Bu günlerde, Kişisel Verilerin Korunması alanında çalışanların en çok ilgilendiği başlık, bulaşıcı hastalık ve salgın durumlarında kişisel verilerin işlenmesinin hangi şartlara tabi olacağı ve işlemenin sınırlarının nasıl belirleneceğine ilişkindir.
Kişisel Verilerin Korunması Kanunu’nda kişinin sağlığına ilişkin ve kamu sağlığının korunmasına ilişkin işlenen verilerinin hassas nitelikli kişisel veri olarak tanımlandığını biliyoruz. KVKK m.6/3, sağlık ve cinsel hayata ilişkin hassas verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlemesi ile veri sahibinin açık rızası alınmadan işleme şartlarını belirtmiştir.
Avrupa Birliği’ne üye ülkelerin tabi olduğu Genel Data Regülasyonu’nun 9. maddesinde tanımlanan özel nitelikli verilerin işlenmesi şartlarında, sağlık verilerinin hassas nitelikli veri olarak tanımlandığını, başka bir kişinin hayati çıkarlarını korumak için, tıbbi teşhis, tedavi, sağlık ve sosyal bakım hizmetlerinin yürütülmesi, ciddi sınırötesi tehditlere karşı korunmak için, tıbbi cihazların ve ürünlerin yüksek niteliklerinin ve kalitesinin korunması için, halk sağlığının korunması amacıyla açık rıza şartına bağlı olmaksızın işlenebileceğinin düzenlendiği görülmektedir. GDPR’da, KVKK’da düzenlemesi olmayan, her ne kadar açık rıza olmaksızın işlenebilir benzerliği var ise de şu sınırlamalar getirilmiştir:
- Kanunilik ve meşruluk,
- Amaçla orantılılık,
- Ölçülülük,
- Demokratik bir toplumda gereklilik.
Yukarıda getirilen sınırlamalar KVKK m.6/3’de düzenlenmemiş olsa da düzenlendiği varsayılır ve işleme şartlarında kıstas olarak alınması gerekir.
Son günlerde AB üyesi ülkelerin Veri Koruma Otoritelerinin GDPR’da yapılan düzenlemeden farklı birtakım düzenlemeler ile Koronavirüs nedeni ile hassas veri işlediklerine tanık olmaktayız. Brüksel toplantısında, Avrupa Veri Koruma Kurulu’nda yapılan toplantıda Koronavirüs nedeni ile farklı birtakım kişisel verilerin de işlenmek zorunda kalındığı, veri koruma kurallarının bu hususta çok açık ve yeterli olmadığı konuşuldu. Bu anlamda işverenin ve yetkili halk sağlığı otoritelerinin, veri sahibinin rızasını almaksızın salgın nedenine dayandırarak işleme ile ilgili GDPR birtakım düzenlemelere yer vermiştir. (GDPR m.6 ve 9)
Dikkat edilmesi gereken husus, salgını önlemek amacıyla fazladan ve gereksiz verilerin işlenmesi hususudur. Örneğin mobil veriler, elektronik tüm iletişim verilerinin işlenmesi, açık rıza şartına bağlı olmaksızın mı gerçekleşecektir. Ya da işlenen bu veriler için öngörülen imha süresi ve imha yöntemi nedir? Ne kadar süre işlenecek, toplanacak ve arşivlenecektir? Demokratik bir toplumda gereklilik ya da ölçülülük kıstasları nasıl uygulanacaktır?
GDPR bu konuda yorumlanır ise amaç öncelikle açık rıza, aksi halde de demokratik toplum düzeninde gereklilik ve ölçülülüktür. O nedenle mobil veriler, konum verileri ancak anonimleştirilir ise işlenebilecektir. Devlet otoritelerinin bu hususta oldukça hassas olması gerekmektedir. Örneğin koronavirüs haritası çıkarmak için işlenen veriler bu nitelikte kabul edilir ve ancak anonimleştirilerek işlenebilir.
İşverenin işlemiş olduğu işçiye ait salgın verileri de amacının dışında gereksiz olarak işlenmemeli ve sağlık verilerinin dışında alınan veriler anonimleştirilerek sisteme kayıt edilmelidir. İşyerinde kaç kişinin çalıştığı, ateş ya da öksürük gibi veriler koronavirüs için belki bir belirti ancak kesin emare teşkil etmediği için bu kişisel veriler işlenirken orantılılık kıstası mutlaka öncelikli uygulanmalı, işçinin açık rızası alınmaksızın ateş ya da öksürük verisi işlenmemelidir. İşveren koronavirüs ile ilgili hangi somut işleme şartına dayandığını göstermeli ve işçiyi bu hususta aydınlatmalıdır. Zira aydınlatma yükümlülüğünü yerine getirmeden kişisel veri işlenmesi mümkün değildir.
Bir işçinin karantina altına alındığı verisi ile ilgili bir örnek geliştirir isek, bu verinin öncelikle sağlık verisi olup olmadığının değerlendirilmesi doğru olacaktır. Karantina verisi kimi ülkeler tarafından sağlık verisi olarak kabul edilir iken, Danimarka, bu veriyi sağlık verisi kapsamında saymamıştır. Karantina verisi, sağlık kuruluşu tarafından işverene bildirildiğinde işveren bu veriyi diğer çalışanlarla gerektiği kadar paylaşacaktır. Burada mahremiyetin korunması çok önemlidir. Örneğin bu işçinin evden çalışması ve iletişim kanallarının kurulması için mobil araç verilerinin ya da konum verilerinin işlenmesi gerekiyor ise ancak amaçla bağlantılı olarak konum verileri işlenebilir. Özellikle bu yönde şirketlerin gizlilik direktiflerinin ayrıca belirlenmesi gerekiyor ve bağlayıcı kuralların da her durumda uygulanması kişisel verilerin gizliliğinin ihlal edilmemesi bağlamında önemli bir adım teşkil ediyor.
Tüm bu açıklamalar ışığında salgın ya da bulaşıcı hastalıklar durumunda kişisel verilerin sınırsız bir işleme şartına dayandığını ya da kamu yararı, halk sağlığı, hayati önem gibi kıstaslara dayandırılarak gerekli olmayan tüm kişisel verilerin de işlenebileceğini söylemek düzenlemeler karşısında mümkün değildir. Özellikle yeterli güvenlik önlemleri alınmadan, önemli bir işleme nedenine de dayandırıyor olsak, hassas nitelikte kişisel verilerin işlenmesinin açık rıza şartını gerçekleştirmeden mümkün olduğunu söylemek kolay değildir. Özel nitelikli kişisel verilerin işlenmesi için ayrıca KVKK’nın Özel Nitelikte Kişisel Verilerin İşlenmesinde Alınması Gereken İdari ve Teknik Tedbirlerin uygulanması oldukça önemlidir.
Şartlara uyulmaksızın “Kamu Yararı”, “Halk Sağlığı” , “Hayati Önem”, “Kamu sağlığı” gibi nedenlerle işlenmesi, veri sahiplerinin dava haklarını ya da Veri Koruma Otoritelerine başvuru hakkını ortadan kaldırmamaktadır.