Veri Sorumlularının Yükümlülükleri

COVID-19 (Korona virüs) salgınına karşı alınan tedbirler kapsamında işyerlerinde, çalışan ve ziyaretçi gibi verisi işlenen ilgili kişilerden sağlık durumları, kişisel temasları veya son seyahatleri hakkında bilgiler talep edilmektedir.

Bu kapsamda, işverenler tarafından ilgili kişilerin COVID-19 (Korona virüs) hastalığına yakalanma şüphesini değerlendirmek ve işyerinde bulaşmasını önlemek için anket ve test yapılarak birtakım sorular sorulmakta veya kişilerin vücut ısılarının ölçülmesi gibi uygulamalara başvurulmaktadır. İşverenler bu işlemlerin sonucunda, ilgili kişilerin özel nitelikli kişisel veri kategorisinde yer alan sağlık verilerini işleyebildikleri gibi yakın zamanda seyahat ettikleri bölgeler ve ülkeleri sorarak genel nitelikli kişisel verilerini de işleyebilmektedirler. Bu tedbirler alınırken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu (“KVKK”) gereğince veri sorumlularınca dikkat edilmesi gereken bir takım kanuni yükümlülükler bulunmaktadır.

Aydınlatma Yükümlülüğü

Buna göre öncelikle, her durumda ilgili kişiler aydınlatılarak KVKK 10. maddesinde öngörülmüş olan aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Her durum özelinde, veri sorumlusu olan işverenlerin dikkat etmesi gereken yükümlülükleri ayrı ayrı açıklamak gerekirse;

Meşru Menfaat Kapsamında İşlenecek Veriler

İlgili kişinin yakın zamanda ziyaret ettiği bölge veya ülke verisinin talep edilmesi durumunda; KVKK’da kişisel verilerin işlenmesinde açık rızanın istisnası olarak sayılmış olan hukuki sebeplerden 5/2(f) hükmü uyarınca ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması şartına dayanılarak veri sorumlusu tarafından ilgili kişinin verisi işlenebilecektir. Veri sorumlusunun meşru menfaatinin varlığı, ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi şartına bağlı olup bu durumun tespiti için iki aşamalı bir denge testi uygulanması gerektiği Kişisel Verileri Koruma Kurumu tarafından yayınlamış olduğu rehber metinlerde ifade edilmiştir. Bu kapsamda yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin olup olmadığı belirlenmeli, yapılacak ikinci değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin üstün geldiğine karar verilmelidir. İlgili kişinin yapmış olduğu seyahatlere ilişkin verilerin veri sorumlusu olan işveren tarafından işlenmesi ile işverenin diğer çalışanların sağlığı ve işverenin iş faaliyetlerinin sürekliliği arasında yapılacak denge testinde, böyle bir işlemin ilgili kişinin temel hak ve özgürlüklerini ihlal etmediği iddia edilebilir. Bu durumda işyerindeki kişilerin sağlığının korunması, veri sorumlusunun meşru menfaati olarak kabul edilebilecektir. Dolayısıyla ilgili kişinin açık rızası alınmaksızın ziyaret edilen bölge veya ülke verisi talep edilebilecektir. İlgili kişilerden bu bilgilerin elde edilmesi için hazırlanacak olan talep metnine KVKK’nın 10. maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer alan aydınlatma yükümlülüğü şartlarını haiz bir aydınlatma metni dâhil edilmelidir.

Sağlık Verilerinin İşlenmesi

İlgili kişilere; COVID-19 (Korona virüs) hastalığına yakalanma şüphesini değerlendirecek bir kısım sorular (vücut ısısının kaç derece olduğu, solunum yetmezliği olup olmadığı, öksürüp öksürmediği, yakın zamanda hangi hastalıkları geçirdiği vb.)yöneltilerek veya çeşitli testler yapılarak yahut ilgili kişilerin termal kameraları kullanması sonucunda elde edilecek olan sağlık verileri özel nitelikli kişisel veri kapsamında değerlendirilmektedir. Bu veriler işlenirken, KVKK 4. Madde yer alan genel ilkelere uygun olarak işlenmesi dikkat edilmelidir. Bununla birlikte KVKK’nın 6. maddesinin 2. fıkrası uyarınca ilgili kişilerden açık rıza alınması gerekmektedir.

Açık Rızanın Şartları

İlgili kişilerden açık rıza alınırken belirli bir konu ve faaliyete ilişkin rıza alınmalı, açık rıza alınırken, veri işleme amacı belirtilmeli ve alınan kişisel veri yalnızca belirtilen amaçla sınırlı olmak kaydıyla işlenmelidir. Bununla birlikte, ilgili kişiye rıza vermeme hakkı da tanınmalıdır. Açık rızanın şartlarından biri de açık rızanın verilmesinin özgür iradeye dayanmasıdır. Bunun bir sonucu olarak rızanın bir ürün veya hizmetin sunulması için ön şart olarak ileri sürülmemesi ve ilgili kişinin rıza göstermediğinde olumsuz bir durumla karşılaşmaması gerekir. Örnek vermek gerekirse, rıza göstermeyen çalışanlar bakımından uygulanacak tedbirler, bu çalışanların aleyhine sonuçlar doğurmamalı, özellikle bu çalışanların bir ayrımcılığa uğramasına yol açmamalıdır. Rıza göstermeyen bu çalışanlardan uzaktan çalışmalarının talep edilmesi gibi seçenekler durumun özelliklerine göre değerlendirilmelidir.

Sonuç olarak, Her bir kişisel veri işleme sürecinde, öncelikle, kişisel verilerin işlenme amacı belirlenmeli, sonrasında usulüne uygun bir aydınlatma metni ve gerekiyorsa her durum özelinde açık rıza metni hazırlanmalıdır.

Genel İlkelere Uygunluk

Belirtmek gerekir ki, işverenlerin kişisel veri işlemeksizin, hedeflenen tedbirlerin başka yöntemlerle sağlanıp sağlanamadığını tespit etmesi büyük önem arz etmektedir. Bu nedenle, kişisel verilerin işlenmesi öncesinde titiz bir değerlendirme yapmakta yarar bulunmaktadır. Bu değerlendirmeler de kişisel veri hukukunun temel ilkeleri olan veri minimizasyonu, kişisel verilerin işlenmesinin gerekliliği ve işlenen veri ile hedeflenen amaç arasındaki orantılılık kapsamında yapılmalıdır. Elde edilen kişisel veriler için gerekli veri güvenliği önlemleri alınmalı, bilgiler için bir saklama süresi tayin edilerek bu sürenin sonunda veriler silinmeli, imha edilmeli, kişilerden verilerine ilişkin gelen taleplere usulüne uygun biçimde yanıt verilmelidir.

Kişisel Verileri Koruma Kurumu tarafından 26.03.2020 tarihi itibari ile yayınlanmış herhangi bir karar ya da rehber metin olmaması nedeniyle, COVID-19 (Korona virüs) salgını hakkında önlem alınabilmesi için gerçekleştirilen kişisel veri işleme faaliyetlerine de yukarıda açıklanmış olan prensiplerle yaklaşılmalıdır.