İşverenler Covid-19 Sürecinde Çalışanlarınızın Kişisel Verilerini Korumaya Devam Ettiğinizden Emin Olun!
Koronavirüs Hastalığı 2019 (COVID-19); Dünya Sağlık Örgütü tarafından pandemi (yani küresel salgın) olarak kabul edilen, dünya çapında insan sağlığını tehdit eden ve ölümlere yol açan bir virüstür. Uzun süredir böyle bir örnekle karşılaşılmadığı için COVID-19 süreci, her konuda olduğu gibi daha hayatımıza yeni giren “kişisel verilerin işlenmesi ve korunmasına” dair düzenlemeler ile ilgili de soru işaretlerine sebebiyet vermektedir.
Kişisel verilerin korunması alanında düzenleyici kanun olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “KVKK”) ve Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan ikincil düzenlemeler, dünya çapında insan sağlığını tehdit eden bir salgın için özel bir düzenleme içermemektedir. Bu sebeple COVID-19 sürecinde de Kanun’un genel ilkelerine uygun şekilde davranılması gerekmektedir.
Bu süreçte dikkat edilmesi gereken hususları 10 temel soru altında inceleyerek hem genel bir bilgilendirme yapmayı hem de en çok merak edilen konuları spesifik olarak mercek altında almayı hedeflemiş bulunmaktayız.
1. COVID-19 için alınan özel tedbirler sırasında işverenin ayrı bir aydınlatma yükümlülüğü var mıdır?
KVKK’nın 10. maddesi uyarınca veri sorumluları, her bir veri işleme faaliyetine ilişkin olarak kişisel verilerin elde edilmesi anında veri sahiplerini aydınlatmakla yükümlüdür. Aydınlatma yükümlülüğünün veri sorumlusunun kimliğini, hangi kişisel verilerin hangi amaçla işleneceğini, kişisel verilerin elde edilme yöntemlerini, kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini ve veri sahiplerinin haklarını içermesi gerekmektedir. İşverenler tarafından COVID-19’un yol açtığı salgın hastalığın yayılmasını önlemek adına alınan ek tedbirlerin uygulanması esnasında (geçmiş seyahat bilgilerinin veya COVİD-19 test sonuçlarının istenmesi gibi) çalışanlara ait kişisel verilerin işlenmesinin söz konusu olması halinde işverenlerin çalışanlarını KVKK kapsamında aydınlatma yükümlülüğü devam etmektedir.
2. İşveren ilgili kişilerden seyahat geçmişine dair veri talep edebilir mi, bu verileri nasıl işleyebilir?
COVID-19’un oldukça bulaşıcı olduğu ve en çok uluslararası seyahatler ile yayıldığı bilinmektedir. Bu nedenle işverenler tarafından çalışanlarının riskli bir bölgeden gelip gelmediğinin sorgulanması muhtemeldir. Bu kişilerin son zamanlardaki seyahat geçmişleri pek tabi ki kişisel verileridir. Bu veriler işlenirken, KVKK’nın 5. maddesinde yer alan kişisel verilerin işlenme şartlarına uygun davranılması gerekmektedir. Normal şartlarda kişisel verilerin işlenebilmesi için veri sahibinin açık rızası olmalıdır ancak bu durumun birtakım istisnaları da mevcuttur. KVKK m.5/2-a’da belirtilen “Kanunlarda açıkça öngörülmesi” ile m.5/2-f’de belirtilen “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” durumu istisna oluşturarak açık rıza kuralına istisnalar olarak düzenlenmiştir.
İşverenlerin iş sağlığı ve güvenliği mevzuatı ile ilgili yükümlülükleri vardır. Bunlardan en önemlisi de çalışanların işle ilgili sağlık ve güvenliğini sağlamak ve bunun için gerekli her türlü önlemi alma yükümlülüğüdür. Çalışanın seyahat geçmişinin sorgulanması da bu yükümlülük kapsamında kanuni zorunluluk sebebiyle yapıldığından açık rıza kuralının “kanunlarda açıkça öngörülmesi” istisnasına dahil olmasından ötürü çalışanın açık rızasına gerek bulunmamaktadır. Ayrıca işveren, işyerinde bulunan çalışanlar ile onların da temas halinde bulunduğu diğer kişileri göz önünde bulundurarak, veri sorumlusunun işyerinde COVID-19’un yayılmasını önlemek amacıyla seyahat geçmişini sorguladığından, bu noktada veri sorumlusu konumunda bulunan işverenin ağır basan meşru menfaatleri dolayısıyla da çalışanların açık rızasını alması zaruri değildir.
