03 Kas, 2020

KVKK Açısından HES Kodu

Öncelikle belirtmek isteriz ki, bu yazıda yer verdiğimiz görüşler ilgili yasal düzenlemelere ve yargı kararlarına dayanmakla birlikte kendi görüşlerimizden ibarettir ve yol gösterme amaçlıdır. Bu görüşler doğrultusunda alınacak kararlar sebebiyle şirketimizin sorumlu tutulması mümkün değildir.

Bilindiği üzere COVID-19 salgını sebebi ile HES kodu kullanımına günlük yaşantımızda yer verilmektedir. HES kodu kullanımı, kişinin risk grubunda olup olmadığını kontrol etmeye, vakaları takip etmeye yaramakla birlikte, hastalığın yayılma riskini azaltmayı amaçlamaktadır.

Sağlık Bakanlığı tarafından HES kodu’nun 500’den fazla çalışanı bulunan işverenler tarafından toplu olarak sorgulanmasına imkan tanınmıştır. Bu işlem için öncesinde Sağlık Bakanlığı’na yapılacak başvurunun onaylanması gerekmektedir. Bu konuda ayrıntılı bilgiye Sağlık Bakanlığı internet sayfasından ve aşağıdaki linkten erişilebilir:

HES Kodu Sorgulama Kurumsal Entegrasyon Dökümanı

Bununla birlikte, bu entegrasyon kapsamına girmeyen işyerlerinde çalışanların ve ziyaretçilerin HES kodlarının sorgulanması işleminin KVKK açısından değerlendirilmesinde fayda görüyoruz.
HES Kodu’nun bir “kişisel veri” olup olmadığına değinmeye gerek duymuyoruz zira, belirli bir gerçek kişi ile doğrudan bağlı bir kod söz konusu olduğundan, HES kodu kişisel veridir ve işlenmesi KVKK kapsamında değerlendirilmelidir.

Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinde yer alan işleme şartları dahilinde değerlendirdiğimizde, kodun 1) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması 2) açık rıza kapsamında işlenebileceği değerlendirilmektedir.
Açık rıza, Kurul kararlarında defaatle tekrarlandığı üzere geçerliliği belirli koşullara bağlı bir işleme şartıdır. Eğer işyeri girişinde HES kodu sorgulaması yapılmayan kişilerin işyerine alınmaması uygulaması hayata geçirilecekse, burada bir açık rızadan bahsetmek mümkün olmayacaktır. Fayda getirip getirmeyeceği tartışılabilir olsa da ihtiyari bir sorgulama uygulaması, gerekli aydınlatma ve açık rıza metinlerinin hazırlanması ve ilgiliden onay alınması halinde mümkün görünmektedir.

Özetle soru: Mecburi HES kodu sorgulaması işleminin, “meşru menfaat” kapsamında değerlendirilip değerlendirilemeyeceği noktasında toplanmaktadır.
İş akdinin kişisel niteliği gereği işçi ile işveren arasında kurulan karşılıklı sorumluluklar bağlamında işveren, işçiyi korumak, yaptığı iş dolayısıyla işçinin uğrayacağı zararlara karşı önlemler almak, çıkarlarının zedelenmesine yol açacak davranışlardan kaçınmak zorundadır.

İşverenin alması gereken iş sağlığı ve güvenliği tedbirlerinin yasal dayanağını 6098 sayılı TBK’da düzenlenen işverenin işçiyi gözetme borcu oluşturmaktadır. İşverenin işçiyi gözetme borcu TBK md. 417/f.2’de şöyle belirtilmiştir:

İşveren iş yerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almak, araç ve gereçleri noksansız bulundurmak, işçiler de iş sağlığı ve güvenliği konusunda alınan her türlü önleme uymakla yükümlüdür.

Bunun ötesinde İşverenin, işyerinde işçilerin sağlık ve güvenliğinin temini için gerekli tüm önlemleri alması 6331 Sayılı İŞ SAĞLIĞI VE GÜVENLİĞİ KANUNU uyarınca zorunludur.

