COVID-19 ve Kişisel Verilerin Korunması

1. Covid-19 salgınının önlenmesi için yapılan mücadele ve alınan önlemler kapsamında kişisel verilerin kamu sağlığının korunması amacı ile işlenmesi Kişisel Verilerin Korunması Kanunu kapsamında bir istisna sayılabilir mi? Ya da bu kapsamdaki veri işlemenin hukuka uygunluk nedenleri nelerdir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) m. 28 altında kanunun uygulamasından istisna tutulabilecek haller sayılmıştır. Buna göre 6698 sayılı Kanun m. 28/1(ç) uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde 6698 sayılı Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Bu kapsamda, Kişisel Verileri Koruma Kurumu’nun 27 Mart 2020 tarihinde yayınlanan kamuoyu duyurusunda da belirtildiği üzere mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve belirtilen madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesi mümkündür.

Öte yandan Sağlık Bakanlığı ve ilgili kamu kurum ve kuruluşları dışında kalan veri sorumluları açısından bu istisnadan yararlanılması mümkün değildir. Ayrıca kişisel verilerin ya da özel nitelikli kişisel verilerin (sağlık verileri gibi) işlenmesinde hukuka uygunluk nedenleri arasında kamu sağlığının korunması ya da salgın risklerinin önlenmesi gibi bir işleme nedeni de bulunmamaktadır. 6698 sayılı Kanun m. 6/3 altında sağlık verilerinin işlenmesine sağlanan istisnai kural sınırlı şekilde düzenlendiği için pratikte uygulama alanı oldukça sınırlıdır.

Bu sebeple 6698 sayılı Kanun kapsamında sağlık verilerinin işlenmesi şartları bakımından m. 6/2’de düzenlenen açık rızanın alınması söz konusu olacaktır. Bunun yanında sağlık verisi addedilmeyen ya da özel nitelikli kişisel veri kapsamında bulunmayan kişisel veriler için 6698 sayılı Kanun m. 5/2 kapsamındaki (açık rıza haricindeki) veri işleme şartları duruma göre uygulama alanı bulabilir.

2. İşverenler çalışanlarının ya da işyerine gelen ziyaretçilerin seyahat bilgilerini işleyebilirler mi?

6331 sayılı İş Sağlığı ve Güvenliği Kanunu m. 4 uyarınca, işverenler, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlüdür.

Dolayısıyla Covid-19 salgınının işyerinde yayılmasını önlemek ve çalışanlarının sağlığını korumak amacıyla işverenlerin bir takım önlemler alması gerekecektir.

Bu çerçevede pek çok işyeri çalışanlarının son dönemlerde (özellikle son 14 günde) yaptıkları seyahatler ile ilgili bilgi talep etmektedir. Benzer şekilde işyerine gelen ziyaretçilerden de benzeri bilgiler talep edilmektedir.

Kişisel Verileri Koruma Kurumu da 27 Mart 2020 tarihinde yayınlanan duyurusunda, işverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunduğundan, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelebileceğini, bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerektiğini belirtmiştir. Kurum ayrıca bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurların dikkate alınması gerektiğini belirtmiştir.

Çalışanların ya da ziyaretçilerin seyahat bilgileri, 6698 sayılı Kanun kapsamında kişisel veri olarak kabul edilir. Bu sebeple işverenler bu verileri toplama ve işleme faaliyetleri çerçevesinde veri sorumlusu olarak nitelendirileceklerdir. Dolayısıyla veri sorumlusu olan işverenlerin çalışanların seyahat bilgilerini işlerken 6698 sayılı Kanun’un ilgili maddelerine uygun hareket etmesi gerekmektedir.

Veri sorumluları, çalışanların ya da ziyaretçilerin seyahat verilerini, 6698 sayılı Kanun m. 5/2(ç) uyarınca “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” işleme şartına dayanarak açık rızalarını aramaksızın işleyebilirler.

