KORONAVİRÜS İLE MÜCADELE SÜRECİNDE KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA BİLİNMESİ GEREKENLER
-HUKUK BÜLTENİ-
BÜLTEN TARİHİ: 30/03/2020
Kişisel Verileri Koruma Kurumu (“Kurum”) 27.03.2020 tarihinde yayımladığı Kamuoyu Duyurusunda[1] koronavirüs (COVID – 19) salgını ile mücadelede kişisel verilerin korunması mevzuatı kapsamında dikkat edilmesi gereken hususları belirlemiştir.
COVID-19 salgınının yayılmasını engellemek ve etkilerini hafifletmek adına kamu kurum ve kuruluşlarının gerekli adımları attığını ve çeşitli önlemler almak suretiyle mücadele ettiğini ifade eden Kurul; bu önlemlerin alındığı çoğu durumda özel nitelikli kişisel veriler de (sağlıkla ilgili veriler vb.) dahil olmak üzere pek çok kişisel verinin (TC kimlik no, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesinin kaçınılmaz olduğunu vurgulamaktadır.
Kurul’a göre bu süreçte öncelikli olarak sağlık hizmetlerinin sağlanması ve kamu sağlığının korunması esastır. Duyuru’da 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKKn) kapsamında özellikle kişilerin sağlık verilerinin ve diğer kişisel verilerin işlenmesi gerektiği durumlarda veri sorumluları ve veri işleyenler tarafından söz konusu faaliyetlerin KVKKn hükümlerine uygun yürütülmesinin sağlanması ve veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin alınmasının önem arz ettiği belirtilmiştir.
Sağlığa ilişkin verilerin KVKKn m. 6 uyarınca “özel nitelikli kişisel veri” olduğu unutulmamalıdır. KVKKn m. 6/II’de “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” şeklinde kural koyulduktan sonra KVKKn m. 6/III’te “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmünü haizdir. Bu sebeple özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır. Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da KVKKn m. 5’te kişisel veri işleme şartlarının dikkate alınması gerekecektir.
Öte yandan, KVKKn m. 28/I-ç’de kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Bu çerçevede, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmamaktadır.
Sanayi ve Teknoloji Bakanlığı, 22 Mart 2020’de “Fabrikalara COVID-19 Uyarıları” başlığı ile yayımladığı duyuruda[2] “ATEŞ ÖLÇÜM KURALI: İş yerine girişlerde istisnasız tüm çalışanların ateşi ölçülmeli. Bilim Kurulunun belirlediği 37,8 derecenin üzerinde ateşi olanlar iş yeri ortamına girmemeli. Ateş ölçen yetkililer çalışanlarla temas etmeksizin zorunlu olarak maske, gözlük ve eldiven kullanmalı. Ateş, öksürük ve nefes darlığı gibi solunum sistemi, enfeksiyon semptomları olanlar çalıştırılmamalı.” şeklinde bir tavsiyede bulunmuştur. Tüm bu hükümler dikkate alındığında, işverenin yetkili kamu kurumlarının tavsiyeleri doğrultusunda ateş ölçümü gibi sağlığa ilişkin verilerin rıza dışı işlenmesi noktasında yeterli açıklığa sahip olmadığı kanaatindeyiz. Bu sebeple, KVKK m. 6’nın koronavirüs (COVID – 19) salgını gibi durumlar gözetilerek değiştirilmesi yerinde olacaktır.
Öte yandan Duyuru’da koronavirüs (COVID – 19) salgını kapsamında sağlıkla ilgili verilerin işlenme şartlarını ortaya koyan Kurul bazı sık sorulan sorulara da cevap vermiştir:
Yönetimlerin, koronavirüs (COVID – 19) gibi küresel salgın boyutuna ulaşan durumlarda kamu sağlığını ve kamu düzenini sağlamak ile ilgili yükümlülükleri bulunmaktadır. Kamu kurum ve kuruluşları, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir.
Bu çerçevede, ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde KVKKn açısından bir engel bulunmamaktadır.
Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir. Salgın sırasında personel evden çalışabilir ve kendi cihazlarını veya iletişim ekipmanlarını kullanabilir. Kişisel verilerin korunması mevzuatı bunu engellemez, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.
Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir.
Ancak unutulmamalıdır ki, çalışanlar tarafından alınacak tedbirler KVKKn kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.
İşveren, vakalar hakkında personeli bilgilendirmelidir. Bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görülmektedir. İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları bulunmaktadır.
Bu kapsamda ilk etapta işverenler tarafından örneğin “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” şeklinde açıklamalarda bulunulması yoluna gidilebilir.
Yukarıdaki örnekte olduğu gibi, bir kurum, kuruluş veya şirket içerisinde yapılacak duyurularda çalışanlara koronavirüs (COVID – 19) enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır.
İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir.
Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.
Kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.
KVKKn m. 8 ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.
Kişisel verilerin korunması mevzuatı kapsamında Kurumumuza intikal eden şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurumumuza gerek ilgili kişilere karşı yükümlülükleri açısından Kanunda ve ilgili alt düzenlemelerde çeşitli süreler belirlenmiş olup, veri sorumluları tarafından bu sürelere riayet edilmesi önem arz etmektedir.
Kanun ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu değildir, ancak Ülkemizin içinde bulunduğu bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşullar gözetilecektir.
Saygılarımızla
Forensis Hukuk Bürosu
Not: Bültenimizde yer verilen açıklamalar, ilgili mevzuat çerçevesinde konuyu genel hatlarıyla ele alır tarzda hazırlanmıştır. Size özel detaylı bilgi için bir hukuk bürosuyla bağlantıya geçmenizi tavsiye ederiz.
[1] https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-
[2] https://www.sanayi.gov.tr/medya/haber-detayi/gLAYI4bI8x47.