COVID-19 SALGINI NEDENİYLE İŞYERLERİNDE ALINAN ÖNLEMLERİN KİŞİSEL VERİLERİN KORUNMASI KANUNU (“KVKK”) KAPSAMINDA DEĞERLENDİRİLMESİ 30 Mart 2020
COVID-19 SALGINI NEDENİYLE İŞYERLERİNDE ALINAN ÖNLEMLERİN KİŞİSEL VERİLERİN KORUNMASI KANUNU (“KVKK”) KAPSAMINDA DEĞERLENDİRİLMESİ
COVID-19 salgını nedeniyle iş hayatında alınan önlemlerin (Termal kamera kullanımı, ateş ölçümü, soru yöneltilmesi vb) kişisel veriler mevzuatı ile olan ilişkisi unutulmamalı, söz konusu önlemler uygulanırken 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan ikincil düzenlemelere uygun şekilde hareket edilmelidir.
Alınan Önlemler Kapsamında İşlenen Kişisel Veriler İşverene Ayrı Bir Aydınlatma Yükümlülüğü Yükler mi?
KVKK’nın 10. maddesi uyarınca veri sorumluları, her bir kişisel veri işleme faaliyetinde kişisel verilerin işlenmesinden önce veri sahiplerine karşı aydınlatma yükümlülüğünü yerine getirmelidir. Dolayısıyla her durumda olduğu gibi işverenler tarafından COVID-19 salgını kapsamında alınan tedbirlerin uygulanması esnasında kişisel veri işleniyorsa (seyahat bilgileri, COVİD-19 test sonuçları, termal kamerayla izleme gibi) işverenlerin çalışan, ziyaretçi gibi önlemlerin muhatabı veri sahiplerine karşı aydınlatma yükümlülüğü devam etmektedir.
Alınan Önlemler Kapsamında İşlenen Kişisel Veriler İçin Veri Sahiplerinden Açık Rıza Alınması Gerekecek Midir?
Kişisel verilerin işlenmesi için KVKK kapsamında kural olarak veri sahiplerinin açık rızasının alınmalıdır. Ancak açık rıza alınması kural olmakla birlikte bu hususun da istisnaları mevcuttur. KVKK 5/2’de belirtilen şartlardan biri var ise, örneğin kişisel verilerin işlenmesi kanunlarda açıkça öngörülüyorsa bu durumda veri sahiplerinden açık rıza alınmasına gerek olmaksızın kişisel verileri işlenebilecektir.
COVID-19 salgını nedeniyle işverenler tarafından alınan önlemler kapsamında işlenen kişisel veriler için açık rıza gerekip gerekmediğini ise alınan önlemler kapsamında talep edilen kişisel verilerin niteliğine göre ayrı ayrı değerlendirmek gerekecektir.
(i) İşveren tarafından alınan önlemler kapsamında, KVKK’nın 6. Maddesinde belirtilen özel nitelikli kişisel veriler içerisinde yer almayan herhangi bir kişisel veri işleniyor ise örneğin; seyahat geçmişi, yurtdışında bulunup bulunmadığı soruluyorsa veri sahiplerinden açık rıza alınması gerekmediği görüşündeyiz. Zira işverenlerin iş sağlığı ve güvenliğini sağlama konusunda mevzuat kaynaklı yükümlülükleri bulunmaktadır. Bunlardan en önemlisi de çalışanların işle ilgili sağlık ve güvenliğini sağlamak ve bunun için gerekli her türlü önlemi almaktır. Ayrıca işverenin, işyerinde bulunan çalışanlar ile onların da temas halinde bulunduğu diğer kişileri göz önünde bulundurarak, işyerinde COVID-19’un yayılmasını önlemek amacıyla söz konusu kişisel veriler talep edildiğinden, bu noktada veri sorumlusu konumunda bulunan işverenin meşru menfaatleri dolayısıyla da çalışanların açık rızasını alması şart değildir. Burada işveren tarafından kişisel veri işleme faaliyeti KVKK 5/2’de belirtilen hukuki sebeplere dayanacağı için veri sahibinin açık rızası aranmayacaktır.
