İstanbul Üniversitesi, İş ve Sosyal Güvenlik Hukuku Ana Bilim Dalı Üyesi Prof. Dr. Gülsevil Alpagut’a ve ASlegal Hukuk Bürosu Partneri Avukat Bahar Sür’e Covid-19 salgını süresince çalışanların kişisel verilerinin nasıl korunacağını sorduk. İşte Prof. Dr. Alpagut ve Av. Sür’ün Datassist için ortaklaşa yazdığı “Pandemi Süresince Çalışanların Kişisel Verilerinin Korunması” başlıklı makalesi.
COVİD-19 virüsü, tüm dünyayı hızla etkisi altına almış olmakla insan sağlığını tehdit etmektedir. Bu nedenle Dünya Sağlık Örgütü (World Health Organization Director / WHO) tarafından 11 Mart 2020 tarihinde “Pandemi” olarak kabul edilmiştir (1). Kısa süre içinde ölüm gibi ağır sonuçlar doğuran COVİD-19 virüsü sadece insan sağlığını tehdit etmekle kalmamış, Dünyada birçok tedbirin alınmasına yol açarak ekonomiyi de olumsuz etkilemiştir.Alınan önlemler birçok yerde kişisel sağlık verilerinin toplanmasını, işlenmesini, bu verilerin ilgili kamu kurum ve kuruluşlarına hızla aktarılmasını da gerektirmektedir. Hatta salgının küresel boyutlarda olması nedeniyle bu veriler kimi zaman sadece ilgili kurum ve kuruluşlarla değil aynı zamanda kamuoyu ile dahi paylaşılmaktadır. Bu kapsamda, her ne kadar kamu sağlığının gerektirdiği bir durumun zaruri sonucu olsa da içinde bulunulan durum kişisel verilerin korunmasına yönelik birçok soru işaretini beraberinde getirmektedir. Çünkü kişisel verilerin, gündem özelinde ele alınacak olursa, özel nitelikli kişisel veri kategorisinde olan sağlık verilerinin korunması, başta insan onurunun, kişinin hak ve özgürlüklerinin korunabilmesi açısından ayrıca önem arz etmektedir.
Belirtmek gerekir ki, Avrupa Veri Koruma Kurulu tarafından Pandemi sürecinde yapılan açıklamada; Genel Veri Koruma Tüzüğü gibi kişisel verileri koruma düzenlemelerinin Corona virüs pandemisi ile savaşmak için alınması gereken tedbirleri engellemeyeceği, ancak bu istisnai süreçte dahi veri sorumlusunun veri sahibinin kişisel verilerini korumak zorunda olduğu belirtilmiştir. Bu nedenle bir dizi temel esasın dikkate alınması gerektiği vurgulanmıştır. Esasen Avrupa Veri Koruma Tüzüğü kamu otoriteleri yanında işverenler tarafından da salgın bağlamında kişisel verilerin işlenebilmesine imkan tanımaktadır. Ancak yasal bir işlemeden söz edilebilmesi için Tüzükte yer alan genel ilkelere uyum gerekliliği konusunda kuşku bulunmamaktadır.
AB mevzuatı da dikkate alınarak hazırlanan 6698 sayılı Kişisel Verileri Koruma Kanununda sağlık verilerinin işlenmesi konusunda bir takım esaslara yer verilmiştir. Ancak düzenlemenin eksik olması bu süreçte sorunları beraberinde getirmektedir. Bu bağlamda konunun işverenin 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, Türk Borçlar Kanunu hükümleri ile Umumi Hıfzıssıhha Kanunu hükümleri gereği tabii olduğu bilgilendirme yükümlülüğünün, 6698 Sayılı Kişisel Verileri Koruma Kanunu ve ilgili mevzuat hükümleri karşısındaki sınırlarını değerlendirmenin yerinde olacağı kanaatiyle işbu yazıyı kaleme almış bulunmaktayız.
1) Bir İşçinin COVİD-19 Virüsüne Yakalandığını Gösteren Veriler, Kişisel Sağlık Verisi Olup KVKK Kapsamında Koruma Altındadır
Bilindiği üzere 6698 Sayılı Kişisel Verilerin Korunması Kanununun 3.maddesine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Dolayısıyla kişinin adı, soyadı, doğum yeri, doğum tarihi, kimlik numarası, fotoğrafı, telefon numarası, sağlık bilgileri, el ve avuç izi gibi verileri Kanun kapsamında koruma altına alınması gereken kişisel verilerdir. Kanun’un tanımından da anlaşılacağı üzere sadece gerçek bir kişinin kimliğini ortaya koyan veriler değil, doğrudan veya dolaylı olan kimliği belirlenebilir kılan veriler de Kanun kapsamında korunması gereken kişisel verilerdendir. Kanun’un 6.maddesinde özel olarak sayılmış olan ve genel nitelikteki kişisel verilerden daha hassas olup özel olarak korunması gereken “özel nitelikli kişisel veriler” önemlidir. Bu veriler kanunda sınırlı sayıda olmak üzere özel olarak sayılmış olup örnek mahiyetinde değildir. Bu bakımdan genişletilmesi de mümkün değildir. Kişinin sağlık verilerinin de içinde bulunduğu bu “özel nitelikli kişisel verilerin” işlenme, aktarılma şartları AB ülkelerindeki düzenlemelere paralel olarak ülkemizdeki mevzuat hükümlerinde de özel olarak düzenlenmiştir. Bu düzenlemelere göre özel nitelikli kişisel veriler ancak kişinin açık rızasının varlığı halinde veya kanunda sınırlı olarak sayılan hallerde işlenebilir.
