Linkedin

Twitter

KORONAVİRÜS (COVİD-19) KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI

Bilindiği üzere COVİD-19 virüsü, her geçen gün daha hızlı yayılması neticesinde Dünya Sağlık Örgütü tarafından “Pandemi” olarak nitelendirildi. COVİD-19 virüsü, tüm dünyayı etkisi altına almasıyla en başta insan sağlığını tehdit etmektedir. Ölümcül özelliği bulunan bu virüsün yayılarak daha çok insanın sağlığını olumsuz yönde etkilememesi adına tüm dünyada olduğu gibi ülkemizde de birtakım tedbirler alınmaya başlandı. Alınan önlemlerden bazıları, kişisel verilerin toplanmasını ve işlenmesini gerektirdiğinden ayrıca salgının küresel boyutta olması nedeniyle elde edilen verilerin bir kısmının da kamuoyu ile paylaşılması itibariyle durumun kişisel verilerin korunması yönünden ayrıca ele alınması zaruretini doğurmaktadır.

Kişisel verilerin korunması, kişinin insan onurunun korunarak kişiliğini serbestçe geliştirebilmesi açısından önem arz eder. Bu noktada bireyin hak ve özgürlüklerinin korunması amaçlanmaktadır.

İşbu çalışmamız ile öncelikle 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun (KVKK) kapsamında, genel ve özel nitelikli kişisel verilerin korunması ve işlenmesi konularına değinilerek, uluslararası perspektif açısından da COVİD-19 ile Kişisel Verilerin Korunması konusuna nasıl yaklaşıldığına yönelik hukuki değerlendirmeler kaleme alınmıştır.

  1. 6698 SAYILI KVKK KAPSAMINDA KİŞİSEL VERİ – ÖZEL NİTELİKLİ KİŞİSEL VERİ

6698 Sayılı Kişisel Verilerin Korunması Hakkındaki Kanunun 3. maddesi uyarınca kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade eder. Bunları somutlaştırmak gerekirse, kişinin adı, soyadı, doğum tarihi, T.C. Kimlik numarası, fotoğrafı, araç plakası, görüntü ve ses kayıtları, parmak izi, telefon numarası, el-avuç izi, sağlık bilgileri, dernek/vakıf üyelikleri ve benzeri bilgiler KVKK kapsamında kişisel veri sayılmaktadır. Görüldüğü üzere kişinin sadece kimliğini ortaya koyan bilgiler değil bir kişinin doğrudan veya dolaylı olarak kimliğini belirlenebilir kılan bütün veriler kişisel veri olarak kabul edilmektedir.[1] [2]

Bazı kişisel veriler, başkaları tarafından öğrenilmesi halinde, ilgili kişi hakkında ayrımcılık yapılmasına ve bu nedenle ilgili kişinin toplum içerisinde birtakım mağduriyetler yaşamasına sebep olabilecek niteliktedir. Bu sebeple, diğer genel nitelikli kişisel verilere göre daha hassas olup çok daha sıkı bir şekilde korunması zarureti hasıl olmaktadır. Anılan sebeplerden ötürü, insanlar arasında ayrımcılığa yol açabilecek nitelikteki hassas kişisel veriler kanun tarafından “özel nitelikli kişisel veriler” olarak adlandırılarak ayrı bir grupta değerlendirilmiştir. 6698 sayılı KVKK’nın 6. Maddesinde özel nitelikli kişisel verilerin ne olduğu ve işlenme şartları düzenlenmiştir.[3] Nitekim, Avrupa Birliği ülkelerindeki kişisel verilerin korunmasına ilişkin kanunlarda da aynı doğrultuda düzenlemeler yapılmıştır.[4]

Görüldüğü üzere, kanunda özel nitelikli kişisel veriler sınırlı sayıda belirtilmiş olup yorum yoluyla da genişletilmesi mümkün değildir. Buna göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Madde metninde de açıkça belirtildiği üzere sağlık verisi hassas niteliği itibariyle özel nitelikli kişisel veri olarak kabul edilmiştir. Ancak kanun özel nitelikli kişisel veriler arasında da farklı hassasiyet dereceleri bulunmasından dolayı ayrıma gitmiştir. Bu ayrım özel nitelikli kişisel verilerin işlenmesi noktasında gündeme gelmektedir. Buna göre özel nitelikli kişisel veriler, ancak ilgili kişinin açık rızasının varlığı halinde veya kanunda sayılan sınırlı hallerde işlenebilirken, sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi konusu ayrıca ele alınarak farklı şekilde düzenlenmiştir.

Kanuna göre, kural olarak özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. İstisnai olarak işleme halinde ise Kanun ikili bir ayrıma gitmiştir. Şöyle ki, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi açısından açık rıza dışında ‘’Kanunlarda öngörülmesi hali’’ istisna olarak belirlenmiştir. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin işlenmesi açısından ise açık rızanın dışında ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi hali istisna olarak kabul edilmiştir.

Bu genel bilgiler neticesinde çalışmamızın konusu gereği küresel salgın olan COVİD-19 bakımından bireylere ait kişisel sağlık verilerini özel olarak belirtmemiz gerekecektir. Buna göre kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri ifade etmektedir. Dolayısıyla kişisel sağlık verisi kavramı, kişisel veri kavramı ile iç içe olduğundan ayrı ve bağımsız olarak düşünülemez, bir bütün olarak ele alınmalıdır.

  1. KİŞİSEL SAĞLIK VERİSİ

Kişisel sağlık verileri, diğer kişisel verilere kıyasla daha üstün korumayı gerektiren özel nitelikli kişisel verilerdir. Kişiler tıbben hasta olarak değerlendirilse de değerlendirilmese de kişinin sağlığına dair her türlü veri kişisel sağlık verisi kapsamında değerlendirilmektedir. Bu bağlamda kişisel verilerin korunması konusunda, 6698 sayılı Kişisel Verilerin Korunması Kanunu temel mevzuat olup işbu kanun kapsamı ikincil mevzuatlarla da desteklenmektedir. Konumuz ile yakından ilgili olan ikincil mevzuat ise “Kişisel Sağlık Verileri Hakkında Yönetmelik’’tir. İşbu Yönetmelik uyarınca kişisel sağlık verisi, ‘‘Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri’’ ifade etmektedir[5].

Hastalığın türü, hastanın öyküsü, teşhis, tedavi, psikolojik belirtiler, bedeni eksiklikler ve özellikler, hasta dosyası, röntgen filmleri, muayene sonuçları kişisel sağlık verisi olarak nitelendirilebilecekken kişisel, ailevi, mesleki, ekonomik duruma ilişkin bütün veriler kişisel veri olarak üst başlıkta değerlendirilmekte, hastanın resminin de kişisel veri kapsamında olduğu doktrinde kabul edilmektedir.[6]

Kişisel Sağlık Verilerinin Korunması Hukukunun Kaynakları[7] ulusal ve uluslararası kaynaklar olarak ayrılmaktadır. Ulusal kaynaklar; T.C. Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Türk Medeni Kanunu, Türk Borçlar Kanunu, Türk Ceza Kanunu, Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun olup, ayrıca tüzük ve yönetmelikler de bulunmaktadır (Tıbbi Deontoloji Nizamnamesi, Kişisel Sağlık Verileri Hakkındaki Yönetmelik, Hasta Hakları Yönetmeliği, Kişisel Verilerin Korunması Kanunu Kapsamındaki Yönetmelikler ve Diğer Düzenleyici İşlemler). Uluslararası kaynaklar ise; Avrupa İnsan Hakları Sözleşmesi, İnsan Hakları ve Biyotıp Sözleşmesi, Amsterdam Bildirgesi, Hasta Haklarına İlişkin Avrupa Statüsü, 108 sayılı Avrupa Konseyi Sözleşmesi, Genel Veri Koruma Tüzüğüdür.

