Dünyada ve ülkemizde etkisini artıran ve dünya sağlık örgütü tarafından pandemi olarak ilan edilen Covid-19 salgınıyla mücadele kapsamında Kişisel Verileri Koruma Kurumu –Kurum- bu süreçte yaşanacak ihlal ve aksamaların önüne geçmek adına belirli aralıklarla ilgilileri bilgilendirmek ve hatırlatma amaçlı birtakım duyurular yayınlamıştır. Aşağıda bu duyurulara ilişkin detaylı açıklamalar yer alacaktır.
A. Kurumun 18.03.2020 Tarihli Duyurusuna İlişkin Değerlendirmeler
Kurum, 18.03.2020 tarihli duyurusunda[1] sosyal teması en aza indirmek ve temel tedbirleri uygulamak adına fiziki iletişim yerine online iletişimi tercih etmiştir. Kural olarak Kuruma şikâyet başvuruları ve veri ihlal bildirimleri elden, posta veya kargo yoluyla iletilebildiği gibi www.kvkk.gov.tr adresinde hizmete sunulan “şikâyet modülü” ve “ihlal bildirimi modülü” aracılığıyla elektronik ortamda, Veri Sorumluları Sicil Bilgi Sistemine –VERBİS- kayıt başvuru formları da elden, posta veya kargo yoluyla iletilebildiği gibi Kayıtlı Elektronik Posta -KEP- adresi aracılığıyla da iletilebilmektedir. Ancak yayımlanan duyuruda salgınla mücadele kapsamında sosyal mesafeyi artırmak ve teması en aza indirmek adına şikâyet, veri ihlal bildirimi ve VERBİS’e kayıt başvuru formlarının elden iletilmemesi, bunun yerine
- Şikâyet başvurularının; posta, kargo veya https://sikayet.kvkk.gov.tr/ adresinde hizmete sunulan şikâyet modülü aracılığıyla,
- Veri ihlali bildirimlerinin e-posta -ihlalbildirimi@kvkk.gov.tr- veya https://ihlalbildirim.kvkk.gov.tr/ adresinde hizmete sunulan modül aracılığıyla,
- VERBİS’e kayıt başvuru formlarının ise posta, kargo veya KEP aracılığıyla iletilmesi gerektiği belirtilmiştir.
B. Kurumun 23.03.2020 Tarihli Duyurusuna İlişkin Değerlendirmeler
Kurumun 23.03.2020 tarihli duyurusunda[2] ise KVKK kapsamında yapılması gerekenler açısından veri sorumlularının uyması gereken sürelere ilişkin açıklama yapılmıştır. Kuruma intikal eden şikâyet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kuruma gerek ilgili kişilere karşı yükümlülükleri açısından KVKK ve ilgili alt düzenlemelerde çeşitli süreler belirlenmiş olup, veri sorumluları tarafından bu sürelere riayet edilmesi zorunludur. Ancak yayımlanan duyuruda ülkenin içinde bulunduğu durum göz önüne alındığında veri sorumluları tarafından farklı operasyonel uygulamalara -uzaktan çalışma, dönüşümlü çalışma vb.- gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kurul tarafından içerisinde bulunduğumuz olağanüstü koşulların gözetileceği hususu belirtilmiştir.
C. Kurumun 27.03.2020 Tarihli Duyurusuna İlişkin Değerlendirmeler
Kurum 27.03.2020 tarihinde Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler Hakkında Kamuoyu Duyurusu yayınlamış ve salgın nedeniyle işlenmesi zorunlu veriler hakkında birtakım tespitlere yer vermiştir[3].
