Pandemi sürecinde çalışanların kişisel verilerinin korunması

Avukat, Ara Bulucu Bahar Sür

Covid-19 virüsü, tüm dünyayı hızla etkisi altına aldı ve in­san sağlığını tehdit ediyor. Bu nedenle Dünya Sağlık Örgütü (World Health Organization Director / WHO) tarafından 11 Mart 2020 tarihinde “Pandemi” olarak kabul edilmiştir (1). Kısa süre içinde ölüm gibi ağır sonuçlar doğuran Covid-19 virü­sü sadece insan sağlığını tehdit etmekle kalmamış, dünyada birçok tedbirin alınmasına yol açarak ekonomiyi de olumsuz etkilemiştir. Alınan önlemler birçok yerde kişisel sağlık ve­rilerinin toplanmasını, işlenmesini, bu verilerin ilgili kamu kurum ve kuruluşlarına hızla aktarılmasını da gerektiriyor. Hatta salgının küresel boyutlarda olması nedeniyle bu veri­ler kimi zaman sadece ilgili kurum ve kuruluşlarla değil aynı zamanda kamuoyu ile dahi paylaşılıyor. Bu kapsamda, her ne kadar kamu sağlığının gerektirdiği bir durumun zaruri sonucu olsa da içinde bulunulan durum kişisel verilerin ko­runmasına yönelik birçok soru işaretini beraberinde getiriyor. Bu bağlamda konunun işverenin tabii olduğu bilgilendirme yükümlülüğünün, 6698 Sayılı Kişisel Verileri Koruma Kanu­nu ve ilgili mevzuat hükümleri karşısındaki sınırlarını ayrıca değerlendirmek gerekiyor. 

Bir işçinin Covid-19 virüsüne yakalandığını gösteren veriler kişisel sağlık verisidir

6698 Sayılı Kanun’un 3’üncü maddesine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Dolayısıyla kişinin adı, soyadı, doğum yeri, doğum tarihi, kimlik numarası, fotoğrafı, telefon numarası, sağlık bil­gileri, el ve avuç izi gibi verileri kanun kapsamında koruma altına alınması gereken kişisel verilerdir. Kanunun tanımından da anlaşılacağı üzere sadece gerçek bir kişinin kimliğini ortaya koyan veriler değil, doğrudan veya dolaylı olan kimliği belirle­nebilir kılan veriler de kanun kapsamında korunması gereken kişisel verilerdendir. Kanunun 6’ncı maddesinde özel olarak sayılmış olan ve genel nitelikteki kişisel veri­lerden daha hassas olup özel olarak korunması gereken “özel nitelikli kişisel veriler” önemlidir. Bu veriler kanunda sınırlı sayıda olmak üze­re özel olarak sayılmış olup örnek mahiyetinde değildir, bu bakımdan genişletilmesi de mümkün değildir. Kişinin sağlık verilerinin de içinde bulunduğu bu “özel nitelikli kişisel verilerin” işlenme, aktarılma şartla­rı AB ülkelerindeki düzenlemelere paralel olarak ülkemizdeki mev­zuat hükümlerinde de özel olarak düzenlenmiştir. Bu düzenlemele­re göre özel nitelikli kişisel veriler ancak kişinin açık rızasının varlığı halinde veya kanunda sınırlı olarak sayılan hallerde işlenebilir.

Özel nitelikli kişisel verilerin işlen­mesinde kural kişinin açık rızasının varlığıdır (KVKK. m.6/2). Kanunda öngörülen hallerde işlenebilmesi ise istisnadır. Öte yandan kanunda özel nitelikli kişisel veriler arasında da bir ayırım yapılmasına ihtiyaç duyulmuş; sağlık ve cinsel hayata ilişkin veriler niteliği itibariyle ki­şinin hak ve menfaatleri açısından daha hassas olduklarından bu veri­lerin işlenme şartları sadece kişinin açık rızasının var olmasına bağlan­mıştır (KVKK m.6/3). Dolayısıyla, kişinin sağlık ve cinsel hayatına ilişkin verilerinin işlenebilmesi sa­dece açık rızasının varlığı halinde mümkün olabiliyor. Ancak sağlık ve cinsel hayata ilişkin veriler; eğer kamu sağlığının korunması, koru­yucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülme­si, sağlık hizmetleri ile finansmanı­nın planlanması ve yönetimi gerek­tiriyorsa sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmak­sızın da işlenebilir (6698 Sk. md.6/3). Dikkat edileceği üzere sağlık verilerinin işveren tarafından işlenmesi sadece açık rıza halinde mümkün kılınmışken, rıza olmadan sadece sır saklama yükümlülüğü altında olan işyeri hekimleri tarafından işlene­bilecektir. Konunun içinde bulunduğumuz Covid-19 küresel salgını açısından incelenmesinde belirtmek gerekir ki; kişisel sağlık verisi, kimliği belirli veya belirlenebilir gerçek bir kişinin fiziki ve psikolojik sağlığına yönelik her türlü veri olarak ifade edildiğine göre; bu hususta belirtilerin takip edilmesi açısından kişilerden alınan verilerin niteliğinin belirlenmesi önem arz ediyor. Örneğin ateş, yaş, tansiyon/ nabız gibi veriler, kişisel sağlık veri­si olup bu verilerin işveren tarafın­dan işlenmesi kanun hükmü gereği ancak ve ancak kişinin açık rızasına bağlı olacaktır. Her ne kadar sır sak­lama yükümlülüğü altında bulunan işyeri hekimleri tarafından açık rıza olmadan işlenebiliyorsa da bu, ki­şisel sağlık verilerinin işveren nez­dinde de tutulabileceği şeklinde yo­rumlanamaz. Bu nedenle uygulama ve işverenlerin diğer kanunlardaki yükümlülükleri açısından bakıldı­ğında;

  • Sağlık verisinin işlenmesi için açık rıza vermeyen işçinin iş söz­leşmesi feshedilebilir mi?
  • Açık rıza geri alındığında ne olacak?
  • Açık rıza olmadan çalışanların kişisel sağlık verisini veri kayıt sis­temine işleyemeyecek olan işveren iş sağlığı ve güvenliğine yönelik tedbirlerini nasıl alıp uygulayabile­cek? Bu husus önemlidir; açık rıza olmadan sır saklama yükümlülüğü altında olan işyeri hekimi tarafın­dan alınan kişisel sağlık verisi üze­rinden hangi tedbirlerin uygulana­cağına karar verme mercii işveren olduğuna göre bu verinin mutlaka işverene ulaşmak üzere ilgili birim­lere aktarılması söz konusu oluyor. Verinin sır saklama yükümlüsü tarafından kanunun bir gereği ola­rak alınması ve buradan işverene aktarılmasıyla verinin niteliği de­ğişmediğine göre durum içinden çıkılamaz bir hale geliyor. Üstelik mevcut yasal düzenlemelerimize göre her işyerinde işyeri hekimi bulundurma zorunluluğu dahi bu­lunmuyor; olsa dahi işyeri hekimle­rinin işyerinde bulunması gereken süre işyerinin tehlike sınıfına göre değişiyor.

Bu ve benzer soru ve sorunsallar gösteriyor ki uygulamada 6698 Sayılı Kanundaki düzenlemenin özellikle kişisel sağlık verilerinin işveren nezdinde işlenebilmesinde birçok çelişki­ye neden oluyor. Nitekim konu iş hukuku öğretisi tarafından da ayrıca tartışılıyor; Covid-19 salgını kapsamında süreç uy­gulamada tecrübe edildiğinde, 6698 Sayılı Kanun ve ikincil mevzuatta öngörülen düzenlemelerin işçi-işveren arasındaki ilişkinin doğurduğu zorunlu ihtiyaçlar karşısında yetersiz kal­dığı yönünden eleştiriliyor(2).

İşveren bir çalışanın Covid-19 virüsü taşıdığını diğer çalışanlara bildirebilir mi?

6331 sayılı Kanunda belirlenmiş olan yükümlülüklerin yeri­ne getirilmesinde işverenin uyması gereken bazı ilkeler bulu­nuyor. Tüm bu tedbirlerin belirlenebilmesi ve takip edilmesi için öncelikle işyerlerinde risk değerlendirme çalışmalarının zamanında ve eksiksiz yapılması, çalışanların görüşlerinin alınması, gerekli uzman personelin istihdam edilmesi, çalı­şanların işyerindeki tehlikeler konusunda bilgilendirilmesi, eğitilmesi ve böylece iş sağlığı ve güvenliği kültürünün yerleş­tirilmesi gerekiyor. O halde işyerinde herhangi bir çalışanın Covid-19 virüs salgını kapsamında belirtiler gösteriyor olması halinde, işyerinde böylesi bir salgın riskinin bulunduğu ve fakat süreçle ilgili gerekli tedbirlerin alındığı bilgisinin veril­mesi de işverenin çalışanlarına karşı iş sağlığı ve güvenliğine yönelik sorumluluğu altındadır. Dolayısıyla, işveren işyerinde çalışanlardan herhangi birinin Covid-19 virüs salgınına yaka­lanması halinde durumu tüm çalışanlara bildirmelidir. Ne var ki Kişisel Verileri Koruma Kurulu’nun 27.03.2020 tarihli kamuoyu duyurusunda da açıklandığı üzere bu bilgi­lendirmede iş sağlığı ve güvenliğine yönelik yükümlülükler kapsamındaki amacın aşılmaması, çalışanların kişisel verileri­nin ifşa edilmemesi önemlidir. Buna göre; işveren tarafından işyerinde görülen salgın hastalık riskine yönelik yapılması ge­reken bilgilendirmede çalışanların isim – soy isimlerine yer verilmemesine, bu çalışanların ifşa olmasına neden olacak herhangi bir uygulama ve programdan kaçınılmasına, ayrım­cılık yapılmamasına dikkat edilmelidir.

Kurul tarafından örnek olarak gösterilen bilgilendirme met­ni şu şekildedir; “…Genel Müdürlük binamızın 5’inci katında çalışan bir arkadaşımızın Covid-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…”(3). Görüleceği üzere işyerinde çalışanlara Covid-19 virüs tehlikesine yönelik yapılacak olan duyuruda tehlikenin varlığına ve gerekli önlemlerin alındığına (4) yönelik genel bir vaka bilgilendirmesi yer alıyor olmalıdır.

1 https://www.who.int/dg/speeches/detail/who-director-general-s-opening-remarks-at-the-media-briefing-on-covid-19—11-march-2020.

2 Murat Volkan Dülger, “Kişisel Sağlık Verilerinin İşlenmesi Sorunu ve Covid-19 Üzerine Değerlendirme -”KVKK Hükümlerinin İş İlişkileri Kapsamında Değerlendirilmesi”ne Katkı”. Çevrimiçi: https://www.academia.edu/, Erişim Tarihi: 23.04.2020; Mesut S. Çekin, “Rahmetlinin Hayatını Kurtaramadık Ama En Azından Kişisel Sağlık Verilerini Koruduk!!! Covid-19 Pandemisi Karşısında Kişisel Sağlık Verilerinin İşlenmesine Dair KVKK Hükümlerinin İş İlişkileri Kapsamında Değerlendirilmesi”. Çevrimiçi: https://blog.lexpera.com.tr, Erişim Tarihi: 23.04.2020.

3 Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-.

4 İlgili kişinin yetkililere bildirildiği, raporlu/izinli olup gerekli tedavisinin başlatıldığı, bu süreçte bulunduğu yerlerin dezenfekte edilip irtibat halinde bulunduğu kişilerin de gerekli sağlık kontrolüne yönlendirildiği gibi.