İlk kez Aralık 2019’da Çin’in Vuhan kentinde görülen ve kısa sürede tüm dünyada etkisini gösteren, Dünya Sağlık Örgütü (WHO) tarafından Pandemi olarak ilan edilen Koronavirüs (COVID-19) Salgınının yayılmasını önlemek ve etkilerini azaltmak amacıyla günümüzde ülkemizde de pek çok alanda tedbirler alınmaya başlanmıştır. Söz konusu tedbirler çerçevesinde Kişisel Verilerin Korunması Hukuku kapsamında irdelenmesi gereken uygulamalarla sıklıkla karşılaşılmaktadır. Bu Covid-19 benzeri semptomların tespiti amacıyla özellikle iş yerlerinde uygulanan uygulamalardan bazıları şu şekildedir:
Çalışanların, ziyaretçilerin ve onların yakınlarının yakın zamanda gerçekleştirdikleri seyahatlerine ilişkin bilgi talep edilmesi, bu doğrultuda anketler doldurtulması ve hatta sağlık verilerinin talep edilmesi ve bu verilerin kayıt altına alınması,
İş yerlerinin giriş/çıkışlarında çalışanların ve ziyaretçilerin vücut sıcaklığının ölçülerek genel sağlık durumlarının kontrol edilmesi[1],
Hastalığa yakalandığı tespit edilen kişilerin ilgili kamu kurum ve kuruluşlarına bildirilmesidir.
Bu doğrultuda yukarıda ifade ettiğimiz uygulamalardan çalışan ve ziyaretçilerin işlenen seyahat verileri kişisel veri, vücut sıcaklığı genel sağlık durumuna ilişkin edinilen tüm veriler ise 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca özel nitelikli kişisel veridir.
KVKK temelde kişilerin özel hayatın gizliliği dahil temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyecek gerçek ve tüzel kişilerin uyacakları kuralları belirleme amacı gütmektedir. Yine bu kanunda veri sorumlularının elde ettikleri kişisel verileri hangi koşul ve şartlarda işleyebileceği belirlenmiştir ve günümüzde birçok veri sorumlusu konumundaki kurum ve kuruluş bu kanun doğrultusunda davranma konusunda gerekli önlemleri almaktadır.
KVKK Kapsamında Kişisel Verilerin ve Sağlık Verilerinin İşlenme Koşulları
Sağlık verilerine yönelik işleme şartlarının KVKK’nda ayrı düzenlemelere tabi olacak şekilde hüküm altına alınmıştır. Son birkaç aydır hızla yayılan COVID-19 salgınının sebebiyle veri sorumlusu konumundaki birçok kurum ve kuruluş iş yerlerinde birçok sağlık önlemi alırken KVKK’nun bu hükümlerini ihlal etmemeye özen göstermelidir.
Öncelikle veri sorumlusunun uygulaması gereken ilk yükümlülük, KVKK’nun 10. maddesinde yer alan aydınlatma yükümlülüğüdür;
“Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
(i) Veri sorumlusunun ve varsa temsilcisinin kimliği,
(ii) Kişisel verilerin hangi amaçla işleneceği (kamu sağlığının korunması, iş yerinde sağlık ve güvenlik önlemlerinin alınması gibi)
(iii) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği (Sağlık Bakanlığı’nın talep etmesi durumunda gibi),
(iv) Kişisel veri toplamanın yöntemi ve hukuki sebebi (yazılı olarak fiziki ortamda ve açık rızaya dayanarak gibi),
(v) ve ilgili kişinin diğer hakları konusunda
bilgi vermekle yükümlüdür.”
Dolayısıyla veri sorumlusu, kişisel verilerini işleyeceği çalışanlarını ve ziyaretçilerini onların kişisel verilerinin işleneceği bunun sebebi ve bunu hangi yöntemle yapacağını açıklayacak şekilde onları aydınlatmakla yükümlüdür.
