Kişisel Verileri Koruma Kurumu 23.03.20 tarihinde yayınladığı “Covıd-19 Kapsamında Kamuoyu Duyurusu[1]” ile veri sorumluların şikayet, ihbar ve veri ihlal bildirimlerinde kanundaki sürelere riayet edilmesinin önemi vurgulandı. Bununla birlikte ülkemizin içinde bulunduğu olağanüstü sürecin de kurul tarafından gözetileceği hususu belirtildi. Yani Kişisel Verileri Koruma Kanunu’nun ve kurumun salgın hastalıklarla alakalı özel bir düzenleme yapmadığı göz önüne alındığında toplanan kişisel veriler ve işlenmesi süreci sair mevzuat hükümlerine aynen tabidir.

İşyerlerinde Yapılan Uygulamalar Yönünden İnceleme

Salgın nedeniyle veri sorumlularının bazı ek önlemler aldığı görülmektedir. Bu önlemler kapsamında çalışanların, ziyaretçilerin, müşterilerin ya da iş ortaklarının son 14 gün içerisinde yurt dışı öykülerinin bulunup bulunmadığı, semptom bulunup bulunmadığı, yakınlarının yurt dışı seyehatinin bulunup bulunmadığı ile alakalı formlar doldurmaktadırlar. Bunun dışında işyerine girenlerin ateşlerinin ölçüldüğü[2], ateşinin riskli bölgeye yakın olanların gün içerisinde ateşinin tekrar ölçülmek üzere kaydedildiği uygulamalar da göze çarpmaktadır[3].

Çalışanların toplu ortamlarda bir arada bulundukları düşünüldüğünde söz konusu önlemlerin hem çalışanları hem de işyerinin sağlık ve güvenliğini için gözettiği ortadadır. Bu kapsamda işyerinin sağlığını ve güvenliğini sağlamak amacıyla çalışanlarının seyahat bilgilerinin de düzenli olarak takip edilebileceği kabul edilmektedir.

Çalışanların dışında diğer ilgili kişilerin de son 14 gün içerisinde yurt dışına seyahat etmediğine ilişkin teyit alınması ise hem İş Sağlığı ve Güvenliği mevzuatı açısından hem de Anayasamızın ilgili maddeleri açısında kamu yararına uygun olarak değerlendirilmektedir. Bu noktada ilgili kişiye, yurt dışında hangi bölgeye gittiğinin sorulmasının kanuna aykırılık teşkil edeceği düşüncesindeyiz. Soruların sadece yurtdışı seyahatinin varlığı veya veri sorumlusunun belirttiği riskli bölgeler ve ( Ocak ayı için bazı firmaların yaptığı gibi, Çin’e seyahatiniz oldu mu?) bu bölgelere seyahat edilip edilmediğinin teyidi ile sınırlanmalıdır.

Bununla birlikte söz konusu metinlerin ayrı bir beyan metni şeklinde hazırlanması yerine işyeri giriş kurallarının bir parçası olarak hazırlanması önerilmektedir. Mevcut halin ne kadar süreceği belli değildir.

Ancak, her ne kadar bu tür sorular kişilerin sağlığını koruma amacı taşısa da bu tür sorular aracılığı ile sağlık verisinin işlenmesi için KVKK’daki şartların mevcudiyeti aranmalıdır. Sağlık verisi olarak, ilgili kişi veri sahibinin Covid-19 hastalığını ya da semptomlarını taşıyıp taşımadığı, vücut sıcaklığı, detayları belirtilmek koşuluyla sağlık raporu alınmış olması, kişinin karantinaya alınmış olması gibi durumlar örnek verilebilir.

Bu kapsamda öncelikle Covid-19 tehlikesinin sağlık verisi almadan da tespit edilip edilemeyeceği değerlendirilmelidir. Sağlık verisinin işlenmesi KVKK’da birtakım sıkı şartlara tabi tutulduğu için mümkünse sağlık verisi almadan ilerlenmesi tercih edilmelidir. Ancak bu husus hayli zor gözükmektedir.

Aydınlatma Metinleri ve Açık Rıza Yönünden İnceleme

a- Seyahat Geçmişi ve Teyit Yazıları Açısından

6698 SK. 10. Maddesi gereğince işlenecek kişisel verilerle alakalı ilgili veri sorumlusu yahut yetkilendirdiği kişi ilgili kişileri aydınlatmak, onlara bilgi vermek zorundadır. Hem Kişisel Verileri Koruma Kurulu kararları, hem de kanun uyarınca yapılacak olan aydınlatmanın, kişisel verinin işlenmeye[4] başlandığı ilk anda veri sahibine ( ilgili kişi) karşı aydınlatma yükümlüğünün yerine getirilmesi gerekmektedir. Örneklemek gerekirse ziyaretçiler için form doldurmadan önce aydınlatmanın yapılması gerekmektedir. Çalışanlar yönünden aydınlatma metinleri ise daha ayrıntılı şekilde hazırlanmalıdır. Aydınlatma metinlerinde hangi verilerinin hangi amaçlarla işlendiği, kimlerle paylaşıldığı, hangi yöntemle toplandığı ve hukuki sebebi, veri sorumlusunun veya temsilcisinin kimliği unutulmamalıdır.

İşyeri uygulamasında herhangi bir sağlık verisi alınmıyorsa açık rıza alınmasına da gerek yoktur. Bununla birlikte ziyaret edilen ülkeler ile alakalı teyit yazısı alırken de açık rıza gerekmektedir. Nitekim bu durum T.C. Anayasası ve İş Sağlığı ve Güvenliği mevzuatında öngörülen düzenlemeler çerçevesinde değerlendirilebilir. Dolayısıyla bu kapsamda toplanacak kişisel verilerin, KVKK m. 5/2/(a) “Kanunlarda öngörülme” hukuki sebebi çerçevesinde açık rıza alınmadan aydınlatma yükümlülüğünün yerine getirilmesi ile toplanması mümkündür. Ancak eğer veri sahibinden son günlerde riskli görülen bölgelere seyahat eden yakınlarının isim ve soy isimleri gibi ek birtakım bilgiler de alınmak isteniyorsa bu durum KVKK açısından ayrıca değerlendirilmelidir.

b- Sağlık Verileri Açısından

Geçirdiğimiz dönem ve devamında sağlık verilerinin toplanması işyerleri açısından zaruri bir önlem olarak değerlendirilecek, ve bulaşmayı azaltmak aynı zamanda çalışanların sağlığını korumak için sağlık verisi toplanarak önlem alınacaksa veri sorumlusunun aşağıdaki yöntemlerden biriyle ilerlemesi önerilmektedir.

KVKK madde 6/1’te belirtildiği üzere kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu noktada kişilerin ateş ölçümleri, test sonuçları şüphesiz özel nitelikli kişisel veri durumundadır. Önemle belirtmek gerekir ki, KVKK m.6/3 uyarınca sağlık verileri, veri sahibinin açık rızası aranmaksızın yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Burada işyerleri için açık rıza alınmaksızın sağlık verisi işlenmesinin tek yolunun işyeri hekimi gözetiminde yapılacağı şüphesizdir. Bu kapsamda sağlık verisi işyeri hekimleri aracılığı ile sadece işyeri hekimlerinin erişimi olacak şekilde işlenmelidir. Eğer sağlık verisinin işyeri hekimleri ile sınırlı bir şekilde işlenmesi mümkün ise KVKK m. 6/3 ve m. 5/1 uyarınca veri sahiplerinin açık rızalarının alınması gerekmemektedir.

Eğer sağlık verisinin işyeri hekimleri ile sınırlı bir şekilde işlenmesi mümkün değilse, KVKK m. 6/3 ve m. 5/1 uyarınca veri sahiplerinin açık rızalarının alınması gerekmektedir. Bununla birlikte, açık rızanın gerekip gerekmemesi konusunun yanı sıra veri sorumlusunun aydınlatma yükümlülüğünün her halükârda bulunduğu unutulmamalıdır.

Kişisel Verilerin Paylaşılması Açısından

Covid-19 pandemisi dolayısıyla veri sorumlulularının ( işverenlerin), çalışanların ve ziyaretçilerinin kişisel verilerini kamu kurum ve kuruluşları ile paylaşması olasıdır. KVKK’nın istisnalar başlıklı m. 28/1 (ç) kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi durumunda KVKK’nın uygulanmayacağının düzenlenmesi nedeniyle, bu kapsamda kamu kurum ve kuruluşları kişisel veri işleme faaliyeti gerçekleştirirken KVKK dışında kalacaktır.

İşverenler bu kapsamda, sağlık verileri dışındaki kişisel verileri, kamu kurum ve kuruluşlarından gelen veri paylaşımına ilişkin talepler doğrultusunda KVKK m.5/2 (ç) veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi çerçevesinde karşılayarak kişisel veri paylaşımı gerçekleştirebilecektir. Ancak sağlık verilerinin paylaşılması ancak KVKK m. 6/3 uyarınca bu talebin hastane, tıp merkezi vb. sağlık hizmet sağlayıcıları tarafından gelmesi ya da kişinin açık rızasının bulunması durumunda mümkündür.

Saklanma Süresi, İşleme, Anonimleştirme ve Diğer Ek Önlemler

Salgın dolayısıyla işlenen verilerin yalnızca salgın kapsamında alınması gereken önlemler süresince saklanması sonrasında ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilmelidir. Açık rıza ile işlenmemesi durumunda söz konusu veriyi görmeye yetkili kişinin işyeri hekimi olduğu unutulmamalıdır.

Covid-19 salgını dolayısı ile işlenen kişisel veriler ve özel nitelikli verilerin KVKK m.4’de yer alan ilkelere uygun olarak işlenmelidir. Orantılılık ve ölçülülük ilkesi kapsamında, ek önlemlerin gerektirdiği kadar işleme faaliyeti gerçekleştirilmeli ve ek önlemler ile ulaşılmak istenen amacı aşan kişisel veri işleme faaliyeti gerçekleştirilmemelidir.

Bu kapsamda, Covid-19 taşıyan kişinin isim, soy isim bilgileri bilgilendirme amacı ile dahi olsa herhangi bir kişi ile paylaşılmamalıdır.( Yetkili Kamu Kurum ve Kuruluşları Hariç). Nitekim, bu paylaşım kişinin ayrımcılığa uğrama ihtimalini ortaya çıkaracağından, KVKK’ya aykırı olarak nitelendirilebilecektir. Bunun yerine Covid-19 salgını sebebiyle oluşabilecek riskleri önlemek amacıyla anonim bir bilgilendirme yapılmalıdır.

Ek olarak, veri sorumluları tüm kişisel veri işleme faaliyetlerini uygun güvenlik düzeyini temin etmeye yönelik, gerekli idari ve teknik önlemleri alarak yürütmelidir. Bu önlemlerin en başında ise kişisel verilere erişimin sadece gerekli olan kapsam ile sınırlandırılması gelmektedir.

Sonuç olarak Kişisel Verilerin Korunması Kanunu ile alakalı kanun ve yönetmelik gerekleri uygulanmaya salgın süresince de devam edecektir. Kişisel Verilerin Korunması sürekli rafa kaldırılacak önemsiz bir mevzu gibi görülmemelidir. Kişisel Verilerin Korunması hem ülkemiz şirketleri hem de biz bireyler açısından bir alışkanlık haline gelmelidir. Kişisel Verilerin korunmasına özen gösterilmesinin önemini böyle zamanlarda idrak etmek daha kolay olacaktır. Sağlık ve esenlikler dilerim.

Av. Yaşar Tuğrul ERCAN

------------------------------------------

[1] https://kvkk.gov.tr/Icerik/6706/KAMUOYU-DUYURUSU-COVID-19-

[2] https://www.aa.com.tr/tr/koronavirus/musterilerini-ates-olcerek-iceri-aliyorlar/1772965

[3] http://www.corumhakimiyet.net/guncel/atesi-olculen-calisanlar-dezenfektan-tuneli-nden-geciyor-h14728.html

[4] Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.