iş sağlığını ve güvenliğini sağlamak ve özen yükümlülüğünü
yerine getirmek gibi yürürlükte bulunan mevzuat ve kanunlardan doğan genel bir
sorumluluğunun olduğunu tekrar belirtmekte fayda görmekteyiz.
Tüm bu açıklamaların yanı sıra
belirtmek gerekir ki; Covid-19 salgından etkilenen kişilere ait, sosyal medya
hesapları ve benzeri dijital platformlarda başta sağlık verileri olmak üzere
kişisel veriler ile ilgili yapılan tüm hukuka aykırı paylaşımlar cezai
yaptırıma tabı tutulmuştur. Nitekim 5237 sayılı Türk Ceza Kanunu’nun “Verileri
hukuka aykırı olarak verme veya ele geçirme ” başlıklı 136. Maddesi
“ (1) Kişisel verileri, hukuka aykırı olarak
bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla
kadar hapis cezası ile cezalandırılır.
(4) (2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza
Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca
kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat
artırılır.” hükmünü havi
olup; bu maddenin ihlali halinin suç teşkil ettiğinin de unutulmaması gerekir.
Avukat Betül HAZAR
Yorumlar
Yorum Gönder