Ersan Şen Hukuk ve Danışmanlık - KVKK Duyurusu ile Pandeminin Önlenmesi

Prof. Dr. Ersan Şen

KVKK Duyurusu ile Pandeminin Önlenmesi
29.09.2021 / Prof. Dr. Ersan Şen, Araş. Gör. Kasım Ocak

Kişisel Verileri Koruma Kurulu 28.09.2021 tarihli ve 2021/980 sayılı Kararıyla, “Covid-19 PCR Test Sonucu ve Aşı Bilgisi Uygulamalarına İlişkin” kamuoyu duyurusunu internet sitesinde yayımlamıştır.

Kurulun yayımladığı bu duyuru ile çözüm getirmeye çalıştığı sorun, idare tarafından yayımlanan bazı düzenleyici işlemler ve işverenlerin taleplerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak yerine getirilmesinin yol açtığı zorluk, belki de imkansızlıktır.

Kurulun da kararında belirttiği gibi İçişleri Bakanlığı tarafından 20.08.2021 tarihinde Valiliklere gönderilen yazı ile konser, sinema, tiyatro ve toplu ulaşım araçları gibi insanların toplu olarak bulunduğu faaliyetlere katılım sağlamak isteyen kişilere Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bildirilmesi zorunluluğu getirilmiştir. Burada; yazı gönderme yetkisinin 1593 sayılı Umumi Hıfzıssıhha Kanunu uyarınca Sağlık Bakanlığı’na ait olduğunu, esasen İçişleri Bakanlığı’nın yetkisinin olmadığını belirtmeliyiz. Her nedense meşruiyet sorunu olmamakla birlikte bugüne kadar “genelgeler” üzerinden yasal dayanağı olmaksızın İçişleri Bakanlığı’nın pandemi ile ilgili birçok genelgesini gördük.

Çalışma ve Sosyal Güvenlik Bakanlığı tarafından 02.09.2021 tarihinde Valiliklere gönderilen yazı ile ise Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı belirtilmiştir.

Her iki Bakanlık tarafından valiliklere gönderilerek uygulanması talep edilen pandemi tedbirlerinin bir düzenleyici işlemle alınması, 2019 yılında çıkan ve 2020 Mart ayında ilk kez ülkemizde görülen Covid-19 ile mücadeleye yönelik tedbirlerin temel hak ve hürriyetleri sınırladığı için kanuni bir düzenleme yapılması gerektiği eleştirilerinin pandemin başından bu yana geçen uzun süreye rağmen dikkate alınmadığını, halen temel hak ve hürriyetleri ilgilendiren tedbirlerin Bakanlık tarafından valiliklere gönderilen bir yazı ile sınırlandığını göstermektedir.

Kişisel Verileri Koruma Kurulu ise bir bağımsız idari otorite olarak, pandeminin başından bu yana tüm idari kurumlara sirayet eden alışkanlığı sürdürmüş, bakanlıkların düzenleyici işlemlerle uygulanmasını talep ettikleri tedbirleri bir duyuru ile değerlendirerek, pandemiyi önlemede sürdürülen yanlışa başka bir boyut daha eklemiştir.

Türkiye Büyük Millet Meclisi’nin bir kanuni düzenleme yaparak pandemiyi önleme kapsamında alınacak tedbirleri yasal bir zemine kavuşturması beklenmekte iken, bir bağımsız idari otoritenin düzenleyici işlemlerle talep edilen yükümlülükleri ve bu konudaki yaşanan çözümsüzlüğü bir internet sitesi duyurusu ile aşmaya çalışmasının oldukça yanlış bir yöntem olduğunu vurgulamamız gerekir.

Tercih edilen yöntemin yanlışlığını belirtmenin ardından Kurulun duyurusuna neden olan sorunu, kararının içeriğini ve nasıl anlaşılması gerektiğine de kısaca değinmemiz gerekir.  

Öncelikle her ne kadar Çalışma ve Sosyal Güvenlik Bakanlığı tarafından valiliklere gönderilen yazıda Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı belirtilmişse de, 6698 sayılı Kanun çerçevesinde bu gerekliliklerin işverenler tarafından nasıl yerine getirileceği konusunda tartışma yaşanmıştır. Bu tartışmaların temel nedeni, özel nitelikli kişisel veri olarak sağlık verisi olduğunda kuşku bulunmayan Covid-19 aşı bilgisi ve PCR test bilgisinin 6698 sayılı Kanunun 6/3. maddesine göre işlenmek zorunda olmasıdır.

6698 sayılı Kanunun 6/3. maddesi, sağlık verilerinin kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğini hüküm altına almaktadır. Dolayısıyla, Çalışma ve Sosyal Güvenlik Bakanlığı yazısı ile aşı bilgisi ve PCR test sonuçlarının işverenler tarafından işlenmesi gerekli kılınsa da uygulamada bu gerekliliğin ancak işyeri hekimi bulunan işyerlerinde işyeri hekimi aracılığıyla yerine getirilmesi mümkün görünmektedir. İşyeri hekimi tarafından işlenen bu verilerin de işverenler ve firmaların diğer birimleri paylaşılmaması gerekmektedir ki, aksi takdirde Kanunun 6/3. maddesinde sır saklama yükümlülüğü altında kişilerin işlemesi yoluyla getirilen koruma işlevsiz kılınmış olacaktır.

İşyeri hekimi aracılığıyla yapılacak bu işleme yöntemi dışında ilk akla gelecek yöntem bu verilerin doğrudan işveren çalışanları veya birimleri aracılığıyla işlenmesidir. Ancak bu yöntemin, sır saklama yükümlülüğü altında olmayan kişiler tarafından gerçekleştirildiği için Kanunun 6/3. maddesi kapsamında hukuka uygun görülmesi mümkün değildir. Bu verileri işlemek için son ihtimal ise çalışanların açık rızasını almaktır. Ancak bu ihtimal de Kurulun kendi rehberinde yer verdiği üzere; işçilerin işverenlere verdiği açık rızaların özgür irade ile verilmesinin tartışmalı olması nedeniyle işlevsel olmadığı gibi, açık rızaların geçersiz sayıldığı ihtimalde yapılan veri işleme faaliyetleri hukuka aykırı hale gelecektir.

Tüm bu hususlar değerlendirildiğinde; işverenin 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun 4. maddesinden kaynaklanan yükümlülüğü ve Çalışma ve Sosyal Güvenlik Bakanlığı’nın düzenleyici işlemle talep ettiği gereklilikler ile 6698 sayılı Kanunun 6/3. maddesinin uyumsuzluğundan kaynaklı bir sorun ve güçlük olduğu görülmektedir.

Bu güçlüğün aşılmasının en doğru yolu 6698 sayılı Kanunda yapılacak bir düzenlemeyle, özel nitelikli kişisel verilerin işlenme şartlarında 6698 sayılı Kanunun mehaz düzenlemesi olan 95/46 sayılı Direktif veya GDPR’da yer aldığı şekilde bir değişiklik yapılmasıdır. Nitekim İnsan Hakları Eylem Planı’nda da yer alan 6698 sayılı Kanunun, Avrupa Birliği standartları ile uyumlu hale getirilmesine ilişkin bir değişikliğin yakın zamanda olması beklenmektedir.

Kurulun duyurusuna neden olan bu sorunu açıkladıktan sonra Kurulun duyurusu ile anlaşılabilecek ihtimaller üzerinde durulması gerekmektedir.

Kurul, ilk olarak İçişleri Bakanlığı ile Çalışma ve Sosyal Güvenlik Bakanlığı’nın yazılarına ve özel nitelikli kişisel verilerin 6698 sayılı Kanunun 6/3. maddesine göre dikkat çekmiştir. Ancak daha sonra pandemi ile mücadele kapsamında aşı durumu ve PCR test sonucu gibi Covid-19’a ilişkin kişisel sağlık verilerinin işlenmesinin kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla gerekli olduğunu tespit etmiştir.

Aşı durumu ve PCR test sonucu verilerinin işlenmesinin kamu düzeni ve güvenliği için gerekli olduğunu tespit eden Kurul, bu tespit nedeniyle yapılan işleme faaliyetlerinin 6698 sayılı Kanunun 28/1(ç). maddesinde yer alan istisna kapsamına gireceğine karar vermiştir. İlgili bende göre, “Kişisel verilerin millî savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” Kanunun uygulanmayacağı istisnai hallerden birisi olarak düzenlenmiştir.

Öncelikle burada Kurulun yaptığı değerlendirmenin, aşı bilgisi ve PCR test sonucu verilerinin idare ve işverenler tarafından işlenmesinin hukuka uygunluk veya aykırılığına ilişkin bir değerlendirme olmadığı, yalnızca bu işlemelerin Kanun kapsamı dışında kaldığını tespit etmekten ibaret olduğunu ifade etmemiz gerekir. Elbette uygulamada bu duyurunun yansıması, idare ve işverenler tarafından aşı bilgisi ve PCR test sonucu verilerinin işlenebilmesi olacaktır. Ancak Kurul, yaptığı duyuru ile açılan imkandan yararlanarak bu amacı aşacak şekilde veri işleyen veri sorumlularını uyarmış, “kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağını”, başka bir ifadeyle amaçla uyumsuz veya amacı aşan işlemeleri önüne gelmesi halinde değerlendireceğini belirtmiştir.

Kurulun yaptığı bu duyuruyu çok açık olmadığı için yalnızca kamu kurumlarının istisna kapsamında görüldüğü, işverenlerin halen 6698 sayılı Kanunun 6/3. maddesine tabi olduğu, işverenlere yönelik bir değişiklik olmadığı şeklinde yorumlayanlar da olmuştur. Bununla birlikte; gerek bu faaliyetlerin istisna kapsamına girdiğinin bir duyuru ile yapılması ve gerekse Çalışma ve Sosyal Güvenlik Bakanlığı’nın işçilerden PCR testi istenmesine ilişkin yazısına atıf yapması birlikte yorumlandığında Kurulun, Bakanlığın ilgili yazısına istinaden işverenlerin yaptığı işlemeyi “kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” olarak göreceği anlaşılmaktadır. Bir başka ifadeyle; işverenler Bakanlık yazısı kapsamında bu verileri işleyeceği için bu işleme faaliyeti, kamu kurum ve kuruluşları tarafından kamu sağlığı, kamu güvenliği ve kamu düzenini korumak için yürütülen önleyici ve koruyucu faaliyetler kapsamında değerlendirilecektir.

Kurul, yayımladığı bu duyuru ile uygulamada yaşanan bir soruna/sıkışıklığa, yapılan faaliyeti Kanun kapsamı dışına çıkarıp, kendisini yetkisiz kılmak suretiyle bir çözüm getirmiştir[1]. Diğer bir ifadeyle; faaliyete kanuni dayanak bulmak, işleme faaliyetlerine dair sınır ve ilkeleri belirtmek gibi ilgili kişilerin Anayasada güvence altına alınan kişisel verilerin korunmasını isteme hakkı bakımından daha güvenceli bir çözüm arayışı yerine, konuyu Kanun kapsamı dışına taşıyarak daha güvencesiz bir işlemenin önünü açmış olmaktadır. Bu endişeyi görmüş olması nedeniyle amaç ile uyumsuz veya amacı aşan veri işleme faaliyetlerini Kanun kapsamında göreceği ve gerekli yaptırımları uygulayabileceği uyarısını yapmıştır.

Sonuç olarak; Kurulun uygulamada yaşanan bir probleme çözüm getirdiği, idare ve işverenlerin aşı bilgisi ve PCR test sonucu verilerini işlemesinin Kurul bakımından bir sorun teşkil etmeyeceğini açıkladığını söyleyebiliriz. Ancak bu çözümü getirirken kullandığı yöntemin bir duyuru olması, pandemi başından beri idare tarafından tüm tedbirlerin düzenleyici işlemlerle belirlenmesi sorununun sürdüğünü göstermektedir. Ayrıca, Kanunun yetersiz kalması nedeniyle uygulamanın içine düştüğü sıkışıklığı aşmak bir bağımsız idari otoritenin görevi değildir. Türkiye Büyük Millet Meclisi gerekli kanuni düzenlemeleri yapmak durumundadır. Bağımsız idari otorite olarak Kişisel Verileri Koruma Kurulu’nun görevi 6698 sayılı Kanunun 22/1-a hükmünde, “Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.” ibaresine yer verildiği görülmektedir. Bu nedenle; Kurulun yayımladığı duyurunun aşı bilgisi ve PCR test sonucu verilerinin işlenmesinin önünü açmakla birlikte, bu sorunun çözülme yönteminin bir duyuru ile yapılması ve konunun Kanun dışına itilmesi nedeniyle temel hak ve hürriyetler bakımından güvencesiz bir çözüm olduğu söylenebilecektir. Esasen Kurul, tehlikeli salgın hastalıklarla ilgili 1593 sayılı Umumi Hıfzıssıhha Kanunu’nu gerekçe göstermek suretiyle verilerin toplanıp işlenmesi ile ilgili yasal dayanak da ortaya koyabilirdi.

Belirtmeliyiz ki; işveren, çalışandan aşı bilgisini veya PCR testi sonucunu isteyip de gerekli bilgi ve belgenin çalışan tarafından verilmediği durumda, 4857 sayılı İş Kanunu’nun 25. maddesi uyarınca haklı sebeple iş akdinin fesih hükmünün değil, ancak 18. maddesinde öngörülen geçerli nedenle haklı fesih hakkı gündeme gelebilecektir.


[1] Kişisel Verileri Koruma Kurulu, 04.06.2021 tarih ve 2021/549 sayılı kararı ile pandemi nedeniyle yapılan ateş ölçüm faaliyetlerinin “herhangi bir veri kayıt sisteminin parçası olarak işlenmediği” gerekçesiyle Kanun kapsamında olmadığına karar vermiştir. Kurul’un bu kararda da içine düşülen çözümsüzlüğe, tartışmalı bir konuyu Kanun kapsamında görmeyerek çözüm bulduğu görülmektedir.