(6331 Sayılı Kanun Madde 4: (1) İşveren, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlü olup bu çerçevede; a) Mesleki risklerin önlenmesi, eğitim ve bilgi verilmesi dâhil her türlü tedbirin alınması, organizasyonun yapılması, gerekli araç ve gereçlerin sağlanması, sağlık ve güvenlik tedbirlerinin değişen şartlara uygun hale getirilmesi ve mevcut durumun iyileştirilmesi için çalışmalar yapar.)

İşyerinde alınması gereken tedbirlere ilişkin pek çok yazı bulunmaktadır. Aile ve Çalışma Bakanlığı tarafından yayınlanan metinlerde de (https://ailevecalisma.gov.tr/covid19/sikca-sorulan-sorular) İşyerine ziyaretçi giriş çıkışlarının kısıtlanması gerektiği belirtilmiştir.

İşverenin bu aşamada gereken önlemleri almaması sonucu işçiye Koronavirüs bulaşması durumunda bu durumun somut olayın özelliğine göre iş kazası olarak kabul edilmesi mümkündür.
Gerçekten de, Yargıtay 21.Hukuk Dairesi tarafından 2018/5018 E.-2019/2931 K. sayılı 15.04.2019 tarihli kararı ile “H1N1 (domuz gribi) olan bir tır şoförüne ilişkin davada H1N1’i “iş kazası” olarak” kabul edilmiştir. Her ne kadar bu dava işverene karşı değil; SGK’ya karşı açılmış bir iş kazası tespit davası niteliğinde olsa da 5510 sayılı Kanunun 13. Maddesi anlamında iş kazasının tespiti niteliğinde olduğundan önem arz etmektedir.

Açıkladığımız hususlarla birlikte, salgının yayılmasının önlenmesi ve kamu menfaati de göz önüne alındığında, İşveren’in, zorunlu HES Kodu sorgulaması uygulamasına geçmesinde hukuki menfaati olduğu kanaatimizce ihtilafsızdır.
Bununla birlikte, “meşru menfaat”e dayalı veri işlemesi söz konusu olduğunda bir “denge testi” yapılması gerekliliği de Kurul tarafından ilgili tüm kararlarda vurgulanmaktadır. Bu denge testi işyerinden işyerine değişebilecek niteliktedir, her işyerinin korunma ihtiyacı birbiriyle aynı olmayacak, bu doğrultuda alınması gerekli tedbirler de değişiklik gösterecektir. Yazımızda bu tedbirin alınması göreceli olarak gerekli görülen bir işyeri için değerlendirme yapılmaktadır.

HES kodunun ilgili kişinin temel hak ve özgürlüklerine zarar verip vermeyeceği konusunda değerlendirme yaptığımızda, HES kodunun tek başına bir anlam ifade etmemesi, kişinin T.C. Kimlik numarası gibi başka bilgileri ihtiva etmemesi ve yalnızca kişinin COVID-19 hastası olup olmadığına yönelik bir tespit içermesi sebebiyle, temel hak ve özgürlükleri kısıtlayan bir özelliği bulunmadığı değerlendirilmektedir.

Tekrarla belirtmek isteriz ki bu değerlendirmelerin her bir işyeri için ayrıca yapılması gerekmektedir ve görüşlerimiz genel geçer sonuçlar içermemektedir.
Aydınlatma yükümlülüğünün yerine getirilmesi gerektiği, verilerin amacına aykırı kullanılmaması ve depolanmaması gerektiğini önemle hatırlatırız. Ayrıca olduğu dahil Kişisel Verileri Koruma Kurumunun da konuyla ilgili bir çalışması olduğu bilinmekte, yakın zamanda yayınlanacağı düşünülen çalışma doğrultusunda işlem yapmanın gerekeceğini de belirtmek isteriz.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram