Çalışanların COVID-19 Test Sonuçlarının ve Aşı-Enfeksiyon Durumlarına İlişkin Verilerinin İşlenmesi

Çalışanların COVID-19 Test Sonuçlarının ve Aşı-Enfeksiyon Durumlarına İlişkin Verilerinin İşlenmesi

Covid-19 salgını devam ederken pek çok şirket, çalışanlarına uzaktan çalışma imkanı vermeye devam ederken son dönemde hibrit çalışma modelleri üzerinde de yoğunlaşılmaktadır. İşyerinin güvenliğinin sağlanması, işyerinde bulaş riskinin azaltılması ve yeni çalışma koşullarının belirlenmesiyle bağlantılı pek çok amaçla, işverenler, çalışanlarının aşı olup olmadığı, daha önce Covid-19 geçirip geçirmedikleri ve PCR/antikor test sonuçları vb. kişisel bilgileri edinme ve bu bilgilere istinaden tedbirler almak durumunda kalabiliyor. Yine işyerlerinde çalışanların düzenli olarak, bulaş-temas durumlarına ilişkin bilgi verebilecek Hayat Eve Sığar (HES) kodu kontrolleri de yapılmaktadır. Ancak bu gibi bilgilerin tamamının kişisel veri olduğu ve dolayısıyla kişisel verilerin korunması mevzuatına tabi olduğu unutulmamalıdır.

A. İşverenlerin İş Sağlığı ve Güvenliğine İlişkin Covid-19 ile Bağlantılı Ek Yükümlülükleri

Konunun önemi Çalışma ve Sosyal Güvenlik Bakanlığı’nın (“Bakanlık”) “İş Yerlerinde Covid-19 Tedbirleri” konulu 02.09.2021 tarihli genelgesinde de (“Genelge”) vurgulanmaktadır. Genelge’de de, işverenlerin, işyerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler hakkında tüm çalışanlarını bilgilendirmekle yükümlü oldukları belirtilmektedir. Buna ek olarak, işverenlerin Covid-19 aşısı tamamlanmamış çalışanlarını yazılı olarak ayrıca bilgilendirmesi istenmektedir.

Pek çok sektörde ve faaliyete ilişkin alınan tedbirlere paralel olarak, 06.09.2021 tarihi itibariyle, işverenlerin, aşı olmamış çalışanlarından zorunlu olarak haftada bir kez PCR testi yaptırmalarını isteyebilecekleri ve test sonuçlarını kayıt altında tutabilecekleri belirtilmektedir.

İş Sağlığı ve Güvenliği Kanunu kapsamında Bakanlık tarafından düzenlenen Genelge, Covid-19 pandemi koşullarında iş sağlığı ve güvenliğinin sağlanması, sürdürülmesi ve mevcut durumun iyileştirilmesi amacını taşımaktadır. Söz konusu yükümlülükler, işverenlerin genel olarak işverenin iş sağlığı ve güvenliği mevzuatından kaynaklanan diğer yükümlülükleri ile birlikte ele alınmalıdır.

   B. Test Sonuçlarına ve Aşı-Enfeksiyon Durumuna İlişkin Verilerin Niteliği ve İşleme Şartları

Çalışanların aşı ve enfeksiyon verilerine ilişkin veriler, test sonuçları ve sağlık durumlarına ilişkin riskli-risksiz durum bilgisi veren HES kodları, Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca sağlık verisi olarak değerlendirilecektir. Dolayısıyla bu bilgilerin işlenmesi Kanun’a uyumlu olmalıdır. Kanun kapsamında sağlık verisi, özel nitelikli kişisel veri türlerinden biri olarak düzenlenmekte olup bu verilerin işlenmesi daha sıkı kurallara tabidir.

   1. Kanun’un Genel İlkeleri Açısından Değerlendirme

Sağlık verisi dahil tüm kişisel verilerin Kanun’un 4. maddesinde düzenlenen genel ilkelere uygun şekilde işlenmesi gerektiği unutulmamalıdır. Bu kapsamda, kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde işlenmesi gerekmektedir. Kişisel verilerin korunması hukukunda veri minimizasyonu olarak da değerlendirilen bu ilke kapsamında, işleme amacını gerçekleştirmek için gerekli olmayan kişisel verilerin işlenmesi ya da herhangi bir işleme amacı bulunmaksızın kişisel veri elde edilmesi, Kanun kapsamında açık rıza alınmış olsa dahi Kanun’a aykırı bir veri işleme olarak değerlendirilecektir. Örneğin, uzaktan çalışmayı benimsemiş ve çalışanların fiziki olarak bir araya gelmemeleri beklenen çalışma ortamlarında, işverenlerin çalışanların PCR/antikor test sonuçlarını edinmesi, işverenin izah edebileceği ve makul bir işleme amacı bulunmadıkça, çalışanın rızası olsa dahi Kanun’a aykırı bir işleme olarak nitelendirilebilecektir.

İşverenlerin elde edecekleri kişisel verileri Kanun’un 4. maddesi ışığında değerlendirmeleri ve bu verilerin işleme amaçları ile bağlantısı ve ölçülülüğünü her zaman göz önünde bulundurulmaları gerekmektedir. İşverenler, bu kapsamda, amaçları için gerekli olmayan kişisel verileri işlememelidir.

Genelge öncesindeki süreçte aşı durumuna ilişkin bilgilerin sorgulanması ve PCR test sonuçlarının talep edilmesi gibi durumlarda, işverenlerin, çalışanlarının bu gibi özel nitelikli verilerini almadan iş sağlığı ve güvenliği açısından farklı bir tedbir almalarının mümkün olup olmadığını değerlendirmeleri önerilmekteydi. Örneğin, işverenin, çalışanlarına uzaktan çalışma imkanı tanıyabilmesi mümkünse, bu gibi verileri elde etmesinin iş sağlığı ve güvenliği amacı bakımından ölçülü olmayabileceği tartışılmaktaydı.

Ne var ki Genelge, Bakanlık tarafından işverenlerin bu gibi kişisel verileri işlemesi açısından bir yükümlülüğü olduğunu belirttiği için, Genelge kapsamında toplanan ve kaydedilen kişisel verilerin Kanun’un 4. maddesindeki veri minimizasyonu ilkesine genel olarak uyumlu olduğu söylenebilir. Yine de işverenlerin iş sağlığı ve güvenliği kapsamında elde edecekleri tüm sağlık verilerinin, Kanun’un 4. maddesi uyarınca hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir.

   2. Aydınlatılmış Açık Rıza Zorunluluğu

Sağlık verilerinin işlenmesi diğer özel nitelikli kişisel verilerden daha sıkı bir hukuki rejime tabidir. Kanun’un 6/3. maddesine göre sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Her ne kadar zaman zaman işverenlerin çalışanların verileri açısından sır saklama yükümlülüğü altında olduğu belirtilse de şirketlerin Kanun’un aradığı çerçevede bir sır saklama yükümlülüğü bulunmamaktadır. İş sağlığı ve güvenliği mevzuatındaki gizlilik yükümlülükleri de bu anlamda bir sır saklama yükümlülüğü olarak değerlendirilemeyecektir. Şirketler bu anlamda yetkili kurum ve kuruluşlardan da değildir.

İşverenler, kural olarak sadece işyeri hekimi aracılığıyla yapılan veri işleme süreçlerinde açık rıza almadan sağlık verilerini işleyebilir. Ancak iş sağlığı ve güvenliğine ilişkin yukarıda belirtilen amaçların yerine getirilmesi için işyeri hekiminin söz konusu bilgileri tek başına elde etmesi her zaman yeterli olmayabilir. Elde edilen veriler özelinde idari kararlar alınması ve bu verilerin belirli ölçüde işyeri hekimi dışında insan kaynakları ve/veya yönetimle paylaşılması gerekebilir. Dolayısıyla, iş sağlığı ve güvenliği için söz konusu sağlık verilerinin işlenmesi bakımından açık rıza alınması en güvenli yol olacaktır. Açık rıza elde edilse bile bu verilere ulaşabilecek kişilerin sınırlı olması gerekmektedir.

