Ar. Gör. Fevzi Yıldız1
SALGIN HASTALIKLARDA KİŞİSEL SAĞLIK VERİLERİNİN KORUNMASI
GİRİŞ
Kişisel sağlık verilerinin ifşa olması, kişinin iş bulmasını, mevcut işine devam etmesini veya kariyer yapmasını engelleyebileceği gibi onun sosyal çevresinden dışlanmasına da neden olabilen bir durum olduğundan, bu verilerin korunması bir yönüyle yaşam hakkıyla bağlantılıdır. Şöyle ki, sağlık verilerinin başkaları tarafından öğrenileceği endişesiyle sağlık kurumuna gitmekten çekinen kişi, teşhis ve tedavide gecikmeye neden olarak hayati tehlikeyle karşı karşıya gelebilir. Bu nedenle, günümüzde neredeyse tamamı çevrimiçi olarak tutulan sağlık verilerinin siber saldırılara açık bir alan olması, daha nitelikli ve üst seviye bir korumayı zorunlu kılmaktadır.
07/04/2016 tarihinde yürürlüğe giren Kişisel Verileri Koruma Kanunu’nda (KVKK) kişisel veri kavramı; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlanmıştır.
Kişisel sağlık verileri, doktrinde daha çok hassas veri olarak tanımlanan ve KVKK madde 6’da düzenlenen özel nitelikli kişisel veriler arasında yer almaktadır. Özel nitelikli kişisel veriler Kanunda sayma yoluyla belirtilmiştir.
Bu çalışmada, kişisel sağlık verilerinin niteliği ve genel anlamda nasıl işlendiği ele alındıktan sonra, salgın hastalık durumunda bunun hangi sınırlar içinde kimler tarafından işleneceği ve nasıl korunacağı konusu kapsamlı şekilde analiz edilmiştir.
1. Kişisel Sağlık Verisi
Kişisel sağlık verisi, Kişisel Sağlık Verileri Hakkında Yönetmeliğin 1/j maddesinde; kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler olarak tanımlanmıştır. Avrupa Birliği Bakanlar Komitesi, 1997 yılında verdiği bir tavsiye kararında; tıbbi verinin, bireyin sağlığıyla ilgili olan bütün kişisel verileri ve genetik verilerle açık ve yakın bağlantısı olan verileri de ifade ettiğini belirtmiştir. Kişişel sağlık verisi kavramı konusunda uygulamada bir terminoloji uyumu yoktur. Bu kavram yerine, “sağlık verisi/sağlığa ilişkin veri”, “tıbbi/medikal veri”, “tıbbi kayıt”, “elektronik tıbbi kayıt”, “elektronik hasta kayıtları”, “kişisel hasta kayıtları” gibi çeşitli kavramlar kullanıldığı görülmektedir.
Tıbbi kayıt, bir sağlık kurumunda tedavi gören hastaya ilişkin, hasta öyküsü, test sonuçları, operasyon notları, röntgen filmleri ve diğer görüntüleme cihazlarıyla üretilen görüntüler de dâhil olmak üzere, hastanın teşhis ve tedavisiyle ilgili her türlü kayıt olarak tanımlanabilir. KVKK açısından, tıbbi kayıtların elektronik ortamda veya kâğıt ortamında olması arasında bir fark yoktur.
Diğer yandan, hastanın kendisi tarafından oluşturulup yine hastanın dilediği yöntemle saklanan sağlık verileri ise “kişisel hasta kayıtları” olarak adlandırılmaktadır. Bu kayıtlar genellikle, hastanın doktor ziyareti sırasında ibraz etmek amacıyla muhafaza ettiği tahlil sonuçları, tanı ve tedaviye ilişkin notlar gibi verilerden oluşmaktadır.
