A. KİŞİSEL VERİ VE KAPSAMI
1. Kişisel Veri
Gerçek kişiyi tanımlayan veya tanımlanabilir kılan her türlü veri, kişisel veridir. Bir sınırlandırılma bulunmamaktadır. Kişisel veriden bahsedebilmemiz için söz konusu verinin gerçek bir kişiye ilişkin olması gerekmektedir. Söz konusu verinin kişiyi belirleyen veya belirlenebilir kılması önemlidir. Kişiyi tanımlaması hususunda doğrudan kimliği belirgin hale getirmesi aranmamaktadır. Kayıtlarla ilişkilendirmenin neticesinde tanımlanabilir her türlü veri de hukuki korumaya alınmıştır. Verinin, kişiyi tanımlayan veya tanımlanabilir olmaması halinde veri niteliği ortadan kalkmayacaktır. Ancak kişisel veriden ve temel hak ve özgürlük kapsamında korunmasından bahsedilemeyecektir.
Gerçek kişiye ilişkin olma şartıyla birlikte, tüzel kişiler kapsam dışına çıkarılmıştır. Örneğin tüzel kişilerin ticari sırrı, ticaret unvanı gibi veriler kapsam dışıdır. Ancak tüzel kişi verilerinin genel hükümler kapsamında korunmasına devam edilecektir. Kişiye ilişkin olması hali ise istisna kapsamında tutulmuştur. Gerçek kişiye ilişkin olma özelliğini taşıyan her türlü verinin hukuki koruma altına alınması, kanun koyucunun hassasiyetini ortaya koymaktadır.
2. Kişisel Verinin İşlenmesi
Kişisel verinin işlenmesindeki temel ilkemiz, ilgili kişinin açık rızasıdır. İlgili kişinin irade beyanının açık rıza kapsamında değerlendirmemiz aradığımız şartlar mevcuttur. Açık rızanın; belirli bir konuya ilişkin olması, bilgilendirilmeye dayalı rızanın alınması ve özgür iradeyle açıklanması gerekmektedir. Aynı zamanda açık rıza, kişisel verinin işlenmesinden önce alınmalıdır. Açık uçlu ve belirsiz rızalar kabul edilmeyecektir. Bilgilendirmenin açık ve anlaşılır olması gerekmektedir. Açık rızanın öngörülebilir olması, veri sorumlusu açısından da “işlenme amacıyla bağlantılı, sınırlı ve ölçülü” lüğü sağlamalıdır. Bu kapsamda battaniye rızalar geçersizdir. İşçinin açık rızasını ortaya koymak istememesi halinde, işçi açısından olumsuzluğa sebebiyet verilecekse; açık rızada artık özgür iradeden bahsedemeyeceğiz.
3. Kişisel Verinin Açık Rıza Olmadan İşlenebileceği Haller
Kişisel verinin işlenmesinde açık rıza gerekmeyen istisnai haller düzenlenmiştir. Kişisel verinin işlenmesinde Kişisel Verilerin Korunması Kanunu kapsamındaki hukuka uygunluk sebepleri bulunmalıdır. Bu kapsamda sağlık ve cinsel hayat dışındaki kişisel verilerin işlenmesindeki hukuka uygunluk sebepleri şunlardır;
a·a a a a a a a a Kanunlarda açıkça öngörülmüş olması,
a·a a a a a a a a Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
a·a a a a a a a a Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
a·a a a a a a a a Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
a·a a a a a a a a İlgili kişinin kendisi tarafından alenileştirilmiş olması,
a·a a a a a a a a Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
a·a a a a a a a a İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halleridir.
Açık rıza olmaksızın işlenme hallerinde genel ilkelere uyulmalıdır. Genel ilkelere uygun işlenebilmekle birlikte istisnaların fazla olması; “istisnayı kural, kuralı istisna kabul edildiği” eleştirisini gündeme getirmektedir.
4. Özel Nitelikli Kişisel Veriler
Kişisel verinin öğrenilmesiyle birlikte, ilgili kişi ayrımcılığa maruz kalacak veya mağduriyetine netice verecek nitelikteki veriler, özel nitelikli kişisel veridir. KVKK mad.6/1 kapsamında özel nitelikli kişisel veriler belirtilmiştir. Bunlar kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Kanunda özel nitelikli kişisel veriler tahdidi sayılmıştır. Özel nitelikli kişisel verilerde de ilgili kişinin açık rızası aranmaktadır.
