COVID-19 virüsü salgını Çin’den başlayarak tüm dünyayı etkisi altına aldı. Virüsün hızla yayılması toplumlarda kaygıların artmasına neden olurken bireysel ve toplumsal boyuttaki tedbirleri de zorunlu hale getirmiştir. COVID-19 virüsü salgınının yayılmasını engellemek ve etkilerini hafifletmek adına devletler de çeşitli önlemler alarak virüsle mücadele etmektedirler. Örneğin bu süreçte eğitim sistemleri dönüşerek çevrimiçi eğitim sistemine geçilmiş, pek çok mağaza geçici süreyle kapılarını kapatmış, yurt içi ve yurt dışı seyahatlere sınırlamalar getirilmiş, kamu ve özel sektör çalışanları evde bilgisayarları aracılığıyla çalışmaya başlamış ve hatta bazı ülkelerde sokağa çıkma yasağı ilan edilmiştir. Bu önlemlerden de anlaşılacağı üzere sağlıkla ilgili özel nitelikli veriler de dahil olmak üzere pek çok kişisel verinin işlenmesi kaçınılmazdır. Salgının hızla yayılması karşısında tedbirlerin de hızlı ve etkili bir biçimde alınması gerekirken işlenen kişisel verilerin korunması konusunda mevcut kurallara ne ölçüde dikkat edileceği ise belirsizdir.
Bu süreçte öncelikli olarak sağlık hizmetlerinin sağlanması ve kamu sağlığının korunması esas alınmıştır. Mevcut pek çok düzende köklü değişiklere yol açan korona virüsü salgınına karşı kişisel verilerin korunması konusunda devletler farklı yaklaşımlara sahip olmuştur. Bu yazımda İngiltere ve Türkiye’nin salgın süresince veri işleme konusundaki yaklaşımlarını sizlerle paylaşacağım.
Birleşik Krallık Bilgi Komiserliği Ofisi(ICO) ve Türkiye Kişisel Verileri Koruma Kurulu(Kurul) Covid-19 ile mücadele sürecinde kişisel verilerin nasıl işleneceğine dair tavsiye nitelikli kriterler yayınlamışlardır. ICO’nun resmi sitesinde yer verdiği tavsiyeler Direktör Ian Hulme tarafından kaleme alınmıştır. Paylaşılan kriterlere genel olarak baktığımızda iki otoritenin de benzer ilkeleri benimsediğini söylememiz mümkündür. Ancak Kurul’un özellikle “istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerektiğini” belirtmesi bende veri koruması konusunda ICO’ya nazaran daha hassas davrandıkları kanaatini uyandırdı. Nitekim ICO veri koruma konudaki koşulların salgın sürecinde bilgilerin hızlı bir şekilde paylaşılması veya çalışma şekillerine hızlıca uyum sağlanması amaçlarına engel olmayacağını ifade etmiştir.
Her iki otoritenin de dikkate aldığı hususları başlıklar altında inceleyecek olursak:
Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler
Kurul verilere verdiği öneme ithafen bu konuda alınan herhangi bir önlemin hukukun genel ilkelerine uygun olması, bu çerçevede kişilerin temel hak ve özgürlükleri açısından geri döndürülemez zararların ortaya çıkmaması gerektiğini ifade etmiştir. 6698 sayılı Kanun’un ifadesiyle kişisel verileri işlenme konusundaki genel (temel) ilkeler, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektir. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. Söz konusu ilkeler, COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. ICO ise hukukun genel ilkelerini daha spesifik başlıklar içinde incelemeyi tercih etmiştir.
Kanuna Uygunluk
Kanuna uygunluk noktasında her iki otorite de kişisel veri ve özel nitelikli kişisel veri ayrımına gitmiştir. Çünkü COVID-19 virüsü salgını kapsamında kişilerin ad-soyad, T.C. kimlik numarası ve seyahat bilgileri gibi kişisel verilerinin yanında sağlık bilgileri gibi özel nitelikli/kategori kişisel verileri(special category data) de işlenmektedir. Her iki kurul da özel nitelikli kişisel veri işleyebilme şartlarının kişisel veri işleme şartlarından daha ağır olduğunu ifade etmiş ve bu veriler için birtakım ek şartlar olduğunu belirtmişlerdir. Özel nitelikli kişisel verilerin hassasiyeti düşünüldüğünde bu ek önlemler işin niteliğine uygundur.
