COVID-19: Salgın Süresinde İşlenen Verilerin Kişisel Verilerin Korunması Kanunu Kapsamında İncelenmesi

Karşı karşıya olduğumuz Coronavirüs (COVID-19) pandemisinde şirketlerce alınan tedbirlerin büyük bir çoğunluğu çalışanların kişisel ve özel nitelikli kişisel verilerinin işlenmesini gerektirmekte, gerçekleştirilen tüm işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca mercek altına alınmasını gerektirmektedir. Her ne kadar pandemi sebebiyle istisnai bir durum yaşanmaktaysa da, bu süreç kapsamında gerçekleştirilen işleme faaliyetlerinin KVKK’ya uyumlu olması bir zorunluluktur.

İnternet sitemizde daha önce yayınlamış olduğumuz İş Hukuku bakımından durumu ele alan rehbere ek olarak, sizlere 6698 sayılı Kişisel Verilerin Korunması Kanunu bakımından hazırlanmış bu rehberi şirketlerin karşı karşıya olduğu işleme faaliyetlerine ışık tutmak amacıyla sunmaktayız.

 

1. COVID-19 ile İlgili Bilgilerin Niteliğine Yönelik Kısa Bir İnceleme

 

6698 sayılı Kanun uyarınca bir bilginin kişisel veri veya özel nitelikli kişisel veri olması, işleme şartları ve koruma tedbirleri olarak farklı düzenlemelere tabi olması anlamına gelecektir. Dolayısıyla ilk adımda, bilginin kişisel veri ya da özel nitelikli kişisel veri niteliğinde olup olmadığının tespiti önem taşımaktadır.

  • COVID-19 virüsü”, “Test sonucu pozitif

 

Kimliği belirli ya da belirlenebilir bir kişinin COVID-19 virüsüne yakalanmış olduğu bilgisinin ilgili kişi hakkındaki sağlık verisi olduğu ve KVKK bakımından özel nitelikli kişisel veri niteliğinde olduğu tartışmasız ortadadır.

 

  • Yüksek ateşli”, “COVID-19 virüsü riski bulunan”, “Yakın dönem yurt dışı seyahati

 

İşleme amacı bakımından değerlendirildiğinde (Ek tedbirlerin alınması, kişinin sağlık durumunun kontrol edilmesi, kişinin sağlık kuruluşlarına yönlendirilmesi vb.), ilgili kişinin yüksek ateşi olduğu ve bu sebeple COVID-19 virüsüne yakalanmış olabileceği yorumu da ilgili kişi hakkındaki sağlık verisi teşkil edecek ve dolayısıyla özel nitelikli kişisel verisi anlamına gelecektir. Unutulmamalıdır ki, kişiler hakkında yapılan yorumlar da onların belirli veya belirlenebilir olmasını sağlayabilecek bilgiler olup, bu yorumların gerçeği birebir yansıtması gerekmemektedir.

 

İşleme amacına ilişkin bir önceki paragrafta belirtilmiş sebeple, ilgili kişinin “yakın dönemde yurt dışı seyahati gerçekleştirip gerçekleştirmediğine” yönelik bir soru da kişi hakkında sağlık verisi işlenmesiyle sonuçlanabilecektir.

 

Örneğin, yakın zaman içerisinde hastalık oranlarının daha yüksek olduğu bir ülkeyi ziyaret ettiği öğrenilen çalışan hakkında, potansiyel olarak virüse yakalandığı kaygısıyla ek sağlık tedbirlerinin alınması için e-posta üzerinden iletişimlerin yapılması, bahsi geçen çalışanın sağlık verilerinin işlenmesi anlamına gelecektir.

 

  • COVID-19 semptomları

 

İlgili kişinin, COVID-19 semptomları gösterip göstermediği yönünde bir soru ise, açıkça kişinin sağlık verisi hakkında bir soru olup alınan olumlu veya olumsuz cevap, ilgili kişinin sağlık verisi ve dolayısıyla özel nitelikli kişisel verisi anlamına gelecektir.

 

2. COVID-19 ile İlgili Bilgilerin İşlenmesine Yönelik Kısa Bir İnceleme

 

Özel nitelikli kişisel verilerin niteliği sebebiyle hukuka aykırı olarak işlenmeleri halinde kişinin mağdur olması ya da ayrımcılığa maruz kalması ihtimali daha yüksektir.

 

T.C. Aile, Çalışma ve Sosyal Hizmetler Bakanlığı İş Sağlığı ve Güvenliği Müdürlüğü tarafından yayınlanan “İşyerlerinde Koronavirüse (COVID-19) Karşı Alınması Gereken Önlemler” içeriğinde açıkça çalışanların “işe başlamadan önce temassız ateş ölçerle kontrol edilmesi ve ateşi olanların işyeri hekimine yönlendirilmesi” gerektiği belirtilmiş olup, T.C. İçişleri Bakanlığı Emniyet Genel Müdürlüğü tarafından yayınlanan duyuruda da “kamu güvenliğini tamamlayıcı mahiyette görev yapan özel güvenlik görevlilerinin ‘ziyaretçilerin ateşini ölçmesi’... bu süreçte ve bu süreç sona erinceye kadar makul bir uygulama olarak” değerlendirilmiştir. Ancak bu durumun KVKK’ya uyumluluğunun ayrıca incelenmesi gerekmektedir:

 

  • İşyeri girişlerinde gerçekleştirilen ateş ölçümleri

 

Çalışanların işe giriş öncesinde ateş ölçümlerinin yapılmasında, gerçekleştirilen ölçümün sistematik ve düzenli bir şekilde kaydedilmesi ya da gerçekleştirilen ateş ölçümünün ek bir işleme faaliyetine tabi tutulması söz konusu değil ise KVKK anlamında kişisel veya özel nitelikli kişisel bir verinin “işlenmesi” söz konusu olmayacaktır. Bahsi geçen “işleme faaliyetine tabi tutulmaktan” kasıt, ateş ölçümü yapılan alanın kamerayla izlenmesi ve farklı bir alana yönlendirilen, yüksek ateş riski olan çalışanın bu vesileyle belirlenebilir olması veya yüksek ateş riski olan çalışanın tespit edilmesi halinde e-posta ile bu durumun şirket içinde duyurulması ya da yüksek ateşi olan kişi sistematik ve düzenli fiziki kayıtların oluşturulması gibi faaliyetlerdir. Bu tür faaliyetler, belirli veya belirlenebilir bir kişinin “yüksek ateşi olduğu” yönünde bilgisinin işlenmesi anlamına gelecektir.

 

İşyeri girişlerinde termal kamera koyulması da termal kameradan geçen kişinin belirli veya belirlenebilir kılınması mümkün değil ise, tıpkı ateş ölçümüyle aynı şekilde değerlendirilmelidir.

 

Örneğin, çalışanların işyerine kartlı turnike sistemiyle giriş yaparken aynı zamanda termal kamera denetimlerinden geçmeleri halinde, kartlı turnike geçişinden elde edilen dakika ve saat ile kart sahibi bilgisi termal kamera kayıtlarıyla birleştirildiğinde doğrudan çalışanları belirli kılacaktır. Nitekim, veri sorumlusu nezdinde her iki sistemin de bulunması, termal kamera sistemiyle yapılan işleme faaliyetinde kişilerin belirli kılındığı anlamına gelecektir. Aksi halde kişilerin belirli veya belirlenebilir kılınması mümkün olmayacaksa, termal kamera kayıtlarının alınması tek başına kişisel ve hatta özel nitelikli kişisel veri işlendiği anlamına gelmeyebilecektir.

 

  • Çalışanlara COVID-19 virüsüne yönelik soruların yöneltilmesi

 

Çalışanların sağlık durumlarının denetlenebilmesi, sağlık kuruluşlarına yönlendirilebilmesi, hasta olan veya hastalık şüphesi altında olan çalışanlara ek güvenlik tedbirlerinin alınması için e-posta gibi iletişim yöntemleriyle yurt dışı seyahati yapıp yapmadığı yönündeki sorulara cevap alınmasında yukarıda açıkladığımız üzere sağlık verisi işlenmektedir.

