İşverenler Covid-19 kapsamında kişisel sağlık verilerini isteyebilir mi?

Tüm Dünya ve Ülkemizi etkileyen Covid-19 virüsü salgınının yayılmasını engellemek ve etkilerini hafifletmek adına başta kamu kurum ve kuruluşları olmak üzere gerekli adımları atılmakta ve çeşitli önlemler alınmaktadır. Bu önlemlerin alındığı çoğu durumda özel nitelikli kişisel veriler de (sağlıkla ilgili veriler vb.) dahil olmak üzere pek çok kişisel verinin (TC kimlik no, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesi kaçınılmazdır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında özellikle kişilerin sağlık verilerinin ve diğer kişisel verilerin işlenmesi gerektiği durumlarda veri sorumluları ve veri işleyenler tarafından söz konusu faaliyetlerin Kanun hükümlerine uygun yürütülmesinin sağlanması ve veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin alınması önem arz etmektedir.

Belirtmek gerekir ki, bu istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerekmektedir. Bu nedenle kişisel verilerin hukuka uygun olarak işlenmesi ve bu konuda alınan herhangi bir önlemin hukukun genel ilkelerine uygun olması, bu çerçevede kişilerin temel hak ve özgürlükleri açısından geri döndürülemez zararların ortaya çıkmaması önemlidir.

Covid-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetleri de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır. Bu minvalde özellikle COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bu konuda alınan kararlar, Sağlık Bakanlığı başta olmak üzere halk sağlığı kuruluşlarının veya diğer ilgili kurum ve kuruluşların rehberliği veya talimatları çerçevesinde olmalıdır.

Temel İlkeler

6698 sayılı Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir. İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Söz konusu ilkeler, COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Dolayısıyla özel sektör işverenleri çalışanların açık rızalarının bulunması kaydıyla ölçülü, sınırlı ve amacına uygun olarak sağlık verilerini temin edebilecektir. Bu anlamda iş sağlığı ve güvenliği adına bu tedbirlerin alınmasından hareketle aşı verilerinin işyeri hekimleri ile sınırlı olmak üzere muhafaza edilmesi, işyeri hekimlerinin şirket geneline sadece genel bilgileri, çalışanın nasıl değerlendirilebileceği hakkında bilgi vermesi sağlanmalıdır.

Veri paylaşımı

Aşı veya genel sağlık verilerinin işyeri hekimleri haricinde üçüncü kişiler ile paylaşılması kişisel verilen korunması hakkında kanun hükümlerine aykırılık arz edecektir.

Özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenemeyeceği belirtilmekle birlikte sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir.

Özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır.

Aydınlatma Yükümlülüğü

Kişisel verileri işleyen veri sorumluları, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır. Bireylere kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlamalı ve açık rızalarını temin etmelidir.

Gizlilik

Covid-19 virüsünün yayılmasını önleme bağlamında, veri sorumlusu ve veri işleyenler tarafından başta sağlık verisi olmak üzere herhangi bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınmalıdır. Etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir.

Öte yandan, sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların aynı zamanda 5237 sayılı Türk Ceza Kanununun 136'ncı maddesi kapsamında suç teşkil edebileceği unutulmamalıdır.