Covid-19’a Karşı, İlgili Kişinin Verisinin Korunmasına İlişkin Tavsiyeler: EDPB vs. KVKK

Covid-19’a Karşı, İlgili Kişinin Verisinin Korunmasına İlişkin Tavsiyeler: EDPB vs. KVKK

Çin’in Vuhan şehrinde ilk kez Aralık 2019’da baş gösteren Covid-19, Mart ayı itibariyle dünyada birçok ülkeyi etkisi altına almıştır. İnsan sağlığı için çok yüksek risk oluşturan bu salgın hastalığın halihazırda bilinen kesin bir tedavisi bulunmamakta olup 12.03.2020 tarihinde Dünya Sağlık Örgütü tarafından “pandemi” olarak ilan edilmiştir. Ülkemizde de Covid-19 vakası ilk kez 11.03.2020 tarihinde görülmüş ve akabinde alınan tüm tedbirlere rağmen vaka ve ölüm sayısındaki artış bu zamana kadar engellenememiştir.

Hastalığın hali hazırda geniş kitlelere yayılmaya devam ediyor olması gerek ekonomik gerekse sosyal bakımından pek çok sorunu da beraberinde getirmektedir. Hastalığın yayılma hızı ve tehlike boyutu sebebiyle diğer ülkelerde olduğu gibi ülkemizde de mecburi önlemler alınmıştır. Bu önlemler şu ana kadar sosyal hayatın, ekonominin ve hukuk iş ve işlemlerinin askıya alınması ve idari tedbirlerin uygulanması olarak ortaya çıkmıştır.

Yine, salgının yayılma hızı sebebiyle teşhisin erken koyulabilmesi amacıyla çeşitli alanlara ateş ölçme cihazları yerleştirilmiştir. Aynı zamanda, işyerlerinde semptom gösteren yahut hastalık ya da yurt dışı geçmişi olan çalışanların yetkili kamu kurum ve kuruluşlarına bildirilmesi söz konusu olabilmektedir. Bu bağlamda, işlenen ve aktarılan verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında özel nitelikli kişisel verilerden olan sağlık verisi olduğuna şüphe bulunmamaktadır. Ancak işbu veri işleme faaliyetinin olağanüstü bir durumda yapılıyor olması Kanun’un özel nitelikli verilerin işlenmesine ilişkin getirmiş olduğu rijit kuralların esnetilip esnetilemeyeceği sorusunu akıllara getirmiştir.

İşbu bilgi notunda Covid-19’un dünya çapında yayılımı devam ederken Covid-19’a ilişkin Avrupa Veri Koruma Kurulu’nun (“EDPB”) 20.03.2020 tarihli ve Kişisel Verileri Koruma Kurumu’nun (“Kurum”) 27.03.2020 tarihli açıklamalarını değerlendireceğiz.

EDPB’nin “Kişisel Verilerin Covid-19 Kapsamında İşlenmesine Yönelik Açıklaması”

EDBP, Covid-19 devam ederken kişisel verilerin işlenmesine yönelik olarak ilk açıklamasını 16.03.2020 tarihinde yapmıştı. Bu açıklamada özetle, pandemik korona virüsle mücadelede GDPR gibi kişisel verilerin korunmasına yönelik uygulanan mevzuatın yok sayılamayacağını, bu tarz istisnai dönemlerde bile veri sorumlusunun ilgili kişinin kişisel verilerini korumada azami derecede hassas olması gerektiğini, dolayısıyla veri işlemede hukuka uygunluk şartlarının yerine getirilmesinin hayati olduğunu, GDPR’ın salgın hastalık durumunda işverenlerin ve yetkili kuruluşların ilgili kişinin açık rızası olmaksızın veri işlemeyi hukuka uygun olarak kabul ettiğini, bu hükmün aynı zamanda işveren bakımından kamu sağlığının korunması amacıyla kişisel veri işlenmesi durumunda 6 ve 9.maddeler gereği meşru menfaat kapsamında değerlendirilebileceğini belirtmiştir.

Bu açıklamanın veri sorumlusu ve veri işleyenler bakımından yetersiz görülmesiyle beraber EDPB bu sefer de 20.03.2020 tarihinde yeni bir beyanat yayınlamıştır. Bu açıklamanın satır başları şu şekildedir[1]:

1- Veri İşlemede Hukuka Uygunluk

GDPR, özel nitelikli kişisel verilerin yetkili sağlık kuruluşları ve işverenlerin salgın hastalık durumunda yerel mevzuat kapsamında ilgili kişilerden açık rıza alınmasına gerek olmaksızın işlenmesine izin vermektedir. Yetkili sağlık kuruluşları GDPR’ın 6 ve 9.maddelerine göre kamu sağlığının korunması ve işverenler de işyerinde sağlık ve güvenliğin sağlanması hususundaki yasal yükümlüklerini yerine getirmek ve hastalığın kontrol altına alınması amaçlarıyla kamu yararının gözetilmesi hukuka uygun sebebini baz alarak veri işleyebileceklerdir.

