Türkiye dahil birçok Avrupa ülkesinin COVID-19 virüs salgınını kontrol altına almak için önlemler aldığı hepimizin malumudur. Alınan önlemler kapsamında da özellikle özel nitelikli kişisel veriler olmak üzere farklı türdeki kişisel veriler işlenebilmektedir.
Peki COVID-19 virüs salgınını kontrol altına almak için alınan önlemler kapsamında özellikle sağlık verileri nasıl işlenebilir?
Kişisel Verilerin Korunması Kanunu 6. maddesinin 2. fıkrasına göre sağlık verilerinin de içinde bulunduğu özel nitelikli kişisel verilerin, veri ilgilisinin açık rızası olmaksızın işlenmesi yasaktır.
Ancak, Kişisel Verilerin Korunması mevzuatı COVID-19 virüs salgınına karşı yapılan mücadelede alınan önlemleri engellememektedir. Dünyanın her yerinde COVID-19 virüs salgınına karşı yapılan mücadelede hastalıkların yayılmasını engellemek ve modern teknikleri kullanmak insanlığın yararına olduğundan, bilhassa özel nitelikli kişisel veriler (sağlık verileri) işlenebilmektedir.
Bu durum; Kişisel Verilerin Korunması Kanunu 6. maddesinin 3. fıkrasında “….Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir” şeklinde düzenlenmiştir.
Kişisel Verilerin Korunması Kanunu kamu sağlığının korunması kapsamında işverenlerin çalışanlarından aldıkları özel nitelikli kişisel verileri, Kişisel Verilerin Korunması mevzuatına uygun olarak ve mevzuatta belirtilen koşullar çerçevesinde işlemesine izin verir. Bu şartlarda, özel nitelikli verisi işlenecek ilgili kişinin açık rızasının alınmasına gerek bulunmamaktadır.
Ancak unutulmamalıdır ki; gerek Avrupa Veri Koruma Kurulu gerekse Kişisel Verileri Koruma Kurulu, bu istisnai zamanlarda bile, veri sorumlusunun ve veri işleyenin, veri ilgililerinin kişisel verilerinin korunmasını sağlamaları gerektiğini vurgulamaktadır. Kişisel Verilerin Korunması Kanunu 6. maddesinde belirtilen istisnai durum veri sorumlusu veya veri işleyene sınırsız bir işleme hakkı vermemektedir. Bu durumda dahi toplanan verilerin saklanma süresi ve işlemenin amaçları da dâhil olmak üzere yürütülen işleme faaliyetleri ve ana özellikleri hakkında şeffaf, açık ve anlaşılır bir dilde veri ilgilisi aydınlatılmalıdır. Ayrıca, kişisel verilerin yetkisi olmayan kişilere açıklanmasını engelleyen yeterli güvenlik önlemleri alınmalı ve gizlilik politikaları benimsenmelidir. Mevcut acil durum ve karar alma sürecini yönetmek için alınan önlemler uygun bir şekilde belgelenmelidir.
Uygulamada yaşanılan veya yaşanması muhtemel sıkıntıların önüne geçebilmek için sıkça sorulan soruları cevaplamak gerekmektedir.
- İşveren olarak ziyaretçilerin veya çalışanların COVID-19 virüs salgını kapsamında belirli sağlık bilgilerini vermeleri istenebilir mi?
- İşveren olarak çalışanlarımız üzerinde tıbbi kontroller (örneğin ateş ölçülmesi) yapabilir miyiz?
- İşveren, bir çalışanda COVID-19 virüsü testinin pozitif netice verdiğini diğer çalışanlarına açıklayabilir mi?
[1] Veri Minimizasyonu İlkesi ("Data minimisation"): Verilerin toplama ve işlemenin amaca uygun olacak şekilde yeterli, ilgili ve sadece gerek duyulan verilerle kısıtlı olmak üzere toplanması ve işlenmesini ifade etmektedir.