Çalışanların Covid-19 Aşı ve PCR Test Sonucu Verilerinin İşverenler Tarafından İşlenmesi

T.C. Çalışma ve Sosyal Güvenlik Bakanlığı tarafından 03 Eylül 2021 günü yayınlanan ve “İş Yerlerinde Covid-19 Tedbirleri” başlıklı yazısı ile, işverenlerin Covid-19 aşılarını tamamlamamış çalışanlardan PCR testi istemelerinin önü açılmış oldu. Bu yazıya göre 6 Eylül tarihinden itibaren işverenler aşı olmayan çalışanlardan haftada bir defa olacak şekilde PCR testi yapmalarını isteyebilecekler. Yazıya göre sadece test istemekle kalmayıp aynı zamanda test sonuçları da iş yerinde kayıt altında tutulabilecek. Bu bilgilerin işlenmesi hala tartışılmakta olup, kişisel verilerin korunması kapsamında nasıl bir yol izlenmesi gerektiği ise soruları beraberinde getirmektedir.

İşverenler kişisel verilerin korunması kapsamında ilgili bilgileri işleyebilirler mi?

İşverenlerin çalışanların aşı bilgisini veya PCR test sonuçlarını kayıt altına almaları 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) gereğince bir veri işleme faaliyetidir.

İşverenlerin ilgili verileri KVKK’nın kişisel veri işleme amaçlarına ve kurallarına bağlı kalarak işlemesinin önünde bir engel yoktur. Burada önemli olan soru, verilerin hangi amaçla ve nasıl bir fayda sağlamak için işleneceği olacaktır. Amacın çalışanlara şeffaf bir şekilde sunulması gerekmekte, verinin işlenme amacı ilgili veriler işlenmeden de gerçekleştirilebilecek ise, bu takdirde verilerin işlenmesinden kaçınılması gerekecektir. Burada bir işverenin çalışanın aşı bilgilerini sormasındaki amaç işyeri ortamının sağlıklı bir şekilde tesisi, diğer işçilerin sağlıklarının korunması ve böylelikle iş sağlığı ve güvenliğine ilişkin yükümlülüklerinin yerine getirilmesidir. Bu amacın sağlanması için ilgili çalışanların aşı bilgileri ve gerektiği noktada PCR test sonuçlarının işlenmesi mümkün olacaktır.

Kişisel Verileri Koruma Kurumunun (“Kurum”) 28/09/2021 tarihli ve 2021/980 sayılı Kararı ile internet sitesinde de yayımlanan kamuoyu duyurusunda (“Duyuru”); Kurum, değerlendirmelerimize paralel açıklamalarda bulunmuş ve söz konusu test verilerinin işlenmesinin KVKK madde 6 kapsamında özel nitelikli kişisel veri işleme faaliyeti olduğunu belirtmiştir. Kurum ayrıca Duyuruda ilgili veri işleme faaliyetinin KVKK’nın 28. maddesinin (ç) bendi gereğince istisna kapsamına dahil olabileceğini belirtmiştir. Söz konusu maddeye göre kamu güvenliği veya kamu düzenini sağlamaya yönelik yetkili kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında yapılan kişisel veri işlemesi KVKK’nın kapsamı dışında bırakılacaktır. Duyuruda bu maddenin sadece Kamu Kurum ve Kuruluşları için öngörülen bir istisna olup olmadığı, özel sektörün KVKK m.28/ç istisnasından yararlanıp yararlanamayacağı netleştirilmemiştir.

Aşı bilgisi ve PCR test sonuçları nasıl işlenmelidir?

Aşı bilgisi ve PCR test sonuçları KVKK’nın 6. Maddesinde belirtildiği üzere kişinin sağlık durumuna ilişkin bir veri olarak kabul edilmekte ve özel nitelikli bir veri olmasından kaynaklı, ancak çalışanların açık rızalarına dayanarak işlenebilecektir.

KVKK açık rıza zorunluluğuna bir istisna da getirmiştir. Hükme göre aşı bilgisi ve PCR testinin dayandığı amaçlardan kamu sağlığının korunması ve maddede sayılan diğer amaçların var olması hallerinde işyeri hekimleri gibi sır saklama yükümlülüğü bulunan kişiler veya yetkili kurum ve kuruluşlar çalışanın açık rızası olmaksızın verileri işleyebilecektir.

Burada sır saklama yükümlülüğüne dair açık bir sınırlama bulunmamakla birlikte, sözleşme ile sır saklama yükümlülüğü altında bulunan kişilerin de belirtilen istisna kapsamına girip girmeyeceği hala tartışma konusudur. İşverenler burada veri sorumlusu olarak KVKK ve Kurum kararları uyarınca uymaları gereken güvenlik tedbirlerini göz önünde bulundurmalı, mümkün ise veri işleme sadece ilgili sır saklama yükümlülüğü altındaki iş yeri hekimlerine açık kalmalı, iş yerinde bulunan diğer kişilerin bu verilere erişimi gerekmekte ise bu erişim kısıtlanmalıdır.

İlgili bilgilerinin işlenmesinde çalışanın açık rızasına dayanılabilir mi?

Çalışanların kişisel verilerinin işlenmesinde işverenlerine vermiş oldukları açık rızanın “özgür irade” ile verilip verilmediği hala tüm ülkelerde tartışılmakta olan bir konudur. Ancak uygulamalarda çoğu veri işleme faaliyetinin KVKK’da belirtilen şartlar sağlandığı takdirde çalışanın açık rızasına dayanarak işlenmesi önünde bir engel bulunmamaktadır.  Dolayısı ile çalışanın aşı bilgilerinin ve PCR test bilgilerinin işlenmesine ilişkin olarak özgür iradesiyle açık rızasının alınması, çalışanın kendi iradesiyle bu bilgileri işverenle paylaşması mümkündür. Açık rızanın özgür iradeye dayanıp dayanmadığına ilişkin tartışmalarda; çalışan ve işveren arasında tabiiyet ilişkisi olması sonucu çalışanın rızasının otomatik olarak kabul edilemeyeceğinin düşünülmesi, kanımızca çok doğru bir yaklaşım değildir.

Mevzuatımızda çalışanların rızasının arandığı tek hal kişisel verilerin işlenmesi olmamakla birlikte, iş koşullarının esaslı surette değiştirilmesi, olağan fazla çalışma yapılması, ulusal bayram ve genel tatillerde çalışılması, ücretin düşürülmesi de çalışanın rızasına bağlanmıştır. Burada taraflar arasındaki tabiiyet ilişkisi sonucu, çalışanın rızasının sakat olacağı gibi bir çıkarım yapılmamakta, çalışanın iradesinin sakat olduğu düşünülmekte ise çalışan tarafından sakatlığın ispat edilmesi gerekmektedir.

Sonuç olarak açık rızanın özgür irade ile verilip verilmediği tartışmasında eğer çalışan somut olayda sağlık verilerinin işlenmesine ilişkin rızasının sakat olduğunu, kendisinden bu rızanın zorla alındığını iddia ederse, bu iddiasını somut delillerle ispatlamakla yükümlü olacaktır. Dolayısı ile aksi çalışan tarafından ispatlanıncaya kadar verilmiş olan açık rızanın geçerliliği kabul edilmelidir.

Ancak bu açıklamalar ile Kurum kararlarında çalışan-işveren ilişkisinde, çalışana rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin çalışan açısından muhtemel bir olumsuzluk doğuracağı durumlarda çalışanın özgür iradesinin zedeleneceğinden bahisle veri işlemenin açık rızaya dayandırılamayacağı hakkında karar verdiği unutulmamalıdır. Dolayısı ile işverenlerin her halükârda yapacakları aydınlatmaları çalışanlarına en şeffaf biçimde sunmaları, rıza verme zorunluluğu bulunmadığı ve çalışanlara açık rıza vermemeleri sonucunda herhangi bir olumsuzluk sonuç ile karşılaşmayacakları güvencesi etkin bir şekilde vermeleri sağlıklı olacaktır.

İşverenler her çalışandan ilgili verileri toplamalı mı?

İşlenecek verilerin her çalışandan toplanması işverenlerin veri toplama amacına uygun düşmeyebilir. İşverenin çalışanın aşı bilgilerini ve PCR testi sonuçlarını sormasındaki amaç işyeri ortamının sağlıklı bir şekilde tesisi, diğer işçilerin sağlıklarının korunması ve böylelikle iş sağlığı ve güvenliğine ilişkin yükümlülüklerinin yerine getirilmesi olduğundan işinin gereği olarak evden çalışan bir test sonuçlarının sorulması verilerin toplanma amacına ters düşecektir.

Dolayısı ile işverenler her çalışan veya departman açısından inceleme yapmalı, gerektiği ölçüde ve amaca uygun olarak ilgili çalışanlarının verilerini talep etmelidir.

Covid-19 salgını ve aşılama faaliyetleri açısından nasıl ilerlenmesi gerektiği gün geçtikçe belli sorunları da beraberinde getirmektedir. Kanunlarımızda hala salgın hastalık durumunda nasıl hareket edileceğine, verilerin nasıl işlenmesi gerektiğine ilişkin bir açıklık bulunmaması beraberinde çözümü olmayan ve yoruma kalan durumlar ortaya çıkarmaktadır. Anlatılanlar ışığında, unutulmaması gereken sağlık verilerinin toplanması konusunda işverenlerin açık rızaları aydınlatma yükümlülüğü de göz önünde bulundurularak toplaması, KVKK yükümlülüklerine uyması, çalışanlarının verilerini minimum surette ve amaca uygun işlemesi ve mevzuata (Kurum kararları dahil olmak üzere) uygun davranmaya özen göstermesidir.

İşverenlerin “Yasaklanmadıkça Her Şey Serbesttir” prensibini değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket etmesi kişisel verilerin işlenmesinde ortaya çıkabilecek muhtemel aykırılıkların ve beraberinde gelebilecek yüksek orandaki cezaların önlenmesinde yardımcı olacaktır.