COVID-19 virüsünün yayılmasını engellemek amacıyla alınan önlemler kapsamında özel nitelikli kişisel veriler de dâhil olmak üzere pek çok kişisel verinin işlenmesi kaçınılmaz hale gelmektedir. Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü veri, kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder.
COVİD-19 KAPSAMINDA TOPLANAN VERİLER NELERDİR?
İnsanların sağlığını tehdit eden bu salgın hastalığa çözüm bulabilmek ve kamu sağlığını korumak amacıyla tedbirler uygulanmaya devam edilmektedir. Bu kapsamda, bazı veri sorumluları; çalışanlarına,ziyaretçilerine, müşterilerine veya iş ortaklarına işyerlerine girerken birtakım sorular sormaktadırlar. Kişiye son 14 gün içerisinde yurt dışına seyahat edip etmediği, Covid-19 benzeri belirtiler gösterip göstermediği, ayrıca yakınlarının salgının yoğun olarak yaşandığı yerlere seyahat edip etmediği hususunda sorular yöneltilmektedir. Bununla birlikte ateş ölçerler veya termal kamerayla vücut sıcaklığının düzenli olarak ölçülmesi de söz konusu olmaktadır.
Alınan tedbirler neticesinde 19 Mart 2020 tarihinde Avrupa Veri Koruma Kurulu – EDPB (European Data Protection Board) tarafından yapılan açıklamada; COVID-19 salgını kapsamında işlenmesi gereken kişisel verilerin, veri sorumlusu ve veri işleyenler tarafından,
Kişisel Verilerin Korunması Kanunu’nun genel ilkelerine uygun şekilde işlenmeye devam etmesi gerektiği duyurulmuştur.
Aynı zamanda, 27.03.2020 tarihinde Kişisel Verileri Koruma Kurumu tarafından “Covid19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler “ başlığında bir kamuoyu duyurusu yapılmıştır. Özellikle, kişilerin sağlık verilerinin ve diğer kişisel verilerin işlenmesinin gerektirdiği durumlarda sürecin, söz konusu kanun hükümlerine uygun yürütülmesi ve veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin alınması gerektiği ifade edilmiştir.
Alınan idari tedbirlerin yanı sıra elektronik anlamda da uygulanan yeni yöntemler ortaya çıkmaya başlamıştır. Bu yöntem ile hastalığı taşıyan veya taşıma riski bulunan kişiler ile temasa geçenlerin tespiti, aynı zamanda evde karantinada olanların kontrolü de yapılabilmektedir. Bununla beraber; kalabalık yerlerin tespiti yapılacak ve kişilerin bulunduğu ortamda virüsün yayılma haritası çıkarılabilecektir. Bu anlamda, kamu güvenliğinin korunması ve hastalığın yayılmasının önlenmesi amacıyla kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir. Bu kapsamda KVKK’nın 09.04.2020 tarihinde yayınladığı duyuruda, salgın hastalığın olduğu durumlarda toplum sağlığının korunması ve kamu güvenliğinin sağlanması amacıyla yetkili kurum ve kuruluşlar tarafından bu tür yöntemlerin uygulanmasının mümkün olduğu ifade edilmiştir.
Aynı zamanda Sağlık Bakanlığı tarafından günlük olarak vaka, ölüm ve iyileşen hastaların sayılarının yer aldığı grafik yayınlanmaktadır. İşlenen kişisel verilerin, işlenme amacı; kamu sağlığının ve güvenliğinin korunmasıdır. Burada Kanun’un 28/1. Maddesi gereğince istisnai bir durum söz konusu olup açık rıza aranmamaktadır. Böyle durumlarda da kişisel verilerin güvenliğinin gözetilmesi gerektiği de tartışmasızdır ve bu verilerin pandemi halinin sona ermesinden itibaren anonimleştirilmesi veya yok edilmesi gerekmektedir
Yeni uygulanmaya başlanan bir yöntem olarak, salgın hastalığı sebebiyle hastaneye gidemeyen kişiler için bulundukları noktadan görüntülü olarak sağlık hizmeti verilmeye başlanmıştır ve böylece kişinin birtakım verilerine erişim sağlanmaktadır. Bu verilerin güvenliğine ilişkin olarak online muayene esnasında video kaydının alınması veya alınan kaydın saklanması hususunda kişinin açık rızasının alınması gerekmektedir. COVID-19 sürecinde alınan tedbirlerin, genel ilkelere uygun çerçevede kaydedilmesi ve muhafaza edilmesi gerektiği tartışmasızdır.
KİŞİSEL VERİLERİN KORUNMASINDA GÖZETİLMESİ GEREKEN GENEL İLKELER NELERDİR?
6698 sayılı Kanunda, kişisel verilerin işlenmesinde sayılan genel ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma olarak belirtilmektedir. İşlenen veriler mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
• Kanuna Uygunluk
Kişisel Verilerin Korunması Kanunu’nun 5. maddesinde kişisel verilerin işlenme şartları, 6.maddesinde ise sağlık verilerinin içerisinde olduğu özel nitelikli kişisel verilerin işlenme şartları belirlenmiştir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenemeyeceği belirtilmiştir. Sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansman planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir. Ayrıca Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” detaylıca açıklanmıştır.
