COVİD-19 Salgını / Sağlık ve Eğitimde Kişisel Veri İhlalleri

COVİD-19 Salgını / Sağlık ve Eğitimde Kişisel Veri İhlalleri

Pandemi dolayısıyla kişisel sağlık bilgilerinin çok konuşulduğu ve haber yapıldığı, hastalığa yakalananların konum bilgilerinin alınıp izlendiği, okulların kapanması ile eğitimlerin “UZAKTAN EĞİTİM” olarak verilmeye  EBA TV, ZOOM, Skype .. gibi programlar üzerinden yapılmaya başlamasıyla; Biyometrik, Görsel ve İşitsel verilerin işenerek aktarılmakta olduğu bu dönemde “Kişisel Veri” ihlallerinin yapılabileceği yaşanabileceği ortadadır.

Bu durumda “Kişisel Sağlık Verileri ile Görsel ve İşitsel / Biyometrik Verilerin İşlenmesi ve Aktarımını” söz konusudur. Bu husus, 6698 sayılı (KVKK) Kişisel Verilerin Korunması Kanununa göre bir çok kişisel veri ihlalini de beraberinde getirmektedir.

Kişilere ait sağlık bilgileri “Özel Nitelikli Veri” olup 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 6. Maddesindeki istisnalar dışında “Açık Rıza ” alınmaksızın işlenemez ve aktarılamaz.

Keza, uzaktan eğitimde eğitici hocaların ve sisteme kişisel verilerini girerek katılan öğrencilerin “Görsel ve İşitsel Kayıtları / Biyometrik Verileri” de işlenmekte ve aktarılmakta olup, bunların aktarılması da kanunun 6. maddesine göre açık rızayı gerektirmektedir.

Veri sorumluları, bu kapsamda muhataplarının, Öğretmen ve Öğrencilerinin (18 yaşından küçük öğrenciler için Öğrencinin Veli veya Vasisinin) açık rızalarını almaları, muhtemel veri ihlaline karşı da gerekli idari ve teknik tüm önlemleri alarak bu çalışmaları yapmaları gerekmektedir.

Bu hususta KVKK iki ayrı duyuru yayımlayarak bunlara açıklık getirmiştir.

BAĞLAYICI ŞİRKET KURALLARI HAKKINDA DUYURU

“Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 9 uncu maddesi ile düzenlenmektedir. Anılan madde hükmüne göre, kişisel verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

……….

Bağlayıcı Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir.

6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (b) bendi gereğince, söz konusu başvurular Kurul’un iznine tabidir.”

KAMUOYU DUYURUSU (COVID-19 İLE MÜCADELEDE KONUM VERİSİNİN İŞLENMESİ VE KİŞİLERİN HAREKETLİLİKLERİNİN İZLENMESİ HAKKINDA BİLİNMESİ GEREKENLER)

Dünya genelinde yayılma gösteren Covid-19 (Koronavirüs) virüsünün neden olduğu hastalıktan korunmak adına ülkemiz de dâhil olmak üzere tüm devletlerin çeşitli önlemlere ve tedbirlere başvurdukları bilinmektedir. Bu noktada, karantina, sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkanlardan yararlanıldığı da görülmektedir.

Bu kapsamda, çeşitli ülkelerde koronavirüsün yayılımını önlemek amacıyla; mobil uygulamalar vb. yöntemlerle; bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün yayılma haritası çıkartılarak tedavi ve karantina uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verileri işlenmektedir.

Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmakta olup, gerçek kişileri belirlenebilir kılan konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında kişisel veri olduğu açıktır.

Bu noktadan hareketle salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.

Bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.

Diğer taraftan kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi unutulmamalıdır.

Canpolat CERAN

Em. İş Baş Müfettişi

Seçkinler Grup Eğitim Danışmanlık Yön. Krl. Bşk.