A. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN DÜZENLEMELERİN TARİHSEL GELİŞİMİ VE TÜRK HUKUKU’NDAKİ İLGİLİ HÜKÜMLER
Kişisel verilerin korunmasına ilişkin ilk yasal düzenleme Almanya’nın Hessen eyaletinde 1970 yılında yapılmış olup Avrupa Konseyi’nin 1981 tarihinde yürürlüğe giren 108 No’lu Sözleşmesi’nden itibaren bu alana ilişkin çalışmalar hız kazanmıştır. Özellikle, Avrupa Parlamentosu tarafından 2018’de kabul edilen Genel Veri Koruma Tüzüğü (“GVKT”) ile önemli bir yol kat edilmiştir. Ülkemizde ise 7 Nisan 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile konuya ilişkin hususlar özel bir kanunla düzenleme altına alınmıştır. KVKK’nın yürürlüğe girmesinden önce kişisel verilere ilişkin olarak 2010 yılında yapılan referandum sonucunda Anayasa’nın 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” fıkrası eklenerek kişisel verilerin korunmasına ilişkin Anayasa’da doğrudan bir düzenleme yapılmıştır. Bununla birlikte 6098 sayılı Türk Borçlar Kanunu 419. maddesinde “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir. Özel kanun hükümleri saklıdır.” denilerek, işverene işçiye ait kişisel verilerini koruma yükümlülüğü getirilmiş ve işverenin işleyebileceği kişisel verilerin sınırları çizilmiştir. Ayrıca 4857 sayılı İş Kanunu’nun (“İş Kanunu”) “İşçi özlük dosyası” başlıklı 75. maddesi ile “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” işverenin, işçiye ilişkin işlediği ve işçinin haklı çıkarı bulunan kişisel verileri gizli tutmakla yükümlü olduğuna dikkat çekilmiştir.
KVKK’nın “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesi gereğince ise; “sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir” denilmektedir.
Görüldüğü üzere gerek eski tarihli genel kanunlar ile gerekse de yeni tarihli özel kanun olan KVKK ile işverenin kişisel veri işleme süreçlerine ilişkin çeşitli düzenlemeler yapılmıştır. İşçi işveren arasındaki bağımlılık içeren iş ilişkisinin mahiyeti ile birlikte bu düzenlemelerin birlikte değerlendirilmesi gerekmekte olup, bu durum doktrinde tartışmalı birçok hususu beraberinde getirmiştir. İşbu çalışma ile tartışmalı konulardan biri olan işverenin işçilere ait özellikle sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verileri işlemesi konusu işverenin sır saklama yükümlülüğü tartışması yapılarak ele alınacaktır.
B. SIR SAKLAMA YÜKÜMLÜLÜĞÜ
Kanun koyucu tarafından çeşitli meslek mensuplarına ve kuruluşlara, sözleşmeyle, kanunla veya sair düzenlemelerle hizmet verdikleri kişilere ait edindikleri sırların korunması yükümlülüğüne sır saklama yükümlülüğü adı verilmektedir[1]. KVKK kapsamında, sır saklama yükümlülüğüne sahip kişi ve kuruluşların her tür kişisel veriyi değil, ancak belli amaçlarla bazı kişisel verileri işleyebilecekleri düzenlenmiştir. Sağlık ve cinsel hayata ilişkin verilerin açık rıza aranmaksızın işlenebilmesi bakımından, uygulamada sır saklama yükümlülüğü olan hekimler en çok karşımıza çıkan örneklerdir[2].
