COVID-19, Uzaktan Çalışma, Önlemler ve 6698 sayılı Kişisel Verilerin Korunması Kanunu

Ön Not: Mevzuata ve kavramlara yabancı kişilerce de konunun anlaşılması açısından yazıya kişisel verilerin korunmasına ilişkin genel bir giriş ve açıklamalar ile başlanacaktır. Bu konuda bilgili olup doğrudan COVID-19 ile değerlendirmeleri merak edenler ‘Kavramsal Çerçeve’ kısmını geçerek ilgili başlıktan okumaya başlayabilirler.

Resim NIAID tarafından CC 2.0 altında lisanslanmıştır.

Özet

  1. COVID-19'un getirdiği değişiklik ve alınan önlemler mevcut durumda 6698 sayılı Kişisel Verilerin Korunması Kanununda kaynaklanan yükümlülükleri ortadan kaldırmamaktadır.
  2. Veri sorumluları başta olmak üzere veri işleyen kişi ve şirketler kişisel verilerin işlenmesine ilişkin kurallara riayet etmek zorundadır.
  3. Uzaktan çalışma modeli kişisel verinin işlenmesinde rızanın alınması ve veri güvenliği açısından sorunlar gündeme getirebilir. Bu alanlarda uygunluk değerlendirmesi yapılmalıdır.
  4. Toplu alanlarda kişilerden sağlık verilerinin toplanması da COVID-19'a rağmen kişisel verinin korunmasına ilişkin kurallara tabi olabilir. Burada bir istisnanın uygulanıp uygulanmayacağı ayrıca değerlendirilmelidir.

GÜNCEL: Kurum Açıklaması

Kişisel Verileri Koruma Kurumu COVID-19'un veri sorumlularının uyması gereken süreler üzerindeki etkisiyle ilgili bugün bir duyuru yayınladı. Duyuru metni şu şekildedir:

Tüm dünyayı ve ülkemizi etkisi altına alan Covid-19 virüsüne karşı gerek kamu kurum ve kuruluşları gerek farklı sektörlerde faaliyet gösteren veri sorumluları tarafından çeşitli önlemler alınmaktadır. Bu gelişmeler devam ederken 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında Kurumumuza intikal eden şikayet, ihbar ve veri ihlal bildirimlerinde veri sorumlularınca dikkate alınması gereken sürelere ilişkin olarak açıklama yapılması gereği ortaya çıkmıştır.

Bilindiği üzere, kişisel verilerin korunması mevzuatı kapsamında Kurumumuza intikal eden şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurumumuza gerek ilgili kişilere karşı yükümlülükleri açısından Kanunda ve ilgili alt düzenlemelerde çeşitli süreler belirlenmiş olup, veri sorumluları tarafından bu sürelere riayet edilmesi önem arz etmektedir.

Bununla birlikte, Ülkemizin içinde bulunduğu bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşulların gözetileceği hususu kamuoyuna saygıyla duyurulur.

Bu metin veri sorumlularının tabi olduğu sürelere ilişkindir. Dolayısıyla tüm yükümlülüklerin görece daha hafif değerlendirileceği gibi bir yanılgıya düşülmemelidir. Mevcut durumda COVID-19 önlemleri 6698 sayılı Kanundan kaynaklanan yükümlülükleri dondurmamakta, ortadan kaldırmamaktadır. Bu itibarla yeni uygulamaların kişisel veri boyutuna dikkat edilmelidir.

GİRİŞ

COVID-19 Dünya Sağlık Örgütü tarafından da pandemi ilan edildi (Ghebreyesus, 2020). Bu sebeple dünyanın birçok ülkesinde olduğu gibi Türkiye’de de giderek artan yoğunlukta önlemler alınmakta ve bu önlemler günlük hayatımızda önemli değişiklikleri de beraberinde getirmektedir. COVID-19'un kolayca yayılabilen bir virüs olduğu; kesin sınırları belirli olmamakla birlikte kuluçka süresinin ise 1 ile 14 gün arasında değişmekle birlikte genelde 5 gün olduğu ifade edilmektedir. Bu iki özellik bir araya geldiğinde ise önlemlerin odak noktası izolasyon ve sosyal mesafe olmaktadır. Dünya Sağlık Örgütü tarafından insanlara kendilerini izole etmeleri, kişisel hijyene özen göstermeleri, izolasyon imkanları yoksa da en azından diğer insanlarla temasta sosyal mesafeyi korumaları önerilmektedir.

Bireysel önlemlerin yanında, toplu ölçekte de farklı önlemler alınmakta kamusal alanlarda kontroller ve dezenfekte etme faaliyetleri sıkılaştırılmaktadır. Özellikle bu toplu ölçekte alınan önlemler kişilerin sağlıklarına dair bilgilerin rızalarına bakılmaksızın alınmasını veya bizzat bu kişilerce açıklanmasını gerektirebilmektedir. Her ne kadar önlemler kamu sağlığı için alınıyor olsa da bu noktada bireylerin kişisel verilerinin korunmasına ilişkin menfaatleri ile kamu sağlığı arasında bir çatışma meydana gelmektedir. Bu çalışmanın konusu da işte bu çatışmada kişisel verilerin korunmasına ilişkin kuralların nerede yer aldığını, 6698 sayılı Kişisel Verileri Koruma Kanununun ilgili düzenlemelerini ve uluslararası alanda diğer veri koruma otoriteleri tarafından alınan önlemlerin özellikle COVID-19 örneği merkeze alınarak incelenmesidir.

