Aufgrund der COVID-19-Pandemie verlangen Arbeitgeber verschiedene Informationen von ihren Mitarbeitern und Besuchern am Arbeitsplatz, um die Gesundheit und Sicherheit am Arbeitsplatz zu gewährleisten. Dazu gehören Informationen wie der aktuelle Gesundheitszustand der Mitarbeiter, die Personen, mit denen sie in Kontakt sind, und ihre letzten Reisen.
Aufgrund der COVID-19-Pandemie verlangen die Arbeitgeber von ihren Mitarbeitern und Besuchern am Arbeitsplatz verschiedene Informationen, um den Gesundheitsschutz und die Sicherheit am Arbeitsplatz zu gewährleisten. Dazu gehören Informationen wie der aktuelle Gesundheitszustand der Mitarbeiter, die Personen, mit denen sie in Kontakt stehen, und ihre letzten Reisen. Die Messung der Körpertemperaturen von Arbeitnehmern und Besuchern, die Erfassung der Körpertemperaturen mit Kameras und verschiedenen Scanning-Methoden und die Aufzeichnung dieser Informationen mit diesen Scanning-Methoden gehören zu den Aktivitäten, die zu Präventionszwecken durchgeführt werden. In diesem Zusammenhang wurde in jüngster Zeit unter anderem untersucht, ob eine Beschränkung für die Erfassung und Verarbeitung personenbezogener Daten von Arbeitnehmern besteht und ob diese Aktivitäten zu einem Verstoß gegen das Gesetz führen. Aus diesem Grund ist es sinnvoll, diese Frage zu bewerten.
In der Türkei werden personenbezogene Daten durch das Gesetz Nr. 6698 über den Schutz personenbezogener Daten geschützt. Dieses Gesetz regelt die Pflichten von natürlichen und juristischen Personen, die personenbezogene Daten verarbeiten, sowie die Verfahren und Grundsätze, die bei der Verarbeitung personenbezogener Daten einzuhalten sind. Nach diesem Gesetz gehören Gesundheits- und Reisedaten von Arbeitnehmern oder Besuchern zu den besonderen Kategorien personenbezogener Daten. Daher werden Arbeitgeber auch als für die Verarbeitung Verantwortliche betrachtet, wenn sie diese Daten verarbeiten.
Gemäß Artikel 6/1 des Gesetzes Nr. 6698 über den Schutz personenbezogener Daten sind Gesundheitsdaten von Personen besondere Kategorien personenbezogener Daten. Gemäß Artikel 6/3 des Gesetzes ist es möglich, personenbezogene Gesundheitsdaten zum Schutz der öffentlichen Gesundheit durch Personen, die der Schweigepflicht unterliegen, oder durch befugte Einrichtungen und Organisationen zu verarbeiten, ohne die ausdrückliche Zustimmung der betroffenen Person einzuholen. Abgesehen von den besonderen Ausnahmen in Artikel 6/3 des Gesetzes ist es jedoch verboten, besondere Kategorien personenbezogener Daten ohne die ausdrückliche Zustimmung der betroffenen Personen gemäß Artikel 6/2 des Gesetzes zu verarbeiten. Artikel 6/3 des Gesetzes Nr. 6698 hingegen ist in einem sehr begrenzten Rahmen geregelt, so dass seine Anwendung in der Praxis sehr eingeschränkt ist. Daher wird die Anforderung und Verarbeitung personenbezogener Gesundheitsdaten von Arbeitnehmern und Besuchern durch den Arbeitgeber auf der Grundlage dieser Artikel in der Praxis begrenzt und nicht angemessen sein. In Artikel 5/2 des BVG sind die Fälle geregelt, in denen es möglich ist, die personenbezogenen Daten der betroffenen Personen zu verarbeiten, ohne deren ausdrückliche Zustimmung einzuholen. Die Fälle, die in den Anwendungsbereich dieses Artikels fallen, können bei der Verarbeitung von Personendaten durch Arbeitgeber zum Schutz vor Pandemien Anwendung finden. Gemäß Artikel 5/2/ç des Gesetzes dürfen solche Daten, wenn die Verarbeitung dieser Daten für den für die Verarbeitung Verantwortlichen zur Erfüllung seiner rechtlichen Verpflichtung zwingend erforderlich ist, erhoben und verarbeitet werden, ohne die ausdrückliche Zustimmung der betroffenen Personen einzuholen. Daher können Arbeitgeber diese Daten ermitteln und verarbeiten, ohne die Zustimmung ihrer Mitarbeiter und Besucher einzuholen, um die Gesundheit und Sicherheit am Arbeitsplatz zu gewährleisten, wozu sie nach dem Gesetz über Gesundheit und Sicherheit am Arbeitsplatz Nr. 6331 verpflichtet sind. In diesem Fall muss der Arbeitgeber jedoch die Verfahren und Grundsätze in Artikel 4 des einschlägigen Gesetzes einhalten. In diesem Zusammenhang muss entschieden werden, dass die Erhebung personenbezogener Daten obligatorisch ist, nachdem geprüft wurde, ob andere Methoden zur Gewährleistung von Sicherheit und Gesundheitsschutz am Arbeitsplatz ergriffen werden können. Die erhobenen und verarbeiteten personenbezogenen Daten müssen für den Zweck, für