Ne var ki, açık rızanın zorunluluk arz etmemesi KVKK’nın 4. maddesinde yer alan temel ilkelerin göz ardı edilebileceği anlamına gelmemektedir. Söz konusu kişisel veriler amacına uygun bir şekilde ve ölçülülük ilkesine uymak kaydıyla işlenmelidir.
3. İşveren çalışanların sağlık verilerini işleyebilir mi?
KVKK’nın 6. maddesinde belirtildiği üzere sağlık ile ilgili veriler, “özel nitelikli kişisel veri” olarak değerlendirilmiştir. Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler olup bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. 6.maddenin devamında ise özel nitelikli kişisel verilerin- istisnalar hariç olmak üzere -ancak veri sahiplerinin açık rızasının mevcut olması durumunda işlenebileceği hüküm altına alınmıştır.
KVKK veya ikincil mevzuatta sağlık verilerine ilişkin bir tanım yer almamaktadır. Ancak Sağlık Bakanlığı tarafından yayınlanan Kişisel Sağlık Verileri Hakkında Yönetmelik uyarınca sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgiyi kapsamaktadır.
Uygulamada kullanılan COVID-19 tedbirleri kapsamında kişinin COVID-19 olduğuna dair pozitif test bilgileri, COVID-19 semptomları olduğu bilgisi, karantinaya alındığı bilgisi ve kendisine test uygulanması suretiyle elde edilen diğer bilgiler sağlık verileri olarak kabul edilebilir. Bu sebeple işverenler, çalışanların COVID-19 verilerini işlerken çalışanların açık rızalarını almakla yükümlüdür.
4. Sağlık verilerinin işyeri hekimleri tarafından işlenmesi durumu açık rıza bakımından farklılık yaratır mı?
Her ne kadar yukarıda bahsettiğimiz üzere, sağlık verilerinin işveren tarafından işlenmesi halinde “açık rıza aranması” zorunlu olsa da KVKK m.6/3 ile sağlık verilerinin işlenmesiyle ilgili bir istisna getirilmiştir. Buna göre sağlığa ilişkin kişisel veriler kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmaksızın işlenebilir. Sır saklama yükümlülüğü altında bulunan kişilere örnek olarak doktorlar gösterilebilir. Bu doğrultuda işverenler, sağlık verilerini işyeri hekimleri aracılığıyla işlediği takdirde, çalışanların açık rızasına ihtiyaç duymaksızın verileri işleyebilecektir.
5. COVID-19 semptomları gösteren çalışanın bu durumu işyeri hekimine bildirme yükümlülüğü var mıdır?
İş Sağlığı ve Güvenliği Kanunu md.19/1 uyarınca çalışanlar, kendilerinin ve hareketlerinden veya yaptıkları işten etkilenen diğer çalışanların sağlık ve güvenliklerini tehlikeye düşürmemekle yükümlüdür. Diğer çalışanlara da hastalığın bulaşma ihtimali göz önüne alınarak, onların sağlıklarının tehlikeye düşürülmemesi için COVID-19 semptomları gösteren çalışanın bunu işyeri hekimine bildirmesi gerekmektedir.
İşveren de çalışanlara COVID-19 semptomlarından herhangi birinin saptanması halinde derhal işyeri hekimine başvurması gerektiğine ilişkin bir bilgilendirme yapmalıdır.
6. İşyerinde COVID-19 vakası tespit edildiğinde diğer çalışanlara kim/nasıl bildirim yapabilir?