Kurul 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki (Kanun) veri işleme şartları üzerinden gerekli şartları belirtirken, ICO kanun belirtmeksizin doğrudan sorulara yer vererek gerekli şartları göstermiştir. Kurul, gerekli şartları ifade ederken kişisel verilerin işlenmesi için Kanun’un 5. maddesini kılavuz gösterirken özel nitelikli kişisel veriler için Kanun’un 6. maddesini ve Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Kararını dikkate almıştır.
Kanunun 5. maddesinde kişisel verilerin ancak ilgilinin açık rızasıyla veya aynı maddenin 2. fıkrasında yer alan koşulların mevcudiyeti halinde açık rızaya ihtiyaç duyulmaksızın da işlenebileceği ifade edilmiştir. Corona virüsü salgını sürecinde veri işlenirken de bu şartların dikkate alınacağı açıktır.
Kanunun 6 ncı maddesinde özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenemeyeceği belirtilmekle birlikte sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir.
ICO kişisel verileri “meşru menfaat, rıza, hayati menfaat, kişinin sağlığı veya güvenliği” gibi hususları dikkate alan birtakım sorular üzerinden; özel nitelikli verilerin işlenmesi konusunda ise kişisel veriler için olan sorulara ek olarak “bireyi koruma, rıza, hayati çıkar” konulu soruları da sordurarak gerekli şartları genel hatları ile açıklamıştır.
“Kanuna Uygunluk” başlığı altındaki en dikkat çekici fark ise Türkiye’de bu konuda Sağlık Bakanlığı’nın da yetkili olmasıdır. Veri Koruma Otoritesi’nin dışında bir başka kamu kurumuna yer verileceği ifadesine ICO’nun açıklamasında rastlamıyoruz. Bizdeki bu farklılığın nedeni ise Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi ile açıklanabilir. Bu madde uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde 6698 sayılı Kanun hükümleri uygulanmayacaktır. Bu çerçevede, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmamaktadır.
Aydınlatma Yükümlülüğü (Şeffaflık)
Corona virüsü kapsamında işlenen kişisel veriler ve sağlık verileri gibi özel nitelikli kişisel veriler konusunda veri işleyenlerin aydınlatma yükümlülüğünü yerine getirmiş olması gerekmektedir. Bu hem Kurul’un hem de ICO’nun üzerinde durduğu önemli bir husustur. Bu anlamda, kişisel verileri işleyen veri sorumlularının, kişisel verileri toplama amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmaları ve bireylere kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanmak suretiyle bilgi sağlamaları gerektiği belirtilmiştir. Bu amaç doğrultusunda ICO kayıt tutulması konusuna muazzam önem vererek yapılan işlemlerin bilgi toplama esnasında kayıt altına alınması gerektiğini belirtmiştir. Pandemiden dolayı bilgi toplama esnasında kayıt yapmanın mümkün olmaması ihtimalinde ise hangi bilgilerin niçin toplandığını ifade eden ayrıntılı kayıt işleminin mümkün olduğunca kısa süre içerisinde yapılması gerektiği üzerinde durmuştur.
Aydınlatma yükümlülüğü konusunda öncelikli olarak “Gizlilik Bildirimi” olarak adlandırılan yazılı bir doküman üzerinden aydınlatma yükümlülüğünün yerine getirilmesi; ancak hayati durumun söz konusu olduğu durumlar halinde yazılı doküman yerine sözlü olarak bu yükümlülüğün yerine getirilebileceği ICO’nun duyurusunda yer almıştır.
Gizlilik
Veri sorumlusu ve veri işleyenler tarafından COVID-19 virüsünün yayılmasını önlemek adına başta sağlık verileri olmak üzere veri işleme faaliyetlerinde elde edilen kişisel verilerin güvenliği her iki otorite de önemlidir. Hem ICO hem de Kurul kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınması gerektiğini vurgulamıştır. Ancak ICO alınacak güvenlik önlemlerinin faaliyetlerin yürütülmesini engellemeyecek düzeyde olabileceğini ifade ederek veri sorumlularına ve işleyenlere güvenlik tedbirleri konusunda esneklik sağlamıştır.
Elde edilen kişisel verilerin paylaşılması konusunda Kurul ICO’ya göre daha katı davranmıştır. Kurul duyurusunda salgından etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemesi gerektiğine yer vermiştir. Öyle ki sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanununun 136 ncı maddesi kapsamında suç teşkil edebileceği hatırlatarak bu konudaki hassasiyetini göstermiştir.
