Dünya Sağlık Örgütü tarafından Pandemi olarak tanımlanmış solunum yolu hastalığı olan Koronavirüsünün (COVİD -19) tüm dünyada olduğu gibi Türkiye’de de gerek işletmeler gerek bireyler üzerinde yarattığı olumsuz etkilerinin bertaraf edilmesi amacıyla özellikle sağlık verileri başta olmak üzere kişisel verilerin işlenmesi ve korunmasına dair düzenlemeler ile ilgili de bir kısım hukuki tedbirlerin alınması zorunluluğu ortaya çıkmıştır. Alınan tedbirler kapsamında; 27 Mart 2020 tarihinde Kişisel Verileri Koruma Kurumu tarafından Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler başlığı altında Kamuoyu duyurusu yayınlanarak veri işleme süreçlerinde dikkat edilmesi gereken hususlar konusunda yönlendirmelerde bulunulmuş ve sıkça sorulan sorular da yanıtlanmıştır.
Bu yazımız içeriğinde ise Koronavirüs (COVİD-19) salgını nedeniyle Kişisel Verileri Koruma Kurumu tarafından yapılan duyuru da dikkate alınarak Koronavirüs nedeniyle veri işleme faaliyetlerinin Kişisel Verilerin Korunması Kanunu’na uygun yürütülmesi ile ilgili sık karşılaşılan sorularla ilgili bilgilendirme yapılması amaçlanmıştır.
1) COVID-19 için alınan özel tedbirler sırasında işverenin ayrı bir aydınlatma yükümlülüğü var mıdır?
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi uyarınca veri sorumlularının, her bir veri işleme faaliyetine ilişkin olarak kişisel verilerin elde edilmesi anında veri sahiplerini aydınlatma yükümlüğü bulunmaktadır. Aydınlatma yükümlülüğünün kapsamı ise bahse konu hüküm ile belirlenmiş olup veri sorumlusu sıfatına haiz işveren tarafından gerçekleştirilecek aydınlatmanın, veri sorumlusunun ve varsa temsilcisinin kimliğini, söz konusu kişisel verilerin hangi amaçla işleneceğini, kişisel verilerin elde edilme yöntemlerini, kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini ve veri sahiplerinin haklarını içermesi gerekmektedir. Sonuç itibariyle, işverenler tarafından Koronavirüs (COVİD 19)’un yol açtığı salgın hastalığın yayılmasını önlemek adına alınan ek tedbirlerin uygulanması esnasında (geçmiş̧ seyahat bilgilerinin veya COVİD-19 test sonuçlarının istenmesi gibi) çalışanlara ait kişisel verilerin işlenmesinin söz konusu olması halinde işverenlerin çalışanlarını KVKK kapsamında aydınlatma yükümlülüğü devam etmektedir.
2) İşveren çalışanların sağlık verilerini (ateş bilgisi, genel muayene bilgisi vb.) işleyebilir mi?
KVKK’nın 5/2 ve 6/3 maddelerinde belirlenen hukuka uygunluk sebeplerinin bulunmadığı durumlarda, veri sorumlularının aydınlatma yükümlülüğüne ek olarak veri işleme süreçlerine ilişkin açık rıza alma yükümlülüğü de bulunmaktadır. Bu doğrultuda işverenler tarafından her ne kadar COVİD-19 salgın hastalığının yayılmasını önlemek adına tedbirler alınsa da bahse konu tedbirlerin uygulanması esnasında sağlık verilerinin işlenmesinin söz konusu olması halinde, sağlık verilerinin KVKK’nın 6. maddesi uyarınca özel nitelikli kişisel veri olarak tanımlanmış olması sebebiyle veri sorumlularının aydınlatma yükümlülüğüne ek olarak açık rıza alma yükümlülüğü de bulunmaktadır. Bu sebeple işverenler, çalışanların COVID-19 ile ilgili verilerini işlerken çalışanların açık rızalarını almakla yükümlüdür.
3) Sağlık verilerinin işyeri hekimleri tarafından işlenmesi durumu açık rıza bakımından farklılık yaratır mı?
Sağlık verilerinin işveren tarafından işlenmesi halinde açık rıza aranması zorunlu olsa da KVKK m.6/3 ile beraber sağlık verilerinin işlenebilmesi adına istisna bir hüküm getirilmiştir. Bahse konu hüküm ile kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi mevzuatta belirtilen birtakım amaçlar doğrultusunda sağlık verileri sır saklama yükümlülüğü altında bulunan kişiler tarafından veri sahibinin açık rızası aranmaksızın işlenebilecektir. Bu doğrultuda ateş bilgisi, genel muayene bilgisi vb. sağlık verilerinin işlenmesini gerektiren uygulamaların işverenler tarafından işyeri hekimleri aracılığıyla yerine getirilmesi halinde, işverenin çalışanların açık rızasına ihtiyaç duymaksızın yalnızca aydınlatma yükümlülüğü bulunmaktadır.
4) COVID-19 semptomları gösteren çalışanın bu durumu işyeri hekimine bildirme yükümlülüğü var mıdır?
İş Sağlığı ve Güvenliği Kanunu md.19/1 uyarınca çalışanlar, kendilerinin ve hareketlerinden veya yaptıkları işten etkilenen diğer çalışanların sağlık ve güvenliklerini tehlikeye düşürmemekle yükümlüdür. Bu durumda işveren, çalışanlara COVID-19 semptomlarından herhangi birinin saptanması halinde derhal işyeri hekimine başvurması gerektiğine ilişkin bir bilgilendirme yapmalıdır.
5) İşveren ilgili kişilerden seyahat geçmişine dair veri talep edebilir mi?