6698 sayılı Kanun’un tanımlar başlıklı 3. maddesinde genel olarak kişisel verilerin işlenmesi düzenlenmiştir.[8]  Kişisel verilerin işlenmesinden anlaşılması gerekentamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme faaliyetidirDolayısıyla Kişisel veriler belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir. [9]

Kişisel verilerin işlenmesi sırasında uyulması gereken temel ilkeler 6698 Sayılı KVKK’nın 4. Maddesinde[10] belirtilmektedir.

Madde metninden de açıkça anlaşıldığı üzere veri sorumlusu tarafından ilgili kişinin kişisel verisi işlenirken işlenen verinin hukuka ve dürüstlük kurallarına uygun  olması, doğru ve gerektiğinde güncel olması, belirli açık ve meşru amaçlar için işleniyor olması, işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olması ve eğer kanunlarda muhafaza edilmesine yönelik bir süre öngörülmüş ise bu süre boyunca,  aksi halde işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir[11].

Yine aynı kanunun 5. Maddesinde ise Kişisel Verilerin İşlenme Şartları düzenlenmiştir. Özel nitelikli kişisel verilere ilişkin düzenlemeler gibi kişisel verilerin işlenme şartları da kanunda numerus clausus olarak belirlendiğinden bu şartların yorum yoluyla genişletilmesi mümkün değildir. Buna göre, aşağıdaki hallerden en az birinin bulunması halinde kişisel verilerin işlenmesi mümkün olabilecektir.

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kural olarak kişisel veriler, ilgili kişinin açık rızasının varlığı halinde işlenebilmektedir. İstisnai olarak ise kanunda düzenlenen ilgilinin açık rızanın aranmadığı hallerden birinin varlığı halinde, ilgili kişiden açık rıza alınmasına gerek olmaksızın kişisel veriler işlenebilmektedir. Bu noktada belirtmek isteriz ki, kişisel veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır. Nitekim, ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına gelecektir. [12]  Bahse konu aykırılığın önüne geçilebilmesi için, veri sorumluları tarafından, kişisel veri işleme faaliyeti gerçekleştirilirken ilk yapılması gereken söz konusu veri işleme faaliyetinin hangi kapsamda olduğunun belirlenmesidir. Başka bir deyişle, söz konusu veri işleme faaliyetinin açık rızaya dayalı mı yoksa açık rıza aranmaksızın işlenebilen haller kapsamında mı olduğunun belirlenmesi gerekmektedir.

Kişisel sağlık verilerinin işlenme ilkeleri ve şartları da genel nitelikli kişisel verilere göre daha farklıdır. Yani Kanun özel nitelikli kişisel verilere özel bir önem atfettiğinden bu verilere ilişkin farklı düzenlemeler getirmektedir.[13] Kaldı ki bu konuda salt kanun ile yetinilmeyip ikincil mevzuatlarla[14] da kanun desteklenmektedir.

Yukarıda özel nitelikli kişisel verilere ilişkin açıklamalarımızda da değindiğimiz üzere, özel nitelikli kişisel verilerin işlenebilmesi, ilgili kişinin açık rızasının varlığı ile Kanunda sayılan sınırlı hallerde mümkündür. İlgili madde metninden (KVKK md.6) de anlaşılacağı üzere, kanun koyucu özel nitelikli kişisel veriler arasında bir ayrım yaparak sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel verilerin, ilgilinin açık rızası alınmaksızın işlenebileceği halleri ayrı ayrı düzenlemiştir. Ayrıca tekrar belirtmek isteriz ki, kanunda belirtilen özel nitelikli kişisel veriler numerus clausus şeklinde düzenlenmiştir. Yani özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi hiçbir şekilde mümkün değildir.

Bu noktada önemle vurgulamak isteriz ki, Anayasa ile güvence altına alınmış olan bütün temel hak ve özgürlüklerde olduğu gibi özel nitelikli kişisel verilere ilişkin koruma da mutlak değildir. Yani söz konusu korumanın mutlak olmamasından kasıt özel nitelikli kişisel verilerin de diğer temel hak ve özgürlüklerde olduğu gibi Anayasanın 13. Maddesindeki[15] usul ve esaslara uygun bir şekilde kanun ile sınırlandırılabilmesi mümkündür. Bu sebeple özel nitelikli kişisel verilerin işlenme usul ve esasları kanun ile düzenlenmiştir. Nitekim yaşam hakkı, ifade özgürlüğü, haberleşme özgürlüğü gibi birçok temel hak ve özgürlüğün kullanılması, özel nitelikli kişisel verilerin işlenmesini zorunlu kılmaktadır. Bu bakımdan, özel nitelikli kişisel verilerin işlenmesinin mutlak bir yasak olarak kabul edilmesi mümkün değildir.[16]

Kanun, toplum içerisinde bireyin dışlanması ve ayrımcılığa maruz kalması noktasındaki hassasiyet gereği sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli verileri birbirinden ayrı tutmuştur.  Buna göre aşağıdaki hallerde ilgili kişinin açık rızası olmaksızın özel nitelikli kişisel verilerin işlenmesi mümkün olabilecektir.

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

İşbu veri işleme şartlarına ek olarak Kanun md. 6/son fıkrasında, ayrıca özel nitelikli kişisel verilerin işlenmesi bakımından, Kurul tarafından belirlenen yeterli önlemlerin alınması şartını da getirmiştir.

Tekrara düşmemek adına Kanun uyarınca kişisel verilerin işlenmesi sırasında uyulması gereken ilkelere yönelik ayrıca bir açıklama yapılmayacaktır. Ancak unutulmamalıdır ki, kişisel verilerin işlenmesi sırasında 6698 sayılı Kanunun 4. Maddesi uyarınca uyulması gereken ilkelerin, genel-özel kişisel veri ayrımı yapılmaksızın tüm kişisel verilerin işlenmesi sırasında varlığı aranmaktadır.

Tüm bunlara ek olarak, genel hatlarıyla konuyla bağlantılı olan Kişisel Sağlık Verileri Hakkında Yönetmelik Yer alan düzenlemelere de kısaca değinmekte fayda olacaktır. Yönetmeliğin 5. Maddesinin 1. fıkrası kişisel sağlık verilerinin işlenmesi ile ilgili olarak,

MADDE 5 – (1) Kişisel verilerin işlenmesinde Kanunun 4 üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edilir. 

şeklinde düzenleme içermektedir. İşbu düzenlemeden de anlaşılacağı üzere, her ne kadar nitelik ve hassasiyet itibari ile genel-özel nitelikli kişisel veri ayrımı yapılsa da bunlara ilişkin birtakım farklı düzenlemelere yer verilse de veri işleme konusundaki genel ilkeler ayrım gözetmeksizin tüm kişisel veriler için geçerlidir.

  1. COVİD-19 KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI  

Dünya çapında hızla yayılan ve etkisinin ülkemizde her geçen gün daha fazla hissedildiği COVİD-19 salgını sebebiyle küresel ve ulusal çapta pek çok önlem alındığını daha önce dile getirmiştik. Hükümet ve şirketler tarafından salgının etkilerinin minimum düzeyde tutabilmek adına alınan önlemler esnasında çoğunlukla genel ve özel nitelikli kişisel verilerin işlenmesinin kaçınılmaz olduğu kuşkusuzdur. Bu süreçte işlenmesi kaçınılmaz olan bazı kişisel veriler; kişinin sağlık verileri, ismi, T.C. Kimlik numarası, seyahat bilgileri ve iş yeri bilgileri gibi verilerdir.

