Rahmetlinin Hayatını Kurtaramadık Ama En Azından Kişisel Sağlık Verilerini Koruduk!!! Covid-19 Pandemisi Karşısında Kişisel Sağlık Verilerinin İşlenmesine Dair KVKK Hükümlerinin İş İlişkileri Kapsamında Değerlendirilmesi

I. Sorun

Henüz bütün dünyayı etkisi altına alan, sosyo-ekonomik-kültürel hayatı felç eden, binlerce insanın ölümüne sebebiyet veren Covid-19 pandemisi ortaya çıkmadan dahi 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel sağlık verilerinin nasıl ve hangi şartlar altında işleneceği hususunda son derece sorunlu bir düzenleme içermekteydi. İlgili düzenlemeye göre kişisel sağlık verileri, şayet açık rıza söz konusu değilse KVKK m. 6 f. 3 c. 2’ye göre “ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından” işlenebilecektir.

İlgili kanun hükmünün harfiyen uygulanması halinde uygulamada ortaya çıkacak “ilginç” durumlardan birine örnek olarak:

Bir trafik kazasına şahit olan sürücü, hemen aracını durdurur ve yaralı kişiye yardım amacıyla kaza mahalline koşar. Aynı anda ambulans çağırmak amacıyla 155’i aradığında kendisine, ambulans gönderileceği belirtilir, ancak bunun için öncelikle yaralının neyi olduğunun, kırık, çıkık, kan kaybı gibi durumların söz konusu olup olmadığının, şayet kan kaybı var ise nüfus cüzdanından kişinin kan grubunun belirtilmesinin gerektiği söylenir. Ancak yardım etmek isteyen sürücü, bütün bu bilgilerin kişisel sağlık verisi niteliği taşıdığını, yaralının bilincinin yerinde olmadığını, dolayısıyla açık rızasını alamayacağını, kendisinin ise sır saklama yükümlülüğü altında bulunan bir kişi olmadığını, dolayısıyla söz konusu bilgileri paylaşamayacağını belirtir. Bununla birlikte kan kaybını önlemek amacıyla sürücü, yaralının gömleğini yırtar ve koluna sıkıca bağlar. Yine de bu önlem yetersiz kalır ve yaralı kişi, kan kaybından hayatını kaybeder. Bu olayda her ne kadar yaralı kişi bilinci yerinde olmadığı için mülkiyetine verilen zarara rıza gösterecek durumda olmasa da, farazi rıza çerçevesinde sürücünün müdahalesi hukuka aykırı olarak değerlendirilmeyecektir. Yine aynı kişi, şayet ameliyata alınsaydı, beden bütünlüğüne yapılacak olan müdahale de, farazi rıza kapsamında hukuka uygun olarak değerlendirilecek, aydınlatılmış onama ihtiyaç duyulmayacaktı. Ancak konu kişisel sağlık verileri olunca, kanun tamamiyle katı bir kural getirmekte ve sır saklama yükümlülüğü altında olan kişiler (ve bazı kamu kurum ve kuruluşları) haricinde mutlak bir koruma mekanizması getirmektedir. Bu örnekleri çoğaltmak mümkündür. Bütün bunların ortak yönü, kişisel sağlık verilerinin hukuk düzenimizde korunan diğer menfaatlerin üstünde bir yerde konumlandırılmasının ne kadar isabetsiz sonuçlara sebebiyet vereceğinin bariz göstergeleri olduğudur.

Bu husus, Covid-19 salgını ile özellikle işçi-işveren ilişkilerinde daha da belirgin bir hal almıştır. Salgın öncesi dahi kanuni yükümlülüklerinden dolayı kişisel sağlık verisi işlemek zorunda olan işverenler, salgınla birlikte virüsün yayılımını önlemek, şüphelileri tespit etmek ve gerekli tedbirleri almak için sürekli kişisel sağlık verisi işlemek zorunda kalmaktadırlar. Bu zorunluluk ise, KVKK düzenlemeleri açısından ciddi sorunları da beraberinde getirmektedir.

