Tüm dünyada olduğu gibi ülkemizde de Covid-19 salgınının görülmesiyle birlikte sağlık örgütü başta olmak üzere ilgili kamu kurum ve kuruluşları tarafından alınması gereken tedbirler sıkı bir şekilde uygulanmakla birlikte, yeni tedbirler de geliştirilerek uygulanmaya başlanmıştır. Ancak alınan bu tedbirler kapsamında pek çok özel nitelikli kişisel verilerin de işlendiği bilinen bir gerçektir.
Kişisel Verileri Koruma Kurulunun 27 Mart 2020 tarihinde “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı bir kamuoyu duyurusu yayımlanmıştır. Bahse konu duyuruda,” Başta sağlık verileri olmak üzere kişisel veriler işlenirken 6698 sayılı Kanun’un “Genel İlkeler” başlıklı 4. maddesinde yer alan temel ilkelere riayet edilerek, veri işleme faaliyetinin kanunlara uygun bir şekilde gerçekleştirilmesi gerektiği ve verisi işlenen kişilerin bu konuda bilgilendirilmesi, aydınlatılması, işlenen verilerin açık ve zorunlu bir gerekçe olmadıkça üçüncü şahıslara ifşa edilmemesi ve bu konuda gerekli tüm idari ve teknik tedbirlerin alınması gerektiği vurgulanmıştır. Nihayetinde veri işleme faaliyeti amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilerek veri minimizasyonunun da sağlanması gerektiği belirtilmiştir.
Kurul, Covid-19 salgınını önlemek amacıyla alınan tedbirler kapsamında sağlıkla ilgili işlenen verileri, özel nitelikli kişisel veriler kapsamında değerlendirmekte olup, 6698 sayılı Kanun’un 6 ncı maddesindeki şartlara tabi olduğunu ifade etmektedir. Bu kapsamda, “İşverenin, işyerinde çalışanlardan birisinin virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilmesinin mümkün olup olmadığı noktasında; işverenin, vakalar hakkında diğer çalışanlarını bilgilendirmesi gerektiği ancak zorunlu haller olmadıkça virüs taşıyan çalışanın kimliğini (ad-soyad) doğrudan açığa vuracak düzeyde detayları paylaşmaması gerektiği belirtilmiştir.
Öyleyse işverenin, iş sağlığı ve güvenliğine yönelik tedbir alma yükümlülüğünü yerine getirirken, veri işleme amacını aşmaması, çalışanların kişisel verilerini diğer çalışanlara ifşa etmemesi gerekmektedir. İşveren, işyerinde çalışanlardan herhangi birinin Covid-19 salgın hastalığına yakalanması halinde, durum salgına yakalanan çalışanın kimlik bilgilerini (ad ve soyadını) gizleyerek, tüm çalışanlar bilgilendirilmelidir. Aynı ortamda çalışan kişilere bildirim yapılırken, gizlilik ve ölçülülük ilkelerine uygun davranmalıdır.
Kurul, konuyla ilgili bilgilendirmenin nasıl yapılması gerektiğine bir örnek metin ile de açıklık getirmiştir. “…Genel Müdürlük binamızın 5’nci katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” şeklinde bilgilendirmenin yerinde olacağını belirtmiştir.
Sonuç olarak, Kişisel Verileri Koruma Kurulu, 27 Mart 2020 tarihinde “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlıklı bir kamuoyu duyurusunda; “işverenin, bir çalışanının virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilmesinin mümkün olup olmadığı noktasında; işverenin, vakalar hakkında diğer çalışanlarını bilgilendirmesi gerektiği ancak zorunlu haller olmadıkça virüs taşıyan çalışanın kimliğini (ad-soyad) doğrudan açığa vuracak düzeyde detayları paylaşmaması gerektiği ifade edilmiştir.