Hayatımızı derinden etkileyen ve hepimizi hazırlıksız yakalayan bir virüsle karşı karşıyayız; COVID-19. Bu virüsün sebep olduğu salgın, tüm Dünya’yı ve ülkemizi etkisi altına almış olup, üzücü bir şekilde can kayıplarının yaşanmasının yanı sıra hukuken birtakım sorunları da beraberinde getirmiştir.
Bu yazımızda ele alacağımız husus, işverenler bakımından Kişisel Verilerin Korunması Kanunu kapsamında mahremiyetin korunması noktasında ortaya çıkmaktadır. Nitekim Kişisel Verilerin Korunması Kanununun [Kanun] amaçlarından biri de kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır.
Bu doğrultuda salgının etkisi altında olan birçok ülkenin veri koruma otoriteleri, tavsiye niteliğinde metinler yayımlamaya başlamışlardır. Ülkemizde de Kişisel Verileri Koruma Kurulu [Kurul] 27 Mart 2020 tarihinde COVID-19 virüsü ile mücadele kapsamında kişisel verilerin işlenme süreçlerine ilişkin bilinmesi gerekenlere dair bir kamuoyu duyurusu yayınlamıştır.[1]
Yayınlamış olduğu Kamuoyu Duyurusu’nda Kurul, kişisel verilerin istisnai pandemi durumunda da hukuka uygun ve temel ilkeler esas alınarak işlenmesi gerektiğine değinmekte ve veri güvenliğine yönelik gerekli idari ve teknik tedbirlerinin alınmasının önemine bir kez daha işaret etmektedir. Bu minvalde özellikle Covid-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin genel ilkelere göre işlenmesi yani gerekli, amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Ayrıca yine Kurul’un 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili kararı da göz önünde bulundurulmalıdır. [2]
Kurul’un da belirtmiş olduğu üzere, içerisinde bulunduğumuz olağandışı pandemi halinde kişisel verilerin (T.C. Kimlik No, adres, işyeri, seyahat bilgileri) ve kategorik olarak diğerlerine oranla daha hassas kabul edilen özel nitelikli kişisel verilerin işlenmesi kaçınılmazdır. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Yasal bir düzenleme bulunmaması ya da bireyin kendisine ait kişisel verilerin işlenmesi yönünde açık bir irade beyanının olmaması durumunda kişisel verilerin işlenebilmesi mümkün değildir. Bu doğrultuda Kanun’da gerek kişisel verilerin gerekse özel nitelikli kişisel verilerin işlenmesi için açık rıza alınması kişisel veri işleme şartları arasında sayılmaktadır.
Kanun’un 6.maddesinde özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu hüküm altına alınmış, bir sonraki fıkrada ise istisna getirilmiştir. Bu meyanda, özel nitelikli kişisel verilerden sağlığa ilişkin kişisel verilerin, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluş tarafından ilgilinin açık rıza aranmaksızın işlenebileceği hüküm altına alınmıştır.
Özellikle müvekkil şirketlerden gelen sorular kapsamında Kamuoyu Duyurusu’nda yer alan düzenlemeleri de göz önünde bulundurarak işçi – işveren ilişkisi bakımından uygulamaya ilişkin bir takım soru – cevap bölümü hazırladık.
- Bir işveren, tüm personelin ve ziyaretçilerin ateşini ölçebilir mi ya da virüs belirtileri hakkında bilgi talebinde bulunabilir mi?
Bilindiği üzere, İşverenler işyerlerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almak, araç ve gereçleri noksansız bulundurmak, işçiler de iş sağlığı ve güvenliği konusunda alınan her türlü önleme uymakla yükümlüdürler. Yukarıda belirtmiş olduğumuz gibi, ilgili kişinin açık rızası ile özel nitelikli kişisel veri işlenebilir. Personelin bu bakımdan açık rızasının alınması mümkün olduğu gibi, ziyaretçilerden de açık rıza alınması mümkündür. Ancak hatırlatmak isteriz ki, rızanın özgür irade ile verilmesi ve koşula dayanmaması gerektiğinden, ziyaretçinin tesise girebilmesi için rızanın ön koşul olarak ileri sürülmemesi gerekmektedir.
