COVID-19 salgını sürecinde kişisel verilerin işverenler tarafından korunmasına ilişkin yükümlülükler

Turkey
Available languages: EN

17 Nisan 2020 (16:30) tarihi itibariyle doğrudur ve herhangi bir değişiklik yapılmamıştır.

COVID-19 salgınının yayılmaya devam etmesi, işverenlerin salgını kontrol altına almak için kapsamlı önlemler almasına neden olmuştur. Çalışanları ağırlıklı olarak beyaz yakalılardan oluşan işverenler için bu önlemlerden biri, işyerinde bir salgın olmasını önlemek adına evden çalışmaya geçmek olmuştur.

Öte yandan, üretim tesisleri işleten veya hassas endüstrilerde (örn. ilaç, telekom, bankacılık) faaliyet gösteren işverenler tesislerini açık tutmaya ve olağan iş yerlerinden çalışmaya devam etmektedir. Bu çerçevede, bu işverenler, COVID-19 salgını sebebiyle Türk iş sağlığı ve güvenliği mevzuatı uyarınca çalışanlarının sağlıklarını korumak için ek sağlık ve güvenlik tedbirlerini işyerlerinde uygulamakla yükümlü olacaklardır.

Ayrıca, işverenler tarafından uygulanan herhangi bir sağlık ve güvenlik önleminin çalışan verilerinin işlenmesini gerektirdiği ölçüde, Kişisel Verilerin Korunması Kanunu ("Kanun") uygulama alanı bulacaktır ve bu tür veri işleme işlemlerinin buradaki ilkelere uygun gerçekleştirilmesi gerekecektir. Bu durum özellikle, Kanun uyarınca özel nitelikli veri (örn. sağlık verileri) olarak kabul edilen ve işlenmeleri diğer verilere kıyasla daha katı koşullara tabi olan veri kategorileri için geçerlidir.

Bu doğrultuda, işverenlerin işyerlerinde ek sağlık ve güvenlik önlemleri uygularken dikkate almaları gereken veri koruma ile ilgili muhtelif konulara aşağıda değinmek isteriz:

Kişisel Veri Toplamadan Önce Yapılacaklar

Aydınlatma Yükümlülüğü

Kanun hükümlerine göre, işverenler her halde kendilerinin veri toplama ve işleme uygulamaları konusunda çalışanlarını bilgilendirmekle yükümlüdür. Bu bilgilendirme sağlık ve güvenlik önlemlerinin uygulanması nedeniyle yapılan veri işleme faaliyetlerini de içerir ve genellikle çalışanlara tebliğ edilen bir aydınlatma metni ile yapılır.

Bu bağlamda, bahsi geçen aydınlatma yükümlülüğünün henüz yerine getirilmediği veya sadece kısmen yerine getirildiği ölçüde, özellikle COVID-19 salgına karşı uygulanan önlemlerin bir parçası olarak çalışanın özel nitelikli kişisel verilerinin (örn. sağlık verileri) işveren tarafından işlenmesi söz konusu ise (örn. çalışanların ateşini kontrol etmek) işveren, yürütmekte olduğu veri işleme faaliyetlerine ilişkin ilgili çalışana bir kez daha bildirimde bulunmalıdır.

Bu nedenle, işverenin veri işleme faaliyetleri ve işverenin aydınlatma yükümlülüklerini gereğince yerine getirip getirmediği konusunda bir durum tespiti yapılmalı ve gerekirse yeni bir aydınlatma metni hazırlanmalı ve çalışanlara tebliğ edilmelidir.

İdari ve Teknik Önlemler

İşveren, COVID-19 salgını sırasında toplanan kişisel verileri korumak için yeterli idari ve teknik önlemlerin alınmasını sağlamalıdır. Özel nitelikli verilerin toplandığı ölçüde, bu tür verilerin korunmasına yönelik tedbirler özellikle Kişisel Verileri Koruma Kurumu'nun bu konudaki kararları dikkate alınarak belirlenmelidir. 

Bu amaçla, bu tür önlemlerin işverenin işini engellemeden usulüne uygun olarak uygulandığından emin olmak için ilgili hizmet sağlayıcılardan (örn. yasal ve bilgi teknolojileri) tavsiye alınması önerilmektedir.

Kişisel Verilerin Toplanması Sırasında Uyulacak İlkeler

Genel olarak, COVID-19 salgını nedeniyle ek kişisel veri işleme faaliyetinde bulunan işverenler Kanun kapsamındaki orantılı ve sınırlı veri işleme ilkelerine bağlı kalmaya devam edeceklerdir. Bu nedenle, işverenler COVID-19 salgını ile ilgisi olmayan ya da gereksiz herhangi bir kişisel veri toplamaktan kaçınmalıdır. Bir işverenin veri toplama uygulamalarının bu ilkelere uygun olup olmadığı her bir durum bazında ayrı ayrı değerlendirilmelidir.

Sağlık verileri gibi özel nitelikli verilerin işlenmesi söz konusu olduğunda, işverenler bu işleme faaliyetlerinin kanuni nitelikleri haiz personel tarafından yapılmasını sağlamalı ve bu verileri korumak için ek önlemler almalıdır.

Belirli olağan kişisel verilerin toplanması için (örn. çalışanla ilgili seyahat bilgileri) işverenler işlemlerini doğru yasal zemine dayandırmalı (örn. yasal yükümlülükler veya meşru menfaat) ve veri işleme faaliyetleri bu temelde sürdürülmelidir. Her işlem için uygun yasal zemin, durum özelinde belirlenmelidir.

Özel Nitelikli Verinin İfşa Edilmesi ve Aktarımı

Bildirim Yükümlülükleri

Türk hukuku, tüm işverenlere, işyerlerinde meydana gelen bulaşıcı hastalıkları ilgili kamu kurumlarına bildirme yükümlülüğü getirmektedir. Bu nedenle, bir çalışanın COVID-19 virüs tespiti için yapılan testi pozitif çıkarsa, işverenin, yasa gereği, söz konusu çalışanın sağlık verilerini söz konusu kamu kurumuna aktarması gerekecektir. Kişisel Verilerin Korunması Kurumu da bu veri aktarımlarının Kanun hükümlerine uygun olacağını teyit etmiştir.

Diğer Üçüncü Kişilere Aktarımı ve İfşa Edilmesi 

Genel olarak, toplanan veriler yalnızca işverenin yetkili personeli tarafından erişilebilir olmalı ve üçüncü kişilere ifşa edilmemelidir. Aksi bir davranış hem Kanuna aykırılık teşkil edecek hem de ilgili çalışanlara karşı ayrımcı davranışların ortaya çıkmasına yol açabilecektir. Bu tip ayrımcı davranışlar, işverenin sorumluluğunun doğmasına da yol açabilecektir. Bu kişisel verilere erişimi kısıtlanması gerekecek üçüncü kişilere, işverenin bu konuda belirli menfaatleri olsa dahi (örn. grup içi kredi işlemlerini düzenlemek için işgücü kaybını kanıtlamak), işverenin grup şirketleri ve hissedarları da dahildir. Böyle bir durumda, işveren bu tür verileri veri işleme amaçlarına uygun şekilde anonimleştirmeli ve bu şekilde aktarmalıdır.

Öte yandan, iş sağlığı ve güvenliği mevzuatı kapsamındaki yükümlülüklerinin bir parçası olarak, bir işveren, işyerindeki olası bir enfeksiyon vakası hakkında çalışanlarını bilgilendirmekle yükümlü olacaktır. Bu nedenle, bir çalışan COVID-19 belirtileri gösterirse, işverenin bu konuda diğer çalışanları bilgilendirebileceği değerlendirilmektedir. Bununla birlikte, bu mümkün olduğu ölçüde kısıtlı bir şekilde yapılmalı, salgından mustarip olan çalışanın kimliği gizli kalmalı, diğer çalışanlara ifşa edilmemelidir.

İşleme Artık Gerekli Olmadığında Yapılacaklar:

Kişisel Verinin Silinmesi veya İmha Edilmesi

COVID-19 salgına karşı uygulanan önlemler dahilinde işveren tarafından toplanan kişisel veriler, COVID-19 salgını sona erdiğinde usulüne uygun olarak silinmeli veya imha edilmelidir. Ancak, işveren bu salgının sonu ile ilgili resmi bir açıklama yapılana kadar bu kayıtları tutabilir.

Sonuç

Dünya COVID-19 salgını nedeniyle zor zamanlardan ve belirsizlikten geçmesine rağmen, işverenler yürürlükteki yasalara uymaya devam etmekle yükümlüdür. Bu, işveren tarafından ilave iş sağlığı ve güvenliği tedbirlerinin uygulanması gerekeceği anlamına gelmektedir ve bu da işveren tarafından istenmeyebilecek olsa bile ek veri işleme faaliyetlerinin yürütülmesi ile sonuçlanacaktır. Kişisel verilerin mevzuata aykırı olarak işlenmesinden kaynaklanan risklerden kaçınmak için işverenler yeni işleme faaliyetlerini Kanunun ilgili hükümlerini göz önünde bulundurarak düzenlemeli ve Kişisel Verilerin Korunması Kurumu tarafından bu konuda verilecek kararları ve yapılacak açıklamaları dikkate almalıdır. Bu yeni veri işleme rejiminin usulüne uygun şekilde uygulanması için gerektiğinde profesyonel danışmanlık alınması da tavsiye edilmektedir.

COVID-19 ile ilgili yayınlanan son veri işleme yükümlülüklerine nasıl uyum sağlayacağınıza ilişkin bilgi almak için, lütfen uzmanlarımız Dr. Döne Yalçın veya Sinan Abra ile irtibata geçiniz.