Gündemde büyük yer alan Covid-19 kapsamında gereken bilgi paylaşımı, birçok kişi tarafından kişisel verilerin korunması hususunda kaygı sebebi olmuştur. Bu doğrultuda geçmişe dönük yurtdışı bilgileri ve benzer bilgilerin paylaşımının hangi koşullarda sağlandığı konusu merak edilmektedir. Bu durumda Covid-19 döneminde kişisel verilerin korunması durumu hakkında detaylı bilgiye ulaşmak gerekecektir.
Pandemi Sürecinde Kişisel Verilerin Paylaşımı
Çin merkezli olarak ortaya çıkan ve kısa sürede dünyayı etkisi altına alan Covid-19 Dünya Sağlık Örgütü tarafından pandemi ilân edilmiştir. Bu süreç sebebiyle salgının hızlı yayılımının engellenmesi için alınan tedbirler kapsamında çeşitli uygulamalar ortaya çıkmıştır. Bu doğrultuda özellikle yurt dışı çıkışlarında ülkeler arasında bilgi paylaşımı esnasında hastalık veya yurtdışı geçmişi bilgilerinin iletilmesi gerekebilmektedir.
Covid-19 sürecinde kişiler hakkında işlenen ve aktarılan veriler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu dâhilinde “özel nitelikli” kişisel veriler içinde yer alan sağlık verileridir. Bu veri işleme uygulamaları, olağanüstü hallerde yapıldığı için kanunun getirdiği sert kuralları esnetmesi gibi durumların yaşanabilmesi söz konusu olabilecektir.
Bu hususta Covid-19’a dair Avrupa Veri Kurulu (EDPB), 20.03.2020 tarihinde ve Kişisel Verileri Koruma Kurumu, 27.03.2020 tarihinde açıklamalarda bulunmuştur.
EDPB’nin Kişisel Verilerin Korunması Kanunu Hakkında Açıklamaları
Kurum, 20.03.2020 tarihinde yaptığı açıklamada salgın sırasında yapılabilecek operasyonel farklılıklar dahilinde veri ihlal bildirimi konusunda uyulması gereken sürelerin olağanüstü koşullara göre değerlendirileceği belirtilmiştir. Gelişen yeni sorunlar nedeniyle kurum, ikinci bir açıklama yapmıştır.
Açıklamaya göre aşağıdaki hususlara dikkat edilmesi kararı verilmiştir:
- Verilerin gerekli oldukları süre kadar muhafaza edildikten sonra işlenmesini gerektiren unsurların sonlanması halinde verilerin silinmesi, yok edilmesi ya da anonimleştirilmesi gerekir.
- Sağlık verilerinin paylaşılması hususunda çalışanların rızası alınması ya da doğrudan kendi rızası ile hastalık bildirimi yapması söz konusu olabilir.
- Hastalık verilerinin hekimler tarafından işlenmesi halinde özel nitelikli veri dâhilinde olmayan verilerin işlenmesi söz konusu olursa Kanunun 5. Maddesinde bulunan kişisel veri işleme şartları göz önünde bulundurulur.
- Kanunun 28. Maddesinin 1. Fıkrası Ç bendi kapsamında milli güvenlik, milli savunma, kamu düzeni, kamu güvenliği, ekonomik güvenlik gibi unsurların korunması hususu dikkate alınmıştır. Bu durumda verilerin işlenmesi hususunda Kanun hükümleri uygulanmaz.
- Kişisel verileri işleyenler, veriler hakkında toplanma amacı, ne kadar süre saklanacağı gibi bilgileri paylaşmak ve şeffaf olmak durumundadır.
- İşlenen veriler, açık ve zorunlu gerekçe olmadan üçüncü tarafa ifşa edilemez.
- Gereğinden fazla veri işleme işleminden kaçınılmalıdır.
Yayınlanan açıklama kapsamında bu önlemlerin alındığı belirtilmiştir.