(ii) İşveren tarafından alınan önlemler kapsamında KVKK’nın 6. Maddesinde belirtilen özel nitelikli kişisel verilerden olan sağlık verileri (COVID-19 test bilgileri, COVID-19 belirtileri olduğu bilgisi, ateş (vücut sıcaklığı) bilgisi vs) işleniyorsa bu durumda kural olarak veri sahiplerinin açık rızası alınması gerekecektir. Ancak burada da dikkat edilmesi gereken nokta işveren tarafından alınan önlemler kapsamında işlenen sağlık verilerinin işveren organizasyonu içerisinde kimler tarafından işlendiğidir. KVKK 6/3’e göre sağlık verilerinin açık rıza olmadan işlenmesine bir imkan tanınmış, sağlık verilerinin kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmiştir. COVID-19 kapsamında işverenler tarafından alınan önlemlerin de kamu sağlığının korunması amacıyla alındığından şüphe olmadığı için sır saklama yükümlülüğü altında bulunan kişiler yani işyeri hekimi, işyeri sağlık personeli tarafından sağlık verileri veri sahiplerinin açık rızası olmadan işlenebilecektir. Burada dikkat edilmesi gereken nokta, işyeri hekimi/işyeri sağlık personeli tarafından işenen verinin işyeri içerisinde işveren de dahil olmak üzere üçüncü kişilere aktarılmaması ve özel nitelikli kişisel verilerin işlenmesinde gerekli önlem ve tedbirlerin alınmasıdır. İşyeri hekimi/işyeri sağlık personeli tarafından riskli durumlar öngörülmesi halinde uygun bulunan uygulama veya tedbir işverenliğe tavsiye edilmeli, sağlık verilerinin ifşası yoluna gidilmemelidir. Ancak işyeri hekimi / sağlık personeli haricindeki kişilerce veri sahiplerinin sağlık verilerinin işlenmesi, talep edilmesi durumunda KVKK 6/2’ye göre veri sahibinin açık rızası alınması gerekecek, bu kişiler tarafından söz konusu kişisel verilerin işlenmesi gerekiyor ise veri sahiplerini aydınlattıktan sonra açık rızalarını almak gerekecektir.
Alınan Önlemler Kapsamında Temin Edilen Kişisel Veriler Kamu Kurumları İle Paylaşılabilir mi?
Kişisel verilerin işlenmesinde olduğu gibi üçüncü kişilere aktarılması da KVKK’nın 8. Maddesi uyarınca kural olarak veri sahibinin açık rızasına bağlıdır. Ancak tıpkı kişisel verilerin işlenmesinde olduğu gibi aktarılmasında da KVKK bir takım istisnalar tanımaktadır. Kişisel veriler, KVKK’nın 5. Maddesinde belirtilen işleme şartları mevcutsa örneğin söz konusu kişisel verilerin paylaşılması kanunlarda öngörülmüşse veri sahibinin açık rızası olmaksızın kişisel veriler üçüncü kişilere aktarılabilecektir.
Özel nitelikli kişisel veri olan sağlık verilerinin paylaşılması da kural olarak veri sahibinin açık rızasına tabi olsa da KVKK 8/2-b uyarınca yeterli önlemler alınmak kaydıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından kamu sağlığının korunması amacıyla açık rıza şartına tabi tutulmadan kamu kurumlarına veri sahibinin açık rızası olmaksızın aktarılabilecektir. Dolayısıyla alınan önlemler kapsamında işyeri hekimi / sağlık personeli tarafından işlenen sağlık verileri veri sahiplerinin açık rızasına ihtiyaç duyulmadan kamu kurumları ile paylaşılabilir. İşyeri hekimi / sağlık personeli haricindeki kişiler tarafından sağlık verileri paylaşılacaksa bu durumda KVKK 8/1 uyarınca veri sahibinin açık rızasının alınması gerektiğini belirtmek isteriz.
İşyerinde COVID-19 Belirtileri Gösteren Çalışanlar Olduğunda ya da COVID-19 Vakası Tespit Edildiğinde Buna İlişkin Bildirim Yükümlülüğü Ne Şekilde Olacaktır?
İşyerinde çalışanlar İSG mevzuatı uyarınca kendilerinin ve diğer çalışanların sağlık ve güvenliklerini tehlikeye düşürmemekten sorumlu oldukları için eğer COVID-19 belirtileri gösteriyor ya da bu konuda şüphe duyuyorsa diğer çalışanlara da hastalığın bulaşma ihtimali göz önüne alarak, onların sağlıklarını tehlikeye düşürmemek için bu durumu işyeri hekimine bildirmelidir. İşveren de çalışanlara COVID-19 belirtilerinden herhangi birinin saptanması halinde derhal işyeri hekimine başvurması gerektiğine ilişkin bir bilgilendirme yapmalıdır.
