HES Kodu’nun kullanım alanı genişledikçe, HES Kod’unun Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) kapsamında ne şekilde değerlendirileceği konusunda sorunlar da artmaktadır. HES Kodu’nun sorgulanması ile; ilgili kişilerin Covid-19 risk durumları, PCR test sonuç bilgileri ve aşı bilgileri gibi sağlık verilerine erişilebiliyor olması, KVKK’ya uyum açısından risk teşkil etmektedir. Veri sorumlularının HES Kodu sorgulaması yaparken dikkat etmesi gerekenlere yazının devamında değinilmiştir.
HES Kodu Nedir?
HES (Hayat Eve Sığar) Kodu, Covid-19 pandemisi ile mücadele sürecinde alınan tedbirlerin uygulanabilmesini kolaylaştıran ve Sağlık Bakanlığı tarafından geliştirilen dijital bir koddur. HES Kodu’nun kullanılmasının amacı, Covid-19 salgın hastalığının yayılmasının önüne geçmek, hastalık riskini en aza indirmek ve toplumu bu konuda bilgilendirmektir. Başlarda HES kodu yalnızca ulaşımda kullanılırken, bugün, AVM’lere girişte, kamu kurum ve kuruluşları ile bankalara girişte sorgulanmaktadır. Ayrıca bazı işyerlerine, çalışanlarının HES kodlarını sorgulama yükümlülüğü de getirilmiştir.
KVKK Açısından Sağlık Verilerinin İşlenme Şartları Nelerdir?
Kanun’un 6/3. maddesinde, sağlık ve cinsel hayata ilişkin kişisel verilerin ilgili kişinin açık rızası aranmadan yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi istisnai durumlar sayılmıştır. Yine Kanun’da, sayılan durumlarda dahi yalnızca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebileceği yer almaktadır. Eğer Kanun’da sayılan şartlar, somut olay için mümkün değilse, ilgili kişinin açık rızasının alınması gerekmektedir. Bu durumda da açık rızaya ilişkin Kanun ve ikincil mevzuat ile Kurum tarafından yayınlanan rehberlere ve kararlara uygun olarak veri sorumluların aksiyon almaları önem arz etmektedir.
HES Kodu Sorgulanmadan Önce Açık Rıza Alınmalı Mıdır?
HES kodu sorgulama işlemi, Sağlık Bakanlığı tarafından geliştirilen Hayat Eve Sığar mobil uygulaması ile yapılabilmektedir. Ayrıca çalışan sayısı 500’ün üstünde olan işyerleri için Sağlık Bakanlığı ile entegrasyon sağlanarak toplu HES kodu sorgulama işlemi yapılabilmektedir.
28 Eylül 2021 tarihinde, Kişisel Verileri Koruma Kurumu tarafından Covıd-19 Pcr Test Sonucu Ve Aşı Bilgisi Uygulamalarına İlişkin Kamuoyu Duyurusu yayınlanmıştır. Kurum yaptığı açıklamada PCR test sonuçları ve Covid-19 aşı bilgisinin işlenmesi konusunu hem özel nitelikli kişisel veri olmaları nedeniyle KVKK’da yer alan düzenlemeler açısından hem de Covid-19 pandemisi ile mücadele kapsamında yapılan düzenlemeler açısından ele almıştır. Bu kamuoyu duyurusunda işyerlerine getirilen Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmaları ve bunların da kayıt altında tutulacağına ilişkin İçişleri Bakanlığı tarafından 81 il valiliğine gönderilen yazıdan da bahsedilmiştir.
Kurum, kamuoyu duyurusundaki açıklamalarda, kamu kurum ve kuruluşlarının pandemi ile mücadele kapsamında PCR test sonucu ve aşı bilgilerinin işlenmesinde KVKK’dan tamamen istisna tutulacakları konusuna açıklık getirmiştir. Bunun yanında, kamu kurum ve kuruluşu olmayan işyerleri için herhangi bir açıklama kamuoyu duyurusunda yer almamaktadır. Ancak duyuru metninin sonunda “Covid-19 salgını kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağı değerlendirilmektedir.” şeklinde bir açıklama yer almaktadır. Bu açıklamadan, Kanun’un 28. Maddesinde yer verilen ve kamu güvenliğini veya kamu düzenini sağlamak amacıyla yetkili kılınmış kamu kurum ve kuruluşlarının önleyici, koruyucu faaliyetleri kapsamına giren durumlar yönünden istisna tutulduğunu söyleyebiliriz.
Sonuç
HES kodlarını işleyecek olan veri sorumlusu, veri işleme faaliyetini her somut olay bazında ayrı şekilde değerlendirmelidir. Örneğin yukarıda açıkladığımız gibi Kanun’un 28. maddesi kapsamındaki istisnai durumlar, KVKK’dan tamamen kapsam dışı tutulmuştur. Buna karşın işyerlerinde HES kodlarının sorgulanıp sorgulanmayacağı, somut olay karşısında ayrı değerlendirilmelidir. Bu değerlendirme, sorgu işlemini işyeri hekiminin yapıp yapmadığı, sorgu sonuçlarının bir sisteme kaydedilip kaydedilmediği, HES kodlarının 3. şahıslara aktarılıp aktarılmadığı gibi durumlar göz önüne alınarak yapılması gerekektedir.
Önemle belirtmek isteriz ki her HES kodu sorgulaması ve HES kodlarının elektronik bir sisteme kaydederek sorgulama işlemlerinden önce her halükârda Kanun’a uygun olarak ilgili kişilerin aydınlatılması gerekmektedir.
Avukat Ezginaz Çalışır
