KAPSAM
Yazı içeriğinde, Covid-19 salgını sebebiyle gündeme gelen, kişisel sağlık verilerinin veri sorumlusu işverenler tarafından işlenmesi üzerine ortaya çıkan sorunlar ile kişisel sağlık verilerinin işlenmesi kapsamında, kanunun yürürlük tarihinden itibaren, ortaya çıkan sorunlar örnekler verilerek ele alınacaktır.
Bu doğrultuda Doç. Dr. Mesut Serdar Çekin’in 6 Nisan 2020 tarihinde kaleme aldığı “Rahmetlinin Hayatını Kurtaramadık Ama En Azından Kişisel Sağlık Verilerini Koruduk!!! Covid-19 Pandemisi Karşısında Kişisel Sağlık Verilerinin İşlenmesine Dair KVKK Hükümlerinin İş İlişkileri Kapsamında Değerlendirilmesi” başlıklı yazısına katkı ve tartışmaların derinleştirilmesi kapsamında birtakım yorumlarımız da yer alacaktır[1].
1. KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ SORUNSALI
Kişisel sağlık verileri bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin 3. fıkrası kapsamında “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” şeklinde düzenlenmiştir. Bu doğrultuda kişisel sağlık verilerinin “kanunlarda açıkça öngörülme” hukuki sebebi kapsamında dahi işlenemeyeceği, ancak ve ancak kanun metninde belirlenen sebepler ile sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebileceği açıktır.
Covid-19 salgını kapsamında işverenlere yerine getirmek üzere bazı yükümlülükler söz konusudur. İşverenler tarafından Covid-19 salgının önlenmesi ve kamu sağlığının korunması amacıyla “kişilerin sağlık durumu, kronik rahatsızlığının olup olmadığı, vücut ateşi, en son ne zaman yurt dışına gittiği, yurt dışına giden biri ile temasa geçip geçmediği, virüsten etkilenen bir bölgeyi gezip gezmediği, etkileşime geçilen hastalık taşıma riski olan kişi bilgileri” gibi birtakım kişisel veriler işlenmektedir. Bu doğrultuda işverenler kişilerin birtakım sağlık verilerini veya sağlık verilerine ulaşabilecekleri bilgileri işlemektedir.
Peki işverenlerin bu bilgileri işlerken 6698 sayılı Kanun kapsamında hangi yükümlülükleri ortaya çıkacaktır? Sayın Çekin’in da yazısında detaylı olarak açıkladığı ve Kişisel Verilerin Korunması Kurumu’nca yapılan “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı duyuru doğrultusunda kişisel veriler işlenmelidir. Bu doğrultuda veri sorumlusu işverenler tarafından sağlık verilerinin 6698 sayılı Kanun’un 6. maddesinin 3. fıkrası kapsamında sır saklama yükümlülüğü altındaki işyeri hekimi veya işyeri hekimi tarafından yetkilendirilecek diğer sağlık personeli (hemşire, sağlık memuru, acil tıp teknisyeni veya çevre sağlık teknisyeni) tarafından işlenmesi durumunda açık rıza alınmaksızın kişisel sağlık verileri işlenebilecektir[2].
Ülkemizdeki mevcut durum değerlendirildiğinde birçok işverenin tam zamanlı işyeri hekimi çalıştırmadığı, bazılarının da işyeri hekimi çalıştırma yükümlülüğünün olmadığı bilinen bir gerçektir. Ayrıca işyeri hekimi çalışıyor olsa dahi binlerce çalışanın olduğu işletmelerde bir veya birkaç işyeri hekimi tarafından bu tetkiklerin yapılması da imkân dahilinde değildir. Dolayısıyla Covid-19 salgını kapsamında kişisel verilerin işlenebilmesi için en makul yöntem kişilerden açık rıza alınması olarak gözükmektedir. Ancak açık rıza konusu da düşünüldüğü kadar sağlıklı bir yöntem değildir. Bilindiği üzere açık rıza özgür irade ile alınmalıdır. Öncelikle ve özellikle işverenlerin işçilerinden aldığı açık rızaların özgür irade ile alınıp alınmadığı ve bunların geçerliliği konusu tartışmalıdır. Kaldı ki bireyler, açık rıza vermekte özgür olmakla birlikte açık rızalarını istedikleri zaman geri alabilme hakkına da sahiptir. Bu durumda açık rıza vermeyen veya açık rızasını geri alan bireylerin sağlık verileri işlenmeyecek midir?
Bu soruya “hayır” cevabını vermek gerekir; ayrıca mevcut salgın durumunda cevabın hayır olması gerektiğini de belirtmemiz gerekir. Zira bize göre kişilerin yaşam hakkı, bireylerin kişisel verilerinin korunması hakkından üstündür. Bu durumda toplumu oluşturan belirsiz sayıdaki kişinin yaşam hakkını korumak için bu şekilde yorum yapmak gerekir. Ancak bu çözüm 6698 sayılı Kanun’un pozitif düzenlemesine aykırıdır. İşte bu noktada Çekin, “daraltıcı yorum” yöntemini önermiştir. Ancak özel hukuk tüzel kişileri açısından bunun uygulanabilirliği yine de tartışmalıdır (ancak olması gerekenin bu tür yorum yöntemi olduğunu belirtelim). Bir şikâyette Kurul’un ya da somut bir uyuşmazlıkta bir mahkemenin bu yorum yöntemini kullanarak karar vermesini beklemek ise fazla iyimserlik olacaktır. Dolayısıyla kişisel verilerin açık rıza ile işlenmesi konusunda kişilerden alınan açık rızaların özgür iradeyle alınması konusunda çok büyük tereddütler bulunmaktadır.
2. KİŞİSEL SAĞLIK VERİLERİNİN TESPİTİ VE KANUN KAPSAMINDA İŞLENMESİ
Kişisel verilerin niteliğinin belirlenmesi uygulamada en çok karşılaştığımız sorunlardan biridir. Bu doğrultuda öncelikli olarak hangi veriler kişisel veridir, hangi veriler ise kişisel sağlık verileridir bunların tespit edilmesi gerekir.
Konumuz sağlık verilerinin işlenmesi olduğundan, sağlık verileri özelinde bir değerlendirme yapmamız daha doğru olacaktır. Bu kapsamda “tıbbi teşhis-tedavi bilgileri, kullanılan ilaç bilgileri, kullanılan protez bilgileri” gibi bilgiler doğrudan tereddütsüz bir şekilde sağlık verisi olarak değerlendirilmekte iken “alkol-sigara kullanım bilgisi, çalışma durum bilgisi, geçirilen kaza bilgisi, gerçekleştirilen seyahat bilgileri, konum bilgileri” gibi bilgilerin ise sağlık verisi olup olmadığı tartışmalı olabilmektedir.
Çalışma Grubu 29’un da kararlarında belirttiği ve uygulama kolaylığı sağlaması açısından bizlerin de yararlandığı şekilde kişisel veri kategorileri belirlenirken kullanım amaçlarının dikkate alınması gerekir[3]. Kişisel veriler işlenirken kişisel verilerin hangi amaç ile toplandığı ve bir araya getirildiğinde hangi kişisel verilerin elde edilmesinin amaçlandığı hususlarının dikkate alınması gerektiği düşüncesindeyiz.
Bu doğrultuda “alkol-sigara kullanım bilgisi” kapsamında faydalı bir değerlendirme yapılmıştır. Eğer alkol-sigara kullanım bilgisinin sağlık durumu hakkında değerlendirme yapmak amacıyla işlenmesi gibi bir durum söz konusu ise “sağlık bilgisi” kategorisinde yer alacağı, ancak amacın sağlık durumu hakkında değerlendirme yapmak olmaması durumunda sağlık verisi olmayacağı belirtilmiştir[4]. Özetle eğer bir tıbbi rahatsızlık kapsamında alkol-sigara kullanım bilgisi değerlendirilmekte ise bu bilgi “sağlık verisi” olarak kabul edilmelidir. Ancak eğer şoför istihdamı yapılması kapsamında işe alım aşamasında “alkol-sigara kullanım bilgisi” talep edilmekte ise bu durumda alkol kullanım bilgisi sağlık bilgisi kategorisinde yer almayacaktır.
Durum Covid-19 özelinde değerlendirilir ise, doğrudan kişinin “ateşinin ölçülmesi, kronik rahatsızlıklarının sorulması” şeklinde elde edilen bilgilerin kişisel sağlık verisi olarak değerlendirilmesinde bir tereddüt olmayacaktır. Ancak “en son ne zaman yurt dışına gittiği, yurt dışına giden biri ile temasa geçip geçmediği, virüsten etkilenen bir bölgeyi gezip gezmediği” gibi bilgiler ise sağlık verisi olarak değerlendirilecek midir? Bu durumda bizim yorumumuz söz konusu bilgilerin Covid-19 hastalığının tespiti amacıyla işlenmesi sebebiyle kişisel sağlık verisi olacağı yönündedir.
Kaldı ki durumun sağlamasını yapmamız gerekir ise, “ateşinin ölçülmesi, kronik rahatsızlıklarının sorulması” gibi kişisel verileri sağlık bilgisi kapsamında açık rıza hukuki sebebi uyarınca, bir kişinin “en son ne zaman yurt dışına gittiği, yurt dışına giden biri ile temasa geçip geçmediği, virüsten etkilenen bir bölgeyi gezip gezmediği” gibi kişisel verilerini Kanunun 5. maddesindeki hukuki sebeplerden bir veya birkaçına dayanarak işlediğimizi düşünelim. Bu ihtimalde kişinin açık rızasını geri aldığı durumlarda açık rıza ile işlenen verilerini imha etmek ancak açık rıza ile işlenmeyen diğer kişisel verilerini işlemeye devam edebilmek sistematik olarak mümkün olacaktır. Ancak bu durumda hala kişinin Covid-19 olma ihtimaline erişebilme yani sağlık verisine erişebilme durumu ortadan kalkmayacaktır. Dolayısıyla Covid-19 salgını dolayısıyla işlenen bu kişisel verilerin de “sağlık bilgisi” kategorisinde yer aldığı görülmektedir.
