İnsan Kaynakları Açısından Kişisel Verilerin Korunması Kanunu Uyum Süreci Sorunları
İşçiye İlişkin Sağlık Verilerin Kişisel Verilerin Korunması Kanunu Kapsamında İşlenmesi Sorunu
İşçiye İlişkin Sağlık Verilerinin İşlenmesi
- Giriş
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 2016’da yürürlüğe girdi; öngörülen 2 yıllık uyum süreci tamamlandı ve yurt içindeki birçok veri sorumlusu VERBİS kaydı hazırlıklarına başladığı (ya da başlamadığı) sırada Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 03.09.2019 tarihli ve 2019/265 sayılı karar ile yıllık çalışan sayısı elliden çok veya yıllık mali bilanço toplamı yirmi beş milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS kaydı için öngörülen son süre olan 30.09.2019 tarihi, önce 31.12.2019’a akabinde ise 30.06.2020’ye uzatıldı. Bu gelişme, henüz KVKK’ya uyum için çalışmalarını tamamlamamış veya hiç başlamamış olan veri sorumluları için olumlu olurken, aynı zamanda KVKK uyum çalışmalarını tamamlayan veri sorumluları için de hazırlıklarını bir kez daha kontrol etme açısından yararlı olmuştur.
Veri sorumlularının KVKK’ya uyum çalışmalarında kişisel veri işleme envanteri oluştururken ve iş süreçlerini yönetirken en zorlandıkları noktalardan birisi işçilere ilişkin sağlık verilerinin toplanması ve işlenmesi olmaktadır. Zira bilindiği üzere KVKK’nın 6’ncı maddesinin birinci fıkrasında özel nitelikli kişisel veriler sınırlı sayıda sayılmak suretiyle kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirtilmiştir. Aynı maddenin üçüncü fıkrasında sağlık ve cinsel hayat verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği hüküm altına alınmıştır. Yazımızın konusunu işçilerin sağlık verileri oluşturduğundan, cinsel hayat ve diğer özel nitelikli kişisel verilere burada değinilmemiştir.
- Sorun
Öncelikle belirtmemiz gerekir ki, bu yazımızda bahsedeceğimiz veri sorumlusu olan işverenler, hekimlik, tedavi ve bakım hizmetleri veren poliklinik, muayenehane ve hastane ya da sigorta sektöründeki özel hukuk ve kamu hukuku kişileri dışında kalan özel hukuk ve kamu hukuku kişilerdir.
Uygulamada en çok tartışılan konulardan birisi açık rıza ile işleneceği hüküm altına alınan sağlık verileri hakkında personellerin açık rıza vermemeli veyahut verdikleri açık rızaları geri almaları halinde iş ve iş sağlığı güvenliği mevzuatlarındaki hukuki yükümlülüklerin nasıl yerine getirileceği olmaktadır.1
2.1. İşverenin İşçisinin Sağlık Verilerini Toplama ve Saklama Yükümlülüğü
Bu konuda işverenin işçinin sağlık gözetimini yapmak, sağlık dosyasını oluşturmak ve bunu saklamak noktasındaki yükümlülükleri çeşitli kanun ve yönetmeliklerde düzenlenmiştir.
- a) 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun 15’inci maddesine göre;
“(1) İşveren;
- a) Çalışanların işyerinde maruz kalacakları sağlık ve güvenlik risklerini dikkate alarak sağlık gözetimine tabi tutulmalarını sağlar.
- b) Aşağıdaki hallerde çalışanların sağlık muayenelerinin yapılmasını sağlamak zorundadır:
1) İşe girişlerinde.
2) İş değişikliğinde.
3) İş kazası, meslek hastalığı veya sağlık nedeniyle tekrarlanan işten uzaklaşmalarından sonra işe dönüşlerinde talep etmeleri hâlinde.
4) İşin devamı süresince, çalışanın ve işin niteliği ile işyerinin tehlike sınıfına göre Bakanlıkça belirlenen düzenli aralıklarla.
(2) Tehlikeli ve çok tehlikeli sınıfta yer alan işlerde çalışacaklar, yapacakları işe uygun olduklarını belirten sağlık raporu olmadan işe başlatılamaz.
(3) (Değişik birinci cümle: 10/9/2014-6552/17 md.) Bu Kanun kapsamında alınması gereken sağlık raporları işyeri hekiminden alınır. 50’den az çalışanı bulunan ve az tehlikeli işyerleri için ise kamu hizmet sunucuları veya aile hekimlerinden de alınabilir. Raporlara itirazlar Sağlık Bakanlığı tarafından belirlenen hakem hastanelere yapılır, verilen kararlar kesindir.
(4) Sağlık gözetiminden doğan maliyet ve bu gözetimden kaynaklı her türlü ek maliyet işverence karşılanır, çalışana yansıtılamaz.
(5) Sağlık muayenesi yaptırılan çalışanın özel hayatı ve itibarının korunması açısından sağlık bilgileri gizli tutulur.”
