Salgın hastalık döneminde, işverenin virüs taşıdığı tespit edilen bir çalışanının durumunu diğer çalışanlara duyurması, KVKK kapsamındaki 'gizlilik' ve 'veri minimizasyonu' ilkeleri açısından nasıl değerlendirilmelidir? Kişisel Verileri Koruma Kurumu'nun bu konudaki tavsiye ettiği bildirim yöntemi nedir?

İşverenin, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu uyarınca çalışanların sağlığını koruma ve güvenli bir işyeri sağlama yükümlülüğü bulunmaktadır. Bu yükümlülük, virüs taşıyan bir çalışan olması durumunda diğer çalışanları bilgilendirerek gerekli önlemleri almayı da kapsar. Ancak bu bilgilendirme, KVKK'nın temel ilkelerinden olan 'gizlilik' ve 'veri minimizasyonu' (amacın gerektirdiğinden fazla veri işlenmemesi) ilkelerine uygun olarak yapılmalıdır. Bu bağlamda, işveren bilgilendirme yaparken kural olarak virüs taşıyan çalışanın ismini ve kimliğini ifşa etmemelidir. Amaç, panik yaratmak veya kişiyi yaftalamak değil, temaslı olabilecek kişilerin önlem almasını sağlamaktır. Kişisel Verileri Koruma Kurumu'nun 27 Mart 2020 tarihli duyurusunda önerdiği yöntem de bu ilkelere dayanır. Örnek bildirim şu şekildedir: 'Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz.' Görüldüğü gibi, bu yöntemde enfekte olan kişinin kimliği açıklanmamakta, sadece lokasyon belirtilmekte ve gerekli önlemlerin alınacağı ifade edilmektedir. Çalışanın isminin açıklanması, ancak işyerinde koruyucu tedbirlerin alınması için 'zorunlu' ise ve öncelikle ilgili kişiye aydınlatma yapıldıktan sonra mümkün olabilir. Bu yaklaşım, işverenin yasal yükümlülüğü ile çalışanın kişisel verilerinin korunması hakkı arasında bir denge kurmayı amaçlamaktadır.