TOPLUM SAĞLIĞI, KİŞİNİN SAĞLIK VERİSİNİN İŞLENMESİ İÇİN ALINAN AÇIK RIZAYA BİR İSTİSNA MI?

Stj. Av. Elif BİLGEN

Giriş

Tüm dünya, uzun bir süredir benzeri görülmemiş bir sağlık sorunuyla uğraşmakta ve her geçen gün durum daha da ciddileşmektedir. Çin’in Wuhan şehrinde ortaya çıkıp diğer ülkelere hızlı bir şekilde yayılan Covid-19 adlı virüsün Dünya Sağlık Örgütü tarafından “pandemi (salgın hastalık)” olarak ilan edilmesi karşısında, tüm ülkelerde hem yetkili kamu kurum ve kuruluşları hem de özel sektör tarafından pek çok önlem uygulanmaya başlandı. Salgına karşı birtakım koruyucu önlemler alınırken, kişisel verilerin korunması hukuku kapsamında özel bir korumaya ihtiyaç duyan ve hassas nitelikli kişisel veri olarak kabul edilen sağlık verileri daha sık işlenmektedir. Küresel anlamda bir salgınla karşı karşıya olduğumuz bugünlerde, hem ülkemizde hem de Avrupa Birliği üye ülkelerinde bulunan veri koruma otoriteleri tarafından özel nitelikli kişisel verilerin hukuka uygun olarak işlenip işlenmediği, sağlık verilerinin işlenmesi bakımından uyulması gereken sınırların neler olduğu ve toplum sağlığının, özel nitelikli kişisel verilerin işlenmesi için ilgili kişiden alınması gereken açık rızaya bir istisna oluşturup oluşturmadığı tartışılmaktadır.

Sağlık Verilerinin İşlenmesi

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 6. maddesiyle özel nitelikli kişisel verilerin neler olduğu ve bu verilerin işlenmesi için gereken şartlar düzenlenmiştir:

“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

İlgili maddeden anlaşılacağı üzere, sağlık verileri gibi hassas nitelikli kişisel verilerin işlenmesi için ilgili kişiden açık rıza alınması kuraldır. Ancak sağlık verileri, aynı maddenin 3. fıkrasının son cümlesinde belirtilen amaçlar doğrultusunda “sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar” tarafından ilgili kişiden açık rıza alınmasına gerek olmadan da işlenebilmektedir. Bu kapsamda, Covid-19 salgını bakımından alınan koruyucu önlemler ve diğer tedbirlerin, kamu sağlığının korunması amacını taşıdıkları rahatlıkla söylenebilir. Ancak söz konusu tedbirler alınırken ilgili kişinin açık rızasına ihtiyaç duyulmadan sağlık verilerinin işlenebilmesi için bu verilerin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi gerekmektedir. Sır saklama yükümlülüğü altında bulunan kişilerin kimler olduğu veya yetkili kurum ve kuruluşların hangileri olduğu Kanun’da belirtilmemişse de doktrinde bu kişilerin sağlık verisi işleyen doktorlar, hemşireler, sağlık personelleri, iş yeri hekimleri ya da avukatlar gibi mesleği nedeniyle kanuni olarak sır saklama yükümlülüğü altında bulunan kişiler olduğu kabul edilmektedir. Sır saklama yükümlülüğü altında olan bu kişiler, maddede belirtilen kamu sağlığının korunması gibi amaçlar doğrultusunda ilgili kişiden açık rıza almadan da sağlık verisi işleyebilmektedirler.

Hassas Nitelikli Kişisel Verilerin İşlenmesi Bakımından Getirilen İstisnalar

Tüm ülkeleri etkileyen bir salgın karşısında toplum sağlığının korunması adına sadece sır saklama yükümlülüğü altında olan kişiler tarafından değil, insanların toplu olarak bulunduğu havaalanları, avmler, iş merkezleri, adliyeler gibi yerlerde görev yapan kişiler tarafından ya da iş yerinde işveren tarafından da seyahat bilgisi, konum bilgisi veya sağlık bilgisi gibi pek çok kişisel veri toplanmakta ve ateş, nabız bilgisi gibi hassas nitelikli kişisel veriler işlenmektedir. Bu durum karşısında, toplum sağlığı ve kamu yararı bağlamında ilgili kişilerden açık rıza alınmadan da sağlık verilerinin işlenmesi hukuken mümkün müdür?