- b) İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7’nci maddesine göre;
“(1) İşveren ilgili mevzuatta belirlenen süreler saklı kalmak kaydıyla;
- a) İşyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her türlü kaydı,
- b) İşten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını
(2) Çalışanın işyerinden ayrılarak başka bir işyerinde çalışmaya başlaması halinde, yeni işveren çalışanın kişisel sağlık dosyasını yazılı olarak talep eder, önceki işveren dosyanın bir örneğini onaylayarak bir ay içerisinde gönderir.
(3) Onaylı defter işyerinin bağlı bulunduğu Çalışma ve İş Kurumu İl Müdürlükleri (Mülga ibare:RG-18/12/2014-29209) (…)veya noterce her sayfası mühürlenmek suretiyle onaylanır.
(4) Onaylı defter yapılan tespitlere göre iş güvenliği uzmanı, işyeri hekimi ile işveren tarafından birlikte veya ayrı ayrı imzalanır. Onaylı deftere yazılan tespit ve öneriler işverene tebliğ edilmiş sayılır.
(5) Onaylı defterin asıl sureti işveren, diğer suretleri ise iş güvenliği uzmanı ve işyeri hekimi tarafından saklanır. Defterin imzalanması ve düzenli tutulmasından işveren sorumludur. Teftişe yetkili iş müfettişlerinin her istediğinde işveren onaylı defteri göstermek zorundadır.”
- c) İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 13’üncü maddesine göre;
“(1) İSGB ve OSGB’le2r, işyerlerinde sağlıklı ve güvenli bir çalışma ortamı oluşturulmasına katkıda bulunulması amacıyla;
- a) İşyerinde sağlık ve güvenlik risklerine karşı yürütülecek her türlü koruyucu, önleyici ve düzeltici faaliyeti kapsayacak şekilde, çalışma ortamı gözetimi konusunda işverene rehberlik yapılmasından ve öneriler hazırlayarak onayına sunulmasından,
- b) Çalışanların sağlığını korumak ve geliştirmek amacı ile yapılacak sağlık gözetiminin uygulanmasından,
- c) Çalışanların iş sağlığı ve güvenliği eğitimleri ve bilgilendirilmeleri konusunda planlama yapılarak işverenin onayına sunulmasından,
ç) İşyerinde kaza, yangın, doğal afet ve bunun gibi acil müdahale gerektiren durumların belirlenmesi, acil durum planının hazırlanması, ilkyardım ve acil müdahale bakımından yapılması gereken uygulamaların organizasyonu ile ilgili diğer birim, kurum ve kuruluşlarla işbirliği yapılmasından,
- d) Yıllık çalışma planı, yıllık değerlendirme raporu, çalışma ortamının gözetimi, çalışanların sağlık gözetimi, iş kazası ve meslek hastalığı ile iş sağlığı ve güvenliğine ilişkin bilgilerin ve çalışma sonuçlarının kayıt altına alınmasından,
- e) Çalışanların yürüttüğü işler, işyerinde yapılan risk değerlendirmesi sonuçları ve maruziyet bilgileri ile işe giriş ve periyodik sağlık muayenesi sonuçları, iş kazaları ile meslek hastalıkları kayıtlarının, işyerindeki kişisel sağlık dosyalarında gizlilik ilkesine uyularak saklanmasından,
- f) İşyeri hekimi ve diğer sağlık personelinin görev, yetki, sorumluluk ve eğitimleri ile ilgili yönetmelik ile İş Güvenliği Uzmanlarının Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmelik kapsamında hizmet verdikleri alanlarda belirtilen görevlerin yerine getirilip getirilmediğinin izlenmesinden sorumludurlar.”
Nitekim işbu Yönetmelik ekinde (Ek-2) bulunan İşe Giriş/ Periyodik Muayene Formu içeriğinden işverenin sağlık muayenesi kapsamında hangi kişisel verileri toplayacağı ve saklayacağı geniş ve detaylı bir şekilde gözlemlenmektedir.
ç) 4858 sayılı İş Kanunu’nun 75/1’inci maddesine göre;
“İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.” düzenlemesi ile “diğer kanunlar”a atıf yapılarak İş Sağlığı ve Güvenliği Kanunu ile ikincil mevzuatları kapsamında öngörülen personel periyodik ve işe giriş muayene formlarının da özlük dosyasının bir parçası olduğu belirtilmiştir.
- d) 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 21’inci maddesinin 3’üncü fıkrasına göre;
“Çalışma mevzuatında sağlık raporu alınması gerektiği belirtilen işlerde, böyle bir rapora dayanılmaksızın veya eldeki rapora aykırı olarak bünyece elverişli olmadığı işte çalıştırılan sigortalının, bu işe girmeden önce var olduğu tespit edilen veya bünyece elverişli olmadığı işte çalıştırılması sonucu meydana gelen hastalığı nedeniyle, Kurumca sigortalıya ödenen geçici iş göremezlik ödeneği işverene ödettirilir.”
