1. HABERLER & YAYINLAR

HABERLER & YAYINLAR

Koronavirüs Salgınında Kişisel Verilerin İşlenmesi Sürecinde Dikkat Edilmesi Gereken Hususlara İlişkin Bilgi Notu

31.03.2020

 

Koronavirüs (Covid-19) Salgını Sürecinde Kişisel Verilerin İşlenmesi Faaliyetleri Kapsamında

Dikkat Edilmesi Gereken Hususlara İlişkin Bilgi Notu*

*Bilgi notunu pdf formatında önizlemek için tıklayınız.

 

                                                                                                                                          -Gültekin Hukuk Bürosu-

 

 

Covid-19 -bilinen adıyla yeni tip Koronavirüs salgın hastalığı- alarm seviyesi, Dünya Sağlık Örgütü tarafından 28 Şubat 2020 tarihinde “çok yüksek” seviyeye çıkarılmış ve akabinde 11 Mart 2020 tarihinde pandemi olarak ilan edilmiştir. Tüm dünyayı etkisi altına alan Covid-19 salgını ülkemizi de etkilemiş ve bu nedenle ulusal düzeyde tedbirler alınmış; alınmaya da devam etmektedir.

 

İlgili tedbirlerin birçok alanda olduğu gibi hukuk alanında da çeşitli etkileri olmuş ve Kişisel Verileri Koruma Kurumu da 27 Mart 2020 tarihinde Covid-19 virüsü ile mücadele kapsamında kişisel verilerin işlenmesi süreçlerine ilişkin bir kamuoyu duyurusu yayımlamıştır.

 

Bu bilgi notu, kişisel verilerin korunması konusunda meydana gelebilecek sorunlara ve bu sorunları bertaraf etmek için dikkat edilmesi gereken hususlara ilişkin, Kurumun yayımlamış olduğu duyuru ve sair ilgili mevzuat hükümleri çerçevesinde yapılan bir değerlendirmedir.

 

Kişisel Verileri Koruma Kurumu’nun da belirttiği üzere, Covid-19 salgını nedeniyle alınan tedbirler sırasında özel nitelikli kişisel veriler (sağlıkla ilgili veriler vb.) de dâhil olmak üzere pek çok kişisel verinin (T.C. kimlik no, ad, soyad, adres, işyeri, seyahat bilgileri vb.) işlenmesi kaçınılmazdır. Bu verilerin işlenmesinin esas amacı ise sağlık hizmetlerinin sağlanması ve kamu sağlığının korunmasıdır. Bu nedenle Koronavirüsün yayılmasını önlemek amacıyla işlenecek kişisel verilerin amaç ile bağlantılı ve sınırlı olarak ölçülü bir biçimde işlenmesi gerekmektedir.

 

  • Covid-19 Salgını Nedeniyle Gerçekleştirilecek Kişisel Verileri İşleme Faaliyetleri Sırasında Uyulması Gereken Temel İlkeler

 

Kişisel verilerin işlenmesinde uyulması gereken temel ilkeler, 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“KVKK”) “Genel İlkeler” başlıklı 4. maddesinde belirtilmiştir. Anılan madde hükmü uyarınca:

 

“(1) Kişisel veriler ancak, bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

 

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur.

a) Hukuka ve dürüstlük kurallarına uygun olma,​

b) Doğru ve gerektiğinde güncel olma,

c) Belirli, açık ve meşru amaçlar için işlenme,

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”

 

Kuşkusuzdur ki, Covid-19 salgınına karşı alınan tedbirler kapsamında yapılacak tüm kişisel veri işleme faaliyetleri sırasında da ilgili maddede sayılan işbu temel ilkelere uyulmalıdır.

 

  • Kişisel Sağlık Verileri, Covid-19 Sürecinde Kişisel Verilerin İşlenme Şartları, Açık Rıza, Aydınlatma Yükümlülüğü ve Gizlilik

 

KVKK kapsamında sağlık verilerinin tanımı yapılmamış olmakla birlikte, Sağlık Bakanlığı’nca yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik uyarınca: “Sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ve kişiye sunulan sağlık hizmetleriyle ilgili bilgileri” kapsamaktadır. Bu kapsamda veri sorumlularının başta sağlık verisi olmak üzere kişisel verileri işlerken aşağıdaki hususlara dikkat etmeleri önem arz etmektedir.

