COVID-19 İLE MÜCADELE SÜRECİNDE KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA BİLİNMESİ GEREKENLER

1 Nisan 2020

Kişisel Verileri Koruma Kurumu’nun (“Kurum”) COVID-19 salgılı ile mücadele sürecinde veri sorumlularının kişisel veri işlerken dikkat etmesi gereken hususlara ilişkin kamuoyu duyurusu, 27.03.2020’de Kurum’un internet sitesinde yayınlanmıştır.

Kurum öncelikli olarak bu istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlama yükümlülüğünü üstlendiğini belirtmektedir. Bu minvalde (i) özellikle COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin gerekli, amaçla bağlantılı, sınırlı ve ölçülü olması ve (ii) bu konuda alınan kararların, Sağlık Bakanlığı başta olmak üzere halk sağlığı kuruluşlarının veya diğer ilgili kurum ve kuruluşların rehberliği ve / veya talimatları ile uyumlu olması hususları vurgulanmıştır.
Kurum veri sorumlularının başta sağlık verisi olmak üzere kişisel verileri işlerken aşağıda yer verilen ilke ve kurallara riayet etmesini beklemektedir.

Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler (Hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak 6698 Kişisel Verileri Koruma Kanunu (“KVKK”) ile düzenlenen temel ilkelere uygun hareket edilmesi gerekmektedir.)
Kanuna Uygunluk (KVKK’nın 5. ve 6. maddelerinde, kişisel veri işleme şartları düzenlenmiştir. Bu düzenlemelere göre, özel nitelikli kişisel veriler ilgilinin açık rızası olmaksızın işlenemeyecek olup sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.)
Bu çerçevede, özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır. Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da KVKK’nın 5. maddesinde düzenlenen kişisel veri işleme şartlarının dikkate alınması gerekecektir.
Öte yandan, kişisel verilerin kamu güvenliğini/kamu düzenini sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde KVKK hükümlerinin uygulanmayacağı KVKK ile hüküm altına alınmıştır. Mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmadığı hatırlatılmaktadır.
Aydınlatma Yükümlülüğü (Kişisel verileri işleyen veri sorumluları, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır.)
Gizlilik (COVID-19 virüsünün yayılmasını önleme bağlamında işlenen kişisel verilerin güvenliğini sağlanmalı ve etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir. Öte yandan, sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanunu kapsamında suç teşkil edebileceği unutulmamalıdır.)
Veri Minimizasyonu (COVID-19 virüsünün yayılmasını önleme amacı kapsamında işlenen veriler bakımından amaçla bağlantılı ve sınırlı olma ilkesine uygun hareket edilmelidir.)