Makale

Kişisel sağlık verileri, doğası gereği kişilerin en mahrem alanına ilişkin bilgileri ihtiva eden ve haksız bir şekilde işlenmesi halinde bireylerin temel hak ve özgürlüklerinde telafisi güç zararlar doğurabilecek özelliklere sahip verilerdir. İş hukuku uygulamaları kapsamında, çalışanların sağlık verilerinin işlenmesi hususu, işverenin yönetim hakkı ile işçinin kişilik hakları arasındaki hassas terazinin en dikkatli şekilde kurulmasını gerektiren hukuki bir meseledir. İş ilişkisinin yürütülmesi süreçlerinin tamamında, kişisel sağlık verilerinin hukuka uygun bir şekilde işlenebilmesi için yalnızca bir hukuka uygunluk sebebinin varlığı yeterli değildir; veri işleme faaliyetinin her aşamasında kanun kapsamında öngörülen temel ilkelere titizlikle riayet edilmesi zorunludur. Zira özel nitelikli kişisel verilerin korunması, sadece verilerin toplanması veya muhafaza edilmesini değil, tüm veri işleme faaliyetlerinin meşru bir zeminde ve yasal ilkelere uygun bir sistematik içerisinde yürütülmesini zorunlu kılmaktadır. Hukuk sistemimizde veri koruma hukukunun anayasası niteliğinde kabul edilen bu ilkeler; veri işleme süreçlerine yön veren, normatif güce sahip ve uygulanması mutlak surette zorunlu olan objektif hukuki standartlardır.

Hukuka, Dürüstlük Kuralına Uygunluk ve Şeffaflık İlkesi

Kişisel sağlık verilerinin işlenmesinde gözetilmesi gereken en temel ve kapsayıcı kural, hukuka ve dürüstlük kuralına uygunluk ilkesidir. Bu ilke, veri işleme faaliyetinin başından sonuna kadar tüm yasal mevzuat hükümlerine, evrensel hukuk kurallarına ve dürüstlük kurallarına riayet edilmesini emreder. İş ilişkisinin kendine has doğası gereği işçi ve işveren arasında var olan ekonomik ve hukuki asimetri, kişisel verilerin korunması noktasında işverenin çok daha şeffaf ve dürüst bir yaklaşım sergilemesini zorunlu kılmaktadır. İşverenlerin, kişisel sağlık verilerini işlerken çalışanların güvenini sarsacak, onların temel hak ve özgürlüklerini veya kişilik haklarını zedeleyecek nitelikte gizli, aldatıcı veya dürüstlük kuralı ile bağdaşmayan yöntemlere başvurması kesinlikle yasaklanmıştır. Kişisel sağlık verilerinin işlenmesinde mevzuatın aradığı genel nitelikli ilkeler şunlardır:

• Hukuka ve dürüstlük kurallarına uygunluk
• Doğru ve gerektiğinde güncel olma
• Belirli, açık ve meşru amaçlar için işlenme
• Amaca bağlantılı, sınırlı ve ölçülü olma
• Amaç için gerekli olan süre kadar muhafaza edilme

Dürüstlük kuralının veri koruma hukukundaki en somut yansıması ise şeffaflık yükümlülüğüdür. Şeffaflık ilkesi uyarınca işveren, çalışanlarını kişisel sağlık verilerinin kim tarafından, hangi amaçlarla, ne şekilde işleneceği ve kimlere aktarılacağı hususlarında açık, net ve anlaşılır bir şekilde bilgilendirmek zorundadır. Bu bağlamda işverenin aydınlatma yükümlülüğü, hukuki terminolojiden uzak, ortalama makul bir çalışanın rahatlıkla anlayabileceği sade bir dil kullanılarak yerine getirilmelidir. Torba niteliğinde genel geçer ifadelerle, verilerin geniş ve tanımsız amaçlarla işlendiğini belirten ucu açık bilgilendirmeler şeffaflık ilkesine aykırılık teşkil etmektedir. İş ilişkilerinde şeffaflık, aynı zamanda çalışanın kendi verileri üzerinde kontrolünü sağlamasına, gerektiğinde bu verilere ilişkin itiraz haklarını kullanabilmesine ve hukuka aykırı bir veri işleme durumunda yasal haklarını arayabilmesine de olanak tanıyan katılımcı bir veri koruma sürecinin anahtarıdır.