Öte yandan, Kanunun 28/1. Maddesinin ç bendinde sayılarak istisnai durumlar ele alınmıştır. Bu kapsamda kişisel verilerin; kamu sağlığının korunması, kamu sağlığını tehdit eden risklerin kontrol altında tutulması veya olası risklerin önüne geçilmesi için kanunla yetki ve görev verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesi durumunda Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.
İstisnai olarak düzenlenen verilerde de veri sorumluları ve veri işleyenlerin, ilgili kişilerin verilerinin güvenliğini sağlamaları zorunludur. Bu nedenle kişisel verilerin hukuka uygun olarak işlenmesi ve hukukun genel ilkelerine uygun olarak tutulması ve saklanması gerekmektedir.
• Aydınlatma ve Açık Rıza Alma Yükümlülüğü
KVKK’nın 10.maddesi kapsamında; ilgili veri sahibine karşı aydınlatma yükümlülüğünün yerine getirilmiş olması gerekmektedir. Bu anlamda, verileri işleyen veri sorumluları, veri sahibine karşı; kişisel verilerin hangi amaçla toplandığını, ne kadar süreyle saklanacağı ve uygulanan önlemler konusunda veri sahibine karşı şeffaf ve bilgilendirici olmakla yükümlülerdir. Veri sorumluları; kişisel veri sahiplerine, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanımı ile bilgi vermek suretiyle aydınlatma yapmalıdır.
Herhangi bir sağlık verisi toplanmadan sorulan sorular, veri sahibinin seyahat ettiği ülkeler veya yakınlarının riskli bölgelere seyahatine ilişkin soruların; T.C. Anayasası ve İş Sağlığı ve Güvenliği mevzuatında öngörülen düzenlemeler çerçevesinde değerlendirildiğinde açık rızanın alınması gerekmeyecektir. Dolayısıyla bu kapsamda alınan kişisel verilerin, KVKK m. 5/2/(a) “kanunlarda öngörülme” hukuki sebebi çerçevesinde açık rıza alınmadan aydınlatma yükümlülüğünün yerine getirilmesi ile mümkündür. Ancak eğer veri sahibinden riskli görülen bölgelere seyahat eden yakınlarına dair ek bilgiler alınmak suretiyle veri toplanıyorsa bu durum KVKK açısından açık rızanın gerektirdiği durumlar içerisinde incelenmektedir.
COVİD-19 belirtilerinin görülüp görülmediğine dair işveren veya yetkilendirilmiş kişi tarafından çalışanlardan bilgi talep edici soruların, yetkili işyeri hekimlerince çalışanlara yöneltilmesi gerekmektedir. İşyeri hekiminin mevcut olmadığı kurum ve işyerlerinde, çalışanların ve veri sahiplerinin konuya ilişkin açık rızalarının alınması zorunludur, rıza vermeyen çalışanlara ise herhangi bir soru yöneltilmemesi gerekmektedir. • Gizlilik
COVID-19 virüsünün yayılmasının önlenmesine ilişkin verilen mücadele sürecinde veri işleyenler, işleme faaliyeti esnasında kişilere ait verilerin güvenliğini sağlamalı ve gerekli tedbirleri almalıdır. Bu kapsamda genel bir istisnai durum söz konusu olmayıp veri sorumlularının, KVKK’da yer alan tedbirlere uyarak veri işleme sorumluluğu devam etmektedir. Verileri işlenen kişilerin verileri; açık ve zorunlu bir gerekçe var olmadıkça, üçüncü kişi ve kurumlara karşı gizli tutulmalıdır.
SONUÇ
Kamu sağlığının korunması amacıyla COVID-19 virüsüne karşı alınan önlemler kapsamında, kişisel veri işleme faaliyetleri; amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bu çerçevede içerisinde bulunduğumuz süreç, kamu sağlığını, güvenliğini ve düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yetkilendirilmiş kamu kurum ve kuruluşları tarafından işlenmesi gerekmektedir.
Covid-19 salgını ile mücadele sırasında işlenen kişisel veriler ile özel nitelikli kişisel veriler; salgın dolayısıyla alınan önlemlerin gerektirdiği süre kadar saklanmalıdır. Mücadelenin sona erdiği noktada bu veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak imha edilmelidir.
Covid-19 salgını sürecinde işlenen kişisel veriler KVKK m.4’de yer alan ilkelere uygun olarak işlenmelidir. Bu kapsamda, Covid-19 taşıyıcısı olan kişiye ait bilgiler; yetkili kurum ve kuruluşlar haricinde herhangi bir kişi veya kurum ile paylaşılmamalı, yapılacak bilgilendirmeler ise anonim halinde yapılmalıdır.
Kevser Paslı