Yeni Normalleşme Sürecinde Seyahat Edenlerin Sağlık Verilerinin İşlenmesinin Hukuki Boyutu

0
5771

Havacılık sektöründe faal olarak Danışmanlık yapan ve MGC Legal Hukuk Bürosu Ortaklarından Av Özgün Önal ” hava yolu şirketi tarafından yolculara ait sağlık verilerinin işlenmesi hususunu, farklı ülkelerin veri koruma otoritelerinin konuya dair bakış açısını ve Türk Hukuku’ndaki düzenlemeleri ” bizler için değerlendirdi.

Değerlendirmede haya yolu şirketi tarafından yolculara ait sağlık verilerinin işlenmesi hususu öncelikle farklı ülkelerin veri koruma otoritelerinin konuya dair bakış açısı bakımından değerlendirilmiş devamında Türk Hukuku’ndaki düzenlemeler kapsamında incelenmiştir.

Çin’in Wuhan kentinde ortaya çıkan ve Dünya Sağlık Örgütü (WHO) tarafından pandemi ilan edilen Covid-19 salgın hastalığı dünya çapında hızla yayılmıştır. Ülkeler bu kapsamda alınması gereken acil durum önlemlerini almıştır. Şüphesiz etkileri iş hayatı üzerinde giderek artan bir yoğunlukla görülmektedir. Salgının bir o kadar beklenmedik ve hızlı ilerleyen etkisi göz önüne alındığında, ticari iş ve teslimatlarda olası gecikme veya ifa güçlüğü durumları karşısında sözleşmelerde yer alan mücbir sebep maddeleri, devletler ve yargı mercilerinin mücbir sebep doğrultusundaki değerlendirmeleri her sektörün yakın takibindedir. Taşımacılık ve Havacılık sektörü de bu alanların başında gelmektedir.

Tedarik ve dağıtım kanallarında yaşanan gecikmeler, işyerlerinin ve liman/havalimanlarının kapatılması, gümrüklerdeki aksaklıklar, işgücündeki problemler ve azalma global boyutta bir krizin de kapıda olduğunun habercisi olarak yorumlanmaktadır. Özellikle Mart ortasından itibaren başta Avrupa olmak üzere uçuşlar iptal edilmiştir. Bu tarihten itibaren bugüne kadar olan süreçte ülkemizde salgının etkisi peak noktasına ulaşmış şu anda da kontrol edilebilir olduğunu düşündüğümüz bir seyirde ilerlemekte ve vaka , yoğun bakım ve vefat edenlerin sayısı kademeli olarak inişe geçmiştir.  Kuşkusuz bu durum da yeni sonuçlar doğuracaktır. acılık sektörüne etkisini göstermiştir.

New Normal adı verilen yeni normalimizde alınan tedbirlerin etkileri ile karşı karşıya geleceğiz. Yakın dönemde yeniden iç ve dış hatlarda uçuşlar kademeli olarak birçok ülkede başlayacaktır. Alınan tedbirlerin ilk etkilerinden biri de bu ilgili haya yolu şirketi tarafından yolculara ait sağlık verilerinin işlenmesi hususu olacaktır.

Yeni normalimize başladığımızda seyahat öncesinde yolcuların sağlık verileri önem arz etmektedir. Diğer yolcuların, personelin ve uçuşun sağlıklı gerçekleştirilebilmesi için kişilere ait sağlık verilerinin alınması elzem bir durumdur. Bu doğrultuda bir çok veri koruma otoritesi konuya dair bakış açısı bulunmaktadır.

Örnek vermek gerekirse; Birleşik Krallık Kişisel Verileri Koruma Kurulu (ICO), işyerine giriş yapan işçi ve ziyaretçilerden ateş ölçümü gibi sağlık verilerinin toplanabilmesini salgın kapsamında meşru amaç gereğince uygun bulmaktadır. Hükümet tarafından veirlen tavsiyelere rağmen müşteri kabul etmek durumunda kalınması halinde daha spesifik sağlık verilerini talep edebileceğini belirten ICO, bu veriler alınırken de amaçla ölçülülük ilkesine uygun davranılmasını ve veri güvenliğine ilişkin gerekli tedbirlerin alınmasını tavsiye etmektedir. İrlanda Kişisel Verileri Koruma Kurumu ise (DPC) işverenin veya satıcının çalışma alanlarının güvenliğine dair hukuki sorumluluğu gereğince bu bilgileri talep etmesini haklı görülebileceğini ancak bu durumun basit bilgi almadan bir sorgu veya ankete dönüşebilmesi için durumun  yürütülen faaliyet ile doğrudan bağlantılı olması veya Halk Sağlığı Kurumu tarafından yetkilendirilmiş olması gibi meşru sebepler arayacaklarını belirtmişlerdi. Avrupa Birliği Kişisel Verileri Koruma Kurumu COVID-19 salgını bağlamında veri koruma mevzuatının koronavirüs pandemisiyle mücadele için önlemlerin alınmasını engellemediğini, bulaşıcı hastalıklara karşı mücadelenin tüm uluslar tarafından paylaşılan önemli bir hedef olduğunu ve  mümkün olan en iyi şekilde desteklenmesi gerektiğini ancak bu istisnai anlarda bile veri sorumluları ile veri işleyenlerin, veri güvenliği hususunda yükümlülüklerini yerine getirmesi gerektiğini bunun sağlanması için bir dizi hususa dikkat çekilmesi gerektiği belirtildi. Uyulması gereken kıstaslar özetle; veri işleme faaliyetlerinin GDPR uyumlu olması, GDPR’da yer alan ilkelerin esas alınması ve ilgili kişilerin aydınlatılması başlıkları altında toparlandı.