KAVRAMSAL ÇERÇEVE

1. Kişisel Veri Kavramı

Kişisel verinin 6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 3(1)(d) maddesinde “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanım, 2016/679 sayılı Avrupa Genel Veri Koruma Tüzüğünün (“GDPR”) 4(1) maddesinde yer alan kişisel veri tanımıyla birebir örtüşmektedir.

Bir verinin kişisel veri olarak nitelendirilebilmesi için (1) bir gerçek kişiye ait olması ve (2) bu kişinin belirli ya da belirlenebilir bir kişi olması gerekmektedir. Belirli ya da belirlenebilir bir kişiye ait olma hususunda ise Kanunun 3.maddesinin gerekçesinde ve Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan ‘6698 sayılı Kanun’da Yer Alan Temel Kavramlar’ rehberinde şu ifadelere yer verilmiştir: “Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade etmektedir.”

Buradan anlaşıldığı üzere bir verinin kişisel veri olarak nitelendirilmesi için tek başına bakıldığında herkes tarafından belirli bir kişiyi göstermesi, yani illa ki isim, telefon numarası, e-posta adresi gibi aleni bağlantılar içermesi gerekmez. Bir veri herhangi bir şekilde başka verilerle bir araya getirildiğinde de belirli ya da belirlenebilir bir gerçek kişiyle eşleştirilebiliyorsa bu takdirde kişisel veri olduğunun kabulü gerekir. Kanunda yer alan kişisel veri kavramı geniş bir kavram olup bir verinin kişisel veri niteliğinde olup olmadığı her olay özelinde anılan iki kritere göre değerlendirilmelidir.

2. Özel Nitelikli Kişisel Veri Kavramı

Kanunda tüm kişisel veriler aynı derecede korunmamıştır. Bazı verilerin kişiler üzerindeki etkisi sebebiyle daha hassas bir niteliğe sahip olduğu ve ayrık bir koruma gerektirdiği kabul edilmiştir. Bunlara Kanunda “özel nitelikli kişisel veri” denmektedir.

Özel nitelikli kişisel verilerin neler olduğu Kanunun tanımlar maddesinde değil bu verilere ayrılmış olan 6(1) maddesinde belirtilmiştir. Buna göre “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir”.

Bu verilerin özel nitelikte kişisel veri olarak nitelendirilme sebebi olarak ise Kanunun gerekçesinde başkaları tarafından öğrenildiğinde ilgili kişinin mağduriyetine ve ayrımcılığa uğramasına neden olabilmeleri gösterilmiştir.

Özel nitelikli kişisel verilerin kişisel verilerden başka bir farkı da Kanunda tanımlanma şekilleridir. Kişisel veri kavramındaki geniş ifadelerin aksine özel nitelikli kişisel veriler Kanunda sınırlı olarak sayılmıştır.

3. Kişisel Verilerin İşlenmesi ve İstisnaları

Kişisel verilerin işlenmesi ilk bakışta çok teknik bir ifade gibi gelse de Kanunun 3(1)(e) maddesinde çok geniş bir şekilde tanımlanmıştır. Buna göre kişisel verilerin işlenmesi “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade eder. Görülebileceği üzere bir verinin sadece elde edilmesi ya da depolanması bile Kanun kapsamında işleme anlamına gelecektir.

Kanunun kişisel veri niteliğine bağladığı en önemli sonuç kişisel verilerin kural olarak ilgili kişinin açık rızası olmaksızın işlenememesidir. Açık rıza şekli bakımdan alınan bir onaydan daha fazlasını ifade eder. Kanunun 3(1)(a) maddesinde açık rıza “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Kanun, kişisel verinin ancak ilgili kişinin açık rızasıyla işlenebileceği kuralını koyduktan sonra 5.maddenin 2.fıkrasında ise açık rızaya gerek kalmaksızın kişisel verinin işlenebileceği ihtimalleri sıralamıştır.

Özel nitelikli kişisel veriler de temelde bir kişisel veri olmakla birlikte Kanunun 6.maddesinde ayrı bir rejime tabi tutulmuşlardır. Bunların işlenmesinde de kural olarak ilgilinin açık rızası aranmış ve açık rıza olmaksızın özel nitelikli kişisel verilerin işlenmesinin yasak olduğu açıkça belirtilmiştir. İstisnalarla ilgili olarak ise 5.maddede sayılan istisnalar özel nitelikli kişisel verilere uygulanmayacaktır. Bunun yerine Kanunun 6.maddesinin 3.fıkrasında özel nitelikli kişisel veriler arasında bir ayrıma gidilmiştir. Bu verilerden sağlık ve cinsel hayata ilişkin olanlar “ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir”. Sağlık ve cinsel hayata ilişkin olanlar dışındaki özel nitelikli kişisel veriler ise kanunlarda öngörülen hallerde ilgili kişinin açık rızasına gerek kalmaksızın işlenebilecektir.