İşveren tarafından işçiye ait kişisel sağlık verilerinin yer aldığı sağlık raporlarının ileride yapılabilecek denetimlerde, yasal yükümlülüklerini yerine getirdiğini ispat edebilmek için saklaması uygulamada sıkça rastlanan durumlardandır. Kanaatimizce, işverenin sağlık verilerini işleyebilecek KVKK nezdinde sır saklama yükümlülüğü altındaki kişilerden olmamasından ötürü özel nitelikli veri içeren bu dosyalarının işyeri hekiminde saklanması yerinde olacaktır. Ayrıca işçilerin işe girişlerinde ve iş ilişkisinin devamı süresince sağlık gözetimine tabi tutulması ve yapacakları iş için uygun nitelikleri taşıması iş sağlığı ve güvenliği açısından önem taşımaktadır. Ancak işverenin sağlık gözetimi yükümlülüğü çerçevesinde işçinin sağlık verilerinin işyeri hekimi tarafından gerekli güvenlik tedbirleri alınarak saklanması KVKK nezdinde olması gereken durum iken işyeri hekimi bulundurma zorunluluğu olmayan işyerleri için sağlık verilerinin kim tarafından saklanacağı tartışma konusudur.
C. İŞVERENİN VE İŞYERİ HEKİMİNİN İŞÇİYE AİT SAĞLIK VERİSİ İŞLEYEBİLECEĞİNE İLİŞKİN YASAL DÜZENLEMELER
İş Kanunu ve ilgili diğer mevzuatlarda işverenin işçiye ait sağlık verilerini işlemesinden bahsedilmektedir. İş Kanunu 30. maddesinde belirtilen iş yerindeki işçi sayısının belli bir yüzdesine kadar engelli işçi çalıştırma zorunluluğu gibi işverenin yasal yükümlülüklerini yerine getirmesi için kişisel sağlık verilerini işlemesi gerektiği durumlar söz konusu olabilmektedir. Ayrıca 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun 15. maddesi uyarınca “işveren, çalışanların işe girişlerinde, iş değişikliğinde, iş kazası, meslek hastalığı veya sağlık nedeniyle tekrarlanan işten uzaklaşmalarından sonra işe dönüşlerinde talep etmeleri hâlinde, işin devamı süresince, çalışanın ve işin niteliği ile işyerinin tehlike sınıfına göre Bakanlıkça belirlenen düzenli aralıklarla çalışanların sağlık muayenesini yaptırmakla yükümlüdür.”. Maddenin ikinci fıkrasında ise “tehlikeli ve çok tehlikeli sınıfta yer alan işlerde çalışacakların, yapacakları işe uygun olduklarını belirten sağlık raporu olmadan işe başlayamayacakları” belirtilmiştir.
İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliği’nin “İşyeri Hekiminin Yükümlülükleri” başlıklı 11. maddesinde “işyeri hekimlerinin çalışanın kişisel sağlık dosyasındaki bilgileri gizli tutmakla yükümlü oldukları” düzenlenmiştir. Kaldı ki, Hasta Hakları Yönetmeliği uyarınca da “sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler kanun ile müsaade edilen haller dışında hiçbir şekilde açıklanamaz.”.
İşbu düzenlemeler çerçevesinde çalışana ait sağlık verilerinin kanaatimizce sır saklama yükümlülüğü bulunmayan işveren tarafından işyeri hekiminden talep edilip edilemeyeceği hususunun da ayrıca değerlendirilmesi gerekmektedir. Bizim de katıldığımız görüşe göre; işveren sadece sözleşmenin ifası için gerekli olan bilgileri hekimden isteyebilir. Ancak 1593 sayılı Umumi Hıfzıssıhha Kanunu’nun 126/f.2 madde hükmü gereğince, “çalışanların, hastalıkları konusunda işverene bilgi vermekle yükümlü olduğu” ifade edilmiştir. Eğer işçilerin hastalıklarına hakkındaki bilgiler, “kamu sağlığının korunması” kapsamında işverence kayıt altına alınmışsa, işverenin yaptığı bu faaliyet, KVKK’nın 6/f.3 hüküm gereği hukuka uygun sayılabilecektir[3]. Aksi takdirde, KVKK md. 6/3 kapsamına girmeyen her durumda işveren sağlık verilerini işleyebilmek için işçinin açık rızasını alma yoluna gidecek ve bu durum ise iş ilişkisi içinde alınan işçi rızasının geçerliliğine ilişkin haklı kaygılar nedeniyle yeterli korumayı sağlamaktan uzak olacaktır[4].
