Günlük gelişmeleri takip edebilmek için habertürk uygulamasını indirin
HABERTURK.COM

Covid-19 döneminde işverenlerin işçilerden aşı kartlarını talep etmeye başlaması kişisel verilerin korunması yönünden tartışmaları da beraberinde getirmiştir. Aşı kartlarının sağlık verilerini içermesi, sağlık verilerinin işlenmesinin de birtakım özel düzenlemelere tabi olması bu tartışmaların esas nedenini oluşturmaktadır.

İşbu Bilgi Notu’nda (i) kişisel veri işleme faaliyetinin hangi eylemleri kapsadığı ve kişisel verilerin işlenmesinde uyulması gereken genel ilkeler üzerinde durulmuş, ardından (ii) ilgili mevzuat kapsamında sağlık verilerinin hukuki niteliği açıklanmış, takiben (iii) işverenin işçilerden aşı kartı talep etmesinin hukuka uygunluğu noktasında bir değerlendirme yapılmış ve son olarak da (iv) işçilerin aşı kartlarında yer alan verilerin işveren tarafından hukuka uygun olarak işlenebilmesi için
dikkat edilmesi gereken hususlar sıralanmıştır.

A. TANIMLAR

İşbu Bilgi Notu’nda geçen aşağıdaki ifadeler kendilerine karşılık gelen anlamlarda kullanılmıştır.

a. İK: 4857 sayılı İş Kanunu
b. İlgili kişi: Kişisel verisi işlenen gerçek kişi
c. İSGK: 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
d. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
e. KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu
f. Kurul: Kişisel Verileri Koruma Kurulu
g. TBK: 6098 sayılı Türk Borçlar Kanunu
h. Veri Koruma Mevzuatı: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile ilgili ikincil
düzenlemelerin tümü

i. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Avukat Zeynep Yıldırım

B. KİŞİSEL VERİ İŞLEME FAALİYETİ VE KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

KVKK kişisel verilerin işlenmesi faaliyetine ilişkin kapsamlı bir tanım içermektedir. Buna göre kişisel verilerin işlenmesi:
“Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlemi… ifade eder.”

Bu tanımdan anlaşılabileceği üzere kişisel veri işleme faaliyeti yalnızca kişisel verilerin kayıt altına alınması anlamına gelmemektedir. Örneğin, kişisel verilerin kayıt altındayken veya hiç kayıt altına alınmadan doğrudan üçüncü kişilere aktarılması da kişisel veri işleme faaliyeti olarak nitelendirilecektir. Bunun yanında kişisel veriler işlenirken uyulması gereken ve KVKK’da belirtilmiş bir takım genel ilkeler vardır. Buna göre:

*Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak işlenmelidir.

*İşlenen kişisel veriler doğru ve güncel olmalıdır.

*Kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir.

*Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmelidir.

* Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

İşçi ile ilişkisinde KVKK kapsamında veri sorumlusu sıfatını haiz işveren, ilgili kişi sıfatını haiz işçiye karşı aydınlatma ve gerektiğinde işçinin açık rızasını alma yükümlülüğü dahil tüm yükümlülüklerini yerine getirmiş olsa dahi; genel ilkelere riayet edilmeden yürütülmüş olan her türlü veri işleme faaliyeti, olası bir denetimde / ihbarda / çekişmede Kurul ve yargı mercileri tarafından hukuka aykırı olarak nitelendirilecektir.

C. KVKK KAPSAMINDA SAĞLIK VERİLERİNİN HUKUKİ NİTELİĞİ

KVKK’da kişisel veriler genel ve özel nitelikli veriler olarak ikiye ayrılmaktadır. Özel nitelikli kişisel veriler sınırlı sayıdadır ve KVKK’da tek tek sayılmıştır. Bu veriler, üçüncü kişilerce vâkıf olunması halinde ilgili kişinin ayrımcılığa veya herhangi bir şekilde mağduriyete uğramasına sebep olabilecek nitelikteki verilerdir. Sağlık verileri de özel nitelikli kişisel veri kategorisinde yer almaktadır. Kişisel Sağlık Verileri Hakkında Yönetmelik, kişisel sağlık verisini “Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri” şeklinde tanımlamıştır. Yani kişiye ilişkin geçirdiği fiziksel veya psikolojik hastalıklar, hem bunlara bağlı olarak hem de önleyici amaçlarla kullandığı ilaçlar, kan grubu ve bu nitelikteki bilgiler kişisel sağlık verileridir. Bu bağlamda kişinin hangi aşıları olduğu verisi de sağlık
verisi olarak nitelendirilir. Dolayısıyla, aşı kartında yer alan verilerin işlenmesi halinde ilgili kişinin sağlık verisi işleniyor olacaktır.

