COVID-19: Site/Apartman Yöneticilerinin KVKK ve Kat Mülkiyeti Kanunu Kapsamındaki (Yeni) Sorumlulukları
Değerlendirilmesi Gereken Gelişme
COVID-19 kapsamında alınan tedbirler doğrultusunda, kamu otoriteleri başta olmak üzere, ilgili veri sorumluları, virüsün izini sürmek ve yayılmasını engellemek adına farklı metotlarla kişisel veri işlemek durumuyla karşı karşıya kaldılar. Bu bağlamda, veri sorumluları tarafından; özel nitelikli kişisel veri olarak değerlendirilen sağlık bilgilerinin işlenmesi hususunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında değerlendirilmesi gerekmektedir.
COVID-19 ve KVVK kapsamındaki sorumluluklar bakımından değerlendirilmesi gereken birçok konu olmakla birlikte; bu yazımızda konuyu 634 sayılı Kat Mülkiyeti Kanunu (“KMK”) kapsamında yönetici olarak görev yapanların sorumluluğu bazında ele almaktayız. KMK’da site/apartman yöneticilerinin birtakım görevleri olduğu belirtilmiştir. KMK’nun 35.Maddesi doğrultusunda görevlerden bir tanesi de “Anagayrımenkulü Koruma Yükümlülüğü”’dür. Site/Aparman yöneticisi ilgili madde kapsamında kat malikleri bakımından yararlı olan hususlarda gerekli tedbirleri almaya yetkilidir. Dolayısıyla, COVID-19 salgınının daha fazla yayılmasını engellemek ve kat maliklerinin bu durumdan zarar görmelerini önlemek adına anagayrimenkulde alınması gereken tedbirler vardır. Bu tedbir ve bildirimlerde KVKK’da doğan yükümlülüklerin ihlal edilmemesi çok önemlidir.
Değerlendirmelerimiz
i. Kanuni Düzenlemeler
KVVK düzenlemesine göre; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi “Kişisel Veri” niteliğinde olup, sağlık verileri KVVK’da sınırlı sayıda sayılan “Özel Nitelikli Kişisel Veri” niteliğindedir.
ii. Sağlık Verisi ve İşlenme Şartları
Sağlık verisi, gerçek bir kişinin fiziksel veya ruhsal sağlığı ile ilgili her türlü veri ile kişiye sunulan sağlık hizmetleri ile ilgili bilgilerdir. Sağlık verisi, özel nitelikli kişisel veri olduğundan KVVK’nın 6. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir. KVVK’nın 6. maddesinde yer alan ana kurala göre, özel nitelikli kişisel veriler ilgili kişinin açık rızası olmadan işlenemez.
Ancak, yine KVVK’nın 6.maddesinde bu yasağın bazı istisnaları vardır. Buna göre, bir sağlık verisi aşağıdaki istisnai nedenlerle ilgilinin açık rızası olmaksızın da işlenebilir:
- • Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla veya
- • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.
Sağlık verileri ancak ilgilinin açık rızası ile veya yukarıda belirtilen nedenlerle işlenebilir. Ancak söz konusu istisnalar yorumlanırken çok dikkatli olunmalı ve özellikle “kamu sağlığının korunması” istisnası altında sağlık verisine ulaşmak ve ulaşılan verilerin herkes tarafından işlenebileceği gibi bir sonucuna varılmamalıdır.
Ayrıca, bütün durumlarda, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurum tarafından belirlenen yeterli önlemlerin alınmasının şart olduğunun da altını çizmek gerekir.
iii. COVID-19 Nedeniyle Sağlık Verilerinin İşlenmesi
COVID-19’un kuluçka süresinin 1-14 gün arasında olması ve insandan insana kolaylıkla bulaşabilmesi sebebiyle site ve bina yönetimlerinin alanlara kontrollü girişlerin sağlanması ve önleyici tedbir alınması amacıyla çeşitli uygulamalar geliştirdiği görülmektedir. Bu uygulamalara ilişkin akıllara gelebilecek soruları incelememiz gerekirse;
1) COVID-19’un pandemi olması kişisel verilerin işlenmesinde KVKK’nın uygulamasını durdurur mu veya esnetir mi?
