İlk olarak Çin’in Wuhan kentinde ortaya çıkan yeni tip koronavirüs, Dünya Sağlık Örgütü tarafından verilen “Covid-19” ismi ile hızla yayılarak tüm Dünyayı etkisi altına almıştır. Türkiye’deki ilk yeni tip koronavirüs vakası ise 11 Mart 2020 tarihinde resmen açıklanmıştır. Covid-19 salgınının ülkemizde de görülmesiyle birlikte kamu kurum ve kuruluşları tarafından daha önceden alınmış olan tedbirler sıkı bir şekilde uygulanmaya devam ettirilmekle birlikte yeni tedbirler de geliştirilerek uygulanmaya başlanmıştır. Alınan bu tedbirler kapsamında içerisinde özel nitelikli verilerinde bulunduğu pek çok kişisel verinin işlenmesi kaçınılmazdır. Bu süreçte kişisel veriler işlenirken dikkat edilmesi gereken hususlar hakkında Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından bir takım kamuoyu duyuruları yayınlanmıştır. Bu yazımızda kamuoyu duyuruları kapsamında özellikle sağlıkla ilgili olan özel nitelikli kişisel verilerin işlenmesi faaliyetinde dikkat edilmesi gerekenlere değinilecektir.
I. 27 Mart 2020 Tarihli Kamuoyu Duyurusu
Kurum tarafından 27 Mart 2020 tarihinde “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı bir kamuoyu duyurusu yayınlanmıştır.
Kamuoyu duyurusunda; sağlık hizmetlerinin sağlanması ve kamu sağlığının korunmasının esas olduğu belirtilmekle birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) kapsamında özel nitelikli veriler ve diğer kişisel verilerin işlenmesinin gerektiği durumlarda bu faaliyetlerin kanun hükümlerine uygun bir şekilde yürütülmesi ve veri güvenliğine yönelik idari ve teknik tedbirlerin alınması gerektiği vurgulanmıştır.
Kurum’un yaptığı açıklamaya göre;
Başta sağlık verileri olmak üzere kişisel veriler işlenirken 6698 sayılı Kanun’un “Genel İlkeler” başlıklı 4. maddesinde yer alan temel ilkelere riayet edilmelidir. Bununla birlikte veri işleme faaliyeti kanunlara uygun bir şekilde gerçekleştirilmeli, verisi işlenen kişiler bu konuda bilgilendirilmeli ve aydınlatılmalı, işlenen veriler açık ve zorunlu bir gerekçe olmadıkça üçüncü şahıslara ifşa edilmemeli ve bu konuda gerekli tüm idari ve teknik tedbirler alınmalıdır. Nihayetinde veri işleme faaliyeti amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilerek veri minimizasyonu sağlanmalıdır.
Covid-19 salgınını önlemek amacıyla alınan tedbirler kapsamında sağlıkla ilgili olarak işlenen veriler, özel nitelikli kişisel veriler kapsamında yer almakta olup 6698 sayılı Kanun’un 6. maddesindeki şartlara tabidir. Özel nitelikli veriler dışında kalan diğer kişisel veriler ise aynı Kanun’un 5. maddesinde belirtilen şartlara uygun olarak işlenmelidir.
Bununla birlikte 6698 sayılı Kanun’un “İstisnalar” başlıklı 28. maddesinin 1. fıkrasının (ç) bendine göre kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı belirtilmektedir. Kurum tarafından Covid-19 salgını, işbu madde kapsamı içerisinde değerlendirilerek salgının kamu güvenliğini ve kamu düzenini tehdit ettiğinden bahisle kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmadığı ifade edilmiştir.
Ayrıca “Sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanununun 136 ncı maddesi kapsamında suç teşkil edebileceği unutulmamalıdır.” şeklinde ifade edildiği üzere bir takım eylemlerin 5237 sayılı Türk Ceza Kanunu (“5237 sayılı Kanun”) kapsamında suç teşkil edebileceği de belirtilmiştir.
Covid-19 salgınının ortaya çıkmasıyla birlikte kişisel verilerin korunması kapsamında yanıtı merak edilen bir takım sorular Kurum tarafından kamuoyu duyurusunda yanıtlanmış bulunmaktadır:
• Bir sağlık kuruluşunun önceden izin almaksızın Covid-19 ve halk sağlığı ile ilgili olarak kişilerle telefon, mesaj veya e-posta yoluyla iletişim kurabilmesinin önünde 6698 sayılı Kanun açısından bir engel bulunmadığı belirtilmiştir.
• Covid-19 sebebiyle evden çalışma sistemine geçilmesiyle birlikte bu süre zarfında ne tür güvenlik önemlerinin alınmasının gerektiği noktasında; sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere her türlü tedbirin alınması ve bu konuda çalışanların dikkatle bilgilendirilmesi gerektiği belirtilmekle birlikte çalışanlar tarafından alınacak tedbirlerin veri sorumlusunun yükümlülüğünü ortadan kaldırmayacağının da altı çizilmiştir.
• İşverenin, bir çalışanının virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilmesinin mümkün olup olmadığı noktasında; işverenin, vakalar hakkında diğer çalışanlarını bilgilendirmesi gerektiği ancak zorunlu haller olmadıkça virüs taşıyan çalışanın kimliğini doğrudan açığa vuracak düzeyde detayları paylaşmaması gerektiği ifade edilmiştir.
• İşverenin, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunup bulunamayacağı noktasında; işverenin, çalışanlarının sağlığını korumak ve çalışanlarına güvenli bir işyeri sağlamak konusunda yasal yükümlülüklerinin bulunduğu dikkate alındığında gerekli tedbirlerin alınmasının sağlanması için belirli tavsiyelerin çalışanların ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından herhangi bir sakıncanın bulunmadığı belirtilmiştir.
• Bildirime esas bulaşıcı hastalıkları taşıyan çalışanlara ilişkin kişisel verilerin, 6698 sayılı Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8. maddesine ve bulaşıcı hastalıklara ilişkin diğer kanunlarda yer alan hükümlere riayet edilerek işveren tarafından ilgili makamlar ile paylaşılabileceği ifade edilmiştir.
• 6698 sayılı Kanun ve ilgili diğer mevzuatta belirtilen sürelerin akıbetine ilişkin olarak; kanun ve ilgili diğer mevzuatta belirtilen yasal sürelerin uzatılmasının söz konusu olmadığı, ancak Covid-19 salgınının yol açtığı olağanüstü durum dikkate alınarak her bir başvuru ya da veri ihlal bildirimi özelinde veri sorumlularının uymakla yükümlü oldukları süreler değerlendirilirken içinde bulunduğumuz olağanüstü koşulların Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından gözetileceği belirtilmiştir.
II. 07.04.2020 Tarihli Kamuoyu Duyurusu
Kurum tarafından 07.04.2020 tarihinde yayınlanan uzaktan eğitim platformları hakkındaki kamuoyu duyurusunda; uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlenmesinin söz konusu olduğu belirtilmiş ve bu verilerin işlenmesinde verinin niteliğine göre 6698 sayılı Kanun’un 5. ve/veya 6. maddelerindeki şartlara riayet edilmesi gerektiği vurgulanmıştır.
Uzaktan eğitim amacıyla kullanılan yazılımların birçoğunun bulut hizmet sağlayıcılar aracılığıyla hizmet verdiği ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğu düşünüldüğünde; veri merkezinin yurt dışında olduğu durumlarda yurtdışına bir veri aktarımı söz konusu olacağından 6698 sayılı Kanun’un “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9. maddesinde belirtilen şartlara riayet edilmesi gerektiği aksi halde kanun ihlalinin gündeme gelebileceği ifade edilmiştir.
Bunlara ek olarak; gerekli veri güvenlik önemlerinin alınıp alınmadığı noktasında Kurul tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) ile Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" kararının da göz önünde bulundurulması gerektiği belirtilmiştir.
III. 09.04.2020 Tarihli Kamuoyu Duyurusu
Kurum tarafından 09.04.2020 tarihinde “Covıd-19 İle Mücadelede Konum Verisinin İşlenmesi Ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler” başlıklı bir kamuoyu duyurusu yayınlanmıştır.
Covid-19 salgınının kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle salgın ile mücadele kapsamında izolasyonun sağlanabilmesi, kalabalık alanların tespit edilerek önlemler alınabilmesi vb. amaçlarla kişilerin konum verilerinin ve hareketliliklerinin izlenmesi gibi kişisel verilerin işlenmesi faaliyeti, Kurum tarafından 6698 sayılı Kanun’un 28. maddesinin 1. fıkrasının (ç) bendi kapsamında değerlendirilmiş ve anılan madde hükmü kapsamına giren kamu kurum ve kuruluşlarınca bu tür yöntemlere başvurulmasının yasal olarak mümkün olduğu ifade edilmiştir.
Elbette ki tüm bu veri işleme faaliyetlerinde veri güvenliğinin sağlanmasına yönelik her türlü teknik ve idari tedbirin alınması gerektiği ve bu verilerin işlenme amacının ortadan kalktığı andan itibaren yok edilmesi veya silinmesi gerektiğinin altı çizilmiştir.
Av. Tansu BEYAZ
