T.C. Çalışma ve Sosyal Güvenlik Bakanlığı, 03.09.2021 tarihinde web sitesinden yapmış olduğu duyuru ile işverenlerin, iş yerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler hakkında, bilgilendirme sonrasında aşı olunmaması ve kesin COVID-19 tanısı konması durumunun iş ve sosyal güvenlik mevzuatı açısından olası sonuçları da belirtilmek suretiyle tüm işçilerini bilgilendirmekle yükümlü olduğu belirtilmiştir. COVID-19 aşısı tamamlanmamış işçilerini yazılı olarak ayrıca bilgilendirilmesi gerektiği vurgulanmıştır. Ek olarak; COVID-19 aşısı olmayan işçilerden 6 Eylül 2021 tarihi itibariyle zorunlu olarak haftada bir kez PCR testi yaptırmaları istenebileceği, test sonuçlarının gerekli işlemler yapılmak üzere iş yerinde kayıt altında tutulabileceği belirtilmiştir.
Konuya ilişkin görüşlerimiz aşağıdaki gibidir:
“Aşı Olup Olmadığı Bilgisi”nin Sağlık Verisi Olması Hakkında: Kişisel Sağlık Verileri Hakkında Yönetmelik’te kişisel sağlık verisi “Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri” olarak tanımlanmış olup; bu kapsamda “aşı olup olmadığı bilgisi” sağlık verisidir.
“Aşı Olup Olmadığı Bilgisi”nin ve PCR Test Sonucunun İşlenmesi Hakkında: 6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca sağlık verileri veri sorumluları tarafından aşağıdaki koşullarda işlenebilecektir:
İlgili kişisinin açık rızasına istinaden veya sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Kamu sağlığının korunması Koruyucu hekimlik Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla işlenebilecektir.
Covid-19 Pandemisi ile Mücadele Kapsamında İşverenlerin Sağlık Verisi İşlemesi Hakkında:
6331 sayılı İş Sağlığı ve Güvenliği Kanunu (İSGK), m. 4 çerçevesinde işverenin genel yükümlülüklerini düzenlemiş, bu çerçevede özellikle f. 1 b. a) kapsamında “sağlık ve güvenlik tedbirlerinin değişen şartlara uygun hale getirilmesi” ve b. b) kapsamında “iş sağlığı ve güvenliği tedbirlerine” uyumu denetleme yükümlülüğü öngörmüştür.
Borçlar Kanunu (BK) m. 417 f. 2’ye göre işveren, “işyerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almak, araç ve gereçleri noksansız bulundurmak; işçiler de iş sağlığı ve güvenliği konusunda alınan her türlü önleme uymakla yükümlüdür”.
Umumi Hıfzıssıhha Kanunu da, m. 61 çerçevesinde, salgın hastalık durumunda birçok aktöre bildirim yükümlülüğü getirmektedir. İlgili hükme göre “Hastane baştabipleri, mektep, fabrika, imalathane, hayır müesseseleri, ticarethane ve mağaza, otel, pansiyon, han, hamam, hapishane sahip veya müstecirleri ve müdürleri, apartman kapıcıları bulundukları mahallede, köy ihtiyar heyetleri köylerinde zuhur eden ve eczacılar, diş tabipleri ve ebeler, hasta bakıcıları, ölü tabutlıyan ve yıkayanlar sanatlarını icra sebebiyle muttali oldukları 57nci maddede zikredilen vakaları derakap alakadar makamlara tebliğ ve ihbara mecburdurlar”.
Kişisel Verileri Koruma Kurumu’nun Covid-19 sürecine ilişkin yapmış olduğu kamuoyu duyurusunda işverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmasından ötürü bilgi talebi yapmalarında haklı gerekçeleri olduğu belirtilmiştir. Sonuç olarak; kanaatimizce işverenler tarafından çalışanların “aşı olup olmadığı bilgisi”, çalışanlardan açık rıza alınmak suretiyle veya iş yeri hekimi tarafından kamu sağlığının korunması amacıyla açık rıza aranmaksızın işlenebileceği kanaatindeyiz.
Her iki durumda da ilgili kişilere yönelik aydınlatma yükümlülüğü yerine getirilmelidir. Bununla birlikte; ilgili faaliyet yürütülürken 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 4 üncü maddesinde düzenlenen genel ilkelere uyumluluk esastır. Bu kapsamda özellikle veri minimizasyonu ilkesi uyarınca amacı gerçekleştirmeye yönelik minimum düzeyde veri işlenmesini önermekteyiz.
“Aşı olup olmadığı bilgisi” işverenler tarafından işlenirken Kişisel Verileri Koruma Kurulu’nun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı”nda vurgulanan önlemlerin alınması beklenmektedir.
Dikkat edilmesi gereken hususlar aşağıdaki gibidir:
Veri minimizasyonu uyarınca işyeri güvenliği sağlamaya yönelik minimum veri işlenmesi, mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalıdır.
En geç verilerin toplanma anında aydınlatma yükümlülüğü gerçekleştirilmeli ve gerekli ise açık rıza temin edilmelidir.
İlgili süreçlerde görev alan çalışanlarla gizlilik sözleşmesi akdedilmelidir.
İlgili çalışanların yetki kapsamlarının ve sürelerinin net olarak tanımlanması gerekmektedir.
Özel nitelikli kişisel verilen saklanması ve aktarılmasına ilişkin yeterli önlemlerin alınması gerekmektedir.