COVİD 19 (KORONAVİRÜS) VİRÜSÜ BULAŞAN HASTALARIN KİŞİSEL VERİLERİNİN KORUNMASINDA İZLENECEK YOLLAR

COVİD 19 (KORONAVİRÜS) VİRÜSÜ BULAŞAN HASTALARIN KİŞİSEL VERİLERİNİN KORUNMASINDA İZLENECEK YOLLAR

Blog

İlk olarak Çin Halk Cumhuriyeti’nin Wuhan kentinde ortaya çıkan ve sonrasında tüm dünyaya yayılan, Dünya Sağlık Örgütü’nün 12 Mart 2020 tarihli açıklaması ile de pandemi (“Salgın”) olarak duyurulan Koronavirüs (“Covid-19”) salgın hastalığına yakalananların ve bu hastalık dolayısıyla vefat edenlerin sayısı gün geçtikçe artmaktadır.

Ülkemizde de 11 Mart 2020 tarihinde açıklanan ilk vakadan günümüze (23 Mart 2020) salgın hızla yayılmış ve virüse yakalananların sayısı 1236’ye, can kaybı ise 30’a ulaşmıştır.

Koronavirüs salgını, tüm Dünya’da hükümetlerini, kamu kurumlarını ve özel sektör kuruluşlarını salgının kontrol altına alınması ve yayılmasının engellenmesi amacıyla önlemler alınması zorunluluğu ile karşı karşıya bırakmıştır. Bu da farklı türden kişisel verilerin ilgili kurum ve kuruluşlarca işlenmesini gündeme getirmiştir.

Salgına karşı alınan önlemler kapsamında çalışanlar veya üçüncü kişilerin sağlık verileri başta olmak üzere kişisel verilerinin işlenmesi ihtimali bulunmaktadır. Söz konusu tedbirler alınırken kişisel verilerin korunmasına ilişkin mevzuatın göz önünde bulundurulması ve bu mevzuatın ihlalinden de kaçınılması gerekir. Aksi durumda, ilgili kurum ve kuruluşların Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında idari para cezaları ve fiilin Ceza Kanunundaki suç tanımlarına uyması durumunda cezai yaptırımlarla karşı karşıya kalmaları söz konusu olabilir.

Ülkemizde Kişisel Verileri Koruma Kurumu, kendisine yapılacak şikâyet, veri ihlal bildirimi ve VERBİS’e kayıt başvurularının elden iletilmeyerek e-posta, posta, kargo veya ilgili modüller ya da KEP aracılığıyla yapılmasına dair kurumsal tedbir içerikli bir kamuoyu duyurusu yayınlamıştır; ancak, koronavirüs salgını dolayısıyla kişisel veri sorumlularının izlemeleri gereken yola dair herhangi bir duyuru yapmamıştır.

Öte yandan 19 Mart 2020’de Avrupa Veri Koruma Kurulu (The European Data Protection Board), COVID-19 salgını dolayısıyla kişisel verilerin işlenmesine dair resmi bir açıklama yayınlamıştır. Bu açıklamada; bulaşıcı hastalıklara karşı mücadelenin tüm uluslar tarafından paylaşılan değerli bir hedef olduğu ve desteklenmesi gerektiği ifade edilirken, bu olağanüstü zamanlarda dahi veri sorumluları tarafından, kişisel veri sahiplerinin verilerinin korunmasının sağlanması ve kişisel verilerin hukuka uygun bir şekilde korunması gerektiği vurgulanmıştır.

Ülkemizde Covid-19 virüsünün yayılmasının önlenmesi amacıyla, “evde kal” çağrısı yapılmıştır. Çağrı kapsamında, evden çalışma gündeme gelmiş veya birçok kuruluş faaliyetlerini geçici olarak durdurma kararı almıştır. Söz konusu duruma rağmen yetkili kamu otoritelerinin ve tüm işverenlerin salgının engellenmesi amacıyla alacakları önlemler kapsamında belli kişisel verileri işleme gereği ortaya çıkabilir. Böyle bir durumda dikkat edilmesi gereken hususların ele alınması önemlidir.