KVVK kişisel verilerin hangi şartlar altında, nasıl işleneceğine ilişkin açık düzenlemeler yapmıştır. COVID-19’un dünya çapında bir salgın olması ve kriz yönetimi gerektirmesi sebebiyle özellikle sağlık verileri konusunda işleme şartlarının yumuşayacağı akla gelse de Kurum’un henüz bu konuda resmî herhangi bir açıklaması bulunmamaktadır.
Kişisel verilerin işlenmesi ve ilgili birimlere aktarılması sırasında kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerinin korunacağı ve aynı şekilde ilgili kişisel verilerin KVVK ve diğer mevzuata uygun olarak korunacağı hüküm altına alınmıştır. Bu nedenle, görülüyor ki, COVID-19 her ne kadar tüm dünyayı alarm durumuna geçiren bir salgın olsa da bu süreçteki kişisel veri işleme faaliyetlerinin dahi mevzuata uygun olması aranmaktadır. Dolayısıyla, mümkün olduğunca az kişisel veri işlemek ve Kurul ile İl Sağlık Müdürlüklerinin uygulama ve direktiflerine uymak gerekecektir. Sonuç olarak, COVID-19 salgını devam ettiği sürece, kişisel verilerin korunması hususunda azami özenin gösterilmesi ve sağlık verileri başta olmak üzere tüm kişisel verilerin hukuka uygun ve amaçla sınırlı olarak işlenmesi önem kazanmaktadır.
2) Site/Apartman yönetimleri COVID-19 testi pozitif çıkan veya semptomlarını gösteren kişinin ismini ve bilgilerini açıklayabilir mi?
Orantılılık ve veri minimizasyonu ilkesi kapsamında, ek önlemlerin gerektirdiği kadar işleme faaliyeti gerçekleştirilmeli ve ek önlemler ile ulaşılmak istenen amacı aşan kişisel veri işleme faaliyeti gerçekleştirilmemelidir. Bu kapsamda COVID-19 taşıyan kişinin isim, soy isim bilgileri bilgilendirme amacı ile dahi olsa paylaşımı konusunda oldukça ihtiyatlı davranılması gerekmektedir.. Nitekim, bu paylaşım kişinin ayrımcılığa uğrama ihtimalini ortaya çıkaracağından, KVKK’ya aykırı olarak nitelendirilebilecektir. Bunun yerine CPVID-19 salgını sebebiyle oluşabilecek riskleri önlemek amacıyla anonim bir bilgilendirme yapılmasında fayda vardır.
3) Bina girişlerindeki resepsiyonlarda, binaya girmek isteyen kişilerin hasta olmadıklarına dair beyan vermeleri istenebilir mi?
Kişinin hasta olduğu veya olmadığına ilişkin bir beyan, kişinin sağlık durumuna ilişkin bir bilgi sağlık verisi kapsamında olup, KVKK’ya göre yani özel nitelikli kişisel veridir.
Öncelikle kişi, toplanan kişisel verilerinin nasıl işleneceğine ilişkin olarak aydınlatılmalı, ardından da açık rızası alınmalıdır. Kişinin açık rızası alınmadan KVKK kapsamında sır saklama yükümlülüğü altında olmayan güvenlik görevlisi, idari işler çalışanları gibi kişilerin bu verileri alması mümkün değildir.
Sonuç olarak, sağlık verisi KVVK anlamında özel nitelikli veri olup, COVID-19 salgının yarattığı bu olağanüstü dönemde dahi, kişisel verilerin KVVK ve Kurum kararları ile getirilen prensiplere uygun olarak işlenmesi büyük önem arz etmektedir.