COVID-19 – Sağlık Verisinin Korunması ve İşveren Uygulamaları

COVID-19 – SAĞLIK VERİSİNİN KORUNMASI VE İŞVEREN UYGULAMALARI

 Tüm dünya ile birlikte ülkemizde de etkisini derin bir şekilde gösteren Covid-19 salgınının hukuk düzeni üzerindeki birçok etkisinden biri de, kişisel verilerin korumasına ilişkindir.

Özellikle kamuoyunda birçok kişiye ait gerek kişisel veriler gerekse özel nitelikli kişisel veri statüsünde olan sağlık verileri herhangi bir koruma tedbiri olmaksızın üçüncü kişiler tarafından kullanılmakta ve paylaşılmaktadır. Ancak bu salgın kapsamında kamunun bilgilendirilmesi, kamu düzeninin korunması kişisel verilere ilişkin hakların ihlal edilebileceği anlamına gelmemektedir.

Kişisel veriler anayasal bir korumaya sahip olmakla birlikte, kişisel verilerin işlenmesi 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat çerçevesinde çeşitli kurallara bağlanmıştır. Yine Kanun’da kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi hallerinde Kanun hükümlerinin uygulama alanı bulmayacağı açıkça düzenlenmiştir. Bu doğrultuda, salgına ilişkin kamu düzeninden kaynaklanan gereklilikler nedeniyle kamu kurum ve kuruluşları tarafından yürütülen çalışmalar esnasında kişisel verilerin işlenmesi, Kanun’a tabi bir veri işleme faaliyeti değildir ve bu işlemeler nedeniyle kişilerin herhangi bir hak ihlaline uğradıkları iddiası söz konusu olamayacaktır. Fakat, Kanun’un getirdiği bu muafiyet haricinde, başkaca kişi ve kurumlar tarafından yapılan veri işleme ve paylaşma faaliyetleri, Kanun ve ilgili mevzuatta öngörülen düzenlemelere uygun şekilde yürütülmelidir.

Mevzuat, sağlık verilerine ilişkin getirdiği özel koruma ile, sağlık verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir. Bu kural doğrultusunda, sağlık verilerinin belirtilen amaçlarla sınırlı olmak üzere yalnızca sır saklama yükümlülüğüne tabi olan hekimler veya yetkili kurum ve kuruluşlar tarafından işlenebilmesi hususu önem arz etmektedir.

Covid-19 salgınının etkilerinin yoğun şekilde görüldüğü bu günlerde kişiler salgından etkilenmemek için bireysel tedbirler almakla birlikte, işverenler de çalışanlarının sağlığını korumak adına çalışmalar yürütmektedirler. Sıklıkla karşılaşılan sorunlara ilişkin yürütülebilecek süreçlere dair bilgilendirmelere aşağıda değinilmektedir.

  1. Enfekte çalışanın varlığı

 İşverenler özellikle Covid-19’dan enfekte olan bir çalışanının varlığı halinde, bu durumu diğer çalışanlara ve temas edildiğini düşündükleri diğer kişilere bildirmek istemektedirler. Burada dikkat edilmesi gereken ilk nokta, çalışanın sağlık bilgisinin ilgili mevzuat gereği kim tarafından işlenebileceğidir. Mevzuat, sağlık verisinin ya kişinin açık rızası ile ya da belirtilen gerekçelerle sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebileceğini düzenlediğinden, çalışanın kural olarak Covid-19’dan enfekte olduğu bilgisinin işyeri hekimi tarafından işlenmesi gerekmektedir. Ancak, elbette ki çalışanın açık rızası doğrultusunda işverenin kendisi tarafından da bu verinin işlenmesi mümkündür.

Dikkat edilmesi gereken diğer nokta ise, işverenler veya hekimler tarafından yürütülecek tedbirler kapsamında kişisel verilere ilişkin genel ilkeleri ihlal etmemesidir. Yine işyerinde yapılacak duyurularda, Covid-19 pozitif olan çalışana dair doğrudan bir kişisel veri paylaşmaksızın, en az düzeyde veri paylaşılması prensibinden hareketle, örneğin yalnızca kişinin çalıştığı lokasyonun paylaşılması, temas kurduğu kişilere özel bilgilendirmeler yapılması vb. yöntemler tercih edilebilir.

  1. Çalışan ve ziyaretçilerden bilgi talep edilmesi, ateş ölçümü yapılması

 İşverenlerin iş sağlığı ve güvenliğini sağlama yükümlülükleri doğrultusunda, işyerlerine girişlerde çalışanlardan ve ziyaretçilerden salgından yoğun şekilde etkilenen ülkelere giriş-çıkışlarının olup olmadığı, çevrelerinde Covid-19’dan etkilenen kişilerin varlığı gibi bilgilerin talep edilmesinin yanı sıra, ilgili alanlara giriş yaparken anlık ateş ölçümü yapılması uygulamaları da görülmektedir. Kişisel Verileri Koruma Kurulu bu tür uygulamalar kapsamında risk değerlendirmesi yapılması ve gereklilik, ölçülülük ilkelerinin göz önünde bulundurulması gerektiğini belirtmiştir. İşverenin haklı gerekçelerinin varlığı halinde, kişilere dikkat edilmesini istediği tedbirler kapsamında bilgilendirme yapması mümkün ve faydalı olacaktır.

  1. Kamu kurum ve kuruluşlarının bilgi talepleri

 Kanun’un sağlık verilerine ilişkin getirdiği yasal düzenlemeler uyarınca, belirtilen amaçlar ile yetkili kurum ve kuruluşlara sağlık verisi işleme imkanının tanınmış olması nedeniyle, işverenlere gelebilecek bu tür taleplerin, yine işyerinde verinin kim tarafından işlenebileceği hususu da gözetilerek, karşılanması mümkündür.

Konuya ilişkin Kişisel Verileri Koruma Kurulu tarafından yapılan kamuoyu duyurusuna linkten erişebilirsiniz.

Bu vesile ile özel nitelikli kişisel verilerin işlenmesine ilişkin Kurul tarafından öngörülen tedbirlere ilişkin buradan erişebileceğiniz Kurul Kararı’na uyumun önemli olduğunu hatırlatmak isteriz.

(28.03.2020)

Av. Dilara Duygu KOŞAY