Bununla birlikte, Covid-19 özelinde, bir salgın söz konusu olduğundan istisna kapsamında sır saklama yükümlülüğü bulunan sağlık çalışanları tarafından kamu sağlığı amacıyla bu veriler rıza olmaksızın işlenebilmektedir. Dolayısıyla işveren, işyeri hekimi ilgili kişiden rıza alınmasına gerek olmaksızın ateşini ölçebilir, bilgi talebinde bulunabilir.
Burada akla gelen ilk soru; işveren istisna kapsamında açık rıza olmaksızın kişisel veri işleyebilir mi? Ya da işyeri hekimi, almış olduğu sağlık verisini farklı bir departman ile paylaşabilir mi? Kanun’un 6.maddesinde istisna olarak açık rıza olmaksızın özel nitelikli kişisel verinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluş tarafından işlenebileceği hüküm altına alınmıştır. Bu sebeple sır saklama yükümlülüğü altında bulunan işyeri hekimi, söz konusu sağlık verisini aldıktan sonra ilgili kişinin bir üst derece sağlık kuruluşunu ziyaret etmesini isteyebilir ve ilgili kişinin kim olduğunun tespitini doğrudan sağlayacak detaylar ise paylaşılmamalıdır.
- İşveren, semptom gösteren personellerin sayısını diğer departmanlara bildirebilir mi?
Yukarıda vermiş olduğumuz cevap da göz önünde bulundurularak, işyeri hekimi hasta ya da semptom gösteren personelin bilgisinin paylaşılmasını engellemelidir ancak bu kişinin temasta olduğu personelleri tespit etmek amacıyla farklı sorular sorarak risk durumunu belirleyebilir. İşyeri hekiminin aynı zamanda diğer çalışanların sağlığını da koruma yükümlülüğü bulunduğundan, eğer hasta ya da semptom gösteren personelin adının belirtilmesi zorunluysa, ölçülülük ilkesi kapsamında bu husus çözümlenebilir.
- İşveren, ziyaretçilerin ya da personellerinin daha önce seyahat ettiği ülkelere ilişkin bilgi talep edebilir mi?
Özel nitelikli kişisel veri, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına, ayrımcılığa maruz kalmasına ya da şeref ve onurunun zedelenmesine neden olabilecek nitelikteki verilerdir. Bu kapsamda seyahat bilgileri, özel nitelikli kişisel veri kapsamında değildir. Bununla birlikte, kişisel veriler genel olarak işleme amaçlarına göre değerlendirilmektedir. Seyahat bilgisinin toplanma amacı, hastalığın bulaşma ihtimalini öğrenmek olduğundan esasen veri sorumlusu dolaylı olarak sağlık verisi elde edilmektedir. Ancak Kurul, Kamuoyu Duyurusu’nda daha hassas kabul edilen özel nitelikli kişisel veri kapsamında saymamıştır. Dolayısı ile Kanun’un 5. maddesinde kişisel verileri işleme şartlarının dikkate alınarak seyahat bilgilerinin alınmasında herhangi bir sakınca yoktur.
Her halükârda bu istisnai zamanda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerekmekte olduğu unutulmamalıdır. Esasen içerisinde bulunduğumuz bu olağanüstü durumda korunmaya çalışılan esas hak en üstün hak olan yaşam hakkı olup, kişisel verilerin korunması bakımından her ne kadar teorik olarak birtakım düzenlemeler bulunsa da bir önceki makalemizde de bahsetmiş olduğumuz gibi, her olağanüstü durum kendi hukukunu yarattığından, teorik bilgilerin pratikte ne kadar uygulanabilir olduğu zaman içerisinde görülecektir.
[2] https://kvkk.gov.tr/Icerik/4110/2018-10
Seda Mengeş
Avukat / K&P Legal Hukuk Bürosu