COVID-19 SALGINI NEDENİYLE İŞ YERİ UYGULAMALARININ KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA DEĞERLENDİRİLMESİ

03 Nisan 2020

Yaşanan koronavirüs salgını sebebiyle çalışanlara veya işyeri lokasyonlarına gelen üçüncü kişi ziyaretçilere sorular yöneltmek veya ateş ölçümü yapmak suretiyle sağlık bilgilerinin işlenmesi gibi uygulamalar KVKK kapsamında değerlendirilmiştir.


2019 yılının aralık ayında Çin’in Hubei Eyaleti’ne bağlı Wuhan kentinde ortaya çıkan COVID-19/Korona Virüsü, Dünya Sağlık Örgütü tarafından pandemi olarak ilan edilmiştir. Kısa sürede tüm dünyaya yayılan Korona Virüsünün yayılmasını engellemek amacıyla birçok ülkede olağanüstü güvenlik tedbirleri alınmaktadır. 30 Mart 2020 tarihi itibariyle dünya genelinde Korona Virüsü vakası 700 bini aşmış iken virüs nedeniyle hayatını kaybedenlerin sayısı ise 33 bini geçmiştir. Korona Virüsünün bu kapsamda tehdit yayıyor olması işveren – işçi ilişkisini de önemli derecede etkilemiş vaziyettedir.

Mevcut durumda bazı işverenler tamamen işlerin durdurulmasına karar vermiş veya evden çalışma yöntemlerini uygulamaya başlamış, işyerinde çalışmaya devam eden kuruluşlar ise çeşitli uygulamalar ile salgına karşı tedbir ve önlemler almaya başlamıştır. Uygulamada ise çalışanlara veya işyeri lokasyonlarına gelen üçüncü kişi ziyaretçilere sorular yöneltmek veya ateş ölçümü yapmak suretiyle sağlık bilgilerinin işlenmesi gündeme gelmektedir. Ancak bu uygulamalar beraberinde birçok sorun oluşturabilmektedir. Zira öncelikle kişilerin sağlık bilgilerinin işlenmesi söz konusu olabilmekte ve bu bilgilerin işveren nezdinde veya sağlık kuruluşları veya diğer üçüncü kişiler ile paylaşılması söz konusu olabilmektedir. Bu bağlamda kişisel verilerin işlenmesinde uluslararası alanda veri koruma düzenlemelerinin ne şekilde uygulanacağı sorusu akıllara gelmektedir.

Dünya üzerinde farklı veri koruma otoriteleri tarafından uygulamalar ile ilgili duyurular yapılmaktadır. Özellikle Avrupa Birliğinde uygulanmakta olan GDPR kapsamında Avrupa Birliği Veri Koruma Otoritesi kişisel verilerin işlenmesi uygulamalarında kamu sağlığını üstün tutulması gerektiği, İngiliz Veri Koruma Otoritesi ise bu süreçte veri sorumlularına başvuru süreçlerindeki cevap verme gibi yükümlülüklerde veya veri ihlali soruşturmalarında daha esnek davranılacağını hususlarında açıklamalarda bulunmuştur.

Korona Virüsü salgının dünya geneline yayılması ile ticari hayatta alınan önlemler çeşitli yasal düzenleme temellerine oturtulmaktadır. Türkiye açısından son günlerde yapılan mevzuat değişiklikleri ve kamu açıklamaları ile hem kamu sağlığının korunması amaçlanmakta hem de bu suretle hukuka aykırı uygulamalar önlenmeye çalışılmaktadır. Bununla birlikte Kişisel Verileri Koruma Kurumu da söz konusu süreçte işlenecek veriler hakkında bilgilendirme yapmak üzere 27 Mart 2020 tarihinde bir kamuoyu duyurusu yayınlamıştır.

Kurum tarafından yapılan kamuoyu duyurusuna ilişkin yorumlarımızdan önce Korona Virüsü hastalığı ile ilgili olarak kişilerin negatif veya pozitif sonuçlarının Kişisel Verilerin Korunması Kanunu bağlamında ne ifade ettiğini değerlendirmek gerekmektedir. Korona Virüs salgını, mevcut durumda pandemi olarak nitelendirilmiş ise de kişilerin bu hastalık ile ilgili pozitif veya negatif olduğu bilgisi sağlığa ilişkin bilgi olması nedeniyle özel nitelikli kişisel veri olarak değerlendirilecektir.

İş Yerinde Ateş Ölçümü Yapılabilir mi?

Kişisel Verilerin Korunması Kanunu kapsamında sağlık verileri özel nitelikli kişisel veriler olarak belirtilmiştir ve özel nitelikli kişisel verilerin işlenmesi sıkı kurallara bağlanmıştır. Genel kural olarak özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmaksızın işlemeye tabi tutulamaz. Açık rıza olmaksızın kişisel verilerin işlenmesi ancak Kanun’da yer aldığı şekli ile gerçekleşebilmektedir. Sağlık verileri açısından ise açık rıza olmaksızın işleme ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından[1] gerçekleştirilebilmektedir.

Diğer yandan açık rıza kavramını ele aldığımızda ise açık rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve rızanın özgür iradeyle verilmiş olması gerekmektedir. İş yeri uygulamasında ise çalışanın işveren ile arasındaki iş sözleşmesi gereğince özgür irade ile bu anlamda karar veremeyeceği açıktır. Dolayısıyla burada işveren açısından ateş ölçümü esnasında açık rıza ile bu işlemin gerçekleştirilmesi mümkün olmayacaktır. Ancak işverenlerin çalışanların sağlığı ve güvenliği konusunda yeterli ve gerekli önlemleri alması yükümlülüğü bağlamında bu verilerin en azından salgın süreci boyunca işlenmesi gerekmektedir. Burada uygulanabilecek yöntem ise ateş ölçümünün işyeri hekimi tarafından veya bir sağlık personeli tarafından çalışanın açık rızası olmaksızın bilgilendirmek suretiyle ateş ölçümünün yapılmasıdır.

Kişisel Verileri Koruma Kurumu tarafından 27 Mart 2020 tarihinde yapılan açıklamada her ne kadar “özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır.” İfadesine yer verilmiş ise de açık rıza ile işveren tarafından ateş ölçümünün yapılması Kanun’a aykırılık oluşturacaktır.

İşyeri hekimi veya sağlık çalışanları tarafından yapılacak ateş ölçümü özel nitelikli kişisel verilerin işlenmesi kapsamında değerlendirileceğinden bu işleme öncesinde çalışanlara bilgilendirme yapılması gerekmektedir. Nitekim Kurum tarafından da özellikle bu konuya değinilmiş ve yapılan kamuoyu duyurusunda aydınlatma yükümlülüğü kapsamında hazırlanacak olan aydınlatma metni içerisine Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer alan asgari başlıklara ek olarak kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususuna da yer verilmesi gerektiği ifade edilmiştir.

Sağlık Personeli Tarafından İşlenecek Özel Nitelikli Kişisel Veriler İşveren ile Paylaşılabilir mi?

İşyeri hekimi veya sağlık personeli tarafından çalışanlara gerçekleştirilecek uygulamalar neticesinde özel nitelikli kişisel veriler işlenecek ise bu verilerin işveren ile paylaşılması husus gündeme gelecektir. Ancak bu noktada yukarıda ifade edildiği üzere çalışanın açık rızası ile söz konusu işlemler gerçekleştirilmeyeceğinden bu verilerin işveren ile paylaşılması da uygun olmayacaktır. Nitekim özel nitelikli verilerin paylaşılması da verilerin işlenmesinde olduğu şekilde sıkı kurallara tabi tutulmuştur.

Burada değinilmesi gereken husus işveren ile paylaşılabilecek bilgilerin belirlenmesidir. Nitekim kamu sağlığının korunması ile işveren yükümlülüklerinin de göz önünde tutulması gerekmektedir. Örneğin işyeri hekimi çalışanın Korona Virüsü semptomlarını taşıdığını tespit ettiği durumda çalışanın belirli süre ile istirahatine karar vermeli ve yalnızca istirahat hususunda işvereni bilgilendirmelidir. Burada dikkat edilmesi gereken konu, hangi kapsamda işverene bilgi sağlanacağıdır. Çalışanın Korona Virüsü semptomlarını taşımaması halinde yalnızca ateşinin yüksek çıkması veya kronik rahatsızlığının olması da istirahati gerektirebileceğinden bu konuda sınırlı bilgi verilmesi uygun olacaktır. Aksi halde Korona Virüsü pozitif çıkan çalışanın açıkça işverene bildirilmesi her ne kadar işveren yükümlülüklerinin yerine getirilmesi ve kamu sağlığının korunması bakımından değerlendirilecek olsa da özel nitelikli kişisel verilerin işlenmesi açısından Kanun’a aykırılık oluşturacaktır.

Nitekim işyeri hekimi bu bildirimleri ilgili sağlık kuruluşlarına yapmalı, işverene ise yalnızca yapılan uygulamalar neticesinde isim vermeksizin Korona Virüsü teşhis edildiği ve bu kapsamda tüm işyeri nezdinde gerekli tedbirlerin alınması gerektiğini işverene bildirilmelidir. İşveren de bu bildirim neticesinde sınırlı bilgileri içermek kaydıyla İş Sağlığı ve Güvenliği Kanunu kapsamındaki yükümlülüklerini yerine getirmek ve diğer çalışanlarını bu konuda bilgilendirmek ve gerekli önlemleri almak zorundadır.

Diğer yandan İşyeri Hekimi ve Sağlık Personelinin Görev, Yetki ve Sorumlulukları ve Eğitimleri Hakkında Yönetmelik’in 9 uncu maddesinin 2 fıkrasının 8 numaralı bendi[2] uyarınca işyeri hekimlerinin iş sağlığı ve güvenliği hizmetleri kapsamında bulaşıcı hastalıkların kontrolü için yayılmayı önleme ve bağışıklama çalışmalarının yanı sıra gerekli hijyen eğitimlerini vermesi, gerekli muayene ve tetkiklerin yapılmasının sağlaması gerekmektedir. Ancak normlar hiyerarşisi bağlamında ele alınması durumunda işyeri hekimlerinin bu kapsamda bir görevlendirmesinin olduğu kabul edilse dahi Kişisel Verilerin Korunması Kanunu’nun uygulama alanı doğrultusunda özel nitelikli kişisel verilerin işlenmesi gerekmektedir. İşyeri hekimi veya sağlık personeli teşhis edilen bulgular sonucunda yalnızca ilgili sağlık kuruluşlarına hasta hakkında bilgi aktarmalı ve işyerine yalnızca bulgu hakkında bilgilendirme yapmalıdır. Bu noktada Kişisel Verileri Koruma Kurumu tarafından yapılan değerlendirmenin eksik olduğu söylenebilecektir. Nitekim Avrupa Birliği Veri Koruma Otoritesi tarafından GDPR kapsamında yapılan açıklamalarda da bu hususta orantılılık ve veri minimazyonu ilkesine değinilmiş ve işverenin yalnızca ulusal düzenlemelerin izin verdiği ölçüde çalışana ait sağlık bilgilerine erişebileceği ifade edilmiştir.

Aile, Çalışma ve Sosyal Politikalar Bakanlığı tarafından yayımlanan İşyerlerinde Korona Virüse Karşı Alınması Gereken Önlemler başlıklı bilgilendirme[3] içeriğinde de bu husus değerlendirilmeksizin işverenlerin çalışanların ateşini ölçebileceği sonucu ortaya çıkmakta ise de yürürlükte bulunan mevzuat düzenlemeleri kapsamında bu uygulamaların ancak ve ancak işyeri hekimi veya sağlık çalışanları vasıtası ile gerçekleştirilmesi ve yapılacak paylaşımlar ile alınacak güvenlik önlemlerinin bu düzenlemeler doğrultusunda uygulanması gerekmektedir.

İşyeri hekimi veya sağlık personeli bulundurmayan özel hukuk tüzel kişileri bakımından ise yukarıda yer verdiğimiz açıklamalar doğrultusunda ateş ölçümünün açık rıza dahilinde yapılamayacağı konusu gündeme gelmektedir. Bu noktada her ne kadar Kanun’a aykırılık oluştuğu görüşünde olduğumuzu belirtmekte isek de Kişisel Verileri Koruma Kurumu tarafından belirtilen usule uygun olarak çalışanın açık rızasını almak suretiyle ateş ölçümünün yapılması ve uygulama öncesinde hukuka uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Açık rızanın alınması sürecinde ise çalışanın bu konuda bilgilendirilmesi, açık rızanın yalnızca bu konuya ilişkin olarak ve özgür irade ile açıklanması gerekmektedir.

Özel Nitelikli Kişisel Veriler İşveren Tarafından Sağlık Kuruluşları ile Paylaşılabilir mi?

Kişisel Verilerin Korunması Kanunu uyarınca özel nitelikli kişisel verilerin aktarılması öncelikle ilgili kişinin açık rızası şartına bağlanmış, açık rıza olmaksızın yapılacak aktarımın ise yine Kanun’da düzenlenen şartların varlığı halinde mümkün olabileceği düzenlemesi yapılmıştır. Bu noktada işyerleri nezdinde işlenecek olan sağlık verilerinin sağlık kuruluşları ile paylaşılması hususu gündeme gelmektedir.

Yukarıda yapmış olduğumuz açıklamalar bağlamında özel nitelikli kişisel veri niteliğinde olan sağlık verilerinin Kanun uyarınca ancak ve ancak işyeri hekimi veya sağlık personeli tarafından açık rıza olmaksızın işlenmesi ve yine bu kişiler tarafından ilgili sağlık kuruluşları ile paylaşılması hukuka ve mevcut düzenlemeye uygun olacaktır.

1593 sayılı Umumi Hıfzıssıhha Kanunu’nun 61 inci maddesi[4] uyarınca işyeri hekimi veya sağlık personeli bulundurmayan özel hukuk gerçek veya tüzel kişilerinin Kanun’da sayılan hastalık ve vakaları ilgili makamlara ihbarı zorunlu tutulmuştur. Korona Virüsü her ne kadar ilgili Kanun’da sayılmamış ise de mevcut yönetmeliklerde yer almış olması nedeniyle bu hastalığın tespiti halinde ilgili makamlara ihbar edilmesi gerekmektedir.

Yine Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği kapsamında sağlık hizmeti veren tüm kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerinin bulaşıcı hastalıklar ile ilgili vakaları ilgili sağlık birimlerine bildirme yükümlülükleri bulunmaktadır. İlgili Yönetmeliğin 11 inci maddesi ise “Epidemiyolojik sürveyans ve bildirim sistemi ile elde edilen bilgilerden kişisel verilerin işlenmesi sırasında kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlükleri korunur. Kişisel veriler, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer mevzuata uygun olarak korunur.” Hükmünü havi olup yapılacak bildirimler kapsamında Kişisel Verilerin Korunması Kanunu’nun uygulanması gerektiği ifade edilmiştir. Belirtmek gerekir ki yapılan düzenlemeler ile Kişisel Verilerin Korunması Kanunu arasında çelişkiler bulunmaktadır. Zira Kişisel Verilerin Korunması Kanunu gereğince özel nitelikli kişisel veri kapsamında olan sağlık verilerinin açık rıza olmaksızın işlenmesi veya aktarılması ancak sır saklama yükümlülüğü bulunan kişiler tarafından gerçekleştirilebilmektedir. Bu noktada mevcut Kişisel Verilerin Korunması Kanunu, Korona Virüsü nedeniyle ortaya çıkan uygulamalar bakımından yetersiz kalmakta ve işverenlerin de Kanun’a aykırı veri işleme faaliyetinde bulunmasına neden olabilmektedir. Kurum tarafından yapılan açıklamalar da yine aynı şekilde Kanun’da yer alan düzenlemenin aksini ifade etmekte ise de Dünya Sağlık Örgütü tarafından pandemi olarak kabul edilen Korona Virüsü salgının önlenmesi ve gerekli tedbirlerin alınması açısından vaka bulgusuna rastlanmış olan işyerlerinde bu vakaların işveren tarafından öncelikle işyeri hekimi veya sağlık personeline, işyeri hekimi veya sağlık personeli bulundurulmayan işyerleri tarafından ise ilgili sağlık kuruluşlarına bildirim yapılması gerekmektedir.

İşyeri hekimi veya sağlık personeli bulundurmayan işyerleri bakımından gerçekleştirilecek özel nitelikli verilerin işlenmesi ve aktarılması ise Kurum tarafından yapılan açıklamada da belirtildiği üzere yalnızca çalışanın açık rızası dahilinde sağlık kuruluşları ile paylaşılabilecek olduğundan çalışanlardan alınacak açık rızanın da bu doğrultuda alınması önem arz etmektedir.

Korona Virüs Vakasının Tespiti Halinde Diğer Çalışanlara Bilgi Verilebilir mi?

Kişisel Verileri Koruma Kurumu tarafından yapılan açıklama uyarınca işverenin Korona Virüsü tespit edilen vakalar hakkında diğer çalışanları bilgilendirmesi gerektiği ifade edilmiştir. Nitekim İş Sağlığı ve Güvenliği Kanunu’nun ilgili hükümleri kapsamında işverenin işyerindeki iş sağlığı ve güvenliğini temin etmek üzere yerine getirmesi gereken yükümlülükleri mevcuttur. Bu doğrultuda işveren, işyeri hekimi tarafından kendisine bildirilen vaka tespitleri hakkında diğer çalışanlarını bilgilendirmekle yükümlüdür. Ancak burada da dikkat edilmesi gereken husus verilecek bilginin kapsamıdır. Zira yukarıda da değindiğimiz üzere işyeri hekimi tarafından işverene verilecek bilginin kapsamı ile diğer çalışanlarına verilecek bilginin kapsamı Kanun’un özel nitelikli verilerin işlenmesi ve aktarılması şartlarına uygun olmalı ve Korona Virüsü tespit edilen çalışanın kimliğini ortaya çıkartmayacak, kişilik haklarına zarar vermeyecek şekilde bilgi paylaşımı yapılmalıdır. Diğer uluslararası otoriteler tarafından uygulanan yöntemler ve açıklamalar incelendiğinde de bu hususta gereğinden fazla bilgi paylaşımı yapılmaması gerektiği özellikle ifade edilmiştir.

Çalışanlar Tarafından İşverene Sağlık Durumunun Bildirilmesi Zorunlu mudur?

İş Sağlığı ve Güvenliği Kanunu’nun 19 uncu maddesi uyarınca çalışanlara, işyerinde sağlıklı ve güvenli şekilde çalışmaların yürütülebilmesi amacıyla bir takım yükümlülükler getirilmiştir. Bu kapsamda çalışanlar kendilerinin ve hareketlerinden veya yaptıkları işten etkilenen diğer çalışanların sağlık ve güvenliklerini tehlikeye düşürmemekle yükümlüdür. İlgili düzenleme nedeniyle Korona Virüs teşhisi konmuş olan çalışanın da bu hususu işyeri hekimi ile paylaşması, işyeri hekimi bulunmaması durumunda ise işverenine bildirmesi gerektiği söylenebilecektir. Bu kapsamda bizzat çalışan tarafından yapılan bildirim nedeniyle ilgili kişisel verinin işlenmesi bakımından ayrıca açık rıza alınmasına gerek bulunmamakla birlikte söz konusu verinin aktarımı ve bu verilerin ne kadar süre ile saklanacağı konusunda çalışana bilgilendirme yapılması gerektiği göz ardı edilmemelidir.

Bu kapsamda son olarak belirtmek gerekir ki çalışanlara getirilen bu yükümlülükler hakkında işverenin çalışana eğitim vermesi bu yükümlülüğü çalışanlara ayrıca bildirmesi gerekmektedir.

Çalışan veya Ziyaretçilere Ait Seyahat Bilgilerinin İşveren Tarafından İşlenebilir mi?  

Tüm dünyada bulaşıcı hale gelmiş olan Korona Virüsünün Türkiye’de tespit edilmesi bakımından kişilerin yurt dışı bağlantısının bulunması hastalığın tespitinde önem arz etmektedir. Bu kapsamda işverenler tarafından lokasyon girişlerinde hem çalışanlarından hem de diğer üçüncü kişi ziyaretçilerden yabancı ülkelere seyahat bilgisini talep etmesi uygulamada karşılaşılan koruyucu ve önleyici tedbirler arasında yer almaktadır. Ancak işverenler tarafından talep edilen bu bilgi Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri olarak kabul edilmektedir.

Kişisel Verilerin Korunması Kanunu uyarınca verilerin işlenebilmesi için ilgili kişinin açık rızasının bulunması gerekmektedir. Ancak Kanun kapsamında yer alan istisnai hallerin bulunması halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceği ifade edilmiştir. Korona Virüs salgının kamu sağlığını tehdit eden nitelikte bir salgın hastalık olması ve ülke çapında salgının yayılmasını önlemek üzere çeşitli tedbirlerin alındığını da göz önüne alındığında yurt dışına seyahate ilişkin kişisel verilerin işveren tarafından işlenmesi işverenin meşru menfaati kapsamında değerlendirilebilecektir.[5] Nitekim GDPR hükümleri kapsamında Avrupa Birliği Veri Koruma Otoritesi ve Kişisel Verileri Koruma Kurumu tarafından da aynı kapsamda kişisel verilerin açık rıza olmaksızın işveren tarafından işlenebileceği ifade edilmiştir. Ancak burada önemle belirtmek gerekir ki Kanun’un 4 üncü maddesinde düzenlenmiş olan temel ilkelere uygun şekilde kişisel verilerin işlenmesi ve özellikle amaç ile bağlantılı ve sınırlı olma ilkesine uygun hareket edilmesi gerekmektedir. Meşru menfaatin ortadan kalkması ve Korona Virüs salgınının ülke çapında kontrol altına alınması akabinde ise elde edilen veriler imha edilmelidir.

Her ne kadar işverenin meşru menfaati kapsamında ilgili kişilere ait kişisel veriler açık rıza alınmaksızın işlenebilecek ise de veri sorumlusu konumunda olan işverenin aydınlatma yükümlülüğü devam etmektedir. Dolayısıyla işverenin bu verilerin işlenmesinden önce ilgili kişileri bilgilendirmesi gerekmektedir. Yukarıda da değinildiği üzere aydınlatma yükümlülüğü kapsamında hazırlanacak olan aydınlatma metni içerisine Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer alan asgari başlıklara ek olarak kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususuna da yer verilmesi .gerektiği de Kişisel Verileri Koruma Kurumu tarafından ifade edilmiştir.

Uygulamalar Kapsamında Alınması Gereken Güvenlik Önlemleri Nelerdir? Uzaktan Çalışma Süresince Nelere Dikkat Edilmesi Gerekmektedir?

Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu, veri işleme faaliyetini gerçekleştirdiği her süreçte kişisel verilerin korunması için idari ve teknik tedbirleri almakla yükümlü kılınmıştır. Yine Kişisel Verileri Koruma Kurulu tarafından özel nitelikli kişisel verilerin işlenmesi esnasında alınması gereken önlemlere ilişkin ayrıca karar alınmıştır.

Kişisel Verileri Koruma Kurumu tarafından yapılan kamuoyu duyurusunda bu hususa özellikle dikkat çekilmiş ve Korona Virüsünün yayılmasını önleme bağlamında, veri sorumlusu ve veri işleyenler tarafından başta sağlık verisi olmak üzere herhangi bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınması gerektiği ifade edilmiştir. Ayrıca etkilenen kişilerin verilerinin açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemesi gerektiği belirtilmiştir. Bu kapsamda işverenler tarafından gerçekleştirilecek veri işleme faaliyetlerinde ve verilerin paylaşımı esnasında Kanun ve ikincil düzenlemelerde yer alan idari ve teknik tedbirlere uyulması ve veri güvenliğinin azami ölçüde sağlanması önem arz etmektedir.

Diğer yandan, mevcut uygulamalar göz önüne alındığında birçok işyerinde uzaktan çalışma sistemine geçildiği ve bu suretle esasında birçok kişisel verinin veri sorumlusunun gözetimi dışında kaldığı gözlemlenmiştir. Ancak Kanun uyarınca kişisel verilerin güvenliğinin sağlanması bakımından idari ve teknik tedbirleri alması gereken kişinin veri sorumlusu olması nedeniyle işverenin bu yükümlülüğünü yerine getirmek üzere çalışanlarına gerekli olan her türlü eğitimi vermesi ve bilgilendirmeleri yapması ve çalışanların bu tedbirleri yerine getirdiğinden emin olması gerekmektedir. Zira çalışanlar tarafından bu tedbirlere aykırı davranılması veya işveren tarafından çalışana tebliğ edildiği şekilde yerine getirilmemesi nedeniyle veri ihlalinin meydana gelmesi durumunda sorumluluk veri sorumlusu sıfatı ile işveren üzerinde olacaktır.

Uzaktan Çalışma Süresince İşveren Çalışanların Konum Bilgisinin Kendisi ile Paylaşılmasını Talep Edebilir mi?

Evden çalışma uygulamasına geçmiş olan bazı işyerlerinde işverenlerin çalışanlardan günlük olarak konum bilgisi talep ettiği görülmektedir. Korona Virüs salgınının önüne geçilmesi amacıyla idari otoritelerce ihtiyari karantina uygulaması tavsiye edilmiş durumdadır. Bu kapsamda alınan önlemlerin zorlayıcı uygulama olmadığı ve kişilerin inisiyatifine bırakıldığı kabul edilmektedir. İşverenler de tavsiye niteliğinde olan bu uygulamayı esasında baskı düzeni ile uygulayabilmek ve en azından tedbirin uygulanma oranını artırabilmek adına çalışanlardan konum bilgisi talep etmektedir. Ancak Kişisel Verilerin Korunması Kanunu ve uluslararası alanda düzenlenmiş olan kişisel veri mevzuatları kapsamında kişilere ait konum verisi kişisel veri olarak kabul edilmektedir. Hatta bazı durumlarda kişilerin düzenli olarak hastaneye veya psikolojik tedavi merkezine gidiyor olması halinde bu alanlarda konum bilgisi paylaşılması sağlık bilgilerinin öğrenilmesi sonucunu doğurabileceğinden özel nitelikli kişisel veri olarak da kabul edilebilecektir.

Kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesi yukarıda detaylı olarak açıkladığımız üzere öncelikle kişilerin açık rızası ile mümkün olmaktadır. Diğer yandan Kanun’da yer alan şartların varlığı halinde kişisel veriler ve özel nitelikli kişisel veriler ilgili kişilerin açık rızası olmaksızın işlenebilmektedir. Bu kapsamda konum bilgisinin paylaşılması bakımından öncelikle çalışanlardan bu hususta açık rıza alınması gerektiği söylenebilecektir. Ancak kişisel verilerin işlenmesi ile ilgili olarak Kanun’da yer alan temel ilkelerin ve iş hukuku yükümlülüklerinin de bu noktada ele alınması gerekmektedir. Nitekim işverenin, evden çalışma süresince çalışana ait konum verisini işlemesi dürüstlük kuralına uygunluk ve amaç ile bağlantılı ve ölçülü olma ilkesi kapsamında değerlendirilmelidir. Zira bu noktada çalışanın iş sözleşmesinden kaynaklı yükümlülüklerini eksiksiz yerine getirmesi halinde başkaca bir yükümlülük altında olmaması gerektiği söylenebilecek ise de iş hukuku açısından iş kazası hükümleri ve işveren ile çalışanın yükümlülükleri birbiri ile çelişebilmektedir. Çalışanın evden çalışma döneminde hizmette kesinti meydana getirmemesine rağmen salgın riski bulunan ortamlarda bulunması veya Korona Virüse yakalanması iş hukuku bakımından iş kazası olarak yorumlanabilecek ve işveren açısından çeşitli yükümlülükler meydana getirebilecektir. Hal böyle olduğunda ise işverenin çalışanları bu riskten uzak tutmak adına özellikle çalışma saatleri içerisinde salgın tehlikesinden uzak ve ev ortamında bulunması konumunda talimat verme yetkisi ortaya çıkacaktır. Bu amaç ile işverenin çalışanlardan mesai saatleri içerisinde evde olduğuna dair konum verisi talebinde bulunması işverenin meşru menfaati olarak yorumlanabilecektir. Ancak konunun somut olay özellikleri bağlamında farklılık göstermesi de mümkündür. Örneğin evde bulunmasına veya salgın riskine karşı yeterli önlemleri almasına rağmen Korona Virüse yakalanan çalışanın bu hastalığının iş kazası olarak kabul edilip edilmeyeceği de yine somut olaya göre değişkenlik gösterebilecektir. İşverenin sorumluluğu açısından işyerinde (evde) meydana gelen her kaza iş kazası sayılmamalı, yapılan iş ile kaza arasında uygun illiyet bağı bulunmalıdır.[6] Bu kapsamda işverenin İş Sağlığı ve Güvenliği Kanunu kapsamında çalışanın Korona Virüs salgınından korunmak üzere alınması gereken önlemler hususunda bilgilendirmesi ve gerekli eğitimleri vermiş olması gerekmektedir.

Diğer yandan meşru menfaat işverenin evden çalışma düzeni bakımından sağlamış olduğu altyapının güvenlik düzeyi ve çalışanın iş sözleşmesi kapsamındaki yükümlülüklerini işverenin sağladığı altyapı üzerinden yine iş sözleşmesi yükümlülükleri gereğince bu altyapı vasıtası ile gerçekleştirmesi hem hizmet kalitesi hem de kişisel veri ve siber güvenlik açısından kabul edilebilir niteliktedir. Ancak bu konu da tartışmaya açıktır. Nitekim meşru menfaat kavramının da dar yorumlanması gerekmektedir.

Konu ile ilgili olarak nihai değerlendirme yapmak gerekir ise, işverenin iş saatleri ile sınırlı ve Kişisel Verilerin Korunması Kanunu’nda yer alan ilkelere uygun olmak kaydı ile çalışanlardan konum verisi paylaşmasını talep etmesi meşru menfaat kapsamında değerlendirlebilecektir. Yine yapılan işin niteliği de meşru menfaatin belirlenmesi açısından önem arz etmektedir. Örneğin, yazılım ve online sistemler üzerinden gerçekleştirilen faaliyetler bakımından işverenin kesintisiz ve güvenli hizmet sağlanması amacı ve iş sağlığı ve güvenliği yükümlülükleri doğrultusunda çalışanından lokasyon verisi talep etmesi ve çalışanın da bunu işveren ile paylaşması kabul edilebilmelidir. Araç takip sistemleri vasıtası ile elde edilen veriler de aynı kapsamda değerlendirilebileceğinden bu anlamda işverenin meşru menfaatini üstün tutmak uygun olacaktır. Nitekim bu ifadelerin somut olayın özelliklerine göre yorumlanması da mümkündür. Zira bu kapsamda işverenin veya çalışanın iş sözleşmesini haklı nedenle fesih etme hususları da ayrıca gündeme gelebilmektedir.

Diğer yandan işlenen lokasyon verilerinin yalnızca evden çalışma sisteminin devamı süresince işlenmesi ve bu sürenin sonunda imha edilmesi gerekmektedir. Zira bu süre sonunda işleme amacı da sona ermektedir. Tüm veri işleme faaliyetlerinde olduğu gibi veri sorumlusu işverenin aydınlatma yükümlülüğünün bu aşamada da bulunduğu ve çalışana, işlenecek lokasyon verileri hakkında bilgilendirme yapması gerektiği de unutulmamalıdır.