2. Avrupa İnsan Hakları Mahkemesi’nin (AİHM) ve Avrupa Birliği Adalet Divanının (ABAD) Kararlarında Kişisel Sağlık Verisi
Kişisel Sağlık verilerinin henüz hassas nitelikli kişisel veri olarak tasnif edilmemiş olduğu dönemlerde dahi AİHM, çok sayıdaki kararında DNA ve parmak izi incelemesi gibi verilerin hassas nitelikli veri olarak korunması gerektiğini ve bunların zorunluluk hali dışında kullanılamayacağını belirtmiştir. Örneğin, AİHM, S. ve Marper/UK kararında, şüpheliler gözaltına alınırken bunların parmak izlerinin, kan ve hücre örneklerinin alınmasının ihlal oluşturmadığını ancak alınan bu örneklerle ilgili suçlar arasında bir bağlantı kalmamasına rağmen bunların muhafaza edilmeye devam edilmesini Sözleşme’nin 8. maddesinin ihlali saymıştır.
AİHM, Z v. Finlandiya kararıyla; kişisel sağlık verilerinin bir soruşturma kapsamında ifşa edilmesinde, o verilerin gizli tutulmasına göre toplumsal açıdan daha büyük bir yarar olduğuna karar vererek, başvurucunun talebini reddetmiştir.
Avrupa Birliği Adalet Divanı, Bodil Lindqvist kararıyla, kişisel sağlık verisi kavramının, ilgili kişinin zihinsel ve fiziksel sağlık durumunu da kapsar şekilde sağlığa ilişkin tüm bilgiler şeklinde anlaşılması gerektiğini, örneğin bir kişinin ayak bileğinin incinmesinin bile kişisel sağlık verisi kabul edilmesi gerektiğini vurgulamıştır.
3. Genetik ve Biyometrik Veriler Kişisel Sağlık Verisi Sayılır mı?
Genetik veri, Genel Veri Koruma Yönetmeliği (GDPR - General Data Protection Regulation) madde 4/13’te; “İnsanın kalıtımsal veya edinilmiş sağlık ve psikolojik durumuna ilişkin benzersiz ve onu diğer insanlardan ayıran özellikler hakkında veridir” şeklinde tanımlanmışken, biyometrik veri ise GDPR madde 4/14’te, “İnsanın fiziksel, fizyolojik veya davranışsal özellikleriyle ilgili özel tek¬nik işlemlerden yararlanarak diğer insanlardan ayırt edici şekilde ta¬nımlanmasını sağlayan kişisel veriler” olarak tanımlanmıştır. Özel nitelikli kişisel verilerin düzenlendiği KVKK madde 6’da, kişisel sağlık verisi ile genetik ve biyometrik veriler müstakil olarak sayılmıştır. Benzer şekilde, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 4. maddesinde de biyotmetrik veri, genetik veri ve sağlık verisi kavramları ayrı ayrı tanımlanmıştır. Nitekim KVKK madde 6/3 te cinsel hayata ilişkin veriler ile sağlığa ilişkin veriler, genetik ve biyometrik verilere göre daha farklı yöntemlerle işlenmektedir.
Diğer yandan, AİHM’in S. ve Marper, Birleşik Krallık’a karşı kararında, parmak izi ve DNA profili gibi biyometrik verilerin, kişinin beden ve ruh sağlığı ile gelecekte karşılaşabileceği hastalıklar konusunda bilgiler sağlayan genetik verilere göre kişiler hakkında daha önemli bilgiler sağladığından daha özel bir veri işleme prosedürüne tabi olması gerektiği belirtilmiştir.
4. Hasta Mahremiyeti Kavramı
Türk Hukukunda hasta mahremiyeti kavramını doğrudan düzenleyen tek mevzuat, 1998 tarihli Hasta Hakları Yönetmeliği’dir. Anılan yönetmeliğinin 20. maddesi gereğince; kişi, ilgili mevzuat hükümleri ve/veya yetkili mercilerce alınacak tedbirlerin gerektirdiği haller dışında, sağlık durumu hakkında kendisinin, yakınlarının ya da hiç kimsenin bilgilendirilmemesini talep edebilir. Anılan maddeye göre kişi bu yöndeki kararını yazılı olarak bildirmek zorunda olup daha sonra dilediği zamanda bunu geri alabileceği gibi değiştirme hakkına da sahiptir.
