COVID-19 Salgınının Özel Nitelikli Kişisel Verilerin Korunması İlkelerine Etkileri
Şu günlerde ülkemiz gündeminin başında yer alan koronavirüs (COVID-19) salgını, hukukun uygulanmasında da etkisini göstermiştir. Kamu sağlığı ve güvenliğinin korunması adına işverenler tarafından uygulamaya koyulan acil eylem planları, veri koruma ilkelerinin uygulanabilirliği açısından birçok soruyu beraberinde getirmektedir. Özellikle Kurumların, çalışanlarına ve ziyaretçilerine uyguladıkları anket, ateş ölçme vs uygulamalarının 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) kuralları doğrultusunda değerlendirilmesi gerekir
KVKK’ya göre Kişisel Veriler; kişisel veri ve özel nitelikli kişisel veri olmak üzere iki temel kategoriye ayrılmaktadır. Özel nitelikli kişisel veriler Kanun’un 6. Maddesinde sınırlı sayıda sayılmış olup bunlar:
• Kişilerin ırkı,
• Etnik kökeni, siyasi düşüncesi, felsefi inancı,
• Dini, mezhebi veya diğer inançları,•Kılık ve kıyafeti,
• Dernek, vakıf ya da sendika üyeliği,
• Sağlığı,
• Cinsel hayatı,
• Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri
• Biyometrik ve genetik verileri şeklindedir.
Bu doğrultuda kişilerin COVID-19 virüsü taşıyıp taşımadıkları veya bu virüsün sonucu bazı belirtileri gösterip göstermedikleri bilgilerin, kişilerin “sağlık” verilerine ilişkin olduğu ve bu nedenle özel nitelikli kişisel verilere ilişkin kuralların uygulama alanında yer aldığı söylenebilecektir. Ancak içinde bulunduğumuz durum dolayısıyla kamu sağlığını gözeterek bu kuralların esnetilip esnetilemeyeceği belirsizliğini korumaktadır. Kişisel Verileri Koruma Kurulu’ndan yapılan açıklamada bu süreçte veri sorumlusuna başvuru ve Kurul’a şikayet süreçlerinde gecikmelerin yaşanabileceğinin sinyalleri verilmiştir. Bu doğrultuda özellikle işverenlerin Kanun’un özel nitelikli kişisel verilere ilişkin hükümlerine uymaya devam etmesi kanaatinde olduğumuzu belirtmek isteriz.
Kanun’a göre özel nitelikli kişisel veriler ancak ilgilinin açık rızası ile işlenebilir. Ayrıca Kanun, sağlık verilerinin işlenmesi ile ilgili; “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmü sağlık verilerinin sınırlı sayıdaki şartın oluşması halinde rıza aranmadan işlenebilmesine olanak sağlamıştır.
Diğer bir deyişle, sağlık verilerinin işlenebilmesi, depolanması veya aktarılması gibi verinin ilk defa elde edilmesinden başlayarak üzerinde değişiklik yapılabilmesi ancak aşağıdaki hallerde işlenebilecektir.
a) Sağlık verisi işlenecek kişinin açık rızası olması veya
b) Sır saklama yükümlüğü bulunan kişilerce veya yetkili kurum ve kuruluşlar tarafından işleniyor olması şartıyla aşağıdaki amaçlardan birinin mevcudiyeti halinde işlenebilecektir.
• Kamu sağlığının korunması
• Koruyucu hekimlik
• Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
• Sağlık hizmetleri ile finansmanın planlanması ve yönetimi
Bu noktada Kanun’da sır saklama yükümlülüğü bulunan kişilerin tanımı tam olarak yapılmamış olmakla birlikte, hâkim görüş ve diğer mevzuatlar değerlendirildiğinde bu grubun sağlık personelleri olduğunu söylemek yanlış olmayacaktır. Ancak sır saklama yükümlüsü kişiler ile ilgili Kanun’da bir düzenleme yapılmasının gerekli olduğu kanaatinde olduğumuzu belirtmek isteriz.
Tüm bunların ışığında, kişilerin sağlık verilerinin işlenmesi için açık rıza alınmalı, açık rızanın alınamadığı durumlarda kamu sağlığının korunabilmesi ve işyeri güvenliğinin korunabilmesi amacıyla sağlık verilerinin işyeri hekimi tarafından işlenmesi ve işyeri hekiminin dosyasında saklanması gerektiği akıllarda bulundurulmalıdır. Bu verilerin, açık rızanın bulunmadığı hallerde işveren dahil kimseyle paylaşılmaması gerekmektedir. Ancak içinde bulunduğumuz süreç ve kamu sağlığını sağlamak gayesiyle çalışanlara ilişkin kişisel verilerin, ilgili makamlar ile paylaşılabileceğini söylemek yanlış olmayacaktır.
Bir örnek ile açıklamak gerekirse, işyerinde mesai saatleri öncesinde çalışanların ateşinin ölçülmesi veya COVID-19 virüsünün belirtilerinin çalışanda bulunup bulunmadığına dair soruların yöneltilmesi, çalışanın bu verileri paylaşmaya açık rıza göstermesi şartına bağlıdır. İşveren açık rızayı Kanun’dan doğan aydınlatma yükümlüğünü yerine getirdikten sonra çalışanın ıslak imzasının alınması ispat hukuku açısından önem arz etmektedir. Açık rızanın bulunmadığı hallerde ancak sır saklama yükümlüğü altındaki işyeri hekimi çalışanın verilerini işleyebilecektir.
Son dönemde İşverenler tarafından COVID-19 virüsünün belirtilerini taşıyıp taşımadıklarını belirlemek ve bu minvalde işyeri güvenliğini sağlamak adına işyeri ziyaretçilerine çeşitli sorular yöneltilmekte ve ziyaretçilerin sağlık verileri işlenmektedir. Belirtmemiz gerekir ki İşveren, 6331 sayılı İş Sağlığı ve Güvenliği Kanunundan doğan “çalışanlarının sağlığını ve güvenliğini sağlama” ve “ işyeri güvenliğini sağlama” yükümlülükleri altındadır. Hal böyle olmakla beraber, işyeri ziyaretçilerinin de verileri de KVKK koruması altındadır ve işlenmesi yukarıda sayılı olan şartlara bağlıdır. Dolayısıyla ziyaretçi verilerinin işlenmeden önce mutlaka ilgili kişinin aydınlatılması ve onayının alınması gerekmektedir. Ziyaretçilerin verileri işlenirken ölçülülük ilkesi akılda tutulmalı ve bu yönde veriler alınmalıdır.Bu doğrultuda Kurul tarafından yapılan açıklamada, Bu süreçte, her işlenen verinin özel nitelikli kişisel veri olmayabileceği, (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanun’da belirtilen kişisel veri işleme şartlarının dikkate alınması gerektiği belirtildi.
Son olarak özel nitelikli kişisel verilerin işlenme usullerine uygun olarak işlenmesi tavsiye edilmektedir. Her ne kadar olağanüstü kararların ve hukuksal esnemelerin düzenlendiği bir dönem içerisinde olsak da, Kişisel Verileri Koruma Kurulu konu ile ilgili yaptığı açıklamada kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerektiğini belirtmiştir. Sadece Kurum’a ve Veri Sorumlusuna başvuru sürelerine ilişkin bir uyuşmazlık halinde içinde bulunduğumuz dönemin gözetileceği belirtilmiştir. Bu minvalde Kanun’un 6. Maddesinde hüküm altına alınan özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemlerin alınması gerekmektedir. Bu doğrultuda Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı kararı bu bakımdan incelenmelidir. Buna göre;
Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi, gerekmektedir.
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,gerekmektedir.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar,
Elektronik ortam ise;
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,gerekmektedir.
Özel nitelikli kişisel veriler aktarılacaksa;
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekmektedir.
Yukarıda değinilen şartlar kapsamında kişinin sağlık verilerinin işlenmesi halinde bu karar kapsamında belirlenen önlemlere riayet etmek gerekecektir.
CANAZ YILMAZ HUKUK BÜROSU
Bu makalede yer alan açıklamalar, yazarının konu hakkındaki kişisel görüşünü yansıtmaktadır. Makaledeki bilgi ve açıklamalardan dolayı Canaz Yılmaz’a sorumluluk iddiasında bulunulamaz. Verilen bilgiler yalnızca genel amaçlıdır; kopyalanamaz ve çoğaltılamaz. Bilgilerin uygulanabilirliği, güncelliği ve güvenilirliği konusunda garanti verilmemektedir. Mevzuatın sık değiştirilen ve farklı anlayışlarla yorumlanabilen yapısı nedeniyle, herhangi bir konuda uygulama yapılmadan önce konunun uzmanlarından profesyonel yardım alınmasını tavsiye ederiz.