COVİD-19 salgınının tüm dünyayı etkisi altına almış olduğu bu süreçte, ulusal ve uluslararası alanda yetkili kurum ve kuruluşlar tarafından kamuoyu ile her gün COVİD-19 hastalığına yakalanan vaka sayılarına, bu vakalardan tedavi sonucu iyileşenlere ve bu hastalıktan vefat edenlere ilişkin bilgiler paylaşıldığını görmekteyiz. Vaka sayılarının her geçen gün daha da artmasıyla bütün dünyayı etkisi altına alan COVİD-19 salgınının yaratmış olduğu olağanüstü dönemde, konumuz kapsamında öncelikli olarak üzerinde durulması gereken hususun, birey-toplum çatışması kapsamında “ilgili kişiye ait kişisel veriler ile kamu sağlığı”nda dengelerin ve önceliğin nasıl olması gerektiği konusu olduğunu düşünüyoruz.

Bu bağlamda Kişisel Verilerin Korunması ile ilgili olarak akla ilk gelen, yaşanılan bu olağanüstü süreçte ilgili kişilere ait isim soyisim, adres, seyahat bilgileri, işyeri ve kişisel sağlık verilerinin nasıl ve hangi şartlarda işlenebileceğidir.

Kişinin COVİD-19 virüsüne ait belirtilere sahip olup olmadığına ilişkin bilgilerin, o kişinin sağlık durumuna ilişkin sağlık verisi olması nedeniyle kanun kapsamında sayılan özel nitelikli kişisel verilerden biri olduğu kuşkusuzdur. Bu tespit ve değerlendirmeden sonra ise özel nitelikli kişisel verilerin işlenme şartları gündeme gelmektedir. Zira, COVİD-19 bir küresel salgın statüsünde olduğundan, 6698 sayılı KVKK kapsamında yer alan düzenlemelerin küresel salgın karşısında ne denli ve nasıl uygulanacağı sorusu akla gelmektedir.

Kanun tarafından sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin, kural olarak ilgili kişilerin açık rızasının varlığı halinde işlenebileceği, istisnai olarak ise açık rıza aranmaksızın işlenebileceği hallerin mevcut olduğu ve bu istisnai hallerin de  yalnızca “kamu sağlığının korunması”, “koruyucu hekimlik”, “tıbbî teşhis”, “tedavi ve bakım hizmetlerinin yürütülmesi”, “sağlık hizmetleri ile finansmanının planlanması ve yönetimi” amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmesi halleri ile sınırlandırıldığı hususuna değinmiştik.

Kanun ve ikincil mevzuatlarda sır saklama yükümlülüğü altında bulunan kişilerin kimler olduğuna ilişkin herhangi bir düzenleme bulunmamaktadır. Sağlık Hukuku bağlamında bir değerlendirme yaparsak, sağlık çalışanlarının sır saklama yükümlülüğü altında bulunduğunu söyleyebiliriz.

Yapılan açıklamalar ışığında, bir kişinin COVİD-19 virüsüne ait belirtileri taşıyıp taşımadığına dair bilgilerin, kişinin kişisel sağlık verisi olması nedeniyle sadece ilgili kişinin açık rızasının bulunması halinde veya kamu sağlığının korunması, teşhis konulabilmesi, tedavi hizmetlerinin yürütülebilmesi gibi amaçlarla bir hekim veya hastane tarafından kişinin açık rızası aranmaksızın işlenebileceği açıkça ortadadır.

İlgili kişilerin kişisel verilerinin korunması ile toplum sağlığının korunması karşı karşıya geldiği noktada kamu sağlığının korunmasının terazide daha ağır basacağı kuşkusuzdur. Kanun kapsamında olağan ve olağanüstü dönem ayrımı gözetmeksizin, kişilerin genel ve özel nitelikli kişisel verilerinin işlenmesi gerektiği her durumda veri sorumluları ve veri işleyenler tarafından ilgili kişilerin kişisel verilerinin işlenmesine yönelik faaliyetlerinin Kanundaki düzenlemelere uygun yürütülmesinin sağlanması ve veri güvenliğine yönelik gerekli idari ve teknik tedbirler alınarak veri güvenliğinin sağlanması gerekmektedir. Bu çerçevede unutulmamalıdır ki, küresel salgına karşı alınan tedbirler kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri, genel-özel nitelikli kişisel veri ayrımı yapılmaksızın tüm kişisel veriler bakımından Kanunun öngördüğü temel ilkelere riayet edilerek gerçekleştirilmelidir. Aksi halde hukuka uygun olarak işlenmeyen kişisel veriler, kişilerin Anayasa ile güvence altına alınmış olan temel hak ve özgürlüklerinin ihlal edilmesine neden olacaktır.

Bu bağlamda 27.03.2020 tarihinde Kişisel Verilerin Koruma Kurumu tarafından “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı bir kamuoyu duyurusu[17] yayımlanmıştır. İşbu kamuoyu duyurusuna göre veri sorumlularının başta sağlık verisi olmak üzere ilgili kişiye ait kişisel verileri işlerken dikkat etmesi gereken hususların neler olduğuna yer verilmiştir.

Kişisel Verileri Koruma Kurumu, 27.03.2020 tarihli kamuoyu duyurusu ile özetle; küresel salgına karşı alınan tedbirler doğrultusunda ilgili kişilere ait genel ve özel nitelikli kişisel verilerin (kişisel sağlık verileri, seyahat bilgileri vs.) işlenmesinin kaçınılmaz olduğunu, Kanun kapsamındaki veri işleme faaliyetlerinde dikkat edilmesi gereken temel ilkelere değinilerek COVİD-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinde de bu temel ilkelerin gözetilmesi ve gerekli işlemlerin bu doğrultuda yapılması gerektiğini, aynı zamanda bahse konu veri işleme  faaliyetlerinin kanundaki veri işleme kriterlerine uygun olarak yapılması ve gereğinden fazla kişisel veri işlenmesinden kaçınılması gerektiğini, kanunun istisnalara yönelik düzenleme içeren 28. Maddesi uyarınca kamu kurumları tarafından yürütülen koruyucu, önleyici ve istihbari faaliyetlerin istisna kapsamında olduğunu, kişisel verileri işleyen veri sorumluları tarafından aydınlatma yükümlülüğünün yerine getirilmesi gerektiğini, buna göre kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olunması gerektiğini, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirlerin alınması gerektiğini, bu bağlamda COVİD-19 virüsünden etkilenen kişilere ait veriler açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü kişiye ifşa edilmemesi gerektiğini, sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanununun 136 ncı maddesi kapsamında suç teşkil edebileceğini belirtmiştir.

Bununla birlikte Kurum kamuoyu duyurusu kapsamında, uygulamada karşılaşılabilecek durum ve sorunlara yönelik de yol gösterici bilgilere yer vermiştir. Bu kapsamda;

1- Sağlık Kuruluşunun COVİD-19 ile İlgili Kişilerle İletişim Kurması

Kurum burada ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kişisel Verilerin Korunması Kanunu açısından bir engel bulunmadığını belirtmektedir. Bu husus 6698 sayılı Kişisel Verilerin Korunması Kanun 28. Maddesine de uygun bir yorum olmaktadır[18]. Zira söz konusu maddenin ç bendinde ‘’Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.’’ Hususu 6698 sayılı Kanunun uygulanmayacağı bir hal olarak düzenlenmiştir.

2- Evden Çalışma Süresince Veri Güvenliğinin Sağlanması

Kurul burada çalışma sisteminin herhangi bir öneminin bulunmadığını önemli olan hususun kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekliliğini vurgulamıştır. Bununla birlikte veri sorumlularının yükümlülüklerine hatırlatmada bulunmuş ve çalışanlar tarafından alınacak tedbirlerin Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlularının yükümlülüğünü ortadan kaldırmayacağının altını çizmiştir. Bu haliyle veri sorumlusunun alması gereken idari ve teknik tedbirlere her koşul ve şartta riayet edilmesi gerektiği son derece mühimdir. Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması Kurulun önerileri arasındadır.

