Koronavirüs Salgını Dönemi̇nde İşvereni̇n KVKK Kapsamındaki̇ Yükümlülükleri̇ Kurtuluş & Partners

Koronavirüs Salgını Dönemi̇nde İşvereni̇n KVKK Kapsamındaki̇ Yükümlülükleri̇

Çin’de başlayan ve kısa bir sürede tüm dünyada etkilerini gösteren koronavirüs salgınına yakalananların sayısının artmasıyla ülkemizde de birçok alanda çeşitli önlemler alındı. Özellikle işverenler tarafından, iş sağlığı ve güvenliği bakımından herhangi bir zararın oluşmaması amacıyla çalışanlar için bazı tedbirler uygulanıyor.

Bu süreçte işyerlerinde alınan tedbirlerin, içinde bulunduğumuz olağan dışı durum nedeniyle Kişisel Verilerin Korunması Kanunu’nda düzenlenen yükümlülükler gözetilmeksizin uygulanması mümkün müdür? Tedbirler sonucu elde edilen sağlık verileri rıza olmaksızın işlenebilir mi? Biz de, konuyla ilgili merak edilen bazı soruları yanıtlamaya çalışacağız.

Öncelikle belirtmek gerekir ki; her ne kadar küresel anlamda çok ciddi bir salgının söz konusu olduğu olağan dışı bir dönemden geçiyor olsak da, tedbirlerin uygulanması sırasında işverenlerin ‘’Kişisel Verilerin Korunması Kanunu ve İkincil Mevzuatı’’ (KVKK) kaynaklı yükümlülükleri de bir yandan devam etmektedir.

İşverenin KVKK gereğince hangi yükümlülükleri devam etmektedir ?

Aydınlatma yükümlülüğü devam eder.

‘’KVKK Madde 10. Veri Sorumlusunun Aydınlatma Yükümlülüğü’’ başlığı altında aydınlatma yükümlülüğü düzenlenmiş olup bu madde gereğince kişisel verilerin elde edilmesi sırasında veri sorumlusu, veri sahibini, veri işleme faaliyeti hakkında aydınlatmakla yükümlüdür.

Burada ‘’veri sorumlusu’’ işveren olup veri sahibi, veri sorumlusunun kimliği, hangi verinin hangi amaçla işleneceği, verilerin elde edilme yöntemleri, verilerin kime hangi amaçla aktarılabileceği ve veri sahibinin hakları hususlarının tümü hakkında aydınlatılmalıdır.

Bu durumda Koronavirüs salgınına yönelik, işyerine giriş çıkışlarda ateş ölçümü, sağlık durumuna ilişkin bazı soruların sorulması ve bunun gibi başkaca önlemlerin uygulanması sırasında elde edilen sağlık verilerinin işlenmesi söz konusu olacaksa işverenler tarafından öncelikle ‘’Aydınlatma Yükümlülüğü’’ yerine getirilmelidir.

Sağlık durumlarına ilişkin verilerin işlenebilmesi için, işveren veri sahibinden ayrıca açıkça rıza almak zorundadır.

KVKK’nın 6. maddesinde “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” düzenlenmiş olup, ilgili düzenleme şu şekildedir;

(1)Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Madde hükmünde görüleceği üzere sağlık verileri özel nitelikli kişisel veri kapsamında olup, özel nitelikli kişisel verilerin işlenmesi için işverenin, öncelikle ilgilinin verilerin işlenmesine dair açık rızasını alması gerekmektedir.

Her ne kadar salgın hastalığın yayılmasının önlenmesi amacıyla hareket edilse de işverenin KVKK gereğince mevcut yükümlülüklerinin bu durumda yerine getirmesinin zorunlu olmayacağı yönünde yanlış bir algı oluşmamalıdır. Salgına karşı önlem gerekçesiyle bu yükümlülüklere uyulmaksızın her türlü tedbirin uygulanabilmesi ve sağlık verilerinin herhangi bir kısıtlama olmaksızın işlenebilmesi söz konusu değildir.

Bu durumda Koronavirüs salgını nedeniyle işveren tarafından alınan önlemlerin uygulanması sırasında işverenin aydınlatma yükümlülüğünün yanı sıra, bu uygulamalar sonucunda elde edilen verilerin işlenebilmesi için buna ek olarak ilgili veri sahibinin açık rızasının alınması zorunludur. Açık rızası olmayan çalışanların sağlık verileri ise hiçbir şekilde işlenmemelidir.

Sağlık verileri, veri sahibinin açık rızası aranmaksızın, sır saklama yükümlülüğü olan kişiler tarafından işlenebilir.

KVKK Madde 6/3 ile açık rıza gerekliliğine dair bir istisna düzenlenmiş olup bu madde gereğince sağlık verileri, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Görüldüğü üzere sağlık verileri, belirli amaçlar doğrultusunda, doktor, hemşire, sağlık personeli gibi sır saklama yükümlülüğü mevcut olanlar tarafından veri sahibinin açık rızası olmasa dahi işlenebilecektir.

Bu durumda Koronavirüs salgınına karşı alınan önlemler işyerinde mevcut bir hekim tarafından uygulanıyorsa, çalışanların bu duruma ilişkin olarak aydınlatılması yeterli olup, işyeri hekiminin sır saklama yükümlülüğü olması nedeniyle, ayrıca ilgilinin açık rızası aranmayacaktır. Ancak bu durum sadece işverenin sağlık verilerine hiçbir şekilde ulaşamayacağı halde söz konusu olup, işverenin bu verilere ulaşabileceği hallerde ayrıca açık rızanın alınması gerekir. Burada dikkat edilmesi gereken husus, işyeri hekimi tarafından uygulanacak tedbir için her ne kadar açık rıza aranmasa da uygulama öncesinde aydınlatma yükümlülüğü yerine getirilmiş olmalıdır.

Bir örnekle özetlemek gerekirse; hastalığın en yaygın ve bilinen semptomlardan birinin yüksek ateş olması nedeniyle işyeri giriş ve çıkışlarında çalışanlar veya ziyaretçilere yönelik ateş ölçümü bugünlerde işyerlerinde en sık karşılaşılan önlemlerden biridir. Yukarıdaki açıklamalar doğrultusunda, eğer ateş ölçümü bizzat işyeri hekimi tarafından yapılacaksa yalnızca aydınlatma yükümlülüğünün yerine getirilmesi yeterli olup ayrıca açık rıza alınmasına gerek olmayacaktır. İşyeri hekimi olmayan işyerlerinde ise ateş ölçümü ve diğer uygulamalar için öncesinde aydınlatmanın yanı sıra açık rızanın da alınması zorunludur.

Veriler işlenirken, verilerin amaçla bağlantılı, sınırlı ve ölçülü olup olmadığı hususuna dikkat edilmeli, gerekmesi halinde veriler yok edilmeli veya anonim hale getirilmelidir.

KVKK Madde 4.’e göre kişisel veriler işlenirken işlenen verilerin amaçla bağlantılı, sınırlı ve ölçülü olması zorunludur. Bu nedenle tedbir amaçlı olduğu gerekçesiyle amacı aşan, konuyla ilgisi olmayan, öğrenilmesinde herhangi bir kamu yararı söz konusu olmayacak verilerin işlenmemesi gerekir. Bu nedenle Koronavirüs tedbirleri dolayısıyla işlenecek veriler, işyerinde virüsün yayılmasını önleme amacıyla elde edilmiş olmalıdır.

KVKK Madde 7. gereğince ise işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya talep üzerine silinmelidir. Bu durumda Koronavirüs salgını döneminde tedbirler kapsamında işlenen verilerin, süreç sona erdiğinde daha fazla saklanmaması, yok edilmesi gerekmektedir.

İşyerinde çalışanlardan birinin bu salgına yakalanması halinde ise salgına yakalanan kişinin bu sebeple dışlanması,tüm çalışanlardan farklı muameleye tabi tutulması gibi problemlerin yaşanmaması için isim-soyisim bilgisi verilmeyerek anonimleştirilmesi daha yararlı olacaktır. Ancak diğer çalışanların da bu riskten haberdar olmaları gerekeceğinden, anonimleştirilmiş haliyle bu bilginin paylaşılması ve bu doğrultuda tedbirlere devam edilmesi gerekir.

Sonuç olarak; tüm dünyayı etkisi altına alan salgına karşı önümüzdeki süreçte birçok alanda olduğu gibi iş hayatında da tebirler devam edecek gibi görünüyor. Bu süreçte işverenler tarafından gerekli önlemler alınırken aynı zamanda KVKK kaynaklı yükümlülükler de göz ardı edilmemeli, kamu yararı olduğu gerekçesiyle sınırların aşılabileceği düşünülmemelidir.

Korona Virüs Salgının Hukuki Boyutları,Mevzuatlar ve Güncel Gelişmeler için buraya tıklayınız.

Avukat Gülşah YAZMACI