Kişisel Verilerin Korunması Kanunu’nun istisnaları düzenleyen 28. maddesinin 1. fıkrasının ç bendinde düzenlendiği üzere, “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.” durumunda bu kanun hükümlerinin uygulanmayacağı kabul edilmiştir. Bu kapsamda, Covid-19 salgını karşısında hem kamuda hem de özel sektörde alınan koruyucu ve önleyici tedbirlerin, toplum sağlığının korunması bakımından kamu güvenliğini sağlamaya yönelik alındığı ve bu çerçevede kişisel verilerin işlendiği açıktır. Bu durumda, ilk bakışta maddede sayılan faaliyetler bakımından Kanun hükümlerinin uygulanmayacak olması anlaşılsa da bu hüküm sadece “kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları” tarafından yürütülen faaliyetler bakımından sınırlı bir alanda uygulama alanı bulacaktır. Kamu güvenliğini sağlamaya yönelik olarak kanunla görevlendirilmiş kamu kurum ve kuruluşlarının bu madde kapsamına girecek şekilde hassas nitelikli kişisel veri işlemesi durumunda ilgili kişilerden açık rıza alınmaması Kanun’a aykırılık teşkil etmeyecektir.

Öte yandan, Kişisel Verilerin Korunması Kanunu’ndan farklı olarak Avrupa Veri Koruma Tüzüğü’nde (GDPR) özel nitelikli kişisel verilerin işlenmesi bakımından uygulanabilecek istisnalar daha kapsamlı bir şekilde düzenlenmiştir. Avrupa Veri Koruma Tüzüğü’nün 9. maddesinin 2. fıkrasının i bendinde “Özellikle mesleki gizlilik olmak üzere veri sahibinin hakları ve özgürlüklerine ilişkin güvence sağlanmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi” şeklinde düzenlendiği üzere, halk sağlığı alanında kamu yararına yönelik olarak ve ilgili kişinin hayati çıkarlarının korunması gerektiğinde özel nitelikli kişisel verilerin işlenmesi bakımından istisna getirilebilmekte ve bu koşullar altında ilgili kişiden açık rıza alınmasına gerek olmadığı kabul edilmektedir. Ancak Kişisel Verilerin Korunması Kanunu kapsamında GDPR’da yer alan bu düzenlemeye benzer bir hüküm yer almamaktadır.

Bu konuda, 23.03.2020 tarihinde Emniyet Genel Müdürlüğü tarafından yayımlanan Özel Güvenlik Görevlilerinin Ateş Ölçer Kullanımı Hakkında yazıya¹ da değinmek ve Kanun’da düzenlenen istisnalar çerçevesinde söz konusu yazıyı değerlendirmek gerekmektedir. İlgili yazıda “…kamu güvenliğini tamamlayıcı mahiyette görev yapan özel güvenlik görevlilerinin “ziyaretçilerin ateşini ölçmesi”, kamu güvenliğinin sağlanması ve kamu sağlığının korunması amacıyla salgına karşı alınacak tedbirler ve önlemler kapsamında birtakım sorumlulukların yerine getirilebilmesi için “virüs salgınının yaşandığı bu süreçte” ve “bu süreç sona erinceye kadar” makul bir uygulama olarak değerlendirilmektedir.” denilerek özel güvenlik görevlilerine termal kamera ve gelişmiş ateş ölçerler ile uygulama yapmalarına izin verilmiştir. Bu kapsamda, emniyet genel müdürlüğü tarafından alınan bir kararla “kamu güvenliği ve kamu sağlığının korunması” amacıyla özel güvenlik görevlilerinin sağlık verisi işlemelerine imkan tanınmış bulunmaktadır. Ancak özel güvenlik görevlileri bakımından mevzuatta yer alan herhangi bir sır saklama yükümlülüğü bulunmadığı gibi Kanun hükümlerinin uygulanmaması yönünde yine kanunla getirilmiş herhangi bir istisna da mevzuatımızda yer almamaktadır. Bu durumda, Emniyet Genel Müdürlüğü tarafından özel güvenlik görevlilerinin hassas nitelikli kişisel veri işlemelerine imkan tanıyan bu kararının Kanun’a uygunluğu tartışmalı olacaktır.

Kişisel Verileri Koruma Kurumu ve AB Veri Koruma Otoritelerinin Görüşleri

Geçtiğimiz günlerde hem Kişisel Verileri Koruma Kurumu hem de AB Veri Koruma Otoriteleri tarafından covid-19 salgını kapsamında kamu kurumları ve özel sektör tarafından alınan koruyucu ve önleyici tedbirlerin kişisel verilerin korunması hukuku kapsamında değerlendirilmesine ilişkin yazılar yayımlanmış ve bu konuya açıklık getirilmeye çalışılmıştır.