Belirtmek gerekir ki, özel nitelikli kişisel verilerin işlenmesinde kural kişinin açık rızasının varlığıdır (KVKK. m.6/2). Kanunda öngörülen hallerde işlenebilmesi ise istisnadır. Öte yandan kanunda özel nitelikli kişisel veriler arasında da bir ayırım yapılmasına ihtiyaç duyulmuş; sağlık ve cinsel hayata ilişkin veriler niteliği itibariyle kişinin hak ve menfaatleri açısından daha hassas olduklarından bu verilerin işlenme şartları sadece kişinin açık rızasının var olmasına bağlanmıştır (KVKK m.6/3). Dolayısıyla, kişinin sağlık ve cinsel hayatına ilişkin verilerinin işlenebilmesi sadece açık rızasının varlığı halinde mümkün olabilmektedir. Ancak sağlık ve cinsel hayata ilişkin veriler; eğer kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi gerektiriyorsa sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın da işlenebilir (6698 Sk. md.6/3). Dikkat edileceği üzere sağlık verilerinin işveren tarafından işlenmesi sadece açık rıza halinde mümkün kılınmışken, rıza olmadan sadece sır saklama yükümlülüğü altında olan iş yeri hekimleri tarafından işlenebilecektir (2).
Bu genel bilgiden sonra konunun içinde bulunduğumuz COVİD-19 küresel salgını açısından incelenmesinde belirtmek gerekir ki; kişisel sağlık verisi, kimliği belirli veya belirlenebilir gerçek bir kişinin fiziki ve psikolojik sağlığına yönelik her türlü veri olarak ifade edildiğine göre; bu hususta belirtilerin takip edilmesi açısından kişilerden alınan verilerin niteliğinin belirlenmesi önem arz etmektedir. Örneğin ateş, yaş, tansiyon/nabız gibi veriler, kişisel sağlık verisi olup bu verilerin işveren tarafından işlenmesi kanun hükmü gereği ancak ve ancak kişinin açık rızasına bağlı olacaktır. Her ne kadar sır saklama yükümlülüğü altında bulunan iş yeri hekimleri tarafından açık rıza olmadan işlenebiliyorsa da bu, kişisel sağlık verilerinin işveren nezdinde de tutulabileceği şeklinde yorumlanamaz. Bu nedenle uygulama ve işverenlerin diğer kanunlardaki yükümlülükleri açısından bakıldığında;
- Sağlık verisinin işlenmesi için açık rıza vermeyen işçinin iş sözleşmesi feshedilebilir mi?
- Açık rıza geri alındığında ne olacak?
- Açık rıza olmadan çalışanların kişisel sağlık verisini veri kayıt sistemine alamayacak olan işverenler 6331 Sayılı Kanun ve ilgili mevzuat hükümleri kapsamında gerekli iş sağlığı ve güvenliğine yönelik tedbirlerini nasıl alıp uygulayabilecek? Bu husus önemlidir; açık rıza olmadan sır saklama yükümlülüğü altında olan iş yeri hekimi tarafından alınan kişisel sağlık verisi üzerinden hangi tedbirlerin uygulanacağına karar verme mercii işveren olduğuna göre bu verinin mutlaka işverene ulaşmak üzere ilgili birimlere aktarılması söz konusu olmaktadır. Verinin sır saklama yükümlüsü tarafından kanunun bir gereği olarak alınması ve buradan işverene (ve-veya ilgili birimlere) aktarılmasıyla verinin niteliği değişmediğine ve sonuç itibariyle karar mercii olan işveren bir sır saklama yükümlüsü de olmadığına göre durum içinden çıkılamaz bir hale gelmektedir. Üstelik mevcut yasal düzenlemelerimize göre her iş yerinde iş yeri hekimi bulundurma zorunluluğu dahi bulunmamakta; olsa dahi iş yeri hekimlerinin iş yerinde bulunması gereken süre iş yerinin tehlike sınıfına göre değişmektedir.