COVID-19 ve İLGİLİ SORUNLAR

Öncelikle belirtmek gerekir ki COVID-19 viral bir hastalık olup bir kişinin herhangi bir hastalık konusunda pozitif/negatif olma durumu, yani hasta olup olmama durumu sağlığa ilişkin özel nitelikli bir kişisel veridir. Üstelik bir kişinin isim veya başka bir aleni bağlantı belirtilmeksizin

Bir önlemin kişisel verilerin korunması hukuku kapsamında sorun teşkil edip etmediği incelemesinin ilk aşaması da ilgili önlemde bir kişisel veri işleme faaliyetinin olup olmadığının tespit edilmesidir.

İki temel önlem tipini dikkate alalım: Uzaktan çalışma ve toplu alanlarda arttırılmış kontroller.

Uzaktan Çalışma

Normalde bir işyerinde ofis içi ve dışı iletişim ofiste yerleşik bulunan altyapı kullanılarak yapılır. Bu sayede bir sürü kişisel verinin el değiştirmesi aslında engellenmiş olur. Örneğin telefon numarasının veya e-posta adresinin bir kişisel veri olduğu tartışmasızdır. Fakat işyeri içerisinde kullanılan telefon numaraları ve e-posta adreslerinin ilgili kişinin rızası alınmaksızın üçüncü kişilerle paylaşabilmesi için iş sözleşmesiyle birlikte rıza alınabileceği gibi bu durum Kanunun 5(2)(f) maddesinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” istisnası kapsamında da değerlendirilir. Bu sayede işyeri ile ilgili faaliyetlerde ayrı bir telefon numarası ve e-posta adresi kullanılır, çalışanların özel hayatları ayrık tutulmuş ve korunmuş olur.

Uzaktan çalışma ihtimalinde ise iletişimin aynı etkinlikte devam edebilmesi tamamen bir ek altyapı sorunu halini alır. Eğer işyerinin altyapısı çalışanların internet aracılığıyla uzaktan bağlanabilmelerini desteklemiyorsa ve iletişim için çalışanların kişisel telefon ve/veya e-posta adreslerinin paylaşılması söz konusuysa bunların birer kişisel veri olduğu ve istenmesi, depolanması, paylaşılması için açık rızanın gerektiği unutulmamalıdır. Dolayısıyla uzaktan çalışma modelindeki bilgi akışı 6698 sayılı Kanun kapsamından değerlendirilmeye muhtaçtır.

Toplu Alanda Önlemler

Diğer yandan uzaktan çalışma modelinde şirket altyapısı uzaktan çalışmayı destekliyorsa ancak bu hat üzerinden akacak verinin güvenliği için gerekli önlemler alınmamışsa uzaktan çalışma senaryosunda Kanuna aykırılık gündeme gelebilecektir. İşyerinde çalışan kişiler bakımından işveren ve/veya işveren vekili Kanun kapsamında veri sorumlusudur. Veri sorumlusunun Kanunun 10.maddesi kapsamında ilgili kişileri aydınlatma; 12.maddesi kapsamında ise veri güvenliğini sağlama yükümlülükleri vardır. Dolayısıyla uzaktan çalışma modeline geçerken işverenin ve/veya işveren vekilinin uzaktan çalışma modelinde çalışanlar arasındaki iletişim ve bilgi akışında bu yükümlülüklerin ihlal edilmeyeceğinden emin olması gerekmektedir. Aksi takdirde Kanunun 18.maddesi uyarınca veri idari para cezası uygulanması gündeme gelebilecektir.

Toplu alanlara giriş çıkışlarda alınan önlemlerde ise yine farklı kişisel veri tiplerinin gündeme gelmesi mümkündür. Örneğin işçilerden rutin şekilde test sonuçları, sağlık verileri ya da diğer belli verilerin talep edilmesi konusunda 6698 sayılı Kanun’a uyumlu davranmaya dikkat edilmelidir. Yine kamusal alanda termal kameralarla ya da münferit cihazlarla ölçüm yapılması kişisel verilerin rıza alınmaksızın toplanması anlamına gelebileceği gibi burada yukarıda bahsedilen kamu sağlığı istisnasının devreye girip girmeyeceği hukuki açıdan değerlendirmelidir. Son olarak belirtmek gerekir ki kamu otoriteleri tarafından alınan önlemler ile bireysel önlemler arasında bir farklılık söz konusu olacaktır. Devlet eliyle alınan önlemlerde sadece 6698 sayılı Kanunda yer alan istisna değil ayrıca 1061 sayılı Umumihıfzısıhha Kanunu gibi düzenlemeler de devreye girecektir. Dolayısıyla hukukilik incelemesinin daha geniş perspektifte ve çok yönlü yapılması gerekecektir.

Lawyer | IP&IT&Blockchain Law| PhD Candidate in Law & Computer Science| Self-taught Coder | LL.B. (Galatasaray) - LL.M. (LSE) - M.A. (Ankara) - MJur (Oxon)

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store