Covid 19 Pandemi Sürecinde Kişisel Sağlık Verilerinin Korunması Bilgi Notu

 

COVİD-19 Pandemi ile mücadeleye ilişkin olarak pek çok olağanüstü uygulamalara geçilmiştir, bu durum kişisel sağlık verileri yönünden önem arz etmektedir. Esasen Kişisel Verilerin Korunması mevzuatı yürürlüktedir ve uyulması gereklidir.

Bununla birlikte; Kişisel Verileri Koruma Kurulu (KVKK) tarafından 23 Mart 2020 tarihinde internet sayfasında  “COVID- 19 KAPSAMINDA KAMUOYU DUYURUSU” ndan  yola çıkarak   bu bilgi notu hazırlanmıştır.

KVKK’nın 23 Mart 2020 Tarihli Duyurusunu incelediğimizde;

Pandemi sürecinde çoğu durumda kişisel sağlık verileri de dahil olmak üzere pek çok kişisel verinin işlenmesi kaçınılmazdır. Bu süreçte öncelik sağlık hizmetlerinin sağlanması ve kamu sağlığının korunmasıdır.

 Duyuruda pandemide özellikle sağlık verilerinin işlenmesinde aşağıda belirtilen iki yöntemden birinin tercih edilmesi ifade edilmektedir;

+Birinci yöntem: Çalışan’ın kişisel sağlık verilerinin işlenmesi bakımından önceden ilgili kişiden rızası alınacaktır.

+İkinci yöntem: Salgının yayılma hızı artarsa çalışan kendi rızası (inisiyatifi) ile de hastalık bildirimi yapabilecektir.

Yukarıda belirtilen iki yöntem iş yeri hekimleri için de geçerlidir. İş yeri hekimi COVID-19 vakasının teşhisi için sorulması gereken ilgili kişinin (hastanın) sağlık verisi kategorisinde yer almamasına rağmen “ Kişilerin son olarak seyahat ettikleri ülke bilgisi” ni soracak aldığı cevaba göre Kanunun 5 inci maddesi çerçevesinde değerlendirerek işleyecek veya işlemeyecektir.

Duyuruda yer alan iki yöntemin olağan dönem için düşünülebileceği, olağanüstü dönemde  çoğu zaman ihtiyaca cevap veremeyeceği değerlendirilmektedir.

Salgın hastalıklarla mücadele Türkiye Cumhuriyeti’nin kuruluşundan itibaren önemli halk sağlığı meselelerinden biri olmuş ve başarılı sonuçlar alınarak hastalıklar önlenmiştir. Sağlık alanında kazanılan tecrübelerle hazırlanan mevzuat   Umumi Hıfzıssıhha Kanunu bugün dahi geçerliliğini korumaktadır. Bu Kanuna göre; sağlık çalışanlarının Bakanlığa bildirmekle yükümlü olduğu hasta ve hastalıklar  mevcuttur. Umumi Hıfzıssıhha Kanunu md. 57’ye göre; kolera, veba, humma, çiçek, difteri, uyku hastalığı, dizanteri, loğusa humması, ruam, kızıl, Ģarbon, felci tıfli, kızamık, cüzam, kuduz hastalıklarının bildirimi zorunlu kılınmıştır.

Kanun’un 61. maddesinde; hastane baştabipleri, eczacılar, diş tabipleri, ebeler, hasta bakıcıların bildirim yapmakla yükümlü oldukları belirtilmiştir.

Diğer taraftan 6698 s. Kişisel Verilerin Korunması Kanunu hükümleri de  pandemide sağlık meslek mensubunun bulaş hastanın sağlık verisini aktarmasını desteklemektedir. Kanun da kişisel verilerin aktarılmasında diğer kanunlarda yer alan hükümlerin saklı tutulması ve kanun hükümlerinin uygulanmayacağı istisnai haller için de kamu düzenini sağlamak için kamu kurum ve kuruluşları tarafından yürütülen faaliyetlerin zikredilmesi buna örnektir.

-Duyuruda, pandemi  kamu güvenliği ve kamu düzenini tehdit eden durum olarak değerlendirilmektedir.