Sonuç

Dünyada pandemi olarak kabul edilen Korona Virüsü salgını mevcut süreçte özellikle işveren uygulamaları bakımından çeşitli sorunları gündeme getirmiştir. Sorunların çözümü ise yürürlükte bulunan mevzuat uygulamaları doğrultusunda alınacak tedbirler ile sağlanacaktır. Korona Virüsü salgınının Türkiye açısından yaygınlaşması ve vaka sayısındaki artış işverenler nezdinde de birçok önleme ve tedbir çalışmalarının yapılmasını gerektirmektedir. Dünya üzerinde yapılan yorumlar ve uygulanması gereken tedbirler de göz önüne alındığında çeşitli yorum sorunları da ortaya çıkmaktadır. Nitekim bu uygulamalar bağlamında kişisel verilerin ve özel nitelikli kişisel veri niteliğinde olan sağlık verilerinin işlenmesi de kaçınılmazdır. Uluslararası alanda yapılan mevzuat düzenlemelerinin yanı sıra Veri Koruma Otoriteleri tarafından yapılan açıklamalar bu süreçte yürürlükte bulunan düzenlemelere uygun şekilde veri işleme faaliyetinin gerçekleştirilmesi gerektiğini vurgulamaktadır. Türk Hukukunda kişisel verilerin korunması alanında uygulanan yasal düzenlemelerin ise ortaya çıkan salgın durumunda yetersiz kaldığı ve birçok hukuki sorunu da beraberinde getirdiği gözlemlenmiştir. Zira detaylı şekilde açıkladığımız üzere birçok düzenleme birbiri ile çelişmekte ve Kişisel Verileri Koruma Kurumu tarafından yapılan açıklamaların da bu çelişkileri ve hukuki sorunları da ortadan kaldırmadığı açıkça görülmektedir. Her ne kadar mevcut dönem için Kurum’un açıklamaları dairesinde veri işleme faaliyetleri gerçekleştirilmekte ise de tüm bu çelişki ve hukuki eksiklerin mevcut olması ilerleyen süreçte birçok veri ihlalini gündeme getirebileceği gibi veri sorumlularının da hukuka aykırı şekilde veri işleme faaliyeti gerçekleştirmesine sebep olabilecektir.

Veri sorumlusu sıfatına sahip işverenlerin, Korona Virüs salgınını önleme amacıyla gerçekleştirecekleri tüm uygulamaların temel anlamda salgının önlenmesi amacı ile bağlantılı ve sınırlı olma ilkesi doğrultusunda gerçekleştirilmesi ve sürecin sona ermesi ile birlikte elde edilen verilerin imha edilmesi, veri ihlallerinin önüne geçilmesi amacıyla bu dönemde özellikle teknik ve idari anlamda tedbirleri uygulaması ve gerekli denetimleri yapması gerekmektedir.

AV. ALARA YILMAZ

 


[1] 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6 ıncı maddesinin üçüncü fıkrası “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir” hükmünü ihtiva etmektedir.

[2] İşyeri hekimlerinin görevleri

MADDE 9 –

(2) İşyeri hekimleri, iş sağlığı ve güvenliği hizmetleri kapsamında aşağıdaki görevleri yapmakla yükümlüdür:

8) Bulaşıcı hastalıkların kontrolü için yayılmayı önleme ve bağışıklama çalışmalarının yanı sıra gerekli hijyen eğitimlerini vermek, gerekli muayene ve tetkiklerinin yapılmasını sağlamak.

[3] https://www.ailevecalisma.gov.tr/media/40969/isyerlerinde-koronaviruse-covid-19-karsi-alinmasi-gereken-onlemler.pdf, Erişim Tarihi 30.03.2020

[4] Umumi Hıfzıssıhha Kanunu Madde 61 “Hastane baştabipleri, mektep, fabrika, imalathane, hayır müesseseleri, ticarethane ve mağaza, otel, pansiyon, han, hamam, hapisane sahip veya müstecirleri ve müdürleri, apartman kapıcıları bulundukları mahallede, köy ihtiyar heyetleri köylerinde zuhur eden ve eczacılar, diş tabipleri ve ebeler, hasta bakıcıları, ölü tabutlıyan ve yıkayanlar sanatlarını icra sebebiyle muttali oldukları 57 nci maddede zikredilen vakaları derakap alakadar makamlara tebliğ ve ihbara mecburdurlar.”

[5] Kişisel Verilerin Korunması Kanunu’nun 5 inci maddesinin ikinci fıkrasının (f) bendi veri sorumlusunun meşru menfaatine dayalı olarak kişisel verilerin açık rıza olmaksızın işlenebileceğini düzenlemektedir. İlgili madde “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” Hükmünü havidir.

[6] Süzek, Sarper; İş Hukuku, 2017, İstanbul, sf. 295 vd.