Stajyer Avukat Kutlu Öncü Uçum

D. İŞVERENİN İŞÇİDEN AŞI KARTI TALEP ETMESİNİN HUKUKA UYGUNLUĞU

İşçi ile işveren arasındaki hukuki ilişkide her iki tarafın da yerine getirmesi gereken yükümlülükleri vardır. İşverenin işçiden aşı kartı talep etmesinin hukuka uygunluğu ise işverenin işçiyi gözetme borcu kapsamındaki iş sağlığı ve güvenliği önlemlerini alma yükümlülüğü çerçevesinde incelenmelidir.

TBK gereğince işveren, işyerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almakla yükümlüdür. Yine İSGK uyarınca işveren, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlü olup bu çerçevede sağlık ve güvenlik tedbirlerinin değişen şartlara uygun hale getirilmesi konusunda çalışmalar yapmalıdır. Bununla birlikte Yargıtay da bir kararında işverenin, isçinin sağlığını ve hayatını tehlikeye sokacak riskleri ortadan kaldırmakla yükümlü olduğunu belirtmiştir.

Bu düzenlemeler ile yargısal içtihatlar gözetildiğinde Covid-19 salgınının değişen şartlar bağlamında değerlendirilmesi gerektiği konusunda kuşku yoktur. Dolayısıyla işveren, içinde bulunduğumuz koşullar altında işyeri içinde Covid-19 hastalığının yayılmasını önlemek için her türlü tedbiri almakla yükümlü olacaktır. Covid-19 aşısı yaptırmayanların hastalığa maruz kalma ve hastalığı yayma olasılığının daha yüksek olduğu ise hekimler tarafından sürekli olarak dile getirilmektedir. Bu bağlamda işverenin, işçilerden aşı kartı talep etmesinin bir tercihten öte bir zorunluluk olduğu şeklinde yorum dahi yapılabilir. Ayrıca Bazı Faaliyetler İçin PCR Testi Zorunluluğu Genelgesi 6 Eylül 2021 tarihinde yürürlüğe girecektir. Buna göre toplu olarak bulunulacak alanlara giriş için vatandaşlara ya aşı kartı ya da aşısız vatandaşlar için negatif sonuçlu PCR testi sunma zorunluluğu getirilecektir. Düzenleme ile nihai hedef kamu sağlığının tesisidir. Bu bağlamda işyerinde yayılmış olan Covid-19 hastalığının işyeri dışına taşınması da kaçınılmaz olacağından işverenin aşı kartı talebi dolaylı olarak kamu sağlığının tesisi açısından da bir gereklilik olarak düşünülebilir. Yani genelge ile işverenin nihai amacı örtüşmektedir. Tüm bu hususlar gözetildiğinde, işverenin aşı kartı talebinin hukuka aykırı olarak yorumlanması mümkün değildir.

E. AŞI KARTLARINDA YER ALAN KİŞİSEL VERİLER NASIL İŞLENMELİDİR?

Öncelikle Veri Koruma Mevzuatı gereğince her kişisel veri işleme faaliyetinde olduğu gibi veri sorumlusu sıfatını haiz işverenin, işçiye (i) hem kategorik olarak hem de tek tek ve eksiksiz bir şekilde sayılmak suretiyle hangi kişisel verilerinin işleneceği, (ii) bu verilerin işlenen kişisel veriler kategorisi bazında işlenme amaçları, (iii) bu verilerin hangi yollarla temin edileceği, (iv) kişisel verilerin işlenmesinin hukuki sebepleri, (v) aktarım yapılacaksa kişisel verilerin yurt içi ve yurt dışında hangi
üçüncü kişilere aktarılacağı ve (vi) ilgili kişilerin sahip olduğu haklar ve bu hakların kullanılma yöntemleri bilgilerini içeren bir aydınlatma metni sunma yükümlülüğü bulunmaktadır. Çalışanın aşı kartı verilerinin işleneceği bilgisi, işe girişi yeni yapılacak çalışanlara sunulacak olan ve işlenecek tüm verilerinin yer alacağı tek bir aydınlatma metnine eklenebilir. Halihazırda bir hizmet akdine bağlı olarak işyerinde çalışan işçilere ise bu hususta ayrı bir aydınlatma metni sunulması gerekecektir.
İşbu Bilgi Notu’nun C başlığı altında belirtildiği üzere kişisel sağlık verileri özel nitelikli kişisel veri kategorisinde değerlendirilmektedir. KVKK uyarınca özel nitelikli kişisel veriler kural olarak ancak ilgili kişinin açık rızası ile işlenebilir. Bununla birlikte KVKK’da sağlık verilerinin ilgili kişinin açık rızası olmadan işlenebileceği istisnai durumlar da düzenlenmiştir. Buna göre sağlık verileri:

