Dünya, uzun süredir örneği görülmemiş bir sağlık krizi ile mücadele ediyor. Korona virüsünün Dünya Sağlık Örgütü tarafından “pandemi” olarak kabul edilmesinden sonra ülkeler virüsle mücadele için ciddi önlemler almaya başladı. Alınan önlemler kapsamında, kamu otoriteleri başta olmak üzere ilgili veri sorumluları, virüsün izini sürmek ve yayılmasını engellemek adına farklı metotlarla kişisel veri işlemek durumuyla karşı karşıyalar. Bu tarz süreçlerde alınan önlemlerin kişisel veri mevzuatı kapsamında sınırlarının ne olacağı konusu başta AB ülkelerindeki veri koruma otoriteleri olmak üzere, veri sorumlularının gündemine girdi.
Sağlık Verilerinin İşlenmesinin Kişisel Verilerin Korunması Açısından Değerlendirilmesi
Kişisel verilerin korunması alanında yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili ikincil düzenlemeler, Avrupa Veri Koruma Tüzüğü’nden (“GDPR”) farklı olarak global ölçekte kamu sağlığını tehdit eden böyle bir salgın halinde nasıl bir uygulamaya gidilmesi gerektiği hususunda maalesef aydınlatıcı düzenlemeleri içermemektedir. Zira önlemler kapsamında işlenen kişisel veriler, sağlık verilerini içermektedir ve Kanun’un sağlık verilerinin işlenmesi hususundaki düzenlemelerinin problemli oluşu bu zor günlerde de tekrar gündeme gelmiştir.
Kanun Madde 28 - İstisnalar
Kanun’un “İstisnalar” başlıklı Madde 28 altında, 1. Paragrafın c ve ç bendleri konuyu genel olarak düzenlese de, kamu sağlığının korunması ya da kamu sağlığını tehdit eden risklerin kontrol altına alınması ya da önüne geçilmesi amacı ile kişisel verilerin işlenmesi kapsamında açık bir istisna getirmemektedir. İstisna yalnızca, kamu güvenliğin ve kamu güvenini sağlaması amacıyla kanunla yetki verilmiş kamu kurum ve kuruluşlarını kapsayacak şekilde düzenlenmiştir. Kanun’un amacı ve durumun niteliği göz önüne alındığında, COVID-19 salgınının bir “kamu güvenliği” meselesi sayılabileceği kabul edilmelidir, kamu sağlığını korumaya dair önlemlerin “kamu güvenliği” istisnasından yararlanabileceği düşünülmektedir. Ancak madde kapsamında istisna kanunla yetkilendirilmiş kamu kurum ve kuruluşlarını kapsamaktadır, dolayısıyla oldukça sınırlı bir düzenleme niteliği taşımaktadır.
Kanun madde 6/3 – Sağlık Verilerinin İşlenmesi
Özellikle sağlık verilerinin açık rıza alınmadan işlenebilmesini düzenleyen madde Kanun Madde 6/3 olduğu söylenebilir. İlgili madde uyarınca, “sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar” sağlık verilerini “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla” veri sahibinin açık rızası gerekmeksizin işleyebileceklerdir. İlgili maddenin gerekçesinde ise kamu kurumu ve kuruluşu olmayan veri sorumlarına dair bir açıklama yapılmamıştır. Aksine maddenin kapsamına girebilecek veri sorumlularına Sağlık Bakanlığı gibi kamu kurum ve kuruluşları örnek gösterilmiştir. Bu konuda Kanun’da belirsizlik bulunduğu uzun zamandır tartışılmaktadır. Bu sebeple özellikle özel hukuk tüzel kişiliği niteliği taşıyan veri sorumlularının, açık rıza olmaksızın sağlık verisi gibi özel nitelikli verileri işlemeleri açısından Türk mevzuatında bir düzenleme yoktur.
GDPR kapsamında ise kamu sağlığının korunması amacıyla açık rıza aranmaksızın sağlık verisinin işlenebileceği haller, kamu kurumu/özel kurum ayrımı gözetilmeksizin 9. Madde altında farklı şekillerde düzenlemiştir.
Bildiğimiz üzere işverenlerin işyeri güvenliğini ve işçi sağlığını koruma ve kollama yükümlülükleri bulunmaktadır. Dolayısıyla, kamu kurumu ve kuruluşu niteliği taşımayan veri sorumluları da çeşitli önlemlerle salgının yayılmasını önlemeye ve yapılanmalarını korumaya çalışmaktadır. Alınan önlemler bir takım tıbbi verilerin alınması ya da tıbbi test talep edilerek sonuçlarının kaydedilmesi ya da güncel kişisel verilerin paylaşılması gibi hususları içermektedir. Bu veri işleme faaliyetlerinin mevzuata uygunluğu noktasında ise veri sorumlularının uygulama ile ilgili soru işaretleri bulunmaktadır.
Son günlerde dünyada farklı veri koruma otoritelerinin, mevzuatın söz konusu salgın kapsamında yorumlanması ve netleştirilmesi amacıyla açıklamalar yayınladıkları görülmektedir. İngiliz veri koruma otoritesi ICO, bu süreçte veri sorumlularına başvuru süreçlerindeki cevap verme gibi yükümlülüklerde veya veri ihlali soruşturmalarında daha esnek davranılacağını açıklamıştır. Kişisel Verilerin Korunması Kurumu ise henüz konuya dair bir bilgilendirme yapmamıştır.
Kişisel verilerin kamu sağlığını koruma amaçlı işlenmesi noktasında; verilerin amaca uygun şekilde, ölçülü ve sınırlı olarak işlenmesi, veri güvenliğinin korunması, işlenen verilerin farklı amaçlar ile kullanılmaması ve 3. kişilerle paylaşılmaması gibi temel kurallara uyulması, kanun hükümleri ve güncel koşullar kapsamında önemli bir nitelik taşımaktadır. Bunların yanında, kamu sağlığını korumaya ve riskleri önlemeye yönelik alınan tedbirlerin hukuka uygun olması için, aydınlatma yükümlülüğü gibi genel yükümlülüklerin göz ardı edilmemesi, kişisel haklara saygı duyulması ve sadece gerektiği kadar verinin işlenmesi için veri minimizasyonunun sağlanması gibi kurallara dikkat edilmesi de önemlidir. İşyeri hekimlerinin uygulamada bu gibi önlemlerin uygulama süreçlerine dahil edilmeleri ve süreci yönetmeleri de ilgili mevzuata uyumun sağlanması amacı ile uygun olacaktır.
Umuyoruz hepiniz sağlıklı ve güvendesinizdir, sağlıkla kalın.