Covid-19 Kapsamında Özel Ve Genel Kişisel Verilerin İşlenmesi
6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinde kişisel verilerin işlenme şartları, 6. maddesinde ise sağlık verilerinin dâhil olduğu özel nitelikli kişisel verilerin işlenme şartları belirlenmiştir.
Kişisel Verilerin Korunması Kanunu
Kişisel verilerin işlenme şartları
MADDE 5
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Kanunun 6. Maddesinden de anlaşılacağı üzere özel nitelikli kişisel veriler ilgili kişinin açık rızası halinde işlenebilir.
İstisnai olarak açık rıza beyanı olmadan sadece sağlık ve cinsel hayata ilişkin kişisel veriler işlenebilir. Bu veriler ise belli şartların varlığı halinde işlenebilir.
Bu şartlar ise;
-Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
-Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.
Yani ilgili kişiden alınan açık rıza beyanı dışındaki şartlar dâhilinde sağlık verilerinin iş yeri hekimleri tarafından işlenmesi kanunen hukuka uygundur.
Özel olmayan kişisel veriler için ise kanunun 5. Maddesi çerçevesinde işlenmelidir. Örneğin bir veri sorumlusu olan otel, Covid-19 ile mücadele kapsamında müşterilerinin son olarak seyahat ettikleri ülke bilgisini Kanun’ un 5. Maddesi kapsamında işleyebilir.
Kanun’ un 5. ve 6. Maddeleri dışında 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.
Bu çerçevede, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmamaktadır.
Covid-19 ile mücadele kapsamında işlenen kişisel verilerin Kişisel Verilerin Korunması Kanunu kapsamında hukuka uygunluk hallerinden yukarıda bahsettik. Kanun kapsamında belli sınırlar dâhilin de kişisel verilerin işlenmesi hukuka uygun halde gözükse bile veri sorumlusu olan şirketler yükümlülüklerini unutmamalıdır. Şirketler Covid-19 ile mücadele kapsamın da da Aydınlatma Yükümlülüğünü tam anlamıyla yerine getirmelidir.
Bu anlamda, kişisel verileri işleyen veri sorumlusu şirketler, ilgili kişileri
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
Veri sorumlu olan şirketler, ilgili kişilere karşı kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanmalıdır.
Ayrıca unutulmamalıdır ki veri sorumlusu olan şirketler sosyal medya ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların;
-Kişisel verinin ilgilinin rızası dışında keyfi olarak paylaşılması sebebiyle KVKK ihlali,
-5237 sayılı Türk Ceza Kanununun 136 ncı maddesi kapsamında suç,
-Anayasa’nın 20. Maddesinde düzenlenen özel hayatın gizliliğine aykırılık teşkil etmektedir.
Comments