Av. Özlem YILDIZ
Aralık 2019 ayı itibariyle Çin’in Wuhan şehrinden başlayıp tüm dünyayı etkisi altına alan COVİD-19 un pek çok alanda değişik yansımaları olmuştur. Covid-19 toplumu yeni bir arayışa itmiş ve rutinin dışına çıkılarak iş, eğitim ve sağlık sektöründe sorunları beraberinde getirmiştir. Bu bağlamda yeni düzen arayışında elde edilen kişisel veriler de tartışılmaya başlanmıştır.
İşçi ve işveren arasındaki ilişki ekonomik ve hukuki bağımlılıktan ötürü bu dönemde de büyük önem taşımaktadır. Kişisel verilerin elde edilişi bir nevi işveren tarafından işçinin kişisel verilerine müdahale barındırır. Bu olağanüstü dönemde işverenin alması gereken tedbirler ile işçinin verilerin kullanılması KVKK açısından tartışmaya açık bir zemin hazırlamıştır.
İŞVEREN AÇISINDAN KİŞİSEL VERİLERİN KORUNMASI
Dünya Sağlık Örgütü’nün 11 Mart 2020 tarihi ile yeni Corona Virüsü Covid-19’ u “salgın hastalık- pandemi” olarak ilan etmesi ve T.C. Sağlık Bakanlığı’nın süregelen basın açıklamaları ile tüm sektörlerde idari ve teknik önlemler alınmaya başlanmıştır.
Bu dönemde salgının belirsizliği ile sonuçlarının ekonomik ve hukuki boyutları gün geçtikçe bizleri kaygılandırmaktadır. Salgının hızla yayılmasının gözlenmesi, seyahatlerin kısıtlanması, üretimin ve sevkiyatların azalması, karantina ve izole yöntemlerine başvurulması ile COVİD-19 küresel bir tehdit halini almıştır.
İşverenler için salgının önemi çalışan sağlığının korunmasının yanı sıra bu durumun istihdama yansıması olmuştur. İşçinin koronaya yakalanması ile iş kazası sayılması hali de işveren tarafında düşündürücü hal almıştır. Bir diğer sorunsal işveren açısından uzaktan çalışma, esnek çalışma, kısa çalışma, ücretli ücretsiz izin uygulamalarıdır. Mevzuat yetersiz kalmış ve yeni mevzuat düzenlemelerine gebe kalınmıştır.
İşveren bir yandan faaliyeti devam ettirmeye, bir yandan çalışanlarına karşı hukuki sorumluluğunu yerine getirmeye çalışmakta, aynı şekilde çalışanların sağlıklarını korumak adına idari ve teknik tedbirlere başvurması gerekmektedir. Bu tedbirlerin uygulanabilirliği ise KVKK ile ters düşmeden işlerlik kazanmalıdır. KVKK kapsamındaki işveren yükümlülüklerini ihlal etmeden süreci yönetmelidir.
- İşveren Çalışanların Sağlık ve Güvenliğini Sağlamakla Yükümlüdür
İşveren İş Sağlığı Ve Güvenliği Kanunu Kapsamında çalışanlarının sağlıklarını korumakla yükümlüdür ve bu doğrultuda gerekli risk değerlendirmelerini yaparak tedbirlere başvurmakla yükümlüdür[1]
İş yerinde gerekli hijyen koşullarını sağlama, maske eldiven gibi ekipman teminini yerine getirme, ortak alanların sosyal mesafeye uygun dizayn edilmesi gibi risk oluşturabilecek durumları gözden geçirmelidir.[2]
Çalışma saatlerini gözden geçirmeli ve çalışanlar için farklı çalışma şekillerine geçilmelidir. Şüpheli ya da enfekte kişinin iyileşmesinin ya da izole süresinin ardından tam teşekküllü bir sağlık merkezinden raporunun alınması ve işyeri hekiminin onayı gözetiminde işe devam etmelidir. İşyeri hekimi bulundurma zorunluluğu olmayan işverenlerde ise geçici işyeri hekimi hemşiresi görevlendirme yoluna gidilmelidir. İş yeri hekimi bulunsa dahi şirket bünyesinde herkesin bizzat veri işlemelerini yapabilmesi mümkün görünmemektedir.
İş güvenliği uzmanı ve işyeri hekimi ortak bir çalışma yürütmeli, işyeri hekimi gözetiminde sağlık kontrolleri ve periyodik muayenelere devam edilmelidir. Uygulamada çalışanlara yurtdışı bağlantısı, hastalık teşhisi yapılmış yakını olup olmadığı sorulmakta ve kendisinin sağlık verisine başvurulduğu görülmektedir. Bu hususların ayrı ayrı KVKK kapsamında incelenmesi gerekmektedir.
Bu dönemde görülmüştür ki; pek çok şirket kurumsal bir yapıda yönetilmediği için işletme sürecini sağlıklı sürdürememiştir. Çoğu şirket iş sürekliliği planına sahip olmadığı gibi ilk düşünülen ve ilk yapılan hamle faaliyetin durdurulması ve çalışanların işten çıkarılması olmuştur.
- İşveren Çalışanının Kişisel Verisine Başvurması Halinde KVKK Uyarınca Alınacak Önlemler Ve Başvurulacak Tedbirler Kapsamında Aydınlatmalıdır.
KVKK kapsamında veri sorumlusu işveren her bir veri işleme faaliyetinde veri sahibi çalışanını aydınlatmalıdır. İşveren veri işleme anında verinin hangi amaçla işlendiğini, elde etme yöntemini, kime aktaracağını ve bu hususlarla ilgili haklarını ilgili kişiye anlatmalıdır. [3]
İşveren iş sağlığı güvenliği kapsamında çalışanlarını bilgilendirmelidir. Bilgi notları dağıtmalı, alınacak ve alınması gereken tedbirler konusunda da çalışanları aydınlatmalıdır. Çalışanda bulunması halinde iş yerinde çalışanın izole tutulması çok mümkün olmadığı için kendisinin sözleşme kapsamında izinlerinin kullandırılması yolu düşünülmektedir.
İşveren aydınlatma yükümlülüğünü yerine getirirken şeffaf olmalı ve süreç hakkında çalışanı bilgilendirmelidir. Örneğin, işyerinde hastalık şüphesi ile izole edilen olup olmadığı hususu, hastaların ismini verilmeden anonim olarak sayısı, departmanı gibi bizzat o kişilerle ilişkilendirilmeyen bilgilerin verilmesi düşünülebilir. Aydınlatmanın şeffaf olması hem KVKK hem de iş hukuku kapsamında önem teşkil etmektedir. İş kanununun 24. Maddesi ile işçinin iş sözleşmesini fesih etme kapsamında bulaşıcı hastalıkların işyerinde olması hali düzenlenmiştir. Bu nedenle işyerinde bu olağanüstü dönem şeffaf ve aydınlatmaya dayalı olarak yürütülmelidir.[4]
İşyerinde bu dönemde aynı şekilde KVKK kapsamında verilerine ilişkin taleplerini içeren hakları çalışanlara hatırlatılmalıdır. Çalışanlar hangi sağlık verilerinin işlendiği, hangi kurumlarla paylaşıldığı bilgisini işverenden öğrenme ve isteme hakkına sahiptir.[5]
- Çalışanın Sağlık Verisi Özel Nitelikli Kişisel Veridir Ve Açık Rıza Alınması Gerekmektedir.
Salgın hastalık özelinde çalışandan alınacak tedbirlerin başında çalışanın sağlık verisine başvuru gelmektedir.Sağlık verileri KVKK 6. Md. kapsamında özel nitelikli kişisel veridir ve işlenebilmesi ancak ilgili kişinin açık rızasına bağlıdır. [6] İşverenler başvurmuş oldukları tedbirleri salgın hastalık nedeni ile sağlık sebebini öne sürseler de çalışandan açık rıza alınması gerekmektedir.
Bu dönemde işyerlerinde salgın hastalığının en bariz belirti hali olan ateş için ateş ölçme cihazlarını kullanma yoluna gidilmiştir. İşverenler bu ateş ölçüm cihazlarını ancak işyeri hekiminin gözetiminde kişiden aydınlatılmış açık rıza ile almaları gerekmektedir.
İşveren iş sağlığı ve güvenliği kapsamında çalışanlarına, ziyaretçilerine ve verisine başvurmuş olan ilgili kişilere korona şüphesi ile yurt dışında bulunup bulunmadığını, hastalık belirtisi bulunup bulunmadığını karantina altında istenilen sürede kalıp kalmadığını sormak isteyecektir. Ancak işverenin bu şekilde sorular yöneltmesi yetkisiz olduğu göz önüne alındığında Kişisel Verilerin Korunması Kanunu kapsamında uygun olmamaktadır.
Kişisel verilerin işlenmesinde ölçülülük ve amaca uygun verinin işlenmesi büyük önem arz etmektedir. Bu nedenle açık rıza aranan bu hallerde salgın tehdidi ile kişisel verilerin elde edilerek yapılmak istenen uygulama ölçülü olmalıdır.
- Sağlık Verisine Dayalı Tedbirler İşyeri Hekimi Gözetiminde Takip Edilmelidir.
Vakaların tespiti ile iş yerinde sağlık koşulları gözden geçirilmelidir. Bu süreç KVKK md. 6./3 uyarınca sır saklama yükümlülüğü altında olan işyeri hekiminin bilgisi ve gözetimi altında yönetilmelidir.[7] İşyeri hekimi izinleri kullandırmalı ve çalışanın muayene süreci işyeri hekimi bilgisi dahilinde devam ettirilmelidir. Hekim sır saklama yükümlülüğü kapsamında; çalışanın ateşini ölçebilecek, hastalığa dair sorular yöneltebilecektir. İşyeri hekimi sağlık verilerini işveren ya da insan kaynakları birimleri ile ancak “çalışabilir, çalışamaz, çalışmasına engel yoktur” görüşleri doğrultusunda paylaşmalıdır.
Sır saklama yükümlülüğü kapsamında işyeri hekiminin sadece bu verileri işleyebileceği hususu Kurumun 27.03.2020 tarihli kararında da yer almıştır. Kararda açık rızanın yanı sıra çalışanın kendi rızası ile de hastalık bildirimi yapabileceğine değinilmiştir.
İşveren öncelikle yurt dışı bağlantılı çalışanları, bu kişilerin temas halinde oldukları çevreyi belirlemeli ve izole edilmesi gerekliliği halinde Hıfzıssıhha Kanunu’nun 61.maddesine göre kurum ve kuruluşları da bilgilendirmelidir. Aynı madde çerçevesinde kurye veya çalışmaya devam eden kamu personeli gibi aktif müşteri temasında olan bir çevreden virüsün alınması halinde de haber verme zorunluluğu olan kişiler arasında umuma açık yerlerde çalışanlar, sağlık çalışanları ve işlerinin niteliği sebebiyle bu hastalıklarla karşılaşanlar sayılabilmektedir. Bu nedenle işverenin bu şekilde bir bilgiye ulaşması halinde bilgi verme yükümlülüğü doğabilecektir. Yurt dışına çıkış halinde verilen beyanların işveren açısından risk koşullarını belirlemek açısından önemlidir. Riskin ölçümü bakımından yurt dışında bulunulan tarih ve temas çevresinin tespiti açısından riskin oluşumunun bilinmesi yeterli bilgidir. İşveren KVKK kapsamında daha fazla bilgi edinmemeli ve bu bilgileri anonim olarak tutmalıdır.
Hastalık teşhisi yakınının sorulması ile ilgili veriler eğer anonim şekli ile kayıt altına alınacak, var ya da yok olarak beyan edilmesi beklenecekse KVKK açısından bir sıkıntı oluşmayacaktır. Ancak verinin açık kişisel veri olması halinde süreç sonunda sorun teşkil edebilecektir.
İşyerinde, işyeri hekiminin bulunması halinde özel nitelikli kişisel veriler ile işyeri hekimi bizzat muhattap ise ve sadece işyeri hekimin sağlık dosyasında bu veriler korunuyor ise işverenin sadece çalışanı aydınlatması yeterlidir. Ayrıca çalışandan açık rıza aranmaz. Bu verilerin işçinin özlük dosyasında bulunması KVKK ile bağdaşan bir durum değildir.
- İşveren Tarafından Kamu Kurumları İle Bu Bilgiler Paylaşılabilecektir.
Kurum 09.04.2020 tarihli duyuru metninde; KVKK 28. Maddeye atıf yaparak, “kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı” hükmüne yer vermiştir, kanunda sayılı kurum ve kuruluşlar ile de bu bilgilerin paylaşılabilmesinde bir engel olmadığına dikkat çekmiştir. Kanunun 8. Md si ile de işveren bulaşıcı hastalık taşıyanlara ilişkin kişisel verileri ilgili kurumlarla paylaşabilecektir.
TC. Cumhurbaşkanlığı tarafından “Pandemi İzolasyon Takip Projesi” duyurulmuş, salgının yayılımının önüne geçilebilmesi için lokasyon verilerinin paylaşımı Sağlık Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu ve operatörlerin izleme alanına dahil edilmiştir. Özel hayatın gizliliği ve kişisel veri güvenliği tehlikesi ile karşı karşıya kalınmaktadır. Dikkat çeken diğer bir husus işverenlerin çalışanlarına ait lokasyon bilgisini ilgili kurumlarla paylaşabilmesidir. Bu durumda da her ne şekil altında olursa olsun kamu kurum ve kuruluşları ile bu verilerin paylaşımının sınırsız olmadığı ve ölçülülük ilkesine riayet edilmesi gerekliliğidir.
Kanun sır saklama yükümlülüğüne sahip kişilerin kişisel verileri işleyebileceğine açıkça yer vermiş olsa da yaşanılan zorluklar göz önüne alınarak, işyeri hekiminin bulunmaması ile iş yeri girişlerinde bu verilere güvenlik görevlileri vasıtasıyla başvurulmuştur. Kanunun açık hükmüne rağmen Emniyet Genel Müdürlüğü 23.03.2020 tarihinde emir yazısı yayınlamıştır.[8]
Kurum, özel güvenlik görevlilerinin ateş ölçer kullanımı hakkında “Dünyada İnsan Sağlığına Ciddi Bir Tehdit Oluşturan Corona Virüs Salgınının Kontrol Edilmesi, Virüsün Bulaştığı Kişilerin Tespit Edilerek Karantina Altına Alınması Amacıyla; Kamu Güvenliğini Tamamlayıcı Mahiyette Görev Yapan Özel Güvenlik Görevlilerinin “Ziyaretçilerin Ateşini Ölçmesi”, Kamu Güvenliğinin Sağlanması Ve Kamu Sağlığının Korunması Amacıyla Salgına Karşı Alınacak Tedbirler Ve Önlemler Kapsamında Bir Takım Sorumlulukların Yerine Getirilebilmesi İçin “Virüs Salgınının Yaşandığı Bu Süreçte” Ve Bu Süreç Sona Erinceye Kadar” Makul Bir Uygulama Olarak Değerlendirilmektedir.” emir yazısı ile ateş ölçer cihazlarla birlikte termal kameranın bu dönemde kullanılabileceğine dair yazı yayınlamıştır.
İşyerlerinde ziyaretçileri bu dönemde kabul etmemek en düşünülen çözümdür. Ancak zorunlu hallerde ziyaret kabulünde ziyaretçilerden sağlık verisi elde etmek işverenin meşru menfaati amacına sığmaz. Bu verilerin alınması halinde öncelikle açık rıza alınmalı ve verilerin saklanma koşulları gözden geçirilmelidir. Veriler işverenin menfaati dâhilinde olmadığı için hiçbir işlenme saklanma amacı taşımaz bu nedenle bu veriler ancak anonim halde tutulmalıdır.
Şirketler ziyaretçi veya üçüncü kişileri elektronik ortamlarda müracaatlara yönlendirmek durumunda kalmıştır. Aynı şekilde elektronik ortamda başvurulan veriler de sınırlı ve amaca ilişkin veri olmalıdır. İstenilen verilerin kayıtlarının tutulduğu ortamların siber güvenliğinden emin olunmalıdır.
• Çalışanların Kendileri ve Verileri İfşa Edilmemeli Gizli Tutulmalıdır.
Virüsün yayılmasının engellenmesi amacı ile kişisel verilerin tutulması ve saklanmasında gerekli hassasiyet içinde olunmalı ve idari ve teknik tedbirler alınmalıdır. Sınırlı ve ölçülü veri toplanmalıdır. Hastalık şüphesi bulunan veya hastanın kişisel verileri üçüncü kişilerle paylaşılmamalı, sosyal medya hesapları ve sosyal ortamlarda sağlık verileri dahil kişiyi belirli kılan verilerde paylaşılmamalıdır. Hukuka aykırı paylaşımlar TCK 136. Maddesi kapsamında suç teşkil edebilmektedir.[9]
• İş Sağlığı Ve Güvenliği Kuralları Uzaktan Çalışma Halinde Ev Ortamında Da Geçerlidir.
Uzaktan çalışma kapsamında çalışanların iş sağlığı ve güvenliği kurallarına uygun çalışma ortamı oluşturulması gerekmektedir. Bu halde çalışma ortamının hazırlanmasında, mahremiyet alanına dahil olunduğu göz önüne alınmalı çalışanın muvafakati ile ekipmanlarının kurulumu noktasında yerinde denetlenebilmektedir. Bu noktada kişisel verilerin orantılı işlenmesi gerektiği önem arz etmektedir. İşveren uzaktan çalışma halinde de çalışanına uygun çalışma ortamı hazırlamalı ve gerekli önlemleri iş kanunu çerçevesinde vermelidir. İşverenin gerekli önlemleri almaması çalışan lehine iş sözleşmesini haklı fesih imkanı da doğurabilmektedir.
- Uzaktan Çalışma Halinde Gerekli Teknik Önlemler Alınmalıdır.
İşyerinde faaliyetlerin devamı ve iş sürekliliğinin sağlanması adına çalışma hayatında uzaktan çalışma modellemeleri ortaya çıkmıştır. Bu süreç ileride sıkıntı doğurmaması adına yeterli teknik altyapı ve koruma mekanizmalar ile yönetilmelidir.
İşverenin işin devamı niteliğinde meşru amacı olmakla birlikte alternatifi oluşturulabileceği (şirket hattı, şirket bilgisayarı temini) göz önüne alınarak çalışanın açık rızasının alınması gerekmektedir. Çalışanın açık rızası ancak başka bir işleme amacı olmaması halinde en son halde alınmalıdır. Bu nedenle kişinin açık rızasının alınmaması halinde de şirket hattı sağlanmalıdır.
Ancak süreç dahilinde çalışanın şirket telefonu yerine şahıs telefonları ile iletişimin sağlanması gerekli müşterilerle irtibatın şahsi telefonlar ya da şahsi mail adresleri gerçekleştirilmesi görülmektedir. Aynı şekilde uzaktan çalışabilmek için işin niteliğinin buna cevaz vermesi aranmaktadır. Laptoplar üzerinden işin sürekliliği uzaktan çalışmaya uygun olsa da, ekipman yetersizliği nedeni ile pek çok çalışan kendi kişisel bilgisayarlarını evlerinde kullanmak durumunda kalmıştır. Ofis bilgisayarlarındaki siber güvenlik kişisel bilgisayarlarda bulunmamaktadır. Ofis bilgisayarlarının USB portallarının kapalı olması ve pek çok site engelinin bulunması da göz önüne alındığında kişisel bilgisayarlarla işlerin yürütümü şirket verilerinin dışarıya çıkarılmasında karşılaşılan bir diğer problem olmuştur. Evde bulunan ağa bağlanılan tüm cihazların bilinememesi ve zayıf parolama kullanımı bir diğer husustur.
Uzaktan çalışma uygulamasında çalışana görevi gereği gereken “en az yetki” prensi gereği riskli veriler üzerinde erişim yetkileri kısıtlanmalıdır. Zafiyetlerin oluşmaması adına iletişim protokolleri etkin oluşturulmalıdır. Ev bağlantılarında VPN ile şifrelemeler de büyük önem arz etmektedir.
Uzaktan çalışma kapsamında teknik tedbirler önem arz etmektedir. Ulusal Siber Olaylara Müdahale Merkezi covid-19 kapsamında “Uzaktan Çalışma Kuralları” rehberi yayınlamıştır. Logların düzenli tutulması, güncel uygulamaların kullanılması, toplantıların düşünüldüğü bağlantıların sürelerinin sınırlandırılması, kaynak IP kısıtlaması yapılması, çok aşamalı kimlik doğrulama ya da şirket dosyalarına yetki erişimin kısıtlanması gibi önlemler alınmalıdır. Aynı şekilde işverenlerin çalışma halinde verilerin dış ortamlara çıkarılmaması, kopyalanmaması verilerin takibinin yapılması bağlantılarının çoğunun kablosuz modem kullanılması da göz önüne alındığında WPA/WPA2 protokollerinin etkili kullanılmasını ve SSID gizlemenin etkin olması konusunda uyarılmıştır. [10]
Covid-19 çerçevesinde işverenlerden ve kurumlardan beklenen gerekli tedbirlerin alınmasıdır. Ancak toplum sağlığı açısından kurum kadar bireylere de büyük sorumluluk düşmektedir. Bu dönemde kişilerin verilerinin tespiti ile gizliliğin ihlal edilmesi bu kişileri dışlayıcı bir konuma bırakabilmektedir. Kişilerin hak ve özgürlük alanlarının ihlal edilmemesi adına sağlıklı bir süreç yönetilmesi beklenmektedir.
NOT: Bu bildiriyi okuduğunuz
dönemde, kamu kurum ve kuruluşları tarafından mevzuat değişikliğine gidilmiş ve
metin mevzuat kapsamında güncelliğini yitirmiş olabilir
[1] İş Sağlığı ve Güvenliği Kanunu MADDE 3-(1)/ö. Risk değerlendirmesi: İşyerinde var olan ya da dışarıdan gelebilecek tehlikelerin belirlenmesi, bu tehlikelerin riske dönüşmesine yol açan faktörler ile tehlikelerden kaynaklanan risklerin analiz edilerek derecelendirilmesi ve kontrol tedbirlerinin kararlaştırılması amacıyla yapılması gerekli çalışmaları vd.
[2] İşverenin Genel Yükümlülüğü MADDE 4–(1) İşveren, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlü olup bu çerçevede; a) Mesleki risklerin önlenmesi, eğitim ve bilgi verilmesi dâhil her türlü tedbirin alınması, organizasyonun yapılması, gerekli araç ve gereçlerin sağlanması, sağlık ve güvenlik tedbirlerinin değişen şartlara uygun hale getirilmesi ve mevcut durumun iyileştirilmesi için çalışmalar yapar. b) İşyerinde alınan iş sağlığı ve güvenliği tedbirlerine uyulup uyulmadığını izler, denetler ve uygunsuzlukların giderilmesini sağlar. c) Risk değerlendirmesi yapar veya yaptırır. ç) Çalışana görev verirken, çalışanın sağlık ve güvenlik yönünden işe uygunluğunu göz önüne alır. d) Yeterli bilgi ve talimat verilenler dışındaki çalışanların hayati ve özel tehlike bulunan yerlere girmemesi için gerekli tedbirleri alır.
[3] KVKK Veri sorumlusunun aydınlatma yükümlülüğü MADDE 10- (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür
[4] İK MADDE 24 – Süresi belirli olsun veya olmasın işçi, aşağıda yazılı hallerde iş sözleşmesini sürenin bitiminden önce veya bildirim süresini beklemeksizin feshedebilir: I. Sağlık sebepleri: a) İş sözleşmesinin konusu olan işin yapılması işin niteliğinden doğan bir sebeple işçinin sağlığı veya yaşayışı için tehlikeli olursa. b) İşçinin sürekli olarak yakından ve doğrudan buluşup görüştüğü işveren yahut başka bir işçi bulaşıcı veya işçinin işi ile bağdaşmayan bir hastalığa tutulursa vd.
[5] İlgili Kişinin Hakları MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir
[6] Özel Nitelikli Kişisel Verilerin İşlenme Şartları MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
[7] Özel nitelikli kişisel verilerin işlenme şartları MADDE 6- (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
[8]E.T: 16.04.2020 https://www.egm.gov.tr/ozelguvenlik/ozel-guvenlik-gorevlilerinin-ates-olcer-cihaz-kullanimi-hk
[9] Verileri hukuka aykırı olarak verme veya ele geçirme Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
(4) (2) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
[10] E.T: 16.04.2020 https://www.usom.gov.tr/faydali-dokuman/17.html