TR EN AR FA
 

Covid-19 Salgını ve Kişisel Sağlık Verilerinin Korunması

1. GİRİŞ

13 Ocak 2020’de tanımlanan ve Dünya Sağlık Örgütü tarafından pandemi olarak ilan edilen yeni tip korona virüsün (COVID-19) neden olduğu salgın ile ülke olarak mart ayından itibaren mücadele etmekteyiz. Vaka sayılarının her geçen gün artmakta olduğu ülkemizde tüm dünyada olduğu yöneticiler hastalığın artış hızını azaltmak için çeşitli yöntemler denemekte, mevzuatımızda değişiklikler yapmaktadır. İşbu yazımızda, ülkemizde uygulanan yöntem ve değişiklikler kişisel verilerin korunması hukuku kapsamında bilhassa kişisel sağlık verilerinin korunması kapsamında kısaca değerlendirilecektir.

2. SALGIN VE KİŞİSEL VERİLERİN KORUNMASI

Salgın tüm dünyada etkisini sürdürken bir yandan da kişisel verilerin korunmasına ilişkin soru işaretlerinin artmasına sebep olmaktadır. Salgının kişisel verilerin korunması hukukuna etkilerini değerlendirirken öncelikle kişisel veri-özel nitelikli kişisel veri ayrımının yapılması gerekmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) Tanımlar başlıklı 3. Maddesinde geçtiği üzere; kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteğe sahip verilerdir. KVKK Madde 6’da, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiştir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu madde ile özel nitelikli kişisel veriler sınırlı sayıda sayılmış olup, sayılanlar dışındakiler özel nitelikli kişisel veri olamaz. KVKK Madde 6’da özel nitelikli kişisel verilerin açık rıza olmaksızın işlenmesi yasaklanmış olup sadece sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir.

Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin kişinin tahlil sonucu, daha önce geçirmiş olduğu hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. COVID-19 test sonuncunun pozitif/negatif çıkması verisi de başta olmak üzere süreçte işlenen, aktarılan ve muhafaza edilen bütün tıbbi verilerin özel nitelikli kişisel veri olarak nitelendirileceği açıktır.

Bu bağlamda veri sorumluları tarafından özel nitelikli kişisel verilerin işlenmesi söz konusuysa bu konuya ayrıca özen göstermeleri hem itibar kaybı yaşamamaları hem de cezai işleme maruz kalmaları açısından elzemdir.

3. SAĞLIK VERİLERİ MEVZUATI VE SALGININ ETKİLERİ

KVKK’nın tamamı incelenildiğinde sağlık ve cinsel hayata ilişkin verilerin özel bir yere sahip olduğu görülebilir. Zira bu verilerin birtakım kanunlar uyarınca işlenmesi zorunlu iken (Örneğin: İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.5), bu zorunlulukta dahi veri işleyecek kişilerin sır saklama yükümlülüğü altında olan kişiler olması zorunlu tutulmuştur.

Özel nitelikli kişisel verilerin saklanması hususunda KVK Kurumu 31/01/2018 tarihinde vermiş olduğu karar ile bu verilerin daha güvenli ortamlarda tutulması için "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı ve 2018/10 sayılı ilke kararı Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.[1] Bu karar ile anlaşılmaktadır ki, özel nitelikli verilere sahip oldukları önem göz önüne alınmış ve bu verilerin işlenme, saklanma ve imha edilme aşamaları için birtakım ek güvenlik önlemleri getirilmiştir.

Kişisel sağlık verileri KVKK kapsamında özel nitelikli veri olarak korunmaktadır ancak bu duruma ek olarak, Sağlık Bakanlığı tarafından çıkartılan çeşitli yasal düzenlemeler de sağlık verilerine ilişkin hükümler içermektedir. Bu bölümde kısaca bu düzenlemelerden bahsedilecektir.

Kişilerin sağlık verileri hakkındaki düzenlemelerin başında 1593 sayılı Umumi Hıfzıssıhha Kanunu ardından Kişisel Sağlık Verileri Hakkında Yönetmelik ve Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği gelmektedir. Bu düzenlemelerin tamamının amacı sağlık verilerinin ilgili kamu ve özel kuruluşlarca işlenmesinin hukuki zeminini oluşturmaktır.

Yukarıda bahsi geçen düzenlemelerin kişisel verilerin korunması hukukuna etkilerinden kısaca bahsetmek gerekirse; 1593 sayılı Umumi Hıfzıssıhha Kanunu’nun 57. ve 61. maddeleri bildirimi zorunlu olan bir bulaşıcı hastalığın bildirilmesini sağlık hizmeti veren tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişileri sorumlu tutmaktadır. Bu kanun dayanağında çıkartılan Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği de yine ekinde yer alan listedeki bulaşıcı hastalıkların tespit edilmesi halinde uyulması gereken bir bildirim prosedürü yer almaktadır. Aynı yönetmeliğin 11. Maddesi ise bu bildirim sırasında; “Epidemiyolojik sürveyans ve bildirim sistemi ile elde edilen bilgilerden kişisel verilerin işlenmesi sırasında kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlükleri korunur. Kişisel veriler, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer mevzuata uygun olarak korunur.” ifadeleri ile bildirim dahilinde kişisel verilerin korunmasını düzenlemiştir. Bu düzenlemeler uyarınca Sağlık Bakanlığı ve Bakanlığa bağlı çalışan kurumların belirlenen bulaşıcı hastalıkların yayılmasının engellenmesi amacı ile kişisel sağlık verilerini işleyebileceği anlaşılmaktadır.

Bu konuda Nisan ayının başında İstanbul’da faaliyet gösteren özel bir laboratuvarın eylemleri kamouyunda tartışmaya sebep olmuştur. 2 Nisan tarihli haberde; yeni tip corona virüs testi yapmak konusunda yetkili olan laboratuvarın, Sağlık Bakanlığı’nın test sonucu pozitif çıkan şahıslara ait kimlik bilgileri ve iletişim bilgilerinin talep etmesine rağmen test sahiplerine ilişkin laboratuvar tarafından kullanılan kodların verildiği, ‘Kişisel verilerin korunması kanunu’ gerekçe gösterilerek açık isim, adres ve telefon numaralarının verilmediği belirtilmiştir. Bu haber ile ilgili laboratuvara kamoyunda oldukça büyük bir tepki gösterilmiş ve laboratuvarı yetkilileri hakkında ‘Bulaşıcı hastalıklara ilişkin tedbirlere aykırı davranma’ suçunu işlemek kaydı ile suç duyurusunda bulunulmuştur.[2]

Ancak bu konuyu değerlendirirken 22/04/2020 tarihli Resmi Gazete ile yürürlüğe giren önemli bir değişiklik göz önünde bulundurulmalıdır. İlgili değişiklik ile Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliğinin “Bildirime Esas Bulaşıcı Hastalıklar Listesi” başlıklı EK-1’ine “81. Covid-19 (yeni coronavirüs hastalığı)” eklenmiştir. Bu durum yukarıda yer verilen haberin değerdeki yetkili kişilerin hukuki sorumluluklarının doğması bakımından önem arz etmektedir. Zira haberin yapıldığı tarihte yeni coronavirüs hastalığı bu yönetmelik kapsamında bir bulaşıcı hastalık özelliğine sahip değildi. Haber ile birlikte sert eleştirilere maruz kalan özel laboratuarın aslında yalnızca mevzuata uygun hareket ettiği anlaşılmaktadır. Ancak bu değişiklik beraberinde farklı bir mevzuat uyuşmazlığını da beraberinde getirmektedir.

Umumi Hıfzıssıhha Kanunu’nun 61. Maddesinde, Kanun kapsamında bildirim yükümlülüğüne sahip kişier sayılmıştır.[3] Bunlar:

- Hastane baştabipleri,

- Mektep, fabrika, imalathane, hayır müesseseleri, ticarethane ve mağaza, otel, pansiyon, han, hamam, hapisane sahip veya müstecirleri ve müdürleri,

- Apartman kapıcıları ve köy ihtiyar heyetleri

- Eczacılar,

- Diş tabipleri ve ebeler, hasta bakıcıları,

- Ölü tabutlayan ve yıkayanlar olarak sayılmıştır.

Umumi Hıfzıssıhha Kanunun dayanak olduğu Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği’nin 10. maddesine göre ise bulaşıcı hastalıkların ihbar ve bildiriminden sorumlu kişiler; “ sağlık hizmeti veren bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler”dir.

Yukarıda yer verilen mevzuat hükümleri ve KVKK birlikte değerlendirildiğinde; Umumi Hıfzıssıhha Kanunun açıkça KVKK’nın sağlık verilerinin yalnızca sır saklama yükümlülüğünde olan kişilerce işlenmesi maddesi ile açık bir çelişki içerisinde olduğu anlaşılmaktadır. Her ne kadar, Umumi Hıfzıssıhha Kanununa yeni coronavirüs hastalığı eklenmemiş olsa da Yönetmelikte yapılan bu değişikliğin KVKK’nın uygulanmasında meydana getireceği değişikliklerin Kanun’un uygulayıcısı konumundaki KVK Kurumu tarafından açıklanması gerekmektedir.

4. SONUÇ

Salgın zamanında bireylerin kendi ve ailelerinin sağlıkları için yaşadıkları haklı endişe sebebiyle kişisel verilerini birincil öncelik olarak görmediği açıktır. Ancak sağlık kuruluşları ve hukukçular olarak bu dönemde konuya verdiğimiz önem ve ilgi azami seviyeye çıkmalıdır. Bireysel olarak da salgın durumundan menfaat elde etmek isteyen kişi veya kurumlara karşı da bilinçli olmamız gerektiği kanaatindeyiz. Kişisel verilerin korunması hukuku alanında yapılan yorum ve eleştirilerde ilgili mevzuat hükümlerini göz önünde bulundurmak son derece önemlidir. Bu yazı ile salgın zamanlarında dahi azami özenle korumamız gerektiğine inandığımız kişisel sağlık verileri hakkında süreç içerisinde yaşanan mevzuat değişiklikleri ile ilgili kişilerin ve menfaat sahiplerinin bilgilendirilmesi amaçlanmıştır.


#covid-19
Yol Tarifi