Bu cümleden olarak, Kanunun madde 28 (İstisnalar)’de Kanun hükümlerinin uygulanmayacağı hallerin sıralandığı bentlerden (1) (ç)’de yer alan ifadesi çerçevesinde Sağlık Bakanlığı ve kanuni görev ve yetkisi olan kamu kurum ve kuruluşları kişisel sağlık verileri de dahil bütün kişisel verileri hiçbir kısıtlamaya tabi olmaksızın işleyebilecektir.

-Veri sorumlusu, kişisel verilerin toplanma amacı, saklanma süresi gibi uygulanacak önlemler konusunda ilgili kişiye kısa, kolay erişebilir, anlaşılır, açık ve sade bir dille açıklama yaparak aydınlatma yükümlülüğünü yerine getirmelidir.

-Veri sorumlusu ve veri işleyenler, verilerin güvenliğine ilişkin gerekli idari ve teknik tedbirleri alacaklar, ancak Kanun madde 8’de belirtilen şartlar dahilinde üçüncü tarafa aktarılabilecektir.

Sosyal medya hesapları vb. mecralarda kişisel sağlık verilerinin hukuka aykırı olarak paylaşılması hali 5237 s. TCK madde 136 (Verileri hukuka aykırı olarak verme veya ele geçirme) kapsamındaki suçu teşkil etmektedir.

-Pandemi sürecinde kişisel sağlık verilerinin işlenmesinde Kanunun madde 4/(2)(ç)’de ifadesini bulan “veri minimizasyonu” na uyulmalıdır. Yani işleme amacıyla bağlantılı, sınırlı ve ölçülü olmalıdır.

-Kanunun madde 28/(1)(ç)’de belirtilen kamu düzenini sağlamak istisnası çerçevesinde pandemi süresince ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kanun açısından bir engel bulunmamaktadır.

-Bir iş yerinde COVID-19 testi pozitif çıkan çalışan/çalışanlar olduğu takdirde işveren 6331 s. İş Sağlığı ve Güvenliği Kanunu ile Türk Borçlar Kanunu çerçevesinde çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları kapsamında koruyucu tedbirlerin alınması açısından diğer çalışanlara bilgi vermelidir. Burada;

+ COVID-19 enfekte çalışan/çalışanlar bulunduğu,

+ COVID-19 testi pozitif çıkan çalışan/çalışanların evden çalıştığı ya da izinde bulunduğu belirtilmeli,

+ Zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır denilmiş; ancak bu zorunlu hallerin neler olabileceğinin açıklanmaması uygulamada sıkıntılara yol açabilecektir.

Duyuruda örnek olarak verilen bulaş işyerinde personele yapılacak açıklamayı kapsayan metin de eksik olup, bazı sıkıntılara yol açabilecektir. Çünkü; bulaş hastanın çalıştığı işyerinde işverenin alacağı ilk tedbir karantinadır, aksine hareket TCK 195.madde çerçevesinde suç teşkil etmektedir. Bu nedenle, metinde zorunlu hal sınırları ve alınması asgari tedbirlere yer verilmesi gerekmektedir.

Ayrıca duyuruda örnek olarak verilen ; İşverenin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri çerçevesinde  halk sağlığı yetkililerinin talimatlarını da dikkate alarak binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. hastalığa dair belirtileri hakkında bilgi talebinde bulunmasında Kanun açısından sakınca bulunmamaktadır.

-İşveren kamu sağlığı amacıyla Kanunun 8. maddesi (Kişisel verilerin aktarılması) ve bulaşıcı hastalıklara ilişkin diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel verileri ilgili makamlarla paylaşabilecektir.

-Kuruma intikal eden şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak Kanunda ve Kurum tarafından yayımlanan ilgili alt düzenlemelerde veri sorumlularının  uymaları gereken süreler belirtilmekle birlikte  pandemi sürecinde (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak veri sorumlularının süre aşımı halinde KVKK tarafından her bir olayın özelinde inceleme yapılarak içerisinde bulunulan  olağanüstü koşulların gözetileceği hususu  kamuoyuna duyurulmaktadır.

Başta vurguladığımız şekilde pandemi güçlükler ve zorluklar içeren bir durumdur, yetkililerce önlenmesine ve kontrol altına alınmasına ilişkin tedbirlerde ve uygulamalarda kişisel sağlık verileri yönü önem arz etmektedir. Esasen Kişisel Verilerin Korunması mevzuatı yürürlüktedir ve uyulması gereklidir.

 

ANKARA BAROSU SAĞLIK HUKUKU KURULU