Kişisel Verileri Koruma Kurumu tarafından 27 Mart 2020 tarihinde COVID-19 ile ilgili kamuoyu duyurusu yapıldı. Kurum, COVID-19 ile mücadele sırasında kişisel sağlık verilerinin ne şekilde işlenebileceğine ilişkin Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”) ve ilgili mevzuat ışığında bilgilendirme gerçekleştirdi. Kurum, aynı zamanda, COVID-19 virüsünün çalışan-işveren ilişkisine olan etkisine dair soru-cevap şeklinde açıklamalarda bulundu.
Bu yazımızda Kurum’un özellikle çalışan-işveren ilişkilerine dair getirdiği açıklamalara dikkat çekmek isteriz:
• Uzaktan çalışma modeli benimsendiyse; işveren kişisel veri güvenliğinin sağlanması için teknik tedbirleri almakla yükümlüdür.
Kurum, birçok işyerinin evden çalışma modelini geçtiğini, ancak bu çalışma modelinin işverenler açısında kişisel veri güvenliğini sağlamak yükümlülüğünden kendilerini muaf tutmayacaklarını ifade etmiştir. Bu kapsamda işverenler, çalışanlarına iş için kullandıkları bilgisayarlarında veri ihlali riskini asgariye indirmeleri için bilgilendirme yapmalıdır. Kurum, çalışanların iş için kullandıkları bilgisayarlarında;
− Veri trafiğinin güvenli iletişim protokolleri ile gerçekleştirmesi
− Anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması
gibi güvenlik tedbirleri almalarına dair işverenlerin bilgilendirme yapmasını işaret etmektedir.
Önemle vurgulamak isteriz ki, çalışanların bu önlemleri almasına rağmen bir veri ihlal gerçekleşirse işverenin sorumluluğu devam etmektedir.
• İşveren, çalışanlar arasında COVID-19 vakalarına dair gerekli ölçüde bilgilendirme yapmalıdır.
İşyerinde, bir çalışanda COVID-19 virüsünün pozitif çıkması halinde, işveren diğer çalışanları bu konuda bilgilendirmelidir. Ancak bilgilendirme gerektiği kadar olmalı; çalışanın isim-soy ismi gizlenmelidir. Kurum, bilgilendirmenin nasıl olabileceğine dair örnek de vermiştir:
“… Genel müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek, kendilerini durum hakkında bilgilendireceğiz…”
İşveren, enfekte olan çalışanın şu anda evden çalıştığı/hastanede olduğu vb. mevcut durumuna dair bilgi vermeli ancak zorunlu olmadıkça çalışanın kimliğini ifşa etmemelidir.
• İşveren, COVID-19 virüsünü tespit edebilmek için çalışan ve ziyaretçilerden bilgi talep edebilir.
İşverenin, çalışanlarının iş sağlığı ve güvenliğinden sorumlu olup; işyerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almak zorundadır. Bu doğrultuda çalışanlarına ve işyerini ziyarete gelen kimselere yakın zamanda COVID-19 virüsünün görüldüğü ülkelere seyahat edip etmedikleri, COVID-19 virüsüne bağlı hastalık belirtileri gösterip göstermediklerine dair bilgi talep edebilir.
Bu bilgi talebinin, makul, ölçülü ve risk değerlendirmesine dayanan güçlü gerekçeler içermesi gerektiğini hatırlatmak isteriz.
• İşveren, yetkililerle çalışanlarının sağlık verilerini paylaşmakla yükümlüdür.
İşveren, KVKK m. 8 ve ilgili mevzuat kapsamında, bulaşıcı hastalık taşıyan çalışanları yetkili kurumlara bildirmek zorundadır.
• KVKK ve ilgili mevzuatta öngörülen süreler işlemeye devam eder.
Kurum, KVKK ve ilgili mevzuatta öngörülen sürelerin işlemeye devam ettiğini, ancak veri sorumlularının yükümlülükleri açısından yaşadığımız olağanüstü koşulların göz önünde bulundurulacağını ifade etmiştir.