3- İşçi-İşveren İlişkisi ve İşçi-Ziyaretçi İlişkisi Kapsamında Değerlendirilebilecek Hususlar

Kurul burada bir çalışanın COVİD-19 virüsünü taşıması halinde bunun işveren tarafından diğer çalışanlarla paylaşılıp paylaşılamayacağını değerlendirmiştir. Bu husus uygulamada çokça karşımıza çıkabilecek bir durumdur. Bu haliyle Kurulun bu konuya açıklık getirmesi son derece yerindedir. Ancak burada şu husus dikkat çekmektedir. Kurulun yapmış olduğu açıklamada işverenin, çalışanının virüs taşıdığı bilgisini elde ettiği hal düzenlenmiştir. Yani işveren bu hususu bilmekte ve bildiği bu hususu diğer çalışanlarla paylaşıp paylaşmayacağı gündemdedir. Kurul bu bilginin nasıl elde edildiği hususunda bir veri sunmamıştır. Bu haliyle açıklamanın eksikliği ve hatalı sonuçlara yol açacağını belirtmemiz gerekir. Bu nedenle şu açıklamayı yapmamız gerekir; 6698 sayılı Kanunun 6. Maddesine baktığımızda özel nitelikli kişisel verilerden biri olan sağlık verisinin ancak kişinin açık rızası yahut da kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğini görmekteyiz. Bu haliyle işveren ancak kişinin açık rızası ile COVİD-19 virüsünü taşıdığını öğrenebilecektir. Onun dışında işverenin sır saklama yükümlülüğü altında olan bir kimse olmaması nedeniyle kişi açık rızası göstermez ise bu veriyi kamu sağlığının korunması yahut çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumluluğu kapsamında işleyebileceğini söylemek mümkün olamayacaktır. Bu haliyle de kişinin açık rıza ile virüs taşıdığına yönelik bir bilgi temin etmemesi halinde işyeri hekimleri gündeme gelecektir. Kişinin sağlık verisi istisna kapsamında sır saklama yükümlülüğü altındaki işyeri hekimi tarafından işlenebilecektir. Gerek açık rıza kapsamında gerekse de istisna kapsamında işyeri hekimi tarafından gerçekleşen işleme faaliyetinde aydınlatma yükümlülüğünün yerine getirilmesi gerektiğini de belirtmek isteriz. Yine İşyeri hekiminin bu sağlık verisini kişinin açık rızası yok ise işverenle paylaşması yine 6698 sayılı Kanunun 8. Maddesi kapsamı gereği Kanuna aykırı olacaktır. Görüleceği üzere işveren burada bahsi geçen sağlık verisini kişinin açık rızası olmaksızın işleme hakkına sahip değildir. Aksi halde 6698 sayılı Kanunun 6. Maddesine aykırı hareket etmiş olur. Kurulun işverenin temin ettiği bu sağlık verisini paylaşıp paylaşmayacağı noktasındaki duyurusunu bu yönden eksik buluyoruz. Kurul burada daha detaylı bir şema çizebilirdi. Bu haliyle işverenin kişinin açık rızasını alarak bu veriyi temin ettiği hal kapsamında Kurulun açıklamalarını değerlendirecek olursak işverenin olabildiğince az veri ile bu bilgiyi paylaşması gerektiğinin altı çizilmiştir. Verilen örnekte kişinin adının verilmemesi hali dikkat çekmektedir. Ancak kimi durumlarda kişinin adı ciddi önem taşır. Ancak bu adın açıklanması Kanunun 6. Maddesi kapsamında Kanuna ve hukuka aykırı olabilir. Bu nedenle de burada 6. Maddenin olağanüstü hal ve durumlarda uygulanabilirliği noktasında sıkıntılar olduğu açıktır. Örneğin şu an için adliyelere girişte, adliye görevlisi tarafından ateş ölçümü yapılmaktadır. Bu veri kişiler için sağlık verisi kapsamındadır. İşleme faaliyetini yerine getiren kişi ise sır saklama yükümlülüğü kapsamında değerlendirilemeyecek bir kişidir. Bu işleme faaliyetine açık rıza gösterilmesi gibi bir durum da söz konusu değildir, çünkü açık rızasının şartları somut olayda gerçekleşmemektedir. Özgür irade ile bir rıza gösterilmemekte olup, adliyeye girmek ateş ölçümünün yapılması şartına bağlanmaktadır. Bu haliyle burada kamu sağlığının korunması için elzem bir durum varken, Kişisel Verilerin Korunması Kanununa aykırı bir veri işleme faaliyeti yapılıyor denerek yaşam hakkı bir kenara mı bırakılacaktır? Bu nedenle olağanüstü durumlar karşısında 6698 sayılı Kanunun 6. Maddesinin birçok soruna yol açtığı ve hukukun istisnai durumlarda uygulanmamasına sebebiyet verdiği ortadadır. Bu haliyle bu olağanüstü durumların da göz önüne alınarak söz konusu maddenin yeniden düzenlenmesi gerektiği kanaatindeyiz.

Yine Kurul, işveren tarafından kamu sağlığının söz konusu olduğu durumlarda, bildirime esas bulaşıcı hastalıkları taşıyan çalışanlarına ilişkin kişisel verilerin, Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler kapsamında, ilgili makamlar ile paylaşılabileceği belirtilmiştir. Yukarıdaki açıklamalarımızın aktarım faaliyeti bakımından burada da geçerli olduğunu belirtmek isteriz.

Ayrıca Kurul ziyaretçiler, işçiler bakımından işverenin bilgi talebinde bulunabileceğini, seyahat bilgisinin de sağlık verisi olmadığını belirtmiştir. Seyahat bilgisi tartışılan bir husus olduğundan Kurulun görüşü bu kapsamda öğrenilmiş durumdadır. Burada da ölçülülük ve gereklilik ilkesine uygun olarak bilgi talebinde bulunulması ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurların dikkate alınması gerektiği vurgulanmıştır.

  1. ULUSLARARASI PERSPEKTİF
  1. Teknolojik Gözetim Sistemleri (Sosyal Medya ve Konum Verileri)

Basın ve internet ortamından da takip edildiği üzere, devletler COVİD-19 ile mücadele kapsamında kendi ülke sağlığının korunması ve salgının yayılmamasına yönelik çeşitli önlemler almaktadır. Örneğin, ülkede başlayan salgın sonrasında Çin Hükümetinin aldığı tedbirlerden biri virüsün bulaşma sürecini izlemek ve sınırlandırmak için vatandaşları gözlemleyebilecek teknolojik araçların kullanıma geçirmek olmuştur. Bu kapsamda “Health Code” adlı uygulamayı piyasaya süren Çin Hükümeti, vatandaşların sosyal medya verileri ve konum bilgileri ile temasta bulundukları bireyleri ve bu bireylerin bulundukları mekanları saptayarak, virüsü taşıma ihtimali yüksek olan kişilere ulaşıp ve onlara test yapılmasını sağlamıştır. Benzer uygulamalar Güney Kore ve İsrail’de de hayata geçirilmiştir. Amerika Birleşik Devletleri’nde bazı teknoloji şirketleri ile gözetim araçlarının tedarik edilmesi için görüşülürken, tepkilerden ötürü teknolojik gözetim uygulamaları için henüz somut bir adım atılmamıştır.[19]

Dünya örneklerinde görüldüğü üzere, kullanılmaya başlanan bu teknolojik sistemler vasıtasıyla çoğu insana ait kişisel veriler toplanıp işlenmektedir. Bu veriler elde edilirken ve işlenirken aynı zamanda insanların sahip olduğu temel hak ve özgürlüklerden biri olan özel hayatın gizliliği haklarını da ihlal ettiği kuşkusuzdur. Uygulanan bu yöntemler ile insanların temel hak ve özgürlüklerine birtakım kısıtlamalar getirildiği için ülke sağlığının korunması ile uygulanan yöntemler arasındaki dengenin ölçülü olması gerektiğini düşünmekteyiz. Ayrıca ülke sağlığını koruyabilmek için başvurulan bu yöntemler ile insanların birbirleriyle olan iletişimi-teması hakkında bilgiler edinilerek virüsü taşıyan-taşıma ihtimali olan insanlara yönelik tespitler yapılmaktadır. Bu süreçte ise bu kişilere ait kişisel sağlık verileri işlenmektedir. Hal böyle olunca, salgının küresel boyutta olması nedeniyle ülke sağlığı çoğu hususa göre daha ön planda olsa dahi salgının yayılmasını engellemeye ve ülke sağlığını korumaya yönelik alınan tedbirlerin yine de ölçülü ve toplum gereklerine uygun olması, ayrıca ilgili kişilere ait işlenen verilerin de hukuka uygun işlenmesi gerektiği görüşündeyiz.

  1. The European Data Protection Board (Avrupa Veri Koruma Kurulu)

The European Data Protection Board tarafından 19.03.2020 tarihinde COVİD-19 salgını ile mücadele sürecinde büyük önem arz eden kişisel sağlık verilerinin işlenmesi konusunda yol gösterici değerlendirmelere ilişkin bir açıklama yayımlanmıştır.[20]

Açıklamada[21],  Avrupa’nın COVİD-19 virüsünü kontrol altına alabilmek adına birtakım tedbirler aldığı, bu tedbirler kapsamında birtakım kişisel verilerin işlenmesinin gündeme geldiği, kişisel verilerin korunmasına ilişkin düzenlemelerin pandemi ile mücadele kapsamında alınan tedbirleri engellemediği, bulaşıcı hastalıklarla mücadelenin mümkün olduğunca desteklenmesi gerektiği, hastalıkların yayılmasını engellemenin insanlığın yararına olduğu, Avrupa Veri Koruma Kurulu bu istisnai ve olağandışı dönemlerde dahi veri sorumluları ve veri işleyenler tarafından ilgili kişilere ait kişisel verilerinin korunması gerektiği hususu vurgulanmakta olduğu, bu  nedenle içinde bulunduğumuz süreçte kişisel verilerin hukuki olarak işlenmesi açısından birtakım hususların dikkate alınması gerektiği, her durumda alınan herhangi bir tedbirin genel hukuk ilkeleri ile uyumlu olması ve geri döndürülemez olmamasının gerektiği hususunun unutulmaması gerektiği, söz konusu kısıtlamaların acil durum ile orantılı ve sınırlı olması koşulu ile özgülük ile ilgili kısıtlamaları meşrulaştırılabilecek  yasal bir durum olduğu,

Veri İşlemenin Hukukiliği açısından, GDPR (General Data Protectıon Regulatıon)’ın geniş kapsamlı bir düzenleme olduğu, aynı zamanda kişisel verilerin COVID-19 gibi durumlarda işlenmesi bakımından geçerli olan kuralları öngördüğünü, GDPR’ın, halk sağlığı otoriteleri ve işverenler tarafından kişisel verileri ulusal yasalara uygun olarak ve burada belirtilen koşullar çerçevesinde bir salgın bağlamında işlemesine izin verdiğini, kamu sağlığı alanında önemli bir kamu yararının varlığı nedeniyle veri işlemenin gerekli olması gibi durumlarda ilgili kişilerin açık rızasının aranmasına ihtiyaç olmadığı,

Avrupa Veri Koruma Kurulunun, kamu otoriteleri (örn. halk sağlığı otoriteleri) tarafından özel kişisel veri kategorileri de dahil olmak üzere kişisel verilerin işlenmesine ilişkin olarak, kamu otoritesinin (özellikle de ulusal mevzuat ve GDPR’da öngörülen şartlar tarafından sağlanan) yasal yetkisi kapsamına girdiğinden, GDPR’ın 6. ve 9. maddelerinin kişisel verilerin işlenmesine olanak sağladığını düşünmekte olduğunu,

İstihdam bağlamında, kişisel verilerin işlenmesinin, işverenin tabi olduğu (sağlık ve güvenlikle ilgili yükümlülükler gibi) yasal bir zorunluluğa uyabilmek adına veya kamu yararı doğrultusunda (hastalıkların ve sağlığa yönelik diğer tehditlerin kontrolü) gerekli olabileceği,

GDPR’ın ayrıca, (Madde 9/2/c) halk sağlığı alanında önemli olduğu ölçüde kamu yararı nedeniyle (Madde 9/2/i) veya ilgili kişinin hayati menfaatlerinin korunması gerektiğinde (Gerekçe 46: açıkça bir salgının kontrolünü ifade etmektedir.) sağlık verileri gibi özel nitelikli kişisel verilerin işlenmesini yasaklayan kuralların istisnailiğini öngördüğünü,

Yer verileri gibi telekomünikasyon verilerinin işlenmesiyle ilgili olarak, e-Gizlilik Direktifini uygulayan ulusal yasalara da uyulması gerektiği, Prensip olarak, konum verilerinin yalnızca anonim hale getirildiğinde veya kişilerin rızasıyla operatör tarafından kullanılabilir olduğunu, ancak e-Gizlilik Direktifinin 15. Maddesi uyarınca Üye Devletlerin kamu güvenliğini korumak için yasal tedbirler alabilmelerine olanak sağlamakta olduğunu, bu tür istisnai mevzuatın ancak demokratik bir toplumda gerekli, uygun ve orantılı bir önlem teşkil etmesi halinde mümkün olabileceği, bu önlemlerin Avrupa Temel İnsan Hakları Bildirgesi’ne ve Avrupa İnsan Hakları Sözleşmesi’ne uygun olması gerekmekte olduğu,  alınan önlemler Avrupa İnsan Hakları Mahkemesi’nin denetimine tabi olduğu,  acil durumlarda alınan bu önlemlerin, acil durumun süresi ile sınırlı kalması gerektiği,

 Kişisel verilerin işlenmesine ilişkin temel ilkelerle ilgili olarak, izlenen hedeflere ulaşmak için gerekli olan kişisel verilerin, belirtilen ve açık amaçlar için işlenmesi gerektiği, Buna ek olarak, ilgili kişilerin, toplanan verilerin saklanma süresi ve işlemenin amaçları da dahil olmak üzere yürütülen işleme faaliyetleri hakkında şeffaf bilgiler alması gerektiği, bu bilgilerin kolayca erişilebilir, açık ve anlaşılır bir dilde sunulması gerektiği, kişisel verilerin yetkisi olmayan kişilere açıklanmasını engelleyen yeterli güvenlik önlemlerinin alınması gerektiği ve gizlilik politikalarının da benimsenmesi gerektiği, mevcut acil durum ve karar alma sürecini yönetmek için alınan önlemlerin uygun bir şekilde belgelenmesi gerektiği,

