COVİD-19 SÜRECİNDE KVKK KONUSUNDA DİKKATE ALINMASI GEREKEN HUSUSLAR
Dünyayı etkisi altına alan ve ülkemizde de etkilerini hissettiren Covid-19 salgını, Dünya Ticaret Örgütü tarafından “pandemi” olarak ilan edilmiştir. Ülkemize de Mart ortasında giriş yaptığı bildirilen virüsün bugünlerde tüm ülkeyi etkileyen bir hal alması sebebiyle işyerlerinde iş sağlığı ve kamu sağlığının korunması amacıyla tedbirler alınmakta ve veri işleme faaliyetleri sebebiyle KVKK konusunu gündeme gelmektedir.
Alınan tedbirler dikkate alındığında veri işleme faaliyetlerinin gerçekleşeceği şüphesizdir. Gerçekten de Sağlık Bakanlığı tarafından yayımlanan rehberler dikkate alındığında işyeri girişlerinde ateş ölçer kullanılması, işyerinde vaka veyahut belirti tespiti halinde durumun yetkili birimlere bildirilmesi gibi birçok husus gündeme gelmiş ve bu veri işleme ve aktarma faaliyetlerinin KVKK açısında değerlendirilmesi gerekmiştir.
Covid-19 salgının gündeme hızlı girişi sebebiyle veri sorumluları bu noktada hazırlıksız yakalanmış ne yazık ki kurum da geç tepki vermiştir. Ancak taleplerin artması üzerine 27.03.2020 tarihinde resmi sitesinde Covid-19 salgını ile mücadele kapsamında uygulamada karşımıza çıkacak problemler hakkında görüşlerini ve yasal düzenlemeleri derlemiş ve veri sorumlularına sunmuştur.
Her somut olay açısında ayrıntılı bir inceleme mevcut değilse de kıyas yoluyla uygulama yapılması açısında duyuruda yer alan açıklamaların önemli olduğu kanaatindeyiz.
Bu yazımızda Covid-19 sebebiyle veri sorumlularının veri işleme faaliyetleri ve bunlardan doğan sorumlulukları ile dikkat etmesi gereken hususlar ana hatlarıyla incelenecektir.
KVKK Temel İlkeleri
KVKK(yasa) incelendiğinde birçok düzenleme genel açıklamalar içermektedir. Uygulamaya ise genellikle kurul tarafından verilen ilke kararlar yön vermektedir.
Somut olayda, veri sorumlusu yasa maddesinden uygulamaya yönelik şüpheye düşmesi veyahut bu konuda spesifik bir ilke karar bulunmaması halinde temel ilkelere yönelmelidir. Gerçekten de temel ilkeler birçok somut olayda bize yol göstermektedir.
KVKK m.4:
“Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”
Veri sorumluları veri işleme faaliyetlerinde yasal düzenlemeler yanında yukarıda belirtilen temel ilkelere uygun hareket etmelidir.
Özel Nitelikteki Kişiler Verilerin İşlenmesi
Covid-19 sürecinde öncelikli olarak veri sorumluları özel nitelikteki kişisel verilerin işlenmesi hususu son derece önemlidir.
Burada tekrar etmek gerekir ki; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir
Yasada açıkça belirtildiği üzere sağlık verileri kişinin özel nitelikli kişisel verisidir. Özel nitelikli kişisel verilerin işlenmesi yasada bazı şartlara bağlanmıştır.
Bir kişinin özel nitelikli kişisel verisinin işlenebilmesi için kişinin açık rızasının alınması gereklidir. Hazırlanacak olan açık rıza metninde ayrıntılı olarak hangi verilerin işleneceği ve hangi sebeple işleneceği hususunun yazılması gereklidir. Yine bu konuda bir aydınlatma metni hazırlanmalı ve özel nitelikli kişisel verinin akıbeti hakkında ilgili kişi aydınlatılmalıdır.
Özellikle şirketlerin faaliyet gösterdiği alana göre çalışanlarında almış olduğu bir takım sağlık verileri mevcuttur. Uygulamada en çok karşılaşılan hemogram testi raporu, solunum fonksiyon testi raporu, odyometri test raporu, akciğer grafisi vb. sağlık verileri halihazırda personelin özlük dosyalarında yer almaktadır.
Bu süreçte özellikle personelden Covid-19 özelinde risk grubunda bulunan bir kronik rahatsızlığı olup olmadığı noktasında bilgi talep edilmektedir. Risk grubunda yer alan personelin belirlenmesi aşamasında alınan bu beyanlarda personelin daha önce bildirmediği veyahut sonradan ortaya çıkan kronik rahatsızlık bilgilerine ilişkin beyanları yer alabilir. Bu veriler de özel nitelikli kişisel verilerdir.
Yine işyeri giriş çıkışlarında personelin ateş ölçümü yapılmakta ve personelin gün içerisinde bir veya birden ziyade ateşi ölçülerek kayıt altına alınmaktadır. Bu veri de KVKK uyarınca özel nitelikli kişisel veridir.
Son olarak ise personelin Covid-19 belirtileri taşıdığı bilgisi veya testinin pozitif olduğu bilgisi de yine personelin özel nitelikli kişisel verisidir.
Kural olarak özel nitelikli kişisel verilerin işlenmesi ancak açık rıza ile mümkündür. Ancak aşağıda yer alan rıza istisnalardan birinin yer alması halinde açık rıza olmaksızın da özel nitelikli kişisel verilerin işlenmesi mümkündür. Açık rıza yükümlülüğünün ortadan kalkmasının aydınlatma yükümlülüğü ortadan kaldırmayacağını ayrıca bildirmek isteriz.
KVKK m.6:
“…Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
Görüldüğü üzere kamu sağlığının korunması amacıyla özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın da işlenebilecektir. Covid-19 sebebiyle alınan tedbirler neticesinde alınan özel nitelikli kişisel verilerin de bu kapsamda olduğunu düşünmekteyiz. Gerçekten de veri sorumları iş sağlığının ve kamu sağlığının korunması amacıyla bu tedbirleri almakta ve bu nedenle özel nitelikli kişisel veri işlemek durumunda kalmaktadır.
Ancak, bu konuda halihazırda verilmiş bir ilke karar bulunmadığı için alınması mümkün ise açık rızanın alınması ve aydınlatma yükümlülüğünün yerine getirilmesi gerektiğini düşünmekteyiz. Keza kurum tarafından yapılan duyuruda da açık rıza yoluna gidilmesinin ilk tercih olması belirtmiştir.
Bu nedenle, Covid-19 sebebiyle veri sorumlularının veri işleme faaliyetlerinde mümkünse ilgili kişinin açık rızasını alması gerekmekte olup, herhangi bir şekilde açık rızanın alınması mümkün değilse de istisna kapsamında bu verileri işleyebileceğini düşünmekteyiz.
Alınan kişisel veriler sebebiyle veri sorumlusunun envanterinde bir değişiklik olması halinde – olması muhtemeldir – ise bunu ivedilikle envanterini revize etmeli ve VERBİS’e gerekli bildirimi yapmalıdır. Kişisel verinin alınma amacına dikkat ederek saklama ve imha sürelerini belirlemelidir. Özellikle ateş ölçer vasıtasıyla alınan verilerin süreci aşan şekilde uzun süreli olarak saklanmasının işleme amacı ile bağdaşmayacağı ortadadır.
Peki işlenen kişisel verilerin yetkili kamu kurumları ile paylaşılması mümkündür? Kanunun 8. Maddesi uyarınca bu verilerin yetkili kamu kurumlarına aktarılması mümkündür.
HES kodu uygulaması ile ilgili kişilere ait özel nitelikli kişilere erişim hakkında ise henüz kurum tarafından verilmiş ve ilke karar bulunmamaktadır. Ancak veri sorumluları bu konuda HES kodu sorgulamalarının sadece belirlenmiş personel tarafından yapılmasına ve bu kişilerin mevzuat hakkında bilgilendirilmesine, yine gerekli gizlilik taahhütnamelerinin tanzimi hususuna dikkat etmelidir. Yine HES kodu yoluyla alınan özel nitelikli kişiler veriler hakkında veri envanterinde gerekli bilgileri işlemli ve VERBİS kaydını duruma uygun olarak revize etmelidir.
Özel nitelikli kişisel verilerin korunması amacıyla gerekli tedbirlerin alınması noktasında kurul tarafından verilmiş bir ilke karar mevcuttur. Bu karara bu linkten erişebilirsiniz.
Genel Nitelikteki Kişiler Verilerin İşlenmesi
Bu süreçte veri sorumlusu tarafından işlenecek verilerin büyük bir çoğunluğunun özel nitelikli kişisel veri olması yanında genel nitelikli kişisel verilerin işlenmesi durumu da ortaya çıkabilecektir.
Özellikle personelin “son seyahat ettiği ülke verisi” ve belirtileri taşıyan ya da şüpheli durumda olan personelin “gün içerisindeki yaptıklarının kayıt altına alınması” gibi spesifik bir takım veriler de alınmaktadır.
Özellikle işyerlerinde vakaların görülmesiyle birlikte vaka kaynağını tespit etmek için personelden o gün içerisinde neler yaptığı, hangi alanlar bulunduğu gibi bir takım veriler alınmaktadır. Yine son seyahat edilen ülke ya da ülke içi şehir bilgi talep edilmektedir. Bu tür veriler genel nitelikli kişisel verilerdir.
Genel nitelikli kişisel verilerin işlenmesi de kural olarak açık rıza ile mümkündür. Ancak kanunun istisna saydığı hallerin mevcut olması halinde bu verilerin de açık rıza olmaksızın işlenebileceği yasada yer almaktadır.
Bu tür verilerin işlenmesi noktasında da öncelikle açık rıza alınmalıdır. Kurumun duyurusunda belirttiği üzere istisnaların ilk başvuru yolu olmaması gerekliliği açıkça ifade edilmektedir.
Açık rızanın alınmasının mümkün olmaması halinde ise beşinci maddede yer alan istisnalar çerçevesinde bu veriler işlenebilmektedir. Ancak burada da aydınlatma yükümlülüğüne dikkat edilmelidir. KVKK uyarınca ayrıca gerekli tedbirleri alınması gerektiği unutulmamalıdır.
Kurum Tarafından Cevaplandırılan Sorular
Kurum 27.03.2020 tarihli duyurusunda sıkça sorulan soruları cevaplamış ve bunları yayımlamıştır. Uygulamada karşılaşılan ve akıllarda soru işareti ortaya çıkartan konularda önemli tespitler sunmuştur.
- Bir sağlık kuruluşu önceden izin almaksızın COVID-19 ile ilgili kişilerle iletişim kurulabilir mi?
Yönetimlerin, COVID-19 virüsü gibi küresel salgın boyutuna ulaşan durumlarda kamu sağlığını ve kamu düzenini sağlamak ile ilgili yükümlülükleri bulunmaktadır. Kamu kurum ve kuruluşları, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir.
Bu çerçevede, ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kişisel Verilerin Korunması Kanunu açısından bir engel bulunmamaktadır.
- Salgın sırasında kuruluşların personelinin çoğunun evden çalıştığı bilinmektedir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?
Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir. Salgın sırasında personel evden çalışabilir ve kendi cihazlarını veya iletişim ekipmanlarını kullanabilir. Kişisel verilerin korunması mevzuatı bunu engellemez, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.
Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir.
Ancak unutulmamalıdır ki, çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.
- Bir işveren, bir çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilir mi?
İşveren, vakalar hakkında personeli bilgilendirmelidir. Bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görülmektedir. İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları bulunmaktadır.
Bu kapsamda ilk etapta işverenler tarafından örneğin “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” şeklinde açıklamalarda bulunulması yoluna gidilebilir.
Yukarıdaki örnekte olduğu gibi, bir kurum, kuruluş veya şirket içerisinde yapılacak duyurularda çalışanlara COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır.
- Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilir mi?
İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir.
Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.
Kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.
- İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle paylaşılabilir mi?
Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.
- Salgın sırasında, kuruluşların geçici olarak kapatıldığı veya veri sorumlularının ilgili kişilerin taleplerini yerine getirme kapasitesinin COVID-19 nedeniyle kısıtlandığı durumlarda, zaman çizelgelerine göre ilgili kişilerin başvurularına yanıt verme ve Kurumumuza karşı yükümlülükleri kapsamında Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta belirtilen süreler hala geçerli midir?
Kişisel verilerin korunması mevzuatı kapsamında Kurumumuza intikal eden şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurumumuza gerek ilgili kişilere karşı yükümlülükleri açısından Kanunda ve ilgili alt düzenlemelerde çeşitli süreler belirlenmiş olup, veri sorumluları tarafından bu sürelere riayet edilmesi önem arz etmektedir.
Kanun ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu değildir, ancak Ülkemizin içinde bulunduğu bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşullar gözetilecektir.
Av. Ali ÖZDEMİR
Göçük Hukuk Bürosu
UYARI: Bu sitede yer alan bilgiler, makaleler, kararlar ve sair paylaşımlar Avukatlık Kanunu, TBB Reklam Yasağı Yönetmeliği ve TBB Meslek Kuralları ile ilgili mevzuat hükümleri dikkate alınarak ve meslek itibarını zedeleyecek her türlü tavır ve davranıştan özenle kaçınılarak hazırlanmaktadır. Site içeriğindeki paylaşımların herhangi birinde reklam, tanıtım, pazarlama, iş sağlama amacı güdülmemektedir. Bu sebeple, bu bilgilerin profesyonel danışmanlık hizmeti yerine geçtiği kabul edilmemelidir. Site içeriğinde bulunan her türlü paylaşım Göçük Hukuk Bürosu ekibinin bilgi ve emeğinin ürünü olup, FSEK kapsamında eser niteliğindedir ve izinsiz kullanımı yasaktır.