6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA KORONAVİRÜS TEDBİRLERİ VE VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

13 Mart 2020

Veri sorumlusu şirketler tarafından alınan koronavirüs tedbirleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında değerlendirilmiştir.


Bilindiği üzere, 2019 yılı aralık ayında, Çin'in Vuhan kentinde ortaya çıkan ve Dünya Sağlık Örgütü (WHO) tarafından “COVID-19” adı verilen hastalığa yol açan koronavirüs (coronavirus), Antarktika hariç tüm kıtalara ve 120'den fazla ülkeye yayılmıştır. Birleşmiş Milletler’e bağlı Dünya Sağlık Örgütü tarafından “pandemi” (küresel salgın) olarak tanımlanan koronavirüs sebebiyle 12 Mart Perşembe günü itibarıyla dünya çapında vaka görülenlerin sayısı 134 bini aşmış ve virüs sonucu hayatını kaybedenlerin sayısı 5 bine yaklaşmıştır. Durum böyle iken, Türkiye Devleti tarafından çeşitli tedbirler alınmaya başlanmış, ancak özel şirketler açısından herhangi bir sınırlama getirilmediğinden uygulamalar şirket takdirine bırakılmıştır.

 

            6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, şirketler veri sorumlusu kabul edilmektedir. Veri sorumlusu sıfatıyla şirket, adı geçen Kanun’da belirtilen ilke ve şartlar dahilinde veri işleme faaliyetini gerçekleştirmek ve bunun yanı sıra, idari ve teknik tedbirleri yerine getirmek durumundadır. İşbu durum dahilinde, COVID-19 hastalığına karşı şirketler tarafından önlem alınabilmesi amacıyla ilgili kişilerden kişisel veri ve özel nitelikli kişisel veri olarak kabul edilen sağlık verileri talep edilebilmektedir. Durum böyle iken, veri sorumluları tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi gereği, aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.

 

Küresel salgın haline gelen adı geçen hastalıkla mücadele edilebilmesi adına, ilgili kişilerden ad soyad, telefon numarası yanı sıra; yakın zamanda ziyaret edilen ülke bilgisi ve daha önemlisi yakın zamanda geçirilmiş rahatsızlıklara ilişkin sorular yönetilmektedir. Bu kapsamda, ilgili kişilerden özel nitelikli kişisel veriler temin edilebilmektedir. Böyle bir durumda, veri sorumlusu tarafından işleme faaliyetine konu edilen kişisel veri kategorilerinden kimlik, iletişim ve konum bilgilerinin temin edilmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. Maddesi doğrultusunda, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması kapsamında değerlendirilebilecektir. Zira, kişisel verilerin işlenme şartları dahilinde Kanun’un m.5/2 hükmü uyarınca meşru menfaat, ilgili kişilerden alınan kişisel verilerin işlenmesinde açık rızanın istisnası olarak kabul edilmiştir. Şirket bünyesinde çalışanların ve diğer kişilerin sağlığının korunması meşru menfaat kapsamında değerlendirilebilecektir.

 

Öte yandan, veri sorumlusu tarafından yakın zamanda geçirilen hastalık belirtileri -COVID-19 özelinde yüksek ateş, öksürük, nefes darlığı ve burun akıntısı belirtilerinin varlığı sorgulanmaktadır- özel nitelikli kişisel veri teşkil ettiğinden; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun m.6/f.2 hükmü gereği, işleme faaliyeti ancak ilgili kişinin açık rızası ile mümkün olabilecektir. Açık rıza şartının hukuka uygun şekilde sağlanabilmesi amacıyla, veri belirli amaçlarla sınırlı olmak kaydıyla işlenmeli; açık rıza bilgilendirmeye dayanmalı ve özgür irade ile açıklanması gerekmektedir. Koronavirüse karşı alınan tedbirler kapsamında, sağlık verileri talep edilen ilgili kişiler aydınlatma metni aracılığıyla bilgilendirilmeli, ilgili kişinin özgür iradesi kapsamında izin vermeme hakkı tanınmalı ve son olarak işleme faaliyetine konu edilen veriler yalnızca COVID-19 hastalığına karşı tedbir alınması amacıyla sınırlı kalacak şekilde işlenmelidir. Temin edilen verilere erişim; özel nitelikli kişisel veri teşkil ettiğinden belirli kişiler ile sınırlandırılmalı, veri sorumlusu tarafından yeterli önlemler alınmalıdır. Adı geçen hastalığa karşı tedbir alınması ve hastalığın yayılmasının önlenerek Şirket çatısı altındaki kişilerin sağlığının korunması amacı ile işleme faaliyetine konu edilen verilerin, amacın ortadan kalkması halinde, 6698 sayılı Kanun’un 7. maddesi gereği imha edilmesi gerekmektedir. İspat yükünün gerçekleştirilebilmesi amacıyla imha işlemi tutanak ile kayıt altına alınmalıdır.

 

COVID-19 hastalığına karşı alınan tedbirlerde ilgili kişilerin sağlık verilerinin işlenmesinde açık rızaya dayanılması görüşümüz yanı sıra, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinin 3. Fıkrası uyarınca, sağlık verilerinin kamu sağlığının korunması amacıyla açık rıza gerektirmeksizin işleme faaliyetine konu edilmesi gündeme gelmektedir. Ancak, bahsi geçen hükümde, kamu sağlığının korunması amacına dayandırılsa dahi veri işleme faaliyetinin, sadece sır saklama yükümlülüğü altında bulunan kişiler ve yetkili kurum ve kuruluşlar tarafından açık rıza alınmaksızın gerçekleştirilebileceği kabul edilmektedir. İşbu doğrultuda, veri işleme faaliyetinin şirketler özelinde giriş çıkışların kontrol edilebilmesi amacıyla durumunun gerektirdiği şekilde, güvenlik görevlileri tarafından gerçekleştirilmesi Kanun’da belirtilen şartlara uygunluk oluşturmamaktadır.

 

Kanaatimizce, koronavirüs salgını boyutunun olağanüstü durumlara ulaşması sebebiyle kurum ve kuruluşlar tarafından alınacak önlemler kapsamında, özel nitelikli kişisel verilerin işleme şartları gri bir alan teşkil etmektedir. İtalya, Fransa, ABD, İrlanda, İngiltere ve İspanya gibi ülkelerde veri koruma otoriteleri tarafından konu ile ilgili yayınlanmış rehber ve bilgilendirmeler mevcut iken; Kişisel Verileri Koruma Kurumu tarafından herhangi bir açıklama getirilmemiştir. Önümüzdeki günlerde, konuya netlik kazandırmak amacıyla sağlık verilerinin hangi durumlarda, hangi şartlarla işlenebileceği ve hangi istisnalara tabi olabileceği konusunda bir bilgilendirme gerçekleştirmesi; gerek özel gerekse kamu kurum ve kuruluşları açısından yol gösterici olacaktır.

 

Yukarıda açıklamış olduğumuz şartlar dahilinde kanaatimizce, küresel salgın olarak kabul edilen koronavirüse karşı alınan önlemler kapsamında, herhangi bir sağlık verisinin veri sorumlusu olan şirketler tarafından işlenmesi söz konusu ise ilgili kişilerin muvafakatinin bulunması gerekmektedir.

AV. EYLÜL SUYOLCU