 

Belirtmeye gerek olmamakla birlikte; çalışanın COVID-19 semptomları gösterip göstermediği gibi sağlık durumuna ilişkin e-postalarda bilgi akışının sağlanması, veri sorumlusu nezdindeki dijital sistemlerde kayıtlar oluşturulması, sistematik ve düzenli şekilde fiziksel çıktılarda kayıtlar tutulması sağlık verilerinin işlenmesi anlamına gelecektir.

 

3. Genel İlkeler Bakımından Kısa Bir İnceleme

 

Yaşadığımız pandemi zamanında da, gerçekleştirilen her işleme faaliyetinde KVKK m. 4’te yer alan “Genel İlkeler” değerlendirilmek zorundadır. Aşağıda yer verdiğimiz ilkeler uyarınca;

 

A. Hukuka ve dürüstlük kurallarına uygun olma:

 

I. COVID-19 ile İlgili Bilgilerin İşlenmesinde Yeterli Önlemler: Çalışanların sağlık verilerinin işleneceği her faaliyet bakımından "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Kararında yer verilmiş yeterli önlemlerin sağlanması gerektiği unutulmamalıdır.

 

II. COVID-19 ile İlgili Bilgilerin İşlenmesinde Açık Rıza: İşveren nezdindeki İnsan Kaynakları Departmanı gibi departmanlar tarafından yukarıda yer verdiğimiz ve çalışanların sağlık verisi niteliğindeki bilgilerinin işlenmesinde, işlemenin kanunlarda öngörülmesi veya bir hukuki yükümlülüğün yerine getirilmesi için işlemenin zorunlu olması gibi KVKK m. 5/2’de yer alan açık rıza istisnaları geçerli olmayacaktır.

 

Burada, işverenin başvuracağı birinci çare, işyeri hekimi tarafından gerekli işleme faaliyetlerinin yürütülmesi olmalıdır. Çalışanın sağlık verilerinin işlenebilmesi için açık rızasına başvurulmasına gerek olmayan haller KVKK m. 6/3’te düzenlenmiş bulunmaktadır. Bu bakımdan, işyeri hekimi tarafından COVID-19 virüsü hakkındaki sağlık verilerinin işlenmesi, çalışandan açık rıza alınması gerekliliğini ortadan kaldırmaktadır.

 

Özellikle belirtmelidir ki, ikinci çare olan çalışanın açık rızasının aranması yaşadığımız zorlu sürece hiçbir hız katmamakta, işverence alınan tedbirlerin uygulanabilirliğini daha da güçleştirmektedir. Tekrar etmek gerekir ki, Kanunumuzun mevcut lafzında çalışan sağlık verileri bakımından işyeri hekimi harici bir departmanca sağlık verisi işleme faaliyetinin yürütülmesi ancak doğru şekilde hazırlanmış, aydınlatma yükümlülüğü ayrıca yerine getirilmiş bir açık rıza alınması ile mümkündür.

 

İşyeri hekimlerinin haftanın belirli günleri işyerinde bulunduğu ve yaşadığımız süreç sebebiyle belirtilen sayılı günlerde dahi işyerinde olamayabilecekleri düşünüldüğünde, KVKK’nın lafzının geliştirilmesi gerektiği ortadadır. Bu bakımdan Kanunumuzda, Almanya ve benzeri ülkelerdeki gibi sağlık verilerinin işlenmesinde istihdam ilişkisi bakımından özel olarak düzenlenmiş açık rıza istisnalarına duyulan ihtiyaç günümüzde daha net görülmektedir.

 

Ek olarak, Kişisel Verileri Koruma Kurulu tarafından COVID-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler başlığı ile yayınlanan kamuoyu duyurusunda yer alan “....özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir.” tartışılması gereken bir ifadedir. Bahsi geçen ifadeyle, KVKK m. 6/3 kapsamında bir açık rıza istisnası amacı doğrultusunda işleme yapan işyeri hekimine çalışanca bildirim yapıldığının kastedildiğini umut etmekle birlikte, çalışanın işyeri hekimi hariç herhangi bir departmana hastalığına ilişkin “kendi rızasıyla” bilgi vermesinde açık rızasını sunduğunu iddia etmek güçtür. Alıntılanmış ifade öncesinde ilgili kamuoyu duyurusunda, açık rıza unsurlarından “belirli bir konuya ilişkin olma” ve ”bilgilendirmeye dayanma"ya yönelik hiçbir bilgiye yer verilmemiş olması sebebiyle söz konusu ifadeden; kişinin önceden detaylıca bilgilendirildiği ve gerçekleştirdiği hareketin belirli bir konuya ilişkin irade beyanının temsili olan, son derece tartışmalı, “zımni rızası” gibi mi yorumlanması gerektiği yoksa KVKK m. 6’ya yeni bir yorum mu katıldığı tam olarak anlaşılamamaktadır.

 

III. COVID-19 Bilgilerinin Sağlık Kuruluşlarına Bildirilmesi: Çalışanların sağlık durumlarına ilişkin bildirimler Sağlık Bakanlığı tarafından belirlenmiş yöntemlerle sağlık kuruluşlarına yapılabilir. Gerçekleştirilecek bildirim, KVKK m. 6 uyarınca açık rıza veya istisnalarına dayanılarak gerçekleştirilmelidir. İşleme faaliyeti, yurt içi kişisel veri paylaşımı niteliğinde olacaktır.

 

KVKK m. 28/1-ç kapsamında düzenlenmiş KVKK istisnasının “millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları”nı kapsadığı unutulmamalıdır. İlgili istisna, işveren tarafından bilgi verilen sağlık kuruluşunu kapsamakta ancak işverenin işleme faaliyetlerini kapsamamaktadır.

 

IV. Kapı Girişlerinde Gerçekleştirilecek Ölçüm Faaliyetleri: Her ne kadar COVID-19 virüsüne karşı temel bir korunma yöntemi kişiler arasına sosyal mesafe koymak olsa da, şirket girişlerinde bu mesafenin ateş ölçümlerinde sağlanmasına ekstra özen gösterilmesi gerekmektedir.

 

Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 tarihli ve 2017/62 sayılı İlke Kararının bu anlamda uygulama bulacağı düşünülmeli, ilgili ölçüm faaliyetleri sırasında kişilerin birbirlerine ait bilgileri duyabileceği, görebileceği, öğrenebileceği şekilde ölçüm faaliyetlerinin yürütülmesi engellenmelidir. Burada, ölçüm yapan kişilerin bu yönde bilgilendirilmesi ayrıca önem arz etmektedir.

 

B. Belirli, açık ve meşru amaçlar için işlenme:

 

I. İlgili Kişilere Karşı Aydınlatma Yükümlülüğü: Çalışanların kişisel verilerinin elde edilmesi sırasında, çalışanlara karşı aydınlatma yükümlülüğünün yerine getirilmesi gerektiği unutulmamalıdır. KVKK m. 10 kapsamındaki unsurların yerine getirilmesinde sözlü veya yazılı yöntemler tercih edilirken çalışanlara karşı karmaşık, anlaşılmaz ya da teknik içerikli bir dil kullanılmamalıdır. Sözlü yöntemlerin tercihi bakımından da, aydınlatma yükümlülüğünün yerine getirildiğinin ispat yükünün işverende olduğu unutulmamalıdır.

 

Sağlık verilerinin işlenebilmesi bakımından çalışandan talep edilecek açık rızalar bakımından aydınlatma yükümlülüğünün ayrıca yerine getirilmesi gerektiği unutulmamalıdır.

C. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma:

 

I. Şirket İçinde Gerçekleştirilecek Bildirimler: İşverenin işyeri içerisinde diğer çalışanların sağlığını korumak ve ek tedbirlerin alınmasını sağlamak amacıyla hasta olduğunu öğrendiği bir çalışanının ekip arkadaşlarını uyarmasından önce, bu bilgiyi yukarıda açıklandığı üzere hukuka uygun şekilde işlemesi gerektiğini hatırlatmak gerekmektedir.

