COVID-19 ve Kişisel Verilerin Korunması


1. Covid-19 salgınının önlenmesi için yapılan mücadele ve alınan önlemler kapsamında kişisel verilerin kamu sağlığının korunması amacı ile işlenmesi Kişisel Verilerin Korunması Kanunu kapsamında bir istisna sayılabilir mi? Ya da bu kapsamdaki veri işlemenin hukuka uygunluk nedenleri nelerdir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) m. 28 altında kanunun uygulamasından istisna tutulabilecek haller sayılmıştır. Ancak bu haller arasında kişisel verilerin kamu sağlığının korunması, salgın risklerinin önlenmesi amacı ile işlenmesi halleri maalesef yer almamaktadır.

Diğer yandan kişisel verilerin ya da özel nitelikli kişisel verilerin (sağlık verileri gibi) işlenmesinde hukuka uygunluk nedenleri arasında yine benzeri bir işleme nedeni bulunmamaktadır. 6698 sayılı Kanun m. 6/3 altında sağlık verilerinin işlenmesine sağlanan istisnai kural sınırlı şekilde düzenlendiği için pratikte uygulama alanı oldukça sınırlıdır.

Bu sebeple 6698 sayılı Kanun kapsamında sağlık verilerinin işlenmesi şartları bakımından m. 6/2’de düzenlenen açık rızanın alınması söz konusu olacaktır. Bunun yanında sağlık verisi addedilmeyen ya da özel nitelikli kişisel veri kapsamında bulunmayan kişisel veriler için 6698 sayılı Kanun m. 5/2 kapsamındaki (açık rıza haricindeki) veri işleme şartları duruma göre uygulama alanı bulabilir.

2. İşverenler çalışanlarının ya da işyerine gelen ziyaretçilerin seyahat bilgilerini işleyebilirler mi?

6331 sayılı İş Sağlığı ve Güvenliği Kanunu m. 4 uyarınca, işverenler, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlüdür.

Dolayısıyla Covid-19 salgınının işyerinde yayılmasını önlemek ve çalışanlarının sağlığını korumak amacıyla işverenlerin bir takım önlemler alması gerekecektir.

Bu çerçevede pek çok işyeri çalışanlarının son dönemlerde (özellikle son 14 günde) yaptıkları seyahatler ile ilgili bilgi talep etmektedir. Benzer şekilde işyerine gelen ziyaretçilerden de benzeri bilgiler talep edilmektedir.

Çalışanların ya da ziyaretçilerin seyahat bilgileri, 6698 sayılı Kanun kapsamında kişisel veri olarak kabul edilir. Bu sebeple işverenler bu verileri toplama ve işleme faaliyetleri çerçevesinde veri sorumlusu olarak nitelendirileceklerdir. Dolayısıyla veri sorumlusu olan işverenlerin çalışanların seyahat bilgilerini işlerken 6698 sayılı Kanun’un ilgili maddelerine uygun hareket etmesi gerekmektedir.

Veri sorumluları, çalışanların ya da ziyaretçilerin seyahat verilerini, 6698 sayılı Kanun m. 5/2(ç) uyarınca “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” işleme şartına dayanarak açık rızalarını aramaksızın işleyebilirler.

Öte yandan veri sorumlusu işverenlerin söz konusu verileri işlerken 6698 sayılı Kanun m. 4’te düzenlenen genel ilkelere uyması gerektiğini hatırlatmak gerekir. Bu çerçevede işverenler söz konusu verileri hukuka ve dürüstlük kurallarına uygun ve doğru ve güncel bir şekilde ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlemelidirler. Dolayısıyla veri sorumlusu işverenler seyahat verilerini, yalnızca Covid-19 salgını ile mücadele etmek ve işyerinde gerekli önlemleri alabilmek için yeterli ve gerekli ölçüde almalı ve işlemeli; gerektiğinden fazla kişisel veri işlememelidir. Bu çerçevede örneğin çalışan ve ziyaretçilerin hangi ülkelere seyahet ettikleri bilgisini talep etmek makul kabul edilebilecekken ilgili ülkede bulunulan spesifik adresin talep edilmesinin ölçülülük sınırını aştığı kabul edilebilir.

3. İşverenler, Covid-19 salgını ile mücadele kapsamında çalışanlarından ya da işyerine gelen ziyaretçilerden herhangi bir hastalık belirtisi gösterip göstermediğini bildirmesini talep edebilir mi? Çalışanların ya da ziyaretçilerin aile bireyleri ya da yakınlarının sağlık durumları hakkında bilgi verilmesini talep edebilir mi? Bu çerçevede işyerine girişte çalışanların ya da ziyaretçilerin ateşlerini ölçebilir mi veya termal kameralar kullanarak bu kişilere ilişkin bilgi toplayabilir mi?

Covid-19 salgını kapsamında çalışanların ya da ziyaretçilerin herhangi bir hastalık belirtisi gösterip göstermediği, ateşi olup olmadığı hakkındaki veriler sağlık verisi olup, 6698 sayılı Kanun m. 6 kapsamında özel nitelikli kişisel veri olarak kabul edilmektedir.

6698 sayılı Kanun m. 6/2 uyarınca kural olarak özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Öte yandan aynı maddenin 3. fıkrası uyarınca sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir.

Sağlık verilerinin Covid-19 salgını ile mücadele çerçevesinde işlenmesinin “kamu sağlığının korunması” amacıyla yapıldığı kabul edilse de bu işleme şartından yararlanılabilmesi ve sağlık verilerinin açık rızaya ihtiyaç duyulmadan işlenebilmesi için söz konusu veri işlemenin yalnızca “sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar” tarafından gerçekleştirilmesi gerekmektedir. İşverenler sır saklama yükümlülüğü bulunan kişi veya yetkili kurum ve kuruluşlar olarak değerlendirilemeyeceğinden işverenlerin ziyaretçilerinin veya çalışanlarının sağlık verilerinin işlenme sürecine işyeri hekimini dahil etmeleri bu konuda bir çözüm olabilecektir. Burada söz konusu sağlık verilerinin işverenle paylaşılmadan yalnızca işyeri hekimi tarafından işlenmesine dikkat edilmesi gerekir. Aksi takdirde işverenlerin ziyaretçilerden ve çalışanlardan açık rızalarını alması gerekecektir.

4. İşverenlerin, ziyaretçileri ve çalışanlarını kendilerine ilişkin kişisel verilerin işlendiği hakkında bilgilendirmesi gerekir mi?

6698 sayılı Kanun’un veri sorumluları için öngördüğü en önemli yükümlülüklerden biri, 10. maddede düzenlenen aydınlatma yükümlülüğüdür.

Veri sorumluları kişisel verileri işlerken hangi işleme şartına dayanırlarsa dayansınlar (diğer bir ifade ile ister ilgili kişiden açık rıza alsınlar isterse de açık rıza gerektirmeyen diğer işleme şartlarına dayansınlar) ilgili kişileri yaptıkları veri işleme faaliyeti hakkında aydınlatmak zorundadırlar. Bu çerçevede işverenler de veri sorumlusu olarak çalışanları ve ziyaretçileri söz konusu veri işleme faaliyetlerini gerçekleştirmeden önce aydınlatmakla yükümlüdür.

5. İşverenlerin çalışanlarından ya da ziyaretçilerinden açık rıza almak istemeleri halinde çalışanın açık rıza vermemesi ya da açık rıza alınamaması halinde, iş yerine girişin engellenmesi açık rıza alınmasını sakatlayan bir durum olarak addedilebilir mi?

Açık rızanın en önemli unsurunun “özgür irade” olduğunu biliyoruz. Bu kapsamda, normal koşullarda açık rızanın bir hizmetin verilmesinin önkoşulu olamayacağı kuralı da mevcuttur ya da açık rıza verilmemesi halinin adeta bir yaptırıma bağlanması da açık rızayı sakatlayan hallerdir. Maalesef 6698 sayılı Kanun özellikle sağlık verilerinin işlenmesini öyle sınırlı hallere bağlamıştır ki, bu tip salgın durumlarında dahi, sağlık verilerinin işlenmesini açık rızaya bağlamayan durumlar oldukça sınırlıdır. Uygulamada bu tip sorunları aşmak için ilgili kişilerin en uygun ve doğru şekilde aydınlatılması, konunun hassasiyeti konusunda bilgi verilmesi önemlidir. Kişilerin açık rıza vermemeleri halinde, ziyaretlerin yerinde gerçekleştirilememesi durumu, ancak uzaktan görüşme sağlanabileceği hususunda uzlaşmacı çözümler sunulabilir. Çalışanlar bakımından da işverenin işyeri sağlığını ve güvenliğini koruma yükümlülüğü çalışana tekrar aktarılabilir.

Diğer yandan 6698 sayılı Kanun kapsamında veri işleme sayılmayacak şekilde verilerin alınması da uygulama açısından mümkünse kolaylık getirebilir.

6. Kamu kurum ve kuruluşları sağlık verisi ve diğer kişisel verileri işleyebilir mi?

6698 sayılı Kanun m. 28/1(ç) uyarınca kişisel verilerin kamu güvenliğini sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi durumunda kanun bu işleme faaliyetlerine uygulanmayacaktır.

