DSGVO Bağlamında İş İlişkisinde Hassas Sağlık Verilerinin İşlenmesi
İş ortamında sağlık verilerinin toplanması ve kullanılması, veri koruma hukukunun en hassas işlemlerinden biridir. İş sözleşmesi tarafları özellikle Avrupa genelinde tek tip düzenlemeler getiren Genel Veri Koruma Tüzüğü’nün (GDPR/DSGVO) yürürlüğe girmesiyle giderek daha karmaşık sorularla karşı karşıya kalmaktadır. Güncel yargı kararları, özellikle Federal İş Mahkemesi’nin kararı (BAG, 31.01.2023 tarihli karar – 8 ARZ 25/20), çalışanlarla ilgili tıbbi bilgilerin veri koruma kurallarına uygun olarak işlenmesine ilişkin gereklilikleri somutlaştırmaktadır.
Aşağıda işverenin sağlık verilerini işlemesi sırasında uyması gereken usuli ve maddi gereklilikler ele alınacaktır. Bu süreçte güncel karar durumu ve işletmeler için pratik etkiler özel olarak değerlendirilecektir.
Sağlık Verileri: Kişisel Verilerin Özel Kategorisi
Tanım ve hukuki koruma kapsamı
Sağlık verileri, DSGVO Madde 9 paragraf 1’e göre, fiziksel veya psikolojik durum hakkında çıkarıma olanak tanıdıkları ve yüksek derecede hassas oldukları için özel koruma altındadır. Uygunsuz bir işlem, ilgili kişi için önemli riskler doğurabilir. Bu nedenle yasa koyucu ve yargı mercileri sıkı koruma mekanizmaları öngörmektedir.
İş İlişkisinde Veri İşlemenin Meşruiyeti
Bu bilgilerin işlenmesi özel bir gerekçelendirme sebebi gerektirir. Yalnızca özel bir yasal zeminin bulunması halinde izin verilebilir; örneğin ilgili kişinin rızası, yasal bir yükümlülük ya da iş hukukundan kaynaklanan hak ve ödevlerin kullanılmasında bir gereklilik olması gibi (bkz. DSGVO Madde 9 paragraf 2 bağlantılı olarak BDSG § 26 paragraf 3).
BAG Kararı: İş Mahkemesi Süreçlerinde Veri İşleme Ölçütleri
Kararın Gerekçesi
Federal İş Mahkemesi’nin kararına konu olan mesele, mahkemenin tarafların sağlık verilerinin açıklanmasını veya aktarılmasını hangi şartlarda ve nasıl emredeceği sorusudur. Bu sayede başta mahkemenin aydınlatma yükümlülüğü ile gizliliğin korunması ihtiyacı arasındaki dengenin daha somut bir biçimde belirlenmesi amaçlanmıştır.
Sağlık Verilerinin Aktarımına İlişkin Gereklilikler
BAG, kişisel sağlık bilgilerinin açıklanmasına yönelik bir mahkeme kararının, yalnızca hukuki aydınlatma için zorunlu olduğunda gündeme gelebileceğini açıkça belirtmektedir. Ayrıca, açıklamaların veri minimizasyonu ilkesine uygun olması ve sadece karar vermek için gerekli bilgilerle sınırlı kalması gerekmektedir. Ayrıca verilerin güvenli şekilde saklanması ve işlemenin sadece doğrudan ilgili süreçte yer alan kişilerle sınırlı tutulması büyük önem taşımaktadır.
Veri Koruması ile Usul Gerçeğinin Araştırılması Arasındaki İlişki
Kararın temel getirilerinden biri de, tarafın veri koruma çıkarlarının, aksi yönde zorunlu usuli sebepler olmadıkça, öncelikli kabul edilmesidir. Etkilenen kişilere de öngörülen veri işleme kapsamı ve amacı hakkında görüş bildirme fırsatı tanınarak, bilgiye dayalı kendileriyle ilgili kararlarda etkin söz hakkı sağlanmalıdır.
Şirketler ve Çalışanlar İçin Pratik Sonuçlar
İşverenin Belgelendirme ve Bilgilendirme Yükümlülükleri
İşletmeler, hassas çalışan verilerinin toplanmasını, saklanmasını ve kullanılmasını ayrıntılı şekilde belgelemek ve şeffaf hale getirmekle yükümlüdür. Buna, çalışanların sağlık verilerinin nasıl işleneceği konusunda açık ve anlaşılır şekilde bilgilendirilmesi ve yasal olarak gerektiği durumlarda rızalarının alınması yükümlülüğü de dahildir.
Rıza ve Orantılılık Sınırları
Çalışanların rızasının gerçekten ne ölçüde özgür iradeyle verilebileceği konusu ayrıca dikkatle değerlendirilmeli. İş ilişkisindeki güç dengesizliği, verilen rızanın geçerliliğini etkileyebilir. Bu nedenle şirketler, veri işlerken başka uygun yasal zeminlerin mevcut olup olmadığını mutlaka incelemelidir.
Silme ve Koruma Önlemleri
Güncel içtihatların bir diğer sonucu, toplanan verilerin uygun teknik ve organizasyonel tedbirlerle korunması zorunluluğudur. Verilerin derhal silinmesi yükümlülüğü ancak zorunlu saklama yükümlülüklerinin bulunması durumunda ortadan kalkar. Ayrıca verilere erişim, dar bir personel grubuyla sınırlandırılmalıdır.
Hukuki Değerlendirme ve Geleceğe Bakış
Federal İş Mahkemesi kararı, mahkemelerin DSGVO’nun özel gerekliliklerine iş mahkemesi süreçlerinde de sıkı şekilde uyduğunu ve hassas verilerin açıklanmasına ancak yüksek şartlar altında izin verdiğini göstermektedir. Şirketler ve çalışanlar, bu süreçlerden doğan usuli hak ve yükümlülükleri bilmelidir.
İş sözleşmesel ya da yargıya intikal etmiş olaylarda veri koruma konuları, özellikle sağlık verileri gündeme geliyorsa; hukuki gelişmelerin yakından takibi önerilir. Veri koruma ile meşru menfaatlerin dengesi, özellikle işveren-işçi çıkarları arasındaki hassas denge bakımından merkezi öneme sahiptir.
İş ilişkisi kapsamında hassas verilerin işlenmesiyle ilgili daha derinlemesine sorular ortaya çıktığında, MTR Legal Rechtsanwalt Türkiye genelinde ve uluslararası düzeyde danışmanınız olarak hizmetinizdedir.