II. Mevcut Yasal Düzenlemeler

1. KVKK Açısından

Belirtildiği üzere Kanun, kişisel sağlık verilerinin işlenmesi bağlamında sadece iki imkan öngörmektedir. Bunlardan birincisi açık rıza, ikincisi ise m. 6 f. 3 c. 2’de öngörülen amaçlar doğrultusunda ve yine aynı hükümde öngörülen kişiler tarafından kişisel sağlık verilerinin işlenmesidir. Bir üçüncü ihtimal ise, m. 28 f. 1 b. c) ve ç) çerçevesinde öngörülen istisnaların uygulama alanı bulmasıdır. Ne var ki söz konusu istisnalar çerçevesinde kamu sağlığı hiçbir yerde belirtilmemiştir. Bir an için kamu sağlığının, kamu düzeninin bir unsuru olduğu ve dolayısıyla kamu sağlığının da c) ve ç) bentleri çerçevesinde değerlendirilebileceği kabul edilse de, işverenin çalışan kişisel sağlık verilerini işlemesi, ne “sanat, tarih, edebiyat veya bilimsel amaç ya da ifade özgürlüğü kapsamında” gerçekleşmekte, ne de “kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari” faaliyet teşkil etmektedir.

a. Açık Rıza

Her ne kadar uygulamada, haklı olarak, tek çare olarak açık rıza müessesesine başvurulsa da, bu durum birçok açıdan son derece sorunludur. Zira açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmalıdır. İşçi-işveren ilişkilerinde ise özellikle özgür iradenin varlığı noktasında şüpheli davranmak gerekecektir. Gerçekten de kişisel sağlık verisinin işveren tarafından işlenmesine açık rıza vermeyen çalışan, özellikle pandemi döneminde diğer çalışanların da sağlığını tehlikeye attığı gerekçesiyle iş sözleşmesinin haklı sebeple ve derhal sonlandırılmasına sebep olabilecektir. Böyle bir durumda “özgür” iradeden, seçim imkanından bahsetmek, ancak ve ancak gerçek dışı bir yaklaşım olacaktır.

Bir an için çalışanın gerçekten de özgür irade ile açık rızasını verdiği kabul edilse dahi, söz konusu açık rıza her zaman geri alınabilecektir. Dolayısıyla işveren, açık rızanın geri alınabilirliği ve dolayısıyla geri alınmasından itibaren kişisel sağlık verisi işleme sürecinin hukuka aykırı hale gelmesi tehlikesiyle sürekli karşı karşıya kalmaktadır.

Nihayet pandeminin ekonomik sorunlara şimdiden sebebiyet verdiği ve gelecekte de vereceği aşikardır. Dolayısıyla ileri süreçlerde maalesef işten çıkarılmalar gündeme gelebilecektir. Bu çerçevede işverenlerin karşılaşacağı en sık sorunlardan birisi de, çalışanların özgür iradeleri olmaksızın açık rızaya zorlandıkları iddiası olacaktır.

Bütün bu sorunlar karşısında açık rıza yönteminin, kişisel sağlık verilerinin işlenmesi için ne kadar isabetsiz bir dayanak olduğu açıktır.

b. Kanuna Dayalı Veri İşleme İmkanı

Açık rızaya başvurmaksızın kişisel sağlık verisi işlemek isteyen işverenler ise ancak, işyerinde bulunan hekim ve/veya hemşire vasıtasıyla bu verileri işleyebilecektir. Bu çerçevede kişisel sağlık verilerinin öncelikle söz konusu kişiler tarafından değerlendirilmesi, bu verileri ilgili karar mekanizmalarına, ihtiyaç duydukları kadarıyla iletmeleri önerilmektedir.

