Covid-19’a Karşı, İlgili Kişinin Verisinin Korunmasına İlişkin Tavsiyeler: EDPB vs. KVKK

Çin’de Vuhan şehrinde Aralık 2019’da ortaya çıkan Covid-19 salgını, Mart ayı itibarıyla dünya genelini etkisi altına almıştır. İnsan sağlığı için yüksek risk oluşturan bu hastalıkta kesin bir tedavi bulunmaması ve 12.03.2020 tarihinde Dünya Sağlık Örgütü tarafından “pandemi” ilan edilmesi, küresel çapta büyük tedbirler alınmasına neden olmuştur.

Ülkemizde de Covid-19 vakaları ilk kez 11.03.2020 tarihinde görülmüş ve alınan tüm önlemlere rağmen vaka ve ölüm sayısındaki artış durdurulamamıştır. Hastalığın yayılmaya devam etmesi, ekonomik ve sosyal alanda pek çok sorunu beraberinde getirmiştir. Bu nedenle, diğer ülkelerde olduğu gibi ülkemizde de mecburi önlemler alınmış; bu tedbirler sosyal hayatın, ekonominin ve idari işleyişlerin askıya alınması şeklinde ortaya çıkmıştır.

Salgının yayılma hızı nedeniyle erken teşhis koyulabilmesi amacıyla çeşitli alanlara ateş ölçme cihazları yerleştirilmiş; aynı zamanda işyerlerinde semptom gösteren veya yurt dışı geçmişi olan çalışanların yetkili kamu kurumlarına bildirilmesi gibi uygulamalar hayata geçmiştir. Bu bağlamda, işlenen ve aktarılan veriler 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında özel nitelikli kişisel veri olan sağlık verisi teşkil etmektedir. Ancak bu veri işleme faaliyetinin olağanüstü bir durumda yapılması, Kanun’un özel nitelikli verilere ilişkin getirdiği katı kuralların esnetilip esnetilemeyeceği sorusunu gündeme getirmiştir.

Bu bilgi notunda, Covid-19’un dünya çapındaki yayılımı devam ederken, Avrupa Veri Koruma Kurulu’nun (“EDPB”) 20.03.2020 tarihli ve Kişisel Verileri Koruma Kurumu’nun (“Kurum”) 27.03.2020 tarihli açıklamalarını detaylıca değerlendireceğiz.

EDPB’nin “Kişisel Verilerin Covid-19 Kapsamında İşlenmesine Yönelik Açıklaması”

EDBP, ilk açıklamasını 16.03.2020 tarihinde yapmıştı. Bu açıklamada özetle; pandemik korona virüsle mücadelede GDPR gibi kişisel verilerin korunmasına yönelik mevzuatın geçersiz sayılamayacağını, istisnai dönemlerde bile veri sorumlusunun ilgili kişinin verilerini en üst düzeyde hassasiyetle koruması gerektiğini vurgulamıştır. Bu kapsamda, veri işlemede hukuka uygunluk şartlarının yerine getirilmesinin hayati olduğu belirtilmiştir.

Ayrıca EDPB, GDPR’ın salgın hastalık durumunda işverenlerin ve yetkili kuruluşların ilgili kişinin açık rızası olmaksızın veri işlemeyi hukuka uygun kabul ettiğini; bu hükmün aynı zamanda kamu sağlığının korunması amacıyla meşru menfaat kapsamında değerlendirilebileceğini ifade etmiştir.

Bu açıklamanın bazı çevreler tarafından yetersiz bulunması üzerine EDPB, 20.03.2020 tarihinde yeni bir beyanat yayınlamıştır. Bu beyannamedeki temel başlıklar şunlardır:

1- Veri İşlemede Hukuka Uygunluk

GDPR, özel nitelikli kişisel verilerin yetkili sağlık kuruluşları ve işverenler tarafından salgın hastalık durumunda yerel mevzuat kapsamında ilgili kişilerden açık rıza alınmasına gerek olmaksızın işlenmesine izin vermektedir. Yetkili sağlık kuruluşları, GDPR’ın 6 ve 9. maddelerine göre kamu sağlığının korunması amacıyla; işverenler ise işyerinde sağlık ve güvenliğin sağlanması yasal yükümlülüklerini yerine getirmek ve hastalığı kontrol altına almak amaçlarıyla, kamu yararı gözetilerek veri işleyebilirler.

(Belirtmek gerekir ki GDPR, özel nitelikli kişisel verilerin işlenmesinin yasak olduğu durumlara istisnalar getirmiştir. Bunlar; kamu sağlığının korunması için zorunlu olması [Madde 9.2.i], ilgili kişinin menfaatinin korunması için yerel mevzuat veya Birlik mevzuatında öngörülmesi [Madde 9.2.c] ve salgın bir hastalığın kontrol edilmesi gibi gerekçelerdir.)