Görüldüğü üzere mevzuatta işverene işçinin sağlık gözetimini yapma, işçinin sağlık dosyasını oluşturma ve saklama, periyodik muayenesini yaptırma yükümlülükleri yüklemiştir. İş Sağlığı ve Güvenliği Kanunu’nun 26’ncı maddesinin 1’inci fıkrasının (f) bendinde ise bu yükümlülüklere aykırılık halinde işveren aleyhine idari para cezası yaptırımı düzenlenmiştir. İdari para cezasına konu eylemler ise işçiyi sağlık gözetimine tabi tutmama ve/veya işçiden sağlık raporu almama öngörülmüştür. Aynı şekilde Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 76’ncı maddesinde de yasal olarak sağlık raporu alması gerektiği halde sağlık raporu almaksızın işçiyi çalıştıran işverenin, bu nedenle SGK’nın yaptığı sağlık hizmeti giderlerinin işverenden tazmin edileceği hüküm altına alınmıştır.
İş Sağlığı ve Güvenliği Kanunu’nda tehlikeli ve çok tehlikeli sınıfta yer alan işlerde çalışacaklar, yapacakları işe uygun olduklarını belirten sağlık raporu olmadan işe başlatılamayacağı kesin bir şekilde hüküm altına alınmış, sağlık raporlarının işyeri hekiminden alınacağı da ayrıca belirtilmiştir. Ancak 50’den az çalışanı bulunan ve az tehlikeli işyerleri için bu sağlık raporlarının hastane veya aile hekimlerinden alınabileceği istisna olarak belirtilmiştir.
Yukarıda atıf yapılan yasal düzenlemeler kapsamında işverenin işçisinden işe giriş ve işin devamı sırasında işçinin sağlık gözetimini yapmak ve sağlık raporu almak zorunda olduğu tartışmasızdır.
2.2. İşverenin İşçinin Sağlık Verileri Açısından Veri Sorumlusu Sıfatı
Yukarıda, işçinin sağlık gözetimini yapma ve işe girişlerde (bazı iş sınıfları için ayrıca işe devam sırasında periyodik olarak) sağlık raporu alma yükümlülüğünün işveren üzerinde olduğundan bahsedilmişti. Bilindiği üzere veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişidir.
Yukarıda atıf yapılan yükümlülükler kapsamında KVKK perspektifinden bakıldığında işverenin, çalıştırdığı işçilerin kişisel sağlık dosyalarını tutmakla ve saklamakla yükümlü olması sebebiyle, bu kişisel sağlık dosyaları içerisindeki sağlık verileri bakımından veri sorumlusu olduğu sonucuna ulaşılmalıdır. Zira her ne kadar sağlık verisi toplama ve saklama yükümlülüğü kanundan kaynaklansa da, sağlık verilerinin İSGB aracılığıyla mı yoksa OSGB aracılığıyla mı, dijital ortamda mı yoksa Yönetmelik ekindeki muayene formu fiziken doldurularak mı toplanacağı noktasında karar veren, başka bir anlatımla sağlık verilerinin toplanma vasıtasını belirleyen, sağlık verilerinin işleneceği sistemleri kuran ve yöneten kişi işveren olacağından işverenin veri sorumlusu tanımına paralel faaliyetler yürüteceği görülmektedir.
Veri işleyen perspektifinden yorum yapılırsa da bu kez burada işverenlerin esasında İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin Ek-2’sinde bulunan İşe Giriş/ Periyodik Muayene Formu aracılığıyla kanun ve idari otoriteler tarafından talep edilen bir kısım sağlık verilerini, Yönetmelik’le Bakanlık tarafından verilen yetkilendirmeye istinaden toplamak ve saklamak suretiyle veri işlediği, dolayısıyla KVKK uyarınca işçinin İş Sağlığı ve Güvenliği Kanunu ile ikincil düzenlemeleri kapsamında toplanan sağlık verileri kapsamında veri sorumlusu değil, veri işleyen sıfatını haiz olduğu ileri sürülebilecektir. Ancak bu sav, işçi sağlık dosyalarının esasında işverenin kurduğu veri kayıt sisteminin (özlük dosyası) bir parçası olduğu, veri işleme (muayene) faaliyetinde yöntemi belirleyenin (İSGB mi yoksa OSGB mi kararı) işveren olduğu, veri işleme amacını da esasen kanuna uygun faaliyet gösterme amacını güden işverenin belirlediği hususları göz önünde bulundurulduğunda kanımızca tam olarak savunulabilir gözükmemektedir.
Nitekim uyum süreçlerinde de sıklıkla tavsiye edilen “işçi sağlık raporlarının/ dosyalarının özlük dosyası içerisinden çıkartılarak işyeri hekimi bünyesinde muhafaza edilmesi” hususu işverenin veri sorumlusu sıfatını ortadan kaldırmayacaktır. Zira KVKK’nın 12’nci maddesindeki kişisel verilerin muhafazasına ilişkin olarak işverenin yükümlülüğünün sağlanması adına genel olarak bu yönde tavsiyeler verilmektedir. Zira özel nitelikli kişisel verilerden olan sağlık verilerinin işin devamı sırasında İnsan Kaynakları departmanı bünyesinde saklanması veri gizliliği ve güvenliğini sağlama yükümlülüğü açısından önemli riskleri barındırabileceğinden, bu sağlık verilerinin doğrudan veriyi temin eden işyeri hekimi bünyesinde saklanması daha uygun olacaktır. Ancak belirttiğimiz üzere bu tedbirin alınmış olması, yani sağlık verilerinin işyeri hekimi bünyesinde toplanması ve saklanması, işverenin veri sorumlusu sıfatını ortadan kaldırıcı nitelikte değildir.
