COVID-19 SALGINI NEDENİYLE İŞYERLERİNDE ALINAN ÖNLEMLERİN KİŞİSEL VERİLERİN KORUNMASI KANUNU (“KVKK”) KAPSAMINDA DEĞERLENDİRİLMESİ 30 Mart 2020

COVID-19 SALGINI NEDENİYLE İŞYERLERİNDE ALINAN ÖNLEMLERİN KİŞİSEL VERİLERİN KORUNMASI KANUNU (“KVKK”) KAPSAMINDA DEĞERLENDİRİLMESİ

COVID-19 salgını nedeniyle iş hayatında alınan önlemlerin (Termal kamera kullanımı, ateş ölçümü, soru yöneltilmesi vb) kişisel veriler mevzuatı ile olan ilişkisi unutulmamalı, söz konusu önlemler uygulanırken 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan ikincil düzenlemelere uygun şekilde hareket edilmelidir.

Alınan Önlemler Kapsamında İşlenen Kişisel Veriler İşverene Ayrı Bir Aydınlatma Yükümlülüğü Yükler mi?

KVKK’nın 10. maddesi uyarınca veri sorumluları, her bir kişisel veri işleme faaliyetinde kişisel verilerin işlenmesinden önce veri sahiplerine karşı aydınlatma yükümlülüğünü yerine getirmelidir. Dolayısıyla her durumda olduğu gibi işverenler tarafından COVID-19 salgını kapsamında alınan tedbirlerin uygulanması esnasında kişisel veri işleniyorsa (seyahat bilgileri, COVİD-19 test sonuçları, termal kamerayla izleme gibi) işverenlerin çalışan, ziyaretçi gibi önlemlerin muhatabı veri sahiplerine karşı aydınlatma yükümlülüğü devam etmektedir.

Alınan Önlemler Kapsamında İşlenen Kişisel Veriler İçin Veri Sahiplerinden Açık Rıza Alınması Gerekecek Midir?

Kişisel verilerin işlenmesi için KVKK kapsamında kural olarak veri sahiplerinin açık rızasının alınmalıdır. Ancak açık rıza alınması kural olmakla birlikte bu hususun da istisnaları mevcuttur. KVKK 5/2’de belirtilen şartlardan biri var ise, örneğin kişisel verilerin işlenmesi kanunlarda açıkça öngörülüyorsa bu durumda veri sahiplerinden açık rıza alınmasına gerek olmaksızın kişisel verileri işlenebilecektir.

COVID-19 salgını nedeniyle işverenler tarafından alınan önlemler kapsamında işlenen kişisel veriler için açık rıza gerekip gerekmediğini ise alınan önlemler kapsamında talep edilen kişisel verilerin niteliğine göre ayrı ayrı değerlendirmek gerekecektir.

(i) İşveren tarafından alınan önlemler kapsamında, KVKK’nın 6. Maddesinde belirtilen özel nitelikli kişisel veriler içerisinde yer almayan herhangi bir kişisel veri işleniyor ise örneğin; seyahat geçmişi, yurtdışında bulunup bulunmadığı soruluyorsa veri sahiplerinden açık rıza alınması gerekmediği görüşündeyiz. Zira işverenlerin iş sağlığı ve güvenliğini sağlama konusunda mevzuat kaynaklı yükümlülükleri bulunmaktadır. Bunlardan en önemlisi de çalışanların işle ilgili sağlık ve güvenliğini sağlamak ve bunun için gerekli her türlü önlemi almaktır. Ayrıca işverenin, işyerinde bulunan çalışanlar ile onların da temas halinde bulunduğu diğer kişileri göz önünde bulundurarak, işyerinde COVID-19’un yayılmasını önlemek amacıyla söz konusu kişisel veriler talep edildiğinden, bu noktada veri sorumlusu konumunda bulunan işverenin meşru menfaatleri dolayısıyla da çalışanların açık rızasını alması şart değildir. Burada işveren tarafından kişisel veri işleme faaliyeti KVKK 5/2’de belirtilen hukuki sebeplere dayanacağı için veri sahibinin açık rızası aranmayacaktır.

(ii) İşveren tarafından alınan önlemler kapsamında KVKK’nın 6. Maddesinde belirtilen özel nitelikli kişisel verilerden olan sağlık verileri (COVID-19 test bilgileri, COVID-19 belirtileri olduğu bilgisi, ateş (vücut sıcaklığı) bilgisi vs) işleniyorsa bu durumda kural olarak veri sahiplerinin açık rızası alınması gerekecektir. Ancak burada da dikkat edilmesi gereken nokta işveren tarafından alınan önlemler kapsamında işlenen sağlık verilerinin işveren organizasyonu içerisinde kimler tarafından işlendiğidir. KVKK 6/3’e göre sağlık verilerinin açık rıza olmadan işlenmesine bir imkan tanınmış, sağlık verilerinin kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmiştir. COVID-19 kapsamında işverenler tarafından alınan önlemlerin de kamu sağlığının korunması amacıyla alındığından şüphe olmadığı için sır saklama yükümlülüğü altında bulunan kişiler yani işyeri hekimi, işyeri sağlık personeli tarafından sağlık verileri veri sahiplerinin açık rızası olmadan işlenebilecektir. Burada dikkat edilmesi gereken nokta, işyeri hekimi/işyeri sağlık personeli tarafından işenen verinin işyeri içerisinde işveren de dahil olmak üzere üçüncü kişilere aktarılmaması ve özel nitelikli kişisel verilerin işlenmesinde gerekli önlem ve tedbirlerin alınmasıdır. İşyeri hekimi/işyeri sağlık personeli tarafından riskli durumlar öngörülmesi halinde uygun bulunan uygulama veya tedbir işverenliğe tavsiye edilmeli, sağlık verilerinin ifşası yoluna gidilmemelidir. Ancak işyeri hekimi / sağlık personeli haricindeki kişilerce veri sahiplerinin sağlık verilerinin işlenmesi, talep edilmesi durumunda KVKK 6/2’ye göre veri sahibinin açık rızası alınması gerekecek, bu kişiler tarafından söz konusu kişisel verilerin işlenmesi gerekiyor ise veri sahiplerini aydınlattıktan sonra açık rızalarını almak gerekecektir.

Alınan Önlemler Kapsamında Temin Edilen Kişisel Veriler Kamu Kurumları İle Paylaşılabilir mi?

Kişisel verilerin işlenmesinde olduğu gibi üçüncü kişilere aktarılması da KVKK’nın 8. Maddesi uyarınca kural olarak veri sahibinin açık rızasına bağlıdır. Ancak tıpkı kişisel verilerin işlenmesinde olduğu gibi aktarılmasında da KVKK bir takım istisnalar tanımaktadır. Kişisel veriler, KVKK’nın 5. Maddesinde belirtilen işleme şartları mevcutsa örneğin söz konusu kişisel verilerin paylaşılması kanunlarda öngörülmüşse veri sahibinin açık rızası olmaksızın kişisel veriler üçüncü kişilere aktarılabilecektir.

Özel nitelikli kişisel veri olan sağlık verilerinin paylaşılması da kural olarak veri sahibinin açık rızasına tabi olsa da KVKK 8/2-b uyarınca yeterli önlemler alınmak kaydıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından kamu sağlığının korunması amacıyla açık rıza şartına tabi tutulmadan kamu kurumlarına veri sahibinin açık rızası olmaksızın aktarılabilecektir. Dolayısıyla alınan önlemler kapsamında işyeri hekimi / sağlık personeli tarafından işlenen sağlık verileri veri sahiplerinin açık rızasına ihtiyaç duyulmadan kamu kurumları ile paylaşılabilir. İşyeri hekimi / sağlık personeli haricindeki kişiler tarafından sağlık verileri paylaşılacaksa bu durumda KVKK 8/1 uyarınca veri sahibinin açık rızasının alınması gerektiğini belirtmek isteriz.

İşyerinde COVID-19 Belirtileri Gösteren Çalışanlar Olduğunda ya da COVID-19 Vakası Tespit Edildiğinde Buna İlişkin Bildirim Yükümlülüğü Ne Şekilde Olacaktır?

