KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA HES KODU ZORUNLULUĞU

Sağlık Bakanlığı (“Bakanlık”) tarafından Covid-19 tedbirleri kapsamında “Hayat Eve Sığar” uygulaması ile geliştirilen en önemli özelliklerden biri HES Kodu uygulamasıdır. HES Kodu, Sağlık Bakanlığı tanımladığı üzere Kontrollü Sosyal Hayat kapsamında, ulaşım ya da ziyaret gibi işlemlerde kurumlarla ve kişilerle, Covid-19 hususu açısından herhangi bir risk taşıyıp taşımadığınızı güvenli şekilde paylaşmanıza yarayan bir koddur. Paylaştığınız HES kodları Sağlık Bakanlığı’na ait “Hayat Eve Sığar” uygulaması üzerinden ya da kurumlara sağlanan servisler aracılığı ile sorgulanabilecektir. 81 İl Valiliğine Şehir içi toplu ulaşımda, konaklama tesislerinde ve kamuya ait bina girişlerinde uygulamanın kullanımı daha da yaygın hale gelmiştir. HES uygulamasının kullanılması vasıtasıyla HES Kodu’nun alınabilmesi için, ilgili kişinin adı soyadı, yaşı, cinsiyeti, konum bilgisi ve iletişim bilgisi gibi kişisel verileri ile kişinin özel nitelikli kişisel verisi olan geçmiş ve mevcuttaki sağlık bilgilerini paylaşması gerekmektedir. Kişisel Verileri Koruma Kanunu (“KVKK”) 6. maddesi uyarınca; özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin aydınlatılmış açık rızasının alınması veya kanuni istisnaların bulunması gerekmektedir. Bu sebeple de herhangi bir kişisel veri ihlaline yol açmamak için Bakanlık tarafından geliştirilen uygulamayı kullanmaya başlarken ve HES Kodu alınırken ilgili kişinin aydınlatılmış açık rızası elektronik olarak alınmaktadır. Ancak, KVKK bakımından asıl değerlendirme kişinin özel ya da kamu kurum ve kuruluşlarına girişi sırasında HES Kodu paylaşımında bulunmasının zorunlu tutuluyor olması açısından yapılmalıdır. Bu konuda kişinin kamu ve özel kurumlara giriş çıkışlarının ayrı ayrı değerlendirilmesi hukuki istisnalar bakımından daha doğru olacaktır.

KVKK 28. Maddesi, (ç) bendinde“Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.” düzenlemesi yer almaktadır. Kanun hükümlerinin uygulanması bakımından bu bir istisna olarak nitelendirilmektedir. Dolayısıyla da bu hüküm kapsamında yer alan hallerde yukarıda belirtilen özel nitelikli verilerin işlenmesi için açık rıza alınması zorunluluğu geçerli olmayacaktır. Bu doğrultuda, Kişisel Verileri Koruma Kurumu’nun 09.04.2020 tarihli kamuoyu duyurusunda da belirttiği üzere; “Salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.” Bu görüşe göre; kamu kurum ve kuruluşlarının kişilerin kamu kurum ve kuruluşlarına ait yerlere giriş çıkışlarında kamu düzeni ve kamu güvenliği sebebiyle HES Kodu alınmasını zorunlu tutması istisna kapsamında sayıldığı görülmektedir. Kurum, bu doğrultuda kamunun menfaatini bireysel menfaatlerden üstün tutmaktadır.

Özel kurum ve kuruluşlar bakımından ise yukarıda açıklanan istisna hükmü geçerli olmamakta ve KVKK hükümleri uyarınca açık rıza alınması zorunluluğu devam etmektedir. Bununla birlikte, kişinin özel bir kuruma giriş çıkışı sırasında HES Kodu alması zorunlu tutuluyor ise HES Kodu paylaşımının açık rıza gerektirip gerektirmeyeceğinin ayrıca değerlendirilmesi gerekir. Özel kurumlara giriş sırasında HES Kodu ile giriş zorunluluğu getirilmesi halinde kişinin Covid-19 pozitif olup olmadığı veya Covid-19 pozitif kişilerle teması olup olmadığı bilgileri üçüncü kişiler tarafından edinildiğinden kişinin sağlık geçmişi hakkında verilerine ulaşılmış olur. Özel nitelikli kişisel verilerin işlenmesinde istisna kapsamında olmayan özel kurumların bu durumda bu veriyi işleyebilmesi için kanunen zorunlu tutulduğu üzere ayrıca açık rıza alması gerektiği açıktır.

Aydınlatılmış açık rıza alınmasının yanı sıra, bir diğer önemli konu da HES Kodu ile işlenen özel nitelikli kişisel verilerin ne kadar süreyle saklanacağı ve imha prosedürünün ne şekilde işletileceğidir.. Kurumların, açık rıza ile dahi olsa işleyecekleri sağlık verilerini makul süreyle saklaması ve işleme amacının ortadan kalkması itibariyle imha etmesi de KVKK kapsamında veri ihlali yapılmaması bakımından dikkate alınmalıdır.