Covıd-19 Salgını Nedeniyle Kişisel Verilerin Korunması Kanunu Kapsamında Alınan Tedbirlerin Hukuki Niteliği

27 Mayıs 2020

COVID-19/Koronavirüs, her geçen gün artarak yayılması neticesinde Dünya Sağlık Örgütü tarafından salgın(pandemi) olarak ilan edilmiştir. Tüm dünyada hemen hemen hayatın her alanında olumsuz etkiler yaratan COVID-19 virüsü, en başta insan sağlığını tehdit etmektedir. Çok ağır sonuçlar doğuran bu virüsün yayılarak daha çok insanın sağlığını olumsuz yönde etkilememesi adına dünyada olduğu gibi ülkemizde de bir takım tedbirler alınmış ve alınmaya da devam etmektedir. Alınan tedbirlerin büyük çoğunluğu kişisel verilerin toplanmasını ve işlenmesini gerektirmektedir. Salgının çok ciddi boyutlarda olması ve tüm dünyayı ilgilendirmesi nedeniyle de elde edilen verilerin bir kısmının kamuoyu ile paylaşılması zaruri hale gelmektedir. Zira gerek hükümetler tarafından gerek ise işverenler ya da organizasyonlar tarafından alınan önlemler kapsamında salgının etkilerini askeri düzeyde tutabilmek adına alınan önlemlerin büyük çoğunluğu genel ya da özel nitelikli kişisel verilerin işlenmesini kaçınılmaz hale getirmektedir. Bu nedenle Covid-19 virüsünün kişisel verilerin korunması yönünden ayrıca ele alınması gerekmektedir. Dolayısıyla burada ilgili kişiye ait kişisel veriler ile kamu sağlığı arasında nasıl bir denge sağlanacağı ve önceliğin ne yönde olacağı sorusu gündeme gelmektedir.

Uygulamada COVID-19 virüsüne yönelik alınan tedbirler kapsamında en çok karşılaşılan kişilerin kişisel sağlık verilerinin toplanıp işlenmesi yönündedir. Kişisel sağlık verileri bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinin 3. fıkrasında “Sağlık ve Cinsel Hayata İlişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” şeklinde düzenlenmiştir. Bu kapsamda kişisel sağlık verilerinin kanunda açıkça öngörülme durumunda dahi işlenemeyeceği ancak ve ancak kanun metninde belirlenen sebepler ile sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebileceği açıktır. Her ne kadar kanunda ya da ikincil mevzuatlarda sır saklama yükümlülüğü altında bulunan kişiler açıkça belirtilmese de bir kişinin COVID-19 virüsüne ait belirtileri taşıyıp taşımadığına dair bilgileri, kişinin kişisel sağlık verisi olması nedeniyle sadece ilgili kişinin açık rızası olması halinde ya da kamu sağlığının korunması, tedavi hizmetlerinin yürütülebilmesi gibi amaçlarla bir hekim veya hastane tarafından kişinin açık rızası aranmaksızın işlenebileceği açıkça ortadadır.

İlgili kişilerin kişisel verilerin korunması ile toplum sağlığının korunması hususları arasında bir menfaat çatışması yaşandığında kamu sağlığının daha ağır basacağı kuşkusuzdur. Ancak yine de gerek olağan gerekse olağanüstü dönemlerde, kişilerin kişisel verilerinin işlenmesine yönelik faaliyetlerin tüm idari ve teknik tedbirler alınarak kanundaki düzenlemelere uygun yürütülmesi gerekmektedir.

Covid-19 virüsünden korunmaya yönelik alınan tedbirler kapsamında 27 Mart 2020 tarihinde Kişisel Verileri Koruma Kurumu tarafından “COVID-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlığı altında bir duyuru yayınlayarak gerek kişisel sağlık veri gerekse tüm diğer veri işleme süreçlerinde dikkat edilmesi gereken hususlara dair yönlendirmelerde bulunmuştur.

Kişisel Verileri Koruma Kurumu tarafından yapılan duyuru da dikkate alınarak Koronavirüs nedeniyle veri işleme faaliyetlerinin yürütülmesine ilişkin izlenecek yöntemlerin nasıl olacağı önem arz etmektedir.

• Sağlık Kuruluşunun COVID-19’a ilişkin İlgili Kişilerle İletişim Kurması
Kişisel Verileri Koruma Kurumu, ilgili sağlık kurum ve kuruluşlarının kamu sağlığının korunması amacı ile vatandaşlara telefon, mesaj ya da e-posta yoluyla virüsten korunma yollarına ilişkin ve halk sağlığını ilgilendiren mesajlar göndermesinde bir engel görmemektedir.

• Uzaktan/Evden Çalışma
İş sürekliliğinin sağlanması amacıyla herhangi bir şirket ya da organizasyon salgın(pandemi) süresince evden/uzaktan çalışma kararı alabilir. Tüm dünyanın ve ülkemizin alışkın olmadığı bu salgın(pandemi) döneminde halihazırda yeterli teknik alt yapısı bulunmayan şirket ve organizasyonların kamu sağlığını korumak adına almış oldukları evden/uzaktan çalışma kararını uygularken çeşitli sorunlarla karşılaşmaları mümkündür. Örneğin, şirket telefonu kullanmayan kişilerin özel telefon numaraları, diğer çalışanlar, iş ortakları, müşteriler, tedarikçiler gibi üçüncü kişiler ile paylaşılabilir. Her ne kadar bu veri paylaşımı meşru bir amaca dayansa da kişilerin açık rızasını almak ya da kişiye bir şirket hattı sağlamak veri sağlığı ve güvenliği kapsamında en uygun çözümler olacaktır. Ayrıca uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması gerekmektedir. Bu kapsamda işverenler tarafından çalışanların uzaktan çalışmak için kullandıkları teknolojik araçlarına anti-virüs sistemlerinin kurulması ve güvenlik duvarlarının güncelliğinin sağlanması yerinde olacaktır.

• Çalışanlar ve Çalışan Yakınları Hakkında Bilgi Toplama
İşverenler tarafından çalışan ve çalışan yakınlarının korona virüs semptomlarından herhangi birinin gösterip göstermediği ya da yakın zamanda herhangi bir seyahate çıkıp çıkmadığına ilişkin çeşitli bilgiler toplanmaktadır. İşverenler toplanan bu bilgiler ile çalışanın 14 günlük koruma süresini takip edebilmeyi ve diğer çalışanlarının sağlığını koruyabilmeyi amaçlamaktadır. Bu nedenle Kişisel Verileri Koruma Kurumu çalışanların ya da yakınlarının korona virüs semptomlarını gösterip göstermediği bilgisini şirket/organizasyon içinde anonim şekilde tutulabileceğini ancak bu bilginin sadece 14 günlük koruma süresinin takip etmek amacı taşıması gerektiğini belirtmektedir. Bu nedenle şirketler ya da organizasyonlar çalışanlardan yalnızca riskin oluştuğu tarih ve riskin nasıl ortaya çıktığı şeklindeki bilgiyi talep edebilirler.
Uygulamada son zamanlarda Covid-19 salgını hastalığının yayılmasını önlemek adına çalışanların ateş bilgisi, genel muayene bilgisi ve benzeri verilerin işlendiği görülmektedir. Burada dikkat edilecek husus bu ölçümlerin bir hekim tarafından yapılıp yapılmadığı noktasıdır. Zira eğer ateş ölçümü bir hekim tarafından yapılmıyorsa özel nitelikli kişisel veri olarak tanımlanan bu verilerin toplanabilmesi için çalışanlardan mutlaka açık rıza alınmalıdır. Ancak burada ateş bilgisi, genel muayene bilgisi ve benzeri sağlık verilerinin işlenmesini gerektiren uygulamaların işverenler tarafından iş yeri hekimleri aracılığıyla yerine getirilmesi halinde, işverenin çalışanlarının açık rızasına gerek duyulmaksızın yalnızca çalışanlarını aydınlatma yükümlülüğü bulunmaktadır.

• Ziyaretçiler/Üçüncü Kişiler
Şirketler ya da organizasyonlar tarafından bu süreçte ziyaretçi kabul etmemek en uygun yöntem olsa da zorunlu olarak ziyaretçi kabul edilen durumlarda ziyaretçi veya onların yakın ilişkide bulundukları kişilerin korona virüs semptomu gösterip göstermediği ya da yakın zamanda seyahate çıkıp çıkmadıklarına ilişkin sorular yöneltip bu bilgilerin muhafaza yöntemi izlenebilir.
Ancak kişilerin özel sağlık verilerinin alınması, Kişisel Verileri Koruma Kanunu uyarınca şirket ya da organizasyonun yetkisi kapsamında olmadığından tercih edilmemelidir. Bu yönde bir tedbir yöntemine giden şirket ya da organizasyonlar ancak ziyaretçinin açık rızasını almak suretiyle işyeri hekimi tarafından ziyaretçinin ateş bilgisi ya da genel muayene bilgisini alabilirler.

• Korona Virüs Testi Pozitif Çıkan ya da Korona Virüs Semptomları gösteren Çalışanların Durumu
Testi pozitif çıkan ya da semptom gösteren bir kişi ile yalnızca işyeri hekiminin temas kurması ve çalışanı bir hekimin yönlendirmesi en önemli husustur. İşyeri hekimi bulunmayan şirket ya da organizasyonlarda da bu faaliyetler bir hekim ya da yetkili kurum aracılığıyla yürütmelidir.
Bir iş yerinde testi pozitif çıkan bir kişinin varlığı hâlinde dahi kişilerin dışlayıcı eylemlerini engellemek amacıyla kişinin ismi duyurulmamalı, kişilere konuyla ilgili genel bir bilgilendirme yapılmalıdır. Burada yapılabilecek en uygun şey, testi pozitif çıkan kişinin yakın ilişkide bulunduğu kişilerin uyarılması için testi pozitif çıkan kişinin yönlendirilmesidir.

Ayrıca çalışan, çalışan yakını veya üçüncü kişinin Koronavirüsü taşıdığının tespiti halinde bu durum gecikmeden yetkili kurumlara bildirilmelidir. Bununla birlikte, yetkili makamlarca da yapılan açıklamaya göre, testi pozitif çıkan hastaların raporlu olarak evde veya hastanede istirahat etmesi yoluna gidilecektir. Yetkili kurumdan alınan raporun veya test sonucunun işveren tarafından elde edilme ve saklanma koşulları iş göremezlik raporları ile aynı kapsamda olacaktır. Yani bu raporların saklanması için ek güvenlik önlemleri alınmalı ve bu faaliyet iş yeri hekimi aracılığı ile gerçekleştirilmelidir.

SONUÇ VE HUKUKİ DEĞERLENDİRME:

Kişisel verilerin korunması meselesi COVİD-19 kapsamında değerlendirildiğinde; yukarıda detaylıca bahsedildiği üzere, içinde bulunulan süreçte, bir taraftan hasta bireyin verilerinin gizliliğinin yararı diğer yandan ise kamu sağlığının korunması karşı karşıya gelmektedir. Bu noktada ise kamu sağlığının veri gizliliği ile elde edilecek yarardan daha üstün olduğu konusunda tereddüt bulunmamaktadır. Dolayısıyla tüm dünyayı etkisi altına alan COVİD-19 salgının etkilerinin azaltılabilmesi bakımından alınan ve alınacak olan önlemler doğrultusunda kamu sağlığının sağlanması ve korunması gerekmekte olup bu çerçevede birtakım genel ve özel nitelikte kişisel verilerin toplanmasına ihtiyaç duyulduğu açıkça ortadadır. Zira kişinin ismi, adresi, seyahat bilgileri ve sair genel nitelikte kişisel verilere örnek olur iken kişinin sağlık bilgileri ise özel nitelikli kişisel veriye örnek teşkil eder.

Dolayısıyla bu süreçte devletlerin kamu sağlığını sağlama ve koruma amacıyla COVID-19 salgınını önlemek için yapacakları her türlü sınırlamada Anayasa’nın 13. Maddesinde yer alan “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” hükmü uyarınca kamu sağlığını koruma amacıyla kullanılacak kısıtlamaların toplumsal bir ihtiyacı karşılayacak nitelikte ve orantılı olması gerektiğini de unutulmamalıdır. Alınan tüm bu önlemler çalışanların/bireylerin kişilerin sağlığını koruma amacı taşısa dahi sağlık verilerinin işlenmesi durumu KVKK kapsamında değerlendirilip şartların varlığının olup olmadığı incelenmelidir.