Öte yandan veri sorumlusu işverenlerin söz konusu verileri işlerken 6698 sayılı Kanun m. 4’te düzenlenen genel ilkelere uyması gerektiğini hatırlatmak gerekir. Bu çerçevede işverenler söz konusu verileri hukuka ve dürüstlük kurallarına uygun ve doğru ve güncel bir şekilde ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlemelidirler. Kişisel Verileri Koruma Kurumu da 27 Mart 2020 tarihinde yayınlanan duyurusunda 6698 sayılı Kanun’da düzenlenen temel ilkelerin COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve tüm kişisel veri işleme faaliyetlerinin bu ilkelere uygun olarak gerçekleştirilmesi gerektiğini belirtmiştir. Dolayısıyla veri sorumlusu işverenler seyahat verilerini, yalnızca Covid-19 salgını ile mücadele etmek ve işyerinde gerekli önlemleri alabilmek için yeterli ve gerekli ölçüde almalı ve işlemeli; gerektiğinden fazla kişisel veri işlememelidir. Bu çerçevede örneğin çalışan ve ziyaretçilerin hangi ülkelere seyahat ettikleri bilgisini talep etmek makul kabul edilebilecekken ilgili ülkede bulunulan spesifik adresin talep edilmesinin ölçülülük sınırını aştığı kabul edilebilir.

3. İşverenler, Covid-19 salgını ile mücadele kapsamında çalışanlarından ya da işyerine gelen ziyaretçilerden herhangi bir hastalık belirtisi gösterip göstermediğini bildirmesini talep edebilir mi? Çalışanların ya da ziyaretçilerin aile bireyleri ya da yakınlarının sağlık durumları hakkında bilgi verilmesini talep edebilir mi? Bu çerçevede işyerine girişte çalışanların ya da ziyaretçilerin ateşlerini ölçebilir mi veya termal kameralar kullanarak bu kişilere ilişkin bilgi toplayabilir mi?

Covid-19 salgını kapsamında çalışanların ya da ziyaretçilerin herhangi bir hastalık belirtisi gösterip göstermediği, ateşi olup olmadığı hakkındaki veriler sağlık verisi olup, 6698 sayılı Kanun m. 6 kapsamında özel nitelikli kişisel veri olarak kabul edilmektedir.

6698 sayılı Kanun m. 6/2 uyarınca kural olarak özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Öte yandan aynı maddenin 3. fıkrası uyarınca sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir.

Sağlık verilerinin Covid-19 salgını ile mücadele çerçevesinde işlenmesinin “kamu sağlığının korunması” amacıyla yapıldığı kabul edilse de bu işleme şartından yararlanılabilmesi ve sağlık verilerinin açık rızaya ihtiyaç duyulmadan işlenebilmesi için söz konusu veri işlemenin yalnızca “sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar” tarafından gerçekleştirilmesi gerekmektedir. İşverenler sır saklama yükümlülüğü bulunan kişi veya yetkili kurum ve kuruluşlar olarak değerlendirilemeyeceğinden işverenlerin ziyaretçilerinin veya çalışanlarının sağlık verilerinin işlenme sürecine işyeri hekimini dahil etmeleri bu konuda bir çözüm olabilecektir. Burada söz konusu sağlık verilerinin işverenle paylaşılmadan yalnızca işyeri hekimi tarafından işlenmesine dikkat edilmesi gerekir. Aksi takdirde işverenlerin ziyaretçilerden ve çalışanlardan açık rızalarını alması gerekecektir.

Kişisel Verileri Koruma Kurumu’nun 27 Mart 2020 tarihinde yayınlanan duyurusunda da sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, açık rıza dışındaki şartlar dâhilinde, sağlık verilerinin işyeri hekimleri tarafından işlenmesinin söz konusu olacağı belirtilmiştir.

4. İşverenlerin, ziyaretçileri ve çalışanlarını kendilerine ilişkin kişisel verilerin işlendiği hakkında bilgilendirmesi gerekir mi?

6698 sayılı Kanun’un veri sorumluları için öngördüğü en önemli yükümlülüklerden biri, 10. maddede düzenlenen aydınlatma yükümlülüğüdür.

Veri sorumluları kişisel verileri işlerken hangi işleme şartına dayanırlarsa dayansınlar (diğer bir ifade ile ister ilgili kişiden açık rıza alsınlar isterse de açık rıza gerektirmeyen diğer işleme şartlarına dayansınlar) ilgili kişileri yaptıkları veri işleme faaliyeti hakkında aydınlatmak zorundadırlar. Bu çerçevede işverenler de veri sorumlusu olarak çalışanları ve ziyaretçileri söz konusu veri işleme faaliyetlerini gerçekleştirmeden önce aydınlatmakla yükümlüdür.

