6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“6698 sayılı Kanun”) amacı, kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Bu makalede, işverenlerin bir veri kayıt sisteminin parçası olacak şekilde işçilerin verilerini işlemesine istinaden işverenlerin veri sorumlusu sıfatıyla gerçekleştirdiği işleme faaliyetleri değerlendirilecektir.

6698 sayılı Kanun kapsamında iş ilişkisi kavramı daha geniş değerlendirilmektedir. İş sözleşmesi ile çalışanlar, çalışan adayları ve iş sözleşmesi sona erenler de dahil olmak üzere, iş sözleşmesi çeşitleri arasında bir fark gözetilmeksizin çalışan kişiler Kanun kapsamında ilgili kişi sıfatına haizdir. Bu noktada, 6698 sayılı Kanun kapsamında veri sorumlusuna ve ilgili kişilere atfedilen bütün hak ve sorumlulukların süjesinde işveren ve çalışan adayı/çalışan ve iş ilişkileri sona ermiş kişiler de yer almakla beraber, iş ilişkisi özelinde farklılaşan hususlara değinilecektir.

Öncelikle, çalışma ilişkisini diğer durumlardan ayıran en önemli özellik “işverene bağlılık” hususudur. İşçiyi de 6698 sayılı Kanun kapsamında diğer ilgili kişilerden ayıran en önemli detay olan “bağlılık” hususu hem İş Kanunu’nda hem Yargıtay kararlarında işçinin konumunun daha korunmaya muhtaç olduğunu göstermektedir. Aynı zamanda, karara bağlanmış çoğu iş davasındaki uyuşmazlık konusu, işçinin ilgili işlemi (istifa, yer değişikliği vb.) özgür iradesi ile yapıp yapmadığıdır. Bu sebeple, iş ilişkisi kapsamında özellikle işveren aleyhinde olan hususlar işçilerin seçimine bırakılmaktansa hukuki düzenlemelerle detaylandırılmıştır. Bu durum, 6698 sayılı Kanun kapsamında da oldukça önemli bir yere sahiptir; çünkü kişisel verilerin işlenmesinde hukuka uygunluk sebeplerinden birisi “açık rıza” olarak düzenlenmiştir. Bununla birlikte, “özel nitelikli kişisel veriler”in işlenmesinde “açık rıza” bazen tercih edilebilecek tek hukuka uygunluk sebebi olabilmektedir. 6698 sayılı Kanun kapsamında açık rızanın 3 unsuru bulunmakta olup bunlar şu şekildedir:

  • Belirli bir konuya ilişkin olması,

  • Rızanın bilgilendirmeye dayanması,

  • Özgür iradeyle açıklanması.

Ancak yukarıda da açıklandığı üzere, işverene “bağlılık”la çalışan kişilerin verilerini işlemede açık rızalarına başvurmak oldukça sorunlu niteliktedir. Çünkü çalışanın iradesinin söz konusu kararı verirken özgür olduğu hem tartışmalı hem de ispatı oldukça zordur. Aynı durum, bir çalışan adayında veya iş sözleşmesi sona ermiş bir çalışanda da mevcuttur. Maddi kaygıların olduğu bu ilişkide, açık rızanın üç unsurundan biri olan özgür iradenin sağlanması çoğu olayda mümkün olmayacak veya tartışma hususu haline getirilebilecektir. Buna karşın, birçok işveren işyerinin faaliyetlerine hizmet edecek projeler altında çalışanlarının çeşitli kategorideki kişisel verilerini işlemek istemektedir.

Dolayısıyla, öncelikle işverenlerin gerçekleştirmek istedikleri amaçlara yönelik başvurabilecekleri hukuka uygunluk sebeplerinin somut olaya göre değerlendirilmesi gerekmektedir. Bu değerlendirmede “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebepleri çoğu zaman, açık rızaya gerek kalmaksızın, ilgili verilerin işlenmesi için yeterli hukuka uygunluk sebeplerini oluşturmaktadır. Öte yandan, özellikle özel nitelikli kişisel verilerin işlenmesinde, verilerin anonimleştirilmesi de kişisel verilerin işlenmesi hususunda işverenlere “açık rıza”ya başvurmalarını gerektirmeyen bir alternatif sağlamaktadır. Ancak, bazı durumlarda bu mümkün olamamakta ve özel nitelikli kişisel verilerin anonimleştirilmeden işlenmesi gerekebilmektedir.

Özellikle pandemi döneminde, hem Covid-19 testleri hem de sağlık raporları gündemin önemli bir parçası haline gelmiştir. Özel nitelikli kişisel veri olması nedeniyle, kişinin kullandığı ilaçlar, geçirdiği hastalıklar veya olduğu aşılar dahil olmak üzere sağlığına ilişkin her türlü verinin, işlenmesine ilişkin daha özel ve sıkı koşullar düzenlenmiştir. Bu kapsamda, özel nitelikli verilerin işlenmesinde asıl olan, açık rıza veya kanunla izin verilmiş olma şartının sağlanmasıdır. 6698 sayılı Kanun’un 6/3’üncü maddesi kapsamında sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir. Dolayısıyla, çalışanın sağlık verilerinin işlenmesi gerektiği durumlarda, açık rıza almak yerine, işverenin yükümlülükleri kapsamında bu düzenlemeye dayanmak mümkün olmaktadır.

Toplumun büyük bir kısmının Covid-19 aşısı kapsamına alınmasından sonra ise aşı yaptıran çalışanların buna ilişkin verilerinin işlenmesi işverenler için önemli bir konu olmuştur. Sağlık Bakanlığı’nın açıklamalarına göre COVID-19 aşısını yaptırmak zorunlu değildir. Bu nedenle, prensip olarak, çalışanlar aşı yaptırmaya zorlanamaz ve seçme hakkının olduğu kabul edilmelidir. Öte yandan, işverenlerin işyerinde sağlıklı ve güvenli bir ortam sağlama yükümlülüğü de bulunmaktadır. Bu nedenle, bu yükümlülüğün yerine getirilebilmesi ve işyeri kısıtlamalarının düzenlenmesi amacıyla ilgili veriler işverenler tarafından işlenebilmelidir. Ancak, işverenler yukarıda belirtilen iş ilişkisinde açık rızanın geçerliliğine ilişkin çekinceler sebebiyle açık rıza almak istemezlerse 6698 sayılı Kanunun 6/3’üncü maddesi gündeme gelecektir. Önemli olan, ilgili verilerin bir işyeri hekimi veya görevli doktor aracılığıyla toplanması/işlenmesidir. Ayrıca işyeri hekimi/görevli doktor dışında hiçbir departman bu verilere ulaşmamalı ve veriler kimseyle paylaşılmamalıdır. Bu kapsamda, çalışanın sağlık verileri, açık rıza aranmaksızın ve ancak önceden bildirimde bulunulmak kaydıyla işlenebilmektedir. Bu işleme faaliyetinin sonuçlarına göre işyeri kısıtlamaları uygulanıyorsa ve bazı bilgilerin diğer departmanlarla paylaşılması gerekiyorsa, paylaşılan verilerin kişilerin kimliğini belirleyen veya belirleyebilecek nitelikte olmaması gerekmektedir. Bunun mümkün kılınması için, sağlık veri detayı gizli tutulabilir veya sağlık verileri anonim hale getirilebilir. Çalışanların Covid-19 aşı bilgisinin işlenmesi, bahsedilen yöntemler izlendiğinde, 6698 sayılı Kanun’a uygun olacaktır.