den sie verarbeitet werden, relevant und angemessen sein. Diese Informationen sollten in einem begrenzten, ausreichenden und notwendigen Umfang verarbeitet werden. Daher sollte die Erhebung und Verarbeitung dieser Informationen so weit wie möglich reduziert werden. In diesem Zusammenhang können Arbeitgeber beispielsweise von ihren Mitarbeitern Informationen darüber verlangen, ob sie kürzlich ins Ausland gereist sind. Sie können die Temperatur ihrer Mitarbeiter messen, bevor sie den Arbeitsplatz betreten. Das Abfragen von Informationen, z. B. darüber, wohin ihre Mitarbeiter ins Ausland gereist sind oder wo sich ihre Mitarbeiter befinden, überschreitet jedoch die gesetzlich zulässigen Grenzen. In Artikel 28 des Gesetzes Nr. 6698 über den Schutz personenbezogener Daten sind die Fälle aufgeführt, die von der Anwendung des Gesetzes ausgenommen werden können. Gemäß Artikel 28/ç des Gesetzes ist es möglich, personenbezogene Daten zu Zwecken wie Landesverteidigung, nationale Sicherheit, öffentliche Sicherheit und öffentliche Ordnung zu verarbeiten. Daher kann die Verarbeitung personenbezogener Daten durch befugte öffentliche Einrichtungen und Organisationen als eine der Ausnahmen vom Schutz der Verarbeitung personenbezogener Daten betrachtet werden. Gemäß Artikel 6/3 des Gesetzes können Arbeitgeber auch verpflichtet sein, die verarbeiteten Informationen an Einrichtungen weiterzugeben, die zur Gewährleistung der öffentlichen Sicherheit gesetzlich zur “Geheimhaltung” verpflichtet sind.
Arbeitnehmer und Besucher, deren personenbezogene Daten verarbeitet werden, müssen von den Arbeitgebern oder den von den Arbeitgebern für diese Tätigkeiten beauftragten Personen informiert werden. Gemäß Artikel 10 des Gesetzes ist der für die Datenverarbeitung Verantwortliche oder die von ihm beauftragte Person verpflichtet, die betroffenen Personen während oder nach diesen Tätigkeiten über die Beschaffung personenbezogener Daten mit oder ohne Zustimmung zu informieren. Daher müssen die für die Verarbeitung Verantwortlichen die betroffenen Personen über die verarbeiteten Daten informieren. Außerdem haben die Personen, deren personenbezogene Daten verarbeitet werden, gemäß Artikel 11 des Gesetzes das Recht, Informationen über diese Daten zu erhalten. Gemäß diesem Artikel können Arbeitnehmer und Besucher, deren personenbezogene Daten verarbeitet werden, von ihren Arbeitgebern oder Beauftragten Auskunft über ihre verarbeiteten Daten verlangen. Gemäß Artikel 7 des Gesetzes haben die Personen, deren Daten verarbeitet werden, das Recht, die Löschung der Daten zu verlangen, wenn die Gründe für die Verarbeitung der Daten wegfallen. Daher können Arbeitnehmer und Besucher, deren Daten verarbeitet werden, von ihren Arbeitgebern verlangen, dass ihre personenbezogenen Daten gelöscht werden, wenn die Seuchensituation verschwindet oder keine Gefahr mehr darstellt. Die Löschung dieser Informationen ist auch die Pflicht der für die Verarbeitung Verantwortlichen, unbeschadet der Bestimmungen anderer Gesetze über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten. Gemäß Artikel 12 des Gesetzes ist der für die Verarbeitung Verantwortliche verpflichtet, alle technischen und administrativen Maßnahmen zu ergreifen, um die unrechtmäßige Verarbeitung personenbezogener Daten zu verhindern, den unrechtmäßigen Zugang zu personenbezogenen Daten zu unterbinden und die Aufbewahrung personenbezogener Daten sicherzustellen. Die Arbeitgeber sind daher verpflichtet, alle Arten von Maßnahmen zu ergreifen, um sicherzustellen, dass die verarbeiteten Daten in Übereinstimmung mit dem Gesetz verarbeitet werden.
Informationen, die in Übereinstimmung mit den einschlägigen Bestimmungen des Gesetzes über den Schutz personenbezogener Daten und den einschlägigen Bestimmungen anderer Gesetze erhalten und verarbeitet werden, verstoßen nicht gegen das Gesetz. Zum Zeitpunkt der Abfassung dieses Artikels am 24.03.2020 gab es noch keine Verordnung zum Schutz personenbezogener Daten, die die Ausnahmen in den Bestimmungen des Gesetzes zum Schutz personenbezogener Daten speziell auf den Prozess des Ausbruchs des Coronavirus ausweitet. Daher sind Arbeitgeber verpflichtet, bei der Entgegennahme und Verarbeitung der Daten von Mitarbeitern und Besuchern gemäß den von uns genannten Punkten zu handeln. Die Verarbeitung personenbezogener Daten, die unter Einhaltung dieser Punkte erfolgt, verstößt nicht gegen das Gesetz.
