KORONAVİRÜS (COVID-19) SALGINI İLE MÜCADELE SÜRECİNDE KİŞİSEL VERİLERİN KORUNMASI


6 Nisan 2020

Bilindiği gibi, koronavirüs (COVID-19) salgını ile mücadele kapsamında çeşitli önlemler alınmakta, bu önlemler alınırken de başta özel nitelikli kişisel veriler olmak üzere birçok kişisel veri işlenmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu (“Kurum”) yayımladığı kamuoyu duyurusu1 ile COVID-19 ile mücadele sürecinde kişisel verilerin korunması bakımından bilinmesi gerekenleri açıklamış, bu kapsamda çeşitli hatırlatmalarda bulunmuştur.
Bu süreçte sağlık hizmetlerinin sağlanmasının ve kamu sağlığının korunmasının esas olduğunu belirten Kurum, bu zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerektiğini belirtmiştir. Bu kapsamda aşağıdaki hususlara dikkat edilmesi gerekmektedir:

- Kişisel verilerin işlenmesine ilişkin temel ilkeler: COVID-19 ile mücadele kapsamında veri işleme faaliyetlerinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 4. maddede belirtilen hukuka ve dürüstlük kurallarına uygun olma; doğru ve gerektiğinde güncel olma; belirli, açık ve meşru amaçlar için işlenme; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkelerine uyulmalıdır. İşleme sebeplerinin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

-
Kanuna uygunluk: Kurum, bu kapsamda kişisel verilerin Kanun’un 5. ve 6. maddelerinde belirtilen şartlara uygun olarak işlenmesi gerektiğini belirtmiştir. Özel nitelikli veri olan sağlık verilerinin işlenmesi bakımından çalışanın rızasını alma yoluna gidilmesi söz konusu olabileceği gibi, COVID-19 salgınının yayılma hızı da dikkate alındığında çalışanın kendi rızası ile hastalık bildirimi yapması da muhtemeldir. Ayrıca, Kanun’un 6(3) hükmünde belirtildiği üzere sır saklama yükümlülüğü bulunan iş yeri hekimleri tarafından sağlık verileri açık rıza aranmaksızın işlenebilir. Belirtmek gerekir ki, elbette işlenen her veri özel nitelikli kişisel veri olmayabilir (ilgilinin son seyahat ettiği ülke bilgisi gibi), bu takdirde Kanun’un 5. Maddesinde belirtilen kişisel veri işleme şartları dikkate alınacaktır. Nitekim, Kanun’un 28(1)(ç) hükmü gereğince kamu güvenliği ve kamu düzenini tehdit eden bir durum söz konusu olduğundan Sağlık Bakanlığı ve yetkili kamu kurum ve kuruluşları tarafından kişisel verilerin işlenmesinde Kanun hükümleri uygulanmayacaktır.

-
Aydınlatma yükümlülüğü (şeffaflık): Kişisel verileri işleyen veri sorumluları, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır. Bireylere kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlanmalıdır.

-
Gizlilik: Veri sorumlusu ve veri işleyen, veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler almalıdır. Veriler açık ve zorunlu bir gerekçe olmadıkça herhangi bir üçüncü tarafa ifşa edilmemelidir.

-
Veri Minimizasyonu: COVID-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetleri amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır.

Kurum bu açıklamaların ardından aşağıdaki şekilde soruları cevaplamıştır:

1) Bir sağlık kuruluşu önceden izin almaksızın COVID-19 ile ilgili kişilerle iletişim kurulabilir mi?

COVID-19 virüsü gibi küresel salgın boyutuna ulaşan durumlarda sağlık kuruluşlarının kamu sağlığını ve kamu düzenini sağlamak ile ilgili yükümlülükleri bulunmaktadır. Bu kapsamda, kamu kurum ve kuruluşları, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir. Bu doğrultuda, ilgili sağlık kurum ve kuruluşları kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar gönderebilir.

2) Salgın sırasında kuruluşların personelinin çoğunun evden çalıştığı bilinmektedir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?

 

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü idari ve teknik tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir. Ayrıca unutulmamalıdır ki, çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması bakımından veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

3) Bir işveren, bir çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilir mi?

 

İşveren, vakalar hakkında personeli bilgilendirmelidir, ancak bilgilendirme yapılırken bireylerin isimlerinin verilmesi gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ise ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görülmektedir. Belirtmek gerekir ki, işverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları bulunmaktadır.

Bu kapsamda, Kurum ilk etapta işverenler şu şekilde bir açıklama yapılabileceğini belirtmiştir: “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…

Bu sebeple, bir kurum, kuruluş veya şirket içerisinde yapılacak duyurularda çalışanlara COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır.


4) Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilir mi?

İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu ve mevcut koşullar değerlendirildiğinde, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüse dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri olabilir. Bu bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.

5) İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle paylaşılabilir mi?

 

Kanun’un 8. maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.

6) Salgın sırasında, kuruluşların geçici olarak kapatıldığı veya veri sorumlularının ilgili kişilerin taleplerini yerine getirme kapasitesinin COVID-19 nedeniyle kısıtlandığı durumlarda, zaman çizelgelerine göre ilgili kişilerin başvurularına yanıt verme ve Kurum’a karşı yükümlülükleri kapsamında Kanun ve ilgili mevzuatta belirtilen süreler hala geçerli midir?

 

Kanun ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu değildir, ancak alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından içerisinde bulunulan olağanüstü koşullar gözetilecektir.

İletişim

Ece Güner
Yönetici Ortak
eg@guner.av.tr

Burçak Kurt Biçer
Ortak
bkb@guner.av.tr