“…kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”


İşçinin sağlık verilerini işleyebilmek açısından işveren iki farklı yöntem belirleyebilir:

1. İşçinin aşı kartı verileri özlük dosyasında tutulmayıp işyeri hekimi tarafından işlenebilir veya
2. İşçinin aşı kartı verileri doğrudan özlük dosyasına eklenebilir. İşçinin kişisel sağlık verilerinin işlenmesi sırasında takip edilmesi gereken usul bu yöntemlerden hangisinin seçileceği ile doğrudan ilgili olacaktır. Aşağıda bu yöntemler ayrı ayrı incelenmiştir.

E.1. İşçinin Aşı Kartı Verilerinin İşyeri Hekimi Tarafından İşlenmesi Yukarıda da belirtildiği üzere KVKK’da sağlık verilerinin açık rıza olmaksızın işlenebilmesi konusunda bir takım istisnai haller düzenlenmiştir. İşyeri hekimliği faaliyetinin bir koruyucu
hekimlik faaliyeti olduğuna şüphe yoktur. KVKK uyarınca sağlık verileri, koruyucu hekimlik amacıyla sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu husus Kurul’un 27.03.2020 tarihli duyurusunda da teyit edilmiştir.

Burada “işlenebilir” ifadesinin kullanıldığına dikkat edilmesi gerekir. Bu düzenleme ile koruyucu hekimlik faaliyeti yürüten işyeri hekiminin kişisel verileri, gerektiğinde ve işbu Bilgi Notu’nun B başlığı altında açıklanmış olan genel ilkelere uyarak, ilgili kişinin açık rızasına ihtiyaç duymadan üçüncü kişiler ile paylaşması da hukuka uygun bir işleme faaliyeti olarak kabul edilecektir.
İşveren işçiyi gözetme borcu kapsamındaki iş sağlığı ve güvenliği önlemlerini alma yükümlülüğünü diğer yetkili çalışanları eliyle yerine getirir. İşyeri hekimi de bu çalışanlar arasındadır. İşyeri hekiminin sır saklama yükümlülüğü olsa da hem diğer işçilerin korunması ve gözetilmesi hem de Covid-19 gibi salgınlarda dolaylı olarak kamu sağlığının korunması gerekliliği söz konusu olduğunda işyeri hekimi ilgilileri bilgilendirmekle yükümlü olacaktır. Bu gibi durumlarda işyeri hekiminin sır
saklama yükümlülüğü ile diğer işçilerin korunması ve gözetilmesi (ve dolaylı olarak kamu sağlığının tesisi) arasında bir denge testi yapılır. Neticede kamu sağlığı ağır basacaktır. Yani işyeri hekimi bir işçinin Covid-19 pozitif olduğu verisini veya aşı yaptırmadığı verisini, diğer işçilerin korunması ve gözetilmesi amacıyla ve koruyucu hekimlik faaliyeti kapsamında ilgililerle paylaşabilecektir. Tabii ki işyeri hekimi işveren ile bu bilgileri paylaşırken genel ilkelere riayet etmek durumundadır. Örneğin
işçinin aşı olup olmadığı bilgisi tüm işyeri çalışanlarına değil de yalnızca bu bilgiyi işyeri hekiminden almakla yetkilendirilmiş olan ekibe aktarılmalıdır. Yani burada bahsettiğimiz ilgililer yetkili idari makamlar olabileceği gibi işyeri içinde yetkili bir birim, örneğin İnsan Kaynakları birimi olabilir. Bilindiği üzere kimi hekimler Covid-19 aşısının 7 ila 8 ayda bir yenilenmesi gerektiğine dair beyanlar vermekte. Bu nedenle şu aşamada aşıların tarihleri verisinin de özlük dosyasına eklenebileceği görüşündeyiz. Öte yandan genel ilkelere riayet edebilmek adına işyeri hekiminden alınması gereken bilgilerin yalnızca aşı olunup olunmadığı ve aşı tarihleri bilgisi olduğu görüşündeyiz. Bu doğrultuda işçinin aşı olup olmadığı bilgisinin işyeri hekiminden temin edilmesini takiben ilgili çalışanın özlük dosyasına “Covid-19 aşıları sırasıyla … ve …. tarihlerinde tamamlanmıştır/tamamlanmamıştır.”

