Genel

COVID-19 SALGINI NEDENİYLE İŞVERENİN ALDIĞI TEDBİRLERİN 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA DEĞERLENDİRİLMESİ

16 Mayıs 2020 — Yazar: Franchise Market Türkiye

2020 Mart ayında Covid-19 salgının ülkemizde görülmesiyle birlikte ticari ve sosyal hayatta birtakım önlemler alınmaya başlamıştır. Özellikle kişi sayısının fazla olduğu, aynı mekânda kalabalık grupların uzun saatler bir arada bulunduğu iş yerlerinde, işveren; gerek iş sağlığı ve güvenliğini koruma gerekse kamu yararını gözetme amacı doğrultusunda teknik ve idari tedbirler almıştır. İşverenin aldığı tedbirler; çalışanlarının ve ziyaretçilerin sağlık verilerini talep etmek, yakın zamanda yaptıkları seyahat bilgilerini, bilhassa riskli bölgelere gidip gitmediklerini öğrenmek ve uzaktan/evden çalışma uygulaması olarak açıklanabilir. İşyerinde alınan tedbirler doğrultusunda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında özel nitelikli kişisel veri olarak kabul edilen sağlık verileri ile seyahat verilerinin veri sorumlusu tarafından toplanması, işlenmesi ve aktarılması gündeme gelmiş olduğundan işbu hususun KVKK kapsamında herhangi bir veri ihlaline yol açmaması açısından veri sorumlusunun yükümlülüklerini inceleyeceğiz.

I. İş İlişkisinde İşçinin Kişisel Verilerinin Korunması

Öncelikle iş ilişkisinden söz edebilmek için bir işçinin, işverene ait iş organizasyonu içinde onun menfaatine dayalı bir iş yapması gerekir. Burada işçi; İş Kanununa tabi olup olmadığına bakılmaksızın çırak, part-time, stajyer ve mevsimlik tarım işçileri dahil olmak üzere en geniş haliyle tanımlanır. Bu bağlamda, bir iş ilişkisinde işçiye ait kişisel veriler, toplanma amacında işçinin de menfaatinin olduğu, kendisine ayrıntılı bir şekilde bildirildiği ve elde edilen kişisel verilerin işçinin işinin ve görev tanımının bir niteliği olması halinde toplanabilir. Ayrıca işçi ile aday işçi arasında kişisel verilerin korunması açısından hiçbir fark bulunmamaktadır. Zira işveren tarafından aday işçiye, çalışma yeri ve işin niteliği gerektirmediği takdirde eşitlik, dürüstlük ilkelerine aykırılık teşkil edecek ve ayrımcılık doğuracak sorular yöneltilemez. 4857 sayılı İş Kanunu’nun 75. Maddesi gereği işçinin özlük dosyası ile vergi ve sosyal güvenlik hukukuyla ilgili işçinin kişisel verilerinin istihdam edende tutulur. İş ilişkisinde asgari veri sınırı, işverenin işyeri düzen ve güvenliğini sağlama amacıyla belirleyeceği talimatları yani yönetim hakkını oluşturur. İşveren yönetim hakkını işyerinde işin görülmesi için işyeri düzen ve güvenliğinin sağlanması amacıyla kullanır. Burada işçinin kişisel verilerinin korunması ile işverenin yönetim hakkı arasında denge sağlanmalıdır. Asgari veri sınırının aşılacağı durumlarda ise işveren tarafından “üstün özel yarara” dikkat edilmektedir. Üstün özel yarar; ekonomik yararın açık, dikkate değer ve kamu yararıyla bağlantılı olması halinde söz konusu olur. İşçiye ait kişisel veriler işçiden hiçbir tereddüde yer bırakmayacak şekilde rıza alınarak işlenebileceği gibi işçiye her zaman rızasını geri alabileceği bildirilir. Diğer yandan işçi kendisi hakkındaki kişisel verinin doğruluğunu ve ihlal edilip edilmediğini kontrol etmek ve gerektiğinde bu ihlallere karşı savunma yollarına başvurma hakkına sahiptir. İşçini gerek veriyi düzeltme hakkı gerekse veriye itiraz hakkını talep edebileceğini bilmesi ve bu haklarının uygulamaya açık ve denetlenebilir olması önemlidir.