5. İşverenlerin çalışanlarından ya da ziyaretçilerinden açık rıza almak istemeleri halinde çalışanın açık rıza vermemesi ya da açık rıza alınamaması halinde, iş yerine girişin engellenmesi açık rıza alınmasını sakatlayan bir durum olarak addedilebilir mi?

Açık rızanın en önemli unsurunun “özgür irade” olduğunu biliyoruz. Bu kapsamda, normal koşullarda açık rızanın bir hizmetin verilmesinin önkoşulu olamayacağı kuralı da mevcuttur ya da açık rıza verilmemesi halinin adeta bir yaptırıma bağlanması da açık rızayı sakatlayan hallerdir. Maalesef 6698 sayılı Kanun özellikle sağlık verilerinin işlenmesini öyle sınırlı hallere bağlamıştır ki, bu tip salgın durumlarında dahi, sağlık verilerinin işlenmesini açık rızaya bağlamayan durumlar oldukça sınırlıdır. Uygulamada bu tip sorunları aşmak için ilgili kişilerin en uygun ve doğru şekilde aydınlatılması, konunun hassasiyeti konusunda bilgi verilmesi önemlidir. Kişilerin açık rıza vermemeleri halinde, ziyaretlerin yerinde gerçekleştirilememesi durumu, ancak uzaktan görüşme sağlanabileceği hususunda uzlaşmacı çözümler sunulabilir. Çalışanlar bakımından da işverenin işyeri sağlığını ve güvenliğini koruma yükümlülüğü çalışana tekrar aktarılabilir.

Diğer yandan 6698 sayılı Kanun kapsamında veri işleme sayılmayacak şekilde verilerin alınması da uygulama açısından mümkünse kolaylık getirebilir.

6. Kamu kurum ve kuruluşları sağlık verisi ve diğer kişisel verileri işleyebilir mi?

6698 sayılı Kanun m. 28/1(ç) uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde 6698 sayılı Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

6698 sayılı Kanun’un amacı ve durumun niteliği göz önüne alındığında, COVID-19 salgınının bir “kamu güvenliği” ve “kamu düzeni” meselesi sayılabileceği ve yetkili kamu kurum ve kuruluşlarının Covid-19 salgını kapsamında kamu sağlığını korumaya dair aldığı önlemlerin “kamu güvenliği”  ve “kamu düzeni” istisnasından yararlanabileceği düşünülmektedir. Kişisel Verileri Koruma Kurumu da 27 Mart 2020 tarihinde yayınlanan kamuoyu duyurusunda da belirttiği üzere mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve belirtilen madde kapsamına giren kamu kurum ve kuruluşları tarafından 6698 sayılı Kanun m. 28/1(ç) kapsamında işlenmesi mümkündür.

7. İşverenler, çalışanlarına ilişkin kişisel verileri yetkili kamu kurum ve kuruluşları ile paylaşabilir mi?

Yukarıda belirtildiği üzere yetkili kamu kurum ve kuruluşlarının kamu güvenliğini sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamındaki veri işleme faaliyetleri 6698 sayılı Kanun’un uygulanmasından istisna tutulmuştur. Dolayısıyla yetkili kamu kurum ve kuruluşlarının söz konusu faaliyetler çerçevesinde işverenlerden çalışanlara yönelik verilerin paylaşılmasını istemesi halinde işverenlerin çalışanlarının kişisel verilerini paylaşması gerekebilecektir.

6698 sayılı Kanun m. 8 uyarınca kişisel veriler ilgili kişinin açık rızası ile aktarılabileceği gibi m. 5/2 veya m. 6/3’te belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Dolayısıyla yetkili kamu kurum ve kuruluşları tarafından talep edilen kişisel verilerin sağlık verisi gibi özel nitelikli veri olmadığı durumlarda, işverenler veri sorumlusu olarak söz konusu kişisel verileri 6698 sayılı Kanun 5/ç uyarınca “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” işleme şartı çerçevesinde ilgili kurum ve kuruluşlara iletebilecektir. Öte yandan talep edilen verilerin sağlık verisi gibi özel nitelikli veriler olması halinde söz konusu veriler ancak 6698 sayılı Kanun madde 6/3 uyarınca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından talep edilmesi halinde bu kişilerle paylaşılabilecektir.