Ayrıca veri sorumlularına KVKK’nun “Kişisel verilerin işlenme şartları” başlıklı 5. maddesi uyarınca kişisel verilerin verisi işlenecek ilgili kişinin açık rızasının alınması şartı getirilmiştir. Bu hüküm doğrultusunda kişisel verilerin işlenebilmesi için ilgili kişinin (somut durumda çalışanların) açık rızası alınması gerekecektir. Ancak yine aynı maddede bu kurala istisna olarak:
“6-Kanunlarda açıkça öngörülmesi,
7-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
8-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
9-İlgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
hallerinden birinin varlığı halinde”
kişisel verilerin, ilgili kişinin açık rızası alınmaksızın işlenebileceği hüküm altına alınmıştır. COVID-19 salgını doğrultusunda ilgili kişilerin yakın geçmişteki seyahat bilgilerinin sorulması, kayıt altına alınması ve bu bilgilerin işlenmesi gibi alınan önlemler, söz konusu istisna hükmü kapsamında yer alan veri sorumlusunun meşru menfaati için veri işlemesinin zorunlu olduğu hallerden sayılabileceği için ilgili kişinin açık rızasının alınmasına gerek yoktur. Ancak burada açık rızanın aranmaması veri sorumlusunun aydınlatma yükümlüğünün devam etmediği ya da kanun kapsamında bu verilerin işlenme şartlarına uyulmayacağı anlamına gelmemektedir.
Özel nitelikli kişisel verilerin KVKK’nun 6.maddesinin 2.fıkrası uyarınca kural olarak, ilgili kişinin açık rızası olmadan işlenmesi yasaktır. Bu kuralın sağlık verileri açısından bir istisnası belirlenmiştir. KVKK madde 6/3’te sağlık verilerinin “kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları ile sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, ilgilinin açık rızası aranmaksızın işlenebileceği “ifade edilmektedir.
Ülkemizde COVID-19 salgınına karşı alınan tedbirler ile kamu sağlığının korunması amacı güdülmektedir. Bu nedenle kişilerin sağlık verilerinin işlenmesi KVKK madde 6/3 kapsamında belirtilen istisna kapsamında değerlendirilecektir. Ancak kanunda veriyi işleyebilecek kişilerin mesleği gereği sır saklama yükümlülüğü olan kişiler olduğu ifade edildiğinden iş yerinde çalışanların sağlık verilerinin iş yeri hekimleri tarafından gerekli olan verilere ilişkin kayıtlar tutulmak suretiyle işlenmesi gerekmektedir.
Bu açıklamalar doğrultusunda veri sorumlusu konumundaki işverenin, çalışanlarına ait sağlık verilerini işlemesi için çalışanından söz konusu işleme faaliyeti için açık rızasını alması ve KVKK’nda sayılan hususlarda aydınlatma yükümlülüğünü yerine getirmesi veya sağlık verilerinin sır saklama yükümlülüğü altındaki işyeri hekimi tarafından işlenmesi ve aydınlatma yükümlülüğün yerine getirilmesi gerekmektedir.
Kişisel Verileri Koruma Kurumunun Konuya İlişkin Görüşü
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 23 Mart 2020 ve 27 Mart 2020 tarihinde internet sitesinde konuya ilişkin iki farklı duyuru yayınlanmıştır.
23 Mart 2020 tarihinde yayınlanan “COVID-19 Kapsamında Kamuoyu Duyurusu” ile Kurum’ kendisine intikal eden ihbar ve ihlal bildirimlerin incelendiğini, bu nedenle KVKK’ndan doğan sürelere riayet edilmesi gerektiğini ancak her bir başvuru ve ihlal bildirimi bakımından veri sorumlularının uymakla yükümlü oldukları süreler için içinde bulunulan olağanüstü durumun değerlendirileceğini açıklamıştır.[2]
27 Mart 2020 tarihinde Kurum’un internet sitesinde “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler Hakkında Kamuoyu Duyurusu”[3] başlıklı bir duyuru daha yayınlanmış, bu duyuruyla birlikte Covid-19 ile mücadele kapsamında özel nitelikli kişisel veriler de (sağlık verileri) dâhil olmak üzere pek çok kişisel verinin (TC kimlik numarası, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesinin kaçınılmaz olduğu ifade edilmiş ancak Covid-19 salgını sürecinde veri sorumlularının yükümlülüklerinin devam ettiği hatırlatılmıştır. Yukarıda açıklamalarımızda da ifade ettiğimiz gibi Kurum da söz konusu duyurusunda kişisel verilerin tamamının işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi, aydınlatma yükümlülüğünün yerine getirilmesi, gerekli idari ve teknik önlemlerin alınarak veri güvenliğinin sağlanması, verilerin işleme amacı ortadan kalktığında mevzuata uygun olarak imha edilmesi ve veri minimizasyonunun sağlanması gerektiğini belirtmiştir. Ayrıca kurum sağlık verilerinin işleme şartı olarak da çalışanın rızasını alma yoluna gidilmesinin tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, sağlık verilerinin iş yeri hekimleri tarafından işlenmesinin söz konusu olabileceği görüşünü dile getirmiştir.
Sonuç olarak,
Şirketlerin salgın durumunda işyeri sağlığı ve güvenliğini sağlamak hususundaki hukuki hükümlü yükümlülüğü en temel olarak 6098 Sayılı Türk Borçlar Kanunu’nun 417’nci maddesinden ve 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu’nun 4’üncü maddesinden kaynaklanmaktadır.
Bu doğrultuda, kişisel verilerin KVK Mevzuatına uygun olarak işlenmesi ile, iş yerinde çalışan kişilerin ve ziyaretçilerin iş yerine girişlerinde veri sorumluları ilgili kişilerin seyahatlerine ilişkin soru yöneltiliyorsa sağlık verilerine dair bir veri talep edilmemesi ve seyahate spesifik, özel hayatı ilgilendirilecek sorular sorulmaması gerekmektedir. Eğer, çalışanlara sağlık durumlarına ve hastalığın belirtilerine ilişkin doğrudan soru yöneltilecek ise bu soruların iş yeri hekimi tarafından çalışana özel olarak sorulması ve öncesinde çalışanın aydınlatılması gerekecektir.
Yine, işverenin İş Sağlığı ve Güvenliği Kanunu çerçevesinde, iş yerinin sağlığını ve güvenliğini sağlama yükümlülüğü gerekçesiyle çalışanlarının ateşini ölçmek istemesi durumunda da ya çalışanlarından ölçüm yapılması için açık rızaları talep edilmeli ve bu veriler işveren tarafından sınırlı ve ölçülü bir şekilde kullanılmalı ya da bu ölçümler yine aydınlatma yükümlülüğüne uyularak yalnızca iş yeri hekimi tarafından yapılmalıdır.
Ayrıca elde edilen sağlık verilerinin işlenmesi kapsamında iş yeri sahiplerine;
Çalışanlarına yönelttikleri yazılı soruların cevaplarının ve ateş ölçüm sonuçlarının ayrıca saklanmamasını ve bu verilerin iş yeri hekimleri tarafından değerlendirilmesini,
Hastalık belirtisi gösteren çalışanlarının iş yeri hekimleri tarafından muayene edilmesini ve bu kişilere ait sağlık verilerinin sadece muayene formu kapsamında iş yeri hekimi tarafından saklanmasını,
Çalışanların COVID-19 kapsamında edinilen sağlık verilerinin mümkün olan en kısa süre içinde imha edilmesini,
Çalışanlara ilişkin hastalık şüphesi varsa iş yeri hekimi tarafından kişilerin durumunun mümkün olduğunca az kişisel veriyi içerecek şekilde iş yeri sahibi, çalışanları ve yetkili kurumlarla paylaşılmasını önermekteyiz.
Av. Bengisu Delibalta
[1] Aile, Çalışma ve Sosyal Hizmetler Bakanlığının işyerlerine yönelik hazırladığı 20 Mart 2020 tarihli COVID-19 rehberinde (https://www.ailevecalisma.gov.tr/isggm/haberler/koronavirus/ ) , Sanayi ve Teknoloji Bakanlığı’nın organize sanayi bölgeleri, fabrikalar ve teknoparklar gibi üretim merkezlerine yönelik 22 Mart 2020 tarihli bilgi notunda (https://www.sanayi.gov.tr/medya/haber-detayi/gLAYI4bI8x47 ) ve Emniyet Genel Müdürlüğü’ne bağlı Özel Güvenlik Denetleme Başkanlığı tarafından 23 Mart 2020 tarihli valiliklere yönelik yazıda (https://www.egm.gov.tr/ozelguvenlik/ozel-guvenlik-gorevlilerinin-ates-olcer-cihaz-kullanimi-hk) işe giriş çıkışlarda ateş ölçülmesi gerektiği belirtilmiştir.