Salgınla mücadele kapsamında kişilerin özel nitelikli verilerinden olan sağlıkla ilgili verilerinin yanında pek çok kişisel verisi T.C. kimlik numaraları, adları, adresleri, işleri, seyahat bilgileri gibi veriler de zorunlu olarak işlenmektedir. Zira bu süreçte sağlık hizmetlerinin sağlanarak kamu sağlığının korunması temel ve öncelikli amaçtır. Ancak bu süreçte zorunlu olarak işlenen verilerin güvenliğinin de sağlanması zorunludur. Duyuruda da açıkça belirtildiği gibi “Bu minvalde özellikle COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bu konuda alınan kararlar, Sağlık Bakanlığı başta olmak üzere halk sağlığı kuruluşlarının veya diğer ilgili kurum ve kuruluşların rehberliği ve/veya talimatları çerçevesinde olmalıdır”. KVKK hükümleriyle de belirtildiği üzere işlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
KVKK’nın 5. maddesinde kişisel verilerin işlenme şartları, 6. maddesinde ise sağlık verilerinin dâhil olduğu özel nitelikli kişisel verilerin işlenme şartları belirlenmiştir. Kaldı ki Covid-19 salgını göz önüne alındığında kamu sağlığı, güvenliği ve düzeni ciddi şekilde etkilendiğinden KVKK m.28/1/ç’de belirtildiği üzere Sağlık Bakanlığı ve madde kapsamına giren diğer kamu kurum ve kuruluşları tarafından önleyici ve koruyucu faaliyetler kapsamında verilerin işlenmesinde bir engel bulunmamaktadır. Dolayısıyla Kurum salgın nedeniyle özellikle Sağlık Bakanlığı tarafından kullanılan uygulamalarda kişilerinin konumları, seyahat geçmişleri gibi bilgilerin işlenmesinin KVKK hükümlerine aykırı olmadığını ortaya koymuştur.
Yayımlanan duyuruda işveren tarafından çalışanlarının sağlık verilerinin işlenebilmesi için çalışanın rızasını almanın uygun olacağı veya açık rıza dışındaki şartlar için sağlık verilerinin ancak işyeri hekimleri tarafından işlenebileceğine dikkat çekilmiştir. Öte yandan halihazırda hemen hemen tüm kurumlara girerken bir görevli tarafından ateş ölçümü yapılmakta ve sonucuna göre hareket edilmektedir. Tüm iş yerleri ve kurumlarda bu uygulamanın iş yeri hekimi tarafından yapılması imkansızdır. Bu noktada yayımlanan duyuruda mevcut zorunlu uygulamaya ilişkin bir açıklama getirilmediği görülmektedir.
İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmelik m.9/2/c/8’ e göre “Bulaşıcı hastalıkların kontrolü için yayılmayı önleme ve bağışıklama çalışmalarının yanı sıra gerekli hijyen eğitimlerini vermek, gerekli muayene ve tetkiklerinin yapılmasını sağlamak” iş yeri hekimlerinin görevleri arasında yer almaktadır. İş yeri hekimleri sır saklama yükümlülüğü çerçevesinde hasta verilerini paylaşamaz ancak söz konusu salgın sürecinde hasta kişilerin çevresindekilerle iletişimi ve gerekli izolasyonun sağlanması adına zorunluysa ve hasta bilgisi paylaşılmadan sonuca ulaşılamıyorsa bu sorun ölçülülük ilkesi kapsamında değerlendirilerek aşılabilir.
Bu süreçte verilerin işlenmesinde üç husus göz önünde bulundurulmalıdır. Bunlar; şeffaflık, gizlilik ve veri minimizasyonudur. Şeffaflığın sağlanabilmesi için veri sorumluları işlenecek verilerin ne amaçla ve ne kadar süre saklanacağı hususunda kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlamalıdırlar. Bu kapsamda salgın nedeniyle termal kamera gibi farklı uygulamalarla veri işlenmesi halinde ilgili kişilerin ulaşabileceği/göreceği şekilde buna ilişkin aydınlatma metinlerine yer verilmesi gerekir.
Veri sorumlusu ve veri işleyen verilerin güvenliği için her türlü önlemi almalı, ilgili kişinin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafla paylaşılmamalıdır. Kaldı ki ifşa amaçlı veri paylaşımının aynı zamanda 5237 sayılı Türk Ceza Kanunu’nun -TCK- 136. maddesi kapsamında suç teşkil edebileceği unutulmamalıdır. Son olarak salgının yayılmasını önlemek adına işlenen verilerin amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmesi gerektiği de vurgulanmalıdır.
Duyuruda Kurum tarafından kendilerine sıklıkla yöneltilen bazı hususlar cevaplanmıştır. Şöyle ki;
- Küresel salgın boyutundaki Covid-19 ile mücadele kapsamında kamu sağlığı ve düzenini sağlamak amacıyla ilgili kamu kurum ve kuruluşları kişisel verilerin toplanması ve paylaşılmasına gerek duyabilir, bu noktada ilgili kuruluşların kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde KVKK hükümleri açısından bir engel bulunmamaktadır.
- Bu süreçte evden çalışmaya geçen pek çok personelin veri güvenliği adına sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir. Evden çalışacak olan personelin alması gereken önlemler, veri sorumlusunun kanundan kaynaklı yükümlülüklerini ortadan kaldırmaz.
