Covid-19 / Koronavirüs Salgını Sürecinde Kişisel Verilerin Korunması
COVID-19 salgını nedeniyle işverenler, işyerinde iş sağlığı ve güvenliğinin sağlanması amacıyla, çalışanlarından ve iş yerine gelen ziyaretçilerden çeşitli bilgileri talep etmektedirler. Bu bilgiler arasında çalışanların mevcut sağlık durumları, temas halinde olduğu kişiler, son dönemde yaptığı seyahatler gibi bilgiler bulunmaktadır.
COVID-19 salgını nedeniyle işverenler, işyerinde iş sağlığı ve güvenliğinin sağlanması amacıyla, çalışanlarından ve iş yerine gelen ziyaretçilerden çeşitli bilgileri talep etmektedirler. Bu bilgiler arasında çalışanların mevcut sağlık durumları, temas halinde olduğu kişiler, son dönemde yaptığı seyahatler gibi bilgiler bulunmaktadır. Çalışanların ve ziyaretçilerin vücut sıcaklıklarının ölçülmesi, kameralarla vücut sıcaklıklarının tespit edilmesi, çeşitli tarama yöntemleri ve bu tarama yöntemleri ile bu bilgilerin kaydedilmesi de önlem amaçlı yapılan faaliyetlerdendir. Bu bağlamda çalışanların kişisel verilerinin tespit edilmesi ve işlenmesi ile ilgili mevcut bir kısıtlamanın olup olmadığı ve bu faaliyetlerin kanun ihlaline sebep olup olmayacağı son günlerde araştırılan konular arasındadır. Bu sebeple bu konunun değerlendirilmesi faydalı olacaktır.
Türkiye’de kişisel veriler 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun ile korunmaktadır. Kişisel verilerin işlenmesi faaliyetleri sırasında, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar bu kanun ile düzenlemektedir. Bu kanun uyarınca, çalışanların veya ziyaretçilerin sağlık ve seyahat verileri özel nitelikli kişisel veriler kapsamındadır. Dolayısıyla işverenler de bu verileri işlemeleri halinde veri sorumlusu olarak değerlendirileceklerdir.
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanunun 6/1 maddesi uyarınca kişilerin sağlık verileri özel nitelikle kişisel verilerdir. Kanunun 6/3 maddesi uyarınca kamu sağlığının korunması amacıyla kişisel sağlık verilerinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenmesi mümkündür. Ancak kanunun 6/3 maddesindeki özel istisnalar hariç olmak üzere, kanunun 6/2 maddesi uyarınca özel nitelikli kişisel verilerin ilgili kişilerin açık rızası olmadan işlenmesi yasaktır. 6698 sayılı Kanunun 6/3 maddesi ise çok kısıtlı bir kapsamda düzenlendiği için pratikte uygulanma alanı oldukça sınırlıdır. Dolayısıyla işverenin bu maddelere dayanarak çalışanlarından ve ziyaretçilerden kişisel sağlık verilerini istemesi ve işlemesi pratikte kısıtlı olarak uygulanabilecektir ve yerinde olmayacaktır. KVKK’nın 5/2 maddesi uyarınca ise ilgili kişilerin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu haller düzenlenmektedir. Bu madde kapsamındaki haller, işverenlerin salgından korunmak amacıyla kişisel verileri işlemesinde uygulama alanı bulabilir. Kanunun 5/2/ç maddesi uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için bu verilerin işlenmesi zorunlu ise ilgililerin açık rızası aranmaksızın bu veriler alınabilir ve işlenebilir. Dolayısıyla, işverenler, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu kapsamındaki yükümlülükleri olan iş yerinde iş sağlığı ve güvenliğinin sağlanması amacıyla, çalışanlarının ve ziyaretçilerin rızasını almaksızın bu bilgileri tespit edebilir ve işleyebilir. Ancak bu durumda da işverenin ilgili kanunun 4. maddesindeki usul ve esaslara uygun davranması gerekmektedir. Bu kapsamda, işyerinde iş güvenliği ve sağlığının sağlanması amacıyla başka yöntemlerin alınıp alınamayacağı değerlendirildikten sonra kişisel verilerin alınmasının zorunlu olduğuna karar