Ayrıca, e-Gizlilik Direktifine göre konum gibi Telekom verilerinin paylaşılması ya ilgili kişinin açık rızasına ya da verilerin anonim hale getirilmesine bağlıdır. Bu istisnai hükümlerin uygulanması için veri işlemenin zorunlu olması ve aynı zamanda demokratik toplum bakımından ölçülü olması gerekmektedir. Tüm önlemler Avrupa Birliği Temel Haklar Bildirgesi ve Avrupa İnsan Hakları Sözleşmesi’ne uygun olmalıdır.

2- Veri İşlemede Temel Prensipler

İlgili kişi, kesinlikle aydınlatılmalı ve veri işleme faaliyeti amaçla sınırlı kalmalıdır. Aydınlatma yapılırken verinin hangi zaman diliminde işlenmeye devam edileceği mutlaka belirtilmelidir. Gerekli güvenlik tedbirlerinin alındığına ve özel nitelikli verilerin yetkisiz üçüncü kişilere açılmadığına emin olunmalıdır. Bu süreç boyunca acil durumda alınacak önlemlerin ve karar verme mekanizmasının nasıl işleceğine dair dokümantasyon oluşturulması önemlidir.

3- Mobil Konum Verisi

Kamu kurumları, ilgili kişilerin mobil konum verilerini mümkünse anonimleştirerek işlemelidir. Bu tür bir anonim işlemde, kişisel veri işleme hükümleri uygulanmaz. Anonim işlemenin mümkün olmadığı durumlarda e-Gizlilik Direktifinin 15. maddesine göre üye ülkeler kamu güvenliğini sağlamak adına kendi önlemlerini alabilirler. Ancak bu münferit önlemlerde bile, üye ülkelerin ilgili kişilere yeterli hukuki güvenceleri sağlama yükümlülükleri devam eder. Ölçülülük prensibi uygulanmalı; amaca hizmet edecek ve ilgili kişiye en az zarar verecek spesifik yöntemler tercih edilmelidir. Kişilerin hayatlarına müdahale niteliği taşıyan “Bireyin takibi” yalnızca belirli koşullar altında ölçülü kabul edilebilir ve bu durumda veri işlemenin temel ilkelerine uygun güvenlik tedbirleri tesis edilmelidir.

4- İş Hukuku Bakımından

İşveren, yerel mevzuatın izin verdiği sınırlar dahilinde ziyaretçi ve işçinin sağlık verisini işleyebilir ve çalışanına sağlık taraması yapabilir. Burada dikkat edilmesi gereken temel ilkeler ölçülülük ve veri minimizasyonudur.

Bir çalışanın enfekte olduğu bilgisi, zorunlu olandan fazla bilgi verilmemesi ve gerekli güvenlik tedbirleri alınması kaydıyla diğer çalışanlarla paylaşılmalıdır. Yerel mevzuat izin veriyorsa, enfekte olmuş çalışan veya çalışanların isimleri kişilerin onur ve haysiyetlerinin korunması şartıyla ilgili kişilere açıklanabilir.

Sonuç olarak işverenler, yerel mevzuata uygun şekilde hukuki yükümlülüklerini yerine getirmek amacıyla Covid-19 kapsamında her türlü kişisel veriyi işleyebilirler.

Kurumun “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenlere İlişkin Açıklaması”

Kurum, salgın devam ederken ilk açıklamasını 23.03.2020 tarihinde yapmıştı. Bu açıklamada yalnızca Kurum’a yapılacak bildirimler değerlendirilmişti. Olağanüstü süreçte veri sorumlularının farklı operasyonel uygulamalara (uzaktan çalışma vb.) geçtiği dikkate alınarak, her başvuru veya ihlal bildirimi özelinde, veri sorumlularının uyması gereken sürelerin Kurum tarafından gözetileceği ifade edilmişti.

Daha sonra 27.03.2020 tarihinde yapılan açıklamada ise şu temel prensipler vurgulanmıştır:

1- Kişisel Verilerin İşlenmesine İlişkin Temel Prensipler

Covid-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetleri; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olmalı; belirli, açık ve meşru amaçlar için sınırlı ve ölçülü bir şekilde yapılmalıdır. İşlenmesini gerektiren sebepler ortadan kalktığında ise veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

2- Kanuna Uygunluk

Özellikle sağlık verilerinin işlenmesi konusunda çalışanın rızası alınması tercih edilebilirken, salgının yayılma hızı dikkate alındığında çalışan kendi rızasıyla da hastalık bildirimi yapabilir. Açık rıza dışındaki şartlarda ise sağlık verileri iş yeri hekimleri tarafından işlenecektir. Bu süreçte her veri özel nitelikli kişisel veri olmayabilir (Örneğin son seyahat edilen ülke bilgisi gibi). Böyle durumlarda Kanun’un 5. maddesindeki genel kişisel veri işleme şartları dikkate alınmalıdır.

