sahin-hukuk

COVID-19 Salgını Kapsamında Alınan Önlem ve Uygulamalarının KVKK Bağlamında Değerlendirilmesi

COVID-19 Salgını Kapsamında Alınan Önlem ve Uygulamalarının KVKK Bağlamında Değerlendirilmesi

Bilişim Hukuku ve KVKK Departmanı

Mayıs 2020

COVID-19 Salgını Kapsamında Alınan Önlem ve Uygulamalarının KVKK Bağlamında Değerlendirilmesi 

 

Giriş ;

 

Çin’in Wuhan bölgesinde ortaya çıkarak uluslararası bir pandemi haline gelen Covid-19 virüsü sebebiyle veri sorumlusu tüzel kişiler, hastalığın çalışanlar arasında yayılmasını engellemek maksadıyla birçok önleme başvurmaktadırlar. Söz konusu önlemlerin alınması, kamu sağlının temini ve korunması açısından büyük önem taşısa da ilgili veriler işlenirken bir takım yükümlülüklerin mevzuat kapsamında yerine getirilmesi gerekmektedir. Bununla birlikte Covid-19 salgını, kanunda olağanüstü hallere ilişkin düzenlenmiş olan hükümleri de gündeme getirmiştir. Bu bilgi notunda öncelikle ilgili mevzuattan bahsedilecek, daha sonra uygulamadaki örnekler KVKK bağlamında değerlendirilecektir.

 

Covid-19 Tedbirleri Kapsamında İşlenen Bazı Kişisel Veriler;

 

            Covid-19 salgını sebebiyle çalışanların iş güvenliğinin sağlanabilmesi amacıyla birçok işletme, çalışanlarına ve işletmeyi ziyarette bulunan kişi gruplarına seyahat ve aile yakın bilgisi gibi verilere yönelik sorular sormaktadır. Söz konusu soruların cevapları sağlık bilgisi barındırmadığı müddetçe bu veriler kişisel veriler kategorisinde değerlendirilecektir. Yine birçok işletme salgın hastalık dönemini uzaktan çalışarak geçirme kararı aldığından bu kapsamda çalışanların adres, IP bilgisi, kişisel iletişim bilgileri gibi kişisel verileri işlenebilmektedir.

 

            Kişisel verilerin işlenebilmesi için genel kural açık rızayla işlenebilme olsa da KVKK m.5’te bir takım istisnalara yer verilmiştir.  Covid-19 salgını tedbirleri kapsamında işlenen özel nitelikte kişisel veri teşkil etmeyen kişisel veriler, bu hukuki sebeplerden aşağıda sayılan iki istisna kapsamında kabul edilebileceğinden ilgili kişisel verilerin işlenmesi hukuka uygun olacaktır.

 

  • “e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.”
  • “f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun

meşru menfaatleri için veri işlenmesinin zorunlu olması.”

 

Bununla birlikte kanunun getirdiği genel yükümlülük olan aydınlatma yükümlülüğü, tüm işleme faaliyetleri bakımından geçerli olduğundan bu hallerde de veri sahibine aydınlatmanın yapılması gerekmektedir.

 

İstisna Tutulmuş Özel Nitelikte Kişisel Veri Olmaları Bakımından Sağlık Verileri ;

 

Özel Nitelikteki Kişisel Veriler, kanunda (KVKK m. 6/1) sınırlı sayıda belirtilmiş olmakla birlikte sağlık ve cinsel hayata ilişkin veriler bunların içinde ayrı bir grubu oluşturmaktadır. Kanun koyucu, kişinin çekirdek hayatına özgü bu verilerin işlenmesini ve aktarılmasını daha sıkı şartlara tabi kılmıştır. Kanunun 6. Maddesinin ikinci fıkrasının lafzıyla Özel Nitelikteki Kişisel Verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu hüküm altına alınmıştır. İlgili kişi ifadesinden veri sahibi anlaşılmalıdır.

 

Kanunda kural olarak tüm özel nitelikteki kişisel verilerin ilgilinin açık rızasıyla işlenebilmesi belirlenmişse de hemen bir sonraki hüküm olan KVKK m. 6/3 hükmünde bu durumun istisnalarına yer verilmiştir. Kişisel verilerin aksine özel nitelikli kişisel veriler bakımından kanun tek bir istisnaya yer vermiş, yalnızca kanunlarda öngörülmesi halinde sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin açık rıza olmaksızın işlenmesine imkan tanımıştır. Bu sebeple örneğin kanunlarda öngörülmesi halinde işverenin çalışana ait ceza mahkumiyeti ve güvenlik tedbiri bilgilerini çalışanın açık rızası aranmaksızın işlemesi hukuka uygun olacaktır. Bununla birlikte sağlık bilgisi bakımından, çalışan açıkça rıza vermediği takdirde kanunlarda öngörülse dahi çalışana ait sağlık verilerinin işveren tarafından işlenmesi hukuka aykırı olacaktır. Bu durum, sağlık ve cinsel hayat verilerinin kanun koyucu tarafından ayrı tutulmuş olmasından ileri gelmektedir.

 

Sağlık ve cinsel hayata ilişkin kişisel verilerin veri sahibinin açık rızası olmaksızın işlenebilmesi ise, yalnızca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ve aşağıda sayılan amaçlarla mümkündür;

 

  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
  •  

Görüldüğü üzere sır saklama yükümlülüğü bulunmayan özel hukuk tüzel kişileri tarafından sağlık ve cinsel hayat verilerinin veri sahibinin açık rızası olmaksızın işlenebilmesi mümkün değildir. Bununla birlikte her hâlükârda, kanunun getirdiği genel yükümlülük olan m. 10’da belirtilen aydınlatma yükümlülüğünün açık rızanın verilmesinden önce yerine getirilmesi gerekmektedir.

 

Önemle belirtmek gerekir ki, bu nitelikteki sağlık kişisel verilerinin işletme içinde yalnızca işyeri hekimi gibi yetkili kişilerin erişimine sunulması kanuna uyumluluk bakımından büyük önem arz etmektedir.

 

Salgına Yakalanan Çalışanlar Bakımından;

 

            Salgın hastalığa yakalanan çalışanlar bakımından ise; durumun işyeri hekimi yahut sağlık personeli tarafından tespit edilmesi halinde kişinin derhal sağlık kuruluşlarına yönlendirilerek diğer kanunlarda belirtildiği üzere durumun gecikmeksizin yetkili kamu kurum veya kuruluşlarına bildirilmesi gerekmektedir. Söz konusu aktarma hali KVKK m. 5’te öngörülen kanunlarda öngörülmesi hali kapsamında değerlendirilebileceğinden aydınlatma yükümlülüğü devam etse de açık rızaya dayanılması gerekmemektedir.

 

            Çalışanın salgın hastalığa yakalanması durumu ile ilgili önem arz eden husus ise sürecin sağlık kişisel verilerine ulaşmaya yetkili işyeri hekimi tarafından yönetilmesi ve kişinin sahip olması dolayısıyla ayrımcılık yahut dışlanmaya maruz kalabileceği sağlık kişisel verilerinin işletmenin diğer çalışanları yahut üçüncü kişiler ile kesinlikle paylaşılmamasıdır.

 

Uygulamadan Bazı Örnekler;

 

  • İşyeri girişleri ve işyeri servislerinde vücut sıcaklığı (ateş) ölçümü yapılması;

 

Covid-19 salgın hastalığının başlıca belirtilerinden bir tanesi olması sebebiyle çalışanların sağlığının korunması maksadıyla uygulamada sıkça işyeri girişlerinde tıbbi cihazlarla ateş ölçümü yapıldığı uygulamasına tanık olunmaktadır. Bu gibi hallerde ilgili kişinin sağlık kişisel verileri işlenmektedir. Sağlık verilerinin niteliği gereği ölçüm yapılmadan mutlaka aydınlatmanın bir aydınlatma metniyle veri sahibine yapılması akabinde ise veri sahibinin yazılı açık rızasının alınarak ölçümün yapılması kanuni bir gerekliliktir.

 

  • Kronik rahatsızlığı bulunan çalışanlara rahatsızlıkları dolayısıyla izin verilmesi;

 

Kronik rahatsızlığı bulunan kişilerin Covid-19 salgın hastalığı bakımından risk grubunda bulunduklarının ifade edilmesi dolayısıyla birçok işletme ilgili çalışanlarını ücretli yahut ücretsiz izin kapsamına almaktadırlar. İznin verilmesi sırasında kronik hastalık yani sağlık bilgilerinin veri sorumlusu tarafından işleniyor olması dolayısıyla veri sorumlularının işleme faaliyetinden önce mutlaka veri sahibine aydınlatmada bulunması akabinde ise açık rızalarını alarak işleme faaliyetinde bulunmaları gerekmektedir.

 

  • İşletme ziyaretçileri ya da çalışandan işletme girişinde seyahat, aile yakın bilgisi gibi verilerin alınması;

 

Kişinin yurtdışı temasının bulunup bulunmaması Covid-19 hastalığı bakımından önem teşkil ettiğinden bazı işletmeler ziyaretçilerine yurtdışı teması bulunup bulunmadığına ilişkin sorular yöneltmektedir. İlgili veriler, sağlık verileri gibi istisna özel nitelikte kişisel veri teşkil etmediklerinden veri sorumlusunun meşru menfaat, yahut bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hukuki sebepleri kapsamında değerlendirilebileceklerdir. Bu sebeple bu durumlarda yalnızca aydınlatma yükümlülüğünün yerine getirilmesi yeterli olabilecektir.

 

  • İşletme girişlerinde tedarikçi, müşteri gibi kişi gruplarına vücut sıcaklığı ölçümü yapılması;

 

Bu takdirde de yine çalışan kişi grubunda olduğu gibi ilgili veri sahibine öncelikle aydınlatmada bulunulmalı akabinde ise işleme faaliyetine ilişkin açık rıza alınmalıdır.

 

  • Hastalığı sebebiyle raporlu çalışanların ilgili raporlarının işlenmesi;

 

Covid-19 yahut bir başka hastalığı dolayısıyla çalışmaya devam etmeyen çalışanların ilgili raporlarını işverene teslim etmeleri halinde rapor içeriğinde yer alan sağlık verileri veri sorumlusu tarafından işlenmiş olacağından bu halde de öncelikle aydınlatma yükümlülüğü yerine getirilmeli akabinde veri sahibinin işleme faaliyetine açık rızası alınmalıdır.