COVİD-19 ve Kişisel Veriler

COVİD-19 Kapsamında İşlenen Verilerin Kişisel Verileri Koruma Kanunu Bakımından Değerlendirilmesi

 Dünya genelinde çeşitli varyantlarının da etkisiyle yayılma hızı giderek artış gösteren COVİD-19 salgınının tüm dünyayı etkilemesi ile birlikte, reel ortam yerini sanal ortama devretmiştir. Bu durumun doğal sonucu olarak, veri değerinin gün geçtikçe artması ve veri işleme faaliyetinin ciddi bir şekilde yaygınlaşması, kişilerin gizlilik hakkına yönelik ihlalleri de doğru orantılı olarak artmaktadır. Bu nedenle, kişisel verilerin korunması hakkı, uluslararası ve ulusal düzenlemeler ile güvence altına alınmıştır.

KVKK ve Özel Nitelikli Kişi Veri

Öncelikle belirtmek gerekir ki, 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel veri kavramı hayatımıza dahil olmuştur. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Aynı doğrultuda olmak üzere kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmıştır.

Bu kavramlar, COVİD-19 salgını sebebiyle alınan önlemlerin anlaşılması bakımından değerlendirilmesi gereken kavramlardır. COVİD-19 salgını nedeniyle özel nitelikli kişisel veri kategorisi olan “sağlık verisi” ayrı bir önem kazanmış durumdadır. Sağlık verisi, gerçek bir kişinin fiziksel veya ruhsal sağlığı ile ilgili her türlü veri ile kişiye sunulan sağlık hizmetleri ile ilgili bilgilerdir. Örneğin; tahlil sonucu, kişinin geçirmiş olduğu hastalıklar ve kullandığı ilaçlar, kronik hastalığı gibi veriler kişisel sağlık verileridir. Sağlık verisi, özel nitelikli kişisel veri olduğundan Kanun’un 6 ncı maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.Kanun’un 6 ncı maddesinde yer alan ana kurala göre, “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” Ancak, Kanun’un 6 ncı maddesinde bu yasağın bazı istisnaları vardır. Buna göre; bir sağlık verisinin, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesiyle, ilgilinin açık rızası aranmaksızın veri işlenebilir.

Nitekim, salgının neden olduğu hastalıklardan korunmak adına işletmeler, çeşitli kamu kurum ve kuruluşları sağlık verilerini, seyahat verilerini sormaktadır. Ayrıca bazı işletmelere, çeşitli kamu kurum ve kuruluşlarına, giriş esnasında termal kameralar konumlandırılarak ve/veya görevlendirilmiş kişiler vasıtası ile kişilerin ateş ölçümleri, HES kodu sorgulaması yapılmaktadır. Dolayısıyla kişilerin özel nitelikli verileri işlenmektedir, bu da beraberinde kişisel veri ihlali sonucunu doğurmaktadır. Öncelikle belirtmek gerekir ki, kişilerin sağlık durumlarına ilişkin bilgileri Kanunun 6 ncı maddesine göre kişisel sağlık verisi niteliğini haiz olup, özel nitelikli kişisel veri kategorisinde bulunmaktadır. Bu sebeple, söz konusu bilgilerin Kanunun 6 ncı maddesinde yer verilen işleme şartlarına uygun olarak işlenmesi gerekmektedir. Elde edilen bu veriler, yalnızca bu pandemi kapsamında önleyici ve koruyucu faaliyetler için kullanılmalı, bu veriler resmi olarak talep eden bir kurum veya kuruluş dışında başkaca üçüncü kişilere aktarılmamalı ve verinin kullanım/işleme amacı ortadan kalktığında imha edilmelidir. Ayrıca, seyahat bilgileri nedeniyle ilgili kişi herhangi bir sağlık durumuyla ilgili fişlenmemeli ve kişilik haklarına zarar verilmemelidir.

KVKK Covid-19 Kamu Duyurusu

Kişisel Verileri Koruma Kurumu’nun Kamuoyu Duyurusunda, COVİD-19 salgınının dünya çapındaki gerek sağlık, gerek sosyal hayat, gerek ekonomi üzerindeki etkileri dikkate alındığında, bu salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi COVİD-19’a ilişkin kişisel sağlık verilerinin; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğin ortaya çıkmasının kaçınılmaz olduğu belirtilmektedir. Yine de belirtmek gerekir ki, veri sorumluları COVİD-19 salgını kapsamında veri işlerken yalnızca gerekli ve ölçülü derecede veri işlemelidir. Aksi takdirde Kişisel Verileri Koruma Kanunu’na aykırı bir veri işleme faaliyeti söz konusu olacaktır.

Sonuç olarak, COVİD-19 salgını sebebi ile kamu sağlığının korunması adına işletmeler, kamu kurum ve kuruluşlarının Kişisel Verileri Koruma Kanunu ve ilgili sair mevzuata uygun bir biçimde kişisel veri, özel nitelikli veri işlemesi mümkündür. Ancak burada aydınlatma yükümlülüğünü ve özel nitelikli veriler bakımından açık rıza alma yükümlülüğünün yerine getirilmesi gerekmektedir. COVİD-19 salgını devam ettiği sürece kişisel verilerin korunması hususunda azami özenin gösterilmesi ve sağlık verileri başta olmak üzere tüm kişisel verilerin hukuka uygun ve amaçla sınırlı olarak işlenmesi önem kazanmaktadır.