Ayrıca, Kanunun 28/1-ç bendi uyarınca; millî savunma, kamu düzeni veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında veriler işlenmesi durumunda Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Bu çerçevede, mevcut durum kamu güvenliğini tehdit ettiğinden, kişisel verilerin Sağlık Bakanlığı ve bu kapsamdaki kamu kurumları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

3- Aydınlatma Yükümlülüğü (Şeffaflık), Gizlilik ve Veri Minimizasyonu

Verileri işleyen veri sorumluları, verilerin toplanma amacı ve ne kadar süreyle saklanacağı dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır. Bireylere kişisel verilerinin işlenmesi hakkında kısa, anlaşılır ve sade bir dille bilgi verilmelidir.

Covid-19 virüsünün yayılmasını önleme amacıyla yapılan her veri işleme faaliyetinde; gerekli idari ve teknik tedbirler alınmalı, etkilenen kişilerin verileri açık ve zorunlu gerekçe olmaksızın üçüncü taraflara ifşa edilmemelidir. Veri işlemleri amaçla bağlantılı ve sınırlı ölçüde kalmalı, gereğinden fazla veri işlenmesinden kaçınılmalıdır. Hedeflenen amaca ulaşmak için mümkün olan en az müdahaleci yol tercih edilmelidir.

4- İş Hukuku Bakımından

İşverenler, vakalar hakkında personeli bilgilendirmelidir. Bu bilgilendirme yapılırken bireylerin isimlerinin verilmesi gerekmeyebilir ve fazla bilgi paylaşılmamalıdır. Zorunlu olmadığı sürece şirket içi seviye veya ekip gibi çalışanın kimliğini doğrudan tespit edecek detaylar paylaşılmamalıdır.

İşverenlerin çalışan sağlığını koruma yasal yükümlülükleri bulunmaktadır. Bu bağlamda, işverenlerin çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri veya belirti gösterip göstermedikleri konusunda bilgi istemesi haklı gerekçeler doğurabilir. Ancak bu bilgi talebinin gereklilik ve ölçülülüğe bağlı, risk değerlendirmesine dayanan güçlü bir gerekçesi olmalıdır. Bu durumda; personelin seyahatleri, işyerinde kronik rahatsızlığı olan veya virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları dikkate alınmalıdır.

Kişilerin kısa süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları veya belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, kişisel verilerin korunması mevzuatı açısından sakınca bulunmamaktadır. Kanunun 8. maddesi ve bulaşıcı hastalıklara ilişkin diğer kanunlar çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ait kişisel veriler işveren tarafından ilgili makamlarla paylaşılabilir.

5- Diğer Hususlar

Kamu kurum ve kuruluşlarının küresel salgın boyutuna ulaşan durumlarda kamu sağlığı ve düzenini sağlamak yükümlülüğü nedeniyle, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılması gerekebilir. Bu durumda sağlık kurumları kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili bilgilendirme yapabilirler.

Uzaktan çalışmanın risklerini en aza indirmek adına sistemler arası veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve anti-virüs/güvenlik duvarlarının güncel tutulması gibi tedbirler alınmalıdır. Ancak bu tedbirlerin alınması, kişisel verilerin güvenliği açısından veri sorumlusunun yükümlülüğünü ortadan kaldırmaz.

Son olarak, Kişisel Verileri Koruma Kurulu tarafından, olağanüstü koşullar gözetilerek her başvuru ve ihlal bildirimi özelinde veri sorumlularının uyması gereken süreler değerlendirilecektir.

Sonuç ve Değerlendirme

Hem EDPB hem de Kurum, Covid-19’un yayılması üzerine Veri Koruma Hukuku açısından tavsiye görüşleri yayınlamıştır. Ancak her iki kurum da en kritik konu olan sağlık verilerinin yetkili sağlık kuruluşları dışındaki veri sorumluları tarafından işlenmesi hususunda muğlak ifadeler kullanmış ve veri sorumlularını kendi çözümlerini bulmaya yöneltmiştir.

Özellikle Kanunumuza göre, yetkili kurumlar dışında sağlık verilerinin diğer veri sorumluları tarafından ilgili kişinin açık rızası olmadan işlenmesi mümkün değildir. Uygulamada en çok kullanılacak çözüm yolu muhtemelen açık rıza almak olacaktır. Ancak unutulmamalıdır ki, açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanmalıdır. Eğer kişinin sağlık verisini paylaşmaması veya ateş ölçülmesine izin vermemesi durumunda mahrum kalacağı hizmetler ortaya çıkarsa, bu durum açık rızanın hizmet şartına bağlanması anlamına gelir ki bu da rızanın sakat olduğu kabul edilir.

Sonuç olarak Kanunumuzda salgın hastalık veya kamu sağlığının korunması durumunda yetkili kurumlar haricindeki veri sorumlularına veri işlemeyi hukuka uygun hale getiren bir istisna tanınmadığından, veri sorumluları; veri işleme faaliyetini temel ilkelere, özellikle veri minimizasyonu ve ölçülülüğe uygun şekilde gerçekleştirmelidir. Sağlık verisi işlenecekse işyeri hekimliğini devreye sokma ihtimali değerlendirilmeli ve teknik/idari tedbirler alınmasında azami dikkat gösterilmelidir.