| Okuma Süresi: 4 Dakika

KİŞİSEL VERİLERİN KORUNMASI KANUNU AÇISINDAN HES KODU UYGULAMASI

STJ. AV. YASİN ERZURUM

Filyasyon takip uygulamaları (contact tracing apps) Covid-19 pandemisi açısından kriz yönetiminin tüm aşamalarında önemli bir rol oynayabilmektedir. Söz konusu uygulamalar bireyler arası teması azaltmakta ve virüsün bulaşma zincirini kesmeye yardımcı olmaktadır. Bu kapsamda Avrupa Birliği’nin 27 üye devletinden 19’unda takip uygulaması geliştirilmiş (Almanya- Corona-Warn-App, Fransa-TousAntiCovid, İtalya- Immuni vb.), diğer üye devletlerde ise söz konusu uygulamaların geliştirilme veya planlanma aşamasında olduğu belirtilmiştir.

Aynı şekilde Birleşik Krallık Ulusal Sağlık Hizmetleri (UK National Health System) tarafından geliştirilen The NHS COVİD-19 uygulaması da Covid-19’un bulaşma zincirini kırmayı amaçlayan bir mobil uygulamadır. Kullanıcılar bu uygulamayı kullanarak kendilerini ve etrafındakileri korumaya yardımcı olacak ve NHS tarafından riskli kişilerin takibi daha etkili bir şekilde sağlanabilecektir. Uygulama aynı zamanda bireyleri izolasyon sırasında bilgilendirmek, sahip olunan semptomların uygulamaya girilmesi ile test için ilgili kişileri yönlendirmek amaçlarını gerçekleştirme açısından da kullanılmaktadır.

Ülkemizde de bu doğrultuda HES (Hayat Eve Sığar) Kodu (“Kod”) uygulaması yürürlüğe konmuştur. Sağlık Bakanlığı’nın yaptığı tanım uyarınca HES (Hayat Eve Sığar) Kodu, Kontrollü Sosyal Hayat kapsamında, ulaşım ya da ziyaret gibi işlemlerde kurumlarla ve kişilerle, bireylerin Covid-19 hastalığı açısından herhangi bir risk taşıyıp taşımadığını güvenli şekilde paylaşabilmesine yarayan bir koddur. Kurumlarla veya kişilerle paylaşılan HES Kodları, uygulama üzerinden ya da kurumlara sağlanan servisler aracılığı ile sorgulanabilmekte, ilgili kişinin Covid-19 açısından riskli olup olmadığı tespit edilebilmektedir.

Koronavirüs salgınının ortaya çıkmasından bu yana, birçok ülkede geliştirilen ve milyonlarca kişi tarafından indirilen uygulamalar salgın yönetimine dijital bir çözüm sunmakta ancak bu çözüm yöntemi siber güvenlik ve kişisel veriler açısından da birçok endişeyi beraberinde getirmektedir. Ülkemizde kullanılan HES Kodu’nun da kişisel verilerin korunması bağlamında ele alınması gerekmektedir.

HES Kodu üç yöntem ile alınabilmekte olup; bu yöntemler i) Hayat Eve Sığar Mobil Uygulaması ile, ii) 2023 kısa numarasına gönderilen SMS ile, iii) e-Devlet ile, olarak sayılmaktadır. HES Kodu kurum veya kişilerle doğrudan ya da mobil uygulama ile paylaşılabilmekte; Kodun paylaşıldığı kurum veya kişiler tarafından Kod sahibinin Covid-19 açısından herhangi bir risk taşıyıp taşımadığı sorgulanabilmektedir. HES Kodları kişiye ait üretilmiş, tekil nitelikte kodlar olup kontrol ve yönetimi tamamen ilgili kişiye aittir. Görüldüğü üzere HES Kodu, kim adına üretilmiş ise söz konusu ilgili kişinin Covid-19 açısından herhangi bir risk taşıyıp taşımadığını tespit etmekte, dolayısıyla ilgili kişinin kişisel verisi işlenmektedir. Bununla beraber, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) Madde 6/1 uyarınca, HES Kodu ilgili kişinin sağlığına ilişkin bilgiyi içermesi nedeniyle özel nitelikli kişisel veri kategorisinde sayılabilecektir. Dolayısıyla ilgili kişinin sağlık verisini taşıyan ve özel nitelikli kişisel veri sayılabilecek olan HES Kodu veri işlemeye konu olduğunda ilgili kişinin aydınlatılmış açık rızasının alınması yükümlülüğü söz konusu olacaktır.