Kişisel Verileri Koruma Kurumu da 27 Mart 2020 tarihinde yayınlanan kamuoyu duyurusunda 6698 sayılı Kanun m. 8 ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel verilerin işveren tarafından ilgili makamlar ile paylaşılabileceğini belirtmiştir.

8. Covid-19 salgını ile mücadele için alınan önlemler çerçevesinde evden çalışmaya başlayan işyerlerinin kişisel verilerin korunmasına yönelik ek güvenlik önlemleri alması gerekir mi?

6698 sayılı Kanun m.12 uyarınca veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Covid-19 salgını sonrasında söz konusu yükümlülükte bir değişiklik olmamıştır. Dolayısıyla işverenler veri sorumlusu olarak evden çalışma düzenine geçilmesi durumunda da herhangi bir veri güvenliği ihlali ile karşılaşmamak adına kanunda öngörülen bu yükümlülüğe uygun davranılması için gerekli önlemleri almalıdır. Öte yandan işyerindeki teknik ve idari tebdirlerin evden çalışma durumunda da devam ettirilmesi için gerekli olması halinde ek teknik ve idari tedbirler alınması; evden çalışmaya başlayan çalışanlarının konu hakkında bilgilendirilmesi ve eğitilmesi gündeme gelebilir.

Kişisel Verileri Koruma Kurumu da 27 Mart 2020 tarihinde yayınlanan kamuoyu duyurusunda bu yönde açıklamalarda bulunmuş olup, uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerektiğinin altını çizmiştir.

9. İşverenler çalışanlarının güvenlik önlemleri kapsamında lokasyon verilerini tutabilirler mi?

Lokasyon verilerinin alınması duruma göre değerlendirilmelidir. Ancak birçok durumda işverenler bakımından bu verilerin işlenmesi ölçülülük kriterleri çerçevesinde uygun olmaz. Özellikle salgın risklerinin önlenmesi için bu tip verinin işlenmesinin ölçülülük, veri işleme amacı ile bağlılık gibi genel veri işleme kuralları ile çok uygun olmadığı düşünülmektedir.

10. Kişisel Veri Koruma Kanunu nezdinde işleyen süreler bakımından bir değişiklik söz konusu mu?

Kişisel Verileri Koruma Kurumu, 23 Mart 2020 tarihinde ve 27 Mart 2020 tarihinde yayınlamış olduğu kamuoyu duyurularında, bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiğinin bilincinde olduklarını ve bu sebeple 6698 sayılı Kanun kapsamında iletilen şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurum’a gerek ilgili kişilere karşı yükümlülükleri açısından 6698 sayılı Kanun’da ve ilgili alt düzenlemelerde belirtilen sürelere uyumlarının değerlendirilmesi açısından içinde bulunduğumuz olağanüstü koşulları gözeteceklerini belirtmiştir.

11. İşyerleri, avmler, bankalar ya da kamu kurumlarına girişin HES kodu sorgulaması ile gerçekleştirilebilmesi mümkün müdür?

6698 sayılı Kanun m. 28/1(ç) uyarınca uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde 6698 sayılı Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Dolayısıyla HES kodu sorgulaması kamu kurum ve kuruluşları tarafından yapıldığında, 6698 sayılı Kanun hükümleri kapsamında sayılmayacaktır.

İşyerleri, avmler, bankalar açısından ise HES kodu sorgulamasının ilgili yerlere girişte doğuracağı sonuçlar ve HES kodu sorgulama bilgilerinin kayıt altına alınıp alınmayacağı incelenmelidir. Ancak kamu kurum ve kuruluşu niteliğinde bulunmayan avm, banka ve diğer işyerlerinin HES kodu sorgulama yoluyla ilgili ziyaretçi kabul etme yönündeki uygulamaları,bu uygulamayı İç İşleri Bakanlığı genelgesine veya valilik kararına uyum amacıyla yapmaları durumunda dahi, söz  konusu veri işleme faaliyeti esasen sağlık verisi işlenmesi sonucunu doğurabileceği için 6698 sayılı Kanun hükümlerine uyum sağlanarak, özellikle sağlık verilerinin işlenmesindeki şartlar yerine getirilerek (aydınlatma ve açık rıza alınması gibi) yapılmalıdır.


Aboneliğinizi Yönetin

Güncel hukuki görüşlerimiz ve etkinliklerimiz hakkında özelleştirilmiş bilgilendirme için abone olun.