Covid-19 virüsünün küresel salgın boyutuna ulaşması akabinde “pandemi” ilan edilmesi ile ülkeler tarafından virüsle mücadele kapsamında birçok önlem alınmaya başlamıştır. Ülke yönetimleri; kamu sağlığı ve güvenliğinin korunması amacıyla vatandaşlarının belli başlı kişisel verilerini toplama, işleme ve paylaşma işlemleri gerçekleştirebilecektir. Öncelikle söylemek gerekir ki kamu kurum ve kuruluşlarının kişilere telefon, mesaj ve e-posta ile halk sağlığı içerir bilgileri ulaştırmasında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle yalnızca “Kanun” olarak anılacaktır.) çerçevesinde engel oluşturacak bir durum bulunmamaktadır.
Başkaları tarafından öğrenilmesi halinde, ilgili kişi hakkında ayrımcılık yapılmasına ve bu nedenle kişinin toplum içerisinde birçok mağduriyet yaşamasına sebep olabilecek nitelikteki hassas veriler Kanun tarafından “özel nitelikli kişisel veriler” olarak adlandırılmıştır. Kanunun 6. Maddesinde:
“(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” denilerek özel nitelikli kişisel veriler numerus clausus ilkesi gereğince kanun lafzı ile sınırlandırılmış olup bu nedenle yorum yoluyla genişletilmesi mümkün olamayacağı gibi ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Ancak Kanun maddesinde istisna hali ile ilgili ikili ayrım yapılmış; sağlık ve cinsel hayat verileri dışındaki özel nitelikli kişisel verilerin açık rıza olmaksızın işlenmesi açısından “kanunlarda öngörülme hali” aranırken, sağlık ve cinsel hayata ilişkin verilerin işlenmesinde ise istisnai olarak “kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurumlar tarafından işlenmesi” hususlarının varlığı aranmıştır.
Sır saklama yükümlülüğü altında bulunan kişilerin kim olduğuna ilişkin yasal bir düzenleme bulunmadığından, sağlık hukuku çerçevesinde yapılacak değerlendirme ile sağlık çalışanlarının sır saklama yükümlülüğü altında bulunan kişiler olduğunu söylemek yanlış olmayacaktır.
Yukarıda yapılan tüm açıklamalar akabinde, Covid-19 virüsüne ait belirtilerin varlığına yönelik kişisel verilerin, istisnai hallerin varlığı nedeniyle açık rıza aranmaksızın işlenebileceği söylenebilir. Ancak diğer taraftan ise söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınmalı ve ilgili kurumun kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları gerekmekte ve etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir. Ayrıca bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi hususunun gerekliliği gözden kaçırılmamalıdır.
Kanaatimizce Covid-19 virüsünün yayılmasını önleme amacıyla gerçekleştirilen tüm veri işleme faaliyetlerinde veri minimizasyonu gözetilmeli, amaca ulaşmak için sınırlı bilgiler edinilmeli ve gereğinden fazla kişisel verinin işlenmesinden kaçınılması sağlanmalıdır.
Nitekim bu süreçte sağlık verilerinin işlenmesi hususuna ilişkin Kişisel Verileri Koruma Kurumu tarafından 27.03.2020 tarihli “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” adlı kamuoyu duyurusu da yayımlanmıştır.[1]Duyuruda özetle; pandemiye karşı alınan tedbirler kapsamında özel nitelikli kişisel verilerin işlenmesinin zaruri olduğu, tüm işlemlerde olduğu gibi covid-19 salgınına ilişkin verilerin işlenmesi işlemlerinde de temel ilkelere bağlı kalınması gerektiği, fazla veri işlenmesinden kaçınılması gerektiği, Kanun’un istisnalara yönelik 28. Maddesi gereğince pandemi sürecinin istisnalar kapsamında olduğu ve kişisel verilerin işlenmesi süresinde tüm idari ve teknik önlemlerin alınması gerektiği hususlarına yer verilmiştir.
Öte yandan işçi-işveren ilişkisi ve işyerinde işlenecek veriler açısından ayrıca bir değerlendirme yapılacak olursa öncelikle belirtmek gerekir ki; işverenler iş sağlığı ve güvenliği açısından mevzuat kaynaklı yükümlülükleri bulunan ve işyerinde çalışan tüm personelin güvenliği açısından her türlü önlemi almakla yükümlü kişilerdir. Bu nedenle iş sağlığına ilişkin verilerin -özel nitelikli kişisel veriler hariç– işlenmesinde veri sahibinin açık rızasının alınması zorunlu tutulmayacaktır. Ancak özel nitelikli kişisel veri kapsamına giren sağlık verilerinin işlenmesi halinde işveren, sır saklama yükümlülüğü bulunan sağlık çalışanı olmadığından işçinin açık rızası ile bildirmesi haricinde kişinin covid-19 virüsü taşıyıp taşımadığına ilişkin bilgilere erişemeyecek ve bu verileri kamu sağlığının korunması kapsamında işleyemeyecektir. Bu durumda işyeri hekimleri gündeme gelecek olup, kişinin sağlık verisi sır saklama yükümlülüğü bulunan işyeri hekimi tarafından işlenebilecektir. Aydınlatma yükümlülüğünün yerine getirilmesi akabinde işyeri hekiminin gerçekleştirdiği işleme faaliyetinin veri sahibinin açık rızası olmaması halinde işveren ile paylaşması mümkün olmayacaktır. Ancak yine işyeri hekimi/işyeri sağlık personeli tarafından riskli durumların varlığı halinde özel nitelikli kişisel veriler ifşa edilmemeli, uygun görülen tedbirler işverene tavsiye talebi ile ulaştırılmalıdır. Ayrıca gerek işveren gerekse işyeri hekimi tarafından edinilen verilerin Kanunun istisnalar kapsamında sayılan halin mevcudiyeti nedeniyle ilgili makamlarla paylaşmasında veri sahibinin açık rızası aranmamaktadır.
İşveren; işyerinde gerçekleşen olası bir virüs vakası durumunda işyeri personellerini bilgilendirmelidir. Ancak bu kapsamında fazla bilgi vermekten kaçınmalı, anonim duyuru yapmalı ve çalışanın kim olduğu doğrudan açıklanmamalıdır. İşverenin, çalışanlarının iş sağlığını ve güvenliğini sağlamak ve özen yükümlülüğünü yerine getirmek gibi yürürlükte bulunan mevzuat ve kanunlardan doğan genel bir sorumluluğunun olduğunu tekrar belirtmekte fayda görmekteyiz.
Tüm bu açıklamaların yanı sıra belirtmek gerekir ki; Covid-19 salgından etkilenen kişilere ait, sosyal medya hesapları ve benzeri dijital platformlarda başta sağlık verileri olmak üzere kişisel veriler ile ilgili yapılan tüm hukuka aykırı paylaşımlar cezai yaptırıma tabı tutulmuştur. Nitekim 5237 sayılı Türk Ceza Kanunu’nun “Verileri hukuka aykırı olarak verme veya ele geçirme ” başlıklı 136. Maddesi
“ (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
(4) (2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.” hükmünü havi olup; bu maddenin ihlali halinin suç teşkil ettiğinin de unutulmaması gerekir.
Avukat Betül HAZAR