Anılan yönetmeliğin 49. maddesinde ise; milli güvenliğin, kamu düzeninin, kamu yararının, genel ahlakın ve genel sağlığın korunması maksatları ve kanun hükümleri ile getirilen özel düzenlemeler ve sınırlamalar saklıdır, şeklinde istisnai durumlar sayılmış ve bu durumlarda hastanın mahremiyet hakkının kısıtlanabileceği belirtilmiştir. Hasta mahremiyetini AİHS’nin 8. maddesi kapsamında değerlendiren AİHM, kişilerin tıbbi bilgilerinin ve kimliğinin açıklanmasını bir ihlal nedeni olarak görmüştür.
5. Kişisel Sağlık Verileri Kim Tarafından ve Hangi Koşullar Altında İşlenebilir?
Kişisel sağlık verisi, hassas nitelikli kişisel veriler grubunun bir üyesi olmasına rağmen grubun diğer üyelerine göre daha üst düzey bir yasal korumaya sahiptir. KVKK madde 6/2’de özel nitelikli kişisel verilerin, ilgilin rızası olmaksızın işlenemeyeceği belirtildikten sonra, bir sonraki fıkrada bunun istisnalarına yer verilmiştir. KVKK madde 6/3 gereğinde, madde 6/1’de sayma yoluyla gösterilip sağlık ve cinsel hayat dışında kalan kişisel verilerin (örn. ırk, etnik köken, siyasi düşünce, felsefi inanç) kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği belirtmiştir.
Anılan fıkranın devamında ise sağlık ve cinsel hayata ilişkin kişisel verilerin, ilgilinin açık rızası olmadan işlenebilmesi için bunun sadece kanunlarda öngörülmüş olmasıyla yetinilmeyip daha da daraltıcı iki şartın birlikte var olması aranmıştır. Bu şartlar şunlardır:
1- Veri işleme faaliyetinin, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarından biri için yapılması,
2- Veri işleme faaliyetinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yapılması.
Buna göre, sağlık ve cinsel hayata ilişkin verilerin işlenmesiyle ilgili olarak birincil koşul olan kamu sağlığının korunması koşulu gerçekleşmiş olduğunda, ilgili kişilerin sağlık verileri ancak sır saklama yükümlülüğü olan hekimler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir. Ancak yukarıda belirtildiği gibi kişinin açık rızası varsa bu iki şarta gerek olmaksızın kişisel sağlık verileri işlenebilmektedir.
Koronavirüs salgını sürecindeki temel tartışma da buradan çıkmıştır. Koronavirüs’ün kamu sağlığını tehdit eden bir salgın olması nedeniyle, kamu sağlığının korunması amacıyla ilgili kişilerin sağlık verilerinin işlenebileceği konusunda bir ihtilaf yoktur. Ancak buradaki sorun, madde 6/3 ikinci cümlede yer alan şartın, yani veri işleme faaliyetinin sır saklama yükümlülüğü olan kişiler veya ilgili kuruluşlar tarafından yerine getirilmesi şartının, her zaman sağlanamamasıdır.
Örneğin hekim bulunmayan işyerlerinde, işverenin veya onun görevlendireceği bir kişinin, işçilerin ateşini ölçmesi ve sonuçlarını ilgili kurumlara raporlaması veya halka açık işyeri girişlerinde güvenlik görevlilerinin ateş ölçümü yapıp yapamayacağı konuları tartışmalara neden olmuştur. Çünkü ilgili kişinin ateş değerleri sağlık verisi olmasına rağmen, işverenler veya güvenlik görevlileri sır saklama yükümlülüğü altında olan kişilerden değildir.
Bu sorun, KVKK’nın uygulamasına ilişkin istisnaları düzenleyen madde 28 üzerinden çözüme kavuşturulmuş olup bu konu aşağıda incelenmiştir.
6. Açık Rıza
Açık rıza kavramı KVKK madde 3’te, Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Adalet Komisyonu raporuna göre, açık rızaya ilişkin bu tanım, 95/46 EC sayılı Direktiften alınmıştır. Açık rızanın hukuka uygun kabul edilebilmesi için aşağıdaki şartları taşıması gerekmektedir:
- Rıza spesifik olarak belirlenmiş bir konu hakkında verilmelidir. Bu bağlamda, “Kişisel verilerimin işlenmesini onaylıyorum” biçiminde genel ve açık uçlu olarak verilen rıza açık rıza olarak kabul edilemez.