Bu ve benzer soru ve sorunsallar göstermektedir ki uygulamada 6698 Sayılı Kanundaki düzenlemenin özellikle kişisel sağlık verilerinin işveren nezdinde işlenebilmesinde birçok çelişkiye neden olmaktadır. Konu doktrinde ayrıca tartışılmakta; COVİD-19 salgını kapsamında süreç uygulamada tecrübe edildiğinde, 6698 Sayılı Kanun ve ikincil mevzuatta öngörülen düzenlemelerin işçi-işveren arasındaki ilişkinin doğurduğu zorunlu ihtiyaçlar karşısında yetersiz kaldığı yönünden eleştirilmektedir (3).
2) İşverenin İş Yerinde Tespit Edilen COVİD-19 Salgın Vakıalarını Yetkili Kurum ve Kuruluşlara Bildirme Yükümlülüğü Bulunmaktadır
Bilinmektedir ki işveren, işçiyi koruma ve gözetme borcu kapsamında gerekli iş sağlığı ve güvenliği tedbirlerini almak, denetlemek ve gelişen ihtiyaçlar doğrultusunda uyarlamakla yükümlüdür. Başta 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu olmak üzere bu konudaki ikincil mevzuat hükümleri kapsamında işveren bu sorumluluğu çerçevesinde;
- iş yerinde var olan ya da dışarıdan gelebilecek tehlikelerin belirlenmesi,
- bu tehlikelerin riske dönüşmesine yol açan faktörler ile tehlikelerden kaynaklanan risklerin analiz edilmesi,
- gerekli teknik, idari ve kontrol tedbirlerinin kararlaştırılması amacıyla değerlendirilmelerin yapılması,
hususlarında birinci derecede ve doğrudan sorumludur. İş yerinde çalışanlarına yönelik yapacağı veya yaptıracağı bu risk incelemeleri neticesinde iş sağlığı ve güvenliğine yönelik olarak gerekli her türlü tedbiri almak ve uygulanmasını sağlamakla yükümlü olan bir işveren, iş yerinde herhangi bir salgın hastalık, örneğin günümüzdeki COVİD-19 virüs vakıası (veya buna yönelik herhangi bir belirti) ile karşılaştığında Umumi Hıfzıssıhha Kanunu da, md. 61 uyarınca durumu derhal yetkililere bildirmekle de yükümlüdür (4). Dolayısıyla; gerek işveren gerekse madde kapsamında sayılan diğer ilgililer (fabrika, imalathane, ticarethane, mağaza, otel vb. iş yeri sahipleri, müdürler, kiracılar vs) COVİD-19 virüs salgın vakıası ya da buna yönelik belirtilerle karşılaştıklarında durumu (kişinin ve yakın temas halinde bulunduğu diğer çalışanların isim ve soy isim gibi kişisel verileri dahilinde) ilgili makamlara derhal bildirmekle yükümlüdürler.
3) 6331 Sayılı Kanun Kapsamında Gerekli İş Sağlığı ve Güvenliğini Sağlamakla Yükümlü Olan İşveren Çalışanları COVİD-19 Belirtileri Yönünden Muayene Olmaya Zorlayabilir mi?
Bilindiği üzere bir işveren başta 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu olmak üzere ilgili mevzuat hükümleri uyarınca talep edildiğinde işçinin sağlık kontrolünü yaptırmak, bu hususta gerekli tedbirleri almakla yükümlüdür (5). Yine, 6098 sayılı Türk Borçlar Kanunu m. 417 işverenin işçiyi gözetme borcunu düzenlemekte, maddenin ikinci fıkrasında işverenin, iş yerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almak, araç ve gereçleri noksansız bulundurmak; işçilerin de iş sağlığı ve güvenliği konusunda alınan her türlü önleme uymakla yükümlü olduğu kabul edilmiştir. Dolayısıyla işverenin bu yükümlülüğü Pandemi sürecinde iş sağlığı ve güvenliğinin korunması, olası bulaş riskini önleyecek tedbirler alması ve bu riski asgari düzeye indirmesi konusundaki yükümlülükleri içerir. Önlemler iş yeri hijyeni sağlanması, gerekli eğitimin verilmesi, bilgilendirme yapılması yanında Covid-19 belirtisi gösteren işçilerden diğer işçilere bulaş riskini önlemek için tespit ve bu işçilerin iş yeri ortamından uzaklaştırılmasını da kapsar.
İçinde bulunduğumuz ve salgınla ilgili belirtilerin takip edildiği bu dönemde işverenin işçiyi muayene olmaya zorlayıp zorlayamayacağı sorusu akla gelmektedir. İş sağlığı ve güvenliği önlemlerini almakla, bu hususta gerekli eğitimleri verip tedbirlerin uygulanmasını sağlamak-denetlemek-uyarlamakla sorumlu olan işveren çalışanları COVID-19 virüs salgınına yönelik mutlaka bilgilendirmeli, nasıl bir tutum içinde bulunulması ve bir belirti ile karşılaşıldığında ne yapılması gerektiği gibi detaylarda bilinçlendirmelidir. İşverenin virüs belirtisi taşıyan işçilerden muayene olmalarını talep etmesi, bulaş riskini önleme noktasında gözetme borcunun gereği olarak görülmelidir. İşveren yukarıda yer verildiği üzere durumu derhal yetkililere bildirme yükümlülüğünü yerine getirmek suretiyle test yapılmasını sağlayabilir.