İngiltere Bilgi Komisyonu Ofisi’nin kişisel verilerin korunması ve koronavirüse ilişkin yayımladığı duyuruda virüse karşı alınan önlemler, kişisel verilerin korunması hukuku bakımından değerlendirilmiş ve hem sağlık kuruluşları hem de işverenler aydınlatılmıştır. İlgili duyuruda, sağlık kuruluşlarının virüsle ilgili olarak kişilerle iletişime geçebilmesi için açık rızanın aranmaması gerektiği, işverenlerin virüs semptomları görünen çalışanlara ilişkin isim vermeden bilgilendirme yapabileceği ve çalışanlara belirti gösterip göstermediğine ilişkin sorular sorabileceği belirtilmiştir. Ancak kamu sağlığı için bile olsa gerekli olmayan verilerin toplanmaması, toplanan kişisel verilerin de amaçla sınırlı bir şekilde işlenmesi ve saklanması, ayrıca bu yolla kişisel veri işlenmesinde dahi yeterli güvenlik önlemlerine uyulması gerektiği ifade edilmiştir².

Nitekim, Kişisel Verileri Koruma Kurumu’nun 27.03.2020 tarihli kamuoyu duyurusunda İngiltere Bilgi Komisyonu Ofisi’nin duyurusunda yer alan benzer konulara değinilmiştir. İlgili duyuruda, öncelikli olanın, kamu sağlığının korunması ve sağlık hizmetlerinin sağlanması olduğu belirtilmiş, ancak bu istisnai zamanlarda da veri sorumluları ve veri işleyenlerin veri güvenliğine ilişkin olarak yükümlülüklere uymaları gerektiği, özellikle covid-19 salgını ile mücadele kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin amaçla bağlantılı ve sınırlı olması, bu kapsamda ölçülülük ilkesine uyulması ve gereğinden fazla kişisel veri işlenmesinden kaçınılması gerektiği ifade edilmiştir. Ayrıca, işverenler tarafından çalışanların sağlık verisinin işlenebilmesinin açık rızaya tabi olduğu, ancak iş yeri hekimleri bakımından istisnai olarak açık rıza alınmadan sağlık verilerinin işlenebileceği ve yine Kanun’un istisnaları düzenleyen 28. maddesi kapsamında kanunla yetkili kamu kurum ve kuruluşlarının kamu güvenliği kapsamında koruyucu önlemleri alabileceği ve bu doğrultuda sağlık verisi işlenebileceği belirtilmiştir³.

Öte yandan, 19.03.2020 tarihli Avrupa Veri Koruma Kurulu’nun bilgilendirme yazısında, Avrupa Veri Koruma Tüzüğü’nün kamu sağlığına ilişkin hükümlerine atıf yapılarak d

Çerez adı	Sağlayıcı	Amaç	Süre
PHP_SESSID...	Verbsis.com	Kullanıcının oturum açması için gerekli olan, tarayıcı kapanana kadar tutulan çerezdir.	Oturum Süresince

Çerez adı	Sağlayıcı	Amaç	Süre
_ga	Google Analytics	Website kullanıcılarının gezdiği sayfaları, davranış şeklini, daha fazla kullanılan özellikleri anlamak için kullandığımız Google Analytics çerezleri, websiteye hangi coğrafi konumdan ne zaman girildiği, websitenin hangi sayfasında ne kadar süre kalındığı gibi kullanıcının davranış bilgilerini, kullandığı cihaz, tarayıcı ve işletim sistemi gibi kullanılan teknoloji bilgilerini de barındırır.	Oturum Süresince

TOPLUM SAĞLIĞI, KİŞİNİN SAĞLIK VERİSİNİN İŞLENMESİ İÇİN ALINAN AÇIK RIZAYA BİR İSTİSNA MI?

TOPLUM SAĞLIĞI, KİŞİNİN SAĞLIK VERİSİNİN İŞLENMESİ İÇİN ALINAN AÇIK RIZAYA BİR İSTİSNA MI?

Çerezlerin Kullanılmasını Nasıl Engelleyebilirsiniz?

• Internet Explorer

• Microsoft Edge

• Google Chrome

• Mozilla Firefox

• Safari

Bizden Haberdar Olun

Faydalı Linkler