6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK); kişisel verilerin korunmasını, temel hak ve özgürlüklere uygun bir şekilde veri işlenmesini, saklanmasını amaçlamaktadır. Kanunda veri sorumlusunun, kişisel verileri işlemesindeki usul ve esaslar belirtilmiştir. Kanunda belirtilen yükümlülüklere aykırı davranmanın hem hukuk hem de cezai sorumluluğu vardır. Kanıma aykırı davrananlar hakkında, beş bin Türk Lirası ile bir milyon Türk Lirası arasında idari para cezası verileceği Kanunun 18. maddesinde düzenlenmiştir.
Çin’in Wuhan kentinden yayılan ve tüm dünyayı etkisi altına alan corona virüsün yol açtığı COVID-19 salgını, Dünya Sağlık Örgütü tarafından pandemik hastalık ilan edilmiştir. Salgın hastalık sebebiyle; ülke çapında önlemler alınmış, birtakım yasal düzenlemeler yapılmıştır. Bu doğrultuda işverenler; sağlığı korumak için önlemleri artırmak amacıyla; çalışanlarının, müşterilerinin, iş ortaklarının ve misafirlerinin sağlık ve seyahat bilgilerini talep etmeye başlamıştır. Bu önlemler; form doldurtmak, ateş ölçmek, sağlıkla ilgil doğrudan soru sormak, muayene etmek...vb. şeklinde olabilmektedir.
Kişisel Verilerin Korunması Kanunu uyarınca; müşteri, çalışan, misafir ve iş ortaklarından alınan seyahat ve sağlık bilgilerinin kişisel veri olduğu hususunda şüphe yoktur. Kişisel verilerin işlenmesinde; veri sorumlusunun aydınlatma yükümlülüğü vardır. Bu yükümlülüğün kapsamı Kanunun 10. maddesinde belirtilmiştir “Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebleri, Kanunun 11inci maddede sayılan diğer hakları” konularında bilgi verilmelidir. İşveren, ilgili kimselerden seyahat ve sağlık bilgilerini talep etmeden önce aydınlatma yükümlülüğünü mutlaka yerine getirmelidir.
Kanun koyucu; kişisel veri ile özel nitelikte kişisel veri ayrımı yapmaktadır. Bu kapsamda, Kanunun 6. maddesi şöyle demektedir: “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” Bu kapsamda, COVID-19 çerçevesinde alınan sağlık verileri özel nitelikte kişisel veridir.
Özel nitelikte kişisel veri KVKK m.6 f.2 çerçevesinde ancak ve ancak ilgili kimsenin açık rızasıyla işlenebilir. Fakat aynı maddenin üçüncü fıkrası bunun istisnalarını düzenlenmektedir, şöyle demektedir: “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” İzah edildiği üzere; genel kural sağlık verilerinin ilgili kişinin açık rızası ile işlenmesi olmakla birlikte, kamu sağlığının korunması amacıyla açık rıza aranmaksızın da işlenebileceği düzenlenmiştir. İlgili maddenin gerekçesinde ise kamu kurum ve kuruluşu olmayan veri sorumlularına dair bir açıklama bulunmamaktadır.
COVID-19 virüsüyle ilgili olarak alınan önlemlerin kanun koyucu tarafından ifade edilen ‘kamu sağlığının korunması’ kapsamında kaldığını söyleyebiliriz. KVKK m.6 f.3 gereği, bu sağlık verilerinin açık rıza aranmaksızın işlenebileceği sonucuna da varabiliriz. Ancak kanunda ifade edilen “sır saklama yükümlülüğü altında bulunan kişileri veya yetkili kurum ve kuruluşları” gözden kaçırmamak gerekir. Kanun koyucu sağlığa ilişkin kişisel veri, kamu sağlığının korunması amacıyla sır saklama yükümlülüğü altında bulunan kimseler, yetkili kurum ve kuruluşlar tarafından işleniyorsa ancak bu durumda açık rızaya gerek olmayacağını düzenlemiştir. Örneğin; işyerine girişte, işyeri hekimi tarafından işçilerin ateşi ölçülüyorsa işverenin sadece aydınlatma yükümlülüğü vardır, açık rıza almasına gerek yoktur. Ancak bu kontrol, diğer bir işçi, sekreter, usta (işyeri hekimi, hemşire gibi kanunen sır saklama yükümlülüğü altında olmayan kimseler) tarafından yapılıyorsa, işverenin hem aydınlatma yükümlülüğü hem de açık rıza alma yükümlülüğü vardır. Kamu sağlığı gerekçesiyle herkesin (İşveren, patron, ustabaşı, güvenlik...vb.) sağlığa ilişkin özel nitelikte kişisel veriyi açık rıza olmaksızın işlemesine kanun izin vermemiştir, bu hususa dikkat edilmelidir. Bu kapsamda işyeri hekim ve işyerindeki hemşire sır saklama yükümlülüğü altında bulunan kişidir. İşyeri hekimi olmasına rağmen veriler bir başka kimse tarafından işleniyorsa ya da verilere işyeri hekimi dışında biri bu verilere erişebiliyorsa ilgili kişinin açık rızası gerekmektedir.
Bu bilgiler ışığında; COVID-19 kapsamında işlenen sağlık ve seyahat verilerinde işverenler tarafından aydınlatma yükümlülüğü unutulmamalıdır. COVID-19 sebebiyle işlenen kişisel verilerde ölçülülük ilkesi göz ardı edilmemelidir. Sağlık verilerinin işlenmesinde; veri işleme sadece işyeri hekimi tarafından ve sadece işyeri hekiminin verilere erişebileceği şekilde ya da bu konuda yetkili kamu kurum ve kuruluşları tarafından yapılıyorsa açık rızaya gerek olmadığını, bunun haricinde ilgilinin açık rızasının alınması gerektiği unutulmamalıdır.