4) Çalışanların COVİD-19 Belirtisi Gösteren Çalışma Arkadaşlarını İşverene Bildirme Yükümlülüğü Var mıdır?
Çalışanların her şeyden önce işverene karşı sadakat ve dürüst bir tutum içinde bulunma yükümlülüğü bulunmaktadır. Öte yandan 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu’nun 19. maddesinin 1. fıkrasına göre işveren gibi çalışanlar da iş sağlığı ve güvenliği ile ilgili aldıkları eğitimler ve işverenin bu hususta verdiği talimatlar çerçevesinde; kendilerinin, hareketlerinden veya yaptıkları işten etkilenen diğer çalışanların sağlık ve güvenliklerini tehlikeye düşürmemekle yükümlüdür. Ayrıca md.19/2-c bendine göre iş yerinde sağlık ve güvenlik yönünden ciddi ve yakın bir tehlike ile karşılaştığında durumdan derhal işveren ve çalışan temsilcilerine haberdar etmekle yükümlü olan işçi, iş yerinde iş sağlığı ve güvenliğinin sağlanması için işveren ve çalışan temsilcisi ile iş birliği yapmak zorundadır. Buradan anlaşılmaktadır ki, iş sağlığı ve güvenliği iş ilişkisinin her iki tarafına da sorumluluk getirmektedir. Gündemimizdeki COVİD-19 virüs salgınının kamu sağlığını dahi tehlikeye atıyor olması da göz önüne alındığında iş yerinde çalışanların, COVİD-19 belirtilerinden en az herhangi birini gösteren bir çalışma arkadaşının durumunu işverene bildirmesi gerektiğini belirtmek doğru olacaktır. Bu hususta şuna dikkat edilmesinde fayda bulunmaktadır. Her ne kadar gerek kamu sağlığı gerekse iş sağlığı ve güvenliğinin gereklerinden kaynaklanıyorsa da bu yükümlülük hiçbir şekilde kişisel verilerin ihlal edilmesine izin vermemektedir. Dolayısıyla çalışanlara verilecek eğitimlerde herhangi bir salgın hastalık belirtisi gösteren çalışma arkadaşını iş yerinde herkesin duyacağı şekilde değil, doğrudan ve sadece işverene ve-veya işveren vekiline bildirmesi gerektiğinin altı çizilmelidir. Hatta bu hususta özel, gizli ve çalışanların güvenebileceği bir iletişim hattı oluşturulmasında; yapılan bildirimlere gerekli ölçüde bilgi içeren cevaplar verilmesinde fayda bulunmaktadır.
5) İşverenin 6331 Sayılı Kanun Kapsamındaki “Bilgilendirme Yükümlülüğü”nün Sınırları Nedir? Bir Çalışanın COVİD-19 Virüsü Taşıdığını Diğer Çalışanlara Bildirebilir mi?
Hukukumuzda iş sağlığı ve güvenliğine yönelik olarak yapılan yasal düzenlemelerde Avrupa Birliğinin iş sağlığı ve güvenliği ile ilgili normlarına uyum kapsamında öncelikle önleyici yaklaşım benimsenmiş, bu kapsamda iş yeri düzeyinde alınması gereken tedbirlere öncelik verilmiştir. 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu’nun genel gerekçesinde; iş sağlığı ve güvenliği ile ilgili düzenlemelerin sadece iş yeri ve çalışan düzeyinde değil toplumun genelini de doğrudan ilgilendiren, bu çerçevede ulusal ve uluslararası kapsamda ele alınıp gelişen ihtiyaçlar doğrultusunda güncellenmesi gereken bir “öncelik” olduğu özellikle vurgulanmaktadır. Bu nedenle AB’nin başta 89/391 EEC sayılı direktifi olmak üzere ilgili tüm düzenlemeleri ile 155 ve 161 sayılı ILO sözleşmeleri esas alınarak iş sağlığı ve güvenliğine yönelik alınması gereken tedbirlerin kamu ve özel sektör ayırımı olmaksızın tüm çalışanlara yönelik esas olması prensibine yer verilmiştir.
6331 sayılı Kanunda belirlenmiş olan yükümlülüklerin yerine getirilmesinde işverenin uyması gereken bazı ilkeler bulunmaktadır (md.5 / Risklerden Korunma İlkeleri). Risklerden kaçınmak, kaçınılması mümkün olmayan riskleri analiz etmek, risklerle kaynağında mücadele etmek, işin çalışanlara uygun hale getirilmesi için gerekli olan koruyucu donanım ve çalışma şeklinin belirlenmesinde özenli olmak, alınan tedbirlerde ve uygulanan metotlarda gelişen teknolojiye uyum sağlamak, tehlikeli olanı tehlikesiz veya daha az tehlikeli olanla değiştirmek, toplu korunma tedbirlerine kişisel korunma tedbirlerine göre öncelik vermek bunlardan bazılarıdır. Tüm bu tedbirlerin belirlenebilmesi ve takip edilmesi için öncelikle iş yerlerinde risk değerlendirme çalışmalarının zamanında ve eksiksiz yapılması, çalışanların görüşlerinin alınması, gerekli uzman personelin istihdam edilmesi, çalışanların iş yerindeki tehlikeler konusunda bilgilendirilmesi, eğitilmesi ve böylece iş sağlığı ve güvenliği kültürünün yerleştirilmesi gerekmektedir. O halde iş yerinde herhangi bir çalışanın COVİD-19 virüs salgını kapsamında belirtiler gösteriyor olması halinde, iş yerinde böylesi bir salgın riskinin bulunduğu ve fakat süreçle ilgili gerekli tedbirlerin alındığı bilgisinin verilmesi de işverenin çalışanlarına karşı iş sağlığı ve güvenliğine yönelik sorumluluğu altındadır. Dolayısıyla, işveren iş yerinde çalışanlardan herhangi birinin COVİD-19 virüs salgınına yakalanması halinde durumu tüm çalışanlara bildirmelidir. Ne var ki Kişisel Verileri Koruma Kurulu’nun 27.03.2020 tarihli kamuoyu duyurusunda da açıklandığı üzere bu bilgilendirmede iş sağlığı ve güvenliğine yönelik yükümlülükler kapsamındaki amacın aşılmaması, çalışanların kişisel verilerinin ifşa edilmemesi önemlidir. Buna göre; işveren tarafından iş yerinde görülen salgın hastalık riskine yönelik yapılması gereken bilgilendirmede çalışanların isim – soy isimlerine yer verilmemesine, bu çalışanların ifşa olmasına neden olacak herhangi bir uygulama ve programdan kaçınılmasına, ayrımcılık yapılmamasına mutlaka dikkat edilmesi gerekmektedir.
Virüse yakalanan ve yukarıda yer verildiği gibi Umumi Hıfzıssıhha Kanunu uyarınca ilgili kamu yetkililerine bildirilen çalışanlarla herhangi bir şekilde fiziki bağlantı halinde olan, aynı ortamda çalışan kişilere de durum yine gizlilik ve ölçülülük ilkeleri dahilinde daha detaylı izah edilmelidir. Örneğin, COVİD-19 virüsüne yakalanan çalışan ile aynı servisi, aynı toplu taşıma aracını, aynı yemekhaneyi, aynı sigara içme alanını, aynı soyunma odasını kullanan tüm çalışanların aynı vardiyada olup olmama durumları dahi dikkate alınarak bilgilendirilmesi ve kendilerinde de ilgili semptomların oluşup oluşmadığı takip edilmelidir. Bilgilendirmede kişisel verilerin korunmasına ilişkin esaslara uyulması gerekmekte olup, kural olarak kimliğin gizli tutulması önemli olmakla birlikte, kimi hallerde işçilerin ortak alanı kullanmaları nedeniyle kimliğin bilinmesi bulaş riskini belirleyebilmek için zorunlu olabilecektir. Dolayısıyla Kişisel Verileri Koruma Kurulunun yukarıda belirtilen açıklamasının her durumda yerindeliği tartışmalıdır. Her durumda amacı aşmadan yapılacak böylesi bir bilgilendirmeden önce kişisel veri sahibinin durumdan gerekçeleriyle haberdar edilmesinde fayda bulunmaktadır. Bulaş riskinin bulunduğu hallerde işçinin aynı şekilde teste tabi tutulması sağlanabilir.
Kurul tarafından örnek olarak gösterilen bilgilendirme metni şu şekildedir; “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…”(6). Görüleceği üzere iş yerinde çalışanlara COVİD-19 virüs tehlikesine yönelik yapılacak olan duyuruda tehlikenin varlığına ve gerekli önlemlerin alındığına (7) yönelik genel bir vakıa bilgilendirmesi yer alıyor olmalıdır.
6) Sonuç ve Öneriler
COVİD-19 virüsü sebebiyle işletmeler tarafından gerekli teknik ve idari tedbirler alınmaya başlanmış; bu tedbirler kapsamında çalışanların sağlık verileri dahil olmak üzere kişisel verilerine yetkisiz kişilerin ulaşma risk ve ihtimali ortaya çıkmıştır. İşverenler, bu COVİD-19 salgını karşısında belirledikleri tedbirleri uygulamaya alırken kişilerin hak ve özgürlüklerine doğrudan temas edecek ihlallerden kaçınmaya dikkat etmelidir.
- Konuya ilişkin en önemli husus; yukarıda da belirtildiği üzere testi pozitif çıkan veya COVİD-19 virüs belirtilerini gösteren çalışan ve onun öncelikle doğrudan temas halinde bulunduğu çalışanlar ile yalnızca iş yeri hekiminin temas kurması ve çalışanı hekimin yönlendirmesidir. İş yeri hekimi bulunmayan işletmelerde işveren yasada yer alan bildirim yükümlülüğünü yerine getirilmelidir.
- Bir iş yerinde COVİD-19 testi pozitif çıkan (veya pozitif bir üçüncü kişi ile herhangi bir şekilde temas halinde bulunmuş olan) bir çalışanın varlığı halinde gerekli bilgilendirme iş yerinde genel anlamda yapılmalı; mümkün olduğunca ilgili kişinin isim soy isim gibi kişisel bilgileri açıklanmadan ilgili koruyucu tedbirlere çalışanların yönlendirilmesine dikkat edilmelidir.
- COVİD-19 salgn hastalık testi pozitif çıkan çalışanla ilgili gerekli tedbirler alındıktan sonra son 14 gün içinde doğrudan temas etmiş olabileceği tüm çalışanların isimleri istenmeli ve bu çalışanlar açısından da gerekli tedbirler alınmalı, yönlendirme yapılmalıdır.
- Çalışan, çalışan yakını veya üçüncü kişinin COVİD-19 virüsü taşıdığının tespiti halinde Hıfzıssıhha Kanunu’nun 61.maddesine göre bu durum gecikmeden yetkili kurumlara bildirilmelidir.
- Yetkili makamlarca muayene edilen ve testi pozitif çıkan çalışanların sağlık durumu raporlu olarak ya evden takip edilmekte ya da hastanede istirahat etmesi sağlanmaktadır. Bu bağlamda işverenler tarafından yetkili kurumdan temin edilecek raporun (ki bu raporda COVİD-19 test sonucu ile ilgili bilgi de yer almaktadır) saklanması/gizliliği en iyi şekilde korunacak şekilde muhafaza edilmesi için ek güvenlik önlemleri alınmalı ve bu işlem mutlaka varsa/öncelikli olarak iş yeri hekimi aracılığı ile gerçekleştirilmelidir.
- Kurye, satış personeli, bankada çalışan bir müşteri temsilcisi veya şoför gibi kamuya açık yerlerde çalışanların, bu görevlerini ifa ederken COVİD-19 salgın belirtilerini gösteren bir kişi ile karşılaşması durumunda, kişinin karşılaşıldığı ortamın bulunmaya elverişli duruma getirilmesi için yetkili kuruluşlara bilgi vermesi ve yetkili makamların duyurduğu önlemleri alması uygun olacaktır (8).
- Çalışan ve çalışan yakınlarının COVİD-19 virüs semptomlarından herhangi birini gösterip göstermediği veya yakın zamanda bir seyahate çıkıp çıkmadığı ile ilgili organizasyonlar bilgi talep etmektedir. Bu bilgi talebinin amacı ilgili çalışanın 14 günlük koruma süresini takip edebilmek ve diğer çalışanların sağlığını korumaktır. Bu kapsamda çalışanların veya yakınlarının semptomları gösterip göstermediği bilgisi organizasyon nezdinde anonim şekilde tutulmalı, bu bilginin amacı sadece 14 günlük koruma süresini takip etmek olmalıdır. Bu sebeple yalnızca riskin oluştuğu tarih ve riskin nasıl ortaya çıktığı çalışan tarafından organizasyona bildirilmeli, ilgili kişilerin kimlik bilgileri veya onları tanımlayabilecek bilgiler iletilmemelidir.
- Kişilerin kendilerinden alınan bilgilerin yanında, bazı iş yerlerinde çalışanların sağlık taramasından (ateş / tansiyon vs ölçülmesi gibi semptomların varlığına ilişkin tespit çalışması) geçirilmesi uygulamalarına başlanmıştır. Bu uygulamalar kişisel verilerin işlenmesi niteliğinde olduğundan kural olarak sır saklama yükümlülüğü bulunan iş yeri hekimi tarafından işlenebilir. İş yeri hekimi bulunmayan iş yerleri bakımından bu tür bir uygulamanın Kişisel Verilerin Korunması Kanunu md. 6 hükmüne aykırı olduğundan söz edilebilir. Bununla birlikte, pandeminin boyutu, gerek iş yerindeki işçiler gerekse toplum sağlığı bakımından etkileri dikkate alındığında ve yine işçiyi gözetme borcu, işçinin sadakat borcu kapsamlarında değerlendirme yapıldığında 6. madde hükmünün son derece katı olduğu, Avrupa Kişisel Veri Kurulunun açıklamaları ve Tüzük ile bağdaşmadığı belirtilmelidir.
