Covid-19 Salgini ile Mücadele Süreci̇nde Ki̇şi̇sel Veri̇leri̇n Korunması
Nisan 2020
Tüm dünya ve ülkemizi etkileyen COVID-19 virüsü salgınının yayılmasını engellemek ve etkilerini azaltmak adına ülkemizde bulunan tüm kamu kurum ve kuruluşları gerekli adımları atmakta ve çeşitli önlemler alınması amacıyla hareket etmektedir. Bu önlemlerin alındığı çoğu durumda özel nitelikli kişisel veriler de dahil olmak üzere TC kimlik numarası, ad, soy ad, adres, işyeri, seyahat bilgileri, sağlık bilgileri vb. kişiler veriler işlenmeye başlanmıştır.
COVID-19 virüsü salgını sürecinde öncelikli olarak sağlık hizmetlerinin sağlanması ve kamu sağlığının korunması esastır. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında özellikle kişilerin sağlık verilerinin ve diğer kişisel verilerin işlenmesi gerektiği durumlarda veri sorumluları ve veri işleyenler tarafından söz konusu faaliyetlerin Kanun hükümlerine uygun yürütülmesinin sağlanması ve veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin alınması bu dönemde önem arz etmektedir. Belirtmek gerekir ki, bu istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları zorunludur. Bu nedenle kişisel verilerin hukuka uygun olarak işlenmesi ve bu konuda alınan herhangi bir önlemin hukukun genel ilkelerine uygun olması, bu çerçevede kişilerin temel hak ve özgürlükleri açısından geri döndürülemez zararların ortaya çıkmaması hususlarına dikkat edilmelidir. Bu minvalde özellikle COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bu konuda alınan kararlar, Sağlık Bakanlığı başta olmak üzere halk sağlığı kuruluşlarının veya diğer ilgili kurum ve kuruluşların rehberliği ve / veya talimatları çerçevesinde olmalıdır. Bu bağlamda veri sorumlularının başta sağlık verisi olmak üzere kişisel verileri işlerken kanuna uygunluk, aydınlatma yükümlülüğü(şeffaflık), gizlilik, veri minimizasyonu hususlarına dikkat etmeleri önem arz etmektedir.[1]
Giriş
Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler 6698 sayılı Kanunda kişisel verilerin işlenmesinde sayılan temel ilkeler hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. Söz konusu ilkeler, COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. Alınan önlemlerden bazıları, kişisel verilerin toplanmasını ve işlenmesini gerektirdiğinden ayrıca salgının küresel boyutta olması sebebiyle elde edilen verilerin bir kısmının da kamuoyu ile paylaşılması itibariyle durumun kişisel verilerin korunması yönünden ayrıca ele alınması zaruretini doğurmaktadır. COVID-19 döneminde yetkili kamu kurum ve kuruluşların ölçülü ve sınırlı bir biçimde kişisel verileri işlediği gibi işverenlerin de bu süreçte kişisel verileri işlemesi durumları ortaya çıkmaktadır.
Bu çalışma ile öncelikle 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun (KVKK) kapsamında, genel ve özel nitelikli kişisel verilerin korunması ve işlenmesi konularına değinilmesinin akabinde COVİD-19 salgını ile mücadele sürecinde kişisel verilerin korunması konusuna işverenler ve yetkili kamu ve kuruluşlar açısından nasıl yaklaşıldığına yönelik hukuki değerlendirmeler kaleme alınacaktır.[2]
Ki̇şi̇sel Veri̇leri̇n Korunması Kanunun ihlal edildiğini düşünüp, avukatlık desteği almak isterseniz, Uluca Avukatlık Ortaklığı olarak beraber çalışmaya her zaman hazırız.
1 – 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Genel ve Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi:
07.04.2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 1 uyarınca kanunun düzenlenme amacı açıklanmıştır. Şöyle ki; “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” şeklinde kanunun amacı açık bir şekilde belirlenmiştir.
