Anasayfa/ Makale/ İş İlişkisinde Sağlık Verisi ve Veri İşleme İlkeleri

İş İlişkisinde Sağlık Verisi ve Veri İşleme İlkeleri

İş ilişkilerinde işçilere ait sağlık verilerinin kapsamı ile bu verilerin işlenmesine hâkim olan temel ilkeler, hukuki güvencenin ana temelini oluşturur. Bu makale, sağlık verisi kavramını ve veri koruma hukuku kapsamında mutlak surette gözetilmesi gereken şeffaflık, ölçülülük ve amaca bağlılık gibi temel kuralları hukuki bir perspektifle incelemektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞÇİ HAKLARI

İş hukuku ve veri koruma hukuku kesişiminde en çok tartışılan konuların başında, iş ilişkilerinde kişisel sağlık verilerinin işlenmesi gelmektedir. İş sözleşmesinin hazırlık veya devamı süresince, işçilerin sağlık durumlarına ilişkin bilgilerin işverenler tarafından toplanması, hukuki sınırları net bir şekilde çizilmesi gereken hassas bir alanı ifade eder. İşçi ve işveren arasındaki bağımlılık ilişkisi ve güç dengesizliği, özel nitelikli kişisel veriler arasında yer alan sağlık verilerinin keyfi veya ölçüsüz bir biçimde işlenmesi riskini artırmaktadır. Bu nedenle, hangi tür bilgilerin sağlık verisi kapsamında değerlendirileceğinin doğru tespit edilmesi ve veri işleme faaliyetlerinin Kanun’da öngörülen temel veri işleme ilkelerine sıkı sıkıya bağlı kalınarak yürütülmesi şarttır. Herhangi bir hukuka uygunluk sebebine dayanılsa dahi, söz konusu ilkelere aykırı bir veri işleme faaliyeti doğrudan hukuka aykırı kabul edileceğinden, hem kavramsal çerçevenin hem de uyulması gereken temel prensiplerin uygulamadaki yansımalarının çok iyi analiz edilmesi gerekir.

Kişisel Sağlık Verisi Kavramı ve Kapsamı

Kişisel veri, kimliği belirli veya belirlenebilir gerçek bir kişiye ilişkin her türlü bilgi olarak tanımlanırken; kişisel sağlık verisi, bu genel tanımın içerisinde özel nitelikli kişisel veriler grubunda yer alan daha hassas bir alt kategoriyi oluşturur. Avrupa Birliği Genel Veri Koruma Tüzüğü ve ulusal mevzuatımız çerçevesinde kişisel sağlık verileri, kişinin fiziksel veya zihinsel sağlık durumu hakkındaki bilgileri ortaya çıkaran ve sağlık bakım hizmetlerinin sunumuna ilişkin bilgileri de kapsayan her türlü veri olarak ifade edilmektedir. Bu bağlamda, tıbbi teşhis, tedavi süreçleri, hastalık geçmişi, kullanılan ilaçlar ve engellilik durumu gibi bilgiler doğrudan sağlık verisi olarak koruma altındadır. Ancak her fiziksel özellik veya aktivite verisi otomatik olarak sağlık verisi sayılmayabilir. Örneğin, bir adımsayarın kaydettiği veriler, tek başına sağlık verisi olarak nitelendirilemese de, başka verilerle birleştirilerek kişinin sağlık durumu hakkında bir çıkarım yapılmasına olanak tanıdığında hassas sağlık verisi statüsüne kavuşur.