Kaynakça
- https://www.who.int/dg/speeches/detail/who-director-general-s-opening-remarks-at-the-media-briefing-on-covid-19—11-march-2020.
- Bu hususta Avrupa Birliği üye devletlerin veri koruma otoritelerinin yaptığı değerlendirmelere bakılması faydalı olacaktır. Örneğin İtalya Veri Koruma Otoritesi’nin (GARANTE) 2 Mart 2020 tarihindeki açıklamasına göre; normal şartlar altında işverenlerin çalışanlar hakkında sağlık verilerini toplaması veya çalışanların iş dışında yaptıkları seyahatler hakkında bilgi talep etmesi mümkün değildir. Ancak çalışanın sağlığını tehdit eden bir durumun varlığı karşısında buna istisna tanınmalı, gerekli verilerin toplanması için işveren iş yeri hekimine talimat verebilmelidir (İlgili duyuruya şu linkten ulaşabilirsiniz; https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117). Aynı duyuruya göre işçinin iş yerinde iş sağlığı ve güvenliğini tehdit eden durumu işverene bildirme yükümlülüğü devam ediyor olduğundan işveren bu yükümlülüğün yerine getirilmesini pratikleştirecek sistemler kurup çalışanları buna davete edebilecektir. Fransa Bilişim ve Özgürlükler Ulusal Komisyonu’nun (CNIL) 6 Mart 2020 tarihli duyurusunda; Fransa’da da bizde olduğu gibi işverenlerin çalışanların sağlık verilerini işlememesi gerektiği vurgulanmış; bununla birlikte işverenin iş yerindeki COVİD-19 vakıalarını bildirme yükümlülüğünden hareketle buna bir istisna sağlanabileceği ve işverenin virüse maruz kaldığından şüphe edilen çalışanının kimlik bilgileri ile bu hususta nasıl bir önlem (çalışma şekline ile ilgili) alındığına yönelik gerekli bilgileri yetkililere aktarmak üzere işleyebilmesine imkan sağlanmalıdır (İlgili duyuruya şu linkten ulaşabilirsiniz; https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles). İrlanda Veri Koruma Komisyonu’nun (DPC) yine 6 Mart 2020 tarihli duyurusuna bakmak yerinde olacaktır. Çünkü ilgili duyuruda işverenlerin içinde bulunulan virüs salgınında iş sağlığı ve güvenliğine yönelik gerekli tedbirlerin alınabilmesi için veri koruma mevzuatında –ölçülü ve amaçla orantılı olmak kaydıyla– esneklik sağlanması gerektiğinin vurgulandığı görülmektedir (İlgili duyuruya şu linkten ulaşabilirsiniz; https://dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19). Birçok öneriye yer verilen duyuruya göre işverenin çalışanlardan birinin virüse enfekte olduğunu diğer çalışanlara bildirip bildiremeyeceği hususunda DPC olumsuz bir değerlendirme yapmaktadır. DPC’ye göre; işveren her ne kadar iş yerinde iş sağlığı ve güvenliğini temin etmekten sorumlu olsa da çalışanların kişisel verilerinin gizliliğini de korumak zorundadır. Dolayısıyla işverenin çalışanlarına kuruluşta COVID-19 vakıası tespit edildiğini bildirerek evden çalışmalarını önermesi yerinde olacaktır. Zira enfekte olan kişinin isminin diğer çalışanlara açıklanmaması gerekmektedir. Ülkelerin benzer olmakla birlikte ayrı uygulamalar benimsediği ortadadır. Son olarak konuyla ilgili ülkelerin de kendi düzenlemeleri için esas aldığı GDPR’a bakmak yerinde olacaktır. Belirtmek gerekir ki; GDPR, m.9 hükmünde işverenin ve yetkililerin veri sahibinin rızasının alınmasına gerek olmaksızın kişisel sağlık verisini işlenmesini mümkün kılan hükümler içermektedir. Tüm bu düzenleme ve açıklamalar ülkemiz mevzuatı ile birlikte değerlendirildiğinde; mevzuatımızda GDPR’daki istisnai düzenlemelere yer verilmediği açıktır. Diğer bir ifade ile işveren açık rıza olmadan herhangi bir şekilde kişinin özel nitelikli kişisel verisi olan sağlık verilerini doğrudan işleyemez. Kurulu’nun açıklamasına bakıldığında da işverenin kişisel sağlık verilerini işleyebilmesine yönelik herhangi bir istisnai yoruma yer verilmediği görülmektedir. Ancak yukarıda örnek olarak incelenene bazı ülkelerin veri koruma otoriteleri tarafından da yapılan açıklamalarda yer verildiği üzere içinde bulunulan durum, kamu sağlığını da tehdit edeni hızla yayılan ve ölümcül sonuçları olabilen olağanüstü bir risk niteliğindedir. Dolayısıyla tabii ki ölçülü ve amaçla orantılı olmakla kaydıyla işverenin çalışanların kişisel sağlık verilerini işleyebilmesine esneklik sağlanmalıdır kanaatindeyiz. Bu bağlamda; işverenin COVİD-19’a enfekte olmuş bir çalışanı ile ilgili gerekli bilgileri işleyebileceği, bunun varsa öncelikle iş yeri hekimi aracılığı ile yapılabileceği ancak iş yeri hekimi olmayan hallerde işverenin de doğrudan işlemesinin mümkün olması gerektiğini belirtmek yerinde olacaktır.
