Türkiye dahil birçok Avrupa ülkesinin COVID-19 virüs salgınını kontrol altına almak için önlemler aldığı hepimizin malumudur. Alınan önlemler kapsamında da özellikle özel nitelikli kişisel veriler olmak üzere farklı türdeki kişisel veriler işlenebilmektedir.
Peki COVID-19 virüs salgınını kontrol altına almak için alınan önlemler kapsamında özellikle sağlık verileri nasıl işlenebilir?
Kişisel Verilerin Korunması Kanunu 6. maddesinin 2. fıkrasına göre sağlık verilerinin de içinde bulunduğu özel nitelikli kişisel verilerin, veri ilgilisinin açık rızası olmaksızın işlenmesi yasaktır.
Ancak, Kişisel Verilerin Korunması mevzuatı COVID-19 virüs salgınına karşı yapılan mücadelede alınan önlemleri engellememektedir. Dünyanın her yerinde COVID-19 virüs salgınına karşı yapılan mücadelede hastalıkların yayılmasını engellemek ve modern teknikleri kullanmak insanlığın yararına olduğundan, bilhassa özel nitelikli kişisel veriler (sağlık verileri) işlenebilmektedir.
Bu durum; Kişisel Verilerin Korunması Kanunu 6. maddesinin 3. fıkrasında “….Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir” şeklinde düzenlenmiştir.
Kişisel Verilerin Korunması Kanunu kamu sağlığının korunması kapsamında işverenlerin çalışanlarından aldıkları özel nitelikli kişisel verileri, Kişisel Verilerin Korunması mevzuatına uygun olarak ve mevzuatta belirtilen koşullar çerçevesinde işlemesine izin verir. Bu şartlarda, özel nitelikli verisi işlenecek ilgili kişinin açık rızasının alınmasına gerek bulunmamaktadır.
Ancak unutulmamalıdır ki; gerek Avrupa Veri Koruma Kurulu gerekse Kişisel Verileri Koruma Kurulu, bu istisnai zamanlarda bile, veri sorumlusunun ve veri işleyenin, veri ilgililerinin kişisel verilerinin korunmasını sağlamaları gerektiğini vurgulamaktadır. Kişisel Verilerin Korunması Kanunu 6. maddesinde belirtilen istisnai durum veri sorumlusu veya veri işleyene sınırsız bir işleme hakkı vermemektedir. Bu durumda dahi toplanan verilerin saklanma süresi ve işlemenin amaçları da dâhil olmak üzere yürütülen işleme faaliyetleri ve ana özellikleri hakkında şeffaf, açık ve anlaşılır bir dilde veri ilgilisi aydınlatılmalıdır. Ayrıca, kişisel verilerin yetkisi olmayan kişilere açıklanmasını engelleyen yeterli güvenlik önlemleri alınmalı ve gizlilik politikaları benimsenmelidir. Mevcut acil durum ve karar alma sürecini yönetmek için alınan önlemler uygun bir şekilde belgelenmelidir.
Uygulamada yaşanılan veya yaşanması muhtemel sıkıntıların önüne geçebilmek için sıkça sorulan soruları cevaplamak gerekmektedir.
- İşveren olarak ziyaretçilerin veya çalışanların COVID-19 virüs salgını kapsamında belirli sağlık bilgilerini vermeleri istenebilir mi?
İşveren yalnızca Kişisel Verilerin Korunması mevzuatının izin verdiği ölçüde sağlık bilgisine ihtiyaç duymalıdır. Bu nedenle orantılılık ve veri minimizasyonu[1] ilkesinin uygulanması burada özellikle önemli olup; anılı ilkelerle sınırlı olarak sağlık bilgilerinin istenmesi mümkündür.
- İşveren olarak çalışanlarımız üzerinde tıbbi kontroller (örneğin ateş ölçülmesi) yapabilir miyiz?
İşverenlerin çalışanlarının güvenliğini sağlamaya yönelik her türlü tedbir alma yükümlülüğü bulunmaktadır. Bu kapsamda işveren tarafından iş güvenliğinin ve iş sağlığının korunması kapsamında basit tıbbi kontrolleri yapması ve bu kontroller sonucu çalışanından aldığı verileri işlemesi mümkündür.
- İşveren, bir çalışanda COVID-19 virüsü testinin pozitif netice verdiğini diğer çalışanlarına açıklayabilir mi?
İşverenler çalışanlarını COVID-19 vakaları hakkında bilgilendirmeli ve koruyucu önlemler almalıdır. Ancak gereğinden fazla bilgi iletmemelidir. İşbu açıklamanın gerekli olduğu hallerde yapılması ve kesin sonuçların çalışanlarla paylaşılması daha uygun olacaktır.
[1] Veri Minimizasyonu İlkesi (“Data minimisation”): Verilerin toplama ve işlemenin amaca uygun olacak şekilde yeterli, ilgili ve sadece gerek duyulan verilerle kısıtlı olmak üzere toplanması ve işlenmesini ifade etmektedir.