Kişisel veri, belirli veya belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Bu durumda kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütte yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
6698 Sayılı Kişisel Verilerin Korunması Hakkındaki Kanunun 3. maddesi uyarınca kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Kanunda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi gibi hususları da kapsamaktadır. Kanunda yer alan kişisel veri tanımı doğrultusunda gerçek bir kişiyi belirli veya belirlenebilir kılan her türlü bilginin kişisel veri olarak kabul edilmesi gerekmektedir. Kanunda yapılan tanımlamada hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım esasının benimsenmediği görülmektedir. Kanunda gelişen teknolojilerle türetilebilecek veri kategorilerini de düzenleyecek şekilde geniş bir kişisel veri tanımı sunulmaktadır.[3]
Bazı kişisel veriler ise, başkaları tarafından öğrenilmesi halinde, ilgili kişi hakkında ayrımcılık yapılmasına ve bu nedenle ilgili kişinin toplum içerisinde birtakım mağduriyetler yaşamasına sebep olabilecek niteliktedir. Bu sebeple, diğer genel nitelikli kişisel verilere göre daha hassas olup çok daha sıkı bir şekilde korunması zorunlu hale gelmiştir. Anılan sebeplerden ötürü, insanlar arasında ayrımcılığa yol açabilecek nitelikteki hassas kişisel veriler kanun tarafından “özel nitelikli kişisel veriler” olarak adlandırılarak ayrı bir grupta değerlendirilmiştir. 6698 sayılı KVKK’nın 6. maddesinde özel nitelikli kişisel verilerin ne olduğu ve işlenme şartları düzenlenmiştir. İşbu kanun maddesi uyarınca ilgilinin açık rızası olmaksızın özel nitelikli kişisel verilerin işlenemeyeceği belirtilmekle birlikte Kişisel Verilerin Korunması Kanunu’na göre öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir. Nitekim, Avrupa Birliği ülkelerindeki kişisel verilerin korunmasına ilişkin kanunlarda da aynı doğrultuda düzenlemeler yapılmıştır.[4]
Yukarıda açıklandığı, kanunda özel nitelikli kişisel veriler sınırlı sayıda belirtilmiş olup yorum yoluyla da genişletilmesine olanak tanınmamıştır. Buna göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Çalışmamız özelinde Covid-19 döneminde sağlık verilerin işlenmesine ön planda olduğundan sebeple madde metninde de açıkça belirtildiği üzere sağlık verisi hassas niteliği itibariyle özel nitelikli kişisel veri olarak kabul edildiği hususu göz önüne alınmalıdır. Ancak kanun özel nitelikli kişisel veriler arasında da bir ayrıma gitmiştir. Bu ayrım özel nitelikli kişisel verilerin işlenmesi noktasında gündeme gelmektedir. Buna göre özel nitelikli kişisel veriler, ancak ilgili kişinin açık rızasının varlığı halinde veya kanunda sayılan sınırlı hallerde işlenebilirken, sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi konusu ayrıca farklı bir şekilde ele alınarak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği istisnai olarak düzenlenmiştir. Bahsedilen veri işleme şartlarına ek olarak KVKK 6.maddenin 4.fıkrasında, ayrıca özel nitelikli kişisel verilerin işlenmesi bakımından, Kişisel Verilerin Korunması Kurulu tarafından belirlenen yeterli önlemlerin alınması şartı da getirilmiştir. Burada önemli olan veri işleme faaliyetinin açık rızaya mı dayalı yoksa açık rıza aranmaksızın mı işlenebilen kapsamında olduğunun belirlenmesidir.
2 – Covid-19 Salgını Sürecinde Kişisel Verilerin Korunması ve Son Günlerde Karşılaşılan Uygulamalar:
Yukarıda anlatılan genel bilgiler neticesinde çalışmamızın konusu gereği küresel salgın olan COVID-19 bakımından bireylerin işlenen kişisel sağlık verilerini özel olarak belirtmemiz gerekecektir. Buna göre kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri ifade eder. Dolayısıyla kişisel sağlık verisi kavramı, kişisel veri kavramı ile iç içe olduğundan ayrı ve bağımsız olarak düşünülemez, bir bütün olarak ele alınmalıdır. Özellikle bu dönemde işverenler, yetkili kamu ve kuruluşlar aşağıda detayları ile belirtileceği üzere seyahat bilgileri gibi kişisel verileri işlemektedir. Detayları ile açıklamak gerekirse;
İşveren ve İşçi Bakımından Dikkat Edilmesi Gereken Hususlar:
- Salgın döneminde çoğu kuruluşlar evden çalışmalarını sürdürmektedir ve bu şekilde çalışanların kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir. Şöyle ki; uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi amacıyla sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve işverenler tarafından kişisel verilerin güvenliği açısından konuya ilişkin çalışanların bilgilendirilmesi gerekmektedir. Ancak çalışanlar tarafından alınacak önlemler KVKK kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünün kalktığı anlamına gelmediğini Kişisel Verilerin Korunması Kurulu açıkça yayınladığı kamuoyu duyurusuyla bunu belirtmiştir.
