Kişisel Verileri Koruma Kurulu 27 Mart 2020 tarihinde COVID-19 virüsü ile mücadele kapsamında kişisel verilerin işlenmesi süreçlerine ilişkin bilinmesi gerekenlere dair bir kamuoyu duyurusu yayınladı.

Kurulun da belirttiği gibi içerisinde bulunduğumuz olağandışı pandemi halinde kişilerin verileri (TC kimlik no, adres, iş yeri, seyahat bilgileri) ve kategorik olarak diğerlerine oranla daha hassas kabul edilen özel nitelikli verilerin işlenmesi kaçınılmazdır. Bunlardan biri de “kişilerin sağlığı” ile ilgili verilerdir[1]. Bu veriler diğer verilere oranla KVVK’nın korumasından daha fazla faydalanmaktadırlar.

Her ne kadar Kurul’a, kişisel verilerin işlenmesinin hukuka uygun ve temel ilkeler esas alınarak gerçekleştirilmesinin istisnai pandemi durumunda da geçerli olduğu ve temel hak ve özgürlüklerde geri döndürülemez zararların ortaya çıkmasının engellenmesi gerektiği noktasında katılıyor olsam da bu açıklamaların oldukça geç geldiğini belirtmem gerekir.

Nitekim İngiltere’nin Veri Koruma Otoritesi (ICO) de detaylı açıklamalara girmeden önce kısaca temel ilkeleri hatırlatan bir yazıyı salgının yayılmaya başladığı günlerde yayınlamıştır[2]. Ben de Kurul’un duyurusunu detaylı olarak inceledikten sonra gecikmenin ICO’nun detaylı açıklamasının beklenmesinden kaynaklandığı izlenimine kapıldım. İki gün önce tavsiye ve görüşleri içeren bir duyuru yayınlayan ICO aynı başlıkları ve soruları değerlendirmişti[3].

Aşağıda Kurulun cevaplandırdığı dikkatimi çeken birtakım sorulara değineceğim:

- Bir işveren, bir çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilir mi?

Kurul işverenin vakalar hakkında personeli bilgilendirmesi gerektiğini söylemekte. Bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemesi gerektiğini; koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinin daha faydalı olacağını da eklemektedir. İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları bulunmaktadır.

Kurul bunu şu şekilde somutlaştırmıştır: “Bu kapsamda ilk etapta işverenler tarafından örneğin ‘…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…’ şeklinde açıklamalarda bulunulması yoluna gidilebilir.”

İlk olarak işverenin bunu bilip bilemeyeceğinin kanuni açıdan değerlendirilmesi gerekirdi. Nitekim özel sektörde de işverenler her zaman KVKK m. 4’teki genel ilkeler ile bağlı kalarak, işlenme şartlarını içeren m. 5 ve 6’ya göre hareket etmektedirler.

6. madde özel nitelikli kişisel verilerin işlenmesi şartlarını açıklamakta ve ana kuralı “açık rıza” olarak göstermektedir. Maddenin 3. fıkrasında bu duruma dair: “…sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” denilmektedir.

Buradan da anlayacağımız üzere işveren bu madde kapsamında özel nitelikli bilgiyi açık rıza olmaksızın işleme yetkisine sahip durumda değildir. Kanun’a göre işverenin bunu bilemeyeceği açık olduğu halde bu değerlendirilmeden işverenin bildiğini kabul ederek diğer çalışanlara söylememesi gerektiği üzerine bir duyuru hatalı görünmektedir. Ancak burada işverenden kastın, -bulunması halinde- işyeri hekimi bulundurma zorunluluğu olan işyerleri olduğunu düşünebiliriz. Bu durumda da işyeri hekimlerinin yükümlülüklerine bakmamız gerekir[4].

Bu yönetmeliğin madde 9/2-8’ e göre “Bulaşıcı hastalıkların kontrolü için yayılmayı önleme ve bağışıklama çalışmalarının yanı sıra gerekli hijyen eğitimlerini vermek, gerekli muayene ve tetkiklerinin yapılmasını sağlamak” iş yeri hekimlerinin görevleri arasında sayılmaktadır. Elbette işyeri hekiminin sır saklama yükümlülüğü hastanın bilginin paylaşılmasını engeller ama hasta kişinin çevresindeki kişilere farklı sorular ile risk durumunu belirleyebilir. Ayrıca isim paylaşması durumu gerekliyse yani isim paylaşılmadan sonuca ulaşılamıyorsa bu sorun ölçülülük ilkesi çerçevesinde aşabiliriz. Sonuçta işyeri hekiminin aynı zamanda diğer çalışanların da sağlığını koruması gerekir. Bu anlamda sır kavramında esneme olabilir. Ancak bulundurması gerekmesine rağmen işyeri hekimi bulundurmayan veya mevzuat gereğince iş yeri hekimi bulundurmasına gerek olmayan iş yerleri açısından bu sorun hala devam etmektedir. Bu sonuncu halde iş verenin aslında sahip olmaması gereken bir kişisel sağlık verisini nasıl işleyeceği hala bir soru işareti olarak kalmaktadır.

Bunun yanı sıra sağlığa dair kişisel verileri belirtilen amaçlar doğrultusunda ve sır saklama yükümlülüğü altında işleyebilecek yetkili kurum ve kuruluşlar da Sağlık Bakanlığınca ilgili mevzuat ve Sağlık Hizmetleri Kanununa göre belirlenmektedir[5]. Korona virüsü sebebiyle hastalanan kişilere dair verilerin işlenmesi de istisna oluşturmaz ve aynı derecede hassas koşullara bağlıdır. Söz konusu verilerin “belirli bir amaç için işlenmesi” gerekir. Kamu sağlığının korunması için işleme de bu amaçlardan biridir ve yalnızca bireysel bir tıbbi vaka veya hastalığın tedavisi ve iyileştirilmesi değil; örgütlenme modelleri ve eğitim politikaları geliştirmek, önleyici sağlık hizmetleri planlamak, salgın gibi bir durumda toplumsal tıbbi sorunların ortaya çıkmasını veya yeniden yaşanmasını önlemek amacıyla işlemeyi de gündeme getirecektir[6].

Şimdilerde korona virüsü ile ilgili pandemi kapsamında bu amaçlar doğrultusunda istatistiki vb. çalışmalar yürütenlerin de belirli işleme amaçları olduğu ve sayılanlar arasında görülebileceği söylenebilecekse de kamu sağlığının korunması konusunda tüm yetki ve görev Sağlık Bakanlığına aittir[7].

Sonuç olarak duyuruda da yer verildiği üzere Kanun’un 28. maddesinin 1. fıkrasının (ç) bendinde yer aldığı şekilde, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve bu madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

- Çalışanın Kendi Rızası ile Hastalık Bildirimi

Kurulun yaptığı duyuruda dikkatimizi çeken bir başka nokta ise şudur: “Bu çerçevede, özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır.”

Yukarıda açıkladığım şekilde işverenin bilemeyeceğinin açık olması ve yine de açıklamaması üzerine bir duyuruya ek olarak kişilere yapılan bu “herkes kendi elini taşın altına koysun” minvalindeki açıklama oldukça ilginç görünmektedir. Devamında iş yeri hekimleri tarafından verilerin işlenebileceği belirtilmiştir, özetle herhangi bir değişim olmaksızın uygulama aynı surette devam edecektir.

Ancak şu husus unutulmuştur: Pandemi nedeniyle hekimlerin tamamına yakını bu salgınla uğraşmaktadır ve her an her ateş ölçümü yapılan yerde bir hekim bulundurmak imkansızdır. Oysa bir işyerine, markete, adliyeye ya da hastaneye girerken ateşiniz bir görevli tarafından ölçülmekte ve eğer ateşiniz yüksek ise işlem yapılmaktadır. Bu da bir kişisel veri işleme durumudur. Bu durumda hekim bulmanın da imkansızlığı göz önünde alındığında veri sorumlularından nasıl hareket etmeleri beklenmektedir? Herkes can derdiyken, insanlara kişisel sağlık verisi işleyemezsiniz anlamına gelecek bir açıklama yapmak, bunu kişilerin inisiyatifine bırakmak ne kadar gerçekçidir? Bu durumda idari otoritenin üzerine aldığı sorumluluğu tam olarak ve hakkıyla yerine getirdiği söylenebilir mi?

Bu açıklama neticesinde ne veri sorumlularının ne bu konuda danışmanlık verenlerin ne de bu konuda çalışan akademisyenlerin kafalarındaki soru işaretleri kaybolmuştur. Oysa beklenti Kurul’un bir an önce inisiyatif alıp bu konuda somut ve gerçekçi adımlar atmasıdır.

Bu zor günlerde de hukuk tabi ki istisnasız uygulanmalıdır. Hiçbir şartta nitelikli kişisel veriler hukuka uygunluk nedeni olmaksızın işlenmemelidir. Ancak bu olağanüstü dönemde korunmaya çalışılan esas hak, yaşam hakkıdır ve kişisel verilerin korunması hakkından daha üstündür. Dolayısıyla burada ceza hukukunda olduğu gibi, olağanüstü dönem süresince ve bu dönemin gerekleriyle sınırlı olarak, bir veri işleme şartı olarak “sosyal uygunluk teorisi”nin kabul edilmesi mümkün değil midir?

Aslında bu durumda Kurul’un da eli kolu bağlıdır. Kurul da mevcut düzenleme karşısında (6698 sayılı KVKK m. 6) elinden geldiğince açıklayıcı olmaya çalışmaktadır. Buradaki asıl sorun 6. maddenin kendisindedir. Daha önce pek çok kez ve farklı açılardan eleştirmiş olduğum bu madde, bir kez daha hem de bu kadar önemli ve acil bir durumda ne kadar eksik olduğunu ortaya koymuştur. Dolayısıyla burada asıl inisiyatif alması gereken parlamentodur. Bu konuda hiç zaman kaybetmeden bir yasa tasarısı ya da teklifi TBMM’ye sunulmalı ve böyle olağan üstü dönemlerde kişisel sağlık verilerinin nasıl, kimler tarafından, hangi süreyle ve hangi amaçla işlenebileceği ve bunun kimlerle paylaşılabileceğine ilişkin istisnai nitelikte bir madde Kanun’a eklenmelidir.

- Seyahat Bilgileri

Duyuru içerisinde önemli bir sorunun cevabını bulmaktayız: Seyahat verilerinin sağlık verisi olmadığı konusu açıklığa kavuşturulmuştur. Korona şüphelisi olarak değerlendirilmek suretiyle türetilmiş veri kapsamında değerlendirilip değerlendirilemeyeceğine dair şüphelerimiz mevcuttu. Ancak Kurul açıklamada “Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanunun 5. maddesinde kişisel veri işleme şartlarının dikkate alınması gerekecektir.” diyerek bu bilgilerin madde 5 kapsamında kaldığını belirtmiştir.

Ben de seyahat bilgilerinin alınabileceği görüşündeyim. Aslında bu bilgilerin toplanma amacı kişilerin nereye seyahat ettiğini değil hastalığın bulaşma ihtimalini öğrenmektir. Kişisel verileri genel olarak işlenme amaçlarına göre değerlendiriyoruz. Örneğin biyometrik fotoğrafları veri sorumlusunun öyle bir amacı yoksa biyometrik veri kabul etmiyoruz. Burada ise durum tam tersi. Bu veri aslında kişisel sağlık verisi değil ama veri sorumlusu dolaylı olarak sağlık verisi elde etmeye çalışıyor. Bu uygulamayı her ne kadar içinde bulunduğumuz şartlar içinde uygun buluyor olsam da, kişisel verilerin genel ilkeleri ve veri işlemenin şartları açısından çok da uygun olmadığını, bunun gri bir alan yarattığını belirtmeliyim.

Sonuç

Kurul duyurusu yukarıda da belirttiğim üzere ICO’nun duyurusuyla neredeyse birebir örtüşmektedir. Yeterince geç kalan açıklamanın, belki de birçok ihlale sebebiyet verildikten sonra kendi ulusal uygulamasındaki problemlere odaklanmaktan ziyade bir alıntı niteliği taşıması bizleri hayal kırıklığına uğratmıştır.

Veri koruma problemi her ne kadar uluslararası bir konu olsa da her ülke düzenlemelerini, bilhassa böyle istisnai bir halde, kendi uygulamasına ve hukuki figürlerine yönelik hazırlamalıdır.

Ayrıca yukarıda belirttiğim üzere, bu olağanüstü dönemin şartları göz önünde bulundurularak, bu döneme özgü çareler üretilmeli, insanlar canla mı hukukla mı uğraşayım ikileminden bir an önce kurtarılmalıdır. Bu da yetkili otoritenin sorumluluğundadır. Buradaki yetkili otorite ise Kurul değil; TBMM ve TBMM’yi harekete geçirmesi gereken siyasi partilerdir. KVKK’nın 6. maddesi bu gibi durumlara dair öngörülere uygun değiştirilmediği sürece bu sorulara tam, somut, uygulanabilir ve gerçekçi yanıtlar verebilmek mümkün değildir.

Murat Volkan Dülger

------------------------------------

* Doç. Dr., İstanbul Aydın Üniversitesi Hukuk Fakültesi Ceza Hukuku, Ceza Muhakemesi Hukuku ve Bilişim Hukuku Anabilim Dalı öğretim üyesi,

[1] Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, 2. Bası, İstanbul, Hukuk Akademisi, 2019, s. 108, 109.

[2] Bkz: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/03/data-protection-and-coronavirus/.

[3] ICO’nun yayınladığı duyurunun çevirisi için bkz: https://www.linkedin.com/posts/dulgerhukuk_ico-koronavir%C3%BCs-duyurusuna-dair-yaz%C4%B1-activity-6649364690835128320-gJXh .

[4] İşyeri Hekimi Ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk Ve Eğitimleri Hakkında Yönetmelik, Resmî Gazete Tarihi: 20.07.2013 Resmî Gazete Sayısı: 28713.

[5] Bir kurumun bu konudaki yetkisi Sağlık Bakanlığınca verilecek ve geçerli olan bir ruhsat ile belirlenecektir. bkz: Dülger, s. 317.

[6] Lloyd F. Novick/Cynthia B. Morrow, “Defining Public Health: Historical and Contemporary Developments”, Public Health Administration: Principles For Population-Based Management, Ed. Lloyd F. Novick vd., Sudbury, Jones and Barlett Publishers, 2005, s. 3; Dülger, s. 318.

[7] Alperen Mehmet Aydın, “Public Health, Human Capital and Economic Growth: The Case Of Turkey”, Yayımlanmamış Yüksek Lisans Tezi, 2009, s. 45.