Bununla beraber Kanun’un uygulanmayacağı hallerin sayıldığı 28/1 Maddesinin (ç) bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.” düzenlemesi yer almaktadır. Bu istisna hüküm nedeniyle 28/1(ç) bendinde sayılan amaçlar kapsamında veri işleme söz konusu ise Kanun’un 6. Maddesi uyarınca özel nitelikli kişisel verisi işlenen ilgili kişiden aydınlatılmış açık rızanın alınması kamu kurum ve kuruluşları açısından söz konusu olmayacaktır. Dolayısıyla ilgili kişinin sağlık verisini de ihtiva eden HES Kodu ilgili kişi aydınlatılmadan ve açık rızası alınmadan da veri işlemeye konu olabilecektir.

Bu doğrultuda Kişisel Verileri Koruma Kurulu (“Kurul”) 09.04.2020 tarihinde yayınladığı “Salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.” duyurusuyla kamu kurum ve kuruluşlarının 28/1(ç) kapsamında olduğunu, dolayısıyla Kanun’un uygulanmayacağı istisna bir durumun söz konusu olduğunu belirtmiştir.

Bu kapsamda kamu kurum ve kuruluşlarının ilgili kişilerin kamu kurum ve kuruluşlarına ait yerlere giriş çıkışlarında kamu düzeni ve kamu güvenliği sebebiyle HES Kodu alınmasını zorunlu tutması 6698 Sayılı Kanun açısından herhangi bir ihlale yol açmayacaktır.

Kanun’un 6/3 Maddesi ise; “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir” hükmünü havidir. Bu nedenle, sağlık verisini de ihtiva eden HES Kodu Kurul tarafından eğer 28/1(ç) bendi kapsamında sayılmasaydı dahi 6/3 uyarınca “kamu sağlığının korunması” amacına uygun olarak veri işleyen yetkili kurum ve kuruluşların ilgili kişinin açık rızasını almak konusunda yükümlülüğünün olmayacağı söylenebilecektir.

Diğer taraftan kamu kurum ve kuruluşu niteliğini haiz olmayan banka, AVM veya fabrika gibi yerlerin girişlerinde HES Kodunun zorunlu tutulması açısından ise, somut olaya göre Kanun kapsamında veri işleme tanımına uygun bir faaliyetin söz konusu olup olmadığı irdelenmelidir. Kanun’un 3. Maddesinde belirtildiği üzere kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi hallerinde veri işleme faaliyeti söz konusu olmaktadır. Dolayısıyla kamu kurum ve kuruluşu niteliğini haiz olmayan banka, AVM veya fabrika gibi yerlerin girişlerinde HES Kodunun zorunlu tutulması eğer herhangi bir kayıt sisteminin parçası yapılmadan, anlık olarak gerçekleştirilen bir işlem olarak ortaya çıkıyorsa, Kanun kapsamında herhangi bir veri işleme faaliyetinden bahsedilemeyeceğinden özel hukuk tüzel kişilerinin bu çerçevede bir sorumlulukları veya yükümlülükleri doğmayacaktır. Ne var ki, söz konusu faaliyet tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası haline getirilerek otomatik olmayan yollarla gerçekleştiriliyorsa, yukarıda da açıklandığı üzere, özel hukuk tüzel kişileri 28/1(ç) kapsamında olmadığından, söz konusu özel hukuk tüzel kişilerinin Kişisel Verilerin Korunması Kanunu’ndan kaynaklanan yükümlülükleri devam edecektir. Bununla beraber, yukarıda bahsi geçen özel hukuk tüzel kişileri; kamu sağlığının korunması amacıyla HES Kodu ile sağlık verisi işlemekte olsalar dahi Kanun’un 6/3 maddesinde diğer şart olarak belirtilen sır saklama yükümlülüğü altında bulunan kişiler ‘den olmadıkları için aydınlatma yükümlülüğünün yanında ilgili kişilerden açık rıza alınması yükümlülükleri de devam edecektir.

Sonuç olarak mevzubahis özel hukuk tüzel kişileri olduğunda ikili bir değerlendirmeye gidilerek, Kanun kapsamında bir veri işleme faaliyeti söz konusu olduğu durumlarda kişisel veri sahibi ilgili kişilerin veri işleme faaliyeti hakkında aydınlatılmaları ve HES Kodu aracılığıyla sağlık verileri veri işleme faaliyetine konu olduğu için açık rızalarının alınması gerekmektedir.