İŞYERLERİNDE İŞVEREN TARAFINDAN ÇALIŞANLARIN HES KODUNUN ALINMASININ KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA DEĞERLENDİRİLMESİ
1. GİRİŞ
Dünyayı saran Covid-19 pandemi salgını kapsamında hem özel hem kamu alanında birçok tedbir uygulanmaktadır. Bu kapsamda uygulanan tedbirlerden bir tanesi de kamu kurum ve kuruşlarında ve özel işyerlerinde işverenlerce çalışanlardan Sağlık Bakanlığı tarafından Covid-19 tedbirleri kapsamında Hayat Eve Sığar (“HES”) uygulaması ile geliştirilen en önemli özelliklerden biri olan HES Kodu’nun talep edilmesidir. HES Kodu, Sağlık Bakanlığı’nın internet sitesindeki “Covid-19 Bilgilendirme Sayfası’nda”1 tanımladığı üzere Kontrollü Sosyal Hayat kapsamında, ulaşım ya da ziyaret gibi işlemlerde kurumlarla ve kişilerle, Covid-19 hususu açısından ilgili kişinin herhangi bir risk taşıyıp taşımadığının güvenli şekilde paylaşılmasını sağlayan bir koddur.
Bu kapsamda, HES Kodu’nun kişilerin covid-19 riski taşıyıp taşımadığına ilişkin veriyi içermesi sebebiyle işverenler tarafından işlenmesi durumunda 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında değerlendirilmesi önem arz etmektedir.
2. HES KODUNUN KANUN KAPSAMINDA KİŞİSEL VERİ NİTELİĞİ
Sağlık Bakanlığı’nın “Hayat Eve Sığar” uygulaması üzerinden ilgili kişinin HES Kodu’na erişilmektedir. Bunun sebeple, işveren tarafından işçiye ait HES Kodu’nun alınması sonucunda işçinin Covid-19 riskini taşıyıp taşımadığına da “risklirisksiz” şeklinde ibareler ile ulaşılabilecektir. Bu noktada HES Kodunun Kanun’un 3. maddesinin D bendinde yer alan “Kişisel Veri” tanımı uyarınca gerçek kişiye ilişkin bilgileri içermesi sebebiyle kişisel veri olduğu şüphesizdir. Bununla birlikte Kanun’un 6. maddesi kapsamında özel nitelikli kişisel veri olarak değerlendirilip değerlendirilmeyeceği tartışma konusudur.
Kanun’un 6. maddesi hükmü özel nitelikli kişisel verileri tahdidi olarak saymıştır:
“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
Bu kapsamda HES Kodunun sağlık verisi olarak tanımlanabileceği söylenebilir. Bunun sebebi, ilgili kişinin Covid-19 anlamında “riskli-risksiz” olduğunu gösteren bu kod ile “riskli” olarak tanımlanan bir kişi için Covid-19 pozitif olma ihtimali de paylaşılmış olmaktadır. 2 Ayrıca kişinin sağlıklı olması da (mevcut durumda risksiz) yine tıbbi teşhis kapsamında sağlık duumunu belirttiğinden özel nitelikli kişisel veri kapsamındadır.
3. KAMU KURUM VE KURULUŞLARINDA HES KODU ALINMASININ KANUN KAPSAMINDA DEĞERLENDİRİLMESİ
Kanun’un 28. maddesinin Ç bendinde;
“Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.”
düzenlemesi yer almaktadır. Kanun hükümlerinin uygulanması bakımından bu bir istisna olarak nitelendirilmektedir. Dolayısıyla da bu hüküm kapsamında yer alan hallerde yukarıda belirtilen özel nitelikli verilerin işlenmesi için açık rıza alınması zorunluluğu geçerli olmayacaktır. Bu doğrultuda, Kişisel Verileri Koruma Kurumu’nun 09.04.2020 tarihli kamuoyu duyurusunda da belirttiği üzere;
“Salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendi kapsamında değerlendirilmektedir.”
Bu görüşe göre; kamu kurum ve kuruluşlarının kişilerin kamu kurum ve kuruluşlarına ait yerlere giriş çıkışlarında kamu düzeni ve kamu güvenliği sebebiyle HES Kodu alınmasını zorunlu tutması istisna kapsamında sayıldığı görülmektedir. Kurum, bu doğrultuda kamunun menfaatini bireysel menfaatlerden üstün tutmaktadır.
4. ÖZEL İŞYERLERİNDE HES KODU ALINMASININ KANUN KAPSAMINDA DEĞERLENDİRİLMESİ
Özel Kurum ve Kuruluşların çalışanlarından HES Kodu talep etmesi hususunda Kanun’un 28. maddesi kapsamındaki istisna, Kişisel Verileri Koruma Kurumu tarafından 09.04.2020 tarihinde yapılan kamuoyu duyurusunda mevcut ‘’yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri’’ ibaresi sebebiyle uygulama alanı bulamayacaktır. Bununla birlikte Kişisel Verileri Koruma Kurumu’nun 27.03.2020 tarihli Kamuoyu Duyurusunda işverenlerin çalışanlardan birtakım kişisel verileri talep etmesinin haklı gerekçelere dayandığı kabul edilmiştir:
“İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunmaktadır. Bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir.”
Bundan hareketle, işverenlerce, örneğin İl Hıfzıssıhha Kurulu kararına istinaden çalışanlarından HES kodu talep edilmesi bu kapsamda değerlendirilebilir. Kişisel Verileri Koruma Kurumu’nun aynı kamuoyu duyurusunda Kanun’un temel ilkelerinden olan ölçülülük ve gereklilik ilkesine işverenlerce çalışanlardan ilgili veriler talep edilirken uyulması gerektiğine dikkat çekilmektedir.
Öte yandan özel nitelikli kişisel veriler Kanun’un 6. maddesinin 2. fıkrası uyarınca ilgilinin açık rızası olmaksızın işlenememektedir. İlaveten, sağlık verileri Kanun’un aynı maddesinin 3. fıkrası hükmü uyarınca açık rıza olmaksızın kanunda öngörülen hallerde dahi işlenemeyecektir. Bu sebeple, çalışanların HES Kodunun özel kurum ve kuruluşlar tarafından alınması sağlık verisinin işlenmesi sonucu doğurabileceğinden, veri işleme sürecinin Kanun kapsamında özel nitelikli kişisel veri işleme şartlarına uyularak gerçekleştirilmesi yerinde olacaktır.