verilmesi gerekmektedir. Alınan ve işlenen kişisel veriler işlendikleri amaçla bağlantılı ve ölçülü olmalıdır. Bu bilgiler sınırlı, yeterli ve gerekli ölçüde işlenmelidir. Dolayısıyla bu bilgilerin alınması ve işlenmesi faaliyetleri mümkün olduğunca en aza indirgenmelidir. Bu kapsamda, örneğin işverenler, çalışanlarından son zamanlarda yurtdışına seyahat edip edipmediği ile ilgili bilgi talep edebilir. Çalışanlarının işyerine girmeden önce ateşlerini ölçebilir. Ancak, örneğin çalışanlarının yurtdışına yaptıkları seyahetleri nereye yaptıkları veya çalışanlarının nerede oldukları gibi bilgileri talep etmesi kanunun izin verdiği ölçüleri aşacaktır. 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un 28. maddesi uyarınca, kanunun uygulanmasından muaf tutulabilecek haller listelenmiştir. Kanunun 28/ç maddesi uyarınca, kişisel verilerin millî savunma, millî güvenlik, kamu güvenliği, kamu düzeni gibi amaçlarla işlenmesi mümkündür. Dolayısıyla, kişisel verilerin yetkili kamu kurum ve kuruluşları tarafından işlenmesi kişisel verilerin işlenmesinin korunması ile ilgili istisnalardan sayılabilir. İşverenlerin, işlenen bilgileri kanunun 6/3 maddesi uyarınca kamu güvenliğinin sağlanması amacıyla kanunla yetkilendirilmiş “sır saklama yükümlülüğü” altında bulunan kurumlarla paylaşması da bu kapsamda gerekebilir.
Kişisel verileri işlenen çalışanlar ve ziyaretçiler, işverenler veya işverenlerin bu faaliyetler için yetkilendirdiği kişiler tarafından bilgilendirilmelidir. Zira, kanunun 10. maddesine göre rıza alınarak ya da alınmaksızın yapılan kişisel verilerin elde edilmesi faaliyetleri ile ilgili olarak bu faaliyetler sırasında veya sonrasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere karşı aydınlatma sorumluluğu vardır. Dolayısıyla veri sorumlularının ilgili kişileri işlenen veriler hakkında bilgilendirmesi gerekir. Dahası, kanunun 11. maddesine göre kişisel verileri işlenen kişilerin bu veriler hakkında bilgi alma hakkı vardır. Bu madde uyarınca, kişisel verileri işlenen çalışan ve ziyaretçiler, işverenlerinden ya da yetkili kişilerden, işlenen verileri hakkında bilgi talep edebilirler. Kanunun 7. maddesine göre ise bilgilerin işlenmesini gerektiren sebeplerin yok olması halinde bilgileri işlenen kişilerin bu bilgilerin silinmesini talep etme hakkı vardır. Dolayısıyla bilgileri işlenen çalışan ve ziyaretçiler, işverenlerinden salgın halinin ortadan kalkması veya artık tehlike arz etmemesi gibi bir durumda, kişisel bilgilerinin silinmesini talep edebilirler. Bu bilgilerin silinmesi, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak üzere veri sorumlularının da yükümlülüğüdür. Kanunun 12. maddesine göre ise, veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbiri almak zorundadır. Dolayısıyla, işverenlerin işlenen verilerin hukuka uygun olarak işlenmesi için her türlü tedbiri alması gerekmektedir.
Kişisel Verilerin Korunması Hakkında Kanunun ilgili hükümleri ve diğer kanunlarda yer alan ilgili hükümlere uygun olarak alınan ve işlenen bilgiler hukuka aykırılık arz etmez. Bu makalenin yazıldığı 24.03.2020 tarihi itibariyle kişisel verilerin korunması ile ilgili olarak Kişisel Verilerin Korunması Hakkında Kanun hükümlerindeki istisnaları Koronavirüs salgını sürecine özel olarak genişleten bir düzenleme de yapılmamıştır.Dolayısıyla işverenlerin, çalışanların ve ziyaretçilerin bilgilerini alırken ve işlerken bahsettiğimiz hususlara uygun davranmaları gerekmektedir. Bu hususlara uygun davranılarak gerçekleştirilen kişisel verilerin işlenmesi süreci kanuna aykırılık teşkil etmemektedir.