İşveren İş Sağlığı ve Güvenliği Kanunu kapsamındaki yükümlülüklerini yerine getirmek için dilerse kendi bünyesinde bir birim kurabilir, dilerse bu hizmeti dışarıdan alabilir. İşyeri içerisinde kurulacak bu birim İşyeri Sağlık ve Güvenlik Birimi (İSGB) olarak mevzuatta tanımlanmış olup, bu hizmetin dış kaynaktan alınacak olması halinde ise bu hizmet ancak mevzuat kapsamında izne tabi olarak kurulan Ortak Sağlık ve Güvenlik Birimi (OSGB) olarak yasal olarak tanımlanmış olan çeşitli tüzel kişiliklerden alınabilmektedir. Ancak her iki durum da kanımızca işverenin veri sorumlusu sıfatını etkilememektedir.
2.3. Sağlık Verilerine İlişkin Olarak İşçinin Açık Rıza Vermemesi veyahut Vermiş Olduğu Açık Rızayı Geri Alarak Verilerinin Silinmesini Talep Etme Sorunu
Esas itibariyle Kişisel Verileri Koruma Kurumu’nun ve KVKK’nın işverenin işçinin sağlık verilerini ancak açık rıza ile işleyebileceği yönündeki yorumu bu noktada birtakım sorunları gündeme getirmektedir:
- İşçi, işe giriş sırasında sağlık verilerinin (İş Sağlığı ve Güvenliği Kanunu hükümlerini yerine getirmek amacıyla) toplanmasına ve işlenmesine açık rıza vermediği takdirde ne olacaktır?
- İşçi, işe giriş sırasında sağlık verilerinin (İş Sağlığı ve Güvenliği Kanunu hükümlerini yerine getirmek amacıyla) toplanmasına ve işlenmesine vermiş olduğu açık rızasını geri aldığı takdirde ne olacaktır?
- İşçi, işe devam sırasında işverenin periyodik muayene yükümlülüğü kapsamında sağlık verilerinin (İş Sağlığı ve Güvenliği Kanunu hükümlerini yerine getirmek amacıyla) toplanmasına ve işlenmesine açık rıza vermediği takdirde ne olacaktır?
Bu noktada şayet “Sağlık verilerinin işlenmesinde açık rıza mutlak şarttır.” kuralıyla yola çıkıldığı takdirde yukarıdaki sırayla şu sorunlar doğmaktadır:
- İşçinin işe giriş sırasında sağlık verilerinin işveren tarafından işlenmesine açık rıza vermemesi sebebiyle iş akdinin kurulmaması KVKK’da öngörülen ve Kişisel Verileri Koruma Kurumu rehber ve kararlarında da vurgulanan açık rızanın hizmet şartına bağlanamayacağı ve açık rızanın hür iradeyle verilmesi gerektiği ilkelerine aykırılık teşkil edecektir. Zira “İşçi, işe girişte sağlık verilerini açık rızası ile vermelidir.” görüşü savunulduğu takdirde bu kez işçinin açık rıza vermediği durumlarda işveren de kendisini İş Sağlığı ve Güvenliği Kanunu’na karşı korumak adına işçi ile iş sözleşmesi akdetmeyecektir. Bu durumda işçinin T.C. Anayasası md. 49’da düzenlenen temel haklarından olan çalışma hakkı salt KVKK’nın bu şekilde katı yorumlanmış olması sebebiyle kısıtlanmış olacaktır.
- İşçinin işe giriş sırasında vermiş olduğu açık rızasını geri alması halinde sağlık verileri Kişisel Veri Saklama ve İmha Politikası kapsamında imha edildiği takdirde işveren aleyhine gerek İş Sağlığı ve Güvenliği Kanunu’nun 26/1(f) hükmündeki idari para cezası gerekse Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu kapsamındaki rücu hükümleri uygulanabilecektir. Diğer yandan KVKK md. 7’deki “işlenmesini gerektiren sebeplerin ortadan kalkması” ibaresinde yer alan “sebep” sözcüğünün, md. 6’daki özel nitelikli kişisel veri işleme “hukuki sebepleri” olarak değil de “kişisel veri işleme amacı” olarak yorumlanması halinde bu kez veri sorumlusu olan işveren, işçinin açık rızasını sonradan geri alması ihtimalinde dahi İş Sağlığı ve Güvenliği Kanunu ile ikincil düzenlemelerini gerekçe göstererek sağlık verilerini imha etmeyeceğini ilgili kişi olan işçiye bildirebilir. Bu, “sonradan geri alınan açık rıza” durumu için bir çözüm olsa da yukarıda bahsettiğimiz “baştan verilmeyen açık rıza” durumu için çözüm olamamaktadır.
