COVID-19 SALGINI NEDENİYLE İŞVERENİN ALDIĞI TEDBİRLERİN 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA DEĞERLENDİRİLMESİ

2020 Mart ayında Covid-19 salgının ülkemizde görülmesiyle birlikte ticari ve sosyal hayatta birtakım önlemler alınmaya başlamıştır. Özellikle kişi sayısının fazla olduğu, aynı mekânda kalabalık grupların uzun saatler bir arada bulunduğu iş yerlerinde, işveren; gerek iş sağlığı ve güvenliğini koruma gerekse kamu yararını gözetme amacı doğrultusunda teknik ve idari tedbirler almıştır. İşverenin aldığı tedbirler; çalışanlarının ve ziyaretçilerin sağlık verilerini talep etmek, yakın zamanda yaptıkları seyahat bilgilerini, bilhassa riskli bölgelere gidip gitmediklerini öğrenmek ve uzaktan/evden çalışma uygulaması olarak açıklanabilir. İşyerinde alınan tedbirler doğrultusunda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında özel nitelikli kişisel veri olarak kabul edilen sağlık verileri ile seyahat verilerinin veri sorumlusu tarafından toplanması, işlenmesi ve aktarılması gündeme gelmiş olduğundan işbu hususun KVKK kapsamında herhangi bir veri ihlaline yol açmaması açısından veri sorumlusunun yükümlülüklerini inceleyeceğiz.

I. İş İlişkisinde İşçinin Kişisel Verilerinin Korunması

Öncelikle iş ilişkisinden söz edebilmek için bir işçinin, işverene ait iş organizasyonu içinde onun menfaatine dayalı bir iş yapması gerekir. Burada işçi; İş Kanununa tabi olup olmadığına bakılmaksızın çırak, part-time, stajyer ve mevsimlik tarım işçileri dahil olmak üzere en geniş haliyle tanımlanır. Bu bağlamda, bir iş ilişkisinde işçiye ait kişisel veriler, toplanma amacında işçinin de menfaatinin olduğu, kendisine ayrıntılı bir şekilde bildirildiği ve elde edilen kişisel verilerin işçinin işinin ve görev tanımının bir niteliği olması halinde toplanabilir. Ayrıca işçi ile aday işçi arasında kişisel verilerin korunması açısından hiçbir fark bulunmamaktadır. Zira işveren tarafından aday işçiye, çalışma yeri ve işin niteliği gerektirmediği takdirde eşitlik, dürüstlük ilkelerine aykırılık teşkil edecek ve ayrımcılık doğuracak sorular yöneltilemez. 4857 sayılı İş Kanunu’nun 75. Maddesi gereği işçinin özlük dosyası ile vergi ve sosyal güvenlik hukukuyla ilgili işçinin kişisel verilerinin istihdam edende tutulur. İş ilişkisinde asgari veri sınırı, işverenin işyeri düzen ve güvenliğini sağlama amacıyla belirleyeceği talimatları yani yönetim hakkını oluşturur. İşveren yönetim hakkını işyerinde işin görülmesi için işyeri düzen ve güvenliğinin sağlanması amacıyla kullanır. Burada işçinin kişisel verilerinin korunması ile işverenin yönetim hakkı arasında denge sağlanmalıdır. Asgari veri sınırının aşılacağı durumlarda ise işveren tarafından “üstün özel yarara” dikkat edilmektedir. Üstün özel yarar; ekonomik yararın açık, dikkate değer ve kamu yararıyla bağlantılı olması halinde söz konusu olur. İşçiye ait kişisel veriler işçiden hiçbir tereddüde yer bırakmayacak şekilde rıza alınarak işlenebileceği gibi işçiye her zaman rızasını geri alabileceği bildirilir. Diğer yandan işçi kendisi hakkındaki kişisel verinin doğruluğunu ve ihlal edilip edilmediğini kontrol etmek ve gerektiğinde bu ihlallere karşı savunma yollarına başvurma hakkına sahiptir. İşçini gerek veriyi düzeltme hakkı gerekse veriye itiraz hakkını talep edebileceğini bilmesi ve bu haklarının uygulamaya açık ve denetlenebilir olması önemlidir.