- Rıza istenen verinin işlenme süresi, amacı, işlenme şekli gibi konularda ilgili kişinin aydınlatılmış olması gerekir.
- Rıza özgür iradeyle verilmiş olmalıdır. Kişinin cebir, psikolojik baskı, aldatma vb. şekilde iradesi sakatlanarak alınan rızası geçerli değildir.
- KVKK geçici madde 1/1’e göre, bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilmektedir.
7. Salgın Hastalık Sürecince Kamu Kurum ve Kuruluşlarınca Yapılacak Zorunlu Kişisel Veri İşleme Faaliyetlerinin KVKK Kapsamında Olup Olmadığı Sorunu
KVKK’nın uygulanmayacağı istisnai durumlar, anılan kanunun 28. maddesinde düzenlenmiştir. Söz konusu maddenin 1/ç fıkrasında, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi hallerinde KVKK’nın uygulanmayacağı belirtilmiştir.
Diğer yandan, Anayasa’nın kişisel veriler konusunu düzenleyen 20. maddesinin son fıkrasına göre; kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir.
KVKK madde 28’de “genel sağlık” durumunun KVKK’nın uygulanmayacağı istisnai durumlardan biri olarak gösterilmemiş olması, Anayasa’da aranan “kanunda öngörülen haller” şartını karşılamadığı için, ancak ilgili kişinin rızası alınarak kişisel verilerin işlenebileceği ileri sürülmüştür. Bu kapsamda, Sağlık Bakanlığı’nın, salgın sürecinde kişisel verileri sadece ilgilinin açık rızasıyla mı yoksa KVKK madde 6’daki prensipler çerçevesinde mi işleyeceği konusunda başlangıçta bazı tereddütler vardı.
Bu tereddütleri gidermek isteyen Kişisel Verileri Koruma Kurumu, yabancı ülkelerdeki uygulamaları da dikkate alarak 27 Mart 2020 tarihinde yayınladığı, “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı kamuoyu duyurusuyla buna ilişkin genel çerçeveyi çizdi.
Kurum, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde kişisel verilerin, kamu düzenini sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağının düzenlendiğini, karşı karşıya kalınan salgının kamu güvenliğini ve kamu düzenini tehdit eden bir durum olduğunu, bu nedenle kişisel verilerin Sağlık Bakanlığı ve ilgili diğer kamu kurum ve kuruluşları tarafından işlenebileceği belirtilmiştir.
Bu kapsamda örneğin, salgın hastalıkla mücadele kapsamında il sağlık müdürlükleri ve yetkilendirilmiş laboratuvarlar, kamu sağlığının korunması kapsamında sağlık verilerini işleyebilirler. Benzer şekilde, evde bakım ve tedavi hizmeti veren yetkilendirilmiş kuruluşlar da tedavi ve bakım hizmetlerinin yürütülmesi amacıyla sağlık verilerini işleyebilirler.
7.1. Salgın Nedeniyle Veri Sorumlularının ve Veri İşleyenlerin Yükümlülükleri Askıya Alınabilir mi?
Kişisel Verileri Koruma Kurumu 27 Mart 2020 tarihli kamuoyu duyurusunda, yaşanmakta olan salgın gibi istisnai durumlarda dahi, veri sorumluları ile veri işleyenlerin kişisel verilerin güvenliğini sağlama yükümlülüklerinin devam ettiğini, mevcut salgınla mücadele kapsamında gerçekleştirilecek veri işleme faaliyetinin, gerekli, amaçla bağlantılı, sınırlı ve ölçülü olması gerektiği belirtilmiştir.