KVKK’ya göre kişisel veri ve özel kişisel veri kavramları

KVVK’nın 3. maddesinde kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. KVKK’nın 6. maddesinde ise, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”,  özel nitelikli kişisel veri olarak tanımlanmaktadır.  Dolayısıyla sağlığa ilişkin veriler, özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerin işlenme şartları

Özel nitelikli kişisel veriler, ancak ilgilinin açık rızasının alınması kaydıyla işlenebilir. Özel nitelikli kişisel verilerden sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Veri Sorumlusunun aydınlatma yükümlülüğü

KVKK’nın 10. maddesine göre veri sorumluları, her bir veri işleme faaliyetine ilişkin olarak kişisel verilerin elde edilmesi sırasında veri sahiplerini aydınlatmakla yükümlüdür.

Veri sorumlusu tarafından gerçekleştirilecek aydınlatmanın, veri sorumlusunun kimliğini, hangi kişisel verilerin hangi amaçla işleneceğini, kişisel verilerin elde edilme yöntemlerini, kişisel verilerin kimlere, hangi amaçla aktarılabileceğini ve veri sahiplerinin haklarını içermesi gerekir.

Koronavirüs dolayısıyla alınan tedbirler kapsamında, bu tedbirlerin uygulanması sırasında sağlık verilerinin işlenmesi halinde veri sorumlusunun çalışanları aydınlatma yükümlülüğü devam etmektedir.

Sağlık Verilerinin İşlenmesi

Yetkili Kurum ve Kuruluşlar ile Sır Saklama Yükümlülüğü Altında Bulunan Kişilerin Sağlık Verilerini İşlemesi

Sağlığa ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacı söz konusu olduğunda yetkili kamu otoriteleri tarafından ilgilinin açık rızası olmaksızın işlenebilir.  Benzer şekilde doktorlar, hemşireler, sağlık personeli gibi sır saklama yükümlülüğü bulunan kişiler tarafından da sağlığa ilişkin özel nitelikli kişisel veriler ilgilinin açık rızası olmaksızın işlenebilir.

İşverenlerin Çalışanların Sağlık Verilerini İşlemesi

İşverenler, İş Sağlığı ve Güvenliği mevzuatı uyarınca, işçiyi koruyup gözetme borcu, iş sağlığı ve güvenliği tedbirlerini alıp uygulama, sağlıklı ve güvenli çalışma ortamı sağlama yükümlülüğü altındadır.  Bu çerçevede, işverenlerin, salgının etkileri ve önlenmesi ile ilgili olarak işyeri hekimlerinden ve iş güvenliği uzmanlarından görüş almaları, iş sağlığı ve güvenliği kurulları tarafından alınacak tedbirleri değerlendirmeleri gereklidir. Söz konusu tedbirler; çalışanlara, müşteri veya ziyaretçilere dair olabilmektedir. Dolayısıyla işverenler açısından çalışanların, müşterilerin veya ziyaretçilerin sağlık verilerinin işlenmesi söz konusu olabilir.

Koronavirüs salgını nedeniyle sağlık verilerinin işlenmesinin söz konusu olduğunda da çalışanların açık rızalarının alınması şarttır. Çalışanın açık rıza vermemesi halinde ise ilgili çalışanın sağlık verileri işlenemez. Açık rızanın alındığına ilişkin ispat yükümlülüğü veri sorumluları üzerinde olduğundan, açık rızanın yazılı olarak alınması gerekir.

İşyerinde, çalışanın açık rızası dışında yalnızca işyeri hekimi aracılığıyla sağlık verileri toplanabilir. İşyeri hekimi tarafından toplanan sağlık verilerinin de gerekli idari ve teknik tedbirlerin alınarak işlenmesi gereklidir. İşyeri hekiminin koronavirüs salgını dolayısıyla periyodik muayeneler dışında çalışanların sağlık kontrollerini yapması hukuka uygun olup, koronavirüs tanı ve tespitinin yapılarak yayılmasının engellenmesi açısından da önem arz eder. Salgın hastalığının yayılmasını önlemek amacıyla işyerinde alınan tedbirler kapsamında, sağlık verilerinin işyeri hekimleri aracılığıyla işlenmesi halinde ilgili işveren, çalışanlarını yalnızca aydınlatmakla yükümlüdür. Sağlık verilerinin işlenmesi sır saklama yükümlülüğü altında olan işyeri hekimi tarafından yapıldığı için çalışandan açık rızanın alınması gerekmez.