İşyerinde çalışanlar İSG mevzuatı uyarınca kendilerinin ve diğer çalışanların sağlık ve güvenliklerini tehlikeye düşürmemekten sorumlu oldukları için eğer COVID-19 belirtileri gösteriyor ya da bu konuda şüphe duyuyorsa diğer çalışanlara da hastalığın bulaşma ihtimali göz önüne alarak, onların sağlıklarını tehlikeye düşürmemek için bu durumu işyeri hekimine bildirmelidir. İşveren de çalışanlara COVID-19 belirtilerinden herhangi birinin saptanması halinde derhal işyeri hekimine başvurması gerektiğine ilişkin bir bilgilendirme yapmalıdır.

COVID-19 bulaşıcı bir hastalık olması sebebiyle tedbir alınması açısından işveren veya işyeri hekimi, işyerinde bulunan diğer çalışanlara işyerinde bir vaka görüldüğünde bu durumu duyurmakla sorumludur. Zira işverenin, İSG mevzuatı uyarınca çalışanların işle ilgili sağlık ve güvenliğini sağlamak, çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimine tabi tutulmalarını sağlamak, işçilerin işyerinde maruz kalacakları sağlık ve güvenlik risklerine uygun olarak sağlık gözetimine tabi tutmak gibi yükümlülükleri söz konusudur. Bu doğrultuda işveren, KVKK’nın 4. Maddesinde belirtilen kişisel verilerin işlenmesinde uyulması gereken genel ilkelere de uyarak COVID-19 vakasına yakalanan çalışanın ad-soyad veya başkaca ayırt edici bilgilerini paylaşmadan anonim olarak bu duyuruyu işyerinde yapmalıdır. Hiçbir şekilde çalışanın kim olduğu doğrudan açıklanmamalı ve/veya verilen bilgiler ile kim olduğunu belli edecek şekilde duyuru yapılmamalıdır.

İşverenler, Ziyaretçilere Karşı Uyguladığı COVID-19 Önlemlerinde Kişisel Verilerin Korunması Düzenlemelerine Nasıl Dikkat Etmelidir?

COVID-19 salgını devamı süresince açık olan ve ziyaretçi kabul eden işverenlerin, ziyaretçiler için de bir takım önlemler aldığı görülmektedir. İşverenler elbette bir takım önlemler alabilir ancak alınan önlemler kapsamında ziyaretçilere ait kişisel verilerin KVKK’ya uygun şekilde işlenmesi gerekmektedir. Öncelikle işveren tarafından ziyaretçilere karşı aydınlatma yükümlülüğü yerine getirilmelidir.

İşveren tarafından alınan önlemler kapsamında ziyaretçilerin sağlık dışındaki kişisel verileri talep ediliyor ve işleniyor ise bu durumda yukarıda belirttiğimiz çerçevede açık rıza alınmasına gerek olmaksızın KVKK 5/2’de belirtilen hukuki sebeplere dayanılarak kişisel verileri işlenebilecektir. Ancak işverenler tarafından ziyaretçilerden sağlık verileri (COVID-19 test bilgileri, COVID-19 belirtileri olduğu bilgisi, ateş (vücut sıcaklığı) bilgisi vs) talep edilecekse, burada özel nitelikli kişisel veri olan sağlık verisi işlenecek demektir. Bu noktada sağlık verilerini işleyen kişiler önem arz edecek, söz konusu veriler sadece sır saklama yükümlülüğü altında bulunan kişiler yani işyeri hekimi, işyeri sağlık personeli tarafından işlenecekse KVKK 6/3 uyarınca açık rıza alınmasına gerek olmayacaktır. Ancak ziyaretçilere ait sağlık verileri işyeri hekimi / sağlık personeli haricindeki kişiler, örneğin güvenlik personeli gibi diğer bölüm çalışanları tarafından işlenecek ise bu durumda KVKK 6/2 uyarınca veri sahibinin ancak açık rızasıyla bu veriler işlenebilecektir. Ziyaretçilere ait kişisel verilerin kamu kurumlarına aktarılmasında da işlenmesine ilişkin şartlar geçerlidir.

Diğer Haberler