- İşverenler iş yerinde ortaya çıkan vakalar hakkında personelini asgari düzeyde bilgilendirmelidir. Zorunlu olmadıkça hasta kişinin kimliği ve bu tespiti sağlayacak detaylar verilmemelidir. Bu minvalde örneğin; 09.04.2020 tarihli Ankara Adli Yargı İlk Derece Komisyonu Başkanlığınca yayınlanan duyuruda karar esas bürosunda çalışan bir memurun hastalandığı belirtilmiş, çalıştığı birim dışında bilgilendirme yapılmamıştır. Enfekte olabileceği muhtemel olan tüm çalışanların idari izne ayrılması sağlanmış ve bu birimle belirlenen tarihler arasında iletişimi olan kişiler uyarılmış gerekli önlemleri almaları hususu ikaz edilmiştir. Burada da görüldüğü üzere amaca yönelik ve sınırlı ölçüde veri paylaşımı yapılmasına dikkat edilmeli, zorunlu olmadığı sürece hastanın kimlik bilgileri paylaşılmamalıdır. Kurum tarafından, gerekli tedbirlerin alınması için ilgili personelin kimliğinin belirtilmesi zorunlu ise bu halde önce konuya ilişkin personele bilgi verilmesi gerektiği ifade edilmiştir.
- Salgının yayılmasını önlemek adına virüsten etkilenen ülkelerde yakın zamanda bulunmuş olmaları ve/veya hastalığa dair belirtiler göstermeleri gerekçesiyle kişilerden uygun önlemleri almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.
- KVKK’nın 8. maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.
- KVKK hükümlerinde belirlenen sürelerin uzatılması söz konusu değilse de salgın sebebiyle veri sorumluların çalışma düzeninin eskisi gibi olmadığı da göz önüne alınarak bu sürelerin değerlendirilmesinde Kurul tarafından içerisinde bulunulan olağanüstü koşullar gözetilecektir.
D. Kurumun 07.04.2020 Tarihli Duyurusuna İlişkin Değerlendirmeler
Kurum, 07.04.2020 tarihinde Uzaktan Eğitim Platformları Hakkında Kamuoyu Duyurusu yayınlamıştır[4]. Söz konusu duyuru, Covid-19 salgını sebebiyle iptal edilen/ertelenen ders, eğitim, seminer ve toplantıların online programlar yani uzaktan eğitim platformları aracılığıyla gerçekleşmesi sebebiyle “öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlenmesi” sonucunda yapılan bu faaliyetlerin kanuna uygun olarak yapılması hususunda hatırlatma amacı taşımaktadır.
Uzaktan eğitim platformları aracılığıyla elde edilen verilerin, KVKK’nın kişisel verilerin işlenme şartları başlıklı 5.maddesi ile özel nitelikli kişisel verilerin işlenme şartları başlıklı 6.maddesinde belirtilen şartlar doğrultusunda işlenmesi gerekmektedir. Ayrıca duyuruda “uzaktan eğitim yazılımlarının birçoğunun bulut hizmet sağlayıcılar aracılığıyla hizmet verdiği ve bu yazılımlara ait veri merkezlerinin çoğunlukla yurt dışında olduğu gözlemlenmektedir. Veri merkezleri yurtdışında olan platformların kullanılması durumunda yurtdışına veri aktarımı söz konusu olduğu” belirtilmektedir. Bu bağlamda KVKK’nın kişisel verilerin yurt dışına aktarılması başlıklı 9.maddesinde belirtilen şartların da gözetilmesi gerektiğine vurgu yapılmıştır.
Ses ve görüntü kimlik doğrulama için özel bir şekilde işlenmemesi halinde biyometrik veri olarak kabul edilmemektedir. Öte yandan Kurum bulut hizmet sağlayıcıları üzerinden yurt dışına veri aktarımına ilişkin ilgili platformlarla temasa geçip taahhütlerin alınmasını sağlamak yerine bu hususu kişilere bırakmıştır. Yayımlanan duyuru bu yönleriyle eleştirilebilir olsa da sonuçta gerekli taahhütlerinin alınmamasının KVKK ihlali olacağı açıkça ifade edilmiştir.