İşçinin hamilelik durumuna ilişkin bilgiler de kişisel sağlık verisi olarak kabul edilmektedir. İş ilişkisinin devamında, hamile işçinin bu durumu işverene bildirmesi işverenin periyodik ücretli muayene izni, analık izni gibi bazı yükümlülüklerini yerine getirmesi adına bir gerekliliktir. İş Kanunu’nun “Analık halinde çalışma ve süt izni” başlıklı 74. Maddesinde bu husus “Kadın işçilerin doğumdan önce sekiz ve doğumdan sonra sekiz hafta olmak üzere toplam onaltı haftalık süre için çalıştırılmamaları esastır. (…)” olarak belirtilmiştir.
İşçinin alkol ve uyuşturucu kullanım problemleri de kişisel sağlık verisi kapsamına dâhildir. Alkol ve uyuşturucu işçilerin çalışma performanslarını etkileyen maddeler olması nedeniyle işverenler hem iş görme edimlerinin kontrolü hem de iş sağlığı ve güvenliğinin sağlanması adına özellikle sürücü veya güvenlik görevlisi gibi uyuşturucu madde kullanımının risk yarattığı işçilerden ölçülülük ilkesi çerçevesinde alkol ve uyuşturucu testlerinin yaptırılmasını isteyebilecektir[5]. Kaldı ki İş Kanunu’nun 25. maddesinde “işyerine sarhoş yahut uyuşturucu madde almış olarak gelmesi ya da işyerinde bu maddeleri kullanması” işverenin haklı nedenle derhal fesih hakkının kapsamında alınmıştır.
Son olarak ise HIV/AIDS hastalığına ilişkin bilgiler de işverence işçiye ilişkin işlenebilecek sağlık verilerindendir. HIV/AIDS, bulaşıcı bir virüs/hastalık olmakla birlikte dokuma, soluma veya aynı ortamda bulunma gibi nedenlerle bu virüsün bulaşma ihtimali olan yerler dışında[6] iş ilişkisini etkileyen bir durum olarak değerlendirilmemelidir[7]. Cinsel yollarla bulaşan hastalıklar gibi işçinin iş ilişkisine etkisi olmayan cinsel yaşamı veya eğilimi gibi bilgilerin işveren tarafından işlenmesi ise her türlü hukuka aykırı olarak değerlendirilmelidir.
D. İŞ SÖZLEŞMESİNİN TEMEL UNSURLARINDAN OLAN İŞÇİ-İŞVEREN ARASINDAKİ BAĞIMLILIK UNSURUNUN İŞÇİNİN KİŞİSEL VERİLERİNİN İŞLENMESİNE YÖNELİK VERDİĞİ AÇIK RIZAYA ETKİSİ
KVKK ve gerekçesindeki tanım çerçevesinde işçinin açık rızası, “işverenin baskısını üzerinde hissetmeksizin, kendisine ait kişisel verilerin işlenmesi hususunda tam ve doğru şekilde bilgilendirilmesi neticesinde veri işlemeyi kabul ettiğini gösteren her türlü özgür irade açıklaması” olarak tanımlanabilecektir. Ancak iş sözleşmesinin temel unsurlarından olan işçi-işveren arasındaki bağımlılık unsurunun işçinin rızası üzerindeki etkilerinin ayrıca değerlendirilmesi gerekmektedir. İşçi işveren ilişkisi çerçevesinde, işçilerin çoğunlukla işsiz kalma korkusuyla işveren baskısı altında olduğu düşünüldüğünde, açık rızanın geçerlilik koşullarının sağlandığına ilişkin tespit zorlaşacaktır[8]. Kişisel Verilerin Korunmasına İlişkin Uygulama Rehberi’nde de bu duruma dikkat çekilmiş ve işçi işveren ilişkilerinde olduğu gibi, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği belirtilmiştir. Kaldı ki kişilik değerlerine müdahale eden işveren uygulamalarına verdiği rıza bakımından işçinin gerçekten özgür iradesiyle hareket edip etmediği noktasındaki kuşku, KVKK’nın yürürlüğe girmesinden çok öncesinden beri dile getirilen bir meseledir[9].
E. İŞVERENİN İŞÇİYE AİT SAĞLIK VE CİNSEL HAYATA İLİŞKİN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEYEMEYECEĞİNE İLİŞKİN DOKTRİNDEKİ GÖRÜŞLER
Ahmet Sevimli’ye göre[10]; Her ne kadar İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nde “kişisel sağlık dosyası” adı altında ayrı bir dosyadan söz edilmekte ise de işverenin düzenlemek zorunda olduğu her türlü belge ve kayıtların işçi özlük dosyasında saklanmasını zorunlu kılan İK md. 75/I düzenlemesi karşısında sağlık dosyasının da özlük dosyası içinde bulundurulması gerekir. Bu durumun, sağlık verilerinin diğer verilerden ayrı şekilde saklanması ilkesiyle uyumluluğu tartışmalıdır. Bununla birlikte işçinin sağlık verilerine ilişkin sır saklama yükümlülüğü İSG mevzuatı gereğince yetkili olan sağlık meslek mensuplarında olduğundan işverenin yalnızca işle ilgili karar almaya etki edecek hallerde işçiye ilişkin sağlık verileri konusunda bilgi sahibi olması gerekmektedir.
Nazlı Elbir’e göre[11]; KVKK md. 12 uyarınca veri sorumluları bakımından “kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak” yükümlülüğü öngörüldüğünden işverenler tarafından işçilerin sağlık dosyalarını ayırmaları ve bu dosyalara yalnızca İSG mevzuatı gereğince görev yapan sağlık görevlileri erişiminin mümkün kılınması sağlanmalıdır.
İlke Gürsel’e göre[12]; KVKK md. 6’da bahsi geçen sır saklama yükümlülüğü altındaki kişi gruplarına işverenler dahil değildir.
Murat Volkan Dülger’e göre[13]; işverenler özel nitelikli kişisel veri işleyebilecek sır saklama yükümlülüğü altında bulunan kişiler değildir. İşyerlerinde işçilere ait işlenen sağlık ve cinsel hayata ilişkin verilerin işyeri hekimi ile sınırlı tutularak işlenmesi gerekmektedir.
Selen Uncular’a göre[14]; İşverenin işçiye ait sağlık verilerini işlemesine yönelik İş Kanunu ve İSG mevzuatında çeşitli düzenlemeler yer almaktadır. Kanunlarda yer alan bu düzenlemeler kişisel veri işlemeyi hukuka uygun hale getiren “Kanunlarda öngörülme” halinde dahildir. Bu hukuka uygunluk halinin sağlık verileri açısından ve açık rızanın tek alternatifi olarak düzenlenmesi daha isabetli olabilirdi.
Canan Ünal’a göre[15]; işyeri hekimi tarafından işçinin işe uygunluğu dışında veri paylaşımı ancak sağlık gözetimi sonucunda işçinin faaliyet değişikliği gerektirdiği kanaatine ulaşması halinde hukuka uygundur.
E. SONUÇ
Kanaatimizce uygulamada yaşanan problemlerin önüne geçilebilmesi adına aşağıda yer verilen çözüm yollarından birine başvurulmalıdır:
i. KVKK’nın 6. maddesinde yer alan sağlık verilerine ilişkin düzenlemeleri değiştirilmeli ve sağlık verilerinin kanunda öngörülen hallerde işlenmesinin açık rızanın istisnası olarak belirlenmelidir. Aksi takdirde işveren tarafından işçiden alınan ve geçerliliği tartışmalı olan açık rızanın alınması gündeme gelecektir.
ii. KVKK’da belirtilen yetkili kişi ve kurumlar arasında işverenler açıkça sayılarak GVKT’de olduğu gibi amaç maddesi buna uygun olarak genişletilmelidir. GVKT madde 9/2-h’de çalışma yaşamının bu yöndeki ihtiyaçları göz ardı edilmemiş ve özel nitelikli kişisel verilerin işlenmesinde hukuka uygunluk sebepleri belirlenirken “işçinin çalışma kapasitesinin değerlendirilmesi açısından veri işlemenin zorunlu olduğu haller” hukuka uygunluk sebebi olarak belirtilmiştir.
iii. İş Kanunu’nun “İşçi özlük dosyası” başlıklı 75. maddesinden doğan işverenin sır saklama yükümlülüğünün ve yetki alanının sınırları açıkça çizilmelidir. “Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması” hakkında Kişisel Verileri Koruma Kurulu’nun 18/02/2020 tarihli ve 2020/138 sayılı Karar Özetinde sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmadığı belirtilerek aslında konuya ilişkin yasal düzenlemelerdeki boşluğa dikkat çekilmiştir.
