Dünya Sağlık Örgütü yani WHO tarafından küresel pandemik salgın olarak ilan edilen ve dünya üzerinde gösterdiği yıkıcı etki ile belki de tek gündem maddesi haline gelen Corona Virüs salgını ile ülkelerin mücadelesi aralıksız şekilde sürüyor. Ülkemizde de bu mücadele kapsamında alınan tedbirler kadar mücadelenin doğru sürdürülebilmesi için bazı verilerin işlenmesi ve bunların değerlendirilmesi de gereklilik arz ediyor. Bu kapsamda ülkemizde kişilerin sağlık ve seyahat bilgileri, uzaktan eğitim kapsamında öğrencilerin kişisel bilgileri ile son olarak da hasta kişilerin konum verileri ve kişisel hareket bilgilerinin kullanılmak zorunluluğu ortaya çıkıyor.
Peki bu sağlık, seyahat, konum ve uzaktan eğitim bilgi ve verilerinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ( KVKK) uyarınca değerlendirmesi nasıl olacak? Bu veriler hangi ölçüde kullanılabilecek?
Kişisel Verilerin Korunması Kanunu ve 7 Nisan Kişisel Verileri Koruma Günü
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yürürlük tarihi 7 Nisan 2016’dır ve 7 Nisan günü yönetmelik ile ‘Kişisel Verileri Koruma Günü’ olarak ilan edilmiştir ve kutlanmaktadır. Ayrıca kvkk.gov.tr üzerinden ulaşılabilir ve ALO 198 hattı ile erişilebilir Kişisel Verileri Koruma Kurumu oluşturulmuştur.
Kişisel verilerin korunması ile ilgili Kişisel Verileri Koruma Kurumu tarafından çeşitli tarihlerde duyurular yapılmıştır. Bu kapsamda 23 Mart ve 27 Mart 2020 tarihlerinde isim, soyisim, adres, sağlık, seyahat ve iş bilgileri gibi kişisel verilerin işlenmesi konusunda, 07 Nisan 2020 tarihinde uzaktan eğitim platformları hakkında ve en son da 09 Nisan 2020 tarihinde konum verisinin işlenmesi ve kişisel hareketlerin izlenmesi konularında açıklamalar getirilmiştir.
Kişisel Verilerin Korunması Kanunu Düzenlemeleri
6698 sayılı KVKK 3. Maddesinde Kişisel veri; ‘kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır.
Aynı Kanunun 5. Maddesi gereğince genel kural olarak kişisel veriler ancak ilgilinin açık rızası ile işlenebilir. Ancak bunun bazı istisnaları bulunur. Bu istisnalar kanun metninde;
Kanunlarda açıkça öngörülmesi,Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.İlgili kişinin kendisi tarafından alenileştirilmiş olması.Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması olarak sayılmıştır.Bu hallerde kişisel veriler kişinin açık rızası olmadan da işlenebilir. Corona virüs kapsamında zorunlu hal bulunduğu için seyahat bilgi ve lokasyonları, konum gibi veriler açık rıza olmadan da işlenebilir.
Sağlık bilgi ve verileri ise daha ayrık olarak KVKK 6. maddesinde yer alan özel nitelikli kişisel veri kapsamındadır. Bu tür özel nitelikli veriler ise ancak ilgili kişinin açık rızası ile işlenebilir. Bu düzenlemenin istinasını ise KVKK 6/3 maddesi uyarınca kamu sağlığının korunması ve koruyucu hekimlik ile tıbbi teşhis ve tedavilerin yapılabilmesi amacı ile yetkili kişilerce sağlık verilerinin açık rıza olmadan da işlenebileceği düzenlemesi oluşturur.
Bu haller dışında genel bir istisna olarak KVKK 28/1-ç bendinde kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ya da ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi durumunda bu kanundaki hükümlerin uygulanmayacağı belirtilmiştir.
Aydınlatma Yükümlülüğü
KVKK 10. Maddesinde ise aydınlatma yükümlülüğü düzenlenmiştir. Kişisel verilerin elde edilmesi esnasında;
Veri sorumlusunun kimliği,Kişisel verilerin hangi amaçla işleneceği,İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,Kişisel veri toplamanın yöntemi ve hukuki sebebi,Kişinin diğer hakları konusundaBilgi verilme yükümlülüğü vardır.
Belirtilen istisnalar kapsamında açık rıza alınmadan işlenecek verilerde dahi bu aydınlatma yükümlülüğün mutlaka yerine getirilmesi gerekir.
Özel Nitelikli Kişisel Verilerden Sağlık bilgileri ile birlikte Seyahat, Adres, İş yeri Gibi Kişisel Verilerinin İşlenmesi
Corona virüs salgını ile mücadele, gerekli önlemleri alma ve atılacak adımları doğru olarak belirleme noktasında Özel nitelikli sağlıkla ilgili veriler de dahil TC Kimlik no, isim, ikamet, işyeri ve seyahat gibi bilgilerin ve kişisel verilerin, bu mücadelede işlenmesi kaçınılmaz bir durumdur.
Hiç kuşkusuz bu süreçte en öncelikli konu sağlık hizmetlerinin devamlı sağlanabilmesi ve bu şekilde toplum sağlığının korunmasıdır. Corona virüs ile mücadele kapsamında bu verilerin işlenmesi istisnai ve zorunluluk içeren bir süreçtir. Ancak bu istisnai zamanlarda bile veri sorumluları, işlenilen kişisel verilerin güvenliklerini sağlamak zorundadırlar. Bu kapsamda verilerin hukukun genel ilke ve kurallarına uygun olarak işlenmesi gerekir.
Bu kapsamda Corona Virüse karşı önlemler bağlamında kişisel verilerin işlenmesi amaç ile bağlantılı, ölçülü ve sınırlı olmalıdır. Öngörüldükleri ya da işlendikleri amaç için gereken süre kadar muhafaza edilmeli, işlenmesini gerektiren sebebin ortadan kalkması durumunda ise kişisel verilerin silinmesi ya da yok edilmesi gereklidir.
Sağlık verilerinin işlenmesinde, ilgilinin rızasının alınması tercih edilebileceği gibi salgının yayılma hızı da göz önüne alınarak açık rıza dışında da iş yeri hekimleri tarafından işlenebilir. Seyahat verileri gibi özel nitelikte olmayan kişisel veriler ise KVKK 5. Madde kapsamındaki şartlar dahilinde açık rıza olmadan işlenebilir.
Ayrıca KVKK 28/1-ç bendinde kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ya da ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında KVKK da belirtilen sınırlamalara uyulmaksızın kişisel veriler kullanılabilir.
Bu anlamda Corona Virüs ile mücadele kamu düzeni ve kamu güvenliğini tehdit ettiğinden kişisel veriler Sağlık Bakanlığı ya da ilgili kamu kurumları tarafından işlenebilir. Ancak mutlak surette aydınlatma yükümlülüğüne uyulmalıdır. Bu anlamda verilerin neden toplandığı, ne kadar süre saklanacağı da dahil bilgi sunulması gereklidir.
Ayrıca işlenen verilerin gizliliğine dikkat edilmelidir. Verilerin güvenliğini sağlayacak teknik ve idari tedbirlerin alınması gereklidir. Zorunlu bir gerekçede bulunmaksızın üçüncü kişilere ifşa edilmemelidir.
Uzaktan Eğitim Platformlarında Öğrencilerin Kişisel Verileri
Uzaktan eğitim platformları üzerinde öğrencilerin isim soy isim gibi kişisel verileri ile birlikte ses-görüntü gibi biyometrik veri kapsamında sayılabilecek özel nitelikli kişisel verilerin işlenmesi de 6698 KVKK 5 ve 6. Maddeleri kapsamında ele alınmalıdır.
Bu kapsamda uzaktan eğitim amacı ile kullanılan yazılımların ve veri merkezlerinin yurt dışında olması durumu yurt dışına veri aktarımı kapsamında değerlendirebileceği ve KVKK’nun ihlaline neden olabileceği gözden kaçırılmamalıdır.
Konum Verisi ve Kişisel Hareketliliğin İzlenmesi
Corona Virüsün yayılımının engellenmesi amacı ile mobil uygulama gibi yöntemler ile hastalığı taşıyan ya da taşıma riski bulunanların temaslarının tespiti, virüsün yayılmasına dair haritanın çıkarılması, karantina tedbirlerinin uygulanması ve kontrolü için kişilerin sağlık, iletişim ve konum bilgileri çeşitli ülkelerde işlenmektedir.
Bu kapsamda hukuk sistemimiz içerisinde, kişisel verilerin işleme noktasındaki genel istisnai durumunu oluşturan 6698 sayılı KVKK 28/1-ç düzenlemesi kapsamında kamu düzeni ve kamu güvenliği kapsamında konum verileri, ilgili kamu kurumları tarafından işlenebilir. Bu şekilde virüs tehdidine yönelik mücadele kapsamında kamu düzenini ve güvenliğini korumak amacıyla izolasyonların temini açısından bu verilerin işlenmesinde yasal bir engel bulunmamaktadır.
Ancak bu kişisel verilerin güvenliğinin alınması amacı ile her tür idari ve teknik tedbirlerin alınması, bu verilerin işlenmesini gerektiren nedenlerin ortadan kalkması durumunda da söz konusu verilerin silinmesi ya da yok edilmesi gereklidir.
İşverenin Çalışanına Dair Bilgileri Paylaşımı
Bir işveren, çalışanın virüs taşıdığı hususunu diğer çalışanlarına açıklayabilir mi?
Bu noktada işverenin vakalar konusunda çalışanlarını bilgilendirmesi gerekir.Ayrıca;
Bu bilgilendirmede isim verilmeden ve gereğinden fazla da bilgi verilmeksizin bu işlemin gerçekleştirilmesi gerekir.
Ancak isim verilmesi zorunlu olduğu durumlarda ise ilgilinin bilgilendirilmesinde yarar bulunur. Bu bilgilerin paylaşımı işverenin, çalışanlarının sağlığını koruma özen yükümlülüğü kapsamındaki sorumluluğunun neticesidir.
İşverenler, ayrıca çalışanlarının sağlığını koruyabilmek ve güvenli iş yeri sağlamak ile ilgili yükümlülüğü kapsamında çalışanlarından virüsün etkilediği bir bölgeye gidip gitmediklerini sorma, virüs belirtileri olup olmadığını sorma, kronik rahatsızlığı olan kişilerin tespitine yönelik bilgileri isteme gibi konularda da gereklilik ve ölçülülük ilkelerine bağlı olarak hakları bulunur.
Yine çalışanları arasında bulaşıcı hastalık taşıyanlara ilişkin kişisel verilerin, işverenler tarafından ilgili kamu kurumları ve makamları ile paylaşılmaları da gereklidir.