Covid-19 Salgınının Önlenmesi Kapsamında Uygulanan Tedbirlerin Kişisel Verilerin Korunması Kanunu’na Göre Değerlendirilmesi

Covid-19 Salgınının Önlenmesi Kapsamında Uygulanan Tedbirlerin Kişisel Verilerin Korunması Kanunu’na Göre Değerlendirilmesi

Covid-19 Salgınının önlenmesi kapsamında alınan tedbirlerin özel kuruluşlar tarafından uygulanması, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”) uyarınca birtakım düzenlemeler yapılmasını gerekli kılmaktadır.

İşbu bilgi notu, Covid-19 salgını kapsamında alınan tedbirlerin Kanun’a uygunluğu ve dikkat edilmesi gereken hususlara dair açıklamalar içermektedir.

Kanun’un 3. maddesinde kişisel verilerin işlenmesi; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.” şeklinde tanımlanmıştır.

HES Kodu ve Ateş Ölçümü

HES Kodu ve ateş ölçümü sonucunda elde edilen veri, sağlık verisi olup özel nitelikli kişisel veri statüsündedir. Kanun’un 6. maddesi uyarınca özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Bu kapsamda, özel nitelikli verilerin işlenmesi için veri sahibine karşı aydınlatma yükümlülüğü yerine getirilmeli ve veri sahibinden açık rıza alınmalıdır.

Bu verilerin işlenmesiyle ilgili açık rızayı gerektirmeyen haller Kanun’un 6. maddesinde düzenlenmiş olup, sır saklama yükümlülüğü olan kişiler (İş yeri hekimi, sağlık personeli vb.) tarafından bu verilerin işlenmesinde veri sahibinin açık rızası aranmamaktadır. Ancak, işyeri hekimi veya sağlık personeli tarafından alınan bu verilerin işveren ile paylaşılmaması gerekmektedir.

Bu kapsamda, HES kodu ve ateş ölçüm bilgilerinin, herhangi bir kayıt sisteminin parçası yapılmadan, anlık olarak gerçekleştirilen bir işlem ile kontrol edilmesi halinde, Kanun kapsamında bir veri işleme faaliyetinden bahsedilemeyecektir. Ancak, söz konusu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası haline getirilerek otomatik olmayan yollarla işlenmesi halinde işveren aydınlatma yükümlülüğünü yerine getirmeli ve bu verilerle ilgili veri sahibinden açık rıza alınmalıdır.

Açık rızanın en önemli unsuru özgür iradeye dayalı olarak verilmesidir. Bu nedenle, çalışanlar veya ziyaretçilerden açık rıza alınamaması halinde, bir yaptırımın belirlenmesi açık rıza unsurunu sakatlayan bir uygulama olacaktır. Nitekim açık rıza verilmemesinin bir yaptırıma bağlanması açık rızayı sakatlayan hallerdendir. Bu kapsamda, Kanun’a uygun bir uygulama gerçekleştirilebilmesi için çalışanların ve ziyaretçilerin uygun ve doğru şekilde bilgilendirilmesi önem arz etmektedir.

Seyahat Bilgisinin Talep Edilmesi

Özel kuruluşlar, çalışanlarının sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülüklere tabi olduğundan, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmediklerine ilişkin bilgi veya son 14 gün içerisinde yaptıkları seyahatler ile ilgili bilgileri talep edebilmektedir. Çalışanların veya ziyaretçilerin seyahat bilgisi, Kanun kapsamında kişisel veri niteliğini haizdir. Kişisel Verileri Koruma Kurumu’nun 09.04.2021 tarihli duyurusunda, seyahat verisinin gereklilik ve ölçülülük ilkelerine bağlı bir şekilde talep edilmesi ve risk değerlendirmesine dayanan güçlü bir gerekçenin varlığına dayanması gerektiği vurgulanmıştır. Bu kapsamda, seyahat verisinin Covid-19 salgını ile mücadele kapsamında gerekli önlemlerin alınabilmesi için gerekli ölçüde işlenmesi önem arz etmektedir.

Aşı Kimliği Uygulaması

Ülkemizde aşı kimliği uygulaması yürürlüğe konulmuştur. HES uygulaması veya e-nabız üzerinden oluşturulabilen aşı kimliğinde, kişinin adı-soyadı, doğum tarihi, T.C. Kimlik numarası, isteğe bağlı olarak pasaport numarası, karekod ve güvenli turizm logosu yer almaktadır. Karekod içerisinde kişinin Türkçe ve İngilizce olmak üzere aşı kimliğinin kime ait olduğu ve ne zaman oluşturulduğu bilgisi yer almaktadır. “Türkiye Cumhuriyeti Aşı Kimliği” adını taşıyan aşı kimliği, kişisel veri içeren bir belge olup, sadece aşılanan kişilere verilmektedir. Bu haliyle, aşı kimliğinin varlığı, kişinin HES kodu ile erişim sağlanan riskli veya risksiz olduğuna dair bilgiyi içermemektedir. Aşı kimliğinde yer alan bilgilerin veri olarak işlenmesi halinde, yukarıda yer alan açıklamalarda belirtildiği üzere aydınlatma yükümlülüğünün yerine getirilmesi ve sağlık verisi olan aşılanma bilgisine dair açık rıza alınması gerekmektedir.

Türkiye Cumhuriyeti Aşı Kimliği belgesinin, kimlik kartı şeklinde düzenlenmiş olması ve yalnızca aşı bilgisi içermesi sebebiyle aşı kimliği sahibi kişilerin HES kodu ve ateş ölçümü gibi tedbirlerin muhatabı olup olmayacağı hususu henüz netlik kazanmamıştır. Bu kapsamda, özel kuruluşların söz konusu verileri işlemesinin faaliyetleri kapsamında gerekliliği ve ölçülülüğü kriterleri dikkatle incelenmelidir.