Bununla birlikte, işyeri hekimi tarafından işçiye ait sağlık dosyasında tutulacak olan sağlık verilerine işverenin de erişememesi gerekir. Aksi halde işveren, aydınlatma yükümlülüğü yanında çalışanların açık rızasını almakla da yükümlü olur.

İşveren tarafından açık rızaya dayanarak ya da işyeri hekimi aracılığıyla toplanan sağlık verileri, KVKK’da belirtilen hukuka uygunluk nedenleri olmaksızın diğer kişilerle paylaşılmamalı ve aktarılmamalıdır. Aksi durumda ilgili veri sorumlusu için KVKK uyarınca idari para cezası söz konusu olabilir. İşverenler, koronavirüs vakaları ile ilgili olarak çalışanlarını bilgilendirmeli, ancak gerekenden daha fazla bilgiyi paylaşmamalıdır.

Örneğin işçinin karantina altına alındığı bilgisi hangi kapsamda değerlendirilebilir?

Karantina verisi, geniş anlamda bir sağlık verisi olarak değerlendirilebilecek bir kişisel veri olup, karantinaya ilişkin veri işveren ile paylaşıldığında ilgili çalışanın mahremiyetinin korunması açısından diğer çalışanlarla bu verinin gerektiği kadar paylaşılması yerinde olur. Diğer bir deyişle, karantinaya ilişkin verinin anonimleştirilerek diğer çalışanlarla paylaşılması uygun olur.

Koronavirüs testi pozitif çıkan veya ilgili belirtileri gösteren çalışanların kişisel verileri açısından neler yapılmalıdır?

İşyeri kapsamında koronavirüs testi pozitif çıkan çalışan işyeri hekimi tarafından yönlendirilmelidir. İşyeri hekiminin bulunmadığı kuruluşlar ise yine bir hekim ya da yetkili kurumlar aracılığı ile süreci yönetmelidir. Karantinaya alınma verisinde olduğu gibi bu durumda da kişisel mahremiyet korunmalıdır.

Koronavirüs testi pozitif çıkan çalışanların yetkili kurumlardan almış olduğu rapor ya da test sonuçlarının işlenmesi açısından da ek idari ve teknik tedbirler alınmalı ve bunlar işyeri hekimleri aracığıyla işlenmelidir.

Sağlık Verisi İşlenen Kişinin Hakları

Kişisel verisi işlenen kişinin hakları KVKK’nın 11. maddesinde düzenlenmiştir. Buna göre, ilgili kişi veri sorumlusuna başvurarak;

  1. a) Kişisel veri işlenip işlenmediğini öğrenme,
  2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  2. e) Kanunun 7 nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  3. f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  4. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

Hakkına sahiptir. Dolayısıyla sağlık verisi işlenenler, somut olaya göre yukarıdaki taleplerde bulunabilir.

Yaptırım

KVKK’nın 17. maddesi gereğince, kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümleri uygulanır. Buna göre örneğin, Türk Ceza Kanunu’nun 135. maddesi gereğince hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir ve bu kişisel verilerin özel nitelikli kişisel veri olması durumunda bu ceza yarı oranında artırılır.

KVKK’nın 18. maddesi gereğince, sağlık verilerini işleyen veri sorumlularının;

  1. KVKK’nın 10. maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmemesi halinde hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  2. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

Para cezasına hükmedilebilir.

Sonuç olarak;

Yukarıda izah edilen hususlar çerçevesinde, koronavirüs salgını dolayısıyla kişisel veriler işlenirken veri sorumluları tarafından her aşamada gerektiği ölçüde ve amaçla orantılı olarak işlenmesi ilkeleri gözetilmelidir.

Koronavirüs salgını ile mücadele çerçevesinde alınan/alınacak tedbirler açısından kişisel verilerin sınırsız bir şekilde işlenebileceğini söylemek mümkün değildir. Özellikle özel nitelikteki kişisel verilerden olan sağlık verileri mevzuatta belirtilen istisnalar dışında açık rıza şartını sağlamadan işlenemez.

Share this post

Related Posts

KAMUDA ENERJİ PERFORMANS SÖZLEŞMELERİ UYGULAMASINDA İLK ADIM: ENERJİ ETÜDÜ VE ETÜT RAPORU

Kamuda enerji verimliliğinin artırılması amacıyla 21.03.2018 tarihli ve 7103 sayılı Kanun ile 5627 sayılı Enerji Verimliliği Kanunu’nda bazı düzenlemeler... read more

VERBİS’E KAYIT İŞLEMLERİNİZİ TAMAMLADINIZ MI?

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS); kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları... read more

KORONAVİRÜS (COVID-19) SALGINININ PROFESYONEL FUTBOLCU SÖZLEŞMELERİNE ETKİLERİ

Giriş Çin'in Wuhan kentinde ortaya çıkan yeni tip koronavirüs (“Covid-19”), tüm dünyada 160’dan fazla ülkeye kısa süre içerisinde yayılmıştır. Söz konusu... read more

DANIŞTAY KARARLARI IŞIĞINDA LPG PİYASASINDA SORUMLU MÜDÜR BELGESİNE SAHİP OLMAYAN SORUMLU MÜDÜR ÇALIŞTIRILMASI

Sorumlu müdür, nitelik, yetki ve sorumlulukları Sıvılaştırılmış Petrol Gazları Piyasası Eğitim Ve Sorumlu Müdür Yönetmeliğinde “Yönetmelik” belirlenen ve LPG... read more

TÜRK VATANDAŞLIĞININ YATIRIM YOLUYLA KAZANILMASINDA YENİ KURALLAR

Türk Vatandaşlığı Kanununun Uygulanmasına İlişkin Yönetmelikte (“Yönetmelik”) değişiklikler getiren ve 06.01.2022 tarihli 31711 sayılı Resmi Gazete’de yayımlanan “Türk Vatandaşlığı... read more

10 ADIMDA BORÇ YAPILANDIRMA KURUMU OLARAK KONKORDATO

Borçlu Borçlu, iflasa tabi olan veya olmayan kişilerden olabilir. İflâsa tâbi borçlunun alacaklıları da konkordato teklif edebilir. Konkordato Sebepleri Borçlunun; vadesi gelmiş... read more

YENİLENEBİLİR ENERJİ KAYNAK ALANLARI AÇISINDAN YERLİ KATKI ORANI NASIL HESAPLANIR?

Enerji ve Tabii Kaynaklar Bakanlığı tarafından 03.07.2020 tarih ve 31174 sayılı Resmi Gazete’de yayımlanan Güneş Enerjisine Dayalı Yenilenebilir Enerji... read more

COVID-19 KÜRESEL SALGINININ ELEKTRİK PİYASASINDA LİSANS YÜKÜMLÜLÜKLERİNE 4 TEMEL ETKİSİ

Giriş Tüm dünyada olduğu gibi ülkemizde de elektriğin yeterli, kaliteli, sürekli, düşük maliyetli ve çevreyle uyumlu bir şekilde tüketicilerin kullanımına... read more

DOĞAL GAZ PİYASASINDA YENİ BİR MEKANİZMA: SON KAYNAK TEDARİKİ

Dünya enerji kaynakları içindeki payı gittikçe artan bir enerji kaynağı olan doğal gaz, uluslararası alanda önemli ticaret akımlarına konu... read more

ELEKTRİK PİYASASINDA HİBRİT ELEKTRİK ÜRETİMİNE GEÇİŞ

Giriş Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından yapılan, 08.03.2020 tarihli ve 31062 sayılı Resmi Gazete’de yayınlanan ve 01.07.2020 tarihinde yürürlüğe... read more