Sağlık verisinin toplanabilmesi konusunu orantılılık ve veri minimizasyonu ilkeleri çerçevesinde yapılmasını bildirdi.

Ülkemizdeki duruma bakarsak;

Kişisel Verileri Koruma Kanunu, kişisel sağlık verilerinin işlenmesi bağlamında sadece iki imkan öngörmektedir. Bunlardan birincisi açık rıza, ikincisi ise m. 6 / 3’de öngörüldüğü üzere kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca işlenmesidir.

Bir üçüncü ihtimal ise, m. 28 f. 1 b. c) ve ç) çerçevesinde öngörülen istisnaların uygulama alanı bulmasıdır.

MADDE 28: (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

b)… Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. c)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. ç)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. … “

İlgili istisnaları incelediğimizde “kamu sağlığına” yer verilmediği aşikardır. Bu sebepten 28. maddenin ilgili fıkralarında anılan istisnalar salgın kapsamında işverenin sağlık verilerine işleyebilmesine olanak tanımamaktadır. Açık rıza alarak bu verileri işleme hali ise başkaca bir hukuki sorun yaratmaktadır. Zira açık rıza, ilgili kişi tarafından istenildiği zamanda geri alınabilen bir beyandır.  İşveren veya satıcı, açık rızanın geri alınabilirliği ve dolayısıyla geri alınmasından itibaren kişisel sağlık verisi işleme sürecinin hukuka aykırı hale gelmesi tehlikesiyle sürekli karşı karşıya kalabilir. Açık rızaya başvurmaksızın kişisel sağlık verisi işlemek isteyen veri sorumluları ise ancak, işyerinde bulunduracakları sır saklama yükümlülüğü altındaki sağlık personeli vasıtasıyla bu verileri işleyebilecektir. Bu çerçevede kişisel sağlık verilerinin öncelikle söz konusu kişiler tarafından değerlendirilmesi, bu verileri ilgili karar mekanizmalarına, ihtiyaç duydukları kadarıyla iletmeleri önerilmektedir. Ancak bu bağlamda şöyle bir durum ortaya çıkmaktadır sır saklama yükümlülüğü altındaki sağlık personelinin ilgili birimlere aktardığı verilerin, kişisel sağlık verisi vasfını yitirmediği, dolayısıyla karar veren birimin de sır saklama yükümlülüğü altında olmasa dahi kişisel sağlık verisi işlediğidir.

Ortaya çıkan bu kafa karışıklarının giderilmesi amacıyla Kişisel Verileri Koruma Kurulu tarafından kamuoyu açıklaması yayımlanmıştır. Buna göre işverenin işyerine giriş yapan personelden, müşterilerden veya ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talep edip edemeyeceği konusunda ise Kurum tarafından şu yanıt verilmiştir: işverenlerin, güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan, müşterilerden ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir.

Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.

Kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.

Kişisel sağlık verileri işleyebilme durumu farklı ülke otoritelerince yorumlanmış ve ülkemiz bakımından Kurum’un açıklaması uyarınca, öncelikli olarak sağlık verisinin anonim şekilde paylaşılması öngörülmüş ancak ilgili kişinin önceden bilgilendirilerek açık rızasının alınması şartıyla meşru bir gerekçeye dayanarak işveren tarafından bu bilginin diğer çalışanlarla paylaşılabilmesine olanak tanınmıştır.

Sonuç olarak, havayolu şirketi tarafından uçağa giriş ve çıkışlarda talep edilecek sağlık verilerinin amaçla ölçülü ve sınırlı bir şekilde risk değerlendirmesine dayanan meşru bir gerekçe ile ilgili kişinin önceden bilgilendirilmesi ve açık rızasına istinaden işlenebileceğine yahut kamu sağlığının korunması amacıyla sır saklama yükümlülüğü bulunan personel tarafından işlenebileceğini ifade edebiliriz.

Önemle belirtmek gerekir ki bu durum kanunda kişisel sağlık verilerinin işlenmesinin açıkça öngörüldüğü hallerle sınırlı olup bunun haricinde kişisel sağlık verilerinin işlenmesinde KVKK m. 6 f. 3 c. 2 hükmünün aynen uygulanması gerekecektir. Yine veri sorumlusunun aydınlatma yükümlülüğü ve genel ilkelere riayet etme noktasındaki yükümlülüklerinde hiçbir değişiklik söz konusu olmayacaktır