Açık rızanın Kanun’un 10. maddesi gereğince bir aydınlatmaya dayanması gerektiği unutulmamalıdır. Aydınlatma yükümlülüğü, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca yerine getirilmiş olmalıdır. İşverenler, veri sorumlusu olarak çalışanlarını, hangi verilerini işleyecekleri ve sağlık verilerini hangi amaçla işleyecekleri, bu verileri hangi amaçla ve kimlere aktarabilecekleri, verilerin nasıl elde edileceği ve elde edilmesinin hukuki nedenleri ve Kanun’dan kaynaklanan haklarına ilişkin olarak bilgilendirmiş olmalıdır.

Sağlık Verilerinin İşlenmesi Sırasında Alınması Gereken Teknik ve İdari Tedbirler

Bilindiği üzere, veri sorumluları, Kanun’un 12. maddesi gereğince kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, muhafazasını sağlamak ve bunlara hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Sağlık verileri, ayrıca, Kanun kapsamında özel nitelikli bir kişisel veri olarak, Kişisel Verileri Koruma Kurulu’nun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili 31.01.2018 tarih ve 2018/10 sayılı kararına (“Kurul Kararı”) da tabidir. Bu kapsamda, veri sorumlularının başta özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürünün olması gerekmektedir. Söz konusu kişisel verilere erişebilecek kişilerin ayrı bir gizlilik sözleşmesi olması, yetki kontrollerinin periyodik şekilde yapılması, bu kişilere yönelik düzenli eğitimler verilmesi vb. tedbirler alınmalıdır.

Kurul Kararı’nda ayrıca özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlara ve fiziksel ortamlara yönelik idari ve teknik gereklilikler ile bu kişisel verilerin e-mail yoluyla gönderimler de dahil aktarımlarında dikkat edilmesi gereken hususlar da düzenlenmektedir.

Değerlendirme

Aşı ve enfeksiyon durumları, test sonuçları, HES kodları gibi kişisel veriler sağlık verisi olarak nitelendirilecektir. Bu kapsamda her ne kadar Genelge kapsamında bu verilerin işlemesi Kanun’un 4. maddesinde düzenlenen ilkelere uyum sağlasa da, işyeri hekimi dışındaki bir personel ya da yetkili tarafından verilerin işlenmesi halinde ve işyeri hekiminin yetkisi dışındaki hususlarda bu verilerin kullanılması, işverenler açısından aydınlatılmış açık rıza gerektirmektedir. Mevcut Kanun hükümleri çerçevesinde, işverenlerin Genelge’ye dayanarak sağlık verilerini açık rıza olmadan işlemesi, kişisel verilerin hukuka aykırı işlenmesi sebebiyle bir yaptırım riski taşımaktadır.

Öte yandan, Kanun kapsamında bir mevzuat değişikliğinin de gündemde olduğu hatırlanmalıdır. Söz konusu mevzuat değişiklikleri kapsamında sağlık verileri dahil özel nitelikli verilerin istihdam, iş ve sosyal güvenlik veya sosyal hizmetler alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması halinde açık rıza olmadan işlenebileceği düzenlemelerin de getirilmesi gündemdedir. Bu nedenle mevzuat değişikliği çalışmalarının da yakın şekilde takip edilmesi gerekmektedir.


-----

Kişisel Verilerin Korunması ve Gizlilik

Begüm Yavuzdoğan Okumuş, Selin Başaran Savuran ve Yalçın Umut Talay

Paylaş: