Ülkemizde etkisini gösteren Koronavirüs (COVID-19) salgını, ekonomik ve sosyal hayatı önemli şekilde etkilediği gibi, hukuk dünyasında da bir takım soru ve sorunları beraberinde getirdi. İş hukukundan, ticaret hukukuna, sözleşmeler hukukundan şirketler hukukuna kadar pek çok alanda bu yeni durum ve düzene ilişkin olarak mevcut kanun hükümlerinin ve hukuki uygulamaların yeniden değerlendirilmesi gerekti. Salgın öncesi dönemde gündemi en çok meşgul eden konulardan biri olan kişisel verilen korunması da bu doğrultuda tekrardan gündeme geldi.

Salgının önlenmesi amacıyla hem idari kurumlar hem de işverenler tarafından alınan önlemler kapsamında özel nitelikli kişisel veriler de dahil olmak üzere pek çok kişisel verinin işlenmesi kaçınılmaz hale geldi. Bu durumda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlularına ve veri işleyenlere yüklenen ödev ve sorumlulukların ne ölçüde devam edeceği tartışma konusu oldu.

KORONAVİRÜS (COVID-19) SALGINI KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN YÜKÜMLÜLÜKLERİ NE ÖLÇÜDE ETKİLİYOR?

Öncelikle belirtmek gerekir ki; KVKK kapsamında veri sorumluları ve veri işleyenler için öngörülen yükümlülüklerin ifası durdurulmamış veya ertelenmemiş olup, aynen geçerliliğini korumaya devam etmektedir. Hatta mevcut durumda özel nitelikli kişisel veri olarak değerlendirilen sağlık verilerinin toplanması ve işlenmesi daha da yaygınlaştığından, tüm faaliyetlerin Kanun hükümlerine uygun olarak yürütülmesi ve kişisel verilerin güvenliğine yönelik alınan tedbirlerin aksatılmadan uygulanması daha da önem arz etmektedir.

SALGINLA MÜCADELE SÜRECİNDE UYULMASI GEREKEN İLKELER NELERDİR?

Her ne kadar salgınla mücadele sürecinde kişilerin ve kamu sağlığının korunması esas olsa da kişilerin temel hak ve özgürlüklerinin zarar görmemesi için bu süreçte kişisel veri işleme faaliyetlerinin gerekli, amaçla bağlantılı, sınırlı ve ölçülü olması gerektiği açıktır. Bu nedenle; veri sorumlularının ve veri işleyenlerin bir takım temel ilkelere uyması beklenmektedir. Kişisel Verileri Koruma Kurumu’nun yayımladığı 27.03.2020 tarihli Kamuoyu Duyurusu’nda bu ilkeler şu şekilde sıralanmıştır:

- Hukuka ve dürüstlük kurallarına uygun olma,

- Doğru ve gerektiğinde güncel olma,

- Belirli, açık ve meşru amaçlar için işlenme,

- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve

- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ve işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinme, yok edilme veya anonim hale getirilme.

Koronavirüs (COVID-19) salgını ile mücadele kapsamındaki tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

KORONAVİRÜS (COVID-19) SALGINININ TAKİBİNİ YAPMAK AMACIYLA TOPLANAN KİŞİSEL VERİLERİN İŞLENMESİNDE NELERE DİKKAT EDİLMELİDİR?

KVKK’nın 6. Maddesinin 1. Paragrafı uyarınca; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Görüleceği üzere; sağlık verileri KVKK kapsamında özel nitelikli kişisel veri olarak tanımlanmış olup, daha kapsamlı bir korumaya tabi kılınmıştır. Bahse konu 6. Maddenin 2. Fıkrasında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu düzenlenmiş olmakla birlikte, 3. Fıkra uyarınca sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir.

Bu nedenle; salgının takibini yapmak amacıyla düzenli olarak ateş ölçümü yapan, çalışanlarının test sonuçlarını talep eden ve sağlık verilerinin toplanmasına yol açan benzeri önlemler alan veri sorumlularının, bu verilerin işlenmesi açısından çalışanın açık rızasının alması uygun olacaktır. İlaveten; söz konusu açık rızanın alınması öncesinde aydınlatma yükümlülüğünün de yerine getirilmiş olması esastır. Bu doğrultuda; söz konusu sağlık verilerini işleyen veri sorumlularının, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda çalışanlara kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlaması önemlidir.

Bununla birlikte; salgının önlenmesi amacıyla toplanan veriler içinde sağlık verisi bulunmuyorsa; örneğin çalışanlara sadece son 14 gün içinde yurtdışına çıkıp çıkmadığı, çıktıysa riskli bölgelerde bulunup bulunulmadığı soruluyor ise; bu durumda KVKK’nın 5. Maddesinin 2. Paragrafında belirtilen istisnalar uyarınca açık rıza alınmasına gerek olmadığı değerlendirilebilecektir.

Ancak bu durumda da veri minimizasyonuna dikkat edilmeli ve tüm veri işleme faaliyetlerinde olduğu gibi, Koronavirüs (COVID-19) salgının yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetlerinin de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmesine dikkat edilmelidir. Bu doğrultuda; gereğinden fazla kişisel veri işlenmesinden kaçınılmalı ve işleme amacının sona ermesi halinde de uygulanan imha politikalarına uygun olarak elde edilmiş olan veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

KORONAVİRÜS (COVID-19) SALGINININ TAKİBİNİ YAPMAK AMACIYLA TOPLANAN KİŞİSEL VERİLER BAŞKASINA AKTARILABİLİR Mİ?

Yukarıda bahsettiğimiz üzere; sağlık verileri KVKK kapsamında özel nitelikle kişisel veridir ve bu nedenle daha yüksek bir korumaya sahiptir. Bu doğrultuda; Koronavirüs (COVID-19) salgınının yayılmasını önlemek amacıyla alınan tedbirler kapsamında edinilen sağlık verilerinin toplanması, saklanması ve işlenmesine ilişkin süreçlerde verilerin güvenliğinin sağlanması için gerekli idari ve teknik tedbirler alınmalıdır. İlaveten; söz konusu veriler, kanuni bir yükümlülük veya açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafla paylaşılmamalıdır.