İş İlişkisinde Veri İşlemeye Hâkim Olan Temel İlkeler

Kişisel Verilerin Korunması Kanunu, özel nitelikli kişisel verilerin işlenmesi bakımından çeşitli yükümlülükler öngörmüş olsa da, veri işleme sürecinin tamamında temel ilkelere riayet edilmesini zorunlu kılmıştır. Başka bir anlatımla, işverenin veri işlemek için meşru bir dayanağı bulunsa bile, temel ilkeleri ihlal eden her türlü eylem hukuka aykırı bir veri işleme faaliyeti niteliği taşıyacaktır. İş hukukunda bu ilkelerin somut bir yansıması olarak Türk Borçlar Kanunu’nun dörtyüzondokuzuncu maddesi, işçiye ait kişisel verilerin ancak işe yatkınlıkla ilgili olduğu veya iş sözleşmesinin ifası için zorunlu olduğu ölçüde işlenebileceğini hüküm altına alarak genel bir sınır çizmektedir. Bu sınır, iş ilişkisinin tarafı olan işçinin, zayıf konumu nedeniyle kişilik haklarının ve mahremiyetinin işverenin yönetim hakkına karşı korunması amacına hizmet eder. Aşağıda, mevzuat kapsamında yer alan ve sağlık verilerinin işlenmesinde gözetilmesi gereken başlıca temel prensipler listelenmiştir.

  • Hukuka ve dürüstlük kuralına uygunluk ilkesi, işverenin sağlık verilerini işlerken şeffaf davranmasını ve işçinin makul beklentilerini zedeleyecek gizli veya öngörülemez yöntemlerden kaçınmasını gerektirir.
  • Doğruluk ve güncellik ilkesi, sağlık durumunun zamanla değişebilen dinamik yapısı sebebiyle çalışanın eski ve güncel olmayan sağlık bilgilerinin saklanarak olası bir ayrımcılığa yol açılmasını engeller.
  • Belirli, açık ve meşru amaçlar için işlenme ilkesi, hangi sağlık verisinin neden işleneceğinin en baştan net şekilde belirlenmesini zorunlu kılar; muğlak ifadelerle oluşturulan veri işleme amaçları hukuka aykırıdır.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma kuralı uyarınca işveren, ulaşmak istediği meşru amaca hizmet edecek en asgari düzeydeki sağlık verisini işlemeli, hedeflenen amaca doğrudan etki etmeyecek detayları talep etmemelidir.
  • Süreyle sınırlı muhafaza ilkesi, sağlık verilerinin işlendikleri amaç ortadan kalktıktan sonra gereksiz yere saklanmamasını, yasal gereklilikler bittiğinde derhal silinmesini, yok edilmesini veya anonim hale getirilmesini zorunlu tutar.

Şeffaflık ve Ölçülülük İlkelerinin İşçi Açısından Önemi

İş ilişkisinde şeffaflık ve ölçülülük ilkeleri, işçinin kişilik haklarına yapılacak müdahalelerin sınırlandırılmasında kilit bir rol oynar. İşveren, aydınlatma yükümlülüğü kapsamında, sağlık verilerinin kim tarafından, hangi amaçlarla ve hangi yöntemlerle işlendiğini işçinin kolayca anlayabileceği sade ve açık bir dille aktarmak zorundadır. Aksi takdirde, işverenin şeffaflıktan uzak, karmaşık hukuki terimler arkasına gizlenerek elde ettiği veriler dürüstlük kuralına aykırılık oluşturur. Öte yandan, veri minimizasyonu olarak da bilinen ölçülülük ilkesi, işverenin yalnızca hedeflenen meşru amaca yetecek kadar veriyle yetinmesini şart koşar. Örneğin, bir çalışanın salt işe uygunluğunu tespit etmek için genel bir sağlık değerlendirmesi yeterliyken, işverenin çalışandan geçmiş ameliyat dökümlerini veya detaylı laboratuvar tetkiklerini talep etmesi ölçülülük ilkesinin açık bir ihlalidir. Verilerin niteliği gereği yarattığı yüksek hassasiyet, sağlık verisi işleme süreçlerinin mutlak bir gereklilik süzgecinden geçirilmesini zorunlu kılmaktadır.

İşe girerken patron benden bütün eski ameliyat ve hastalık geçmişimi isteyebilir mi? expand_more
İşverenin sizden geçmiş ameliyat dökümlerinizi veya detaylı laboratuvar tetkiklerinizi yalnızca genel bir işe uygunluk değerlendirmesi için talep etmesi açıkça hukuka aykırıdır. Veri koruma hukukunda en temel kurallardan biri olan "ölçülülük" ilkesi gereği, işveren sadece ulaşmak istediği meşru amaca hizmet edecek asgari düzeydeki veriyi talep edebilir. Nitekim Türk Borçlar Kanunu da işçiye ait kişisel verilerin ancak işe yatkınlıkla ilgili olduğu veya iş sözleşmesinin ifası için zorunlu olduğu ölçüde işlenebileceğini hüküm altına almıştır. Dolayısıyla, işin doğası kesinlikle gerektirmediği sürece hedeflenen amaca doğrudan etki etmeyecek bu tarz detaylı sağlık verilerinizin istenmesi ölçülülük ilkesinin ihlali anlamına gelir.
İşyerinde sağlık bilgilerimi topluyorlar ama bana hiçbir açıklama yapmıyorlar, yasal mı? expand_more
İşverenin sağlık verilerinizi toplarken size aydınlatma yapmaması ve süreci gizli yürütmesi hukuka ve dürüstlük kuralına aykırıdır. Şeffaflık ilkesi ve aydınlatma yükümlülüğü kapsamında işveren, bu verilerin kim tarafından, hangi amaçlarla ve ne şekilde işlendiğini sizin kolayca anlayabileceğiniz sade ve açık bir dille bildirmek zorundadır. Ayrıca hangi sağlık verisinin neden işleneceği, işin en başında muğlak olmayan, belirli ve meşru amaçlarla net şekilde ortaya konmalıdır. İşverenin karmaşık hukuki terimler arkasına saklanarak veya hiç bilgi vermeyerek yürüteceği veri işleme faaliyetleri doğrudan ihlal niteliği taşıyacaktır.
İşten ayrıldıktan sonra bile işyeri eski sağlık raporlarımı saklamaya devam edebilir mi? expand_more
İşverenin, söz konusu sağlık verilerinin işlenme amacı ve yasal saklama zorunlulukları ortadan kalktıktan sonra bu belgeleri elinde tutmaya devam etmesi hukuken mümkün değildir. Kanunumuzdaki "süreyle sınırlı muhafaza ilkesi", gerekli yasal süreler bittiğinde sağlık verilerinin derhal silinmesini, yok edilmesini veya anonim hale getirilmesini emreder. Dahası, kişinin güncel olmayan ve eski sağlık bilgilerinin saklanmaya devam edilmesi, işçi aleyhine olası bir ayrımcılık riski yaratacağı için "doğruluk ve güncellik" ilkesine de temelden aykırılık oluşturur. Bu bağlamda, meşru bir yasal dayanak kalmadığı anda verilerinizin imha edilmesi şarttır.
Şirketin verdiği akıllı saatteki adım sayım gibi bilgiler de sağlık verisi sayılır mı? expand_more
Sadece bir adımsayarın kaydettiği veriler, tek başına değerlendirildiğinde doğrudan bir sağlık verisi olarak görülmeyebilir. Ancak işvereniniz bu günlük fiziksel aktivite verilerini başka verilerinizle birleştirerek sizin sağlık durumunuza ilişkin bir çıkarım yapıyorsa, bu veriler artık özel nitelikli kişisel sağlık verisi statüsüne girer. Mevzuatımıza göre, tıbbi teşhis ve hastalık geçmişinin yanı sıra, kişinin fiziksel veya zihinsel sağlık durumunu ortaya çıkaran her türlü bilgi hassas sağlık verisi kabul edilerek yüksek koruma altına alınmıştır. Bu nedenle, dolaylı yoldan sağlık çıkarımı sağlayan teknolojik verileriniz de keyfi olarak işlenemez ve kanundaki katı ilkelere tabidir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir