6098 Sayılı Kişisel Verilerin Korunması Kanunu hükümleri uyarınca kişilerin verilerinin ve özel nitelikli verilerinin toplanması ve işlenmesi sıkı şartlara bağlanmıştır.
Çin’in Wuhan kentinde başlayan ve tüm dünyaya yayılarak kısa sürede Dünya Sağlık Örgütü tarafından “Pandemi” ilan edilen Yeni Tip Koronavirüs salgını sebebiyle işyerlerinde ve diğer birçok kurumda alınan önlemler kapsamında kişilerin özel nitelikli kişisel verilerini işlenmesi gerekliliği ve 3. Kişi/kurumlarla paylaşılması gündeme gelmiştir.
Bu noktada, COVİD-19 salgını sebebiyle alınan önlemlerin yerine getirilmesi kapsamında veri sorumluları tarafından kişilerin özel nitelikli kişisel verilerden olan sağlık verilerini işlerken ve bu verilerin 3. Kişi/kurumlarla paylaşırken 6098 Sayılı Kanunda belirlenen ilke ve hükümlere uygun davranılması önem taşımaktadır. Kişisel Verilerin Korunması Kanunu kapsamında düzenlenen temel ilkelerin tamamının COVİD-19 salgını sebebiyle alınan önlemler kapsamında da uygulanması ve tüm işlemlerin bu ilkelere uygun olarak yapılması gerekmektedir.
6698 Sayılı Kişisel Verilerin Korunması Kanununun 5. maddesinde kişisel verilerin kural olarak yalızca kişinin açık rızası dahilinde işlenebileceği açıkça düzenlenmiştir. Aynı Kanunun 6. maddesinde de kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu ve bu verilerin işlenmesinde Kurul tarafından belirlenen önlemlerin alınmasının da şart olduğu belirtilmiştir.
Covid-19 salgını sebebiyle alınan önlemler kapsamında işyerlerinde çalışanların ve/veya misafirlerin, tedarikçilerin vb. Kişilerin özel nitelikli kişisel veri niteliğinde olan sağlık verilerinin işlenmesi söz konusu olabilmektedir.
İşverenler tarafından bu önlemler kapsamında sağlık verilerinin işlenmesinde 6698 Sayılı Kanunun 5 ve 6. maddesinde yazılı şartlara uyulmalı ve kural olarak bu veriler yalnızca kişilerin açık rızası ile işlenmelidir.
Bununla birlikte istisnai olarak açık rızanın gerekmediği haller Kanunda düzenlenmiştir. Buna göre; sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Bu da demektir ki, salgın sebebiyle alınan önlemler kapsamında, işyerinde İş Sağlığı ve Güvenliği mevzuatı uyarınca bulundurulan iş yeri hekimleri tarafından çalışanların açık rızası olmaksızın sağlık verileri işlenebilecektir.
Benzer şekilde, kişilerin özel nitelikli kişisel verilerinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından ve yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi durumunda da 6698 Sayılı Kanunun 28. Maddesine göre bu Kanunun uygulanması söz konusu olmayacağından verilerin işlenmesinde kişilerin açık rızası aranmayacaktır.
Buna karşın, işveren tarafından ilgili özel nitelikli kişisel veriler, işyeri hekimi ile sınırlı olarak işlenemiyorsa bu durumda veri sorumlusu durumundaki işverenin (gerçek veya tüzel kişi) açık rıza alma yükümlülüğü bulunmaktadır.
Veri sorumlusu konumundaki işverenler tarafından özel nitelikli kişisel veri olan sağlık verilerinin 3. kişilerle paylaşılması noktasında ise paylaşım talebinin kimden geldiğine göre açık rıza alınıp alınmayacağı konusunda bir ayrıma gidilmesi yerinde olacaktır. Buna göre;
- İlgilinin sağlık verisi, veri sorumlusu tarafından, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşların talebi üzerine ilgilinin açık rızası olmaksızın paylaşılabileceği gibi,
- Kanunun 5. maddesinin 2. fıkrasında yazılı (Kanunlarda açıkça öngörülmesi; Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; İlgili kişinin kendisi tarafından alenileştirilmiş olması; Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.) hallerde de ilgilinin açık rızası aranmaksızın paylaşılabilir.
- Bunun dışında tüm hallerde, ilgilinin sağlık verisinin 3. kişilerle paylaşılabilmesi için açık rızanın alınmış olması şarttır.
Bir diğer önemli durum da, çalışanlardan birinin salgına yakalanması durumunda diğer çalışanların bu duruma ilişkin ne kadar ve nasıl bilgilendirilmesi gerektiğidir.
Bilindiği üzere işveren, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlüdür. Bu kapsamda, işyerinde çalışanlardan birinin Yeni Tip Koronavirüs’e yakalanması durumunda, bu çalışanın temas halinde olabileceği diğer çalışanların tespiti ve bu çalışanların sağlığının korunması amacıyla işyerinde Yeni Tip Koronavirüs vakası bulunduğunun duyurulması gerektiği aşikardır.
Bu noktada işverenler tarafından izlenmesi gereken yol, virüse yakalanan bir çalışan olduğunu anonim bir şekilde duyurarak bu çalışan ile aynı departmanda çalışan veyahut temas ihtimali bulunan çalışanların tespit edilerek ayrıca bildirimde bulunulacağının açıklanması olmalıdır. Bu açıklama yapılırken gereğinden fazla bilgi vermekten ve çalışanın ayrımcılığa maruz kalmasına sebebiyet vermekten kaçınılmalıdır.
Tüm anlatılanlarla birlikte, veri sorumlularının bu verilerin işlenmesinde, açık rıza aranıp aranmamasına bakılmaksızın, Kanunun 4. maddesinde yer alan “Hukuka ve dürüstlük kurallarına uygun olma; Doğru ve gerektiğinde güncel olma; Belirli, açık ve meşru amaçlar için işlenme; İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyma yükümlülüğü devam etmektedir.
Veri sorumlusu konumundaki işverenler, işyerinde alınan önlemler kapsamında çalışanların, tedarikçilerin, misafirlerin benzeri kimselerin özel nitelikli sağlık verilerini açık rıza aranmayan usul ve şekillerde işleseler dahi, bu verilerin işleme amacına, korunması amacıyla alınan önlemlere, saklanma süresine ilişkin bilgiler konusunda şeffaf ve açık olmalı ve bu hususta aydınlatma yükümlülüğünü yerine getirmelidirler.
Veri sorumlusu konumundaki işverenler, işlenen özel nitelikli verilenin korunması için gereken tüm teknik ve idari tedbirleri almalı, geçerli, zorunlu ve açık bir gerekçe olmaksızın üçüncü kişilere ifşadan kaçınmalıdır.
En önemlisi, veri sorumlusu konumundaki işverenler, özel nitelikli kişisel verileri işlerken, bu verilerinin işlenmesinin gerekli olup olmadığı, ulaşılmak istenilen amaçla bağlantılı ve ölçülü olup olmadığı, ulaşılmak istenilen amaca bu özel nitelikli kişisel veriler işlenmeden ulaşmanın mümkün olup olmadığını değerlendirmeli; amaca ulaşmaya yetecek en az veriyi işlemeye özen göstermelidirler.
Aksi halde veri işleme faaliyeti 6698 Sayılı Kanun hükümlerine aykırılık teşkil edeceğinden veri sorumlusu aleyhine idari para cezasına hükmedilmesi söz konusu olabilecektir.
Konuya ilişkin Kişisel Verilerin Korunması Kurumu tarafından da detaylı bir kamuoyu açıklaması yayınlanmıştır.[1] Uzaktan çalışma yönteminin yürütülemeyeceği işler açısından Kurumun 27.03.2020 tarihli kamuoyu duyurusunun gözetilmesinin faydalı olacağı kanaatindeyiz.
[1] https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-
Henüz yorum yapılmamış, sesinizi aşağıya ekleyin!