İstisnanın istisnası da mevcuttur. Sağlık ve cinsel hayata ilişkin veriler ayrı ve özel istisna olarak düzenlenmiştir. Amaç ve kişi bakımından sınırlandırılmıştır. Sağlık ve cinsel hayata ilişkin kişisel verilerde hukuka uygunluk sebepleri de ayrı düzenlenmiştir. KVKK mad.6/3 kapsamında açık rıza aranmayacaktır. Bu kapsamda; “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir. Sağlık ve cinsel hayata ilişkin veriler dahil özel nitelikli tüm kişisel verilerin işlenmesinde yeterli önlemler alınmalıdır.
B. KİŞİSEL SAĞLIK VERİSİ VE KAPSAMI
1. Kişisel Sağlık Verisi
Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgilerdir. Örneğin işçinin test sonuçları, hamilelik durumu, kullandığı ilaçlar, Covid-19 dahil geçirmiş olduğu hastalık gibi veriler, kişisel sağlık verisidir.
2. Kişisel Sağlık Verilerinin İşlenmesi
Kişisel sağlık verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
3. Kişisel Sağlık Verileri Hakkında Yönetmelik
2016 yılında ülkemizde Kişisel Verilerin Korunması Kanunu yayımlanmıştır. Bu kanun ile ülkemizde kişisel verilerin alınması, işlenmesi, aktarılması ile ilgili hükümlere yer verilmiştir. Sağlık Bakanlığında bu kanunun merkez ve taşra teşkilatında nasıl uygulanacağını göstermek için Kişisel Sağlık Verileri Hakkında Yönetmelik yayımlamıştır. Bu çerçevede Sağlık Bakanlığının merkez ve taşra teşkilatına bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşlar tarafından yürütülmekte olan faaliyetlerde bu yönetmeliğin hükümlerine uyulacaktır. Sağlık Bakanlığı bu düzenlemeyi yetki alanlarındaki hizmetleri sunarken elde ettiği kişisel sağlık verilerinin Kişisel Veriler Kanunu’na uygun olarak alınması, saklanması, işlenmesi ve aktarımını düzenlemek için yayımlamıştır.
4. Kişisel Sağlık Verileri Hakkında Yönetmelik Kapsamında Olanlar
Kişisel sağlık verisini işleyen gerçek kişileri ve tüzel kişilerin tamamı yönetmelik kapsamındadır. Sağlık Bakanlığının faaliyet alanları ile ilgili kişisel sağlık verisi işleyen tüm gerçek ve tüzel kişiler bu yönetmelik ile bağlıdır.
C. İŞÇİNİN KİŞİSEL SAĞLIK VERİSİ
1.a a a Kişisel Sağlık Verileri Hakkında Yönetmelik’e Göre İşçinin Kişisel Verisinin İşlenmesinde Uyulması Gereken Temel İlkeler
Kişisel sağlık verilerinin kayıt edilmesinde temel ilkeler aşağıdaki gibi sıralanmaktadır:
a·a a a a a a a a Kişisel veriler, ancak Kişisel Verilerin Korunması Kanununda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
a·a a a a a a a a Kişisel sağlık verileri hukuka ve dürüstlük kurallarına uygun olarak işlenmelidir.
a·a a a a a a a a Kişisel sağlık verileri doğru ve gerektiğinde güncel olmalıdır.
a·a a a a a a a a Kişisel sağlık verileri belirli, açık ve meşru amaçlar için işlenmelidir.
a·a a a a a a a a İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
a·a a a a a a a a İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
a·a a a a a a a a Hiç kimse sağlık hizmeti sunumu için gerekli olan durumlar dışında geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanmamalıdır.
a·a a a a a a a a Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kişisel Verilerin Korunması Kanunu mad. 11 hükmünde yer alan hakları kullanabilecektir.
2. İşverenin, İşçinin Sağlık Verisini İşleme Yükümlülüğünün Kanuni Dayanağı
İşverenin işçinin sağlık gözetimini yapmak, sağlık dosyasını oluşturmak ve işçinin sağlık verisini işleme yükümlülüğü; çeşitli kanun ve yönetmeliklerde düzenlenmiştir. İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ile İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği kapsamında yükümlülükleri bulunmaktadır. Kanun kapsamında kişisel sağlık verisinin işlenmesinde sınırsız yetki sağlamamaktadır. Kanun kapsamındaki amaçla bağlantılı, sınırlı, ölçülü olmalıdır.