 

KVKK’nın 5 inci maddesinde kişisel verilerin işlenme şartları sayılmış; 6 ncı maddesinde ise sağlık verilerinin de dâhil olduğu özel nitelikli kişisel verilerin işlenme şartları düzenlenmiştir. Buna göre Kanun, kural olarak kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesini açık rıza şartına bağlamıştır. Kişisel veriler ve özel nitelikli kişisel veriler yalnızca 5 inci ve 6 ıncı maddede sayılan istisnai hallerde ilgilinin açık rızası olmaksızın işlenebilecektir.

 

Kanunun 6. maddesinin 3. fıkrasında ise: “…sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” denilerek özel nitelikli kişisel veriler olan sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesinde açık rızanın aranmayacağı istisnai durumlar düzenlenmiştir.

 

Ancak burada dikkat edilmesi gereken husus; bu verilerin, ilgili kişilerin açık rızası aranmaksızın yalnızca sır saklama yükümlülüğü altında bulunan kişiler ve yetkili kurum ve kuruluşlar tarafından ilgili maddede belirtilen amaçlarla sınırlı olarak işlenebileceğidir. Dolayısıyla veri sorumlusu olan işveren, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verileri ilgilinin açık rızası olmaksızın işleme yetkisine sahip değildir. Sonuç olarak; işverenlerin sağlık verilerini açık rıza aramaksızın sadece ve sadece işyeri hekimi aracılığıyla ve kamu sağlığının korunması amacı doğrultusunda işleyebileceği kanaatindeyiz. İşyeri hekimi bulundurma zorunluluğu olmayan bir işyerinde ise işveren, Covid-19 süreci nedeniyle çalışanlarının sağlık verilerini işleyecek ise kanun gereğince ilgili çalışanın açık rızasını almakla yükümlüdür.

 

Yine önemle belirtmek gerekir ki; işverenlerin bu süreçte de kişisel verileri işlerken aydınlatma yükümlülüğünü yerine getirmeleri gerekmektedir. Bu bağlamda; kişisel verilerin toplanma amacı, bu verilerin ne kadar süre ile saklanacağı, uygulanan önlemlerin neler olduğu hususlarında veri sorumluları şeffaf olmalıdır. Bireylere kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlamalıdırlar.

 

Ayrıca, işlenen verilerin güvenliğini sağlamak amacıyla gerekli idari ve teknik tedbirlerin alınması ve bu verilerin zorunlu bir neden olmadığı sürece herhangi bir üçüncü tarafla paylaşılmaması gerekir.

 

  • Uzaktan Çalışma Modeli Uygulanması Sırasında KVKK Açısından Dikkat Edilmesi Gerekenler

 

Bilindiği gibi; işyerleri, ülke çapında alınan tedbirler nedeniyle işin mahiyetine uygun düştüğü ölçüde uzaktan çalışma modeli ile iş sürekliliğini devam ettirmektedir. Uzaktan çalışma modelini tercih eden şirketlerin bu süreçte de KVKK kapsamındaki yükümlülüklerini yerine getirmesi gerektiği kuşkusuzdur. İşverenler, uzaktan çalışma düzeninde de kişisel verilerin korunması için alınması gereken tedbirler ve yükümlülükleri konusunda çalışanlarını bilgilendirmelidir; ancak bu konuda çalışanların alacağı tedbirler tek başına işverenlerin kişisel verilerin güvenliğini sağlama konusundaki yükümlülüklerini ortadan kaldırmamaktadır.

 

Bu kapsamda, Kişisel Verilerin Korunması Kurumu tarafından alınması önerilen idari ve teknik tedbirlerin bu süreçte de alınmaya devam edilmesi gerekmektedir. (Örneğin; kişisel verilere erişimin güvenli yollarla sağlanması, antivirüs sistemlerinin ve güvenlik duvarlarının güncel tutulması gibi.)

 

  • Covid-19 Semptomu Gösteren veya Covid-19 Virüsü Taşıdığını Bilen İşçinin Bu Durumu İşverenine Bildirme Yükümlülüğü

 

İş Sağlığı ve Güvenliği Kanunu’nun 19 uncu maddesinin 1 inci fıkrası gereğince: “Çalışanlar, iş sağlığı ve güvenliği ile ilgili aldıkları eğitim ve işverenin bu konudaki talimatları doğrultusunda, kendilerinin ve hareketlerinden veya yaptıkları işten etkilenen diğer çalışanların sağlık ve güvenliklerini tehlikeye düşürmemekle yükümlüdür.”

 

İlgili Kanun hükmü de göz önünde bulundurulduğunda; çalışanların Covid-19 semptomu göstermesi veya Covid-19 testinin pozitif çıktığını öğrenmesi halinde bu durumu derhal işverenine bildirmesi gerekmekle birlikte; işverenler de, çalışanların bu durumu amirlerine veya yöneticilerine değil, doğrudan KVKK kapsamında sağlık verilerini işlemeye yetkili olan işyeri hekimine bildirmeleri gerektiği hususunda çalışanlarını bilgilendirmelidir.

 

  • İşyerinde Covid-19 Virüsü Taşıyan Bir Çalışan Bulunması Durumunda Diğer Çalışanların Bilgilendirilmesi Hususu

 

İş Sağlığı ve Güvenliği Kanunu gereğince; işverenler, iş yerinde iş sağlığı ve güvenliğini sağlamakla yükümlü olup bu kapsamda bu hususa ilişkin gerekli tüm tedbirleri almalı, çalışanları bu konuda bilgilendirmeli ve alınan tedbirlere uyulup uyulmadığını denetlemelidir.

 

Dolayısıyla işveren, işyerinde bir vaka olması durumunda tüm çalışanları bilgilendirmelidir. Ancak bu bilgilendirme yapılırken alınan tedbirlerin gerektirdiği ölçüde kişisel verinin paylaşılması gerekmektedir. Nitekim, Kişisel Verileri Koruma Kurumu’nun yayımlamış olduğu kamuoyu duyurusunda bu hususa ilişkin bilgilendirmenin nasıl olması gerektiğine dair “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın Covid-19 testinin pozitif çıktığını bildirmek isteriz. Testi poztifi çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…”  şeklinde bir örnek verilmiştir.

 

Anılan örnekte olduğu gibi çalışanlar ölçülülük sınırları içerisinde bilgilendirilmeli, Covid-19 virüsü taşıyan çalışanın doğrudan kim olduğunun tespitine ilişkin kişisel veriler ise paylaşılmamalıdır.

 

  • Covid-19 Kapsamında Alınan Tedbirler Nedeniyle Çalışanlardan Talep Edilebilecek Kişisel Veriler

 

İş Sağlığı ve Güvenliği Kanunu’ndan kaynaklanan yükümlülüğü de göz önüne alındığında işverenlerin, Koronavirüs’ün (Covid-19) yayılmasını önlemek amacıyla gerekli tedbirleri alması gerekmektedir. Bu süreçte, bazı şirketler tarafından önlem olarak ve hastalığın tespiti bakımından, şirkete gelen ziyaretçilerden ve çalışanlardan son dönemde yurt dışına seyahat edip etmediklerine ve sağlık durumlarına (ateş, nefes darlığı vb. belirtiler) ilişkin veriler toplanması, bazı şirketler tarafından ise ateş ölçümü yapılması gibi uygulamalar yapılmaktadır.

 

Veri sorumlusu olan şirketler, ziyaretçilerine veya çalışanlarına sağlık durumlarına ilişkin sorular sorarak özel nitelikli kişisel veri niteliğindeki sağlık verilerini işledikleri gibi, son zamanlarda ziyaret ettikleri bölgeleri ve ülkeleri sorarak konum bilgisi kategorisindeki kişisel verilerini de işlemektedirler. Her iki koşulda da, ilgili kişilere karşı aydınlatma yükümlülüğünün yerine getirilmesi gerekmekle birlikte:

 

- İlgili kişinin son dönemde ziyaret ettiği ülke ya da bölge verisinin talep edilmesi, iş yerindeki çalışanların sağlığının korunması adına veri sorumlusunun meşru menfaati olarak değerlendirilebilecek olup bu halde, KVKK’nın 5/2-f madde hükmünde yer alan ve açık rıza aranmaksızın veri işlemeye olanak sağlayan hukuki dayanaklardan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olmasına” dayanılabilecektir.

