Posted on by Tarlan Avukatlık Bürosu

PANDEMİ SÜRECİNDE KİŞİSEL VERİLERİN KORUNMASI

Tüm dünya gibi ülkemiz de küresel pandemi nedeniyle hiç beklenmedik bir zamanda, hiç beklenmedik ölçüde olumsuz koşullara maruz kaldığından; en iptidai haklardan olan yaşam hakkı ve sağlık hakkının korunabilmesi için gerek kamu otoriteleri gerekse toplumun diğer inisiyatif alabilen birimleri olağanüstü tedbirler almak durumunda kaldı. Her ne kadar içinden geçtiğimiz belki de tarihsel bir niteliği olacak bu sürecin olağanüstü tedbirleri gerektirdiği kuşkusuz olsa da; alınacak tedbirlerde diğer temel hakların yok sayılmaması gerektiği de açıktır. Bu yazıda, küresel pandemi esnasında alınan birtakım tedbirlerin; Türkiye Cumhuriyeti Anayasası’nın (“Anayasa”) 20. maddesinde yer alan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile alt düzenlemeleri kapsamında detaylı bir şekilde düzenlenen kişisel verilerin korunması hakkına etkileri ve bu bağlamda dikkate alınması gereken hususlar kısaca ele alınmaktadır.

İçinde bulunduğumuz süreç kamu sağlığı ve kamu düzeni gibi esasen soyut olmaları itibariyle eleştirilen kavramları dramatik bir şekilde somutlaştırdığından; öncelikle bu gibi olağanüstü tedbirleri öngören düzenlemeleri ele almak faydalı olacaktır. KVKK m. 28/1 uyarınca “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde KVKK’nın uygulanmayacağı açıkça belirtilmiştir. Hemen belirtmek gerekir ki, KVKK’nın uygulanamaması için:

  1. Önleyici, koruyucu ya da istihbari faaliyetin bulunması
  2. Bu faaliyetlerin kanunla görevli ve yetkili kılınmış kamu kurum ve kuruluşları tarafından yürütülmesi

şartlarının bir arada bulunması elzemdir. Dolayısıyla, kamu kurum ve kuruluşu olmayan veri sorumluları ve veri işleyenlerin küresel pandemi tedbirleri kapsamındaki faaliyetlerinin KVKK ve alt düzenlemelerine tâbi olduğu kuşkusuzdur. Örneğin; işverenler, bina/site yönetimleri, işletme sahipleri tedbir uygularken muhataplarının kişisel verilerinin korunmasını da dikkate almak durumundadır. Aşağıdaki değerlendirmeler istisna kapsamında olmayan veri sorumluları ve veri işleyenlere ilişkindir.

Kişisel verinin niteliğine göre o veri için sağlanan kanuni koruma kalkanı da değişiklik göstermektedir. Örneğin sağlık verileriyle ilgili düzenleme ele alınacak olursa KVKK m.6/3 gereği: “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”. Dolayısıyla kişisel sağlık verilerini işleyebilmek için (örneğin ateş ölçümünün yapılabilmesi, kişinin COVID-19 testinin pozitif olduğunun üçüncü kişilere duyurulması vb.) buradaki koşulların dikkate alınması zorunludur. Bu nedenle kişinin sağlık verilerinin işlenmesinde:

  1. Açık rızasının var olup olmadığı
  2. Açık rızası yok ise gerçekten sağlık verisi işleme koşullarının oluşup oluşmadığı
  3. Kişisel verilerin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenip işlenmediği

dikkatli bir şekilde değerlendirilmelidir.

Sağlık verisi gibi özel nitelikli kişisel veri olmayan verilerin işlenmesinde de veri işlemeyle ilgili temel ilkelerin dikkate alınması; içinde bulunduğumuz koşullar içinde dahi zorunlu olduğu da göz ardı edilmemelidir.

Sonuç olarak, pandemi kapsamında tedbirler tasarlanırken aşağıdaki soruların sorulması faydalı olacaktır:

  • Tedbirin alınması için kişisel veri işlenmesi zorunlu mudur? Zorunlu ise gerektiğinden fazla veri işlenmekte midir? (Örneğin olası bir bulaşmanın tespiti amacıyla yurtdışı seyahati olup olmadığı sorgulanırken, şu koşullar altında hangi ülkelere seyahat edildiği çok da gerekli bir bilgi değildir. Dolayısıyla evet ya da hayır şeklinde kısa cevaplarla yetinilmelidir.)
  • Tedbir alınırken bunun ilgili kişinin haklarını zedelenmeden yapılması mümkün müdür? (Örneğin işyerinde bir kişinin enfekte olduğunun tespit edilmesi halinde doğrudan o kişinin adı verilmeksizin tedbir alınması mümkün ise, bu yola gidilmesi gerekmektedir.)
  • Tedbirler sırasında işlenen kişisel verilerle ilgili gerekli bilgilendirmeler yapılmakta mıdır? (Alınan hiçbir tedbir, ilgili kişilere karşı aydınlatma yükümlülüğünü ortadan kaldırmamaktadır. Dolayısıyla tedbirler kapsamında işlenen kişisel verilerle ilgili bilgilendirmenin açık, anlaşılır bir şekilde yapılması ve aydınlatma yükümlülüğünün usulüne uygun yerine getirilmesi her koşulda zorunludur.)
  • Tedbirler nedeniyle verilerin saklanması gerekli midir? Gerekli ise ne zamana kadar saklanacaktır? (Örneğin ateş ölçümü yapıldığında kişilerin geriye dönük ateş ölçüm bilgilerinin saklanması salgın tedbirleri kapsamında bir anlam ifade etmeyebilecektir. Kişilerin yurtdışı seyahatleri olup olmadığı bilgisi ise pandemi sona erdikten sonra tedbirler bakımından bir anlam ifade etmeyeceğinden imhası yerinde olacaktır.)
  • Veri güvenliğine ilişkin tedbirler alınmakta mıdır? (Örneğin evden çalışma vb. uygulamaların yaygınlaştığı şu dönemde çevrimiçi toplantı gerçekleştirmek için pek çok araç kullanılabilmektedir. Bu araçların güvenli olup olmadığı pandemi döneminde de önemini koruyan bir etmendir.)

Av. Kerem Utku Örer
Nisan 2020

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: