Tüm dünyayı etkisi altına alan Covid-19 salgını nedeniyle alınan önlemler kapsamında başta hassas nitelikli veriler olmak üzere kişisel verilerin sıkça işlendiği şu günlerde kişisel verilerin korunmasına da dikkat edilmelidir. İngiltere Veri Koruma Otoritesi (“ICO”), Fransa Veri Koruma Otoritesi (“CNIL”) ve İtalya Veri Koruma Otoritesi’nin ardından beklendiği üzere Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından da diğer veri koruma otoriteleri ile benzer içerikli olarak Covid-19 ile mücadele sürecinde Kişisel Verilerin Korunması Kanunu kapsamında dikkat edilmesi gerekenlere ilişkin 27 Mart 2020 tarihinde Kamuoyu Duyurusu yayınlanmıştır.
Mevzuatımızda salgın hastalık kapsamında kişisel verilerin işlenme şartlarına ilişkin özel bir düzenleme mevcut olmadığı gibi, Covid-19 salgını ile mücadele için alınan çeşitli tedbirler kapsamında kişisel verilerin korunmasına ilişkin özel bir düzenleme de getirilmemiştir. Bu sebeple Covid-19 sürecinde de 6698 Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatların genel ilkelerine uygun şekilde hareket edilmesi gerekmektedir. Kurum, 27 Mart 2020 tarihinde Kamuoyu Duyurusu (“Duyuru”) yayınlamış ve Kanun’un genel ilkelerinin Covid-19 kapsamında yorumuna açıklık getirmeyi amaçlamıştır.
Kuşkusuz ki, Covid-19 ile mücadele kapsamında alınan birçok tedbir sonucu özel nitelikli kişisel veriler de (sağlıkla ilgili veriler vb.) dahil olmak üzere pek çok kişisel verinin (T.C. kimlik no, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesi söz konusu olmaktadır. Her ne kadar yaşadığımız bu olağanüstü dönemde sağlık hizmetlerinin sağlanması ve kamu sağlığının korunması birincil önceliğimiz olsa da kişilerin temel hak ve özgürlükleri açısından geri döndürülemez zararların ortaya çıkmaması adına veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları ve söz konusu faaliyetlerini Kanun hükümlerine ve Kanun’da belirtilen temel ilkelere uygun yürütmeleri gerektiği Duyuru’da açıkça ifade edilmiştir.
Duyuru’da, özellikle sağlık verilerinin sıkça işlendiği günümüzde de özellikle sağlık verilerinin işlenmesi açısından işverenlerce çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, açık rızanın bulunmadığı hallerde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesinin söz konusu olabileceği belirtilmiştir. Bununla birlikte Duyuru’da, kişisel verilerin, kamu güvenliği, kamu düzeni veya ekonomik güvenliği sağlamaya yönelik olarak Sağlık Bakanlığı ile kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı da açıklanmıştır.
Kurum, Duyuru’da (i) veri sorumlularının aydınlatma yükümlülüğünün Covid-19 kapsamında alınan tedbirler açısından da yerine getirilmesi, (ii) veri işleme faaliyetlerinin amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmesi, (iii) kişisel verilerin açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemesi gerektiğini ve (iv) aynı zamanda sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda Türk Ceza Kanunu uyarınca suç teşkil edebileceğini hatırlatmıştır.
Duyuru ile ayrıca Covid-19 salgınının önlenmesine ilişkin tedbir alan işverenlerin karşılaştığı bazı sorunlara da açıklık getirilmiştir. Buna göre;
- İşveren evden çalışma sistemine geçebilecektir, tedbir amaçlı olarak evden çalışma sistemine geçilmesi durumunda personelin evden çalışırken kendi cihazlarını veya iletişim ekipmanlarını kullanabileceğini ancak kişisel verilerin korunmasına ilişkin gerekli idari ve teknik tedbirlerin alınması gerekmektedir. Bu kapsamda, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerektiği hatırlatılmıştır.
- Kurum işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini gereklilik ve ölçülülüğe bağlı güçlü bir gerekçenin varlığı halinde isteyebileceğini belirtmiştir. Ayrıca son dönemde tartışılan bir diğer konu olarak virüsün yaygın olarak görüldüğü bir bölgeye seyahate ilişkin verinin özel nitelikli veri olarak tanımlanamayacağı da açıklığa kavuşturulmuştur.
- Bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel verilerin, işveren tarafından ilgili makamlar ile paylaşılabileceği belirtilmiştir.
- İşveren, bir çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına belirli şartlar altında açıklayabilecektir. Ancak işveren bu açıklamasında veri minimizasyonu ilkesini gözetmeli ve gereğinden fazla bilgi verilmemelidir. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görülmektedir.
Bu doğrultuda, şirket içerisinde yapılacak bildirimde çalışanlara Covid-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmesi gerektiği; ancak zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmaması gerektiği açıktır.
Duyuru, doktrinde bizimde katıldığımız çeşitli açılardan eleştirilse de asıl sorunun Kanun’umuzda olağanüstü dönemlerde kişisel verilerin ve hassas nitelikli sağlık verilerinin işleme şartlarına ilişkin istisnai nitelikte bir düzenleme öngörülmemiş olmasından kaynaklanmaktadır. Ancak, Kurum’un yaklaşımının ileriki günlerde ihlal tartışmalarına yaklaşımını belirleyecek olması sebebi ile dikkatle takip edilmesi gerektiği düşüncesindeyiz.