Corona Virüs Önlemlerinin KVKK Açısından Değerlendirilmesi

Tüm dünyayı etkisi altına alan COVID-19 (Korona virüs) Pandemisi ile mücadele kapsamında ulusal ve uluslararası düzeyde gün geçtikçe farklı önlemlerin alınmaya devam edildiği görülmektedir. Bu önlemler kapsamında veri sorumluları tarafından çalışanlarının, ziyaretçilerinin, müşterilerinin veya iş ortaklarının bir takım kişisel verilerinin işlemesi söz konusu olmaktadır.

Bu yazımızda alınan bu önlemler örneklendirilerek bu durumun Kişisel Verilerin Korunma Kanunu “KVKK” uygulamaları üzerindeki etkileri incelenmektedir.

COVID-19 (Korona virüs) Pandemisi ile mücadele edilmesi veri sorumluları bakımından KVKK’da belirtilen yükümlülüklerin askıya alındığı anlamına gelmemektedir. Özellikle işverenler ziyaretçiler ve çalışanlara yönelik olarak yeni düzenlemeler yapmakta birtakım tedbirler almaktadırlar. Bu doğrultuda işverenlerin bu tedbirleri uygularken işledikleri kişisel veriler bakımından herhangi bir şikâyet ve sonrasında idari para cezasıyla karşılaşmaması adına KVKK kapsamındaki yasal yükümlülüklerini yerine getirmeye devam etmesi gerektiği görüşündeyiz.

Anayasal Bir Hakkın Olağanüstü Nedenler İle “Ölçülü” ve “Elverişli” Bir Şekilde Sınırlanması, “Denge Testi” Değerlendirmesi

Kişisel Verilen Korunması Anayasamızın 20. Maddesi ile güvence altına alınmıştır. Diğer yandan yine Anayasamızın 13. Maddesi gereğince temel hak ve özgürlükleri olağanüstü durumlarda özüne dokunulmayacak şekilde sınırlandırılabilir. Ceza hukuku bakımından da özellikle işverenlerin/işyeri sahiplerinin “iş sağlığı ve güvenliğini sağlamak yasal yükümlülüğü” kapsamında ve “ölçülü” ve “elverişli” olarak alınan tedbirler anlamında bir “hukuka uygunluk” nedeninin varlığından bahsedilebilecektir.

Peki bu iki Anayasal hüküm karşısında kamu sağlığı (toplum sağlığı, işyeri sağlığı) bakımından kişisel verilerin kanuna uygun işlenmesini talep hakkı ne ölçüde sınırlandırılabilir? Örneğin aydınlatma uygulamasından vazgeçilebilir mi? Açık rıza alınması uygulanması göz ardı edilebilir mi? Kişisel veriler gelişigüzel ve ölçüsüz bir şekilde sınırlandırılabilir mi?

Kişisel Verileri Koruma Kurumunun son bir aydır ülkemizde de süregelen uygulamalar konusunda bir görüş bildirmesi, yapılan uygulamalara bir yön vermesi ve uygulamaları en azından bir hukuka uygunluk zeminine kavuşturması beklenmekte ise de Kurum’un bugüne kadar bu konuda bir açıklama yapmadığı görülmektedir.

Kurul açıklama yapmasa da gerek Anayasa’nın 13. Maddesi gerek ise KVKK’daki genel ilkeler bakımından uygulamaları doğru yönlendirmek mümkün görülmektedir.

Aydınlatma Yükümlülüğü Bakımından;

Örneğin, üretime devam etmekte olan bir işyerinde ziyaretçilerden ve çalışanlar üzerinde Korona Virüs belirtileri gösterip göstermediklerinin tespiti için ateş ölçümü yapılması, bir takım sağlık bilgisi istenmesi veya yurtdışında bulunup bulunmadığının sorulması halinde mutlaka bu uygulamaya ilişkin aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir. KVKK 10. Maddesi uyarınca veri sorumlularının, her bir veri işleme faaliyetine ilişkin olarak kişisel verilerin elde edilmesi anında veri sahiplerini aydınlatmakla yükümlüdür. Bu yükümlülük belirtilen önlemler kapsamında alınan tedbirler nedeni ile işlenen verileri de kapsamaktadır.

Açık Rıza bakımından;

Eğer işlenen kişisel veriler Sağlık Bilgisi gibi Özel Nitelikli Kişisel Verileri içeriyor ise mutlaka açık rızanın alınması gerekmektedir. Özel Nitelikli Kişisel Veriler, KVKK 6. maddesinde, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde sayılmıştır. 6. Maddenin 2. Fıkrasında özel nitelikli kişisel verilerin veri sahiplerinin açık rızasının mevcut olması durumunda işlenebileceği hüküm altına alınmıştır. Ancak 6. Maddenin 3. Fıkrasında ise sağlık verilerinin sır saklama yükümlülüğü altında bulunan kişiler tarafından açık rıza aranmaksızın işlenebileceği hüküm altına alınmıştır. Buna göre eğer işyeri hekimi mevcut ise özellikle özel nitelikli veri işleme faaliyetinin (örneğin çalışanların ateşini ölçme, ziyaretçilerin ateşini ölçme) işyeri hekimi tarafından yürütülmesi halinde açık rıza alınmasına gerek olmayacaktır.

