KVKK 08/10/2020 tarihli ve 2020/769 sayılı karar özeti
14.04.2021 tarihinde Kişisel Verileri Koruma Kurulunun(Kurul) 08/10/2020 tarihli ve 2020/769 sayılı karar özeti yayımlanmıştır. Bahse konu karar, eski çalışana ait özlük kayıtlarının ve bilhassa sağlık verilerinin işlenmesine dair şartların irdelenmesi bakımından dikkat çekicidir.
Başvurucunun eski işvereni olan şirketi devralan veri sorumlusu firmanın özlük ve sağlık verilerini kendisine aydınlatma gerçekleştirmeksizin ve kendisinden onay almaksızın işlemekte olduğuna dair şikayeti üzerine başlatılan incelemede Kurul;
*Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 6698 sayılı Kişisel Verilerin Korunması Kanununun(Kanun) 11 inci maddesinde sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunu, Kanunun ilgili kişinin kişisel verilerinin yürürlüğünden evvel elde edildiğini ve işlendiğini, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığını değerlendirerek uygulamada hukuka aykırılık görmemiştir.
*İşverenin çalışanlarının özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğu, bu kapsamda iş ve sosyal güvenlik mevzuatı kapsamındaki yükümlülükleri dolayısıyla veri işleme faaliyetinin gerçekleştirildiği, söz konusu veri işleme faaliyetinin Kanunun 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülme’ ve aynı fıkranın (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünün yerine getirilebilmesi için zorunlu olması’ şartlarına(açık rızanın aranmadığı istisna haller) dayanılarak gerçekleştirildiği sonucuna varmıştır. (Bu noktada yayımlanan karar metninde işlemenin belirtilen istisnaların dışında sebep ve yollarla işlendiğine dair bir iddiadan bahsedilmediğini belirtmek gerekir.)
*İlgili kişinin açık rızası olmaksızın sağlık verilerinin işlenmesine ilişkin olarak; iş sağlığı ve güvenliği mevzuatı uyarınca işyeri hekimlerinin sır saklama yükümlülüğü altında bulunan kişilerden olduğu, çalışanların yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenesi ile gerekli tetkiklerin sonuçlarını düzenleme ve işyerinde muhafaza etme görevlerinin bulunduğu, somut olayda; 6698 sayılı Kanunun 6 ncı maddesi uyarınca özel nitelikli kişisel veriler arasında sayılan sağlık verilerini içermesi sebebiyle gerek çalışan gerekse de eski çalışanlarına ait kişisel sağlık dosyalarının yalnızca sır saklama yükümlülüğü altında bulunan işyeri hekiminin erişimi ile sınırlı olarak saklanmakta olması ve ilgili kişinin kişisel verilerinin güvenliğinin sağlanmadığına yönelik bir iddiası olmaması sebebiyle, Kurul tarafından belirlenen özel nitelikli kişisel verilerin işlenmesinde veri sorumlularınca alınması gereken yeterli önlemler alınmak suretiyle mevzuatta öngörülen görevleri kapsamında işyeri hekimi tarafından sağlık verisinin işlenmesinin mümkün olduğu kanaatine varmıştır.
Yayımlanan karar metni eklice paylaşılmakta olup, her somut durumun kendi şartları dahilinde değerlendirileceği, eldeki olayda Kurul kararının İşverenlik lehine yorum içermesinin verilerin elde edilme tarihi, özlük kayıtlarının işlenme sebep ve yolları, sağlık kayıtlarının sadece işyeri hekiminin erişiminde ve kontrolünde işleniyor olması sebeplerinden kaynaklandığı hatırlanmalıdır. Buna karşın anılan kararın çalışan/eski çalışan verilerinin hangi şartların sağlanması halinde ve hangi sınırlarda “onaya tabi olmaksızın” işlenebileceği hususunda önem arz ettiği tabiidir.