 

İkinci olarak, çalışanın isminin açıklanmasında ölçülü bir işleme amacı olduğu durumların son derece istisnai olduğu kanaatindeyim. Zira çoğunlukla, çalışanın doğrudan belirli veya belirlenebilir kılınmasına gerek olunmaksızın ilgili uyarı yapılabilecektir.

 

Burada, alanın çalışanın belirlenemeyeceği kadar geniş ancak uyarılan kişilerin anlayabileceği kadar dar tutulması vasıtasıyla gerekli bilgilendirme sağlanabilecektir.

 

Yine Kişisel Verileri Koruma Kurulu tarafından COVID-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler başlığı ile yayınlanan kamuoyu duyurusunda yer verilen ““…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” örneğinin de, nadiren kişinin belirlenebilmesine sebep olabileceği unutulmamalıdır. Söz konusu 5. katta çok az ve hatta tek kişi çalışıyor olabilir, vardiya uygulaması sebebiyle binada bulunan ve testi pozitif çıkan kişinin “binada bulunduğu tarihler” ilgili kişinin belirlenebilmesine doğrudan sebep olacaktır. Bu sebeple, gerçekleştirilen bilgilendirmelerde kişilerin belirlenememesi sağlanacak şekilde özen gösterilmelidir.

 

D. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme:

 

I. Elde Edilecek Verilerin Saklanma Süresi Bakımından: KVKK bakımından ilgili kişilere aydınlatma yükümlülüğü yerine getirilirken işlenen verilerin ne kadar süreyle saklanacağına yer verilmesi zorunluluğu bulunmamaktadır.

 

Geçici tedbirler kapsamında istisnai olarak gerçekleştirilen kişisel ve özel nitelikli kişisel veri işleme faaliyetlerinde, faaliyetin niteliği ve sınırlı amaçla işleme ilkesi de göz önünde bulundurularak normal faaliyetlere kıyasla daha kısa sürelerin öngörülmesi yerinde bir tedbir olacaktır. Örneğin, çalışanın yakın zaman yurt dışı seyahatleri hakkında işlenen verileri amaç kapsamında daha sınırlı ve kısa bir süreyle saklanabilecektir.

 

Çalışanlardan elde edilen raporların, test sonuçlarının çalışan sağlık dosyası içeriğinde bir saklamaya tabi tutulması halinde, ilgili mevzuatlarda öngörülmüş sürelerin baki kalacağı unutulmamalı ve bu faaliyetlerde bir önceki paragrafta yer verdiğimiz gibi “kısa dönem tedbirleriyle gerçekleştirilen işleme faaliyetlerine yönelik” saklama süreleri uygulanmamalıdır. (İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği – m. 7; İşveren ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla... İşten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını saklar.)

 

Bazı ülkelerin veri koruma otoriteleri yaşanan pandemi krizi sebebiyle kanuna uyumluluğa veya bilgi yönetişimine atanmış kaynakların başkaca alanlara yöneltilebileceğini, bu süreç kapsamında diğer alanların önceliğe alınmasına duyulan ihtiyacı anlayabildiklerini ve süreç sebebiyle cezalandırmaların yapılmayacağını belirtmiştir. Ancak burada, standart kanuna uyumluluğun hiçe sayılabileceği ya da veri koruma kanunlarının “askıya alındığı” kastedilmemektedir.

 

Nitekim, zorlu geçirdiğimiz bu süreçte, çalışanlar ve vatandaşlar hakkında birçok verinin işlendiği ve işlenmesine ihtiyaç duyulduğuna şüphe bulunmamaktadır. Ancak,  bireylerin temel hak ve özgürlüklerine zarar gelmemesi ve özel hayatlarının gizliliğinin devamlılığı adına, özel bir düzenlemeyle ayrıca yetki verilmesi (Bkz. Afet ve acil durum halinde telefon ve konum bilgisinin işlenmesi için yapılan düzenleme) ya da kanunlarda öngörülmüş istisnalar söz konusu olmadıkça (Örneğin, KVKK m. 28) kişisel verilerin işlenmesinde usul ve esasların KVKK’da düzenlendiği unutulmamalıdır.