Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Dikkat Edilmesi Gereken Hususlar
Tüm Dünya ve Ülkemizi etkileyen COVID-19 virüsü salgınının yayılmasını engellemek ve etkilerini hafifletmek adına kamu kurum ve kuruluşları gerekli adımları atmakta ve çeşitli önlemler alınması suretiyle mücadele etmektedir. Bu önlemlerin alındığı çoğu durumda özel nitelikli kişisel veriler de (sağlıkla ilgili veriler vb.) dahil olmak üzere pek çok kişisel verinin (TC kimlik no, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesi kaçınılmazdır.
Bu süreçte öncelikli olarak sağlık hizmetlerinin sağlanması ve kamu sağlığının korunması esastır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında özellikle kişilerin sağlık verilerinin ve diğer kişisel verilerin işlenmesi gerektiği durumlarda veri sorumluları ve veri işleyenler tarafından söz konusu faaliyetlerin Kanun hükümlerine uygun yürütülmesinin sağlanması ve veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin alınması önem arz etmektedir.
Belirtmek gerekir ki, bu istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerekmektedir. Bu nedenle kişisel verilerin hukuka uygun olarak işlenmesi ve bu konuda alınan herhangi bir önlemin hukukun genel ilkelerine uygun olması, bu çerçevede kişilerin temel hak ve özgürlükleri açısından geri döndürülemez zararların ortaya çıkmaması önemlidir. Bu minvalde özellikle COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bu konuda alınan kararlar, Sağlık Bakanlığı başta olmak üzere halk sağlığı kuruluşlarının veya diğer ilgili kurum ve kuruluşların rehberliği ve / veya talimatları çerçevesinde olmalıdır.
Bu bağlamda veri sorumlularının başta sağlık verisi olmak üzere kişisel verileri işlerken aşağıdaki hususlara dikkat etmeleri önem arz etmektedir.
Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler
6698 sayılı Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Söz konusu ilkeler, COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
Kanuna Uygunluk
6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinde kişisel verilerin işlenme şartları, 6 ncı maddesinde ise sağlık verilerinin dahil olduğu özel nitelikli kişisel verilerin işlenme şartları belirlenmiştir.
Kanunun 6 ncı maddesinde özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenemeyeceği belirtilmekle birlikte sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir.
Ayrıca Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” belirlenmiştir.
Bu noktada, kişisel verilerin Kanunun 5 inci ve/veya 6 ncı maddesinde belirtilen şartlara uygun olarak işlenmesi gerektiği unutulmamalıdır.
Bu çerçevede, özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır. Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanunun 5 inci maddesinde kişisel veri işleme şartlarının dikkate alınması gerekecektir.
Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Bu çerçevede, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmamaktadır.
Aydınlatma Yükümlülüğü (Şeffaflık)
Bu noktada hatırlatılması gereken diğer önemli bir konu da işlenen kişisel veriler ile ilgili olmak üzere aydınlatma yükümlülüğünün yerine getirilmiş olmasıdır. Bu anlamda, kişisel verileri işleyen veri sorumluları, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır. Bireylere kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlamalıdırlar.
Gizlilik
COVID-19 virüsünün yayılmasını önleme bağlamında, veri sorumlusu ve veri işleyenler tarafından başta sağlık verisi olmak üzere herhangi bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınmalıdır. Etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir.
Öte yandan, sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanununun 136 ncı maddesi kapsamında suç teşkil edebileceği unutulmamalıdır.
Veri Minimizasyonu
Herhangi bir veri işleme faaliyetinde olduğu gibi, COVID-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetleri de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır. Hedeflenen amaca ulaşmak için imkân dâhilindeki en müdahaleci olmayan yolun tercih edilmesi gerekmektedir.