COVID-19 bulaşıcı bir hastalık olması sebebiyle tedbir alınması açısından işveren veya işyeri hekimi, işyerinde bulunan diğer çalışanlara işyerinde bir vaka görüldüğünde bu durumu duyurmakla sorumludur. Zira işverenin, İSG mevzuatı uyarınca çalışanların işle ilgili sağlık ve güvenliğini sağlamak, çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimine tabi tutulmalarını sağlamak, işçilerin işyerinde maruz kalacakları sağlık ve güvenlik risklerine uygun olarak sağlık gözetimine tabi tutmak gibi yükümlülükleri söz konusudur. Bu doğrultuda işveren, KVKK’nın 4. Maddesinde belirtilen kişisel verilerin işlenmesinde uyulması gereken genel ilkelere de uyarak COVID-19 vakasına yakalanan çalışanın ad-soyad veya başkaca ayırt edici bilgilerini paylaşmadan anonim olarak bu duyuruyu işyerinde yapmalıdır. Hiçbir şekilde çalışanın kim olduğu doğrudan açıklanmamalı ve/veya verilen bilgiler ile kim olduğunu belli edecek şekilde duyuru yapılmamalıdır.
İşverenler, Ziyaretçilere Karşı Uyguladığı COVID-19 Önlemlerinde Kişisel Verilerin Korunması Düzenlemelerine Nasıl Dikkat Etmelidir?
COVID-19 salgını devamı süresince açık olan ve ziyaretçi kabul eden işverenlerin, ziyaretçiler için de bir takım önlemler aldığı görülmektedir. İşverenler elbette bir takım önlemler alabilir ancak alınan önlemler kapsamında ziyaretçilere ait kişisel verilerin KVKK’ya uygun şekilde işlenmesi gerekmektedir. Öncelikle işveren tarafından ziyaretçilere karşı aydınlatma yükümlülüğü yerine getirilmelidir.
İşveren tarafından alınan önlemler kapsamında ziyaretçilerin sağlık dışındaki kişisel verileri talep ediliyor ve işleniyor ise bu durumda yukarıda belirttiğimiz çerçevede açık rıza alınmasına gerek olmaksızın KVKK 5/2’de belirtilen hukuki sebeplere dayanılarak kişisel verileri işlenebilecektir. Ancak işverenler tarafından ziyaretçilerden sağlık verileri (COVID-19 test bilgileri, COVID-19 belirtileri olduğu bilgisi, ateş (vücut sıcaklığı) bilgisi vs) talep edilecekse, burada özel nitelikli kişisel veri olan sağlık verisi işlenecek demektir. Bu noktada sağlık verilerini işleyen kişiler önem arz edecek, söz konusu veriler sadece sır saklama yükümlülüğü altında bulunan kişiler yani işyeri hekimi, işyeri sağlık personeli tarafından işlenecekse KVKK 6/3 uyarınca açık rıza alınmasına gerek olmayacaktır. Ancak ziyaretçilere ait sağlık verileri işyeri hekimi / sağlık personeli haricindeki kişiler, örneğin güvenlik personeli gibi diğer bölüm çalışanları tarafından işlenecek ise bu durumda KVKK 6/2 uyarınca veri sahibinin ancak açık rızasıyla bu veriler işlenebilecektir. Ziyaretçilere ait kişisel verilerin kamu kurumlarına aktarılmasında da işlenmesine ilişkin şartlar geçerlidir.
Diğer Haberler
-
21.11.2024
Elektronik Ortamda Açık Artırma Suretiyle Satış Usulü ve 9. Yargı Paketiyle Getirilen Yeni Düzenlemelerin Hukuki Boyutu
9. Yargı Paketi kapsamında yapılan düzenlemelerle birlikte, elektronik ortamda haczedilen malların satışı, İcra ve İflas Kanunu'nun 111/b maddesi kapsamında yeni bir yasal çerçeveye oturtulmuştur. Haczedilen malların satış işlemleri, Ulusal Yargı Ağı Bilişim Sistemi'ne (UYAP) entegre bir elektronik satış portalında açık artırma suretiyle gerçekleştirilmektedir. Ancak yasadaki boşluklar nedeniyle satış işlemlerinin nasıl gerçekleştirileceğine dair net bir uygulama sergilenememekteydi. Kanun koyucular tarafından elektronik satışa yönelik 8. ve 9. Yargı Paketi'nde yasaya eklemeler yapılması ve oluşturulan düzenleme, gerek icra süreçlerinin hızlandırılması gerekse satış işlemlerinin daha güvenli ve şeffaf bir ortamda yapılması açısından önemli bir adım olarak değerlendirilmektedir.
-
14.11.2024
7531 Sayılı Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun Yayımlandı
Kamuoyu nezdinde 9. Yargı Paketi olarak da bilinen 7531 sayılı Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun1 ("Kanun"), 14.11.2024 tarih ve 32722 sayılı Resmî Gazete'de yayınlanmış olup 17 farklı kanunda önemli değişiklikler barındırmaktadır.
-
12.11.2024
Kira Sözleşmelerinde E-Devlet Dönemi Başladı!
Hazine ve Maliye Bakanlığı ("Bakanlık"), 2022 yılında yürürlüğe koyduğu 2023-2025 dönemini kapsayan Kayıt Dışı Ekonomiyle Mücadele Eylem Planı'nda ("Eylem Planı") tarafların karar alma süreçlerini desteklemek ve risk analizi çalışmalarını yürütmek üzere kira sözleşmelerinin e-Devlet kapısı üzerinden düzenlenmesini sağlayacaklarını duyurmuştu. Bu çalışmanın birinci aşaması 4 Kasım 2024 tarihi itibariyle e-Devlet kapısı üzerinden uygulamaya konulmuş olup ikinci aşamasının ise yıl sonunda uygulamaya konulacağı öngörülmektedir.
-
10.11.2024
Dijitalleşen Piyasalarda Yeni Dönem: Rekabet Kurumu'nun 2024-2028 Stratejik Planı Yayınlandı
Rekabet Kurumu ("Kurum"), dijitalleşmenin hızla dönüştürdüğü piyasa dinamiklerine uyum sağlamak ve rekabetçi bir ekonomik düzeni korumak amacıyla 2024-2028 Stratejik Planı'nı ("Stratejik Plan") yayınladı. Stratejik Plan, küresel rekabet ortamında yaşanan değişimlerin etkisiyle dijital piyasalarda oluşan yeni düzenlemeler ve gelişen teknolojiler ekseninde hazırlandı. Kurum, bu sayede piyasaların adil ve rekabetçi kalmasını sağlamayı hedefliyor. Ayrıca tüketici refahının artırılmasına odaklanılacağı açıkça belirtiliyor.
-
30.10.2024
Standart Sözleşme Bildirim Modülü Hakkında Kamuoyu Duyurusu Yayımlandı
Standart Sözleşme Bildirim Modülü Hakkında Kamuoyu Duyurusu 24.10.2024 tarihinde Kişisel Verileri Koruma Kurumu'nun ("Kurum") internet sitesinde yayımlanmıştır. Kişisel Verileri Koruma Kurulu'nun ("Kurul") 17.10.2024 tarihli ve 2024/1793 sayılı kararıyla, standart sözleşme bildirim süreçlerinin daha hızlı ve etkin bir biçimde yürütülebilmesi amacıyla "Standart Sözleşme Bildirim Modülü" (Modül) oluşturulmuş ve bildirimlerin Modül üzerinden internet ortamında da yürütülebilmesine karar verilmiştir.
-
27.10.2024
Araştırma Şirketlerine Uyarı; Önce Aydınlat Sonra Onay Al
Kişisel Verileri Koruma Kurumu'na ("Kurum") yapılan birden fazla şikâyet sonrası, Kurum "Araştırma Şirketlerinin İstatistiksel Araştırma Yapmak Amacıyla "Rastgele Numara Çevirme ile Telefon Mülakatı Yöntemi" Kullanarak Gerçekleştirdikleri Kişisel Veri İşleme Faaliyetleri" hakkında bir Kamuoyu Duyurusu ("Kamuoyu Duyurusu") yayımlamıştır.
-
20.10.2024
AB Veri Yasası
Dijitalleşmenin oldukça büyük bir hız kazandığı günümüzde, veri paylaşımı ve yönetimi tüm sektörler için hayati bir önem taşımaktadır. Bu bağlamda, Avrupa Birliği; veri paylaşımına ilişkin düzenlemeleri yeniden şekillendiren AB Veri Yasası'nı kabul etmiştir. Yasa, dijital cihazlar ve hizmetler tarafından üretilen verilerin daha geniş ölçekte kullanılmasını amaçlarken, adil bir veri ekonomisi için yeni kurallar getirmektedir.