7.2. Salgın Döneminde Bir İşyerinde Çalışan Kişilerin Sağlık Verileri Nasıl İşlenecektir?
İşyerinde bir işyeri hekiminin bulunması halinde, çalışanların sağlık verileri işyeri hekimi tarafından işlenerek gerekli ön tespit ve teşhislerin yapılması ve hasta olduğu tespit edilen hastaların karantinaya ve tedaviye yönlendirilmeleri mümkündür. Ancak işyeri hekimi olmayan işyerlerinde sağlık verilerinin işlenmesi önemli bir sonun oluşturmaktadır.
Kişisel Verileri Koruma Kurumu 27 Mart 2020 tarihli kamuoyu duyurusunda, bu konuda şu tavsiyelerde bulunmuştur:
- Öncelikle, kişisel verileri işlenen çalışanların rızası alınmalıdır,
- Çalışanın kendi rızasıyla hastalık bildiriminde bulunması mümkündür,
- Sağlık verisi niteliğinde olmayan bilgiler (örn. kişinin en son gittiği yer bilgisi vb.) KVKK madde 5’te öngörülen kurallar çerçevesinde işyeri hekimi dışındaki kişiler tarafından da işlenebilir.
Bu noktada diğer bir önemli konu da, çalışanlara ait kişisel sağlık verilerinin tedbir amacıyla aynı gruba ait şirketler arasında paylaşılıp paylaşılamayacağıdır. Bu konuda, KVKK madde 6’da çerçevesi çizilen prensipler uygulanacaktır. Buna göre, öncelikle ilgili kişinin rızası aranacaktır. Eğer bu rıza alınamazsa, söz konusu sağlık verilerinin transferi ancak grup şirketlerin işyeri hekimleri arasında ve üçüncü kişilerin erişimine kapalı olarak yapılabilir.
7.3. Salgın Döneminde Aydınlatma Yükümlülüğünün Yerine Getirilmesi
Kişisel Verileri Koruma Kurumu 27 Mart 2020 tarihli kamuoyu duyurusunda; kişisel verileri işleyen veri sorumlularının, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dâhil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmaları gerektiği, bireylere, kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlanması gerektiği belirtilmiştir.
7.4. Salgın Döneminde Sağlık Verilerinin Gizliliğine İlişkin Yükümlülükler
Gizlilik, bilginin yetkisiz erişime karşı korunması ve yetkisiz kişilerin eline geçmesinin önlenmesi olarak tanımlanabilir. Tıbbi gizlilik ise, hastanın durumuna ilişkin her türlü bilgi ve belgenin hastaya ait olması ve güvence altına alınmasıdır.
Kişisel Verileri Koruma Kurumu 27 Mart 2020 tarihli kamuoyu duyurusunda gizliliğin korunmasına özellikle vurgu yaparak, başta sağlık verisi olmak üzere herhangi bir veri işleme faaliyetinde, kişisel verilerin güvenliğinin sağlanması adına lüzumlu teknik ve idari önlemlerin alınması gerektiği ve etkilenen kişilerin verilerinin açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemesi gerektiği ifade edilmiştir.
Kurum, anılan kararda ayrıca, sağlık verileri başta olmak üzere kişisel verilerin sosyal medya üzerinden paylaşılmasının 5237 sayılı Türk Ceza Kanununun 136’ıncı maddesi kapsamında suç oluşturabileceğini de belirtmiştir.
7.5. Salgın Döneminde Veri Minimizasyonu Yapılması
Kurum, salgının önlenmesi amacıyla yapılan veri işleme faaliyetlerinin, amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmesi gerektiğini, gereğinden fazla kişisel veri işlenmesinden kaçınılması gerektiğini ve hedeflenen amaca ulaşmak için imkân dâhilindeki en müdahaleci olmayan yolun tercih edilmesi gerektiğini belirtmiştir.
7.6. Salgınla Mücadele Kapsamında Sağlık Kuruluşlarının İzin Almaksızın Bilgilendirme Yapmaları
Kişisel Verileri Koruma Kurumu 27 Mart 2020 tarihli kamuoyu duyurusunda, kamu kurum ve kuruluşlarının, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabileceklerini, bu çerçevede, ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar gönderebileceklerini belirtmiştir.
7.7. İşverenin, Virüs Taşıyan Bir Çalışanla İlgili Olarak Diğer Çalışanları Bilgilendirmesi
Kişisel Veriler Kurumu’na göre işveren, vakalar hakkında personeli bilgilendirme yükümlülüğü altındadır. Bu bilgilendirme faaliyeti sırasında ilgili kişinin isminin verilmesinden ve gereğinden fazla bilgi verilmesinden kaçınılması gerekmektedir. Eğer işyerinde koruyucu tedbir alınması için ilgili kişinin isminin açıklanması zorunlu ise, öncelikle ilgili kişiye gerekli aydınlatmanın yapılması gerekmektedir.
Kurum ayrıca bu bildirimin yapılma yöntemine ilişkin olarak aşağıdaki örneği vermiştir:
“…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…”
7.8. İşverenin Çalışanlardan ve Ziyaretçilerden Seyahat ve Ateş Durumu Gibi Salgınla İlgili Bilgileri İsteme Hakkı
Kuruma göre, işverenler yasa gereğince çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamak yükümlülüğü altında olduğundan, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda bilgi talep edebilir.
Kurum, böyle bir talebin ölçülülük ilkesine ve risk değerlendirmesine uygun sağlam bir gerekçesi olması gerektiğini belirtmiştir. Eğer ilgili kişiler belli bir zaman dilimi içinde virüs vakalarının olduğu bir bölgeye seyahat emişlerse veya kendilerinde bir takım hastalık belirtileri varsa, işveren bu kişilere bir kısım tavsiyelerde bulunma yetkisine sahiptir.
Diğer yandan, seyahat verileri, kişisel sağlık verisi sayılmasa da, KVKK’nın amacının kişisel verilerin ölçülü ve belirli amaçlarla sınırlı olarak kullanılması olduğu dikkate alınarak, elde edilen seyahat verileri sadece salgın dönemiyle sınırlı olarak işlenmesi ve depolanması, önleyici ve koruyucu faaliyetler kapsamında kullanılması, bu görevleri yerine getirin resmi kurum veya kuruluşlar dışındaki kişilere aktarılmaması gerekir.
7.9. Salgın Sürecinde İşverenin, İşçilerin Sağlık Bilgilerini Yetkililere Aktarması
KVKK madde 8/1’e göre kişisel veriler ilgili kişinin açık rızası olmadan aktarılamaz. Ancak anılan maddenin ikinci fıkrasında bunun istisnaları sayılmıştır. Bu istisnalar arasında, kamu sağlığını ilgilendiren hallerde kişisel sağlık verisinin, ilgilinin rızası alınmaksızın işlenmesine imkân tanınmıştır.
Kurum’a göre, KVKK madde 8’in yukarıdaki hükmü ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler dikkate alınarak, işverenin bulaşıcı hastalıklar taşıyanlara ilişkin kişisel verileri ilgili makamlar ile paylaşması mümkündür.
7.10. Salgın Nedeniyle Konum Verilerinin İşlenmesi KVKK’ya Uygun mudur?
Kişisel Verileri Koruma Kurumu’nun 9 Nisan 2020 tarihli, kamuoyu duyurusunda, Koronoavirüs’le mücadele kapsamında Sağlık Bakanlığı’nca yürütülen “Pandemi İzolasyon Takip Projesi” kapsamında konum bilgilerinin işlenmesinin 6098 Sayılı Kanuna aykırı olmadığı belirtilmiştir.
Anılan duyuruda, konum verisinin, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” şeklinde tanımlanmış olduğunu ve bu kapsamda gerçek kişileri belirlenebilir kılan konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında kişisel veri olduğunun açık olduğu belirtilmiştir.
Duyuruda, bir salgın hastalık olan Koronavirüs’ün kamu düzeni ve güvenliğini tehdit eden bir durum olarak değerlendirilmesi gerektiği ve bu bağlamda, KVKK 28/1-ç de düzenlenen, istisnalar kapsamında değerlendirildiği belirtilmiştir.
Anılan duyuru ile Kurum, kamu kurum ve kuruluşlarının, Koronavirüs teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik veri işleme faaliyetlerinde bulunabileceklerini belirtmiştir.