Kurul’un aksine ICO ise veri paylaşmanın bu süreçte önemine değinmiş ve veri paylaşmaya kişileri ve kurumları teşvik etmiştir. Ayrıca veri paylaşmanın kamu güvenliği açısından ciddi fark yaratabiliceğini ve hatta veri paylaşmamanın paylaşmaktan daha tehlikeli olabileceğini belirtmiştir.
Veri Minimizasyonu
Veri minimizasyonu hem Kurul’un hem de ICO’nun üzerinde hemfikir olduğu bir diğer husustur. İki otorite de COVID-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetlerinin amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmesini, gereğinden fazla kişisel veri işleme faaliyetinden kaçınılmasını, hedeflenen amaca ulaşmak için imkân dâhilindeki en müdahaleci olmayan yolun tercih edilmesi gerektiğini vurgulamıştır. ICO bu sürecin sona ermesiyle birlikte ihtiyaç duyulmayan kişisel bilgilerin güvenli bir şekilde silinmesi veya yok edilmesi gerektiğini veri minimizasyonu altında ele alırken; Kurul bu hususa temel ilkeler başlığı altında değinmiştir.
Çalışanlardan ve Ziyaretçilerden Bilgi Talebi
Salgından en fazla etkilenen çalışanlardan veya ziyaretçilerden bilgi talep edilmesinin mümkün olup olmadığı konusunda herkesin aklında soru işareti bulunmaktadır. Bu soruları gidermek adına hem ICO hem de Kurul açıklama yapmıştır.
Kanun prensip itibariyle koronavirüs ile mücadele için çalışanlar veya ziyaretçilerden yeni kişisel veriler toplanmasını yasaklamamaktadır. Önemli olan, mücadeleye zemin hazırlayacak süreçlerin KVKK ile uyumlu bir biçimde tasarlanmasıdır. Bununla birlikte, işverenlerin çalışanların sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve 6098 sayılı Türk Borçlar Kanunu uyarınca yasal yükümlülükleri bulunmaktadır. Bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir. Öncelikle, koronavirüsle mücadele için ilave kişisel verilerin toplanmasının gerçekten gerekli olup olmadığı değerlendirilmelidir (Gereklilik İncelemesi). Açık ve meşru bir amaç olmaksızın çalışan ve ziyaretçilerden detaylı sağlık geçmişlerinin talep edilmesi, kişisel seyahatlerine ilişkin koronavirüsle mücadelede fayda sağlamayacak detayların sorulması veya her çalışan ve ziyaretçi için ateş ölçümü yapılması gibi önlemler, ölçülülük prensibine aykırılık teşkil edecektir.
Sonuç olarak bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Covid-19 olup olmadığını gösterir herhangi bir sağlık verisini işleme faliyeti ancak 2 seçenek dahilinde gerçekleşebilir: “işverenin çalışanın açık rıza verdiğinden emin olarak aldığı verileri açık rızaya dayalı olarak işlemesi(Kanun m.5) ve sır saklama yükümlülüğü bulunan işyeri hekimleri tarafından çalışanların özel nitelikli sağlık verilerini işlemesidir(kanun m.6/3)”.
İşverenlerin koronavirüsle mücadele amacıyla ilave veri toplamadan önce alternatif yöntemleri tercih etmesi verilerin korunması açısında daha yerinde olacaktır. Örneğin işverenler bu konuda eğitimler düzenleyebilir, çalışanları sağlık kuruluşuna yönlendirebilir veya evden çalışma sistemine geçiş kararı alabilirler.
ICO da işverenlerin çalışanlarının sağlığını korumakla yükümlü olduğuna değinmiş ve bu amaç doğrultusunda ölçülü olmak kaydıyla ve uygun güvenlik önlemleriyle veri toplayabileceklerini belirtmiştir. Ziyaretçilerden doğrudan bilgi toplamak yerine onların ziyarete gelmeden önce bilgilendirilmesi tavsiye edilerek toplanacak veri miktarının olabildiğince azaltılması planlanmıştır.
Kaynakça:
1-Hulme, Blog: Community Groups And Covid-19: What You Need To Know About Data Protection
2-ICO, Data Protection And Coronavirus: What You Need To Know
CODEƎRA 
1 comment