II. Salgın Nedeniyle İşverenin Aldığı Tedbirlerin KVKK Kapsamında İncelenmesi

6698 Sayılı Kişisel Verilerin Korunması Kanunu, 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. KVKK kapsamında salgın durumuna özel bir düzenleme mevcut olmayıp Kişisel Verilerin Korunması Kurumu konuyla ilgili 23.03.2020 tarihinde konuya ilişkin “Covid-19 Kapsamında Kamuoyu Duyurusu” yayınlanmıştır. Duyuruda, Kurum’a intikal eden ihbar ve ihlal bildirimlerinin incelendiği, bu bağlamda KVKK’dan doğan sürelere riayet edilmesi gerektiği ancak her bir başvuru ve ihlal bildirimi bakımından veri sorumlularının uymakla yükümlü oldukları süreler için içinde bulunulan olağanüstü durumun değerlendirileceği belirtilmiştir.[1] Yani günümüzde yaşanan olağanüstü şartlar altında işveren, veri sorumlusu olarak gerekli tedbirleri alırken veri ihlaline neden olmamalıdır. Ardından 27.03.2020 tarihinde “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı kamuoyu duyurusu yayınlanmış olup duyuruda KVKK kapsamında kişisel verilerin işlenmesinde sayılan genel (temel) ilkelere atıf yapılmıştır.[2] KVKK temel ilkelerinden özellikle “aydınlatma yükümlüğü” ile “açık rıza” kavramları çerçevesinde işyerlerinde sıklıkla alınan tedbirler; çalışan, misafir, ziyaretçi veya iş ortaklarının sağlık verileri ile seyahat lokasyonunun veri sorumlusu tarafından işlenmesi hususunu inceleyeceğiz.

III. Veri Sorumlusunun Aydınlatma Yükümlülüğü ve Veri Sahibinin Açık Rızası

KVKK’nın “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. Maddesinde aydınlatma yükümlülüğünün kapsamı, unsurları düzenlenmiştir. Hüküm uyarınca; “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” Bu itibarla, veri sorumlusu, KVKK madde 10 ile öngörülen beş unsuru yerine getirerek aydınlatma yükümlülüğü yerine getirmek zorundadır. Veri sorumlusunun aydınlatma yükümlülüğü, hem özel nitelikli hem de özel nitelikli olmayan kişisel verileri işleyebilmesi için gereklidir. Dolayısıyla hem sağlık verisi hem de seyahat verilerini hukuka uygun bir şekilde toplamak, işlemek açısından veri sorumlusunun aydınlatma yükümlülüğü her iki konuda da mevcuttur. “Açık rıza” kavramı incelenirken özel nitelikli ve özel nitelikli olmayan kişisel veri ayrımı gözetilir. Her ne kadar KVKK’nın “Kişisel verilerin işlenme şartları” başlıklı 5. (beşinci) maddesi uyarınca kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği düzenlenmişse de bu durumun kanunda öngörülen yedi istisnası vardır. Şöyle ki; KVKK madde 5/2 uyarınca; “Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” İşbu hüküm ile, kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, yalnızca istisna olarak sayılan hallerden birinin varlığını halinde açık rıza aranmaksızın işlenebileceği düzenlenmektedir. Dolayısıyla, çalışanların, iş ortaklarının, misafilerin veya başkaca ilgili kişilerin yakın geçmişteki seyahat lokasyonlarının toplanması ve işlenmesi KVKK madde 5/2 fıkrasının e ve f bentlerinde düzenlenen “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ile “veri sorumlusunun meşru menfaati için veri işlemesinin zorunlu olması” istisnaları kapsamında değerlendirildiğinden ilgili kişinin açık rızası aranmaksızın işlenebilir.