Bunlara ek olarak “uzaktan eğitim hizmeti amacıyla kullanılan bu platformların gerekli veri güvenlik tedbirlerini alıp almadıkları ile ilgili Kişisel Verileri Koruma Kurulu tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi (İdari ve Teknik Tedbirler) ile Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kararının[5] da dikkate alınması gerektiği” belirtilmiştir. Anılan kararda özel nitelikli kişisel verilerin güvenliğine ilişkin sistemli bir prosedürün belirlenmesi, verilerin işlenmesinde çalışanlara özel eğitim verilmesi, gizlilik sözleşmelerinin yapılması, verilere erişim yetkilerinin kapsam ve sürelerinin belirlenmesi, düzenli yetki kontrollerinin yapılması ve görev değişikliği ve bitimi durumlarında yetkilerin derhal kaldırılması, verilerin işlendiği ve saklandığı ortam elektronik ise kriptografik yöntemler vasıtasıyla muhafaza edilmesi, tüm işlemlerin loglanması, düzenli güvenlik testlerinin yapılması, yazılım aracılığıyla erişimde yetkilendirmelerin yapılması, uzaktan erişimlerde en az iki kademeli kimlik doğrulamalarının yapılması; verilerin işlendiği ve saklandığı ortam fiziksel ise ortamın güvenli olması ve yetkisiz giriş çıkış olmamasına özen gösterilmesi, aktarımların e-posta, taşınabilir bellek, farklı fiziksel ortamlar ya da kağıt ortamı yoluyla yapılmasında gerekli şifreleme ve gizlilik esaslarına uyulmasının önemi belirtilmiş ve bu önlemlerin yanı sıra Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin de dikkate alınması gerektiği açıklanmıştır. Kararda açıkça görüleceği üzere özel nitelikli kişisel verilerin elde edilmesi, muhafaza edilmesi, aktarılması şeklindeki her aşamada çeşitli depolama, şifreleme ve kilitleme sistemleriyle verilerin korunması amaçlanmıştır.
E. Kurulun 09.04.2020 Tarihli Duyurusuna İlişkin Değerlendirmeler
Kurul, 09.04.2020 tarihinde Covıd-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler hakkında kamuoyu duyurusu yayınlamıştır[6]. Söz konusu duyuruda Covid-19 salgınıyla mücadele amacıyla sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkanlardan yararlanıldığı ve dolayısıyla mobil uygulamalar vb. yöntemlerle; bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verilerinin işlenmesinin gündemde olması konusuna değinilmiştir. Alınan bu tedbirler toplum sağlığı, kamu düzeni ve kamu güvenliğinin sağlanması adına atılmış adımlar olup bu yöntemlerin yasal olmadığından söz edilemeyecektir. Zira KVKK m.28/1/ç uyarınca “kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Dolayısıyla söz konusu salgınla mücadele sürecinin yürütülmesi kapsamında konum verilerin işlenmesi, kalabalık alanların tespiti, hastalık teşhisi konmuş kişilerin temas ettiği alanların izolasyonu şeklinde tedbirlerin alınması söz konusu madde hükmü kapsamına girmektedir. Bu sebeple bu verilerin kamu kurum ve kuruluşları tarafından işlenmesinde engel olmadığı gibi bir zorunluluk mevcuttur. Ancak bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması ardından veri güvenliğinin sürdürülebilir şekilde sağlanması amacıyla verileri silinmeli ya da yok edilmelidir.
Av. Doç. Dr. Süleyman YILMAZ
Av. Güner DOĞAN
[1]https://www.kvkk.gov.tr/Icerik/6705/Kamuoyu-Duyurusu -Erişim tarih ve saati:08.04.2020, 14:42-
[2]https://www.kvkk.gov.tr/Icerik/6706/KAMUOYU-DUYURUSU-COVID-19- -Erişim tarih ve saati:08.04.2020, 11:38-
[3]https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler- -Erişim tarihi:06.04.2020-
[4]https://kvkk.gov.tr/Icerik/6723/Uzaktan-Egitim-Platformlari-Hakkinda-Kamuoyu-Duyurusu -Erişim tarihi:08.04.2020-
[5]https://www.kvkk.gov.tr/Icerik/4110/2018-10 -Erişim tarihi:08.04.2020-
[6]https://www.kvkk.gov.tr/Icerik/6726/COVID-19-ILE-MUCADELEDE-KONUM-VERISININ-ISLENMESI-VE-KISILERIN-HAREKETLILIKLERININ-IZLENMESI-HAKKINDA-BILINMESI-GEREKENLER-2- -Erişim tarihi: 09.04.2020-
