YAZI GÖNDERME YETKİSİ SAĞLIK BAKANLIĞINA AİT

Prof. Dr. Ersan Şen: “Kişisel Verileri Koruma Kurulu 28.09.2021 tarihli ve 2021/980 sayılı Kararıyla, "Covid-19 PCR Test Sonucu ve Aşı Bilgisi Uygulamalarına İlişkin" kamuoyu duyurusunu internet sitesinde yayımlamıştır. Kurulun yayımladığı bu duyuru ile çözüm getirmeye çalıştığı sorun, idare tarafından yayımlanan bazı düzenleyici işlemler ve işverenlerin taleplerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak yerine getirilmesinin doğurduğu zorluk, belki de imkansızlıktır. Kurulun da kararında belirttiği gibi İçişleri Bakanlığı tarafından 20.08.2021 tarihinde Valiliklere gönderilen yazı ile konser, sinema, tiyatro ve toplu ulaşım araçları gibi insanların toplu olarak bulunduğu faaliyetlere katılım sağlamak isteyen kişilere Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bildirilmesi zorunluluğu getirilmiştir. Burada; yazı gönderme yetkisinin 1593 sayılı Umumi Hıfzıssıhha Kanunu uyarınca Sağlık Bakanlığı’na ait olduğunu, esasen İçişleri Bakanlığı’nın yetkisinin olmadığını belirtmeliyiz. Her nedense meşruiyet sorunu olmamakla birlikte bugüne kadar “genelgeler” üzerinden yasal dayanağı olmaksızın İçişleri Bakanlığı’nın pandemi ile ilgili birçok genelgesini gördük.”

“Pandemiyi önlemede sürdürülen yanlışa başka bir boyut daha eklemiştir”

“Kişisel Verileri Koruma Kurulu ise bir bağımsız idari otorite olarak, pandeminin başından bu yana tüm idari kurumlara sirayet eden alışkanlığı sürdürmüş, bakanlıkların düzenleyici işlemlerle uygulanmasını talep ettikleri tedbirleri bir duyuru ile değerlendirerek, pandemiyi önlemede sürdürülen yanlışa başka bir boyut daha eklemiştir. Türkiye Büyük Millet Meclisi’nin bir kanuni düzenleme yaparak pandemiyi önleme kapsamında alınacak tedbirleri yasal bir zemine kavuşturması beklenmekte iken, bir bağımsız idari otoritenin düzenleyici işlemler ile talep edilen yükümlülükleri ve bu konudaki yaşanan çözümsüzlüğü bir internet sitesi duyurusu ile aşmaya çalışmasının oldukça yanlış bir yöntem olduğunu vurgulamamız gerekir. Tercih edilen yöntemin yanlışlığını belirtmenin ardından Kurulun duyurusuna neden olan sorunu, kararının içeriğini ve nasıl anlaşılması gerektiğine de kısaca değinmemiz gerekir.”

İŞ YERİ HEKİMİ VE SIR SAKLAMA YÜKÜMLÜLÜĞÜ

“Öncelikle her ne kadar Çalışma ve Sosyal Güvenlik Bakanlığı tarafından valiliklere gönderilen yazıda Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı belirtilmişse de, 6698 sayılı Kanun çerçevesinde bu gerekliliklerin işverenler tarafından nasıl yerine getirileceği konusunda oldukça tartışma yaşanmıştır. Bu tartışmaların temel nedeni, özel nitelikli kişisel veri olarak sağlık verisi olduğunda kuşku bulunmayan Covid-19 aşı bilgisi ve PCR test bilgisinin 6698 sayılı Kanunun 6/3. maddesine göre işlenmek zorunda olmasıdır. 6698 sayılı Kanunun 6/3. maddesi, sağlık verilerinin kamu sağlığının korunması amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğini hüküm altına almaktadır. Dolayısıyla, Çalışma ve Sosyal Güvenlik Bakanlığı yazısı ile aşı bilgisi ve PCR test sonuçlarının işverenler tarafından işlenmesi gerekli kılınsa da uygulamada bu gerekliliğin ancak işyeri hekimi bulunan işyerlerinde işyeri hekimi aracılığıyla yerine getirilmesi mümkün görünmektedir. İşyeri hekimi tarafından işlenen bu verilerin de işverenler ve firmaların diğer birimleri paylaşılmaması gerekmektedir ki, aksi takdirde Kanunun 6/3. maddesinde sır saklama yükümlülüğü altında kişilerin işlemesi yoluyla getirilen koruma işlevsiz kılınmış olacaktır.”

