COVİD-19 Virüs Salgını Sebebiyle İşlenen Sağlık ve Seyahat Verilerinin Kişisel Verilerin Korunması Hukuku Çerçevesinde Değerlendirilmesi

2019 yılının Aralık ayında Çin Halk Cumhuriyeti’nin Wuhan kentinde ortaya çıkıp 2020 yılı başından itibaren tüm dünyayı etkisi altına alan ve Dünya Sağlık Örgütü (WHO) tarafından pandemi ilan edilen Corona Virüsün (“Covid-19”) ülkemizde görülmesiyle birtakım tedbirler hayata geçirilmiştir. Alınan tedbirler doğrultusunda bilhassa kişi sayısının fazla olduğu iş yerlerinde gerek çalışanların gerekse ziyaretçilerin sağlık verileri yahut yakın zamanda kendilerinin veya yakınlarının yaptıkları seyahatlere ilişkin bilgiler talep edilmeye başlamıştır. Bu bağlamda, veri sorumluları tarafından; çalışanların, iş ortaklarının, müşterilerin ve ziyaretçilerin özel nitelikli kişisel veri olarak değerlendirilen sağlık bilgilerinin işlenmesi hususunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında değerlendirilmesi gerekmektedir.

Kişisel Verileri Koruma Kurumu (“Kurum”)’nun 23 Mart 2020 tarihinde internet sitesinde yayınladığı “COVID-19 Kapsamında Kamuoyu Duyurusu” ile Kurum’a intikal eden ihbar ve ihlal bildirimlerinin incelendiği, bu bağlamda KVKK’dan doğan sürelere riayet edilmesi gerektiği ancak her bir başvuru ve ihlal bildirimi bakımından veri sorumlularının uymakla yükümlü oldukları süreler için içinde bulunulan olağanüstü durumun değerlendirileceği belirtilmiştir.[1]

Kurum’un faaliyetleri ve veri sorumlularının kişisel verilerinin korunmasına ilişkin KVKK’dan kaynaklanan yükümlülükleri devam etmekte olduğundan Covid-19 salgınının yayılmasının engellenmesi ve toplum sağlığını tehdit eden boyutunun mümkün olduğunca azaltılması amacıyla gerekli olan sağlık önlemlerinin alınması sırasında kişisel verileri korunması konusunun göz ardı edilmemesi önem arz etmektedir.

Öncelikle, KVKK’nın gözettiği temel amaç; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu doğrultuda veri sorumluları, iş yerlerinde sağlık önlemleri alırken KVKK hükümlerini ihlal etmemeye özen göstermelidir. Günümüz şartlarında alınan önlemler genellikle iki kategoride değerlendirilebilir. Birincisi misafir, çalışan veya iş ortaklarının sağlık verilerinin işlenmesi iken çoğunlukla alınan bir diğer önlem ilgili kişilerin yakın geçmişteki seyahat lokasyonlarının işlenmesidir. Bu doğrultuda; her iki kategori KVKK kapsamında farklı hükümlere tabidir. Zira kişisel verilerin işlenme şartları ile özel nitelikli kişisel verilerin işlenme şartları birbirinden ayrı düzenlenmiştir.

Her iki önlemde de geçerli olan yükümlülük, KVKK’nın 10. (onuncu) maddesinde yer alan aydınlatma yükümlülüğüdür. Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

(i) Veri sorumlusunun ve varsa temsilcisinin kimliği,

(ii) Kişisel verilerin hangi amaçla işleneceği,

(iii) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

(iv) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

(v) ve ilgili kişinin diğer hakları konusunda

bilgi vermekle yükümlüdür. Dolayısıyla veri sorumlusu, yukarıda KVKK ışığında izah ettiğimiz 5 unsurdan oluşan aydınlatma yükümlülüğünü yerine getirmek zorundadır.