Ancak bireyin kişisel ve ruhsal sağlığına dair her türlü bilgiyi içeren sağlık verisi özel nitelikte bir kişisel veri olup KVKK madde 6 ile düzenlenen özel nitelikte kişisel verilerin işlenmesi şartlarına bağlıdır. KVKK 6. Madde 1. Fıkrasında özel nitelikte verileri sayarken sağlık verilerine de yer vermiştir. KVKK Madde 6/2 ise özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesini yasaklamıştır. Yani kural olarak; özel nitelikte kişisel veri olarak nitelendirilen sağlık verisi, veri sahibinin açık rızası olmaksızın işlenemez. KVKK Madde 6/3 ile açık rıza alınması zorunluluğuna birtakım istisnalar getirilmiştir. Şöyle ki; “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” Ancak sağlık ve cinsel hayata ilişkin kişisel veriler;  kamu sağlığının korunması,  koruyucu hekimlik,  tıbbî teşhis,  tedavi ve bakım hizmetlerinin yürütülmesi,  sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu halde, sır saklama yükümlülüğü altında bulunan kişiler doktorlar yani iş yeri hekimleri olarak kabul edilebilir. İşyeri hekimleri, veri sahibinin bir sağlık problemiyle karşılaşması halinde usulüne uygun olarak işlenen sağlık verisini kamu kurum ve kuruluşu ile paylaşabilecektir. Neticede sağlık verisinin, veri sahibinin açık rızası alınmaksızın işlenebileceği durum, KVKK 6/3 hükmü dahilinde sağlık verisinin iş yeri hekimi tarafından işlenmesi halidir. Bu durum veri sorumlusunu güvence altında tutar, veri ihlali teşkil etmez. Ayrıca iş yerinde alınan önlemlerden uzaktan/evden çalışma uygulaması da beraberinde pek çok güvenlik sorunu getirmiştir. Bu konuda hem çalışan hem işverenin birtakım sorumlulukları vardır. Örneğin çalışanın ev ağının güvenli tutulması, güncel anti-virüs programlarının kullanılması yahut iş yeri sistem ve dokümanlarına sanal özel ağ, VPN ile erişim sağlanması alınabilecek önlemlerdendir.

IV. Sonuç

Ülkemizde ticari hayatı olumsuz yönde etkileyen Covid-19 salgınına karşı hem iş yeri sağlığı ve güvenliği hem de kamu menfaati adına her türlü önlemi almaya gayret eden işverenin, KVKK kapsamında veri sorumlusu olarak Kanuna uygun bir şekilde gerekli önlemleri almayı sürdürmesi gerekir. Bu bağlamda, veri sahibi olarak nitelendirilebilecek çalışan, misafir, ziyaretçi, iş ortağı gibi kişilerin hem sağlık hem seyahat bilgileri alınırken veri sorumlusunun KVKK madde 10 ile düzenlenen aydınlatma yükümlülüğüne uygun davranmalıdır. Yine veri sorumlusu ilgili kişilerin sağlık verilerini işlerken aydınlatma yükümlülüğünün yanı sıra gerekli hallerde yani KVKK madde 6/3 fıkrasında düzenlenen durum haricinde veri sahibinin açık rızasını almalıdır. Yukarıda izah ettiğimiz açıklamalarımız, Kanun hükümleri ile Kurum duyuruları uyarınca veri sorumlusunun yükümlülüğü devam etmekte olup bilhassa seyahat lokasyonu ve sağlığa ilişkin verilerin hukuka ve usulüne uygun bir şekilde işlenmesi halinde veri sorumlusunun işlem ve önlemleri veri ihlali teşkil etmeyecektir. [1] https://www.kvkk.gov.tr/Icerik/6706/KAMUOYU-DUYURUSU-COVID-19- [2]https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel- Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-