7.11. Salgın Döneminde, Bir Mekâna Girmek İsteyen Kişilerden Hasta Olmadıklarına Dair Beyanda Bulunmalarının İstenmesi Mümkün müdür?
Kişinin hasta olup olmadığına ilişkin beyanı kişisel sağlık verisi niteliğinde olduğundan bu beyanın alınması ve bu bilginin işlenmesi KVKK madde 6’da düzenlenen koşullar kapsamında alınmalıdır.
Bu bağlamda öncelikle kişi, bu verilerin nasıl ve hangi süreyle işleneceği konusunda aydınlatılmalı ve akabinde açık rızası alınmalıdır. Eğer kişi açık rızasını vermek istemezse, normal şartlarda sadece sır saklama yükümlülüğü olan kişiler tarafından bu verinin işlenmesi mümkün iken, yukarıdaki bölümlerde belirttiğimiz üzere Kişisel Verileri Korumu Kurumu, mevcut salgın dönemini KVKK madde 28’de düzenlenen ve Kanun’un uygulanmayacağını belirten istisnai hallerden kabul ettiğinden, söz konusu verilerin sır saklama yükümlülüğü olmayan güvenlik görevlileri tarafından talep edilmesi ve işlenmesi de mümkün hale getirilmiştir.
Nitekim, uygulamada, AVM’lere ve diğer bazı iş yerlerine girilirken güvenlik görevlileri tarafından ateş ölçümü yapılmaktadır. İçişleri Bakanlığı, 23/03/2020 tarihli ve “Özel Güvenlik Görevlilerinin Ateş Ölçer Kullanımı Hk.” başlıklı genelgesiyle bu uygulamaya izin vermiştir.
SONUÇ
Yakın dönemde görülmemiş çapta bir küresel salgına dönüşmüş olan Koranovirüs, tüm dünyada çok önemli ekonomik, sosyal ve siyasal sonuçlar doğurmaktadır. Toplu mücadeleyi ve etkin sağlık verisi paylaşımını zorunlu kılan bu süreç, ülkemizde uygulaması yeni yeni oturmakta olan 6698 Sayılı Kişisel Verileri Koruma Kanunu ve ilgili ikincil mevzuat açısından bir çeşit test niteliği taşımaktadır.
Kişisel sağlık verisinin işlenmesine ilişkin şartların çerçevesini çizen KVKK m. 6/3’te, rıza aranmaksızın sağlık verisinin işlenmesine cevaz verilen hallerde bunun sadece sır saklama yükümlülüğü olan kişiler ile yetkili kurum ve kuruluşlar tarafından işlenebileceğinin öngörülmesi, başlangıçta kafa karışıklığına neden olmuşsa da, Kişisel Verileri Koruma Kurumu sürecinin başında inisiyatif kullanarak, mevcut salgın halinin kamu düzeni ve kamu güvenliği açısından bir tehdit olduğunu be bu yüzden KVKK madde 28 gereğince KVKK’nın uygulanmayacağı bir durumun ortaya çıkmış olduğuna karar vermiştir.
Anayasa’nın 20. maddesinde düzenlenen kişisel verilerin ilgilinin açık rızası veya kanunda öngörülen hallerde işlenebileceği yönündeki amir hüküm karşısında Kurum’un söz konusu kararı tartışmalı gözükse de, mevcut zorunluluk hali nedeniyle uygulamada çare olmuştur.
Benzer şekilde İçişleri Bakanlığı’nın, güvenlik güçlerine ateş ölçme yetkisi veren genelgesi de, kişisel sağlık verilerinin ancak sır saklama yükümlülüğü olan kişilerce işlenebileceği yönündeki temel kuralla bağdaşıp bağdaşmadığı tartışmaya açıktır.
Diğer yandan, salgın döneminde birçok hekim, hastalarla Whatsapp, Facetime gibi uygulamalar üzerinden bağlantı kurup belli ölçüde teşhis ve tedavi uygulamış, hastaya ait sağlık verileri anılan uygulamalar üzerinden aktarılmıştır. Ancak bilindiği gibi, söz konusu uygulamaların serverı yurt dışında olup, kişisel sağlık verilerinin yurt dışına transferi yasaktır. E-teşhis/tedavi uygulamasının artan bir eğilim olduğu dikkate alındığında, bu konuda bir çözüm üretilmesinin gerekli olduğu çok açıktır.
Görüldüğü üzere, salgın dönemi KVKK ve özellikle de kişisel sağlık verilerinin korunması açsından, iyi işleyen alanların yanı sıra sorunlu alanların tespitini sağlamıştır. İlgili mevzuatta yakın gelecekte yapılacak değişikliklerle bu sorunlara çözüm bulunması beklenmektedir.
KAYNAKÇA
Can, Neslihan, “Hasta Mahremiyeti Hakkı” TBB Dergisi, Yıl 2020, Sayı 147
Dülger, Murat Volkan, “Sağlık Hukukunda Kişisel Verilerin Korunması ve Hasta Mahremiyeti” İstanbul Medipol Üniversitesi Hukuk Fakültesi Dergisi 1 (2), 2015; 43-80
https://kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler- (Erişim Tarihi: 08.06.2020)
https://kvkk.gov.tr/Icerik/6726/COVID-19-ILE-MUCADELEDE-KONUM-VERISININ-ISLENMESI-VE-KISILERIN-HAREKETLILIKLERININ-IZLENMESI-HAKKINDA-BILINMESI-GEREKENLER-2-?fbclid=IwAR1K6p-zEHUcEJwB6Ak6238AzFIb9_OlM0nUCox0KoK5RTBR_HscSRY6TXU (Erişim Tarihi: 09.06.2020)
İmançlı, Canan, “Kişisel Sağlık Verilerinin Korunamamasından Doğan Özel Hukuk Sorumluluğu”, Yayımlanmamış Yüksek Lisans Tezi, İstanbul 2019
Kişisel Sağlık Verileri Hakkında Yönetmelik
Kişisel Verileri Koruma Kanunu
Kişisel Verileri Koruma Kurumu 27 Mart 2020 tarihli kamuoyu duyurusu
Küçük, Onur, “Covid-19 Gölgesinde Kişisel Verilerin Korunması”
Olca, Emre & Can, Ozgu. (2014). Ulusal ve Uluslararası Yönetmeliklerde Kişisel Sağlık Verisi Mahremiyetinin Korunması.
Orak, Beşir, “Kişisel Sağlık Verilerinin Korunması”, Yayımlanmamış Yüksek Lisans Tezi, Ankara 2019
Yüksel, Gürbüz. “Kişisel sağlık verilerinin hukuki korunması”. Sağlık Akademisyenleri Dergisi 6 (2019 ): 1-10
-
Fevzi Yıldız, Yakın Doğu Üniversitesi Hukuk Fakültesi’nden 2019 yılında mezun olmuştur. Halen Uluslararası Kıbrıs Üniversitesi Kamu Hukuku Yüksek Lisans Prokramında yüksek lisans yapmaktadır. Aynı zamanda Uluslararası Kıbrıs Üniversitesi’nde araştırma görevlisi ünvanıyla çalışmaktadır. ↩
UYARI
Web sitemizdeki tüm makale ve içeriklerin telif hakkı Av. Baran Doğan’a aittir. Tüm makaleler hak sahipliğinin tescili amacıyla elektronik imzalı zaman damgalıdır. Sitemizdeki makalelerin kopyalanarak veya özetlenerek izinsiz bir şekilde başka web sitelerinde yayınlanması halinde hukuki ve cezai işlem yapılacaktır. Avukat meslektaşların makale içeriklerini dava dilekçelerinde kullanması serbesttir.
Makale Yazarlığı İçin
Avukat veya akademisyenler hukuk makalelerini özgeçmişleri ile birlikte yayımlanmak üzere avukatbd@gmail.com adresine gönderebilirler. Makale yazımında konu sınırlaması yoktur. Makalelerin uygulamaya yönelik bir perspektifle hazırlanması rica olunur.