-
1.10.2024
2023/1115 Sayılı Ormansızlaşmanın Önlenmesine ilişkin Yönetmelik ve Avrupa Birliği'ne Ürün İhraç Eden Şirketlerin Dikkat Etmesi Gereken Kurallar
Birleşmiş Milletler Gıda ve Tarım Örgütü verilerine göre 1990 ile 2020 yılları arasındaki 30 yıllık dönemde dünya ormanlarının 178 milyon azaldığı tespit edilmiştir. Ormansızlaşmanın en büyük sebeplerinden biri ise tarım ürünlerin üretimi ve hayvancılık faaliyetleri için tarım arazilerinin genişletilmesidir. Avrupa Birliği, ormansızlaşmanın önlenmesi ve ormanların bozulmasının önlenmesi için 29 Haziran 2023 tarihinde 2023/1115 Sayılı Ormansızlaşmanın Önlenmesi Yönetmeliği'ni Avrupa Birliği Resmi Gazetesi'nde yayımlamıştır.
-
30.9.2024
İklim Açıklama Kuralı
Yaşanabilir bir çevre ve dünyamızın geleceği için, sürdürülebilirlik ve ekosistemin korunması her geçen gün daha büyük bir önem kazanmaktadır. Bu çerçevede devletler, ekosistemi en çok etkileyen aktörlerden biri olan şirketler için birtakım çevresel raporlama standartları getirmektedir.
-
25.7.2024
Ulusal Yapay Zeka Stratejisi 2024 - 2025 Eylem Planı Yürürlüğe Girdi
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, 12. Kalkınma Planı çerçevesinde ve Türkiye'nin yapay zekâ alanındaki ilerlemelerini daha da ileriye taşımak ve belirlenen hedeflere ulaşmak amacıyla Ulusal Yapay Zekâ Stratejisi 2024-2025 Eylem Planını ("Eylem Planı") yayımladı.
-
29.5.2024
7511 Sayılı Kanun ile Türk Ticaret Kanuna Getirilen Önemli Değişiklikler
Türk Ticaret Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ("Kanun") 29 Mayıs 2024 tarihli ve 32560 sayılı Resmi Gazete'de yayımlandı.
-
7.5.2024
6102 Sayılı Türk Ticaret Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun Teklifi Meclise Sunuldu
Türk Ticaret Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun Teklifi meclise sunuldu. Teklif kapsamında Türk Ticaret Kanunu, Kooperatifler Kanunu, Rekabetin Korunması Hakkında Kanun ile Tüketicinin Korunması Hakkında Kanun başta olmak üzere bir takım kanunlarda önemli değişikliklere gidilmesi planlanıyor.
-
18.4.2024
Hukuk Uyuşmazlıklarında Arabuluculuk Kapsamında Yargılama Giderlerinden Sorumluluk Öngören Düzenleme Anayasa Mahkemesi Kararı İle İptal Edildi
6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu’nun1 (“Kanun”) 18/A maddesinin 11. fıkrası gereğince, dava şartı zorunlu arabuluculuk kapsamında ilk oturuma mazeretsiz olarak katılmayan tarafın yargılama sonucunda haklı çıkmış olsa dahi yargılama giderinin tamamından sorumlu tutulacağı ve lehine vekalet ücretine hükmedilmeyeceği düzenlenmiştir. Anılan düzenleme şu şekildedir:
-
7.4.2024
Sermaye Piyasası Kurulu Başvurularında "E-Başvuru" Dönemi
Sermaye Piyasası Kurulu ("Kurul"), 5 Şubat 2024 tarihindeki duyurusu ile, sermaye piyasası kurum, kuruluş ve ortaklıklarının başvurularını daha hızlı ve etkili bir şekilde e-Başvuru Sistemi ile yapabileceklerini kamuya duyurmuştu.
-
4.4.2024
Bazı Sektörlerde Payların İlk Halka Arzı Öncesi Uyulacak Ön Şartlardaki Tutarlar İndirildi
Sermaye Piyasası Kurulu ("Kurul" veya "SPK") tarafından, Kurul'a ilk halka arz için başvuran ortaklıkların özellikle sektörel bazda farklılıkları ve Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı'nca hazırlanan 12. Kalkınma Planı ("Plan") dikkate alınarak finansal tablolara ilişkin mali eşiklerde indirime gitti.