3. İş Görüşmesinde İşçinin Sağlık Verisinin İstenme Halia a a a a a a a a
Yönetim yetkisi kapsamında işveren doğru işçiyle çalışma noktasında seçim yapabilmektedir. Ancak mülakatlarda işlenmemesi gereken veriler kayıt altına alınmaktadır. İş görüşmelerinin amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
İşe alınmadan test sonuçlarının istenilmesi mümkün değildir. Sağlık verisinin özel nitelikli kişisel veri olduğu unutulmamalıdır. İş ilişkisi başlanmadan kişisel verinin işlenmesi mümkün değildir. Burada da yetkili kişiler tarafından kanunda sayılı amaçlarla işlenebilme gündeme gelecektir.
4. İşverenin İşçinin Sağlık Raporunu İsteme Hali
İşverenin kanunda öngörülen hallerde sağlık raporunu talep etmesi, istekten öte bir zorunluluktur. Aşağıdaki hallerde çalışanların sağlık muayenelerinin yapılmasını sağlama zorunluluğu bulunmaktadır:
a·a a a a a a a a İşe girişlerinde,
a·a a a a a a a a İş değişikliğinde,
a·a a a a a a a a Talep edilmesi halinde iş kazası, meslek hastalığı veya sağlık nedeniyle tekrarlanan işten uzaklaşmalardan sonra işe dönüşlerinde,
a·a a a a a a a a Çalışanın, işin niteliği ile iş yerinin tehlike sınıfına göre işin devamı süresince, Aile Çalışma ve Sosyal Hizmetler Bakanlığınca belirlenen düzenli aralıklarla,
a·a a a a a a a a Tehlikeli ve çok tehlikeli sınıfta yer alan işlerde çalışacaklar yapılacak işe uygun olunduğunu belirten sağlık raporu olmadan işçi çalıştırılamayacaktır.
5. İşverenin Kanundan Doğan Yükümlülüklerinin Yerine Getirilmesi
İşveren, İş Sağlığı ve Güvenliği Kanunu kapsamındaki yükümlülüklerini yerine getirmek için kendi bünyesinde bir birim kurabileceği gibi bu hizmeti dışarıdan da alabilmektedir. İş yeri içerisinde kurulacak bu birim İş yeri Sağlık ve Güvenlik Birimi (İSGB) olarak tanımlanmıştır. Hizmetin dış kaynaktan alınacak olması halinde izne tabi olarak kurulan Ortak Sağlık ve Güvenlik Birimi (OSGB) olan çeşitli tüzel kişiliklerden alınabilmektedir.
6. Sağlık Raporunun İş Yeri Hekiminden Alınma Zorunluluğu
İş yeri hekiminden alınmasında istisna bulunmaktadır. Sağlık raporları, elliden az çalışanın bulunduğu ve az tehlikeli sınıfta yer alan iş yerlerinde hastane veya aile hekimlerinden alınabilecektir.
7. İşçinin Sağlık Verisinin İşlenmesi
İşçinin sağlık verisinin işlenme amacıyla bağlantılı, sınırlı ve ölçülü olmalıdır. Sözleşme süresince; işverenin gözetim borcu söz konusu olup işçinin koruması gerekmektedir. İşçinin her türlü veriyi vermek hususunda iradesi dahi olsa işveren kişisel veriyi işleyemeyecektir. KVKK ve İş Kanunu hükümlerince işçi, kendisine karşı da korunmaktadır. Amaçla bağlantılı olarak bir manken ajansında çalışacak kadının hamilelik bilgisi veya bir spor takımına ait televizyon kanalında spiker olarak çalışacak kişinin takım bilgisinin istenmesi kabul edilebilecektir.
8. Sağlık Verilerinin İşlenmesinde Gerekli Tedbirler
İşçinin sağlık verisinin özlük dosyalarında konulması uygulamada sık rastlanılan bir hatadır. Kanuni yükümlülük gereğince, işçinin sağlık verilerinin özlük dosyasından ayrı tutulmalıdır. Diğer verilerden ayrıştırılmalı ve yeterli tedbirler alınmalıdır. Bu hususta da yetkili kişi iş yeri hekimidir.
D. COVİD ”“ 19 HASTALIĞI BAĞLAMI
1. Pandemi Döneminde İşçiye Ait Verilerin Toplanması ve Paylaşılması
İş Kanunu kapsamında işveren; işçi hakkında edindiği bilgileri dürüstlük kuralı ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür. İş Sağlığı ve Güvenliği Kanunu çerçevesinde; işçinin özel hayatı ve itibarının korunması açısından da sağlık bilgileri gizli tutulmalıdır.
KVKK çerçevesinde baktığımızda ise sağlık verilerinin işlenmesinde çalışanın açık rızası alınmalıdır. İşçi verisinin, özel nitelikli kişisel veri niteliğinde olup olmadığına bakılmalıdır.a Açık rıza dışındaki şartlar dahilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır. İşlenen veri özel nitelikli kişisel veri değilse (örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi) genel kişisel veri işleme şartları dikkate alınacaktır.
İşçinin sağlık verisinin paylaşılması gündeme geldiğinde; kişisel verisi gizli tutulmalı, az veri ifşa edilmeli ve ilgili işçi önceden aydınlatılmalıdır. Kanundaki istisna kapsamında Covid-19 hastalığı taşıyanlara ilişkin veriler, iş yeri hekimi tarafından ilgili makamlar ile paylaşılabilecektir. Burada kanundan doğan bir yükümlülük bulunduğundan ilgili işçinin açık rızası aranmayacaktır. Ancak burada da bilgilendirilmenin yapılması, kişisel verilerin işlenmesi hususunda açıklama yapılmalıdır.
2. Covid-19 Hastalık Verisinin İşveren Tarafından İşlenmesi
İşçinin portör muayenesinin yapılması mümkündür. Gıda üretim ve satış yerleri ve toplu tüketim yerleri ile insan bedenine temasın söz konusu olduğu temizlik hizmetlerine yönelik sanatların ifa edildiği iş yeri sahipleri ve bu iş yerlerinin işletenlerin bulaşıcı hastalığının olup olmadığının kontrol edilmesi bir zorunluluk olarak karşımıza çıkmaktadır.
KVKK kapsamında hassa veriler ayrı ve özel istisnalar kapsamında düzenlenmiştir. Amaç ve kişi bakımından sınırlandırılma söz konusudur. Sır saklama yükümlüğü kapsamında iş yeri hekimi tarafından sağlık verisi işlenebilecektir. Sağlık verileri gündeme geldiğince Covid-19 hastalık bilgisi olsun, hamilelik bilgileri olsun iş yeri hekimi tarafından yönlendirilme yapılmalıdır. İnsan kaynakları gibi birimlerin yönlendirme yapabilmesi mümkün değildir. İş organizasyon içerisinde işçinin sağlık verisine kimlerin ulaşabileceği, buna bağlı olarak işleneceğini belirlemek önemlidir. Bu noktada sağlık verisinin korunmasında yeterli önlemler alınmalıdır.
3. Covid-19 Kapsamında İşveren Yükümlülükleri
Çalışanların iş yerinde maruz kalacakları sağlık risklerini dikkate alınarak sağlık gözetimine tabi tutulmalıdır. İş yerinde karşılaşılabilecek sağlık riskleri kapsamında koruyucu ve önleyici tedbirler alınmalıdır. İlk yardım, olağan dışı durumlar, afetler ve yangınla mücadele ve tahliye işleri konusunda kişiler görevlendirilmelidir. Covid-19 kapsamında işverenin, Sağlık Bakanlığının yayımladığı 26.05.2020 tarihli Covid-19 Salgın Yönetimi ve Çalışma Rehberindeki önlemleri almalıdır.
Sağlıklı çalışma ortamı oluşturulmasında İşyeri Sağlık ve Güvenlik Birimi (İSGB) ve Ortak Sağlık ve Güvenlik Birimi (OSGB) nin sorumluluğu gündeme gelmektedir. İSGB ve OSGB’ler, iş yerlerinde sağlıklı ve güvenli bir çalışma ortamı oluşturulmasına katkıda bulunulması amacıyla;
a·a a a a a a a a a İş yerinde sağlık risklerine karşı işverene rehberlik hizmeti verilmeli,
a·a a a a a a a a a Sağlık gözetimi uygulanmalı,
a·a a a a a a a a a Eğitimler ve bilgilendirilmeler yapılmalı,
a·a a a a a a a a a Covid-19 hastalığına uygun acil durum planı hazırlanmalı,
a·a a a a a a a a a İşçinin sağlık verisi yetkili kişilerce gizlilik ilkesine uygun saklanmasından,
a·a a a a a a a a a İş yeri hekimi ve diğer sağlık personelinin görevlerin yerine getirilip getirilmediğinin izlenmesinden sorumludurlar.
4. İşçinin İşe Girişte Verdiği Açık Rızasını Geri Alması veya Sağlık Verisinin İmha Edilmesi Talebi
İşçinin açık rızasını her zaman geri alabilmesi mümkündür. İşçinin sağlık verisinin geleceğini belirleme hakkı bulunmaktadır. İşçinin geri alma beyanın veri sorumlusu olan işverene ulaşmasıyla birlikte; açık rızaya tabi olarak işlenen tüm verilerin imha edilmesi gündeme gelecektir. Ancak işverenin kanundan doğan yükümlülüğü bulunmasından ve aykırılığının idari para cezasına bağlanmasından; istisna kapsamında tutulmaktadır. İşverenin kanundan doğan yükümlülük gereğince sağlık verilerinin imha edilemeyeceği ilgili kişi olan başvuran işçiye bildirilmesi gerekmektedir.
5. İşçinin Sağlık Verilerinin Muhafazası
İşe giriş ve periyodik sağlık muayenesi sonuçları, iş kazaları ile meslek hastalıkları kayıtlar gizlilik ilkesine uyularak saklanmalıdır. İşçinin sağlık verileri özlük dosyasından çıkartılarak iş yeri hekimi bünyesinde muhafaza edilmelidir. Bu durumda da işverenin veri sorumlusu sıfatını devam ettirdiğini unutmamız gerekmektedir.
6. a İşçinin Sağlık Verisinin Saklanma Süresi
Özlük dosyasının saklanmasına ilişkin kanunda süre belirtilmemiştir. Ancak iş sağlığı ve güvenliği hususunda süre öngörülmüştür. Dosya tasnif edilerek hareket edilmeli ve işçilik hak ve alacaklarına ilişkin kayıtlar gibi ilgili evrakların saklanmasına da devam edilmelidir.
İş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kaydın, işçinin sağlık dosyalarının işten ayrılma tarihinden itibaren en az 15 yıl süreyle saklanmalıdır. Bu süre kamuda ise 30 yıldır.
E. VİDEO HUKUK MAKALESİ DENEMESİ
Covid -19 Hastalığı Bağlamında ‘İşçinin Sağlık Verisinin İşlenmesi’ başlıklı makalemiz ilk olarak kısmen Instagram üzerinden canlı olarak yayınlanmıştır. Instagram üzerinden gerçekleştirilen bu yayın ile Türk hukuk yayıncılığında örneği olmayan “video makale” formatı ilk kez ifade edilmiş ve video hukuk makalesi kavramının hukuk literatürüne kazandırılması amaçlanmıştır. Modern Hukuk Akademisi Hukuk Söyleşileri kapsamında @akademimodernhukuk instagram adresinden yayınlanan video kaydımızın tüm telif hakları kamu yararı önde tutularak kamuya açık erişim olarak sunulmuştur. [1]
[1] Makale içeriği kısmen internette video olarak yayınlanmış olup atıf için;
YALÇINKAYA, Volkan, ‘Covid-19 Hastalığı Bağlamında ‘İşçinin Sağlık Verisinin İşlenmesi”, Moderatör: ÇAKMAKCI, Ramazan, Modern Hukuk Akademisi @akademimodernhukuka Video Hukuk Makalesi Denemesi (Instagramtv (IGTV), 29.05.2020) https://www.instagram.com/p/CAxxpSIjbV_/
Lisans eğitimini Marmara Üniversitesi Hukuk Fakültesi’nde tamamlamıştır. Yüksek lisansını Medipol Üniversitesi Sağlık Hukuku (Tezli)’nda yapmış ve doktorasına Medipol Sağlık Hukuku'nda devam etmektedir. İstanbul Barosu Sağlık Hukuku Merkezi genel sekreteridir. SBÜ Zeynep Kamil Kadın ve Çocuk Hastalıkları Eğitim ve Araştırma Hastanesi Etik Kurulu hukukçu üyesidir. "İnsan Hakları", "Hayvan Hakları" ve "Tıp ve Sağlık Hukuku Temel Mevzuatı (Yüksek Yargı Kararları İle)” kaleme aldığı kitaplardır.