İşverenin, İş Sağlığı ve Güvenliği mevzuatı uyarınca çalışanların işle ilgili sağlık ve güvenliğini sağlamak, bütün iş kazalarının ve meslek hastalıklarının kaydını tutmak, gerekli incelemeleri yaparak bunlar ile ilgili raporları düzenlemek, çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimine tabi tutulmalarını sağlamak, çalışanına ilk yardım ve acil tedavi yapılması için gerekli önlemleri almak, çalışanların kişisel sağlık dosyalarını tutmak ve işçilerin işyerinde maruz kalacakları sağlık ve güvenlik risklerine uygun olarak sağlık gözetimine tabi tutmak şeklinde yükümlülükleri söz konusudur.
Bu yükümlülükler doğrultusunda, COVID-19 bulaşıcı bir hastalık olması sebebiyle tedbir alınması açısından işveren veya işyeri hekimi , işyerinde bulunan diğer çalışanlara bu durumu duyurmakla sorumludur. İşlenen verilerin KVKK genel ilkeleri uyarınca işleme amacıyla bağlantılı, sınırlı ve ölçülü olması gerektiğinden ötürü çalışanın ad ve soyadı bilgileri paylaşılmadan ilgili duyuru anonim olarak yapılmalıdır. Hiçbir şekilde çalışanın kim olduğu doğrudan açıklanmamalı ve/veya verilen bilgiler ile kim olduğunu belli edecek şekilde duyuru yapılmamalıdır.
7. Çalışanın sağlık verileri kamu kurumları ile paylaşılabilir mi ve kimler paylaşım yapmaya yetkilidir?
Normal şartlarda KVKK m.8 doğrultusunda kişisel verilerin aktarılabilmesi için veri sahibinin açık rızası gerekmektedir. Bu sebeple sağlık verileri, çalışanın açık rızası alınmak kaydıyla işveren tarafından kamu kurumları ile paylaşılabilir.
Bir istisna olarak KVKK m.6/3 gereğince sağlık verileri, kamu sağlığının korunması amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşları tarafından aktarılabilmektedir. Dolayısıyla işyeri hekimleri tarafından çalışanın açık rızasına ihtiyaç duyulmadan sağlık verileri kamu kurumları ile paylaşılabilir.
8. Umumi Hıfzıssıhha Kanunu kamu kurumları ile paylaşım hakkında değişiklik getirir mi?
COVID-19 açıkça 24/4/1930 tarih ve 1593 sayılı Umumi Hıfzıssıhha Kanunu’nda yer almasa da Koronavirüs ilgili yönetmeliklerde sayılmıştır. İlgili kanunun 61. maddesi uyarınca, hekim veya yardımcı sağlık personeli olmayan özel hukuk tüzel kişisi veya gerçek kişiler de (mektep, fabrika, imalathane, hayır müesseseleri, ticarethane ve mağaza, otel, pansiyon, han, hamam, hapishane sahip veya müstecirleri ve müdürleri, apartman kapıcıları, ölü tabutlıyan ve yıkayanlar) işlerini ifa ederken öğrendikleri vakaları derhal ilgili makamlara tebliğ ve ihbara mecburdurlar.
Görülmektedir ki, Umumi Hıfzıssıhha Kanunu ile Kişisel Verilerin Korunması Kanunu bazı noktalarda karşı karşıya gelmektedir. Kişisel Verilerin Korunması Kanunu kapsamında, sağlık verilerinin işveren tarafından işlenmesi halinde “açık rıza aranması” zorunlu iken “sağlığa ilişkin kişisel veriler kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmaksızın” işlenebileceği de hüküm altına alınmıştır. Ancak, Umumi Hıfzıssıhha Kanunu uyarınca hekim veya yardımcı sağlık personeli olmayan özel hukuk tüzel kişisi veya gerçek kişiler de işlerini ifa ederken öğrendikleri vakaları derhal ilgili makamlara bildirim yükümlülükleri mevcuttur.
Bunun yanı sıra, Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği’nin 10. maddesi de “Bildirim sistemi kapsamında bir bulaşıcı hastalığın ihbarı ve bildiriminden, Bakanlığın belirlediği usul ve esaslar çerçevesinde sağlık hizmeti veren bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.” demek suretiyle çalışanın bulaşıcı bir hastalık olan COVID-19 belirtileri göstermesi halinde sağlık verilerinin ilgili makamlara bildirilmesi gerekmektedir. İlgili Yönetmelikte 2019’da yapılan değişiklik ile bildirim sistemi ile elde edilen bilgilerden kişisel verilerin işlenmesi sırasında kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerinin 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer mevzuata uygun olarak korunacağı düzenlenmiştir.
Konuyla ilgili farklı görüşler yer almakla birlikte bizlere göre; işyerinde çalışan işçi veya işyerine gelen ziyaretçi olsun fark etmez, herhangi bir kişinin Dünya Sağlık Örgütü tarafından pandemi ilan edilen COVID-19 virüsü taşıdığı/hastası olduğu şüphesi söz konusu ise, öncelikle varsa işyerindeki sağlık personeli (işyeri hekimi) uyarınca, yoksa işveren tarafından açık rıza aranmaksızın, KVKK ve ilgili mevzuat hükümleri doğrultusunda ölçülü ve belirli amaçlarla sınırlı olmak ve koruma tedbirlerine uyulmak suretiyle ilgili kişinin temel hak ve özgürlüklerine zarar vermeden özel nitelikli kişisel verilerden olan sağlık verilerini yetkili mercilere bildirmek (paylaşmak) hukuka aykırı bir veri işleme faaliyeti olarak değerlendirilmemelidir.
9. Uzaktan çalışma sürecinde KVKK tedbirleri bakımından dikkat edilmesi gerekenler nelerdir?
İş sürekliliğini sağlamak adına kurumlar bu süreçte uzaktan çalışma kararı alarak işlerini yürütebilmektedir. Bu durumlarda da kişisel verilerin güvenliği ve korunması ile ilgili yükümlülüklerinin geçerli olduğu unutulmamalıdır. Kurumlar iş süreçlerinde KVKK uyumlulukları için aldıkları idari ve teknik tedbirleri bu süreçte de devam ettirmelidir.
İşverenler, idari ve teknik tedbirleri alması gereken kişiler olan veri sorumlularıdır. Bu nedenle işverenlerin çalışanlarına veri güvenliğini koruma yükümlülüklerini hatırlatmaları ve çalışanların tedbirleri yerine getirdiklerinden emin olması gerekmektedir. Burada söz konusu olabilecek ek tedbirler kurum sistemlerine ve dokümanlarına VPN bağlantısı ile erişim, anti-virüs sistemlerinin güncelliğinin sağlanması, ev ağı güvenliğinin sağlanması ve bulut çözümlerinin işletilmesi şeklinde söz konusu olabilir.
10. Kurum’un halihazırda COVID-19 sürecine bakış açışı ne şekildedir?
Kurumun şu anda Kanun’un belirlediği kişisel verilerin işlenmesi ve korunmasına dair temel ilkelere COVID-19 sürecinin olağanüstü bir istisna teşkil edebileceğine dair açıklaması bulunmamaktadır. Ancak veri sorumlularının yükümlü oldukları sürelerin COVID-19 sürecinden etkilenmesi ve bu konudaki bakış açılarına dair bir duyuru yayınlamıştır.
Kurum 23.03.2020 tarihinde yayınladığı duyurusunda; Ülkemizin içinde bulunduğu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından içerisinde bulunduğumuz olağanüstü koşulların gözetileceğini bildirmiştir. Bu duyuruda Veri Sorumluları Sicili (VERBİS)’ne kayıt süresi ile ilgili bir değişiklik söz konusu olmadığı için Kurum’un 27.12.2019 tarihli duyurusunda belirttiği süreler geçerlidir.
Sonuç
Yukarıda anlattıklarımız kapsamında, her ne kadar tüm dünya alışık olmadığımız bir durum ile karşı karşıya kalmışsa da bu durumda kişilerin temel hak ve özgürlüklerine zarar vermeden, kişisel verileri kanunun belirttiği ölçü ve amaçlar doğrultusunda işlemenin ve korumanın işverenlerin yükümlülüğünde olduğu unutulmamalı ve COVID-19’dan korunmaya çalışırken çalışanların kişisel verilerine karşı da korumacı tavır sürdürülmelidir.