 

Kurumun yayımladığı kamuoyu duyurusunda da: “Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir. (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi.) Bu durumlarda da Kanunun 5 inci maddesinde yazılı kişisel veri işleme şartlarının dikkate alınması gerekecektir.” denilerek talep edilecek bilgilerin işleme amacıyla bağlantılı ve sınırlı kalması gerekliliği vurgulanmıştır.

 

- İlgili kişilerin sağlık durumlarına ve ateş ölçümlerine ilişkin verilerin, -yani ilgili kişilerin özel nitelikli kişisel veri niteliğindeki sağlık verilerinin- talep edilmesi halinde ise, KVKK’nın 6/1. maddesi uyarınca açık rıza alınması gerekmektedir. Ancak söz konusu sağlık verilerinin, kamu sağlığının korunması amacıyla iş yeri hekimi tarafından işlenmesi halinde, KVKK’nın 6/2. maddesi uyarınca açık rıza aranmaksızın da işlenebileceği değerlendirilebilir. Bu halde söz konusu sağlık verilerinin yalnızca iş yeri hekimi tarafından tutulması ve ilgili kişilerin açık rızası olmaksızın veri sorumlusu şirketle paylaşılmaması gerektiği kanaatindeyiz.

 

Açık rıza alınırken Kanun’da yer verilen koşullar dikkate alınmalı; bu kapsamda, ilgili kişi bilgilendirilmeli, veri işlemenin amacı ve toplanan kişisel veriler açıkça belirtilmeli, ilgili kişiye veri işlenmesini reddetme hakkı tanınmalı ve elde edilen kişisel veriler yalnızca belirtilen amaçla sınırlı olarak işlenmelidir. Veri işleme amacının veya işleme şartlarının ortadan kalkması halinde ise ilgili kişisel veriler ilk periyodik imha döneminde imha edilmelidir.

 

  • İşveren Tarafından İşlenen Sağlık Verilerinin Kamu Sağlığının Korunması Amacıyla Yetkili Kamu Kurumları ile Paylaşılması

 

Umumi Hıfzıssıhha Kanunu uyarınca: “Hekim veya yardımcı sağlık personeli olmayan özel hukuk tüzel kişisi veya gerçek kişiler de işlerini ifa ederken öğrendikleri vakaları derhal ilgili makamlara bildirmekle yükümlüdür.”

 

Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği’nin 10. maddesinde: “Bildirim sistemi kapsamında bir bulaşıcı hastalığın ihbarı ve bildiriminden, Bakanlığın belirlediği usul ve esaslar çerçevesinde sağlık hizmeti veren bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.” denilmektedir. İlgili Yönetmelikte 2019 yılında değişiklik yapılmış olup bu değişiklik ile; bildirim sistemi vasıtasıyla elde edilen kişisel verilerin işlenmesi sırasında kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer mevzuata uygun olarak korunması gerektiği düzenlenmiştir.

 

Kurumun kamuoyu duyurusunda da, KVKK’nın 8. maddesi ve bulaşıcı hastalıklar ile ilgili olarak düzenlenen diğer mevzuatlara atıf yapılarak Covid-19 virüsü taşıyan çalışanlara ilişkin kişisel verilerin ilgili makamlar ile paylaşılabileceği belirtilmiştir.

 

  • KVKK Kapsamında Belirlenen Sürelerin Salgın Sürecinde Uygulanıp Uygulanmayacağı Hususunun Değerlendirilmesi

 

Kişisel Verileri Koruma Kurumu, 23 Mart 2020 tarihinde yayımladığı kamuoyu duyurusunda: “Kişisel verilerin korunması mevzuatı kapsamında Kurumumuza intikal eden şikâyet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurumumuza gerek ilgili kişilere karşı yükümlülükleri açısından Kanunda ve ilgili alt düzenlemelerde çeşitli süreler belirlenmiş olup, veri sorumluları tarafından bu sürelere riayet edilmesi önem arz etmektedir.

 

Kanun ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu değildir, ancak ülkemizin içinde bulunduğu bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü durum gözetilecektir.” diyerek şikâyet, ihbar ve veri ihlal bildirimlerine ilişkin sürelerin uygulanması hususunda nasıl bir yaklaşım benimseyeceğini açıkça ifade etmiştir.

 

Ülke olarak içinde bulunduğumuz durumu en az zararla atlatarak sağlıklı bir şekilde hayatımıza devam etmek dileğiyle...

 

Saygılarımızla,

 

GÜLTEKİN HUKUK BÜROSU