EDPB’nin “Kişisel Verilerin Covid-19 Kapsamında İşlenmesine Yönelik Açıklaması”

European Data Protection Board, kısa adıyla EDPB, Covid-19 salgını devam ederken kişisel verilerin işlenmesine yönelik olarak ilk açıklamasını 16.03.2020 tarihinde yapmıştı. Ancak bu açıklamanın veri sorumlusu ve veri işleyenler bakımından yetersiz görülmesiyle beraber EDPB bu sefer de 20.03.2020 tarihinde yeni bir beyanat yayınlamıştır. Bu açıklamanın satır başları şu şekildedir[1]:

1. Veri İşlemede Hukuka Uygunluk

GDPR, özel nitelikli kişisel verilerin yetkili sağlık kuruluşları ve işverenlerin salgın hastalık durumunda yerel mevzuat kapsamında ilgili kişilerden açık rıza alınmasına gerek olmaksızın işlenmesine izin vermektedir. Yetkili sağlık kuruluşları GDPR’ın 6 ve 9.maddelerine göre kamu sağlığının korunması ve işverenler de işyerinde sağlık ve güvenliğin sağlanması hususundaki yasal yükümlüklerini yerine getirmek ve hastalığın kontrol altına alınması amaçlarıyla kamu yararının gözetilmesi hukuka uygun sebebini baz alarak veri işleyebileceklerdir.

(Belirtmemiz gerekir ki GDPR, özel nitelikli kişisel verilerin işlenmesinin yasak olması durumlarına bazı istisnalar getirmiştir. Bunlar, kamu sağlığının korunması için zorunlu olması [Madde 9.2.i], ilgili kişinin menfaatinin korunması için yerel mevzuat veya Birlik mevzuatında öngörülme [Madde 9.2.c] ve salgın bir hastalığın kontrol edilmesi [Gerekçe, madde 46].)

Yine e-Gizlilik Direktifine göre, konum gibi Telekom verilerinin paylaşılması, ilgili kişinin açık rızasına yahut verilerin anonim hale getirilmesine bağlıdır. Her ne kadar e-Gizlilik Direktifinin 15.maddesinde ülkelere kamu güvenliğinin sağlanması amacıyla önlem alma yetkisi verilmişse de bu istisnai hükümlerin uygulaması için veri işlemenin zorunluluk arz etmesi gerekmekte olup aynı zamanda demokratik toplum bakımından ölçülü olması gereklidir. Yine bu önlemler Avrupa Birliği Temel Haklar Bildirgesi ve Avrupa İnsan Hakları Sözleşmesine uygun olmalıdır.

2. Veri İşlemede Temel Prensipler

İlgili kişi, kesin bir şekilde aydınlatılmalı, veri işleme faaliyeti amaçla sınırlı olmalıdır. Aydınlatma yapılırken verinin hangi zaman dönemi içerisinde işlenmeye devam edileceği mutlaka belirtilmelidir. Gerekli güvenlik tedbirlerinin alındığına ve özel nitelikli verilerin yetkisiz üçüncü kişilerin erişimine açılmadığına emin olunmalıdır. Bu süreç devam ettiği sürece acil durumda alınacak önlemlerin ve karar verme mekanizmasının nasıl işleyeceğine yönelik dokümantasyon yapılmalıdır.

3. Mobil Konum Verisi

Kamu kurumları ilgili kişilerin mobil konum verilerini öncelikle konum verisi işlenen kişinin ayırt edilmeyeceği şekilde anonim şekilde işlemelidirler. Bu tarz bir anonim işlemede, kişisel veri işleme hükümleri uygulanmayacaktır. Böyle bir anonim işlemenin mümkün olmaması durumunda e-Gizlilik Direktifinin 15.maddesine göre, üye ülkeler kamu güvenliğinin sağlanması için kendi önlemlerini almak bakımından serbesttir. Ancak bu tarz münferit önlemlerin alınması halinde, üye ülkelerin ilgili kişilere yeterli hukuki güvenceleri sağlaması yükümlülükleri bulunmaktadır. Yine ölçülülük prensibi uygulanmalı, amaca hizmet edecek ve ilgili kişiye en az zarar verecek spesifik yöntemler tercih edilmelidir. Kişilerin hayatlarına müdahale anlamı taşıyan “Bireyin takibi” ancak belli koşullar altında ölçülü ve uygun olarak kabul edilebilir ki bu yöntem uygulandığı taktirde veri işlemenin temel ilkelerine uygun şekilde güvenlik tedbirlerinin tesis edilmesi gerekmektedir.

4. İş Hukuku Bakımından

İşveren ancak yerel mevzuatı izin verdiği ölçüde ziyaretçi ve işçinin sağlık verisini işleyebilir ve çalışanına sağlık taraması yapabilir. Yine burada dikkat edilmesi gereken husus, ölçülülük ve veri minimizasyonu prensipleridir.

İşveren, Covid-19 bakımından enfekte olmuş bir çalışanının bilgisini zorunlu olandan fazla bilgi vermemek ve gerekli güvenlik tedbirlerini almak kaydıyla diğer çalışanlarıyla paylaşmak zorundadır.  Yerel mevzuatın izin vermesi halinde enfekte olmuş çalışan veya çalışanların isimleri kişilerin onur ve haysiyetlerinin korunması şartıyla diğer ilgili kişilere açıklanabilir.

Sonuç olarak, işverenler yerel mevzuata uygun şekilde hukuki yükümlülüklerini yerine getirmek amacıyla Covid-19 kapsamında her türlü kişisel veriyi işleyebilirler.

Kurumun “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenlere İlişkin Açıklaması”

Kurum, Covid-19 salgını devam ederken kişisel verilerin işlenmesine yönelik olarak ilk açıklamasını 23.03.2020 tarihinde yapmıştı. Bu açıklamanın Kanun’un uygulanması bakımından hiçbir soruna çözüm yolu sunmaması ve gün geçtikçe kişisel verilerin işlenmesi bakımından yeni problemlerin ortaya çıkması göz önüne alınmış olmalı ki Kurum tarafından bu sefer de 27.03.2020 tarihinde bir açıklama yapılmıştır: [2]

1. Kişisel Verilerin İşlenmesine İlişkin Temel Prensipler

Covid-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme prensiplerinin bulunması gerekmektedir. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

2. Kanuna Uygunluk

Özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır. Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanunun 5 inci maddesinde kişisel veri işleme şartlarının dikkate alınması gerekecektir.

Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Bu çerçevede, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmamaktadır.

3. Aydınlatma Yükümlülüğü (Şeffaflık), Gizlilik ve Veri Minimizasyonu

Kişisel verileri işleyen veri sorumluları, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır. Bireylere kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlamalıdırlar.

Covid-19 virüsünün yayılmasını önleme bağlamında, veri sorumlusu ve veri işleyenler tarafından herhangi bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınmalıdır. Etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir.

Covid-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetleri de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır. Hedeflenen amaca ulaşmak için imkân dâhilindeki en müdahaleci olmayan yolun tercih edilmesi gerekmektedir.

4. İş Hukuku Bakımından

İşveren, vakalar hakkında personeli bilgilendirmelidir. Bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görülmektedir.

İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir. Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.

Kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.

Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilir.

5. Diğer Hususlar

Kamu kurum ve kuruluşlarının Covid-19 virüsü gibi küresel salgın boyutuna ulaşan durumlarda kamu sağlığının ve kamu düzeninin sağlanması ile ilgili yükümlülükleri bulunduğundan halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir. Bu durumda ilgili sağlık kurum ve kuruluşları kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar gönderebilirler.

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmekteyse de çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

Bu olağanüstü süreçte her bir ilgili başvurusu ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşullar gözetilecektir.

SONUÇ

Yukarıda ayrıntılı şekilde değinmiş olduğumuz üzere, EDPB ve Kurum, Covid-19’un tüm dünyada yayılması üzerine bugüne kadar Veri Koruma Hukuku bakımından ortaya çıkan sakıncaları gidermek adına bir takım tavsiye görüşleri yayınlamışlardır. Ancak iki kurum da en önemli konu başlığı olan sağlık verilerinin yetkili sağlık kurumları dışındaki veri sorumluları tarafından işlenmesi hususunda muğlak ifadeler kullanmışlar, veri sorumlularını bir nevi kendi çözümlerini bulmaya yöneltmişlerdir. Özellikle Kanunumuza göre, yetkili kurum ve kuruluşlar dışında sağlık verilerinin diğer veri sorumluları tarafından ilgili kişinin açık rızası olmadan işlenmesi mümkün değildir.

Uygulamada veri sorumluları tarafından muhtemelen en çok kullanılacak çözüm yöntemi, ilgili kişilerden açık rıza alması yolu olacaktır. Ancak belirtmek gerekir ki Kanunumuza göre açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Bu bağlamda kişinin sağlık verisini paylaşmaması veya ateşinin ölçülmesine izin vermemesi durumunda kendisinin mahrum bırakılacağı birtakım hizmetlerin yahut imkanların olması muhtemeldir. Bu durumda da açık rızanın hizmet şartına bağlanması durumu ortaya çıkacaktır ki bu da açık rızanın sakat olduğu anlamına gelir.[3]

Sonuç olarak Kanunumuzda salgın hastalık veya kamu sağlığının korunması durumunda yetkili kurum ve kuruluşlar haricindeki veri sorumlularına veri işlemeyi hukuka uygun hale getiren bir istisna tanınmadığından veri sorumluları, veri işleme faaliyetini temel ilkelere, özellikle veri minimizasyonu ve ölçülülüğe, uygun şekilde gerçekleştirmeli, sağlık verisi işlenecekse işyeri hekimini devreye sokma ihtimalini değerlendirmeli ve teknik ve idari tedbirlerin alınması noktasında azami dikkat ve özen göstermelidir.

[1]https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_en

[2]https://kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-

[3]https://www.kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina-Baglanmasi