Doğruluk ve Güncellik İlkesi

Kişisel sağlık verilerinin işlenmesinde veri sorumlusu sıfatını haiz işverenler tarafından mutlak surette gözetilmesi gereken bir diğer kritik kural, verilerin doğru ve gerektiğinde güncel olmasının sağlanmasıdır. Sağlık verilerinin doğruluğu, çalışanın iş sözleşmesinin devamı, çalışma koşullarının belirlenmesi ve yasal tedbirlerin etkin bir biçimde uygulanabilmesi açısından hayati bir öneme sahiptir. Hatalı tutulan bir sağlık kaydı, işçinin çalışma yaşamında haksız yere dezavantajlı duruma düşmesine, ayrımcılığa maruz kalmasına veya sağlığına uygun olmayan bir pozisyonda çalıştırılarak fiziksel zarar görmesine neden olabilir. Bu sebeple, kişisel sağlık verilerinin toplanması ve muhafaza edilmesi aşamalarında bilgilerin gerçek durumu yansıtıp yansıtmadığının belirli periyotlarla ve özenle denetlenmesi gerekmektedir. Bir işçinin geçmişte geçirdiği ancak tamamen iyileştiği bir hastalığa ilişkin bilginin güncellenmemesi veya mevcut sağlık durumundaki pozitif yahut negatif yönlü bir değişikliğin kayıtlara yansıtılmaması, doğruluk ve güncellik ilkesinin açıkça ihlali anlamını taşır.

Kişisel sağlık verilerinin güncelliğini sağlama yükümlülüğü salt bir teknik işlemden ibaret olmayıp, doğrudan işçinin kişilik hakkının korunmasıyla ilgilidir. Bu yükümlülük, hiçbir şekilde işveren tarafından üçüncü kişilere veya sadece çalışanın beyanına devredilemez niteliktedir. İşveren, sistemlerini bu amaca hizmet edecek, yanlış bilgilerin hızla düzeltilmesine veya silinmesine imkan tanıyacak şekilde tasarlamakla mükelleftir. Elbette işçinin de sağlık durumunda meydana gelen önemli değişiklikleri, özellikle yasal yükümlülükleri veya işin ifasını etkileyecek boyutta olanları, işverene bildirme yönünde bir özen borcu bulunmaktadır. Ancak bu durum, işverenin verilerin doğruluğunu teyit etme ve ilgili kişiye sağlanan aydınlatma çerçevesinde veri güncelleme kanallarını sürekli açık ve erişilebilir tutma yönündeki objektif sorumluluğunu ortadan kaldırmaz. Netice itibarıyla, kişisel sağlık verilerindeki herhangi bir doğruluk veya güncellik eksikliği, meşru bir işleme faaliyetini anında hukuka aykırı hale dönüştürme potansiyeline sahiptir.

Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Kişisel verilerin işlenmesine hâkim olan kuralların en temel ayaklarından biri, verilerin belirli, açık ve meşru amaçlar için toplanması ve işlenmesidir. Sağlık verileri gibi özel nitelikli kişisel veri kategorisinde yer alan bilgilerin hangi maksatla işleneceğinin, veri toplama faaliyetinin en başında net ve tereddüde mahal vermeyecek şekilde tayin edilmesi gerekmektedir. İleride ortaya çıkabilecek muhtemel ihtiyaçlar veya sadece varsayımsal gereksinimler düşüncesiyle, önceden tanımlanmamış ve sınırları çizilmemiş amaçlarla kişisel sağlık verilerinin toplanması, veri koruma hukukunun temel doğasına tamamen aykırıdır. İşveren, sağlık verilerini neden topladığını, bu verileri kullanarak ne tür bir hukuki veya fiili sonuca ulaşmayı hedeflediğini somut ve şeffaf bir çerçevede ortaya koymalıdır. Amaçların belirliliği; sadece işverenin iç yönergelerinde veya şirket içi veri işleme politikalarında yer almasıyla değil, aynı zamanda bu amacın veri öznesi olan çalışana açık ve sade bir dille bildirilmesiyle hukuki geçerlilik kazanacaktır.

Amacın meşru olması ise, veri işleme gerekçesinin yasal dayanaklara, işverenin haklı menfaatlerine ve iş hukukunun temel kurallarına uygun olmasını ifade eder. İş sözleşmesinin ifası kapsamında işçinin çalışma yeteneğinin yasal sınırlar çerçevesinde değerlendirilmesi veya yasalardan doğan spesifik yükümlülüklerin yerine getirilmesi şüphesiz meşru amaçlar olarak değerlendirilmektedir. Ancak, işverenin bu meşru amacı aşarak, çalışanın sağlık durumunu meşru olmayan bir sınıflandırma veya ayrımcılık kriteri olarak kullanması yahut ilgili iş pozisyonunun zorunlu gereklilikleri ile hiçbir bağlantısı olmayan sağlık bilgilerini sistematik olarak kaydetmesi meşruiyet kriterini ihlal eder. Sağlık verilerinin işlenmesindeki amaç, iş hukukunun genel sınırları ile bağdaşmalı, hukuka ve dürüstlük kuralına uygunluk ilkesinin çizdiği çerçevenin dışına çıkmamalı ve işçinin kişilik değerlerine zarar verecek her türlü ikincil veya gizli maksattan arındırılmış olmalıdır. Bu meşruiyete uyulmaması durumunda idari ve hukuki sorumluluklar doğacaktır.

Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi

Belirlenen meşru amaca ulaşmak için yalnızca gerekli olan kişisel verilerin işlenmesini emreden kural, literatürde veri minimizasyonu olarak adlandırılmaktadır. İş ilişkilerinde kişisel sağlık verilerinin işlenmesi söz konusu olduğunda, işverenin her türlü sağlık bilgisini değil, sadece mevcut işin ifası ve yasal yükümlülüklerin gerektirdiği kadarını işlemesi mutlak bir zorunluluktur. Bu zorunluluk, işverenin amacına ulaşabilmesi için kişisel sağlık verilerinin işlenmesinin elverişli olmasını ve yalnızca gerektiği oranda müdahaleyi içermesini şart koşar. Şayet işverenin meşru amacına detaylı sağlık verisi işlemeksizin ulaşılabiliyorsa, özel nitelikli sağlık verilerinin geniş çaplı işlenmesi yoluna gidilmemelidir. Çalışanın sağlığının işin gereklerine uygunluğunun tespit edilmesi için genel bir değerlendirmenin veya yasal otoritenin belirlediği standart bir belgenin yeterli olduğu durumlarda, işverenin işçiye ait çok daha detaylı laboratuvar bulgularını, geçmiş hastalık teşhislerini veya eski tıbbi geçmişini talep etmesi ve bunları kayıt altına alması açıkça minimizasyon kuralının ihlalidir.

Veri minimizasyonunun yalnızca niceliksel yani miktar bazlı bir sınırlamayı değil, aynı zamanda toplanan verinin niteliksel derinliğini de kapsayan bir sınırlamayı ihtiva ettiği göz ardı edilmemelidir. Toplanan sağlık verisinin türü, içeriği ve hassasiyet derecesi, gerçekleştirilmek istenen amaca ve işin doğasına sıkı sıkıya bağlı olmalıdır. Bununla beraber, başlangıçta hukuka uygun bir meşru amaçla toplanan kişisel sağlık verilerinin, daha sonra tamamen farklı ve uyumsuz bir amaçla işlenmesi, ölçülülük ilkesi ve amaca bağlılık kuralının açık bir ihlalidir. Her yeni ve birbiriyle uyumsuz işleme amacı, kendi içinde bağımsız ve yasal olarak tanımlanmış yeni bir hukuki dayanak bulmak zorundadır; aksi halde hukuka aykırılık kaçınılmazdır. Veri sorumluları, verilerin ilk toplanma amacı ile sonradan ortaya çıkan kullanım amacı arasındaki illiyet bağını sürekli olarak gözetmekle ve orantısız her türlü veri işleme adımından kaçınmakla yükümlüdür.

Muhafazanın Sınırlandırılması ve Saklama Süreleri

Temel ilkeler arasında yer alan muhafazanın sınırlandırılması kuralı, kişisel sağlık verilerinin işlendikleri amacın gerektirdiği süre boyunca veya ilgili kanunlarda açıkça öngörülen süreler kadar saklanmasını, bu sürelerin bitiminde ise derhal silinmesini, yok edilmesini veya anonim hale getirilmesini öngörür. İşverenlerin, sağlık verilerini kalıcı ve sınırsız bir şekilde kendi veri tabanlarında veya dosyalarında saklama hakları kati surette bulunmamaktadır. Yasal mevzuatta öngörülen spesifik saklama süreleri dolduğunda veya sağlık verisinin toplanmasındaki meşru amaca tam anlamıyla ulaşıldığında, söz konusu verilerin muhafazasına derhal son verilmelidir. Olası bir hukuki uyuşmazlık ihtimaline karşı verilerin saklanması ancak ve ancak kanuni dava zamanaşımı süreleri gibi katı yasal zorunluluklarla ve sıkı erişim kısıtlamalarına tabi tutularak meşrulaştırılabilir. Süresi dolan veya işleme amacı tamamen ortadan kalkan sağlık verilerinin yasalara uygun bir şekilde imha edilmemesi, veri güvenliği ihlallerinin yanı sıra ciddi yaptırımları da beraberinde getirmektedir.

Hassasiyet İlkesi ve İlgili Kanunlarla Uyum

Kişisel sağlık verileri, veri koruma hukukunda gölge ilke olarak da bilinen hassasiyet kuralı çerçevesinde en üst düzey korumaya tabi tutulmaktadır. Her ne kadar kanun metninde bu kural bağımsız bir madde olarak isimlendirilmese de, sağlık verilerine atfedilen özel nitelikli konum, veri işlemeye hâkim olan ilkelerin uygulanmasında çok daha katı ve tavizsiz bir yorum metodunun benimsenmesini zorunlu kılmaktadır. Sıradan kişisel verilerin işlenmesinde dahi gözetilmesi gereken kurallar, sağlık verileri söz konusu olduğunda en ufak bir ihlalde telafisi zor mahremiyet zedelenmelerine yol açabileceği için azami derecede katı şekilde uygulanır. Bu hassasiyet, işverenlerin veri güvenliğine yönelik alması gereken teknik ve idari tedbirlerin seviyesini de en üst düzeye çıkarmaktadır. Verilere erişimin mutlak surette yetkili profesyonellerle sınırlandırılması, şifreleme ve maskeleme yöntemlerinin kullanılması, veri minimizasyonu ile birlikte ele alındığında işçinin kişilik değerlerinin korunmasını merkeze alan aşılmaz bir hukuki bariyer işlevi görmektedir.

Kişisel sağlık verilerinin işlenmesindeki hukuka uygunluk denetimi, yalnızca veri koruma mevzuatı çerçevesinde değil, aynı zamanda Türk Borçlar Kanunu ilgili hükümleri ışığında da multidisipliner bir yaklaşımla ele alınmalıdır. Borçlar mevzuatı, işçiye ait kişisel verilerin ancak işçinin işe yatkınlığıyla veya iş sözleşmesinin ifasıyla doğrudan ilgili olması koşuluyla işlenebileceğini emretmektedir. Bu düzenleme, genel veri koruma ilkelerinin iş hukuku alanındaki en net yansıması olup, işverenin sağlık verisi işleme yetkisini işin doğası ve sözleşmesel gerekliliklerle sıkı sıkıya sınırlandırmaktadır. Bu bağlamda, iş sözleşmesinin ifası ile hiçbir bağlantısı olmayan, gereksiz ve orantısız sağlık durumlarına ilişkin verilerin işlenmesi, kişisel verilerin korunması mevzuatına aykırılık teşkil edeceği gibi, borçlar hukuku ve iş hukuku mevzuatı uyarınca da yasa dışı kabul edilecektir. Temel ilkeler ile iş hukukunun koruyucu normları arasındaki bu uyum, iş ilişkilerinde açık rıza gibi tartışmalı unsurlara gerek kalmaksızın sağlık verilerinin işlenmesinde adil bir yasal denge kurulmasını temin etmektedir.

Sonuç itibarıyla, iş ilişkilerinde kişisel sağlık verilerinin işlenmesi süreci, yüksek yasal risk barındıran ve telafisi imkânsız ihlallere yol açabilecek hassas bir hukuki zemindir. İşverenlerin, kişisel sağlık verilerini işlerken salt bir hukuki sebebe veya idari bir gerekliliğe dayanmaları süreci yasal kılmak için yeterli olmamaktadır. Bu verilerin işlenmesindeki temel meşruiyet, veri toplama faaliyetinin başından sonuna kadar hukuka, dürüstlük kurallarına, sınırlılık kuralına, amaca bağlılık ve orantılılık ilkelerine sıkı sıkıya sadakatle sağlanabilir. Doğru ve güncel tutulmayan, belirlenen yasal amaca hizmet etmeyen veya gereğinden çok daha fazla miktarda toplanan her bir sağlık verisi, işverenler açısından altından kalkılması güç hukuki ve idari sorumluluklar doğurma potansiyeli taşımaktadır. Etkin ve adil bir veri koruma rejiminin tesisi için, kişisel verilerin korunması hukukunun sarsılmaz prensiplerinin tam bir şeffaflık ve profesyonellikle uygulanması çağdaş çalışma yaşamının vazgeçilmez, ertelenemez bir gerekliliğidir.