Covid-19 dışında bir değerlendirme yapmamız gerekir ise, uygulamada sıkça karşılaştığımız ve önerdiğimiz şekilde işyeri hekimi tarafından sağlık verilerinin işlenmesi ve sağlık verisi içermeyen çalışma koşulları ile ilgili kanaatlerini insan kaynakları birimi ile paylaşması durumunda ise “yüksekte çalışabilir/çalışamaz, koruyucu maske takabilir/takamaz, çalışmasına bir engel yoktur, raporludur” şeklindeki kanaatlerin sağlık verisi kategorisine girmeyeceğini düşünüyoruz. Yukarıda detaylı olarak açıkladığımız üzere amaca uygun bir yorum yapıldığında buradaki amaç sağlık verilerine ulaşmak değil, risk oluşturan kişilerin işveren tarafından risklerini minimize etmek veya raporlu olan çalışanların tespit edilerek yasal bildirimleri yapmak ve raporlu gün için gerekmesi durumunda ücret ödememektir. Her ne kadar kişinin işe gelmediği bilgisi veya sağlık raporu aldığı bilgisi elde edilmiş ise de kişilerin hangi rahatsızlığı geçirdiği veya hangi sağlık sebebi ile işe gelmediği bilgisi işlenmemektedir. İstisnai durumlar sınırlı da olsa ortaya çıkabilir ancak, bu gibi durumlarda bilgilerin bir araya gelmesi ile sağlık verisine ulaşılamayacağı da bir gerçektir[5].
Sonuç olarak yapılan yorumların veri işleme konusunda ulaşılmaya çalışılan amaç dikkate alınarak yapılması gerekmekte olup bu amaçların da dar kapsamda yorumlanması tercih edilmelidir. Aksi durumda gözlüklü bir kişinin fotoğrafı ile sağlık bilgisi işlendiği, el ile atılan imzalarda biyometrik veri işlendiği veya kişi isimlerinden siyasi düşünce, felsefi inanç, din bilgisi gibi bilgilere ulaşılabileceği yorumları yapılabilecektir. Bu bağlamda ancak bu kişisel verilerin işlenme amacı dikkate alındığında gerçek durum ortaya çıkarılabilir.
3. ÜÇÜNCÜ KİŞİLERE AİT SAĞLIK VERİLERİNİN İŞLENMESİ SORUNU
Covid-19 salgını kapsamında elde edilen bilgiler bazı durumlarda çalışanlar dışındaki üçüncü kişilerin kişisel verilerini de oluşturabilmektedir. Bu durumda öncelikli olarak amaçla sınırlı, ölçülü işleme ilkesi doğrultusunda gerekmedikçe üçüncü kişilere ait kişisel verilerin işlenmemesini öneriyoruz.
Ancak Covid-19’un salgın niteliğinde bir hastalık olması sebebiyle kişilerin özel yaşamında var olan üçüncü kişilerin bilgileri de tedbir alınması açısından önem arz etmektedir. Bu kapsamda aynı evde yaşadığı bir yakını Covid-19 salgınına yakalanan kişi hakkında birtakım tedbirlerin alınması dolayısıyla bu bilgilerin işveren tarafından temin edilmesi gerekebilir. Bu durumda eğer kişisel verilerin anonim bir şekilde işlenmesi imkânı bulunmaz ise üçüncü kişilere ait sağlık verilerinin işlenmesi durumu da ortaya çıkabilecektir. Dolayısıyla bu kişilere aydınlatma yapılması veya bu kişilerin açık rızalarının alınması yükümlülüğü yine işveren üzerinde olacaktır. Ancak veri sorumlusu işverenlerin mevcut durumda bu kişilerden açık rıza alma veya bu kişileri aydınlatma yükümlülüğünü yerine getirmesi yukarıda açıklanan sebepler ile oldukça güçtür.
4. KİŞİSEL SAĞLIK VERİLERİNİN İŞLENMESİ KAPSAMINDAKİ DİĞER SORUNLARA BAZI ÖRNEKLER
Her ne kadar Covid-19 salgını sebebiyle daha dikkat çekici bir hal alsa da kişisel sağlık verilerinin işlenmesi birçok açıdan problemler içermekte, mevcut kanuni düzenlemenin yetersizliği ve ihtiyaçları karşılamaması kişisel sağlık verilerinin işlenmesi konusunda veri sorumlularını hukuka aykırı veri işleme yöntemlerine zorlamaktadır. Bu durumu bir örnek üzerinden açıklamak isteriz.
Bildiğiniz üzere 4857 sayılı İş Kanunu’nun 24. maddesinde işçiye, 25. maddesinde ise işverene sağlık sebepleri ile iş akdini haklı sebeple feshedebilme imkânı tanınmıştır. Bir olayda işçinin sağlık sebebi ile iş akdinin feshedildiğini ve bu duruma istinaden dava açtığını düşünelim. İşverenin de bir hukuk bürosundan hukuk hizmeti aldığını varsayalım. Avukat meslektaşlarımızın da çok iyi bildiği gibi böyle bir durumda cevap dilekçesi yazılabilmesi veya dava açılabilmesi için karşı tarafın sağlık bilgilerinin avukat tarafından işlenmesi ve hatta mahkemeye sunulması gerekecektir.
Örnek durumu Kişisel Verilerin Korunması Kanunu kapsamında değerlendirdiğimizde her ne kadar avukatların 1136 sayılı Avukatlık Kanunu kapsamında sır saklama yükümlülüğü olduğu düşünülse de kişisel verilerin avukatlar tarafından “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla” işlenmediği açıktır. Ayrıca Kanunun 28. maddesinin 1. fıkrasının “d” bendi; “d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.” istinası kapsamında avukatların yer almadığı da bir gerçektir. Zira avukatlar TCK m. 6/1-d’ye ’ya göre “yargı görevini yapan” kişilerden sayılsalar da “yargı makamı” yani “hakim” sıfatını taşımamaktadırlar. Dolayısıyla geriye tek bir yol kalmaktadır: o da sağlık verisi işlenen karşı tarafın (duruma göre davacı ya da davalının) açık rızasını almaktır. Teorik tartışmalar bir tarafa çalışanlardan usulüne uygun olarak alınmış bulunan açık rızalar kapsamında bu veriler aktarılabilecek ve işlenebilecektir. Ancak konunun bilincinde bir çalışanın açık rızasını geri alması veya hiç açık rıza vermemesi durumunda avukatlar tarafından bu kişisel verilerin işlenmesi Kanuna aykırı hale gelecektir. Kanuna ve dolayısıyla hukuka aykırı bir delilin ise hem CMK hem de HMK hükümleri uyarınca bir yargılamada ispat aracı olarak kullanılması mümkün değildir. Örneğin CMK m. 289 gereğince bu şekilde bir hukuka aykırı delil kullanılması hem istinaf hem de temyiz aşaması açısından kesin bozma nedenidir.
Başka bir örnek vermek gerekir ise, 4857 sayılı İş Kanunu’nun 30. maddesi kapsamında bazı işyerlerinin belirli oranda engelli personel çalıştırma yükümlülüğü bulunmaktadır. Bu doğrultuda engelli personellere ilişkin bildirimler ve sorgulamalar SGK sistemleri aracılığı ile yerine getirilmektedir. Söz konusu veri işleme faaliyeti “kanunlarda açıkça öngörülme” hukuki sebebine dayalı olarak yerine getirilebilecektir. Ancak sağlık bilgisi kategorisine giren engellilik bilgisi 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında ancak 6. maddenin 3. fıkrası uyarınca açık rıza alınmaksızın işlenebilecektir. Dolayısıyla engelli çalışanın açık rızasını geri alması veya hiç açık rıza vermemesi durumunda veri sorumlusu işveren yasal yükümlülüğünü yerine getiremeyecek ve engellilik bilgisini işleyemeyecektir. Bu durumda veri sorumlusu iki farklı kanuni düzenleme arasında ezilmiş olacak ve her durumda kanunlara ve hukuka aykırı hareket etmiş olacaktır.
5. KISMİ ÇÖZÜM ÖNERİSİ
Mevcut yasal düzenleme kapsamında Covid-19 salgını sebebiyle işlenen kişisel veriler için yukarıda detayları tartışıldığı üzere kişisel verilerin sır saklama yükümlülüğü altında bulunan işyeri hekimleri veya yetkilendireceği diğer sağlık personelleri tarafından işlenmesi durumunda yalnızca aydınlatma yapılması yeterli olacaktır. Ancak buna imkân bulunmaz ise her ne kadar tartışmalı da olsa kişilerden açık rıza alınmasından başka bir çözüm bulunmamaktadır.
Bu doğrultuda Kişisel Verilerin Korunması Kurumu tarafından yayınlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ dikkate alınarak konu özelinde ayrı bir aydınlatma ve açık rıza metni düzenlenmesi gerektiği kanaatindeyiz. Dolayısıyla Kanun’un bu açık ve hatalı düzenlemesi nedeniyle aslında bu konuda bir çözüm üretebilmek mümkün değildir.
6. TEMEL ÇÖZÜM ÖNERİLERİ
Yapılan açıklamalar göstermektedir ki, kişisel sağlık verilerinin işlenmesi kapsamındaki mevcut düzenleme veri sorumlularını kanuna aykırı olarak veri işlemek zorunda bırakmakta veya yine kanuna aykırı olarak özgür iradeyle alınmayan açık rızaları toplamaya zorlamaktadır.
Bu doğrultuda Covid-19 özelinde Kanunun 28. maddesindeki istisnaların kapsamı genişletilerek, işverenleri de içerisine alabilecek şekilde “kamu sağlığının korunması” amacıyla kişisel verilerin işlenebileceği düzenlenebilir. Ancak bu düzenleme sadece Covid-19 salgını kapsamındaki sorunları çözecek olup yukarıda örnek verilen durumlar gibi sakıncalı olan birçok duruma çözüm üretmeyecektir.
En etkili çözümünün Kişisel Verilerin Korunması Kanunu kapsamında yapılabilecek bir düzenleme ile çözülebileceği kanaatindeyiz. Kanunun taslak halinde olduğu şekilde sağlık ve cinsel hayata ilişkin verilerin “kanunlarda açıkça öngörülme” hukuki sebebi uyarınca da işlenmesinin sağlanması birçok konuda çözüm üretecektir. Ancak tek başına Kişisel Verilerin Korunması Kanunu kapsamında yapılan değişiklikler de yeterli olamayacaktır. Yukarıda sağlık verilerinin işlenmesi konusunda verdiğimiz örnekte kişisel sağlık verilerinin avukatlar tarafından “kanunlarda açıkça öngörülme” hukuki sebebi uyarınca işlenmesi söz konusu olmayacaktır. Belirtilen kapsamda kişisel verilerin işlenmesi 6698 sayılı Kanun’un 5. maddesinin 2. fıkrasının “e” bendi kapsamında “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebebi uyarınca işleneceğinden sağlık verilerinin “kanunlarda açıkça öngörülmesi” kapsamında işlenebilmesi için bu konu özelinde özel bir kanuni düzenleme yapılması gerekliliği de ortaya çıkacaktır. Dolayısıyla diğer kanunların genel kanun niteliğinde olan Kişisel Verilerin Korunması Kanununa uyumlu hale getirilmesi gerekecektir.
7. KONUM VERİLERİNİN COVID- 19 SALGINI KAPSAMINDA İŞLENMESİ
Kişisel Verileri Koruma Kurumu 9 Nisan 2020 tarihinde yayınladığı “Covıd-19 İle Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler” başlıklı kamuoyu duyurusunda, özetle, dünya genelinde Corona virüs salgınının yayılmasının önlenmesi amacıyla çeşitli mobil uygulamalar vb. yöntemlerle bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verilerinin işlenebileceği belirtilmiştir.
Bu doğrultuda 6698 sayılı Kanun’un 28. maddesinin 1. fıkrasının “ç” bendi kapsamında “kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” istisnası doğrultusunda salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla (salgın hastalık teşhisi konmuş) kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetlerinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun uygulanmayacağı açıklanmıştır. Kurul, konum verisinin de salgının önlenmesi açısından belirtilen istisna hükmü doğrultusunda işlenebileceğini açıklamıştır.
Kurul, aynı zamanda her ne kadar kişisel verilerin işlenmesi kapsamında bir istisnai durum söz konusu olsa da ilgili kurum ve kuruluşların kişisel verilerin güvenliğini gözetmesi gerektiği ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi gerekliliğine de vurgu yapmıştır.
A. Kişisel veriler yalnızca kamu kurum ve kuruluşları tarafından belirtilen amaçlar ile işlenebilir
Kanunun 28. maddesinin 1. fıkrasının “ç” bendinin uygulama alanı bulabilmesi için üç farklı şartın birlikte sağlanması gereklidir. Bunlar:
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak işlenmesi,
- Kişisel verilerin kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından işlenmesi,
- Kişisel verilerin önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Duyuru metni incelendiğinde öncelikle “sağlık, iletişim ve lokasyon (konum) bilgisi” kategorilerine giren kişisel verilerin, salgının yayılmasının engellenmesi, kamu sağlığının korunması ve dolayısıyla kamu güvenliğinin sağlanması amacıyla işlenebileceği açıklanmıştır. Bu kapsamda Kurul’un görüşü yerindedir. Bunun yanında söz konusu veri işleme faaliyetinin kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından önleyici ve koruyucu faaliyetler kapsamında işlenmesi durumunda kanunun istisna hükmünden yararlanılacağı unutulmamalıdır.
Dolayısıyla kişisel verilerin yalnızca kanunlarda görev veya yetki verilmiş kamu tüzel kişiliğine haiz kurum veya kuruluşlar tarafından işlenmesi durumu dışındaki ihtimallerde kanuni istisnalardan yararlanılamayacağı açıktır. Bu durumda kamu kurumu veya kuruluşu niteliğinde olmayan veri sorumluları, belirtilen amaçlar ile veri işliyor olsalar da Kanunun 28. maddesindeki istisnadan yararlanamayacaktır.
B. Kişisel verilerin temini, analizi ve aktarımı aşamasında kişisel verilerin üçüncü taraflar için anonim olarak işlenmesi sağlanmalıdır
Dünyadaki uygulamalar ve ülkemizdeki yaklaşım dikkate alındığında kişilerin hasta olan ve hastalık riski barındıran kişilere ait verilerin özel hukuk tüzel kişisi niteliğindeki şirketlerden temin edilebileceği düşünülmektedir. Öncelikle söz konusu kişisel verilerin temin edilmesi aşamasında kişisel verilerin anonim olarak temin edilmesine dikkat edilmeli, dolaylı yoldan da olsa özel hukuk tüzel kişiliklerinin kişilerin sağlık veya salgın riski bilgilerine ulaşmaması sağlanmalıdır. Bu doğrultuda toplu olarak kişisel verilerin temin edilmesi veya anonim veri temini sağlayan başka bir yöntem tercih edilmelidir.
Ayrıca uygulanacak sistem aracılığı ile risk taşıyan veya karantina uygulanan kişiler ile ilgili analiz çalışmalarının yapılması gerektiği de düşünülmektedir. Bu analiz çalışmaları kişiler üzerinden yapılacağından, kişisel veri işleme faaliyeti söz konusu olacaktır. Bu kişisel verilerin de bizzat kamu kurum veya kuruluşları tarafından işlenmesi gereklidir.
Bunun yanında veri sahibi kişiler ile gerekmesi durumunda iletişim kurulacağı, bu kişilere mesaj atılabileceği veya telefon ile aranabilecekleri de belirtilmektedir. Bu doğrultuda iletişime geçilen kişilerin kişisel verilerinin ilgili özel hukuk tüzel kişileri tarafından işlenmemesi gerekmektedir. Bu doğrultuda “kimlik, iletişim ve lokasyon bilgisi” kategorisindeki kişisel verilerin kamu tüzel kişiliğine sahip olmayan üçüncü taraflar ile paylaşılmaması veya anonim olarak paylaşılması yöntemleri tercih edilmelidir.
Özetle veri işleme faaliyetlerinin her aşaması, Kanun’daki istisnanın yalnızca kamu kurum ve kuruluşlarının veri işleme faaliyetleri için geçerli olacağı ve kamu tüzel kişiliği dışındaki üçüncü tarafların kişisel verileri işlemesi durumunda Kanunun istisna hükümlerinden yararlanamayacakları unutulmamalıdır. Bu doğrultuda kamu tüzel kişiliğine sahip üçüncü taraflar söz konusu kişisel verileri işlememeli veya işleyecek ise de anonim olarak işlemelidir.
C. Kişisel verilerin niteliği ve alınması gereken tedbirlerin belirlenmesi
Kişisel veri işleme amacı dikkate alındığında “iletişim ve lokasyon bilgisi” kategorisindeki kişisel verilerin salgını engellemek ve muhtemel hastaları tespit etmek amacıyla işlendiği anlaşılmaktadır. Muhtemel hastaların tespit edilmesi amacıyla işlenen “iletişim ve konum bilgisi” kategorisindeki kişisel verilerin işlenme amacı sağlık verisinin elde edilmesidir. Bu doğrultuda söz konusu kişisel verilerin “sağlık bilgisi” kategorisinde değerlendirilebileceği unutulmamalıdır.
Kişisel verilerin salgını engellemek amacıyla işlenmesi durumunda ise, zaten sağlık bilgisi temin edilmiş kişiye ait diğer kişisel veriler işlenmiş olacaktır. Bu durumda diğer kişisel verilerin işlenme amacı sağlık verisi elde etmek değilse de hasta veya hastalık riski barındıran kişilere ait veriler işlendiğinden yine sağlık verisinin işlenmesi söz konusu olacaktır. Sonuç olarak her iki durumda da kişisel sağlık verilerinin işlenmesinin muhtemel olduğu düşünülmektedir. Dolayısıyla kişisel verilerin işlenmesi bakımından istisnadan faydalanamayacak üçüncü taraflar Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı doğrultusunda gerekli teknik ve idari tedbirleri almalıdır.
D. Kişisel verilerin kamu tüzel kişiliğine sahip olmayan taraflarca da işlenmesi gereksinimi
Yukarıda yaptığımız açıklamalar dikkate alındığında her ne kadar Kanun’dan istisna olabilmek için kamu tüzel kişiliğine sahip olmak gerekli ise de kamu tüzel kişiliğinin faaliyetlerini yerine getirmesi için kişisel verileri üçüncü taraflar ile paylaşması veya üçüncü taraflardan veri veya hizmet temin etmesi gibi durumlar ortaya çıkabilecektir. Ancak bu gibi durumlar için Kanun’un istisnasından özel hukuk tüzel kişileri faydalanamayacaktır. Kamu hukuku tüzel kişilerinin tüm faaliyetleri kendi bünyesinde yapma imkanının da olmadığı düşünülmektedir. Dolayısıyla salgının önlenmesi amacı için kamu hukuku tüzel kişilerinin destek ihtiyacı oluştuğunda, kamu tüzel kişiliğine sahip olmayan üçüncü taraflardan bu desteği sağlaması ancak kişisel verilerin anonim olarak işlenmesi durumunda söz konusu olabilecektir. Bunu sağlamanın da her durumda mümkün olmayacağı kanaatindeyiz.
Kamu hukuku tüzel kişiliğine sahip olmayan tarafların kişisel verileri işlemesi durumunda ise kişisel sağlık verisi işlemeleri gerekeceğinden kişilerden açık rıza alma gibi yükümlülükleri ortaya çıkacaktır. Bu durum da elde edilmek istenen amaca ulaşılmaması sonucunu doğuracak, alınması gerekli olan önlemlerin önünde bir engel oluşturacak veya süreçlerin zorlaşmasını sağlayacaktır.
E. Kanunun kapsamının genişletilmesi gereksinimi
Covid-19 sebebiyle belirtilen önlemlerin alınması tartışılmaz bir gerekliliktir. Söz konusu uygulamalar bir birey olarak başta bizlerin sağlığı ve korunması için yapılmaktadır. Kanun’un kamu güvenliğinin sağlanması amacıyla yalnızca kamu hukuku tüzel kişilerine veri işleme yetkisi vermesi işverenler açısından mevcut olan sorunun farklı bir yansımasını da bu noktada ortaya çıkarmaktadır. Bu doğrultuda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun istisnaları düzenleyen hükümlerinin yalnızca kamu hukuku tüzel kişileri ile sınırlı bir muafiyet sunması, birtakım problemleri beraberinde getirmektedir.
Bu sebeple kamu sağlığının korunması ve kamu güvenliğinin sağlanması amaçlarıyla kişisel verilerin işlenmesi durumunda, kamu hukuku tüzel kişiliğine sahip kuruluşlarca görevlendirilecek üçüncü kişilerin de Kanun’un 28. maddesindeki istisnadan faydalanacak şekilde hükmün düzenlenmesi gerekir.
Bu durum Covid-19 kapsamındaki sorunları çözebilecek olmakla birlikte, yukarıda bahsedilen diğer sorunlu veri işleme faaliyetleri için de GDPR düzenlemeleri dikkate alınarak daha geniş kapsamlı bir revizyonun yapılması gerektiğini düşünmekteyiz.
F. GSM numarası üzerinden veri işlenmesinin sebep olabileceği sorunlar
Kişilerin konum bilgilerinin GSM numaraları üzerinden takip edilmesinin uygulama açısından bazı sorunlar ortaya çıkarabileceği de söylenebilir. Yukarıda detaylı olarak açıklandığı üzere ilgili kişilere ait kişisel veriler yalnızca kamu kurum ve kuruluşları tarafından ve yalnızca salgının önlenmesi amacıyla işlenmelidir.
Bilindiği üzere ülkemizde açık olup kullanılmayan GSM hatları, bir kişinin üzerinde birden fazla GSM hattı olması gibi durumlar söz konusudur. Bu durumda eğer GSM hattı üzerinden konum takibi yapılması söz konusu olacak ise, risk içeren veya hastalık sahibi olan kişilerin gerçekten o hattı kullandığının teyit edilmesi gereklidir. Aksi halde hem yanlış kişilere ait kişisel veriler işlenerek salgının engellenmesi için beklenen sonuç elde edilemeyecek hem de ilgili kişi dışındaki üçüncü kişilerin verilerinin işlenmesi sebebiyle Kanun’un istisna hükmünden yararlanılamayacak ve Kanun’a aykırı veri işleme faaliyeti söz konusu olacaktır. Bu doğrultuda ilgili kişilerin doğru belirlenmesi için gerekli teknik ve idari tedbirlerin alınması önem arz etmektedir.
SONUÇ
Kişisel sağlık verileri yalnızca Kanun’un 6. maddesinin 3. fıkrası kapsamında işlenebilecek olup, açık rıza olmaksızın işlenmesi için sır saklama yükümlülüğü altındaki kişilerce işlenmelidir. Mevcut koşullar değerlendirildiğinde yüzlerce hatta binlerce çalışanı olan veri sorumlularının işyeri hekimi veya diğer sağlık personelleri aracılığı ile kişisel sağlık verilerini işleyebilme imkânı yoktur. Bu sebeple kişisel verilerin işlenmesi için veri sorumlusu işverenler açık rıza almak zorunda kalmaktadır.
Bu kapsamda alınan açık rızaların özgür iradeyle alındığını söylemek doğru olmayacaktır. Kaldı ki salgının önlenmesi için mutlak surette bu kişisel verilerin işlenmesi gereklidir. Dolayısıyla açık rıza ile kişisel sağlık verilerinin işlenmesi durumunda açık rızanın asgari unsurlarından olan özgür iradeyle alınması unsuru sakatlanmış olacaktır.
Kişisel veri kategorileri tespit edilirken ulaşılmak istenen amaca odaklanılmalı ve bu amaç doğrultusunda veri kategorisi tespit edilmelidir. Eğer Covid-19 hastalığı veya hastalık riski olan kişilere ulaşmak için kişisel veriler işleniyor ise bu durumda işlenen kişisel verilerin “sağlık bilgisi” olabileceği göz ardı edilmemelidir. Amaca yönelik yorum yapıldığında ise mümkün olduğunca amaç ile sınırlı dar yorum yapılmalı ve veri kategorileri bu şekilde tespit edilmelidir.
Salgın kapsamında riskli olan veya hastalığa yakalanan kişilerin temas ettiği üçüncü kişilere ait kişisel verilerin de işlenmesi söz konusu olabilecektir. Üçüncü kişilere ait sağlık bilgisi işlendiği durumlarda üçüncü kişiler için de açık rıza yükümlülüğü ortaya çıkacak ve bu yükümlülük veri sorumlusu işveren üzerinde olacaktır. Üçüncü kişilerden açık rıza alarak kişisel verilerin işlenmesinin mümkün olmaması sebebiyle veri sorumlusu işverenler bu ihtimalde de hukuka aykırı veri işlemek durumunda kalacaklardır.
Kişisel sağlık verilerinin işlenmesi hususu her ne kadar Covid-19 salgını sebebiyle gün yüzüne çıkmışsa da sağlık verilerinin işlenmesi noktasında Kanun’un dar kapsamı sebebiyle birtakım sorunlar ortaya çıkmaktadır. Bu doğrultuda Kanun değişikliği daha geniş bir kapsam dikkate alınarak yapılmalı ve veri sorumlularının kanuna aykırı olarak kişisel veri işlemeye zorlandığı durumlar doğru bir şekilde tespit edilerek çözüm üretilmelidir. Üretilecek çözümlerde mutlaka GDPR düzenlemeleri de dikkate alınmalıdır.
Mevcut kanuni düzenleme kapsamında Covid-19 dolayısıyla işlenen kişisel veriler hakkında her ne kadar özgür irade tartışmaları söz konusu olsa da kişisel sağlık verilerinin işlenmesi için çalışanlardan açık rıza alınmalı, eğer açık rıza vermeyen çalışanlar olur ise sır saklama yükümlülüğü altında olan işyeri hekimi ve diğer sağlık personelleri tarafından bu kişilerden açık rıza alınmaksızın sadece aydınlatma yapılması sağlanmalıdır. Her ne kadar kanuna tamamen uygun bir yöntem olmasa da en uygun çözümün bu olduğu kanaatindeyiz.
Covid-19 salgını kapsamında, salgının önlenmesi amacıyla birtakım kişisel verilerin işlenebileceği ve bu kişisel verilerin analiz edilerek önleyici ve koruyucu tedbirlerin alınacağı belirtilmiştir. Kişisel verilerin Kanun’un 28. maddesinin 1. fıkrasının “ç” bendi uyarınca istisna hükümlerinden faydalanabileceği de Kurul tarafından açıklanmıştır. Ancak bu istisna hükümleri yalnızca kamu tüzel kişiliğine sahip kurum ve kuruluşlar tarafından kişisel verilerin işlenmesi durumunda ortaya çıkacaktır. Bu sebeple kamu tüzel kişiliğine sahip olmayan üçüncü tarafların Kanuni istisnadan yararlanamayacağı unutulmamalıdır.
Veri işleme faaliyetleri yerine getirilirken bu üçüncü tarafların kişisel verileri işlememesi veya anonim olarak işlemesi sağlanmalıdır. Ancak bu her durumda mümkün olmayabilecektir. Bu ihtimalde üçüncü taraflarca işlenen kişisel verilerin “sağlık bilgisi” barındırması durumu da dikkate alındığında ağır yasal yükümlülükler altında olacakları (açık rıza vb.) ve bu yükümlülüklerini yerine getirme imkanlarının da olmayacağı düşünülmektedir. Bu durum kişisel verilerin hukuka aykırı işlenmesi sonucunu doğuracaktır.
Her ne kadar kamu hukuku tüzel kişiliğine sahip taraflarca kanuni istisnadan yararlanılması söz konusu ise de işlenen kişisel veriler hakkında gerekli teknik ve idari tedbirlerin alınması gerekliliği de atlanmamalıdır. Yalnızca salgın riski olan veya hastalık geçiren kişilere ait gerekli ve yeterli veriler işlenmelidir. Ayrıca kişisel verilerin, salgının önlenmesi amacı kapsamında işlendiği dikkate alınarak salgın sona erdiğinde veya ilgili kişiler iyileştiğinde kişisel verilerin imhası durumu değerlendirilerek, işleme amacı ortadan kalktığında derhal kişisel veriler imha edilmelidir.
GSM numaraları üzerinden konum bilgilerinin tespit edilmesi durumunda, ilgili kişilerin hangi GSM numarasını kullandığının doğru şekilde tespit edilmesi gereklidir. Tespitlerin doğru yapılması kişisel verilerin Kanuni istisna kapsamında işlenmesi için önemli bir unsurdur. Bu konuda gerekli teknik ve idari tedbirler alınmalıdır. Aksi durumda Kanunun amacına aykırı olarak ölçüsüz bir şekilde kişisel veri işleneceğinden istisna hükümlerinin uygulanmaması gerekecektir.
Kalıcı çözümün oluşturulması için ise mutlak surette Kanun’da değişiklik yapılmalıdır. Özellikle sağlık verilerinin işlenmesi konusunda işleme koşullarının genişletilmesi mutlak gerekliliktir. Bu doğrultuda hem Covid-19 salgını kapsamındaki sorunların çözülmesi için kamu sağlığının korunması ve kamu güvenliğinin sağlanması amaçlarıyla kişisel verilerin işlenmesi durumunda, kamu hukuku tüzel kişiliğine sahip kuruluşlarca görevlendirilecek üçüncü kişilerin de Kanun’un 28. maddesindeki istisnadan faydalanacak şekilde hükmün düzenlenmesi; hem de kişisel sağlık verilerinin işlenmesi kapsamındaki mevcut hukuki sebeplerin GDPR düzenlemeleri ve sektörel ihtiyaçlar da gözetilerek düzenlenmesi gerekmektedir.
Murat Volkan Dülger* / Yavuz Selim Dicle*
------------------------------
* Doç. Dr., İstanbul Aydın Üniversitesi Hukuk Fakültesi Ceza Hukuku, Ceza Muhakemesi Hukuku ve Bilişim Hukuku Anabilim Dalı öğretim üyesi, Avukat, İstanbul Barosu,
* Avukat, İstanbul Barosu,
[1] Aslında bu makaleyi, söz konusu makale üzerine tartışmalar yaparken ortaya çıkan fikirler üzerine yazmaya karar verdik. Adeta Karl Marx’ın “Ekonomi Politiğin Eleştirisine Katkı” ya da “Felsefenin Sefaleti” isimli eserlerinde olduğu gibi, bir başka çalışma üzerine aklımıza gelen sorular ve çözüm arayışı esnasında bu makale ortaya çıktı. Bu vesileyle, bu soruların ve makalenin ortaya çıkmasına vesile olan değerli meslektaşımız Sayın Doç. Dr. Mesut Serdar Çekin’e teşekkür ederiz.
[2] Mesut Serdar Çekin, Rahmetlinin Hayatını Kurtaramadık Ama En Azından Kişisel Sağlık Verilerini Koruduk!!! Covid-19 Pandemisi Karşısında Kişisel Sağlık Verilerinin İşlenmesine Dair KVKK Hükümlerinin İş İlişkileri Kapsamında Değerlendirilmesi, https://blog.lexpera.com.tr/covid-19-pandemisi-karsisinda-kisisel-saglik-verilerinin-islenmesine-dair-is-iliskileri-kapsaminda-degerlendirme/, Erişim Tarihi: 07.04. 2020.
[3] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 2. Baskı, Hukuk Akademisi, İstanbul, 2019, s. 110.
[4] https://www.hldataprotection.com/2015/10/articles/health-privacy-hipaa/mobile-health-in-the-eu-part-2-personal-data-and-sensitive-information-in-mhealth-businesses/, Erişim Tarihi: 07. 04. 2020.
[5] Çekin, https://blog.lexpera.com.tr/covid-19-pandemisi-karsisinda-kisisel-saglik-verilerinin-islenmesine-dair-is-iliskileri-kapsaminda-degerlendirme/, Erişim Tarihi: 07.04. 2020.