(Belirtmemiz gerekir ki GDPR, özel nitelikli kişisel verilerin işlenmesinin yasak olması durumlarına bazı istisnalar getirmiştir. Bunlar, kamu sağlığının korunması için zorunlu olması [Madde 9.2.i], ilgili kişinin menfaatinin korunması için yerel mevzuat veya Birlik mevzuatında öngörülme [Madde 9.2.c] ve salgın bir hastalığın kontrol edilmesi [Gerekçe, madde 46].)

Yine e-Gizlilik Direktifine göre, konum gibi Telekom verilerinin paylaşılması, ilgili kişinin açık rızasına yahut verilerin anonim hale getirilmesine bağlıdır. Her ne kadar e-Gizlilik Direktifinin 15.maddesinde ülkelere kamu güvenliğinin sağlanması amacıyla önlem alma yetkisi verilmişse de bu istisnai hükümlerin uygulaması için veri işlemenin zorunluluk arz etmesi gerekmekte olup aynı zamanda demokratik toplum bakımından ölçülü olması gereklidir. Yine bu önlemler Avrupa Birliği Temel Haklar Bildirgesi ve Avrupa İnsan Hakları Sözleşmesine uygun olmalıdır.

2- Veri İşlemede Temel Prensipler

İlgili kişi, kesin bir şekilde aydınlatılmalı, veri işleme faaliyeti amaçla sınırlı olmalıdır. Aydınlatma yapılırken verinin hangi zaman dönemi içerisinde işlenmeye devam edileceği mutlaka belirtilmelidir. Gerekli güvenlik tedbirlerinin alındığına ve özel nitelikli verilerin yetkisiz üçüncü kişilerin erişimine açılmadığına emin olunmalıdır. Bu süreç devam ettiği sürece acil durumda alınacak önlemlerin ve karar verme mekanizmasının nasıl işleyeceğine yönelik dokümantasyon yapılmalıdır.

3- Mobil Konum Verisi

Kamu kurumları ilgili kişilerin mobil konum verilerini öncelikle konum verisi işlenen kişinin ayırt edilmeyeceği şekilde anonim şekilde işlemelidirler. Bu tarz bir anonim işlemede, kişisel veri işleme hükümleri uygulanmayacaktır. Böyle bir anonim işlemenin mümkün olmaması durumunda e-Gizlilik Direktifinin 15.maddesine göre, üye ülkeler kamu güvenliğinin sağlanması için kendi önlemlerini almak bakımından serbesttir. Ancak bu tarz münferit önlemlerin alınması halinde, üye ülkelerin ilgili kişilere yeterli hukuki güvenceleri sağlaması yükümlülükleri bulunmaktadır. Yine ölçülülük prensibi uygulanmalı, amaca hizmet edecek ve ilgili kişiye en az zarar verecek spesifik yöntemler tercih edilmelidir. Kişilerin hayatlarına müdahale anlamı taşıyan “Bireyin takibi” ancak belli koşullar altında ölçülü ve uygun olarak kabul edilebilir ki bu yöntem uygulandığı taktirde veri işlemenin temel ilkelerine uygun şekilde güvenlik tedbirlerinin tesis edilmesi gerekmektedir.

4- İş Hukuku Bakımından

İşveren ancak yerel mevzuatı izin verdiği ölçüde ziyaretçi ve işçinin sağlık verisini işleyebilir ve çalışanına sağlık taraması yapabilir. Yine burada dikkat edilmesi gereken husus, ölçülülük ve veri minimizasyonu prensipleridir.

İşveren, Covid-19 bakımından enfekte olmuş bir çalışanının bilgisini zorunlu olandan fazla bilgi vermemek ve gerekli güvenlik tedbirlerini almak kaydıyla diğer çalışanlarıyla paylaşmak zorundadır. Yerel mevzuatın izin vermesi halinde enfekte olmuş çalışan veya çalışanların isimleri kişilerin onur ve haysiyetlerinin korunması şartıyla diğer ilgili kişilere açıklanabilir.

Sonuç olarak, işverenler yerel mevzuata uygun şekilde hukuki yükümlülüklerini yerine getirmek amacıyla Covid-19 kapsamında her türlü kişisel veriyi işleyebilirler.

Kurumun “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenlere İlişkin Açıklaması”

Kurum, Covid-19 salgını devam ederken kişisel verilerin işlenmesine yönelik olarak ilk açıklamasını 23.03.2020 tarihinde yapmıştı. Bu açıklamada yalnızca Kurum’a yapılacak bildirimler bakımından bir değerlendirme yapılmış olup ülkemizin içinde bulunduğu bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşulların gözetileceği hususu ifade edilmiştir. Bu açıklamanın Kanun’un uygulanması bakımından hiçbir soruna çözüm yolu sunmaması ve gün geçtikçe kişisel verilerin işlenmesi bakımından yeni problemlerin ortaya çıkması göz önüne alınmış olmalı ki Kurum tarafından bu sefer de 27.03.2020 tarihinde bir açıklama yapılmıştır: [2]

1- Kişisel Verilerin İşlenmesine İlişkin Temel Prensipler

Covid-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme prensiplerinin bulunması gerekmektedir. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

2- Kanuna Uygunluk

Özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır. Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanunun 5 inci maddesinde kişisel veri işleme şartlarının dikkate alınması gerekecektir.

Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Bu çerçevede, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmamaktadır.

3- Aydınlatma Yükümlülüğü (Şeffaflık), Gizlilik ve Veri Minimizasyonu

Kişisel verileri işleyen veri sorumluları, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır. Bireylere kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlamalıdırlar.

Covid-19 virüsünün yayılmasını önleme bağlamında, veri sorumlusu ve veri işleyenler tarafından herhangi bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınmalıdır. Etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir.

Covid-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetleri de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır. Hedeflenen amaca ulaşmak için imkân dâhilindeki en müdahaleci olmayan yolun tercih edilmesi gerekmektedir.

4- İş Hukuku Bakımından

İşveren, vakalar hakkında personeli bilgilendirmelidir. Bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görülmektedir.

İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir. Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.

 

Kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.

Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilir.

5- Diğer Hususlar

Kamu kurum ve kuruluşlarının Covid-19 virüsü gibi küresel salgın boyutuna ulaşan durumlarda kamu sağlığının ve kamu düzeninin sağlanması ile ilgili yükümlülükleri bulunduğundan halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir. Bu durumda ilgili sağlık kurum ve kuruluşları kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar gönderebilirler.

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmekteyse de çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

Bu olağanüstü süreçte her bir ilgili başvurusu ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşullar gözetilecektir.

Sonuç ve Değerlendirme

Yukarıda ayrıntılı şekilde değinmiş olduğumuz üzere, EDPB ve Kurum, Covid-19’un tüm dünyada yayılması üzerine bugüne kadar Veri Koruma Hukuku bakımından ortaya çıkan sakıncaları gidermek adına bir takım tavsiye görüşleri yayınlamışlardır. Ancak iki kurum da en önemli konu başlığı olan sağlık verilerinin yetkili sağlık kurumları dışındaki veri sorumluları tarafından işlenmesi hususunda muğlak ifadeler kullanmışlar, veri sorumlularını bir nevi kendi çözümlerini bulmaya yöneltmişlerdir. Özellikle Kanunumuza göre, yetkili kurum ve kuruluşlar dışında sağlık verilerinin diğer veri sorumluları tarafından ilgili kişinin açık rızası olmadan işlenmesi mümkün değildir.

Uygulamada veri sorumluları tarafından muhtemelen en çok kullanılacak çözüm yöntemi, ilgili kişilerden açık rıza alması yolu olacaktır. Ancak belirtmek gerekir ki Kanunumuza göre açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Bu bağlamda kişinin sağlık verisini paylaşmaması veya ezcümle ateşinin ölçülmesine izin vermemesi durumunda kendisinin mahrum bırakılacağı bir takım hizmetlerin yahut imkanların olması muhtemeldir. Bu durumda da açık rızanın hizmet şartına bağlanması durumu ortaya çıkacaktır ki bu da açık rızanın sakat olduğu anlamına gelir.[3]

Sonuç olarak Kanunumuzda salgın hastalık veya kamu sağlığının korunması durumunda yetkili kurum ve kuruluşlar haricindeki veri sorumlularına veri işlemeyi hukuka uygun hale getiren bir istisna tanınmadığından veri sorumluları, veri işleme faaliyetini temel ilkelere, özellikle veri minimizasyonu ve ölçülülüğe, uygun şekilde gerçekleştirmeli, sağlık verisi işlenecekse işyeri hekimini devreye sokma ihtimalini değerlendirmeli ve teknik ve idari tedbirlerin alınması noktasında azami dikkat ve özen göstermelidir.

 

[1] https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_en

[2] https://kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-

[3] https://www.kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina-Baglanmasi