şeklinde bir kayıt düşülmesi genel ilkelere riayet edilmesi açısından uygun ve yeterli olacaktır. Bu kayıt işverenin iş sağlığı ve güvenliği tedbirlerini alması ve yapılan işin sürekliliğinin sağlanması amaçlarına da hizmet etmiş olacaktır. Biz Kurul kararlarını da dikkate alarak idari yaptırımlardan kaçınmak adına en güvenceli yolun bu başlık altında belirtilmiş olan yol olacağı kanaatindeyiz. Yani aşı kartlarının doğrudan özlük dosyasına alınmaması, bunların işyeri hekimine teslim edilmesi ve aşı kartı verilerinin işyeri hekimi tarafından işlenmesi Veri Koruma Mevzuatı’na ve Kurul kararlarına tam olarak uygun olacaktır.
İşyeri hekimi de işverene, ilgili kişinin Covid-19 aşılarını tamamlayıp tamamlamadığına ve tamamladıysa hangi tarihlerde tamamladığına dair bilgi verebilecektir.

E.2. İşçinin Aşı Kartı Verilerinin Özlük Dosyasında Tutulması Yukarıda da belirtildiği üzere özel nitelikli kişisel veriler KVKK’da belirtilmiş olan istisnai durumlar haricinde ancak ilgili kişinin açık rızası ile işlenebilir. Somut duruma özgü bir değerlendirme yapmak gerekirse, Veri Koruma Mevzuatı’nın lafzı dikkate alındığında özel nitelikli kişisel veri niteliğindeki aşı kartı verilerinin yalnızca işçinin açık rızası ile özlük dosyasına eklenmesi mümkündür. Burada dikkat edilmesi gereken husus açık rıza gerektiren veri işleme faaliyetinde her amaç için ayrı ayrı açık rızaya ihtiyaç duyulacak olmasıdır. Diğer bir söyleyişle aşı kartı verilerinin özlük dosyasında tutulması için işçinin açık rızası gerekirken, bu verilerin yurt içinde ve yurt dışında üçüncü kişilere
aktarılacak olması halinde işçinin ayrıca açık rızasının alınması gerekecektir.

Bu husus KVKK’da düzenlendiği gibi Kurul tarafından yayınlanmış olan Açık Rıza Rehberi’nde de yer almaktadır. Usulüne uygun olarak temin edilmeyen açık rızalar açık rıza niteliğini haiz olmaz ve hukuka aykırı veri işlenmesi nedeniyle veri sorumlusu aleyhine idari yaptırımlar gündeme gelebilir.

İşçinin aşı kartı verilerinin özlük dosyasında tutulması halinde dikkat edilmesi gereken bir diğer önemli nokta da genel ilkelere riayet edilerek, amaçla sınırlı ve ölçülü bir şekilde veri işleme faaliyetinin yürütülmesi gerekliliğidir. Veri sorumlusu işverenin ulaşılmak istenen amacın kapsamı dışında kalan verilerin maskelenmesi, imha edilmesi veya sair yöntemler kullanılmak suretiyle işlenmeyeceğinden emin olması gerekir. Çalışanlardan Covid-19 aşı kartı talep edildiğinde, buradaki temel amaç yukarıda da belirtildiği üzere, işverenin iş sağlığı ve güvenliği tedbirlerini alması ve yapılan işin sürekliliğinin sağlanmasıdır. Bu nedenle tıpkı işyeri hekiminden bilgi alınması halinde olduğu gibi ilgili kişilerin aşı olup olmadığı bilgisi ve aşı tarihleri amaca hizmet etmek konusunda yeterli olur. Ölçülülük ilkesine riayet edilmesini ise bu verilere yalnızca işveren tarafından
yetkilendirilmiş kişilerin erişiminin sağlaması olarak örnekleyebiliriz. Unutulmamalıdır ki, amaçla sınırlı ve ölçülü kişisel veri işlenmemesi halinde bu durum ayrıca bir ihlâl olarak nitelendirilir ve idari yaptırımlara tabidir.

E.2.1 İşçinin Aşı Kartı Verilerinin Özlük Dosyasında Tutulmasına Dair Alternatif Hukuki Görüşümüz Veri Koruma Mevzuatı uyarınca ilgili kişi tarafından veri sorumlusuna verilecek açık rızanın geçerli olabilmesi için açık rızanın:

*Belirli bir konuya ilişkin olması,
*Bilgilendirmeye dayanması,
*Özgür iradeyle açıklanması gerekir.

Özellikle işveren ile işçi arasındaki ilişki düşünüldüğünde işçi, herhangi bir verisinin işlenmesi konusunda işverene açık rıza verecek olsa dahi işveren karşısındaki pozisyonu gereği bu açık rızanın ne derece özgür bir irade ile verilebileceği hususu oldukça tartışmalıdır. Bir diğer tartışma konusu ise TBK kapsamında ortaya çıkmaktadır. Buna göre işçi, iş sağlığı ve
güvenliği konusunda alınan her türlü önleme uymakla yükümlüdür. Bu durumda iş sağlığı ve güvenliği yükümlülüklerini yerine getirebilmek amacıyla işveren tarafından işçilerden aşı kartları talep edildiğinde, TBK’daki bu emredici düzenleme gereğince işçinin bunu geri çevirme imkânı bulunmamaktadır. Bu nedenle işçi tarafından verilecek açık rızanın ne derece geçerli bir açık rıza olduğu tartışması bir kenara, burada işverenin işçiden açık rıza almasının gerekip gerekmediği dahi
tartışma konusudur.

Ayrıca aşı kartı verilerinin işyeri hekimi tarafından temin edilmiş veya işçinin açık rızası ile aşı kartlarının özlük dosyasına eklenmiş olması durumlarında işlenen kişisel veriler bakımından bir farklılık bulunmayacaktır. Nitekim, genel ilkelere riayet edilmesi yükümlülüğü gereği her iki durumda da yalnızca ilgili kişinin aşı olup olmadığı verisi ile aşı tarihleri ilgili çalışanın özlük
dosyasında yer alabilecektir. Bu bakımdan da çalışan tarafından kişisel sağlık verilerinin özlük dosyasında tutulmasına dair verilecek açık rızanın anlamsız kalacağı görülmektedir.

Bu durumda somut duruma ilişkin alternatif bir görüş yaratmak uygun olacaktır. Yukarıda bahsedildiği üzere sağlık verileri, kamu sağlığının korunması amacıyla yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası olmadan işlenebilir. Burada bahsi geçen “yetkili kurum ve kuruluşlar” ifadesinden kastın kamu kurum ve kuruluşları olduğuna dair görüşler mevcut olsa da
Covid-19 salgını çerçevesinde daha geniş yorum yapılmasının uygun olacağı kanaatindeyiz. Bu bağlamda işverenin iş sağlığı ve güvenliği tedbirlerini alma yükümlülüğü ve bu yükümlülüğünün layıkıyla yerine getirilmesinin dolaylı olarak kamu sağlığının tesisine de katkı sağlayacağı gerçeği dikkate alındığında, işverenin yetkili kurum ve kuruluşlar arasında yer alıyor olduğunun kabulü gerekir. Nitekim kanun koyucu tarafından yaratılmış olan sorumluluk kendiliğinden yetki de doğuracaktır. Bütün bu sayılanlar nedeniyle işverenin, işçinin aşı kartı verilerini, genel ilkelere de riayet ederek, işçinin özlük dosyasında tutabilmek suretiyle işçinin açık rızasına ihtiyaç duymadan işleyebileceğinin kabulü gerekir. Bu konuda Kurul tarafından henüz bir değerlendirme yapılmış olmamakla beraber, bu yöntem üzerinden ilerlenmesi halinde, olası bir denetimde / ihbarda / çekişmede burada ileri sürülmüş olan görüşlere dayanılarak bir savunma yapılması mümkün olacaktır.

Önemle belirtmek gerekir ki, bu yaklaşım her türlü sağlık verisi için değil, yalnızca Covid-19 gibi yayılımı ve/veya öldürücülüğü yüksek hastalıklar için kabul görebilir. Farklı sağlık verilerinin (örneğin bulaşıcı olmayan bir hastalığın teşhisi veya tedavi süreci verisinin) işçinin açık rızası olmadan özlük dosyasına alınması hukuka aykırı olacaktır. Bu gibi durumlarda verilerin işyeri
hekimince tutulması gerekir.

E.3. Özel Bir İnceleme – Kişisel Verilerin Yurt Dışına Aktarımı Kişisel verilerin genel veya özel nitelikli olup olmadığına bakılmaksızın yurt dışına aktarımı Veri Koruma Mevzuatı kapsamında dikkat edilmesi gereken bir husustur. Kurul kararları uyarınca kişisel verilerin dijitalleştirilerek yurt dışında bulunan sunucularda kayıt altına alınması, sunucular yurt içinde olsa dahi OneDrive gibi yurt dışı menşeli bulut uygulamalarının depolama amacıyla kullanılması veya yurt dışı menşeli e-posta sunucuları (kurumsal e-posta adresi sağlayan Outlook uygulaması dahil, Gmail, Yahoo, Hotmail…) aracılığıyla bu verilerin toplanması gibi durumlarda kişisel veriler yurt dışına aktarılmış kabul edilecektir. Yine bu verilerin yurt dışında bulunan üçüncü
gerçek veya tüzel kişilere aktarımı da yurt dışına aktarım olarak nitelendirilir. Bu gibi durumlarda da işçilerden, kişisel verilerinin yurt dışına aktarımı için ayrıca açık rıza alınması gerekir.

Yurt dışına veri aktarımının önlenmesi için aşı kartları farklı yöntemlerle toplanabilir:

*Aşı kartlarının yazıcıdan çıkarılmış halleri ilgili kişilerden fiziksel olarak toplanabilir.
*Aşı kartları BİP veya SMS yoluyla çalışanlar tarafından işverene ulaştırılabilir. Burada sunucuları yurt dışında olan Whatsapp uygulaması kullanılmamalıdır.

*Şirket içinde veri toplanması işlemi için oluşturulmuş bir sistem/yazılım mevcutsa aşı kartı verileri bu yolla toplanabilir.
Herhangi bir kafa karışıklığı yaratmamak adına belirtmek isteriz ki aydınlatma metinlerinin e-posta yoluyla gönderilip gerekmesi halinde açık rızaların da bu şekilde toplanması hukuken bir sorun yaratmayacaktır.

F. SÜRECİN ÖZETİ VE SONUÇ

Yukarıdaki açıklamalardan yola çıkarak işverenin işçiden Covid-19 aşı kartını talep etmesi halinde kişisel verilerin korunması bağlamında süreç özetle aşağıdaki şekilde işleyecektir:

* Çalışanlara aydınlatma metni sunulması
* Aşı kartı çıktılarında yer alan verilerin işyeri hekimi eliyle mi yoksa özlük dosyasında tutulmak suretiyle mi işleneceğine karar verilmesi o Veriler işyeri hekimi eliyle işlenecekse işyeri hekiminden yalnızca ilgili kişinin aşı olup olmadığı ve olduysa aşı tarihleri bilgisinin alınması (İşyeri hekimi bu verileri paylaşmakla yükümlü olacaktır) o Veriler doğrudan özlük dosyasında tutulacaksa aşı kartlarının işbu Bilgi Notu’nun EK – 2’sinde gösterildiği şekilde özlük dosyasına eklenmesi
*Verilerin yurt dışına aktarım olmayacak şekilde kayıt altına alınması, yurt dışına aktarım olacaksa bu hususta çalışanlardan açık rıza alınması İşverenin, mevzuattaki düzenlemeler ve yargı kararları gereğince işçiyi gözetme borcu kapsamında
iş sağlığı ve güvenliği önlemlerini alma yükümlülüğü bulunmaktadır. Bu bakımdan içinde bulunduğumuz Covid-19 salgını döneminde işverenin işçilerden aşı kartlarını talep etmesinde bir hukuka aykırılık olduğu iddiasında bulunulamaz. Bununla birlikte söz konusu veriler işlenirken Veri Koruma Mevzuatı’na uyulması olası yaptırımların önüne geçecektir.

Not: Bu bilgi notu gelişmelere göre güncellenebilir. Bu durumda tekrar paylaşılacaktır.

24 SAAT GÜNÜN ÖZETİ
24 saat
24 saat günün önemli haberleri ve gelişmeleri