6698 sayılı Kanun’un amacı ve durumun niteliği göz önüne alındığında, COVID-19 salgınının bir “kamu güvenliği” meselesi sayılabileceği ve yetkili kamu kurum ve kuruluşlarının Covid-19 salgını kapsamında kamu sağlığını korumaya dair aldığı önlemlerin “kamu güvenliği”  istisnasından yararlanabileceği düşünülmektedir. Dolayısıyla yetkili kamu kurum ve kuruluşları, kamu güvenliği amacıyla yapacakları söz konusu işleme faaliyetleri çerçevesinde 6698 sayılı Kanun’un kapsamı dışında kalacaklardır.

7. İşverenler, çalışanlarına ilişkin kişisel verileri yetkili kamu kurum ve kuruluşları ile paylaşabilir mi?

Yukarıda belirtildiği üzere yetkili kamu kurum ve kuruluşlarının kamu güvenliğini sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamındaki veri işleme faaliyetleri 6698 sayılı Kanun’un uygulanmasından istisna tutulmuştur. Dolayısıyla yetkili kamu kurum ve kuruluşlarının söz konusu faaliyetler çerçevesinde işverenlerden çalışanlara yönelik verilerin paylaşılmasını istemesi halinde işverenlerin çalışanlarının kişisel verilerini paylaşması gerekebilecektir.

Talep edilen kişisel verilerin sağlık verisi gibi özel nitelikli veri olmadığı durumlarda, işverenler veri sorumlusu olarak söz konusu kişisel verileri 6698 sayılı Kanun 5/ç uyarınca “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” işleme şartı çerçevesinde ilgili kurum ve kuruluşlara iletebilecektir. Öte yandan talep edilen verilerin sağlık verisi gibi özel nitelikli veriler olması halinde söz konusu veriler ancak 6698 sayılı Kanun madde 6/3 uyarınca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından talep edilmesi halinde bu kişilerle paylaşılabilecektir.

8. Covid-19 salgını ile mücadele için alınan önlemler çerçevesinde evden çalışmaya başlayan işyerlerinin kişisel verilerin korunmasına yönelik ek güvenlik önlemleri alması gerekir mi?

6698 sayılı Kanun m.12 uyarınca veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Covid-19 salgını sonrasında söz konusu yükümlülükte bir değişiklik olmamıştır. Dolayısıyla işverenler veri sorumlusu olarak evden çalışma düzenine geçilmesi durumunda da herhangi bir veri güvenliği ihlali ile karşılaşmamak adına kanunda öngörülen bu yükümlülüğe uygun davranılması için gerekli önlemleri almalıdır. Öte yandan işyerindeki teknik ve idari tebdirlerin evden çalışma durumunda da devam ettirilmesi için gerekli olması halinde ek teknik ve idari tedbirler alınması; evden çalışmaya başlayan çalışanlarının konu hakkında bilgilendirilmesi ve eğitilmesi gündeme gelebilir.

9. İşverenler çalışanlarının güvenlik önlemleri kapsamında lokasyon verilerini tutabilirler mi?

Lokasyon verilerinin alınması duruma göre değerlendirilmelidir. Ancak birçok durumda işverenler bakımından bu verilerin işlenmesi ölçülülük kriterleri çerçevesinde uygun olmaz. Özellikle salgın risklerinin önlenmesi için bu tip verinin işlenmesinin ölçülülük, veri işleme amacı ile bağlılık gibi genel veri işleme kuralları ile çok uygun olmadığı düşünülmektedir.

10. Kişisel Veri Koruma Kanunu nezdinde işleyen süreler bakımından bir değişiklik söz konusu mu?

Kişisel Verileri Koruma Kurumu, şu ana kadar Covid-19 salgını sebebiyle ülkemizde yaşanan olağanüstü süreçler çerçevesinde 6698 sayılı Kanun ve ilgili alt mevzuatın ne şekilde uygulanması/yorumlanması gerektiğine ilişkin herhangi bir açıklamada bulunmamıştır.

Öte yandan Kurum Covid-19 ile ilgili 23 Mart 2020 tarihinde yayınlamış olduğu duyuruda, bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiğinin bilincinde olduklarını ve bu sebeple 6698 sayılı Kanun kapsamında iletilen şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurum’a gerek ilgili kişilere karşı yükümlülükleri açısından 6698 sayılı Kanun’da ve ilgili alt düzenlemelerde belirtilen sürelere uyumlarının değerlendirilmesi açısından içinde bulunduğumuz olağanüstü koşulları gözeteceklerini belirtmişlerdir.

First published by Itechlaw - Open Forum, in 30.03.2020

Daha fazla görüş

Paylaş