- Nihayet (tehlikeli sınıftaki bir işkolunda çalışan) işçinin, işin devamı sırasında periyodik muayene olmak istememesi, başka bir ifadeyle işin devamı sırasında İş Sağlığı ve Güvenliği Kanunu gereğince alınması gereken periyodik muayene formunun doldurulması sırasında toplanacak sağlık verileri için açık rızasını vermemesi halinde bu kez veri sorumlusu olan işverenin, yasal yükümlülüğü karşısında zor duruma düşmemek için işçinin iş akdini feshetmesi kaçınılmazdır. Burada da aslında yukarıda izah ettiğimiz üzere hem açık rızanın hizmet şartına bağlanamayacağı ve açık rızanın hür iradeyle verilmesi gerektiği ilkelerine aykırılık hem de işçinin T.C. Anayasası md. 49’da düzenlenen temel haklarından olan çalışma hakkının kısıtlanması söz konusu olacaktır. Ayrıca ek olarak işverenin işe iade davasıyla da karşı karşıya kalabilecektir.
- Çözüm Önerileri
Yukarıdaki başlık altında kısaca sıralanan sorunlar doğrudan doğruya KVKK’nın “açık rızanın hür iradeye dayalı olması, baskı altında verilmemesi” ilkeleri ve T.C. Anayasası’nda düzenlenen “çalışma hakkı” ile ilgili olup, yukarıda zikredilen soruna karşı çözüm önerimizi bu başlık altında sunuyoruz. Devam eden başlıklarda ise alternatif çözüm önerilerinden bahsedilecektir. Belirtmemiz gerekir ki en adil ve pratik çözüm, 3.1 numaralı başlık altında ileri sürdüğümüz mevzuat değişikliğinin yapılmasıyla sağlanacaktır.
3.1. Kanun Değişikliği
Yukarıda izah etmeye çalıştığımız sorunun temelinde KVKK’nın 6’ncı maddesindeki özel nitelikli kişisel veri işleme kurallarına ilişkin düzenleme bulunmaktadır. Madde metni şu şekildedir:
“(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
Kanımızca madde metni aşağıdaki şekilde değiştirildiği takdirde bu yazımızın 2.3 no’lu başlığı altında ileri sürdüğümüz çelişki ve sorunların çözümleneceği düşünülmektedir: (Kalın yazılı ifadeler kelime eklemelerini, üzeri çizili kısımlar ise kelime çıkartmalarını ifade etmektedir.)
“(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda açıkça öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve c Cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
KVKK’nın 6’ncı maddesinin 3’üncü fıkrasında yukarıda belirttiğimiz şekilde yapılacak bir düzenleme ile sağlık verilerinin işlenme şartları biraz daha genişletilerek kanunlarda açıkça öngörülmeleri halinde sağlık verilerinin de ilgili kişilerden açık rıza alınmadan işlenmeleri mümkün olabilecektir. Bu yönde yapılacak düzenleme esasen T.C. Anayasası’nın 20’nci maddesinin 3’üncü fıkrasındaki “Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” ifadesiyle de paralel olacaktır. Hemen belirtelim ki, önerdiğimiz bu mevzuat değişikliği, sağlık verilerine verilen hassasiyet ve önemi azaltıcı nitelikte olmayacaktır. Önerdiğimiz mevzuat değişikliğiyle sağlık verilerinin işlenme şartları her ne kadar genişletiliyor olsa da, bu genişleme KVKK’nın 5’nci maddesinin 2’nci fıkrasında sayılan diğer istisna hallerini kapsamamakta, yalnızca “kanunlarda açıkça öngörülme” halini kapsamaktadır.
3.2. İşverenin KVKK 6/3 Uyarınca Sır Saklama Yükümlülüğü Altında Kamu Sağlığının Korunması ve Önleyici Hekimlik ile Tıbbi Teşhis Amaçları Kapsamında Sağlık Verisi İşlemesi
3.2.1. İşverenin Sır Saklama Yükümlülüğü
Çözüm önerimiz kapsamında KVKK’nın 6’ncı maddesinin 3’üncü fıkrasının ikinci cümlesindeki “…amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ….” kısmında yer alan “sır saklama yükümlülüğü” ibaresine değinmek gerekmektedir. Burada, işverenin KVKK’nın 6’ncı maddesinin 3’üncü fıkrasının ikinci cümlesi açısından “sır saklama yükümlülüğü” altında bulunan kimse olup olmadığı değerlendirilmelidir.
Hemen belirtelim ki, Alo 198’i arayıp bu soruyu sorduğumuzda aldığımız yanıt işveren sır saklama yükümlülüğü altında bulunan kimselerden olmayıp, burada kastedilenin sağlık kuruluşları, hastaneler, hekimler olduğu belirtilmiştir. Ancak biz bu görüşe katılmıyoruz. Dilekçe Kanunu kapsamındaki başvurumuzda ise bu soruya herhangi bir yanıt alınamamıştır.
Şöyle ki, KVKK’da “sır saklama yükümlülüğü altında bulunan kişiler” ifadesi kullanılarak genel bir sır saklama yükümlülüğüne işaret edilmiş, doğrudan hekimler veya sağlık kuruluşları ifade edilmemiştir. Dolayısıyla burada kimlerin sır saklama yükümlülüğü altında olduğu diğer yasal düzenlemelere bakılarak tespit edilmelidir. Örneğin avukatların Avukatlık Kanunu’nun 36’ncı maddesi uyarınca, bankalar da Bankacılık Kanunu’nun 73’üncü maddesi uyarınca sır saklamakla yükümlü kılınmışlardır. İşte aynı doğrultuda işverenler de İş Kanunu’nun özlük dosyası başlıklı 75’inci maddesinin ikinci fıkrası uyarınca işveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.3
Bu noktada işverenin, sır saklama yükümlülüğü İş Kanunu’nun “özlük dosyası”nı düzenleyen 75’inci maddesinde düzenlendiğinden, salt sistematik bir yorum suretiyle sır saklama yükümlülüğünün sadece özlük dosyası içeriği ile ilgili olduğu sonucuna varılmamalıdır. Bir an için böyle bir hatalı yorum yapılsa dahi, aynı maddenin birinci fıkrasında işverene “diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklama” yükümlülüğü getirildiğinden ve “diğer kanun” ibaresiyle İş Sağlığı ve Güvenliği Kanunu da anlaşılacağından, işverenin sır saklama yükümlülüğünün kapsamının İş Sağlığı ve Güvenliği Kanunu ve ikincil düzenlemeleri kapsamında toplanacak olan sağlık verilerini de kapsayacağı açıktır.
Dolayısıyla KVKK md. 6’da bahsi geçen “sır saklama yükümlülüğü altındaki kişiler” ifadesinin dar yorumlanmasını gerektiren hukuki sebeplerin bulunmadığı, yürürlükteki birçok mevzuatta, birçok kişi ve meslek grubu için sır saklama yükümlülüğünün düzenlendiği, bu doğrultuda İş Kanunu’nda işverene işçinin sağlık verileri açısından da sır saklama yükümlülüğü yüklendiği tartışmadan uzaktır.
3.2.2.İşverene Yüklenen Yükümlülüklerin Kamu Sağlığının Korunması ve Önleyici Hekimlik ile Tıbbi Teşhis Amaçları Kapsamında Olması
Yukarıda işçinin sağlık verileri açısından işverenin sır saklama yükümlülüğü altında bulunan bir kişi olduğu ortaya koyulmuştu. Bu başlık altında ise KVKK’nın 6’ncı maddesinin 3’üncü fıkrasının ikinci cümlesindeki “…ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla…” kısmında yer alan amaçlara değinmek gerekmektedir.
Burada ortaya koyulması gereken, işverenin işe giriş ve işin devamı sırasında işçisinin sağlık verilerini işlemesinin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetiminden bir veya birden fazlasının amaçlanıp amaçlanmadığıdır. Belirtmek gerekir ki burada yazılı amaçlardan herhangi birinin mevcut olması halinde ve diğer şartların da varlığı durumunda ilgili kişinin açık rızası alınmaksızın sağlık verileri işlenebilecektir.
Kamu sağlığının korunması, tekil bir hastalığın tedavisinden ziyade toplumda sağlık sorunlarının önüne geçilmesi amacıyla eğitim politikası oluşturma, regülasyonlar yapma, hizmet yönetme, araştırma yapma gibi kümülatif faaliyetleri ifade etmektedir.4 Bu doğrultuda İş Sağlığı ve Güvenliği Kanunu ve Bakanlıklar tarafından yürürlüğe koyulan yönetmeliklerin netice olarak kamu sağlığını koruma faaliyetlerinin bir sonucu olduğu, bu mevzuatlara uygun hareket eden işverenlerin ise kamu sağlığını koruma amacıyla hareket ettiği sonucuna ulaşılabilecektir. Zira her bir işverenin işe girişte işçilerin sağlık raporlarını alması ve mevzuatta öngörülen 15 yıl süreyle saklaması suretiyle yasal düzenlemelere uygun hareket etmelerinin bir sonucu olarak, çalışan tüm işçilerin iş sağlığı ve güvenliği temin edilecek; bu doğrultuda tüm toplum genelinde kamu sağlığı korunmuş olacaktır. Gerçekten de İş Sağlığı ve Güvenliği Kanunu’nun amaç başlıklı 1’inci maddesinde “Bu Kanunun amacı; işyerlerinde iş sağlığı ve güvenliğinin sağlanması ve mevcut sağlık ve güvenlik şartlarının iyileştirilmesi için işveren ve çalışanların görev, yetki, sorumluluk, hak ve yükümlülüklerini düzenlemektir.” şeklindeki hükümle kanunla belirlenen esaslarla güdülen amaçlardan birisinin de mevcut sağlık şartlarının iyileştirilmesi olduğu tespit edilmektedir.
Tıbbi teşhis ifadesi için de yapılacak geniş bir yorumla aslında İş Sağlığı ve Güvenliği Kanunu ve Bakanlıklar tarafından yürürlüğe koyulan yönetmeliklerin dolaylı da olsa tıbbi teşhisi amaçladığı, mevzuata uygun davranan bir işverenin de yine dolaylı olarak tıbbi teşhis amacı hareket ettiği söylenebilecektir. Şöyle ki; verem hastası olan bir işçi, işe giriş sırasında işveren tarafından İş Sağlığı ve Güvenliği Kanunu ile ikincil mevzuatları kapsamında talep edilen sağlık raporunu aldığı sırada verem tetkiki de yaptıracağından hastalığı teşhis edilmiş olacaktır.
Netice olarak işverenin İş Sağlığı ve Güvenliği Kanunu ile ikincil mevzuatları hükümleri uyarınca işe giriş ve işin devamı sırasında işçisine ilişkin sağlık verilerini işlemesinin KVKK’nın 6’ncı maddesinin 3’üncü fıkrasının ikinci cümlesindeki “kamu sağlığının korunması” ve hatta “tıbbi teşhis” amaçlarını yerine getirdiği sonucuna ulaşılmalıdır.
3.2.3. Sonuç
Çözüm önerimizin özü, işverenin İş Sağlığı ve Güvenliği Kanunu kapsamındaki işçinin sağlık raporunu alma ve saklama yükümlülüğünü yerine getirirken KVKK’nın 6’ncı maddesinin 3’üncü fıkrasının ikinci cümlesindeki “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hukuki sebebine istinaden açık rıza almaksızın veri işleyebilmesidir. Zira aksi yönde yorum yapıldığı takdirde yukarıda 2.3. no’lu başlık altında izah edilen hukuki çelişki ve sorunların gündeme gelmesi kaçınılmazdır.
Nitekim KVKK’nın amacı ve ruhu gereği veri sorumlularının veri işleme faaliyetlerinin şeffaf ve meşru amaçlara yönelik olması esastır; yine veri işleme faaliyetlerinde alınacak açık rızanın da hür iradeye dayalı olması ve baskı altında alınmaması gerekmektedir. Halbuki uygulamada işverenlerin (İş Sağlığı ve Güvenliği Kanunu ile ikincil mevzuatlarının kendilerine yükledikleri yükümlülükler sebebiyle) işe giriş ve işin devamı sırasında işçilerden sağlık raporu almak için zorla açık rıza aldıkları görülmektedir. Zira aksi durumda işverenler İş Sağlığı ve Güvenliği Kanunu ile ikincil mevzuatlarının yüklediği yükümlülükler ve öngörülen idari para cezaları sebebiyle zor durumda kalacaklardır. Bu durumda ya KVKK’nın ruhuna, amacına ve ilkelerine aykırı hareket edilerek işçilerden hür iradeye dayanmayan, baskı altında açık rıza alınacak ya da açık rıza vermeyen işçilerle iş akdi kurulmayacak veya mevcut iş akitleri feshedilecektir. Günün sonunda işçilerin T.C. Anayasası md. 49’da düzenlenen çalışma hakları kısıtlanmış olacaktır. Halbuki KVKK’nın amacı veri işlemeyi zor hale getirmek değil, veri işlemeyi şeffaf ve meşru amaçlara dayandırmaktır.
Tüm bu sorunların önüne geçilmesi adına KVKK’nın 6’ncı maddesinin 3’üncü fıkrasının ikinci cümlesi İş Kanunu’nun 75’inci maddesi uyarınca sır saklama yükümlülüğü altında bulunan işverenlerin İş Sağlığı ve Güvenliği Kanunu ile ikincil mevzuatları kapsamında kamu sağlığının korunması (ve hatta tıbbi teşhis) amacıyla işe giriş ve işin devamı sırasında işçilerden sağlık raporu alırken ve işçilerin kişisel sağlık dosyalarını oluştururken işlediği sağlık verileri için ilgili kişilerin açık rızalarının aranmayacağı şeklinde yorumlanmalıdır.
3.3. İşverenin Veri İşleyen, İşyeri Hekiminin Veri Sorumlusu Olarak Yorumlanması
KVKK’nın 6’ncı maddesinin 3’üncü fıkrasının ikinci cümlesini, yukarıda belirttiğimiz şekilde yorumlamak yerine alternatif bir çözüm olarak işverenlerin, İş Sağlığı ve Güvenliği Kanunu ile ikincil mevzuatları kapsamında öngörülen işe giriş ve işin devamı sırasında işçilerden sağlık raporu alma ve işçilerin kişisel sağlık dosyalarını oluşturma yükümlülüğünün yerine getirilmesi sırasında bu verileri 15 yıl saklamak ve toplamak suretiyle veri işleyen sıfatıyla hareket ettiği, işçilerin sağlık gözetimi bakımından veri sorumlusunun ise İşyeri Hekimi Ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk Ve Eğitimleri Hakkında Yönetmelik’in 9’uncu maddesinin 2’nci fıkrasının (c) bendi uyarınca işyeri hekimi olduğu yorumu yapılabilecektir.