KVKK’nın “Kişisel verilerin işlenme şartları” başlıklı 5. (beşinci) maddesi uyarınca kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak bu durumun;

(vi) Kanunlarda açıkça öngörülmesi,

(vii) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

(viii) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

(ix) İlgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

hallerinden birinin varlığı halinde kişisel veriler, ilgili kişinin açık rızası alınmaksızın işlenebilmektedir. İlgili hüküm, Covid-19 salgını ve sonuçları ışığında değerlendirildiğinde, ilgili kişilerin yakın geçmişteki seyahat lokasyonlarının sorulması, kayıt altına alınması, bu bilginin işlenmesi veri sorumlusunun meşru menfaati için veri işlemesinin zorunlu olduğu hali teşkil ettiğinden ilgili kişinin açık rızasının alınmasına bağlı olmaksızın işlenebilir. Bununla birlikte, burada dikkat edilmesi gereken husus veri sorumlusunun aydınlatma yükümlüğünün devam ediyor olmasıdır.

Diğer yandan Covid-19 salgını açısından oldukça önem arz eden sağlık verilerinin işlenmesi hususu KVKK 6. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir. Hükümde, kişilerin sağlığına ilişkin bilgiler özel nitelikli kişisel veri olarak belirtilmiş olup özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Açık rıza alınırken amaç belirtilmeli, ilgili kişiye izin vermeme hakkı tanınmalı ve alınan kişisel veri yalnızca belirtilen amaç doğrultusunda işlenmelidir. Veri işleme amacı ortadan kalktığında ise kişisel veriler derhal imha edilmelidir. Sonuç olarak, ilgili kişilerinin sağlık verilerinin işlenebilmesi için veri sorumlusunun aydınlatma yükümlülüğünün yanı sıra ilgili kişinin açık rızasını da alma yükümlülüğü vardır. Aksi halde ilgili kişinin özel nitelikli kişisel verisi hukuka aykırı bir şekilde işlenmiş olacağından veri sorumlusu yaptırımla karşı karşıya kalacaktır.

Ancak önemle belirtmek gerekir ki, KVKK m.6/3 uyarınca sağlık verileri, veri sahibinin açık rızası aranmaksızın yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Bu kapsamda sağlık verisi işyeri hekimleri aracılığı ile sadece işyeri hekimlerinin erişimi olacak şekilde işlenmelidir.  Eğer sağlık verisinin işyeri hekimleri ile sınırlı bir şekilde işlenmesi mümkün ise KVKK m. 6/3 ve m. 5/1 uyarınca veri sahiplerinin açık rızalarının alınması gerekmemektedir. Bununla birlikte, açık rızanın gerekip gerekmemesi konusunun yanı sıra veri sorumlusunun aydınlatma yükümlülüğünün her halükârda bulunduğu unutulmamalıdır.

Netice itibariyle, dünyayı ve son günlerde ülkemizi de etkisi altına alan, pandemi ilan edilen ve gerek ticari gerekse sosyal hayatı olumsuz yönde etkileyen Covid-19 salgını yukarıda izah ettiğimiz açıklamalarımız ve KVKK ışığında değerlendirildiğinde, özellikle iş yerlerinde sağlık tedbirleri alınırken kişisel verilerin korunmasına ilişkin kuralların ihlal edilmemesine gayret edilmelidir. Bu doğrultuda, müşteri, çalışan, iş ortağı gibi kişilerin yaptığı ziyaretlerde veri sorumluları ilgili kişilerin seyahat bilgilerini işlemek için aydınlatma yükümlülüğüne uygun davranmalı, yine ilgili kişilerin sağlık verilerinin işlenmesi halinde ise veri sorumlusu hem aydınlatma yükümlülüğünü yerine getirmeli hem de kişinin açık rızasını -gerekmesi halinde- kanuna uygun bir şekilde almalıdır. Veri sorumlusunun KVKK kapsamında ilgili hususlara özen göstermesi halinde kişisel verilerin ihlali bertaraf edilecektir.

Saygılarımızla,

Kılınç Hukuk ve Danışmanlık

[1] https://www.kvkk.gov.tr/Icerik/6706/KAMUOYU-DUYURUSU-COVID-19-