- Bir işverenin çalışanının Covid-19 virüsü taşıdığını diğer çalışanlarına açıklayabilir mi hususu konusunda işverenin vakalar hakkında personeli bilgilendirme yapabileceğine Kurul tarafından kanaat getirilmiştir. Bu konuda bilgilendirme yapılırken çalışan bireylerin isimlerinin verilmemesi ve gereğinden fazla bilgi de Kişisel Verilerin Korunması Kanunu kapsamında verilmemelidir. Ancak koruyucu tedbirlerin alınmasının zorunlu olduğu durumlarda ilgili çalışanların bu hususta bilgilendirilmesi KVKK kapsamında ihlal anlamına gelmemektedir. Bunun sebebi ise İş Kanunu uyarınca işverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları bulunmasındandır. Bu süreçte Kişisel Verilerin Korunması Kanunu amaçları çerçevesinde kalınarak bir kurum, kuruluş veya şirket içerisinde yapılacak duyurularda çalışanlara Covid-19 enfekte bir çalışan bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli ancak zorunlu olmadığı sürece şirket içi ekip çalışanın kim olduğunun tespitini sağlayacak doğrudan detaylar paylaşılmamalıdır.
- İşverenlerin Covid-19 süreci döneminde tüm personelinden ve ziyaretçilerinden virüsten etkilenen bir bölgeyi ziyaret edip etmediklerini veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri ortaya çıkmaktadır. Özellikle seyahat kısıtlamalarının getirildiği dönemde işverenler hem ziyaretçilerinden hem de çalışanlarından yakın zamanda özellikle son 14 gün(virüsün bulaşma süresine) ilişkin yükümlülükleri gereği birtakım bilgiler talep etmek durumundadırlar. Bununla birlikte işverenler; lokasyon, adres bilgileri vb. genel nitelikli kişisel verileri işlemektedirler. Seyahat bilgileri gibi özel nitelikli olmayan kişisel verilerin hangi koşullarda işlenmesine bakmak gerekirse Kişisel Verilerin Korunması Kanunu madde 5 uyarınca bir inceleme yapmak gerecektir. İşbu kanunun 5. Maddesinde kural olarak işveren tarafından genel nitelikli kişisel verilerin işlenmesi bakımından madde 5 uyarınca çalışanların ve ziyaretçilerin açık rızasına bağlanmıştır. Ancak 5. Maddenin 2. Fıkrasında ise istinai durumlar olması halinde açık rızanın aranmayacağı belirtilmektedir. Bu madde özelinde bir değerlendirme yapmak gerekirse, İş Yeri Güvenliği Mevzuatı uyarınca işverenlerin işçilerin sağlığını koruma yükümlülükleri vardır. Dolayısıyla işverenlerin çalışanlarını COVID-19 salgınından korumaya yönelik bir hukuki yükümlülüğü vardır. Buradan hareketle de özel nitelikli olmayan kişisel verilerin(seyahat bilgileri vb.) KVKK 5.maddenin 2. fıkrasındaki işleme şartlarını veri sorumlusunun hukuki yükümlülüğü gereği zorunlu olması şartına bağlı olarak işçilerin ve ziyaretçilerinin açık rızası aranmasına gerek olmadan bu tarz verileri işlemeleri söz konusu olabilir.
Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurların dikkate alınması gerekmektedir. Bu durumlarla karşılaşıldığında işverenin personelinden ve ziyaretçilerinden belirli önlem almasını istemesiyle birtakım tavsiyelerde bulunması da KVKK kapsamında hukuka aykırı bir durum olarak sayılmamaktadır. Ancak yukarıda belirtilen tarz veri işleme faaliyetinden önce işverenlerin genel ilkelere uyma yükümlülüğü ve verilerini işlediği kişilere karşı aydınlatma yükümlülüğünün bu dönemde de devam ettiği hususu gözden kaçırılmamalıdır.
- İşverenler Covid-19 salgını sebebi ile çalışanlarının ve ziyaretçilerinin ev halkına ilişkin sorularda yöneltebilir. Örneğin, ev halkından birinin bu salgınla mücadele edip etmediği ya da herhangi bir seyahatten dönüp dönmediğine ilişkin kişisel veriler de işlenebilir. Bu durumda da mevzuat gereği işverenlerin kanuna uygun ve ölçülü olmaları gerekecektir.[5]
- İşverenlerin özel nitelikli kişisel veri olarak kabul edilen sağlık verilerinin paylaşılması ancak KVKK m. 6/3 uyarınca bu talebin hastane, tıp merkezi, sağlık hizmet sağlayıcıları tarafından gelmesi ya da kişinin açık rızasının bulunması durumunda mümkün olacaktır.[6]
- Kişisel Verilerin Korunması Kanunu madde 8/2 fıkrasında bazı durumlarda ilgili kişinin açık rızası aranmaksızın aktarılabileceği belirtilmiştir. Çalışmamızın konusu gereği bu kanun kapsamında ilgilinin açık rızası aranmadan bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir. [7]
- Kişisel Verilerin Korunması Kanunu kapsamında işveren tarafından işyerine giriş esnasında çalışanların ateşinin ölçülmesinin istenilmesi, evden çalışıldığı dönemde sağlık durumlarının tespiti adına doğrudan sağlına ilişkin sorular yöneltilmesi ilişkin sorular yönetilmesi durumunda, işverenler öncelikle çalışanlarını aydınlatmakla yükümlüdür.[8]
Yetkili Kamu ve Kuruluşları Tarafından Dikkat Edilmesi Gereken Hususlar:
- Öncelikle Covid-19 küresel salgını sürecinde ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj ve e-posta yolu ile halk sağlığı ile ilgili mesajlar göndermesinde Kişisel Verilerin Korunması Kanunu açısından herhangi bir engel bulunmamaktadır.