 Mobil konum verilerinin kullanımı bakımından, Üye Devlet hükümetleri, COVID-19’un yayılmasını izlemek, kontrol altına almak veya hafifletmek için bireylerin cep telefonlarıyla ilgili kişisel verileri kullanabilir mi? Sorusuna karşın Bazı Üye Devletlerde, hükümetler tarafından COVID-19’un yayılmasını izlemek, kontrol altına almak veya hafifletmek için mobil konum verilerini olası bir yol olarak kullanma hususunun öngörüldüğünü, bunun bireyleri coğrafi olarak konumlandırma veya belirli bir alandaki kişilere telefon veya kısa mesaj yoluyla halk sağlığı mesajları göndermek anlamına gelmekte olduğunu, Kamu otoriteleri tarafından öncelikle konum verilerinin, belirli bir konumdaki mobil cihazların toplanması hakkında raporların oluşturulmasını sağlayabilecek şekilde, anonim bir şekilde işlemeye çalışması gerektiği (yani, bireylerin yeniden tanımlanamayacak şekilde toplanan verileri işlemelidir), Kişisel veri koruma kurallarının, uygun şekilde anonimleştirilmiş veriler için geçerli olmadığı, yalnızca anonim verilerin işlenmesi mümkün olmadığında, e-Gizlilik Direktifi Üye Devletlerin kamu güvenliğini korumak için yasal tedbirler almalarını sağladığını (Madde 15), anonimleştirilmemiş konum verilerinin işlenmesine izin veren tedbirler getirilirse şayet bir Üye Devletin, elektronik iletişim hizmetleri sağlanan bireylere yargıya başvurma hakkı gibi yeterli önlemleri almakla yükümlü olduğu, orantılılık ilkesinin de aynı zamanda geçerli olduğu, ulaşılacak özel amacın da dikkate alınarak daima en az müdahaleci çözümlerin tercih edilmesi gerektiği, bireylerin “izlenmesi” (örn. Anonimleştirilmemiş konum verilerinin işlenmesi) gibi müdahaleci önlemlerin, ancak istisnai koşullar altında ve işlemenin somut yöntemlerine bağlı olarak orantılı olarak değerlendirilebileceği, bununla birlikte, veri koruma ilkelerine (tedbirin süre ve kapsam açısından orantılılığı, sınırlı veri saklama ve amaç sınırlaması) uyulmasını sağlamak için söz konusu hususların incelemelere ve güvencelere tabi olması gerektiği,

 İstihdam açısından da, bir işveren tarafından ziyaretçilerin veya çalışanların COVID-19 bağlamında belirli sağlık bilgileri vermelerini isteyebilir mi? Sorusu gündeme gelmekte olup orantılılık ve elde edilen verilerin olabildiğince az olması ilkesinin uygulanmasının burada özellikle önemli olduğu, işverenin yalnızca ulusal yasaların izin verdiği ölçüde sağlık bilgisine ihtiyaç duyması gerektiği, bir işverenin çalışanları üzerinde tıbbi kontroller yapabilmesi konusunda izninin olup olmadığına ilişkin hususun ise istihdam veya sağlık ve güvenlikle ilgili ulusal yasalara dayandığı, işverenler tarafından, sağlık verilerine yalnızca kendi yasal yükümlülükleri gerektirdiği ölçüde  erişilmesi ve işlenmesi gerektiği, bir işverenin, bir çalışanın işyerinde diğer çalışanlara veya bunlar dışındaki kişilere COVID-19 bulaştırdığı bilgisini açıklayabilme konusunda işverenlerin personellerini COVID-19 vakaları hakkında bilgilendirmesi gerektiği ve koruyucu önlemler alması gerektiği, ancak gereğinden fazla bilginin de iletilmemesi gerekmekte olduğu, ulusal yasaları izin verdiği ve açıklamanın gerekli olduğu hallerde ilgili çalışanlara önceden bilgi verilirse onurları ve dürüstlüklerinin korunmuş olacağı, COVID-19 bağlamında işlenen hangi bilgilerin işverenler tarafından elde edilebilir olduğu konusunda da işverenlerin görevlerini yerine getirmek ve işlerini ulusal mevzuata uygun olarak organize edebilmek için kişisel bilgileri temin edebileceği” hususları belirtilmiştir.

Kanaatimizce The European Data Protection Board tarafından yayımlanan işbu açıklamalar, konuya uluslararası alanda nasıl yaklaşıldığını görmemizi sağlamakla birlikte hukuki açıdan son derece yerinde görüş ve değerlendirme içermekte olup içinde bulunduğumuz bu süreçte kişisel verilerin korunması ile ilgili karşılaşılabilecek olası sıkıntılarda yol gösterici nitelik arz edeceğini düşünmekteyiz. Bununla birlikte bizim ülkemizde uygulanan mevzuatın 6698 sayılı Kişisel Verilerin Korunması Kanunu olduğu unutulmamalıdır.

  1. Birleşik Krallık Veri Koruma Otoritesi (ICO)

Birleşik Krallık Veri Koruma Otoritesi (ICO) tarafından kurumun internet sitesinde[22], COVİD-19 küresel salgını süresince Kişisel Verilerin Korunmasına ilişkin olası ihlallerin önüne geçebilmek adına dikkat edilmesi ve bilinmesi gereken hususlara yönelik birkaç blog yazıları yayımlanmıştır.

Birleşik Krallık Veri Koruma Otoritesi (ICO), internet sitesinde COVİD-19 salgını sürecinde kişisel verilerin korunması ve işlenmesi ile ilgili akla gelen sorulara cevap olacak şekilde bir yazı yayımlamıştır.[23] Bu yazının özgün hali incelendiğinde, bizim Kişisel Verileri Koruma Kurumu tarafından 27.03.2020 tarihinde yayımlanan kamuoyu duyurusunda yer alan bilgilerle paralel olduğu ve ekstra bir bilginin yer almadığı görüldüğünden özgün metnin Türkçeye çevrilmesi gereği hasıl olmamıştır.

Öte yandan, Ian Hulme (Director of Regulatory Assurance at the ICO) tarafından kaleme alınan “Community Groups and COVİD-19, What you need to know about data protection” (Topluluk Grupları ve COVİD-19, Veri Koruma Hakkında Bilinmesi Gerekenler) başlıklı blog yazısı[24] içeriği aşağıda yer almaktadır.

Bu blog yazısı veri korumasına yönelik bazı temel hususları açığa kavuşturmak ve topluluk grupları bakımından içinde bulunulan olağanüstü süreçte kanunların nasıl uygulanacağına yönelik belirsizlikleri gidererek bu konuda açıklık kazandırmak amacıyla hazırlanmıştır.

COVİD-19 Salgınının Birleşik Krallıkta etkilerini her geçen gün daha da arttırması ile beraber insanların, savunmasız ve güçsüz olan kişilere yardım etme amacıyla topluluk grupları oluşturduğu görülmektedir. Mevcut topluluk gruplarının, hizmetlerini yerine getirebilmesi ve diğer hayır kurumlarını destekleyebilmesi için kişilere ait genellikle hassas (özel nitelikli) kişisel verileri toplamakta ve başkalarıyla paylaşması gerekmektedir. Bu durum ise kişisel veri koruma kanununun dikkate alınmasını beraberinde getirmektedir. Buna göre kanun, kişisel verilerin toplanması ve işlenmesi noktasında birtakım kriterler ve insanlara ait kişisel verileri kanuna uygun bir şekilde temin edilmesinde gerekli özenin gösterilmesi gerekmekle beraber kanunun ihtiyaç sahiplerine yardım edilmesini engellemediğinin altını çizmek gerekir. Ayrıca kişisel sağlık verisinin isim ve adres bilgileri gibi bilgilere nazaran daha hassas nitelikte olması nedeniyle daha sıkı korumaya tabi tutulduğunu hatırlatmak gerekir. Buna göre dikkat edilmesi gereken ilkelerin neler olduğuna kısaca değinmekte fayda olacaktır.

  1. Açık Tutmak (Keep it clear): İnsanlara karşı, onların kişisel bilgileriyle ne yapıldığı konusunda açık, anlaşılır ve dürüst olunması gerekmektedir. Bu bağlamda onlara neden ihtiyaç duyulduğunu, elde edilen bilgiler ile neler yapılacağının ve kimlerle paylaşılacağının ilgili kişilere söylenmesi gerekmektedir.
  2. Paylaşmaya Devam Etmek (Keep it sharing): Acil bir durumda, ortaklarla çalışmak ve onlarla bilgi paylaşımında bulunmak kamu güvenliği açısından bir fark yaratabilir. Aslında bu tür durumlarda verileri paylaşmamak, verileri paylaşmaktan daha zararlı olabilir. Örneğin, yerel idarelerde, yaşadığınız yerde evde kalanlar ve kendi kendine karantina uygulayan desteğe ihtiyacı olan yaşlı insanlar nedeniyle bilgi paylaşımı gerekli ve faydalı olabilir. Bu çerçevede veri koruma kanunu, kişisel bilgilerin gerekli ve uygun olduğu noktada paylaşılmasını engellememektedir.
  3. Yasal Tutmak (Keep it lawfull): Kişisel verileri kullanmanız gerekip gerekmediğinden emin değilseniz, aşağıdaki kategorilerden birine girip girmediğini düşünün:
  1. Kişi bilgilerini bu şekilde kullanmamı bekler mi (meşru menfaatler)?
  2. Bana, kişisel bilgilerini kullanabilmem için açık ve net rızalarını verdiler mi (rıza)?
  3. İlgili kişinin kişisel verilerini kullanmazsam, kişinin sağlığı veya güvenliği risk altında kalır mı (hayati menfaatler)?

Bu soruların herhangi birinin cevabı evet ise, kişisel verileri işleyebilir ve paylaşabilirsiniz demektir.

Ayrıca, veri koruma kanununda özel nitelikli kişisel veri olarak adlandırılan hassas verileri işleme faaliyeti gerçekleştiriyorsanız daha özenli ve dikkatli davranmanız gerekmektedir. Bahse konu özel nitelikli kişisel veriler; sağlık verileri, cinsellik, ırk, etnik köken ve din gibi özel bilgilerdir. Daha sıkı korumaya tabi olan bu tür bilgileri kullanacaksanız başka türlü sorular sormalısınız:

  1. Risk altındaki bir kişiyi korumak için bu verilere gerçekten ihtiyacım var mı (bireyleri korumak)?
  2. Bana özel bilgilerini kullanmak için açık rızalarını verdiler mi (rıza)?
  3. Bu bilgi birinin hayatını kurtarabilir mi (hayati çıkarlar)?

Bu soruların herhangi birinin cevabı evet ise, bu tür özel nitelikli kişisel verileri de işleyebilir ve paylaşabilirsiniz. Eldeki görev için yalnızca gerekli ve uygun olanı yaptığınızdan emin olun.

  1. Güvende Tutmak (Keep it secure): Topladığını kişisel verilere dikkat etmelisiniz. Bu, örneğin kendi cihazınız olan bir cihazda veya kilitli bir dolapta güvenli tutulması anlamına gelir. Ancak güvenlik önlemleri işinizi yapmanıza engel olacak kadar zahmetli olmak zorunda değildir.

Size emanet edilen bilgilerin kaybolması veya çalınması halinde savunmasız bir kişi üzerindeki etkisini düşünün. Akabinde bunun gerçekleşme riskini makul bir şekilde azaltmak için bir dizi tedbirler alın.

Size emanet ettikleri bilgiler kaybolur veya çalınırsa, savunmasız bir kişi üzerindeki etkisini düşünün. Ardından, bunun gerçekleşme riskini makul bir şekilde azaltmak için önlemler alın. Topluluk grupları için basit birtakım güvenlik önerilerinde bulunduk. Bunlar için bkz: https://ico.org.uk/media/for-organisations/documents/2617548/ico-data-security-guide-to-the-basics.pdf

Aşağıda başlıklar haline bu önerilerin neler olduğuna yer verilmiştir:

  • Kullanılmadığı zaman kilitleyin (Lock it away when not in use)
  • Yazılımı güncel tutun (Keep software up to date)
  • İletişim güvenliğini sağlayın (Communicate securely)
  • E-postalarda veya diğer iletilerde web bağlantılarını ve eklerini açma konusunda dikkatli olun (Be extra vigilant about opening web links and attachments in emails or other messages)
  • Bilgilerinizi yedekleyin (Back up your information)
  • Güçlü parola kullanın (Use strong passwords)
  1. Minimum Düzeyde Tutmak (Keep it to a minimum): Sadece COVİD-19 salgını sırasında savunmasız kişilere yardım etmek için ihtiyaç duyduğunuz verileri kullanın ve saklayın. Acil durum sona erdiğinde, sizin ve gönüllülerinizin artık ihtiyaç duymadığınız kişisel verileri güvenli bir şekilde sildiğinizden veya yok ettiğinizden emin olun.
  2. Yapılanların Kaydını Tutmak (Keep a record of what you’ve done): Son olarak, kişisel bilgilerin kullanımını içeren kararların kaydını tutmalısınız. İdeal olan, bunu bilgi toplamaya başlamadan önce yapmanızdır.  Ancak bunun pandemi sırasında mümkün olmayabileceğini biliyoruz. Bundan dolayı ne yaptığınızı ve nedenini not ettiğinizden emin olun ve en kısa zamanda daha ayrıntılı kayıtlar haline getirin.”

Bunlara ek olarak, ICO internet sitesinde 12.03.2020 tarihinde Sağlık Sektörü ile ilgili yayımlanan açıklamalarda[25] ise,

“COVİD-19 virüsünün yayılması konusunda endişe yaşadıkları, daha önce eşi benzeri görülmemiş bu tür acil sağlık durumu ile mücadele ederken, Kamu Kurum ve Kuruluşları ile sağlık çalışanlarının insanlarla doğrudan iletişim kurma ihtiyacının gündeme geldiği, Veri Korunması ile ilgili kanunlar, hükümet, NHS (İngiliz Ulusal Sağlık Servisi) veya diğer sağlık kuruluşları tarafından kişilere telefon, mesaj ya da e-posta yoluyla halk sağlığına yönelik mesajlar gönderilmesini engellemediği, ancak bu mesajların pazarlama amacı gütmemesi gerektiği, güvenli, hızlı teşhis ve tedaviyi sağlamak için en son teknolojilerin kullanılması hususunun da mümkün olduğu,  bu bağlamda kamu kurumları, kamu sağlığına yönelik ciddi tehditlere karşı korunmak için ek olarak birtakım kişisel verilerin toplanmasını ve paylaşmasını isteyebileceği” hususları belirtilmiştir.

  1. SONUÇ VE DEĞERLENDİRME

Kişisel verilerin korunması meselesini COVİD-19 kapsamında değerlendirdiğimizde, yukarıda detaylıca bahsedildiği üzere, içinde bulunulan süreçte, bir taraftan hasta bireyin verilerinin gizliliğinin yararı diğer yandan ise kamu sağlığının korunması karşı karşıya gelmektedir. Bu noktada ise kamu sağlığının veri gizliliği ile elde edilecek yarardan daha üstün olduğu konusunda tereddüt bulunmamaktadır. Dolayısıyla tüm dünyayı etkisi altına alan COVİD-19 salgının etkilerinin azaltılabilmesi bakımından alınan ve alınacak olan önlemler doğrultusunda kamu sağlığının sağlanması ve korunması gerekmekte olup bu çerçevede birtakım genel ve özel nitelikte kişisel verilerin toplanmasına ihtiyaç duyulduğu açıkça ortadadır.

Hal böyle iken, bu süreçte elde edilen kişisel verilerin toplanması, işlenmesi ve korunması konuları gündeme gelmektedir. Genel ve özel nitelikli kişisel veri ayrımı üzerinde detaylı olarak durulmasının sebebi, küresel salgın sürecinde ilgili kişiye ait toplanan ve işlenen verilerin her iki türden kişisel verileri bünyesinde barındırıyor olmasıdır. Kişinin ismi, adresi, seyahat bilgileri ve sair genel nitelikte kişisel verilere örnek olur iken kişinin sağlık bilgileri ise özel nitelikli kişisel veriye örnek teşkil eder.

Zira, kanunun bu şekilde ikili ayrım yapmasının sebebi kişiye ait bazı verilerin, örneğin, sağlık verileri diğer kişisel verilere göre daha hassas olmasıdır. Bazı verilerin daha hassas kabul edilmesinin altında yatan sebep ise kişinin toplumdan dışlanması gibi ayrımcılığa maruz kalma ihtimalidir. Kanun kişisel verilerin korunması amacıyla veri işleme faaliyetleri konusunda belli başlı düzenlemeler getirmiş ve bu düzenlemelere aykırı olarak kişisel veri toplayan, işleyen veya aktaran kişilere birtakım yaptırımlar öngörmüştür. Ayrıca Kanunun 28. Maddesinde yer alan düzenleme ile de birtakım istisnalar öngörülmüştür.

Görüldüğü üzere, COVİD-19 ile mücadele kapsamında kamu sağlığının ön planda olması nedeniyle ulusal ve uluslararası düzeyde kişisel verilerin işlenmesi sürecinde bazı değişiklikler söz konusu olmuştur. Bu bağlamda Kanun tarafından görev ve yetkili kılınmış kamu kurum ve kuruluşları tarafından kamu sağlığının sağlanması ve korunması adına ilgili kişinin rızası aranmaksızın kişisel verilerin işlenmesindeki usul ve esaslar daha esnek tutulmuştur. Yapılan bu değişikliklerin aslında kişilerin özel hayatın gizliliği ile kişisel verilerinin korunmasını ihlal edebilecek nitelikte olduğu görülmektedir. Olağanüstü durumda dahi unutulmamalıdır ki, özel nitelikli kişisel veri (kişisel sağlık verisi) işleyenlerin her koşulda bu verilerin mahremiyetini sağlamak amacıyla Kanun ve Kurul tarafından çıkartılan ikincil düzenlemelere uygun hareket etmesi gerekmektedir. Yukarıda da yer verdiğimiz üzere, şu eleştiriyi de yapmak isteriz ki, 6698 sayılı Kanunun 6. Maddesinin olağanüstü durumlarda uygulanması birçok soruna yol açmakta ve hukukun istisnai durumlarda uygulanmamasına sebebiyet vermektedir. Bu nedenle de Kanun koyucu tarafından olağanüstü durumların da göz önüne alınarak söz konusu maddenin yeniden düzenlenmesi ve bu olağanüstü durumlarda karşılaşılan zorluklara cevaz veren bir maddenin ortaya konulması gerektiği kanaatindeyiz.

Bununla birlikte bu süreçte devletlerin kamu sağlığını sağlama ve koruma amacıyla COVİD-19 salgınını önlemek için yapacakları her türlü sınırlamada Anayasa’nın 13. Maddesinde yer alan “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” hükmü uyarınca kamu sağlığını koruma amacıyla kullanılacak araçların (getirilecek kısıtlamaların) toplumsal bir ihtiyacı karşılayacak nitelikte ve orantılı olması gerektiğini de vurgulamak isteriz.

Ayrıca belirtmek isteriz ki, Ulusal düzeyde 6698 sayılı Kişisel Verileri Koruma Kanununda yer alan düzenlemeler ile Kişisel Verileri Koruma Kurumu tarafından yayımlanan kamuoyu duyurusunda yer alan beyanların uluslararası düzeydeki The European Data Protection Board ve ICO tarafından yayımlanan açıklamalar ile paralel düzenlemeler içerdiği de kuşkusuzdur.


[1] “…Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Bu bağlamda itiraz konusu kuralla öngörülen biyometrik yöntemle elde edilen verilerin kişisel veri olduğunda kuşku yoktur. Bununla birlikte söz konusu verilerin, 108 sayılı Sözleşme’nin 6. maddesinde özel olarak belirtilen politik düşünce, dini inanç, sağlık, cinsel yaşam veya ceza mahkûmiyetlerine ilişkin veriler gibi çok hassas verilerden olduğu da söylenemez…” Anayasa Mahkemesi Kararı – GK, E. 2014/180 K. 2015/30 T. 19.3.2015

[2] “Anayasa Mahkemesinin kararlarında da belirtildiği üzere, “kişisel veri”, “belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler” kişisel veri olarak kabul edilmektedir (E.2013/122, K.2014/74, 9.4.2014; E.2014/149, K.2014/151, 2.10.2014; E.2013/84, K.2014/183, 4.12.2014; E.2014/74, K.2014/201, 25.12.2014).” Anayasa Mahkemesi Kararı – GK, E. 2015/32 K. 2015/102, T. 12.11.2015

[3] Özel nitelikli kişisel verilerin işlenme şartları

MADDE 6: (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerkanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilirSağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu ekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

[4] Rahmi Can ÖMÜR, “Kişisel Sağlık Verilerinin Korunması Ve Hastanelerin Sorumluluğu”, YÜHFD,C.XV, 2018/1, s.136

[5] Kişisel Sağlık Verileri Hakkındaki Yönetmelik md.4/1/j

[6] HAKERİ, Hakan, Tıp Hukuku, Seçkin Yayıncılık, 11. Bası, Ankara 2016, s.505.

[7] ORAK, Beşir. Kişisel Sağlık Verilerinin Korunması, Yüksek Lisans Tezi, Ankara, 2019

[8] MADDE 3. “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder”

[9] Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunması Kanunu ve Uygulaması” (Çevrimiçi Kaynak) s.34 https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf

[10] MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

[11] Daha detaylı bilgi için Bkz. Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin İşlenmesine İlişkin

Temel İlkeler” (Çevrimiçi Kaynak)  https://kvkk.gov.tr/SharedFolderServer/CMSFiles/d0fbca08-30af-41fe-a7c9-65663b9c5231.pdf

[12] Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin İşlenme Şartları” (Çevrimiçi Kaynak) s.3 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/8c90423f-97ea-4d81-a7c1-ace74295c2b8.pdf

[13] Özel nitelikli kişisel verilerin işlenme şartları MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

[14]  Kişisel Sağlık Verileri Hakkında Yönetmelik

[15] Temel hak ve hürriyetlerin sınırlanması

Madde 13 – (Değişik: 3/10/2001-4709/2 md.) Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.

[17] Kişisel Verileri Koruma Kurumu, 27.03.2020 Tarihli Kamuoyu Duyurusu,  Çevrimiçi Kaynak – https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-

[18] İstisnalar MADDE 28- (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz: a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. (2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz: a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

[19] COVID-19 Salgınının Yeni Mağduru Özel Hayatın Gizliliği Hakkı – Çevrimiçi Kaynak  http://erdem-hukuk.com/makaleler/covid-19-salgininin-yeni-magduru-ozel-hayatin-gizliligi-hakki

[20] Özgün metin için Bkz.  Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19 March 2020 –

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf

[21] Murat Volkan Dülger, Kişisel Verilerin COVİD-19 Salgını Kapsamında İşlenmesi Hakkında (EDPB) Açıklama(sı), Çevrimiçi Kaynak https://www.academia.edu/42298718/Ki%C5%9Fisel_Verilerin_COV%C4%B0D19_Salg%C4%B1n%C4%B1_Kapsam%C4%B1nda_%C4%B0%C5%9Flenmesi_Hakk%C4%B1nda_EDPB_A%C3%A7%C4%B1klama_s%C4%B1_