GYİAD - Moral Partners Hukuk Raporu XIV: Covid-19 Salgın Sürecinde İşverenler Tarafından Kişisel Verilerin Korunması - 2
· İşverenin aydınlatma ve açık rıza alma yükümlülükleri hakkında hatırlatmada bulunulmuştur.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 10. maddesi uyarınca veri sorumlularının, her bir veri işleme faaliyetine ilişkin olarak kişisel verilerin elde edilmesi anında veri sahiplerini aydınlatma yükümlüğü bulunmaktadır.
Ayrıca, KVKK’nın 5/2 ve 6/3 maddelerinde belirlenen hukuka uygunluk sebeplerinin bulunmadığı durumlarda ise, veri sorumlularının aydınlatma yükümlülüğüne ek olarak, veri işleme süreçlerine ilişkin açık rıza alma yükümlülüğü de bulunmaktadır.
· Sağlık verileri KVKK uyarınca özel nitelikli kişisel veri olup bu doğrultuda bahse konu verilerin işlenebilmesi adına işverenin açık rıza alması gerekmektedir.
KVKK’nın 6. maddesi uyarınca sağlık verileri özel nitelikli kişisel veri olarak tanımlanmış olup bahse konu verilerin veri sorumluları tarafından işlenmek istenmesi halinde, veri sorumlularının aydınlatma yükümlülüğüne ek olarak açık rıza alma yükümlülüğü de bulunmaktadır.
Bu doğrultuda işverenler tarafından, her ne kadar COVİD-19 salgın hastalığının yayılmasını önlemek adına tedbirler alınsa da bahse konu tedbirlerin uygulanması esnasında sağlık verilerinin işlenmesinin söz konusu olması halinde işverenin çalışanlarının açık rızalarını almak yükümlülüğü bulunmaktadır.
· KVKK m.6/3 uyarınca sağlık verileri sır saklama yükümlülüğü altında bulunan işyeri hekimleri tarafından açık rıza aranmaksızın işlenebilecektir.
KVKK m.6/3 ile beraber sağlık verilerinin işlenebilmesi adına istisna hükmü getirilmiş olup, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi mevzuatta belirtilen birtakım amaçlar doğrultusunda sağlık verileri, veri sahibinin açık rızası aranmaksızın sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebilecektir.
İşyerlerine giriş esnasında çalışanların ateşlerinin ölçülmesi gibi sağlık verilerinin işlenmesini gerektiren uygulamaların işverenler tarafından işyeri hekimleri aracılığıyla yerine getirilmesi halinde, işverenin yalnızca aydınlatma yükümlülüğü bulunmaktadır.
· COVİD-19 salgınına karşı alınan önleyici tedbirlerin uygulanması sırasında işverenler tarafından gerçekleştirilen veri işleme faaliyetleri, veri minimizasyonu ve gizlilik ilkesi gözetilerek gerçekleştirilmelidir.
Veri sorumlusu sıfatını haiz işverenler tarafından Covid-19 virüsünün yayılmasını önleme amacına yönelik olarak gerek sağlık verilerinin gerek ise diğer kişisel verilerin işlenmesinin söz konusu olması halinde, KVKK’da belirtilen genel ilkelere riayet edilerek amaçla ölçülü ve orantılı şekilde veri işlenmeli, ihtiyaç duyulmayan kişisel verilerin elde edilmemesi gerekmektedir.
Aynı zamanda kişisel verilerin güvenliğinin sağlanması adına her türlü teknik ve idari tedbir alınmalı, özel nitelikli kişisel veri kategorisinde olan sağlık verilerinin güvenliğinin sağlanması adına ise ek tedbirler alınmalıdır.
· İşveren, sağlık testi sonucu Covid-19 pozitif çıkan çalışanının kimliğini gizlemek suretiyle diğer çalışanlarını bilgilendirmelidir.
İşveren, çalışanlarından birinin Covid-19 pozitif çıkması halinde, veri sahiplerinin kimliğini anonim hale getirerek diğer çalışanları uyarmalı ve gerekli önlemleri almaya davet etmelidir. Böylece veri sorumlusu tarafından imha yükümlülüklerine dikkat edilerek hareket edilmiş olunacaktır.
Ayrıca, koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanların isimlerinin açıklanmasının zorunlu olduğu hallerde ise, veri sorumlusu sıfatını haiz işverenin aydınlatma yükümlülüğüne riayet ederek Covid-19 pozitif tanısı konan çalışanlarını önceden bilgilendirmesi gerekmektedir.
· İşverenler tarafından çalışanlarına ve ziyaretçilerine, yurt dışı temaslarının bulunup bulunmadığına yönelik soru yöneltilebilecektir.
Veri sorumlusu işverenler tarafından, Covid-19 salgınına karşı önleyici tedbirler kapsamında çalışan veya ziyaretçilerin yurt dışı temaslarının bulunup bulunmadığı hususunda soru yöneltilebilecek olup bu kapsamda aydınlatma yükümlülüğünün yerine getirildiğinden emin olunması gerekmektedir.
· Salgın süresince evden çalışma hallerinde veri güvenliği sağlanmalıdır.
Veri sorumlusu işveren tarafından, evden çalışma düzenine geçilmesi halinde, çalışanlarının kişisel veri işleme talimatlarına uygun hareket etmesi, sistemler arasındaki veri trafiğinin güvenli iletişim yolları uyarınca gerçekleştirilmesi, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması gibi veri güvenliğine ilişkin önlemler alınması gerektiği unutulmamalıdır.
Konuya ilişkin diğer bilgi notlarımıza ulaşmak için lütfen buraya, Kurum Bildirisine ulaşmak için ise lütfen buraya tıklayınız