Zira İşyeri Hekimi Ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk Ve Eğitimleri Hakkında Yönetmelik’in 9’uncu maddesinin 2’nci fıkrasının (c) bendine göre; sağlık gözetimi kapsamında yapılacak işe giriş ve periyodik muayeneler ve tetkikler ile ilgili olarak çalışanları bilgilendirmek ve onların rızasını almak ve işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını ek-2’de verilen örneğe uygun olarak düzenlemek ve işyerinde muhafaza etmek işyeri hekiminin görevleri arasında sayılmıştır.
İşyeri hekimlerinin hukuki statüsü burada önem arz etmektedir; zira İş Sağlığı ve Güvenliği Kanunu ile ikincil mevzuatları anlamında işyeri hekimleri işverenin alelade bir personeli olmayıp; iş sağlığı ve güvenliği alanında görev yapmak üzere Bakanlıkça yetkilendirilmiş işyeri hekimliği belgesine sahip hekimlerdir. Nitekim işyeri hekimleri, mesleki statüsü olan bir işçi, hatta işveren adına belli hizmetleri görmesi sebebiyle işveren vekili olarak nitelendirilmektedir.5 Ayrıca İş Sağlığı ve Güvenliği Kanunu’nun 8’inci maddesinin 1’inci fıkrasında da açıkça işyeri hekimlerinin mesleğin gerektirdiği etik ilkeler ve mesleki bağımsızlık içerisinde görevlerini yürüteceği aynı şekilde 2’nci fıkrada da bildirimlerinden dolayı işyeri hekimlerinin iş sözleşmelerine son verilemeyeceği hüküm altına alınmıştır. Bu nedenle, ister işveren bünyesindeki İSGB içerisinde istihdam edilsin isterse OSGB bünyesinde hizmet versin; işyeri hekimlerinin İş Sağlığı ve Güvenliği Kanunu bakımından bağımsız bir veri sorumlusu olarak kabul edilmesi gerekmektedir.
Yukarıda açıklananlar ışığında, işverenlerin iş sağlığı ve güvenliği mevzuatları kapsamında sadece bir aracı olduğu, bu verilerin toplanması, işçilerin muayene öncesinde bilgilendirilmesi ve rızalarının alınması ile işe giriş ve periyodik muayenelerin Yönetmelik’te düzenlenen formatta düzenlenmesinin işyeri hekimlerinin görevleri arasında olduğunun mevzuatla düzenlendiği ve işverenin yegâne yükümlülüğünün “sağlık gözetiminin yapılmasını sağlamak” ve “kişisel sağlık dosyalarını 15 yıl saklamak” olduğu gözetildiğinde gerçekten de işverenlerin veri sorumlusu sıfatıyla değil, veri işleyen sıfatıyla hareket ettiğinin kabulü gerekecektir. Bu nedenle işçilerden açık rıza alma yükümlüğü de işveren üzerinde değil, işyeri hekimi üzerinde olacaktır. Ancak bu noktada işçilerin sağlık verileri bakımından veri sorumlusunun “işyeri hekimleri” olduğu gözetildiğinde; KVKK’nın 6’ncı maddesinin 3’üncü fıkrasının ikinci cümlesi (sağlık ve cinsel hayat verilerinin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği) uyarınca açık rızanın istisnası olan bir hukuki sebebin varlığının mevcut olması nedeniyle İş Sağlığı ve Güvenliği Kanunu ile ikincil düzenlemeleri kapsamında işlenecek olan işçi verilerinin açık rızaya tabi olmadığı sonucuna varılmalıdır.
- Sonuç
KVKK’nın yürürlüğe girmesinden bu yana işverenlerin işçilere ilişkin kişisel verileri işleme faaliyetlerinin KVKK’ya uyumlu hale getirilmesiyle ilgili yürütülen çalışmalarda karşılaşılan en büyük sorun sağlık verilerinin toplanması ve işlenmesi olmaktadır. İş sağlığı ve güvenliğine ilişkin yasal düzenlemeler kapsamında işçinin sağlık verilerinin işveren tarafından işlenmek zorunda olduğu kaçınılmazdır. Bu veri işleme zorunluluğu ise uygulamada işverenleri, işçilerden sağlık verilerine ilişkin açık rıza almaya yönlendirmektedir. Açık rıza alınamaması, yani işçinin, sağlık verisinin işlenmesi noktasında işverene rıza göstermemesi halinde ise işveren idari otoriteler karşısında mali ve hukuki olarak zor duruma düşmekte, işçi ise işini kaybetme veya işe alınmama riskiyle karşı karşıya gelmektedir. İşte uygulamadaki bu hukuki dilemmayı çözmek için kanımızca atılması gereken ilk adım, yasama organı tarafından KVKK’nın 6’ncı maddesinin 3’üncü fıkrasında yukarıda ortaya koyduğumuz yönde bir değişiklik yapılmasıdır. Kanun değişikliği önerimiz yasama organına yönelik olup, sunduğumuz diğer iki çözüm önerisi ise Kurum tarafından alınacak ilke kararlarla gerçekleştirilebilecek niteliktedir.
Av. Arda Altınok LL.M
Taygün & Özmestik Hukuk Bürosu