KPLAW

İş Kuleleri, Kule 3, Kat:2, 34330,
Levent / Istanbul, Turkey

CONTACT

T: +90 (212) 249 29 39
M: info@kplawtr.com

Çalışma ve Sosyal Güvenlik Bakanlığı’nın 2 Eylül 2021 tarihli “İşyerinde Covid-19 Tedbirleri” konulu yazısının yayınlanmasının ardından, işverenlerin Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlusu sıfatıyla nasıl hareket etmeleri gerektiği konusunda soru işaretleri doğdu.

Covid-19 aşısının yaygınlaşması ile, işçilerin aşı yaptırmalarının ya da PCR testi sunmalarının işveren tarafından zorunlu tutulup tutulamayacağı bir süredir iş hayatının önemli gündem konularından biriydi. Bu kapsamda Çalışma ve Sosyal Güvenlik Bakanlığı (“Bakanlık”) 81 il Valiliğine 2 Eylül 2021 tarihli “İşyerinde Covid-19 Tedbirleri” konulu bir genel yazı gönderdi.

Söz konusu yazıyı KVKK kapsamında incelemek gerekirse:

Bakanlık’ın ilgili yazısında öncelikle, Covid-19 aşısı tamamlanmamış çalışanların işlerinde iş sağlığı ve güvenliğinin sağlanmasını güçleştirdiği, diğer çalışanların mevcut sağlık ve güvenlik şartlarını kötüleştirerek çalışma barışını bozmakta olduğu ve işverenlerin işyerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler hakkında çalışanlarını bilgilendirmekle yükümlü olduğu belirtilmiş olup, bu kapsamda;

  • İşverenlerin, işyerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler hakkında tüm işçilerini bilgilendirmekle yükümlü olduğu ayrıca COVID-19 aşısı tamamlanmamış işçilerini yazılı olarak da bilgilendirmesi gerektiği,
     
  • Bilgilendirme sonrasında aşı olmayan işçilere, kesin COVID-19 tanısı konması durumunun iş ve sosyal güvenlik mevzuatı açısından olası sonuçlarının da işveren tarafından bu durumdaki işçilere bildirilmesi,
     
  • COVID-19 aşısı olmayan işçilerden ise işyeri/işveren tarafından 6 Eylül 2021 tarihi itibariyle zorunlu olarak haftada bir kez PCR testi yaptırmalarının istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere işyerinde kayıt altında tutulabileceği

ifade edilmiştir.

Öncelikle belirtmek gerekir ki, işçilerin aşı kartı üzerinde yer alan bilgiler ile PCR testi sonucu gibi veriler KVKK’nın 6. maddesi kapsamında bir yani özel nitelikli kişisel veri olan “sağlık verisi” olarak nitelendirilmektedir. Özel nitelikli kişisel veriler, mahiyetleri gereği kişiye ilişkin hassas nitelikteki veriler olup; öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına, kötü muameleye tabi tutulmasına veya mağduriyete neden olabilecek nitelikteki özel verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da KVKK’nın 6. maddesinde sayılan sınırlı hallerde açık rıza olmaksızın işlenebilecektir.

Bu bakımdan değerlendirildiğinde, her ne kadar işveren, iş sağlığı ve güvenliği tedbirlerini almakla yükümlü olsa da; hem KVKK ve Bakanlık yazısı arasındaki hukuk hiyerarşisi nedeniyle KVKK’nın öncelikle uygulama alanı bulması gerektiği hem de Kişisel Verileri Koruma Kurumu (“Kurum”)’nun 27 Mart 2020 tarihli “Kamuoyu Duyurusu” göz önünde bulundurulduğunda, COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin hukuka uygun olarak gerçekleştirilmesi ve bu konuda alınan herhangi bir önlemin hukukun genel ilkelerine uygun olması gerektiğini söylemek yerinde olacaktır.

Dolayısıyla işverenin KVKK’ya uygun hareket etmesi ve işçilerin söz konusu sağlık verilerini işleyebilmesi için öncelikle bir aydınlatma metni sunması ve (i) ya açık rıza alınarak ya da (ii) sağlık verilerinin ancak işyeri hekimi veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla açık rıza alınmasına gerek kalmaksızın işlenmesi mümkündür.

Burada unutulmamalıdır ki işyeri hekimi tarafından işlenen sağlık verilerinin işveren nezdindeki sır saklama yükümlülüğü altında olmayan insan kaynakları, idari işler ve güvenlik gibi birimler tarafından da elde edilerek işlenmesi durumunda ilgili çalışanlardan açık rıza alınması gerekecektir.

Sonuç olarak, söz konusu süreçler nedeniyle kişisel verileri işlenecek çalışanlara KVKK ve ikincil mevzuata uygun şekilde bir aydınlatma metni sunulması ve açık rıza alınması gerekmekte olup; bu sürecin açık rıza almadan yürütülmek istenmesi durumunda ise işyeri hekimi aracılığıyla kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi mümkün olacaktır.

Tüm bu açıklamalarımız ile birlikte önemle belirtmek isteriz ki, Kurum’un henüz Bakanlık’ın “İşyerinde Covid-19 Tedbirleri” konulu genel yazısı özelinde bir kamuoyu duyurusu bulunmamaktadır.