Dipnotlar
[1] Türkmen, s. 149.
[2] Hekimin sır saklama yükümlülüğü, hastalığın türü ve gelişimi, anamnez, teşhis, tedavi tedbirleri, prognoz, psikolojik bozukluklar, maddi ve ruhsal bozukluklar veya özel durumlar, hasta dosyası, muayene sonuçları gibi bilgileri kapsamaktadır. Bkz. Hakeri, s. 318.
[3] Türkmen, s. 188.
[4] Benzer yönde: Gürsel, s. 252; Aydın/Küçük, s. 65.
[5] Benzer yönde: Aydın/Küçük, s. 70; Sevimli, Özel Yaşam Hakkı, s. 167; Ünal, s. 288.
[6] Bu yerlere örnek olarak insan kanıyla doğrudan temas olasılığı içeren doktor, hemşire, dişçi gibi sağlık meslek mensupları, asker, polis gibi güvenlik elemanları veya seks işçileri verilebilecektir.
[7] Elbir, s. 276.
[8] İngiltere’de veri koruma otoritesi, işverenlerin işçilerin kişisel verilerini işlerken meşruiyet temeli olarak nadiren rıza beyanına dayanabileceklerine işaret etmiştir. Peter Carey, s. 72-32. Aktaran: Küzeci, Kişisel Veriler, s. 233.
[9] Sevimli, İşçinin Rızası, s. 10.
[10] Sevimli, TBK Madde 419, s. 128.
[11] Elbir, s. 300.
[12] Gürsel, s. 252-254.
[13] Dülger, s. 316.
[14] Uncular, s. 160.
[15] Ünal, s. 273.
Yararlanılan Kaynaklar
[1] Aydın, Ufuk/Küçük, Doğukan: “Kişilik Hakkı Kapsamında İşçinin Sağlığına İlişkin Veriler”, Yönetim ve Çalışma Dergisi, 2019/3(1), s. 54-79.
[2] Dülger, Murat Volkan: Kişisel Verilerin Korunması Hukuku, İstanbul, 2019.
[3] Elbir, Nazlı: “Kişiliğin Korunması Bağlamında İşçiye Ait Kişisel Verilerin Korunması”, Ankara, 2020.
[4] Gürsel, İlke: İşçinin Kişisel Verilerinin Korunması Hakkı, Ankara, 2016.
[5] Hakeri, Hakan: Tıp Hukuku, Ankara, 2015.
[6] Küzeci, Elif: Kişisel Verilerin Korunması, Ankara, 2019.
[7] Sevimli, K. Ahmet: “İşçinin Kişisel Verilerinin İşlenmesi İçin Verdiği Rızanın Hukuki Değeri”, Toprak İşveren Dergisi, S: 116, 2017, s. 4-11. (İşçinin Rızası)
[8] Sevimli, K. Ahmet: “Veri Koruma Hukuku İlkeleri Işığında Türk Borçlar Kanunu Madde 419”, Sicil İş Hukuku Dergisi, S: 24, Aralık 2011, s. 120-139. (TBK Madde 419)
[9] Türkmen, Sevgi: “Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller”, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Anabilim Dalı, Yayımlanmamış Yüksek Lisans Tezi, İstanbul, 2019.
[11] Uncular, Selen: İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Ankara, 2019.
[12] Ünal, Canan: “İş Sözleşmesinin Kurulmasında Sağlığa İlişkin Veriler”, İş Hukukunda Genç Yaklaşımlar III, Ed. Tankut Centel, İstanbul, 2018, s. 261-318.
