Corona Pandemi Etkisi ile Kişisel Verilerin Korunması
CORONA – COVİD19 BAĞLAMINDA BULAŞICI HASTALIK BİLDİRİM YÜKÜMLÜLÜĞÜ VE BU DURUMUN KVKK AÇISINDAN DEĞERLENDİRİLMESİ
GİRİŞ
Bilindiği üzere, aylardır dünyada ülke ülke yayılan Coronavirus – Covid19 salgını ülkemize ulaşmış olup bu durum 10.03.2020 tarihinde resmi makamlardan yapılan açıklama ile teyit edilmiştir. Söz konusu salgının, tarihteki en yaygın ve zorlu bulaşıcı hastalıklardan biri olduğu söylenmekte olup bu durum toplum nezdinde ciddi bir panik ve spekülasyona neden olmaktadır. Hal böyle olunca, gerek medya yayınları gerek kişiler arası iletişimde yoğun bir bilgi aktarımı oluşmakta ve bu durum yazımızda değineceğimiz üzere, kişilerin özel nitelikli kişisel verisi niteliğindeki sağlık verilerinin kanuna aykırı şekilde işlenmesi ve aktarılması sonucunu doğurmaktadır. Bu nedenle yazımızda, bulaşıcı hastalık / salgın durumunda bildirim yükümlülüğünün olup olmadığı, var ise bu yükümlülüğünün kimler için öngörüldüğü ve bu yükümlülükle bağlantılı olarak sağlık verilerinin hangi koşullarla işlenebileceği sorularına yanıt arayacağız.
I.Bulaşıcı Hastalık / Salgın Şüphesi Halinde Ne Yapılmalı?
Yürürlükteki mevzuatımızda, bulaşıcı hastalıklara ilişkin temel olan 1593 sayılı Umumi Hıfzıssıhha Kanunu ile bu kanuna dayanılarak hazırlanan Bulaşıcı Hatalıklar Sürveyans ve Kontrol Yönetmeliği (Yönetmelik) bulunmaktadır.
Anılan Yönetmelik’te bulaşıcı hastalık “Enfekte olmuş bir kişi ile doğrudan temas yoluyla veya bir vektör, hayvan, ürün veya çevreye maruz kalma gibi dolaylı yollardan veya bulaşıcı madde ile kirlenmiş olan sıvı alışverişi yolu ile insandan insana bulaşan, bir mikroorganizma veya onun toksik ürünlerine bağlı olarak ortaya çıkan hastalık” olarak tanımlanmış olup Coronavirus’ün dünya çapında ölümlere varan sonuçları düşünüldüğünde bu bağlamda bir bulaşıcı hastalık olduğu açıktır.
Nitekim Yönetmelik EK-1 incelenecek olursa, burada Coronavirus’ün bildirimi zorunlu bulaşıcı hastalıklar listesinde yer aldığı da açıkça görülebilmektedir.
Bu doğrultuda, kanun koyucunun özellikle belirli türleri olmak üzere bulaşıcı hastalıkların tespiti halinde bildirim zorunluluğu getirdiği anlaşılmaktadır. Öyleyse, bildirim yükümlülüğü altında bulunanlar kimlerdir?
Yönetmelik md.10 bu sorumuza yanıt vermekte olup söz konusu yanıt “Bildirim sistemi kapsamında bir bulaşıcı hastalığın ihbarı ve bildiriminden, Bakanlığın belirlediği usul ve esaslar çerçevesinde sağlık hizmeti veren bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.” hükmü ile ifade edilmektedir. Hükmün ifadesinden de anlaşılacağı üzere, esas olan faaliyeti sağlık hizmeti vermek olan kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler söz konusu bildirim yükümlülüğü altındadır.
Bulaşıcı hastalığın, uzmanları tarafından teşhis ve tedavi edilmesi gerekilen bir durum olduğu gözetilecek olursa, kanun koyucunun kamu düzenini ve güvenini temin amacıyla bildirim yükümlülüğünün sağlık çalışanlarına verilmesi isabetli bir yaklaşımdır.
Ancak yazı konumuz olan Coronavirus salgını kapsamında, sağlık çalışanı sıfatını haiz olmayan ve dolayısıyla Yönetmelik kapsamında bildirim yükümlülüğü bulunmayan kişilerin sosyal medya üzerinden veya bulundukları fiziksel mekanlarda (ev, işyeri) Coronavirus testleri pozitif çıkan ya da karantina altına alınan kişileri ifşa ettikleri görülmekte olup bu durumun ifşa edilen kişilerin zor durumda kalması ve sağlık verilerinin aleni hale getirilmesi açılarından hukuka uygunluğu tartışmalı bir hal almıştır.
II. Kamu Sağlığı Gerekçe Gösterilerek Coronavirus Pozitif İfşası Yapılabilir Mi?
Üst başlığımızda, yürürlükteki mevzuatı ve bu mevzuat kapsamındaki bildirim yükümlülüğü kavramına değinmiş olup bu başlık altında kamu sağlığı ve kamu menfaati kavramları gerekçe gösterilerek kişilerin sağlık verilerinin yani test sonuçlarına ilişkin bilgilerin ilgili kişi ile ilişkilendirilebilecek şekilde 3.kişilerle paylaşılıp paylaşılamayacağı sorusuna yanıt arayacağız.
Bilindiği üzere, KVKK m.6 ilk fıkrasında sağlık verilerini özel nitelikli kişisel veri olarak saymış ve bu verilerin kural olarak açık rıza ile işlenebileceğini belirtmiş akabinde “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmüne yer vermiştir.
Dolayısıyla tıbbi test sonucu içeren sağlık verilerinin işlenmesi için öncelikle ilgili kişinin açık rızasının alınması ancak kamu sağlığı gerekçe gösterilecek ise, bu veri işleme faaliyetinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi ve aktarılması söz konusudur.
Ancak bu noktada, belirtmek gerekir ki, işçi ile işveren yahut kat maliki ile apartman yönetimi arasındaki ilişkide doğrudan sır saklama yükümlülüğünden bahsedilemese de kanun koyucu tarafından başka yükümlülükler öngörüldüğünden bu kişilerin sağlık verilerini işleyebileceği yönünde tartışmalı olmakla beraber görüşler mevcuttur. Şöyle ki;
İşverenlerin İş Sağlığı ve Güvenliği Kanunu’ndan doğan çalışanların sağlığını ve güvenliğini sağlamak ve iş sağlığı ve güvenliğine ilişkin önlemleri alma yükümlülüğü bulunmaktadır. Bu durumda, bir kurgu yaratmak gerekirse; bir çalışanın Coronavirus testinin pozitif çıktığına veya karantina altına alındığına ilişkin bir bilgi edinilmesi halinde, işverenin bu bilgiyi kayıt altına alması ve anonim halde diğer çalışanlarla paylaşması İSG süreçleri kapsamında zorunludur.
Yine aynı şekilde, Kat Mülkiyeti Kanunu m.35 uyarınca apartman yöneticisinin ana gayrimenkulü koruma yükümlülüğü mevcut olup bu yükümlülük ortak kullanım alanlarının hijyenik tutulmasından salgın hastalık aşamasında dezenfekte işlemlerinin yapılmasına kadar geniş bir alanı kapsamaktadır. Dolayısıyla bu kişilerin de apartmanda Coronavirus vaka tespiti halinde, diğer kat maliklerini / sakinlerini bilgilendirmesi kanun koyucu tarafından zımni olarak öngörülmüştür.
Her iki örnekte ayrıca kişilerin Coronavirus testi pozitif çıkanları öğrenmesi ve bu sayede yakın zaman içerisinde temas ettikleri var ise kendilerine ayrıca karantina uygulaması gayet hakkaniyetli bir taleptir.
Hal böyle olunca, bu kişiler yönünden KVKK hükümleri çerçevesinde özel nitelikli kişisel veri olan Coronavirus test sonuçlarının işlenmesi, bu kişilerin yani işverenin ve apartman yöneticisinin sır saklama yükümlülüğü olmadığı gözetildiğinde KVKK m.6/3 uyarınca açık rıza ile işlenebileceği izahtan varestedir.
Diğer yandan, geçtiğimiz günlerde, Kişisel Verileri Koruma Kurumu tarafından “Covid19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı bir kamuoyu duyurusu yapılmış ve burada çalışan verileri için “işveren tarafından alınacak ise, çalışanın açık rızası ile aksi halde, işyeri hekimi tarafından işlenmesi gerekliliği” üzerinde durulmuştur.
Yine aynı duyuruda, KVKK m.28/1- bendine atıf yapılarak “kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı” ifade edilerek mevcut durumun kamu güvenliğini ve kamu düzenini tehdit niteliğine değinilmiş ve kişisel verilerin Sağlık Bakanlığı ve madde (KVKK m.28) kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmadığı açıkça belirtilmiştir.
Anılan Kurum duyurusunda konuya ilişkin son olarak, bu dönemde kamu ve özel sektörde yoğun önlemler alındığından, yukarıda ifade edildiği üzere, kanun koyucu tarafından kendisine özen ve koruma yükümlülüğü öngörülen işveren ve apartman yöneticisi gibi kişilerin, “son seyahat edilen ülke bilgisi” gibi özel nitelikli kişisel veri niteliği taşımayan kişisel verilerin ilgili kişinin açık rızası olmaksızın ancak her halde KVKK m.5 kapsamındaki istisnalar dahilinde işlenebileceği söylenmektedir.
Ancak bu noktada, alternatif bir görüş olarak, kamu menfaati kavramının daha yüksek bir koruma içerebileceği gözetilerek Coronavirus test sonuçlarının kişisel veri niteliğinden çıkarılarak yani KVKK’daki kişisel veri tanımı olan “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kavramının dışına atarak işverenler için işyerindeki diğer çalışanların, apartmanlar için ise kat maliklerinin bilgilendirilmesi mümkündür.
Burada kastedilen verinin anonimleştirilerek yani ilgili kişinin kim olduğuna dair bir niteleme yapılmaksızın bilgilendirme yapılmasıdır. Örnek vermek gerekirse; “işyerimizdeki bir çalışanımızda / apartmanımızdaki bir kat sakininde Coronavirus testinin pozitif çıkmıştır.”
Nitekim bu hususta, Kurum görüşü de bizim görüşümüz ile paralel olup “Bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı kişi isminin açıklanmasının zorunlu olduğu hallerde ilgili kişilerin bu hususta önceden bilgilendirilmesinde fayda görülmektedir.” şeklinde görüş bildirmiştir.
Dolayısıyla kamu menfaati ile kişisel verilerin korunmasına ilişkin yasal hükümlerin bir arada düşünülmesi gerekmekte olup sadece tek yöne ağırlık vermek ve alternatif çözümler üretmemek bu aşamada uygulamacıları sıkıntıya sürüklemekten öteye gitmeyecektir.
Yukarıda örnekle ifade edilen bir bilgilendirme ile hem kamu menfaati ve sağlığı korunmuş olacak hem de özel nitelikli kişisel veri kanuna uygun şekilde işlenmiş olacaktır. Tabii bu noktada, veriyi elde eden işverenin test sonucu olan sağlık verisini kayıt altına almaması veya kayıt altına alınacak ise, açık rızayla veya açık rıza olmaksızın kamu sağlığı gerekçe gösterilerek işyeri hekimi tarafından kayıt altına alınması isabetli olacaktır. Apartman yöneticileri tarafından genel itibariyle kat maliklerinin sağlık verilerine ilişkin bir kayıt tutulmadığından ayrıca bilgilendirme ihtiyacı duyulmamıştır.
SONUÇ VE KANAAT
Coronavirus günümüzün dünya çapındaki salgın hastalığı olup kişiler arası ve kitleler arası iletişimde bu konuya ilişkin birçok bilgi dolaşımı yaşanmaktadır. Paylaşılan bilgilerin bir kısmı da test sonuçlarına ilişkin olup bu bilgiler sağlık verisi niteliği ile özel nitelikli kişisel veri olarak değerlendirilmektedir.
Özel nitelikli kişisel verilerin işlenmesinde, kanun koyucu kural olarak açık rıza aramış, ancak sır saklama yükümlülüğü olan kişiler yönünden açık rıza olmaksızın işlenebileceğini ifade etmiştir. Yazının başında yer verilen Umumi Hıfzısıhha Kanunu ile bu kanuna dayanılarak hazırlanan Bulaşıcı Hatalıklar Sürveyans ve Kontrol Yönetmeliği de yine KVKK hükümlerine atıf yapmaktadır.
Dolayısıyla bu nitelikteki verilerin, Coronavirus test sonuçlarının öncelikle ilgili kişiden açık rıza alınarak işlenmesi, bu mümkün değil ise, kamu menfaatini ve sağlığını korumak amacıyla sır saklama yükümlülüğü bulunmayan işveren ve apartman yöneticileri gibi kişilerce de veri anonim hale getirilerek yani ilgili kişi ile ilişkilendirilmeyecek şekilde düzenlenerek aynı fiziksel mekandaki kişilerin bilgilendirilmesi ve bu şekilde KVKK korumasının kamu menfaati ve sağlığı için kısmen bertaraf edilebileceği tarafımızca öngörülmektedir.
Zira yukarıda da ifade edildiği üzere, kamu menfaati ile kişisel verilerin korunmasına ilişkin yasal hükümlerin bir arada düşünülmesi gerekmekte ve yalnız birinin dikkate alınarak varılacak yargılar uygulamadaki kişileri böylesi olağanüstü bir dönemde zorlamak mahiyetinde olacağından biz hukukçuların her türlü ihtimali gözeterek alternatif çözümler üretmesi daha isabetli olacaktır. Hatta bu vesile ile uygulama açısından oldukça sorun teşkil eden Sağlık Verilerinin işlenmesi ile ilgili olarak, kanun koyucunun yasal düzenlemeye giderek, en azından kanunlarda öngörülmesi veya KVKK Md. 5/2’ye benzer istisna hükümlerinin getirilmesinin daha isabetli olacağını düşünüyoruz.
Av. Merve Özel
Taygün & Özmestik Hukuk Bürosu
Mart / 2020