Kişilerin son zamanlardaki seyahat geçmişleri 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel veriler kapsamındadır. Normal şartlarda kişisel verilerin işlenebilmesi için veri sahibinin açık rızası aranmaktaysa da Kişisel Verileri Koruma Kurumu tarafından yapılan duyuruda “Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanunun 5. maddesinde kişisel veri işleme şartlarının dikkate alınması gerekecektir.” İfadesi ile bu bilgilerin KVKK madde 5 kapsamında kaldığı ve kişilerin son olarak seyahat ettikleri ülke bilgisinin özel nitelikte kişisel veri olmayacağı açıklığa kavuşmuştur. Bu doğrultuda veri sorumlusu işverenler tarafından Covid-19 salgınına karşı önleyici tedbirler kapsamında çalışan ve ziyaretçilerin yurtdışına giriş̧/çıkış̧ bilgisi, yakın zamanda hasta biriyle temasta bulunup bulunmadığı ve benzeri verilerin özel nitelikte olmadığı, dolayısıyla işveren tarafından açık rıza aranmadan işlenebileceği belirtilmiştir. Sonuç olarak işveren aydınlatma yükümlülüğünü yerine getirildiğinden emin olduğu takdirde ilgili kişilere seyahat geçmişlerine dair soru yöneltebilecektir.
6) İşyerinde COVID-19 vakası tespit edildiğinde diğer çalışanlara nasıl bildirim yapılabilir?
Kişisel Verileri Koruma Kurumu tarafından yapılan Duyuru uyarınca, bu bilgilendirme, kişilerin isimlerini vermeden, sadece çalıştığı yer belirtilerek yapılabilir. Kurum’un söz konusu bilgilendirmeye ilişkin vermiş olduğu örnek: “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” göz önüne alındığında; işveren, çalışanlarından birinin Covid-19 pozitif çıkması halinde, veri sahiplerinin kimliğini anonim hale getirerek diğer çalışanları uyarmalı ve gerekli önlemleri almaya davet etmelidir ve zorunlu olmadığı sürece çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır ve verilen bilgiler ile kim olduğunu belli edecek şekilde duyuru yapılmamalıdır. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın isminin açıklanmasının zorunlu olduğu hallerde, aydınlatma yükümlülüğü kapsamında veri sorumlusu sıfatını haiz işverenin Covid-19 pozitif tanısı konan çalışanlarını önceden bilgilendirmesi gerekmektedir.
7) Çalışanın sağlık verileri kamu kurumları ile paylaşılabilir mi?
Kamu sağlığı amacıyla Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.
8) Evden çalışma sürecinde alınacak güvenlik önlemleri nelerdir?
Kurumlar bu süreçte iş sürekliliğini sağlamak adına uzaktan çalışma kararı alarak işlerini yürütebilmektedir. Bu durumlarda da kişisel verilerin güvenliği ve korunması ile ilgili yükümlülüklerinin geçerli olduğu ve kurumların iş süreçlerinde KVKK uyumlulukları için aldıkları idari ve teknik tedbirleri bu süreçte de devam ettirmeleri gerektiği Kişisel Verileri Koruma Kurumu tarafından yapılan Duyuru kapsamında açıklığa kavuşmuştur. Kurum’un duyurusu uyarınca uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmekte olduğunu belirtmiştir. Bu hususta Kurum, kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünün ortadan kalkmadığını hatırlatmıştır.
• Covid-19 salgını ile mücadele edilirken, kişisel verilerin güvenliğinin sağlanması adına her türlü teknik ve idari tedbir alınmalı, özel nitelikli kişisel veri kategorisinde olan sağlık verilerinin güvenliğinin sağlanması adına ise ek tedbirler alınmalıdır. Tedbirler alınırken aydınlatma yükümlülüğü kapsamında kişilere yapılacak bilgilendirmenin kısa, kolay erişilebilir, anlaşılır olması ve bilgilendirmede açık ve sade bir dil kullanılması gerekmektedir. Öte yandan Sağlık Bakanlığı ve yetkili kamu kurum ve kuruluşlarının kişisel verileri işleme faaliyetleri ise; Kanun’un 28. Maddesinde öngörülen millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında değerlendirilmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.
• Sonuç itibariyle özellikle bu dönemde durumu daha da kötüleştirmemek ve telafisi imkansız zararlara yol açmamak adına veri sorumlusu sıfatını haiz işverenler tarafından Covid-19 virüsünün yayılmasını önleme amacına yönelik olarak gerek sağlık verilerinin gerek ise diğer kişisel verilerin işlenmesinin söz konusu olması halinde, KVKK’da belirtilen genel ilkelere ve Kurum’un yönlendirmelerine riayet edilerek, amaçla ölçülü ve orantılı şekilde veri işlenmeli, ihtiyaç duyulmayan kişisel verilerin elde edilmemesi gerekmektedir.
Sağlıklı günler dileriz.
—
Daha fazla bilgi ve sorularınız için:
Av. Ebru ÖZDURAN – [email protected]
Stj. Av. Berfin GÖLCÜK – [email protected]
-© Hansu Avukatlık Bürosu
Hansu Avukatlık Bürosu Yerli ve Yabancı müvekkillerine özellikle gayrimenkul , şirketler, ticaret, vergi ve fikri mülkiyet hukuku alanında hizmet veren bir avukatlık bürosudur. Bu bülten Türkiye’de hukuk alanındaki gelişmeleri paylaşmak amacıyla hazırlanmıştır. Bülten hukuki bir görüş veya yönlendirme olarak düşünülmemelidir. Özel sorular ve sorunlar bakımından hukuki danışman görüşü alınmalıdır.