- Ülkemizde Covid-19 sürecinde bu salgın virüsünün yayılmasını önlemek adına mobil uygulamalar vb. yöntemlerle bu hastalığı taşıyan veya taşıma riski bulunan kişilerle temasa geçenlerin tespit edilmesi, virüsün haritasının çıkartılarak tedavi ve karantinanın uygulanması, karantinaya alınanların kontrolü, sokağa çıkma yasağının uygulanması, kalabalık yerlerin tespiti gibi amaçlarla kişilerin konum, iletişim bilgileri ve özel nitelikte olan sağlık gibi kişisel veriler işlenmektedir. Toplum sağlığının korunması, kamu düzeni ve güvenliğinin sağlanması amacıyla bu verilerin işlenirken kişisel verilerin güvenliğinin de gözetilmesi zorunludur.
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu faaliyetler kapsamında işlenmesi halinde Kişisel Verilerin Korunması Kanunu hükümlerinin uygulanmayacağı düzenlenmiştir.
Covid-19 salgınının dünya genelinde pandemi olarak kabul edilmesinden sebeple kamu düzeni ve kamu güvenliğini tehdit eden durum olduğu şüphesizdir. Bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilerek kanuna ve hukuka aykırılık teşkil etmediği hususu açıkça ortadadır. Bu sebeplerle hastalığın yayılımını engellenmek amacıyla işlenen bu kişisel veriler KVKK 28.maddesinin (ç) bendi içerisinde sayıldığından dolayı konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır. Ancak kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği hususu unutulmamalı, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi gerekmektedir. [9]
Sonuç
Çalışmamız kapsamında, her ne kadar dünya geneli Covid-19 salgınıyla karşı karşıya olsa da bu zorlu dönemde de genel ve özel nitelikli kişisel verileri, Kişisel Verilerin Korunması Kanunun belirttiği ölçü ve amaçlar doğrultusunda işlemenin ve koruma yükümlülükleri unutulmamalıdır. Bu sebeplerle Covid-19 sebebi ile işlenen genel ve özel nitelikli kişisel veriler salgın sürecinin sona ermesinden sonra yok edilmeli, silinmeli veya anonim hale getirilmelidir.
Referanslar
Referanslar
[1] TÜRMOB, Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler,01.04.2020.
[2] “…Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Bu bağlamda itiraz konusu kuralla öngörülen biyometrik yöntemle elde edilen verilerin kişisel veri olduğunda kuşku yoktur. Bununla birlikte söz konusu verilerin, 108 sayılı Sözleşme’nin 6. maddesinde özel olarak belirtilen politik düşünce, dini inanç, sağlık, cinsel yaşam veya ceza mahkûmiyetlerine ilişkin veriler gibi çok hassas verilerden olduğu da söylenemez…” Anayasa Mahkemesi Kararı – GK, E. 2014/180 K. 2015/30 T. 19.3.2015
[3] Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, KVKK Yayınları No: 1, Aralık 2019, Ankara.
[4] Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler, Kamuoyu Duyurusu,27.03.2020.
[5] Webinar: COVID-19 Kapsamında Kişisel Verilerin Korunması Hakkında Güncel Gelişmeler, Gün+Partners,(Çevrimiçi Kaynak), 22.04.2020.
[6] Covid-19 Salgını Işığında Kişisel Verilerin Korunması Uygulamaları, GSG Hukuk.
[7] Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler, Kamuoyu Duyurusu,27.03.2020.
[8] ESENTÜRK, Bahar, Covid-19 Salgın Sürecinde İşverenler Tarafından Kişisel Verilerin Korunması, Campaign Türkiye, 24.03.2020.
[9] Covid-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler,09.04.2020.