Makale:

VERİ KORUMA VE İŞ HUKUKU PERSPEKTİFİNDEN İŞYERİNDE KORONAVİRÜS İLE MÜCADELE: BÖLÜM 1

VERİ KORUMA VE İŞ HUKUKU PERSPEKTİFİNDEN İŞYERİNDE KORONAVİRÜS İLE MÜCADELE: BÖLÜM 1

Bu yazı, Kovid-19 sürecine ilişkin yayımladığımız birçok bilgilendirme makalesinden yalnızca biridir. “Koronavirüse Hukuki Bir Bakış” sayfamıza ve diğer yazılarımıza ulaşmak için buraya tıklayınız.

Dünya Sağlık Örgütü (DSÖ), SARS-CoV-2 adlı yeni korona virüsü (kısaca sadece “koronavirüs”) ve sebep olduğu Covid-19 hastalığına istinaden 30 Ocak 2020 itibariyle “Uluslararası Halk Sağlığı Acil Durumu” ilan etti. Harvard Üniversitesi epidemiyoloji profesörü Marc Lipsitch, The Atlantic’e verdiği röportajda önümüzdeki bir yıl içerisinde yetişkinlerin %40 ila %70’inin koronavirüs tarafından enfekte edileceğini tahmin ediyor. Dahası, sezonluk tepki gibi hafifletici unsurlar göz ardı edildiğinde bu oranın %80-90 düzeyine çıkacağını öngörüyor. Nitekim hâlihazırda dünya genelinde 170.000’den fazla kişiye bulaşan ve 148 ülkeye yayılan salgının Türkiye’deki ilk vakası da 11 Mart 2020 itibariyle Sağlık Bakanlığı tarafından teyit edildi Halihazırda Türkiye'deki vaka sayısı 16 Mart 2020 itibariyle 18 olduğu belirtiliyor.

DSÖ, salgının güçlü tedbirler uygulanarak önemli ölçüde yavaşlatılabileceğini, hatta ortadan kaldırılabileceğini ifade ediyor. Kamu otoriteleri tarafından bu bağlamda sistematik tedbirler uygulanmakla birlikte işletmelerin işyerlerinde hayata geçirebilecekleri önlemler de salgının mikro düzeyde yönetilebilmesi açısından kritik önem taşıyor. Ancak pandemik bir hastalıkla mücadele gibi hayati bir konuyla karşı karşıya olunsa da işletmelerin özellikle iş hukuku ve veri koruma hukuku çerçevesinde belirli sınırlamalara ve yükümlülüklere tabi olduğunu hatırlatmakta fayda görmekteyiz. Salgına ilişkin risklerin yönetimi kadar salgınla mücadele için atılan adımların mevzuata uygunluğuna da dikkat edilmesi önem taşıyor.

Yazı dizimizin bu ilk bölümünde koronavirüsle mücadeleyi kişisel verilerin korunması mevzuatına uyum yönüyle ele alacak, önümüzdeki günlerde yayımlanacak ikinci bölümde ise iş hukuku perspektifini yansıtacağız.

Genel Olarak İşyerinde Koronavirüs ile Mücadele

İşyerinde koronavirüs ile mücadeleye yönelik uygulanabilecek çok sayıda tedbir bulunuyor. Örneğin1:

  • Koronavirüs ve bulaşma şekillerine ilişkin eğitimler yapılması (örneğin işyeri hekimi tarafından); ofis içerisine asılacak posterler ile hasta olanların evde kalmaları, el temizliğine dikkat edilmesi, öksürme ve aksırma adabı hakkında farkındalık uyandırılması;
  • İşyerinde ve özellikle sık temas edilen obje ve yüzeylerde ince temizlik ve dezenfekte çalışmaları yapılması; konferans salonu, toplantı odası, danışma ve mutfak gibi alanlarda el antiseptiği ile peçete bulundurulması ve bunların kullanımının teşvik edilmesi;
  • Virüsle mücadele eforlarını yönetmek üzere şirket içi komite oluşturulması (örneğin İSG Kurulu bulunan işyerlerinde kurulun konu üzerine toplanması);
  • Yüz yüze iş görüşmelerinin durdurulması ve yerine telekonferansla mülakat yapılması;
  • Kritik olmayan iş seyahatlerinin durdurulması, fuar ve konferans gibi etkinliklere katılımların ertelenmesi;
  • Çalışanların, özellikle de risk altında olduğu düşünülen veya seyahat kısıtlaması bulunan bölgelere (örneğin Çin, Singapur, İran, Tayland, Japonya, Hong Kong, Güney Kore, İtalya) yakın zamanda seyahat etmiş olanların uzaktan (evden) çalışmaya teşvik edilmesi;
  • Hastalık izinleri konusunda esnek politikalar uygulanması, solunum yolu hastalıklarına yakalanan çalışanların evde kalmaya teşvik edilmesi;
  • En kötü senaryo için hazırlık yapılması, kimsenin ofise gelemeyeceği bir ihtimale karşın şimdiden ofis geneli bir deneme yapılması (örneğin bir gün herkesin evden çalışmasının sağlanması ve genel verimliliğin takip edilmesi).

Veri Koruma ve İş Hukuku Açısından Kritik Tedbirler

Veri koruma ve iş hukuku açısından kayda değer önlemlerin temel itibariyle (1) çalışanlar ve ziyaretçilerden toplanacak yeni bilgiler vasıtasıyla kişilerin risk gruplarının tespit edilmesi ve (2) buna uygun olarak ilgili kişi bazında çeşitli tedbirlerin uygulanması olduğunu gözlemliyoruz.

Örneğin çalışanlardan belirli periyotlarla ve ziyaretçilerden ilk karşılaşma anında aşağıdaki hususlarda bilgi talep edilerek kişilerin risk düzeylerinin tespiti belirli bir ölçüde sağlanabiliyor (“Koronavirüs Soruları”):

Son 14 gün içerisinde;

1. Çin, Singapur, İran, Tayland, Japonya, Hong Kong, Güney Kore, İtalya gibi risk altında olduğu düşünülen ve/veya seyahat                   kısıtlaması bulunan bölgelerin (iş amaçlı veya şahsi sebeplerle, örneğin tatil amaçlı) ziyaret edilip edilmediği,

2. Bu bölgeleri ziyaret etmiş insanlarla aynı ortamda bulunulup bulunulmadığı,

3. Koronavirüs bulaşmış bir hastaya doğrudan bakım veya destek sağlanıp sağlanmadığı, bu hastaların tedavi gördüğü bir                 sağlık kurumunun ziyaret edilip edilmediği;

4. Ateş, öksürük veya nefes darlığı belirtilerinden herhangi biriyle karşılaşılıp karşılaşılmadığı.

Çalışanların ve ziyaretçilerin risk grupları tespit edildikten sonra duruma göre aşağıdaki tedbirler gündeme geldiğini görmekteyiz:

  • Çalışan veya ziyaretçinin ofise kabul edilmemesi, çalışanlar için uzaktan çalıştırma veya izne çıkarma gibi opsiyonların uygulanması;
  • Çalışan veya ziyaretçiden ofis içerisinde maske kullanmasının talep edilmesi;
  • Çalışanların sağlık kurumlarına yönlendirilmesi.

Ayrıca çalışanların da koronavirüs sebebiyle birtakım talepleri olabiliyor:

Koronavirüs salgınından duyulan endişe nedeniyle;

  • İşe devam etmemek, çalışmaktan kaçınmak;
  • Görevinin gereği olan iş seyahatini gerçekleştirmemek.

Bahsedilen bilgilerin toplanması ve risk gruplarının tespitine kadarki süreçte kişisel verilerin korunması hukuku öne çıkarken risk gruplarına göre uygulanacak tedbirlere ve çalışan taleplerine gelindiğindeyse iş hukuku önem kazanıyor.

Kişisel Verilerin Korunması Perspektifi

Koronavirüsle mücadele amacıyla çalışanlar ve ziyaretçilerden ek kişisel veriler toplanabilir mi?

Kişisel Verilerin Korunması Kanunu (KVKK), prensip itibariyle koronavirüs ile mücadele için çalışanlar veya ziyaretçilerden yeni kişisel veriler toplanmasını yasaklamamaktadır. Önemli olan, mücadeleye zemin hazırlayacak süreçlerin KVKK ile uyumlu bir biçimde tasarlanmasıdır.

Öncelikle, koronavirüsle mücadele için ilave kişisel verilerin toplanmasının gerçekten gerekli olup olmadığı değerlendirilmelidir (“Gereklilik İncelemesi”). Burada vurgulanması gereken husus, sırf virüsten endişe duyulmasının, çalışanlar ve ziyaretçilerden ek kişisel veriler ve bilhassa sağlık verileri toplanması için yeterli bir sebep oluşturmayacağıdır. İşletmeler öncelikle aşağıda sayılanlar dâhil birçok faktörü göz önüne alarak somut bir risk değerlendirmesi yapmalıdır:

  • İşletmenin faaliyet konusu,
  • Çalışan ve ziyaretçi profili,
  • Koronavirüsün ülkedeki ve bölgedeki durumu.

Koronavirüsle mücadelenin, kişisel veri elde edilmeden de yürütülebileceği unutulmamalı, bu faktörlere istinaden belirlenecek risk düzeyine göre koronavirüsle mücadele için alınacak tedbirler açısından kişisel veri işlemenin zorunlu olup olmadığı dikkatle değerlendirilmelidir. Örneğin çalışanlardan Koronavirüs Soruları ile kişisel veri toplamak yerine eğitimler ve somut talimatlar aracılığıyla çalışanların kendilerinin maske kullanmaya ve hastalık durumunda evde kalmaya teşvik edilmesi sağlanabilir. Böylece işletme herhangi bir ilave kişisel veri elde etmeden de ulaşmak istediği sonuca varabilecektir. Bu ihtimalde çalışanların eğitim ve talimatlara uygun davranıp davranmayacağından hareketle tedbirin etkinliği konusunda şüphe duyulabilecekse de çalışanların talimatlara uymak için önemli iki motivasyonu olacaktır: (1) Tedbirler, çalışanların kendi sağlıklarını korumaları için gereklidir ve (2) çalışanlar, yasal olarak işverenin iş sağlığı ve güvenliğine ilişkin talimatlarına uymakla yükümlüdürler.

Gereklilik İncelemesi’nde koronavirüsle mücadelede önleyici tedbirlerin prensip olarak kamu kurumları tarafından uygulanması gerektiği, işletmelerin kamu sağlığı için önleyici tedbirler alma görev ve yetkisinin sınırlı olduğu da dikkate alınmalıdır. Mücadele faaliyetleri temel itibariyle çalışanlara destek olunmasını amaçlamalı ve işverenin iş sağlığı yükümlülüklerinin bir yansıması olarak görülmelidir. Bu çerçevede Koronavirüs Soruları ile çalışan ve ziyaretçilerden seyahat ve sağlık bilgilerinin toplanmasının gerekliliği ve hukuka uygunluğu konusunda genel ve kesin bir cevap vermek mümkün değildir. Nitekim Avrupa Birliği genelinde de konu tartışmalıdır. İtalya veri koruma otoritesi Garante, konuya ilişkin yayımladığı görüşte işletmelerin kendi başlarına Koronavirüs semptomlarına ilişkin sağlık bilgilerini toplamasını doğru bulmadığını, bu faaliyetlerin yetkili sağlık profesyonelleri tarafından gerçekleştirilmesi gerektiğini vurgulamıştır. Benzer şekilde Fransa veri koruma otoritesi CNIL, tüm çalışanlardan bir soru listesi ile sağlık bilgileri toplanmasının muhtemelen hukuka uygun olmayacağını belirtmiştir. Buna karşın İrlanda veri koruma otoritesi ise, iş sağlığı ve güvenliği mevzuatına atıfta bulunmuş ve çalışanlar ve ziyaretçilerden seyahat ve sağlık bilgilerinin toplanmasının hukuka uygun olabileceğini ifade etmiştir. Özetle Gereklilik İncelemesi’nin yukarıda belirtildiği üzere belirli faktörler dikkate alınarak duruma özel bir şekilde yapılması gerekecektir.

Hangi bilgilerin toplanacağına nasıl karar verilebilir? Ölçülülük prensibine uyum için nelere dikkat edilmelidir?

İşletmeler, yeni başlatılacak kişisel veri işleme faaliyetinin sınırlı ve ölçülü bir düzeyde kalmasına dikkat etmelidir. Bu noktada Gereklilik İncelemesi’ne istinaden tespit edilen risk düzeyi, koronavirüsle mücadele için başlatılacak kişisel veri işleme faaliyetleri açısından da yol gösterici olacaktır. Bir diğer deyişle risk düzeyi ve işleme faaliyetlerinin birbiriyle uyumlu olması sağlanmalıdır.

Her şeyden önce kişisel verilerin toplanma amacının açık bir şekilde belirlenmesi ve bu amaç ile sınırlı bir nitelik ve nicelikte bilgi elde edilmesi gerekir. Elde edilecek her bir bilginin, belirli bir amacı olmalı, bu amaca söz konusu bilgi toplanmadan ulaşmak mümkün olmamalıdır. Örneğin yukarıda sayılan Koronavirüs Soruları ve hatta bunların birkaçı çoğu durumda etkin bir mücadele için yeterli miktarda bilginin elde edilmesini sağlamaktadır. Açık ve meşru bir amaç olmaksızın çalışan ve ziyaretçilerden detaylı sağlık geçmişlerinin talep edilmesi, kişisel seyahatlerine ilişkin koronavirüsle mücadelede fayda sağlamayacak detayların sorulması veya her çalışan ve ziyaretçi için ateş ölçümü yapılması gibi önlemler, ölçülülük prensibine aykırılık teşkil edecektir.

Benzer şekilde Koronavirüs Soruları ile bilgi toplanacak kişi sayısı da asgariye indirgenmelidir. Salgının mevcut durumu ve özellikle Türkiye’deki yayılımı takip edilerek başlangıçta yalnızca yüksek riskli grupta olabilecek kişilerin kapsama dâhil edilmesi değerlendirilebilir. Bu kişilerin makul ve meşru gerekçelerle belirlenmesi gerektiği de ifade edilmelidir. Örneğin bir ilaç şirketi açısından Koronavirüs Soruları’nın yalnızca saha ekibine yönlendirilmesi düşünülebilir. Zira saha ekibinin, gerek temas ettiği kişi sayısı gerekse kişi tipi (doktorlar ve hastalar) itibariyle yüksek riskli grupta olmaları makul bir öngörüdür.

Ayrıca (1) elde edilecek kişisel verilerin yalnızca mücadele faaliyetlerini yürüten sınırlı sayıda personel (tercihen işyeri hekimi) tarafından bilinmesi sağlanmalı, (2) koronavirüse sahip olduğundan şüphelenilen çalışan veya ziyaretçiler muhakkak gerekli olmadıkça ifşa edilmemeli, (3) verilerin güvenli bir ortamda erişim denetimi altında saklandığından emin olunmalıdır.

Seyahat ve sağlık bilgilerinin toplanması için açık rıza alınmasına ihtiyaç var mıdır?

Rızanın gerekli olup olmadığının değerlendirilebilmesi için öncelikle toplanacak bilgilerin mahiyetinin tespiti yapılmalıdır. Genel nitelikli kişisel veriler açısından işleme temelleri oldukça çeşitlidir. Örneğin işletmeler meşru menfaatleri için zorunlu olma temeline dayanabilir. Ancak özel nitelikli kişisel veriler bakımından işletmelerin rızadan başka bir dayanağı olmayacaktır.

Koronavirüsle mücadele açısından elde edilebilecek başlıca özel nitelikli veri tipinin kişisel sağlık verileri olacağı açıktır. KVKK veya Kişisel Verileri Koruma Kurumu (KVK Kurumu) tarafından yayımlanan ikincil mevzuatta sağlık verilerine ilişkin bir tanım yer almamaktadır. Ancak Sağlık Bakanlığı tarafından yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik uyarınca sağlık verisi, “kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi”yi kapsamaktadır.

Bu çerçevede Koronavirüs Soruları üzerinden gidilirse, dördüncü soruda elde edilecek bilgilerin özel nitelikli kişisel veri olacağına şüphe yoktur. Kişinin ne tür tıbbi belirtilere sahip olduğu, onun fiziksel sağlığına ilişkin bir bilgi olduğundan dördüncü soruya verilen yanıtlar, kişisel sağlık verisi, yani özel nitelikli kişisel veri olacaktır. Bunun anlamı ise çalışanlar ve ziyaretçilere dördüncü sorunun yöneltilmesi halinde onlardan açık rıza alınmasının gerekeceğidir.

Bununla birlikte riskli bölgelerin ziyaret edilmesi veya yüksek riskli kişilerle aynı ortamda bulunulmasına ilişkin olan ilk üç soruya verilecek cevapların, teknik olarak özel nitelikli bir kişisel veri içermeyeceği söylenebilir. Zira bir kişinin seyahat geçmişi ve konum bilgileri, o kişinin “fiziksel ve ruhsal sağlığına ilişkin” bilgi değildir. Fakat amaçsal yorum metodu benimsenirse bu soruların da mevcut bağlamda en nihayetinde kişinin hastalıklı olup olmadığına dair bir öngörü ortaya koyacağı, bu sebeple somut olayda ilk üç sorunun cevabının da sağlık verisi sayılabileceği düşünülebilir. Zira 95/46/EC sayılı Avrupa Birliği Yönergesi zamanında Madde 29 Veri Koruma Çalışma Grubu tarafından yayımlanan “Kişisel Veri Konsepti Üzerine” adlı görüşte bir verinin kişisel veri olup olmadığının tespitinde “amaç unsuru”ndan faydalanılmıştır. Bu ise verinin “kişisel” niteliğinden öte “özel nitelikli” mahiyetinin tespitinde de amaç unsurunun bir faktör olup olamayacağı sorusunu gündeme getirmektedir. Yine KVK Kurumu tarafından örnek alındığı birçok kararda dile getirilen Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında özel nitelikli kişisel veriler yalnızca hassas verilerin kendisi değil, bunları açığa çıkaranlar olarak da tanımlanmaktadır. Birleşik Krallık Bilgi Komiserliği Ofisi (ICO) de buradan hareketle eldeki verilerden özel nitelikli bir veriye ulaşmak mümkünse eldeki verilerin özel nitelikli kişisel veri kabul edilebileceğini bildirmektedir.

Nihai olarak bizim görüşümüz, mevcut bağlam içerisinde ve koronavirüsle mücadele çatısı altında kişilerden belirli bölgelere ilişkin seyahat geçmişlerinin veya konum bilgilerinin toplanmasının özel nitelikli kişisel veri işlenmesi anlamına geleceğidir. Teknik açıdan seyahat geçmişi özel nitelikli kabul edilmese dahi sonradan ortaya çıkarılan risk grubu verisinin özel nitelikli olacağı şüphesizdir. Bu nedenle koronavirüsle mücadele amacıyla çalışanlardan veya ziyaretçilerden talep edilecek seyahat geçmişi ve konum bilgileri için bu kişilerden açık rıza alınması gerekecektir.

Son olarak, işyeri hekimi bulunduran işyerleri, özellikle çalışanlar nezdindeki koronavirüsle mücadele çalışmalarını işyeri hekimi aracılığıyla sürdürebilir. Bu durumda işveren tarafından sağlık verilerine erişim sağlanmaması kaydıyla açık rıza alınması zorunluluğunun belirli bir ölçüde ortadan kalkması sağlanabilir. Her halükarda koronavirüsle mücadelede işyeri hekimlerinin önemli bir rol oynayacağı şüphesizdir. Bu yönden işletmelerin işyeri hekimleriyle sıkı iletişim içerisinde olmalarında fayda vardır.

Rıza göstermeyen ziyaretçiler ofise alınmayabilir mi? Bu durum rızanın geçerliliğini etkiler mi?

İşletmeler, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu çerçevesinde çalışanların işle ilgili sağlık ve güvenliğini sağlamakla ve 6098 sayılı Türk Borçlar Kanunu uyarınca işçinin kişiliğini korumak, işyerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almakla yükümlüdür. Gereklilik İncelemesi sonucunda koronavirüsün ortaya çıkardığı riskler önemli düzeylerde görülüyorsa rıza göstermeyen ve bu nedenle Koronavirüs riski tespit edilemeyen ziyaretçiler açısından belirli tedbirler uygulanabilir. Örneğin bu ziyaretçilerin görüşmeleri karantina odalarında gerçekleştirilebilir, ziyaretçilerin maske kullanması talep edilebilir veya bu ziyaretçiler ofise hiç kabul edilmeyebilir.

Bilindiği üzere açık rızanın şartlarından biri özgür iradeye dayanmasıdır. Bunun bir sonucu olarak (1) rızanın bir ürün veya hizmetin sunulması için ön şart olarak ileri sürülmemesi ve (2) ilgili kişinin rıza göstermediğinde olumsuz bir durumla karşılaşmaması gerekir. Bu çerçevede ziyaretçilerin niteliği önem kazanmaktadır. Örneğin müşterilerin ofise hiç kabul edilmemesi ve hizmet alımına bir alternatif sağlanmaması ihtimalinde rıza geçersiz kabul edilebilecekken işletmenin müşterilere hizmet sağlamayan merkez yönetim ofisine gelen bir müşteriden alınacak rıza geçerli olabilecektir. Zira bir ziyaretçinin, şirketin merkez ofisine muhakkak kabul edilmek yönünde bir beklentisi veya hakkı olduğunu söylemek zordur. Fakat bu ihtimalde de ziyaretçiye alternatif bir iletişim kanalı sunulmasında fayda vardır.

Her halükarda uygulanacak tedbirlerin, işletmenin içerisinde bulunduğu durumun kendine has özelliklerine göre değerlendirilmesi gerekecektir.

Rıza göstermeyen çalışanlar hakkında nasıl tedbirler uygulanabilir? Bu tedbirler rızanın geçerliliğini etkiler mi?

Rızaya ilişkin bir önceki soruda belirtilen hususlar işçi-işveren ilişkisinde daha kritik bir hal almaktadır. Bu nedenle prensip olarak işçi-işveren ilişkisinde kişisel verilerin işlenmesi için rızaya dayanılmasını önermemekteyiz. Ancak (1) KVKK çerçevesinde sağlık verilerinin işlenmesine ilişkin temellerin mehaz Avrupa Birliği mevzuatından dahi çok daha sınırlı olduğu, (2) işverenin iş sağlığı ve güvenliği mevzuatından kaynaklanan yükümlülükleri ve (3) Gereklilik İncelemesi sonucunda ortaya çıkabilecek yüksek riskler dikkate alındığında özellikle işyeri hekimi bulundurmayan işletmelerin çalışanlardan koronavirüsle mücadele için alacakları rızalar geçerli görülebilir. Fakat bu durum, rıza göstermeyen çalışanların muhtemel bir olumsuzlukla karşılaşmaması gerektiği kuralını değiştirmeyecektir. Dolayısıyla rıza göstermeyen çalışanlar bakımından uygulanacak tedbirler, bu çalışanların aleyhine sonuçlar doğurmamalı, özellikle bu çalışanların bir ayrımcılığa uğramasına yol açmamalıdır. Rıza göstermeyen bu çalışanlardan uzaktan çalışmalarının talep edilmesi gibi opsiyonlar durumun özelliklerine göre değerlendirilebilir.

Elde edilen bilgiler kamu kurumlarıyla ve üçüncü kişilerle paylaşılabilir mi?

Bu sorunun cevabı durumun özelliklerine göre değişkenlik gösterecektir. Eğer yetkili bir kamu kurumu tarafından çalışanlar veya ziyaretçilere ilişkin bilgi talep edilirse paylaşımın yasal bir zemine oturtulması mümkün olacaktır. Ancak bugün itibariyle, kesin bir Covid-19 tanısı olmaksızın işletmelerin, çalışan veya ziyaretçilerine ilişkin seyahat ve sağlık bilgilerini gönüllü olarak kamu kurumlarıyla veya hastanelerle dahi olsa paylaşması KVKK’ya aykırılık teşkil edecektir. Kesin bir tanı halinde de KVKK çerçevesinde detaylı bir değerlendirme yapılmalı, uygulanacak tedbirler ve bilgi paylaşımlarında çalışanın kişisel verilerinin korunması sağlanmalıdır. Her halükarda Covid-19 tanısını kesin biçimde koyacak olan sağlık kurumları olduğundan Sağlık Bakanlığı’na bildirimler de sağlık profesyonelleri aracılığıyla gerçekleştirilebilecektir.

İşletmeler ayrıca işyeri hekimiyle koordineli çalışabilir, işyeri hekiminin görüşüyle işçilerin sağlık gözetimini sıklaştırarak gerekirse sağlık kurumları aracılığıyla gerekli bildirimlerin gerçekleştirilmesini sağlayabilirler.

Kamu sağlığı amaçları dışında farklı sebeplerle paylaşımlarda ise (örneğin bulut hizmeti kullanımı) koronavirüse özgü bir durum olmayacak, KVKK hükümleri genel olarak uygulanacaktır.

Çalışan ve ziyaretçilerin kişisel verilerinin işlenmesine yönelik bilgilendirilmesi gerekir mi?

KVKK kapsamındaki temel yükümlülüklerden biri, ilgili kişilerin verileri elde edilmeden önce belirli hususlarda bilgilendirilmesidir. Açık rızanın geçerliliği açısından da çalışanlar ve ziyaretçilerin, herhangi bir veri toplanmadan önce yeterli biçimde aydınlatılması kritik önem taşımaktadır. Aydınlatma beyanları, çalışanlara ve ziyaretçilere en geç Koronavirüs Soruları’nı içeren formlarla birlikte sunulmalıdır.

Aydınlatma beyanları yalnızca KVKK’ya uyum için değil, koronavirüsle mücadelenin etkinliği açısından da oldukça mühimdir. Zira kişilerin doğru bir içerik ve yöntemle bilgilendirilmesi, onların doğru bilgiler vererek ve bunların işlenmesine rıza göstererek koronavirüsle mücadeleye katılımlarını da artıracaktır.

KVKK açısından dikkat edilmesi gereken başka hususlar var mıdır?

Yukarıda koronavirüs salgınına özgü durumlar açısından belirli hususları vurguladık. Ancak her kişisel veri işleme faaliyetinde olduğu gibi koronavirüsle mücadele kapsamında da KVKK’nın bütününe uyum sağlanması önemlidir. Örneğin elde edilen bilgiler özel nitelikli olacağından gerekli veri güvenliği önlemleri alınmalı, bilgiler için bir saklama süresi tayin edilerek bu sürenin sonunda veriler imha edilmeli, kişilerden verilerine ilişkin gelen taleplere usulüne uygun biçimde yanıt verilmelidir.

1 Bu tedbirler (1) Sağlık Bakanlığı Bilim Kurulu’nun COVID-19 Rehberi, (2) “Workplace vs. Coronavirus: ‘No One Has a Playbook for This’” başlıklı The New York Times makalesi ve (3) ABD Hastalık Kontrol ve Önleme Merkezi’nin rehberinden derlenmiştir.

SOSYAL MEDYADA PAYLAŞ

ETİKETLER

finans, gayrimenkul, yatırım, ticaret, bilgi teknolojileri, e-ticaret, enerji, icra kabiliyeti, dava, veri koruma, şahsi kefalet, şirketler, yönetmelik, esas sözleşme, bağımsız denetim

SON YAZILAR

Bilgileriniz kaydedilmiştir. Teşekkürler.