II. Salgın Nedeniyle İşverenin Aldığı Tedbirlerin KVKK Kapsamında İncelenmesi

6698 Sayılı Kişisel Verilerin Korunması Kanunu, 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. KVKK kapsamında salgın durumuna özel bir düzenleme mevcut olmayıp Kişisel Verilerin Korunması Kurumu konuyla ilgili 23.03.2020 tarihinde konuya ilişkin “Covid-19 Kapsamında Kamuoyu Duyurusu” yayınlanmıştır. Duyuruda, Kurum’a intikal eden ihbar ve ihlal bildirimlerinin incelendiği, bu bağlamda KVKK’dan doğan sürelere riayet edilmesi gerektiği ancak her bir başvuru ve ihlal bildirimi bakımından veri sorumlularının uymakla yükümlü oldukları süreler için içinde bulunulan olağanüstü durumun değerlendirileceği belirtilmiştir.[1] Yani günümüzde yaşanan olağanüstü şartlar altında işveren, veri sorumlusu olarak gerekli tedbirleri alırken veri ihlaline neden olmamalıdır. Ardından 27.03.2020 tarihinde “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı kamuoyu duyurusu yayınlanmış olup duyuruda KVKK kapsamında kişisel verilerin işlenmesinde sayılan genel (temel) ilkelere atıf yapılmıştır.[2] KVKK temel ilkelerinden özellikle “aydınlatma yükümlüğü” ile “açık rıza” kavramları çerçevesinde işyerlerinde sıklıkla alınan tedbirler; çalışan, misafir, ziyaretçi veya iş ortaklarının sağlık verileri ile seyahat lokasyonunun veri sorumlusu tarafından işlenmesi hususunu inceleyeceğiz.

III. Veri Sorumlusunun Aydınlatma Yükümlülüğü ve Veri Sahibinin Açık Rızası

KVKK’nın “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. Maddesinde aydınlatma yükümlülüğünün kapsamı, unsurları düzenlenmiştir. Hüküm uyarınca; “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” Bu itibarla, veri sorumlusu, KVKK madde 10 ile öngörülen beş unsuru yerine getirerek aydınlatma yükümlülüğü yerine getirmek zorundadır. Veri sorumlusunun aydınlatma yükümlülüğü, hem özel nitelikli hem de özel nitelikli olmayan kişisel verileri işleyebilmesi için gereklidir. Dolayısıyla hem sağlık verisi hem de seyahat verilerini hukuka uygun bir şekilde toplamak, işlemek açısından veri sorumlusunun aydınlatma yükümlülüğü her iki konuda da mevcuttur.

“Açık rıza” kavramı incelenirken özel nitelikli ve özel nitelikli olmayan kişisel veri ayrımı gözetilir. Her ne kadar KVKK’nın “Kişisel verilerin işlenme şartları” başlıklı 5. (beşinci) maddesi uyarınca kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği düzenlenmişse de bu durumun kanunda öngörülen yedi istisnası vardır. Şöyle ki; KVKK madde 5/2 uyarınca; “Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” İşbu hüküm ile, kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, yalnızca istisna olarak sayılan hallerden birinin varlığını halinde açık rıza aranmaksızın işlenebileceği düzenlenmektedir. Dolayısıyla, çalışanların, iş ortaklarının, misafilerin veya başkaca ilgili kişilerin yakın geçmişteki seyahat lokasyonlarının toplanması ve işlenmesi KVKK madde 5/2 fıkrasının e ve f bentlerinde düzenlenen “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ile “veri sorumlusunun meşru menfaati için veri işlemesinin zorunlu olması” istisnaları kapsamında değerlendirildiğinden ilgili kişinin açık rızası aranmaksızın işlenebilir.

Ancak bireyin kişisel ve ruhsal sağlığına dair her türlü bilgiyi içeren sağlık verisi özel nitelikte bir kişisel veri olup KVKK madde 6 ile düzenlenen özel nitelikte kişisel verilerin işlenmesi şartlarına bağlıdır. KVKK 6. Madde 1. Fıkrasında özel nitelikte verileri sayarken sağlık verilerine de yer vermiştir. KVKK Madde 6/2 ise özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesini yasaklamıştır. Yani kural olarak; özel nitelikte kişisel veri olarak nitelendirilen sağlık verisi, veri sahibinin açık rızası olmaksızın işlenemez. KVKK Madde 6/3 ile açık rıza alınması zorunluluğuna birtakım istisnalar getirilmiştir. Şöyle ki; “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” Ancak sağlık ve cinsel hayata ilişkin kişisel veriler;

 kamu sağlığının korunması,
 koruyucu hekimlik,
 tıbbî teşhis,
 tedavi ve bakım hizmetlerinin yürütülmesi,
 sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,

sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu halde, sır saklama yükümlülüğü altında bulunan kişiler doktorlar yani iş yeri hekimleri olarak kabul edilebilir. İşyeri hekimleri, veri sahibinin bir sağlık problemiyle karşılaşması halinde usulüne uygun olarak işlenen sağlık verisini kamu kurum ve kuruluşu ile paylaşabilecektir. Neticede sağlık verisinin, veri sahibinin açık rızası alınmaksızın işlenebileceği durum, KVKK 6/3 hükmü dahilinde sağlık verisinin iş yeri hekimi tarafından işlenmesi halidir. Bu durum veri sorumlusunu güvence altında tutar, veri ihlali teşkil etmez.

Ayrıca iş yerinde alınan önlemlerden uzaktan/evden çalışma uygulaması da beraberinde pek çok güvenlik sorunu getirmiştir. Bu konuda hem çalışan hem işverenin birtakım sorumlulukları vardır. Örneğin çalışanın ev ağının güvenli tutulması, güncel anti-virüs programlarının kullanılması yahut iş yeri sistem ve dokümanlarına sanal özel ağ, VPN ile erişim sağlanması alınabilecek önlemlerdendir.

IV. Sonuç

Ülkemizde ticari hayatı olumsuz yönde etkileyen Covid-19 salgınına karşı hem iş yeri sağlığı ve güvenliği hem de kamu menfaati adına her türlü önlemi almaya gayret eden işverenin, KVKK kapsamında veri sorumlusu olarak Kanuna uygun bir şekilde gerekli önlemleri almayı sürdürmesi gerekir. Bu bağlamda, veri sahibi olarak nitelendirilebilecek çalışan, misafir, ziyaretçi, iş ortağı gibi kişilerin hem sağlık hem seyahat bilgileri alınırken veri sorumlusunun KVKK madde 10 ile düzenlenen aydınlatma yükümlülüğüne uygun davranmalıdır. Yine veri sorumlusu ilgili kişilerin sağlık verilerini işlerken aydınlatma yükümlülüğünün yanı sıra gerekli hallerde yani KVKK madde 6/3 fıkrasında düzenlenen durum haricinde veri sahibinin açık rızasını almalıdır. Yukarıda izah ettiğimiz açıklamalarımız, Kanun hükümleri ile Kurum duyuruları uyarınca veri sorumlusunun yükümlülüğü devam etmekte olup bilhassa seyahat lokasyonu ve sağlığa ilişkin verilerin hukuka ve usulüne uygun bir şekilde işlenmesi halinde veri sorumlusunun işlem ve önlemleri veri ihlali teşkil etmeyecektir.

[1] https://www.kvkk.gov.tr/Icerik/6706/KAMUOYU-DUYURUSU-COVID-19- [2]https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel- Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-

Franchise Market Türkiye
Üç ayda bir basılarak kitabevlerinden sanayi odalarına, beş yıldızlı otellerden havalimanlarına kadar birçok noktaya ulaşıyor. Hazırladığımız kaliteli, zengin içeriklerle ve ortak platformda buluşturduğumuz markalar, tedarikçiler ve yatırımcılarla franchise sektörüne hız veren ve ileriye taşıyan katma değerler yaratıyoruz ve daha fazlasını yaratmak için çalışmalarımızı sürdürüyoruz.