“Avrupa Birliği standartları ile uyumlu hale getirilmesine ilişkin bir değişikliğin yakın zamanda olması beklenmektedir”

“Tüm bu hususlar değerlendirildiğinde; işverenin 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun 4. maddesinden kaynaklanan yükümlülüğü ve Çalışma ve Sosyal Güvenlik Bakanlığı’nın düzenleyici işlemle talep ettiği gereklilikler ile 6698 sayılı Kanunun 6/3. maddesinin uyumsuzluğundan kaynaklı bir sorun ve güçlük olduğu görülmektedir. Bu güçlüğün aşılmasının en doğru yolu 6698 sayılı Kanunda yapılacak bir düzenlemeyle, özel nitelikli kişisel verilerin işlenme şartlarında 6698 sayılı Kanunun mehaz düzenlemesi olan 95/46 sayılı Direktif veya GDPR’da yer aldığı şekilde bir değişiklik yapılmasıdır. Nitekim İnsan Hakları Eylem Planı’nda da yer alan 6698 sayılı Kanunun, Avrupa Birliği standartları ile uyumlu hale getirilmesine ilişkin bir değişikliğin yakın zamanda olması beklenmektedir.”

“Bu işlemelerin Kanun kapsamı dışında kaldığını tespit etmekten ibaret olduğunu ifade etmemiz gerekir”

“Öncelikle burada Kurulun yaptığı değerlendirmenin, aşı bilgisi ve PCR test sonucu verilerinin idare ve işverenler tarafından işlenmesinin hukuka uygunluk veya aykırılığına ilişkin bir değerlendirme olmadığı, yalnızca bu işlemelerin Kanun kapsamı dışında kaldığını tespit etmekten ibaret olduğunu ifade etmemiz gerekir. Elbette uygulamada bu duyurunun yansıması, idare ve işverenler tarafından aşı bilgisi ve PCR test sonucu verilerinin işlenebilmesi olacaktır. Ancak Kurul, yaptığı duyuru ile açılan imkandan yararlanarak bu amacı aşacak şekilde veri işleyen veri sorumlularını uyarmış, “kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağını”, başka bir ifadeyle amaçla uyumsuz veya amacı aşan işlemeleri önüne gelmesi halinde değerlendireceğini belirtmiştir. Kurulun yaptığı bu duyuruyu çok açık olmadığı için yalnızca kamu kurumlarının istisna kapsamında görüldüğü, işverenlerin halen 6698 sayılı Kanunun 6/3. maddesine tabi olduğu, işverenlere yönelik bir değişiklik olmadığı şeklinde yorumlayanlar da olmuştur.”

“Kanunun yetersiz kalması nedeniyle uygulamanın içine düştüğü sıkışıklığı aşmak bir bağımsız idari otoritenin görevi değildir”

“Sonuç olarak; Kurulun uygulamada yaşanan bir probleme çözüm getirdiği, idare ve işverenlerin aşı bilgisi ve PCR test sonucu verilerini işlemesinin Kurul bakımından bir sorun teşkil etmeyeceğini açıkladığını söyleyebiliriz. Ancak bu çözümü getirirken kullandığı yöntemin bir duyuru olması, pandemi başından beri idare tarafından tüm tedbirlerin düzenleyici işlemlerle belirlenmesi sorununun sürdüğünü göstermektedir. Ayrıca, Kanunun yetersiz kalması nedeniyle uygulamanın içine düştüğü sıkışıklığı aşmak bir bağımsız idari otoritenin görevi değildir. Türkiye Büyük Millet Meclisi gerekli kanuni düzenlemeleri yapmak durumundadır. Bağımsız idari otorite olarak Kişisel Verileri Koruma Kurulu’nun görevi 6698 sayılı Kanunun 22/1-a hükmünde, “Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.” ibaresine yer verildiği görülmektedir.”

İŞ AKDİNİN FESİH HÜKMÜ MÜMKÜNMÜ

“Bu nedenle; Kurulun yayımladığı duyurunun aşı bilgisi ve PCR test sonucu verilerinin işlenmesinin önünü açmakla birlikte, bu sorunun çözülme yönteminin bir duyuru ile yapılması ve konunun Kanun dışına itilmesi nedeniyle temel hak ve hürriyetler bakımından güvencesiz bir çözüm olduğu söylenebilecektir. Esasen Kurul, tehlikeli salgın hastalıklarla ilgili 1593 sayılı Umumi Hıfzıssıhha Kanunu’nu gerekçe göstermek suretiyle verilerin toplanıp işlenmesi ile ilgili yasal dayanak da ortaya koyabilirdi. Belirtmeliyiz ki; işveren, çalışandan aşı bilgisini veya PCR testi sonucunu isteyip de gerekli bilgi ve belgenin çalışan tarafından verilmediği durumda, 4857 sayılı İş Kanunu’nun 25. maddesi uyarınca haklı sebeple iş akdinin fesih hükmünün değil, ancak 18. maddesinde öngörülen geçerli nedenle haklı fesih hakkı gündeme gelebilecektir.” ifadelerini kullandı.

Editör: TE Bilisim