- Murat Volkan Dülger, “Kişisel Sağlık Verilerinin İşlenmesi Sorunu ve Covid-19 Üzerine Değerlendirme -“KVKK Hükümlerinin İş İlişkileri Kapsamında Değerlendirilmesi”ne Katkı”. Çevrimiçi: https://www.academia.edu/, Erişim Tarihi: 23.04.2020; Mesut S. Çekin, “Rahmetlinin Hayatını Kurtaramadık Ama En Azından Kişisel Sağlık Verilerini Koruduk!!! Covid-19 Pandemisi Karşısında Kişisel Sağlık Verilerinin İşlenmesine Dair KVKK Hükümlerinin İş İlişkileri Kapsamında Değerlendirilmesi”. Çevrimiçi: https://blog.lexpera.com.tr, Erişim Tarihi: 23.04.2020.4 İlgili hükme göre “…Hastane baştabipleri, mektep, fabrika, imalathane, hayır müesseseleri, ticarethane ve mağaza, otel, pansiyon, han, hamam, hapishane sahip veya müstecirleri ve müdürleri, apartman kapıcıları bulundukları mahallede, köy ihtiyar heyetleri köylerinde zuhur eden ve eczacılar, diş̧ tabipleri ve ebeler, hasta bakıcıları, ölü tabutlıyan ve yıkayanlar sanatlarını icra sebebiyle muttali oldukları 57nci maddede zikredilen vakıaları derakap alakadar makamlara tebliğ ve ihbara mecburdurlar”. Belirtmek gerekir ki maddede atıf yapılan 57. maddesinde Covid-19 virüsü özel olarak yer almıyor ise de bu tür bir salgının da ilgili hüküm dahilinde değerlendirilmesi gerektiğinde kuşku bulunmamaktadır.
- İlgili hükme göre “…Hastane baştabipleri, mektep, fabrika, imalathane, hayır müesseseleri, ticarethane ve mağaza, otel, pansiyon, han, hamam, hapishane sahip veya müstecirleri ve müdürleri, apartman kapıcıları bulundukları mahallede, köy ihtiyar heyetleri köylerinde zuhur eden ve eczacılar, diş̧ tabipleri ve ebeler, hasta bakıcıları, ölü tabutlıyan ve yıkayanlar sanatlarını icra sebebiyle muttali oldukları 57nci maddede zikredilen vakıaları derakap alakadar makamlara tebliğ ve ihbara mecburdurlar”. Belirtmek gerekir ki maddede atıf yapılan 57. maddesinde Covid-19 virüsü özel olarak yer almıyor ise de bu tür bir salgının da ilgili hüküm dahilinde değerlendirilmesi gerektiğinde kuşku bulunmamaktadır.
- Aynı yükümlülük 6098 Sayılı Türk Borçlar Kanunu Md.417/2’de de yer almaktadır.
- Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-.
- İlgili kişinin yetkililere bildirildiği, raporlu/izinli olup gerekli tedavisinin başlatıldığı, bu süreçte bulunduğu yerlerin dezenfekte edilip irtibat halinde bulunduğu kişilerin de gerekli sağlık kontrolüne yönlendirildiği.. gibi.
- Bu husus Umumi Hıfzıssıhha Kanunu’nun 57. ve 61.maddesinde açıkça yer almaktadır. Şöyle ki, 57. Madde ile bulaşıcı hastalıklar sayılmış ve bu hastalıkların görülmesi halinde yetkili kurumlara haber verilme zorunluluğu düzenlenmiştir. 61.maddedeki haber verme zorunluluğu olan kişiler arasında ise umuma açık yerlerde çalışanlar, sağlık çalışanları ve işlerinin niteliği sebebiyle bu tür hastalıklarla karşılaşanlar sayılabilir.
Prof. Dr. Gülsevil Alpagut
T.C. İstanbul Üniversitesi
İş Hukuku ve Sosyal Güvenlik Hukuku
Anabilim Dalı
Bahar Sür LL.M
Avukat, Arabulucu
ASlegal Hukuk Bürosu