Genel İlkeler Bakımından;

Salgın ile mücadelede işverenlerin aldığı önlemler bakımından KVKK’nın 4. maddesinde yer alan temel ilkeler de göz ardı edilmemeli ve söz konusu kişisel veriler özellikle amacına uygun bir şekilde ve ölçülülük ilkesine uymak şartı ile işlenmelidir. Salgınla mücadele amacıyla çalışanın işyerine girişi sırasında örneğin ateşinin ölçülmesi ölçülülük ilkesi içerisinde kalmaktadır. Yine işyerine girişi sırasında virüs belirtilerini taşıyıp taşımadığını anlamak bakımından bir takım sağlık soruları sorulabilir ancak bu tespite yaramayan özel bilgilerinin alınmasından kaçınılmalıdır.

Ayrıca salgın ile mücadele dolayısı ile işlenen kişisel veriler ve özel nitelikli kişisel veriler yalnızca salgın dolayısıyla alınması gerekli önlemlerin gerektirdiği süre kadar saklanmalı ve daha sonra Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak mutlaka imha edilmesi gerekmektedir.

Elde Edilen Kişisel Verilerin Korunması ve Paylaşılması bakımından;

Veri sorumlusu aldığı önlemlerin uygulanması sırasında, örneğin işyeri uygulaması olarak COVİD-19 testi pozitif çıkan bir çalışanın işverenini bilgilendirmesi kararı gereğince işverenine bu bilgilendirmeyi yapan çalışanın bu bilgisi ve kimliği mutlaka korunmalı ve veri sorumlusu organizasyonunu içinde duyurulmamalı ancak yayılmayı engelleyebilmek için sınırlı (örneğin işyeri hekimi ve İK yetkilisi ile sınırlı kalmak üzere) çalışana bu bilgi verilerek gizlilik mutlaka korunmalıdır.

Kişinin salgına yakalandığı bilgisinin isim belirtilerek duyurulması veri sahibinin ayrımcılığa uğrama ihtimalini doğuracağından bu konuda şikayetle karşılaşılması olasılığını artırabileceği unutulmamalıdır.

Ancak elbette iş sağlığı ve güvenliğinin önemi göz önüne alınarak, diğer çalışanların korunması adına, COVID-19 salgınına yakalanan bir çalışanın bulunduğunun isim belirtmeksizin anonim bir şekilde duyurulabileceği görüşündeyiz. Sağlık Bakanlığı gibi yetkili otoritelerin de salgına yakalanan kişilerin sadece sınırlı bilgilerini kamuoyu ile paylaştığını bu konuya hassasiyetle yaklaştığını görmekteyiz.

GDPR bakımından ise;

Avrupa Veri Koruma Kurulu, 19 Mart 2020 tarihinde Kişisel Verilerin Covid-19 Salgını Kapsamında İşlenmesi hakkında bir açıklama yayınlamıştır. Bu açıklamada Avrupa Veri Koruma Kurulu COVID-19 salgını kapsamında alınan önlemlere yönelik uygulamalar sırasında işlenen verilerin yetkisi olmayan kişilere açıklanmasını engelleyen yeterli güvenlik önlemlerinin alınması ve gizlilik politikalarının benimsenmesinin gerektiğine ilişkin bilgilendirmeler yaptığını görüyoruz. İşverenler açısından da COVID-19 vakaları hakkında çalışanların bilgilendirmeleri ve koruyucu önlemlerin uygulanması sırasında gereğinden fazla veri işlememesi, COVID-19 bağlamında işverenlerin görevlerini yerine getirmek ve işi ulusal mevzuata uygun olarak organize etmek için kişisel bilgiler alabileceğini de karara bağlamıştır.

Sonuç olarak, hem KVKK hem de GDPR tarafından baktığımızda COVID-19 (Korona Virüs) Pandemisine karşı mücadele için geliştirilen uygulamalar sırasında veri işleme faaliyetleri bakımından her ne kadar küresel bir salgın ile karşı karşıya olunsa da her iki düzenlemede de temel kurallar dahilinde işlenmesi gerektiği unutulmamalıdır. Bu yönüyle şirketler işlenen veri uyarınca gerekli aydınlatmayı yapmalı ve Kanundan kaynaklanan istisnai durumlar bulunmadığı sürece ilgili kişinin rızasını almalıdır. Her halükârda gerek Anayasa gerek ise KVKK’da yer alan temel ilkeler de göz ardı edilmemeli ve söz konusu kişisel veriler özellikle amacına uygun bir şekilde ve ölçülülük ilkesine uymak kaydıyla işlenmesine dikkat edilmelidir.

Yararlı olması dileğimizle.