Ancak bu bağlamda da iki sorun ortaya çıkmaktadır. Birincisi, hekimin ilgili birimlere aktardığı verilerin, kişisel sağlık verisi vasfını yitirmediği, dolayısıyla karar veren birimin de sır saklama yükümlülüğü altında olmasa dahi kişisel sağlık verisi işlediğidir. Zira hastalık sebebiyle rapor alan çalışanın sağlık raporu her ne kadar hekim tarafından değerlendirilip, insan değerleri birimine “sadece” çalışamaz bilgisi aktarılsa da, söz konusu kişinin sağlık sebebiyle çalışamaz halde olduğu bilgisi de, başlı başına bir kişisel sağlık verisi niteliğindedir. Gerçekten de insan değerleri birimi bu bilgi olmaksızın kişinin hastalık sebebiyle işe gelmediğini, fakat buna rağmen ücrete hak kazandığını aksi halde tespit edecek durumda değildir.

Uygulamada daha da önem arz eden ikinci husus, (en azından Temmuz ayına kadar) her işyerinde hekim bulunmadığı gerçeğidir. Erteleme süresinden sonra dahi tehlike sınıfı düşük olan işyerlerinde işyeri hekimi her zaman değil, ancak haftanın belirli günleri ve/veya saatlerinde işyerinde olacaktır. Her işyeri, hekim bulundurma zorunluluğu altında olmadığı gibi, pandemi sebebiyle sürekli işyeri hekimi bulundurmak, iktisadi açıdan da ciddi masraflara sebebiyet verecek, ekonomik sıkıntıların beklendiği bu dönemde işyeri hekimi ilave bir masraf kalemi olarak değerlendirilecektir. Kaldı ki bir işyerinde hekim bulunsa dahi, Covid-19 pandemisi çerçevesinde yüzlerce çalışanı olan bir işyerinde işyeri hekiminin her sabah kapıda bekleyip her çalışanın ateşini ölçmesi, bütün gün boyunca yüzlerce kişinin bütün kişisel sağlık verisini değerlendirmesi ve riskli durumlarda derhal gerekli önlemleri alması gerçek dışı bir beklentidir. Bütün sağlık verilerinin tek elden işlenmesi ayrıca virüsün yayılımını da hızlandıracaktır. Zira işyeri hekiminin virüs kapması halinde sağlık işleri tek bir kişi üzerinden yürütüldüğünde söz konusu kişi çok kısa sürede virüsü bütün çalışanlara bulaştırabilecektir.

Dolayısıyla özellikle Covid-19 pandemisi göstermiştir ki KVKK m. 6 f. 3 c. 2 çerçevesinde öngörülen kanuni dayanak, özellikle işçi-işveren ilişkileri açısından ihtiyaçların karşılanması noktasında tamamiyle yetersizdir.

2. İşverenin Kişisel Sağlık Verileri İşleme Noktasında Diğer Kanunlardan Doğan Yükümlülükleri

KVKK m. 6 f. 3 c. 2, özü itibariyle işçi-işveren ilişkisinde kişisel sağlık verilerinin ancak işyeri hekimi tarafından işlenmesine müsaade etmekte, ancak hukuk düzenimizin bir parçası olan diğer kanunlar, bu düzenleme ile çelişen hükümler içermektedir. Bu bağlamda öngörülen yükümlülüklerin ifası, KVKK m. 6 f. 3 c. 2’de öngörülen kuralın ihlal edilmesi zorunluluğunu da beraberinde getirmektedir. Şöyle ki;

a. 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu ve 6098 Sayılı Türk Borçlar Kanunu Açısından

6331 sayılı İş Sağlığı ve Güvenliği Kanunu (İSGK), m. 4 çerçevesinde işverenin genel yükümlülüklerini düzenlemiş, bu çerçevede özellikle f. 1 b. a) kapsamında “sağlık ve güvenlik tedbirlerinin değişen şartlara uygun hale getirilmesi” ve b. b) kapsamında “iş sağlığı ve güvenliği tedbirlerine” uyumu denetleme yükümlülüğü öngörmüştür. Risklerden korunma ilkeleri bağlamında ise riskten kaçınmak, risklerle kaynağında mücadele etmek, çalışma organizasyonunu riski önleyecek ya da en azından azaltacak şekilde şekillendirmek, toplu korunma tedbirlerine öncelik vermek gibi hususlar yer almaktadır.

Gerek İSGK, gerekse ilgili ikincil mevzuat çerçevesinde getirilen yükümlülükler açıkça göstermektedir ki işveren, çalışanlarına sağlıklı bir çalışma ortamı sunabilmek adına gerekli tedbirleri almak zorundadır. Hatta Kanun, bu yükümlülüğe aykırı davranma durumunda çeşitli yaptırımlar öngörmektedir. Bunun için ise çalışanların kişisel sağlık verilerinin işlenmesi kaçınılmazdır. Covid-19 virüsünün yayılım hızı dikkate alındığında işverenin işyerinde ilk vaka görülene kadar beklemesi kabul edilemez. Bilakis önceden gerekli tedbirlerin alınması, iş düzeninin buna göre şekillendirilmesi gerekmektedir. Bu çerçevede hastalık semptomları büyük önem arz etmektedir. Bu semptomların tespit edilmesi, durumun takip edilmesi, virüs teşhisi konulan kişinin temas ettiği diğer kişilerin bilgilendirilmesi, takip edilmesi gibi bütün faaliyetler, kişisel sağlık verilerinin işlenmesini gerekli kılmaktadır. Bütün bu faaliyetlerin işyeri hekimi bulunduran işyerlerinde tek bir hekim tarafından gerçekleştirilmesi, işyeri hekimi bulunmayan işyerlerinde ise hiçbir şekilde yapılmaması kabul edilemez. Öte yandan söz konusu faaliyetin tek bir hekim üzerinden organize edilmesi, hekimin de sağlığını tehlikeye atacak, ayrıca bütün herkesle temas kurmak zorunda kalacak olan hekimin virüsü daha hızlı ve etkili bir şekilde yaymasına da sebep olacaktır.

Benzer şekilde Borçlar Kanunu (BK) m. 417 f. 2’ye göre işveren, “işyerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almak, araç ve gereçleri noksansız bulundurmak; işçiler de iş sağlığı ve güvenliği konusunda alınan her türlü önleme uymakla yükümlüdür”. Oysa belirtildiği üzere KVKK m. 6 f. 3 c. 2’de öngörülen kısıtlamalar, işverenin bu yükümlülüğünü ifa etmesini çoğu zaman imkansız kılmaktadır.

b. 1593 sayılı Umumi Hıfzıssıhha Kanunu Açısından

Ülkemizin sağlık şartlarını düzenlemek ve kamu sağlığına zarar verebilecek hastalıklarla mücadele etmek amacıyla çıkartılan Umumi Hıfzıssıhha Kanunu da, m. 61 çerçevesinde, salgın hastalık durumunda birçok aktöre bildirim yükümlülüğü getirmektedir. İlgili hükme göre “Hastane baştabipleri, mektep, fabrika, imalathane, hayır müesseseleri, ticarethane ve mağaza, otel, pansiyon, han, hamam, hapishane sahip veya müstecirleri ve müdürleri, apartman kapıcıları bulundukları mahallede, köy ihtiyar heyetleri köylerinde zuhur eden ve eczacılar, diş̧ tabipleri ve ebeler, hasta bakıcıları, ölü tabutlıyan ve yıkayanlar sanatlarını icra sebebiyle muttali oldukları 57nci maddede zikredilen vakaları derakap alakadar makamlara
tebliğ ve ihbara mecburdurlar
”. Her ne kadar 57nci madde çerçevesinde Covid-19 virüsü açıkça zikredilmemişse de, bu tür bir salgının da ilgili hüküm dahilinde değerlendirilmesi gerektiği kabul edilmektedir.

İlgili hükme göre fabrika, imalathane, ticarethane, mağaza, otel vb. işyeri sahip veya müstecirleri (kiracıları) ve müdürleri, salgın vakası ile karşılaştıklarında, bu durumu ilgili makamlara bildirmekle yükümlüdürler. Ne var ki söz konusu işyeri sahibi, işleticisi ya da müdürünün bu yükümlülüğünü ifa edebilmesinin ön şartı, çalışanlarının kişisel sağlık verilerini işlemesidir. Oysa söz konusu faaliyet, KVKK m. 6 f. 3 c. 2 çerçevesinde ancak sır saklama yükümlülüğü altında olan işyeri hekimlerine mahsus kılınmış, aykırı davranış idari para cezasına tabi tutulmuştur.

III. Çözüm Önerisi: KVKK m. 6 f. 3 c. 2 Düzenlemesinin Amaçsal Sınırlandırılması

Görüldüğü üzere kanun koyucu, KVKK m. 6 f. 3 c. 2 kapsamında getirdiği düzenleme ile bir taraftan kişisel sağlık verilerinin korunması menfaatini, can, beden bütünlüğü, mülkiyet, teşebbüs hürriyeti gibi diğer haklara üstün tutmuş, öte yandan diğer kanunlarda öngörülen yükümlülüklerin ifasını da imkansız hale getirmiş, yükümlüleri bir çok durumda hukuka aykırı davranmaya zorlamıştır.

Kuşkusuz kanun koyucu, ilk defa bu türden bir hata yapmamıştır ve muhtemelen bu son hatası da olmayacaktır. Ancak hukuk metodolojisi, bu tür durumlarda kanundaki çelişkinin düzeltilebilmesi açısından farklı imkanlar sunmaktadır. Bunların en önemlisi hiç şüphesiz söz konusu isabetsiz hükmün kanun değişikliği vesilesiyle derhal düzeltilmesidir. Ancak bu düzenleme yapılana kadar uygulama açısından ilgili hükmün amaçsal sınırlandırma çerçevesinde yorumlanması, kanaatimizce uygun bir yöntemdir.

1. Amaçsal Sınırlandırma Nedir?

Özü itibariyle amaçsal sınırlandırma, kıyas yönteminin zıttıdır. Bir hükmü kıyasen uygulamanın sebebi, benzer olayların benzer düzenlemelere tabi tutulması gerektiğini esas alan adalet ilkesine dayanmaktadır. Bir durum için pozitif hukukta düzenleme mevcut, benzer bir durum için açık düzenleme yok ise, pozitif hukuk kuralının benzer duruma uygulanması, adalet ilkesinin gereğidir. Amaçsal sınırlandırmanın özünde de, benzer olmayan hallerin farklı hükümlere tabi tutulması gereksiniminden hareket eden adalet ilkesi yatmaktadır. (Larenz/Canaris, Methodenlehre der Rechtswissenschaft, 3. Auflg. 1995, s. 211). Bu tür bir sınırlandırmanın dayanağı ise dar yorumlanacak hükmün kendisinde, başka bir hükmün daha üstün olarak değerlendirilecek amacında ya da eşyanın tabiatında yatabilir (Larenz/Canaris, s. 211).

Amaçsal sınırlandırma için öncelikle, tıpkı kıyasta olduğu gibi kanunda bir eksikliğin, bir boşluğun tespit edilmesi, ardından bu boşluğun, kanun hükmünü sınırlandıracak şekilde bir kuralla doldurulması gerekmektedir.

Kişisel sağlık verilerinin işlenmesi bağlamında hukuk düzenimize bir bütün olarak bakıldığında şöyle bir tablo söz konusudur: KVKK, işçi-işveren ilişkilerinde ancak açık rızaya dayalı olarak kişisel sağlık verilerinin işlenebileceğini, açık rıza alınamayacağı hallerde ise ancak işyeri hekimi tarafından kişisel sağlık verilerinin işlenebileceğini hüküm altına almaktadır. Öte yandan aynı hukuk düzenimizin bir parçası olan İSGK, işvereni, sağlıklı bir çalışma ortamı temin etmek ve her türlü hastalıkları önlemek noktasında yükümlülük altına almakta, yine Umumi Hıfzıssıhha Kanunu, işyeri hekimine değil, doğrudan işyeri sahibi, işleticisi, yöneticisine bulaşıcı hastalıklar halinde bildirim yükümlülüğü getirmektedir. Dolayısıyla Kişisel Verilerin Korunması Kanunu’nda kişisel sağlık verilerinin işlenmesine dair hüküm, hukuk düzenimizin diğer kanunlarıyla çelişmektedir. Daha da önemlisi söz konusu hüküm, hukuk düzeninin koruduğu insan canı, beden bütünlüğü, teşebbüs hürriyeti, mülkiyet hakkı gibi menfaatleri de dikkate almaksızın kişisel sağlık verilerinin korunmasını bunlara üstün tutmaktadır. Dolayısıyla bu çerçevede kanunda bir boşluğun olup olmadığı incelenmelidir.

2. Boşluk Tespiti

Kişisel Verilerin Korunması Kanunu Adalet Komisyonu Taslağına ve gerekçesine bakıldığında kişisel sağlık verilerinin işlenmesi için farklı imkanlar öngörülmektedir. Gerçekten de gerek hükümet taslağı m. 6 f. 4 b. a), gerekse adalet komisyonu tarafından kabul edilen m. 6 f. 3 b. a), kanunlarda açıkça öngörülmesi halinde bütün özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebileceğini öngörmüş (Adalet Komisyonu Kanun Taslağı ve Raporu, s. 101, https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf, Erişim: Nisan 2020), nihai kanun metnindeki sınırlamaları ise ancak kanunlarda açıkça öngörülmesi halinin yanında bir sebep olarak kabul etmiştir. Dolayısıyla ilk etapta kanun koyucunun kişisel sağlık verilerinin işlenmesi noktasında bilinçli bir tercihte bulunmuş olması savunulabilir. Şayet kanun koyucunun tercihi bilinçli bir tercih ise, ortada bir boşluk söz konusu değildir. Bilakis bilinçli bir susma söz konusu olduğu gibi yargı erkinin de, yasama erkinin söz konusu iradesine saygı duyması, kuvvetler ayrılığı ilkesinin bir gereğidir. Bir diğer ifade ile yargı erki, kanun koyucunun beğenmediği hukuk politikası tercihini kendi tercihleriyle ikame edemez.

Ne var ki, kişisel sağlık verilerinin işlenmesi hususunda kanun koyucunun bilinçli bir tercihte bulunduğu iddiasına son derece şüpheli yaklaşmak gerekecektir. Şöyle ki hükümet teklif metni ve adalet komisyon raporuna hiçbir şekilde yansımayan bir “son dakika” değişikliği ile kanunlarda açıkça öngörülme hukuki dayanağı metinden silinmiş, ancak bunun gerekçesine dair herhangi bir açıklamaya yer verilmemiştir[1]. Dolayısıyla kanun koyucunun hukuk politikasına dair “bilinçli” bir tercihte bulunması noktasında herhangi bir bulguya rastlamak mümkün değildir. Kanunlarda kişisel sağlık verilerinin işlenmesi açıkça öngörülmüş, hatta veri sorumlularına (sır saklama yükümlülüğü altında olan kişilere değil!) bu kapsamda yükümlülükler getirilmiş olsa dahi bu tür verilerin ancak açık rıza ile ya da sır saklama yükümlülüğü altında olan kişiler tarafından işleneceğine dair “cesur” bir tercihte bulunan kanun koyucunun, yaptığı bu değişikliğin özellikle İş Sağlığı ve Güvenliği Kanunu ile Umumi Hıfzıssıhha Kanunu açısından neticelerine dair bir değerlendirmede bulunması gerekmekteydi. Oysa kanun koyucunun işçi-işveren ilişkilerine dair hiçbir ifadeye yer vermemesi, kanun koyucunun burada bilinçli bir tercihte bulunmaktan çok, yasama aşamasında bu hususları gözden kaçırdığına işaret etmektedir.

Yine bu bağlamda sürekli gözden kaçırılan bir diğer husus, gerekçede de belirtildiği üzere 6698 sayılı Kanun’un dayanağının 95/46 numaralı AB-Direktifi olmasıdır. Bu husus, şu açıdan çok önemlidir ki AB hukukunda direktifler, üye ülkeleri muhatap alır. Bir diğer ifade ile direktiflerin doğrudan uygulanması, ABAD içtihatları doğrultusunda ancak çok istisnai hallerde gündeme gelebilecektir. Nitekim direktif, çerçeve bir düzenlemedir ve üye ülkelere bu çerçevede hükümlerin iç hukuka yansıtılması hususunda da belirli bir takdir alanı bırakmaktadır. Bu bağlamda Direktif m. 8 f. 1 b. b) açıkça özel nitelikli kişisel verilerin işlenmesinin, iş ilişkilerinde veri sorumlusunun yükümlülüklerini yerine getirebilmesi için gerekli olması halinde hukuka uygun sayılacağını hüküm altına almış, üye ülkelere ise bu bağlamda gerekli hukuki önlemleri iç mevzuatlarına yansıtmaları hususunda yükümlülük getirmiştir. Hatta doğrudan doğruya üye ülkelerde uygulama alanı bulan Genel Veri Koruma Tüzüğü dahi işçi-işveren ilişkilerinde üye ülkelere özel düzenleme yapma yetkisi (opening clause) tanımıştır (Bkz. Art. 88 GVKT).

Mehaz kanunun çerçeve kanun niteliği, üye ülkelere tanınan takdir yetkisinin hiçbir şekilde kullanılmaması, yapılan son dakika değişikliğinin hukuk politikası ve diğer hukuki düzenlemelere etkisine dair hiçbir şekilde gerekçe sunulmaması, özellikle işçi-işveren ilişkilerindeki veri sorumlularının diğer kanunlardan doğan yükümlülüklerine nasıl etki edeceği noktasında hiçbir beyanda bulunulmaması, kanun koyucunun bilinçli susmasından çok, yasama aşamasında ilgili değişikliğin sonuçlarının işçi-işveren ilişkileri hususunda gözden kaçırıldığı kanaatini kuvvetlendirmektedir. Bu sebeple bilinçli bir tercih yerine plan dışı, öngörülmemiş bir boşluktan bahis açmak kanaatimizce daha isabetli gözükmektedir. Kaldı ki aynı kanun koyucu, kendisine tanınan bütün takdir yetkisini hiçbir şekilde kullanmayıp, kişisel sağlık verilerinin korunmasının neden bütün diğer temel hak ve özgürlüklerden daha üstün değerlendirilmesi gerektiğine dair hiçbir ipucu vermemektedir.

Netice itibariyle kanunda işçi-işveren ilişkilerinde veri sorumlularının diğer kanuni yükümlülükleri hususunda plan dışı bir boşluğun kabulü kanaatimizce imkan dahilinde gözükmektedir.

3. Boşluğun Doldurulması

Daha önce başka bir çalışmamızda etraflıca belirttiğimiz üzere gerçek boşluk-gerçek olmayan boşluk ayırımı, pozitivist bir yaklaşım tarzı olmakla birlikte kıyas müessesesinin benimsendiği günümüz hukuk düzeninde böyle bir ayırım yerine örtülü ve açık boşluk kavramlarının tercih edilmesi daha isabetli gözükmektedir. Bu tür boşlukların doldurulmasında ise hakim görüşün aksine MK m. 2 yerine MK m. 1 f. 2’de öngörülen hakimin kural koyma yetkisi daha isabetli gözükmektedir (daha geniş bilgi için Çekin, Uluslararası Normların Özel Hukuka Ve Hukuk Metodolojisine Etkisi, İÜHFM C. LXXIV, S. 2, 2016, s. 664 vd.).

Kural koyan hakim, özellikle hukuk güvenliği ve kuvvetler ayrılığı ilkelerine riayet etmek zorundadır. Bu çerçevede öncelikle incelediği hükmün kendi şahsi kanaatine göre değil, kanunun objektif amacı doğrultusunda eksik olup olmadığını araştırmalı, bunu yaparken hukuk düzenini bir bütün olarak ele almalıdır. Başlangıç noktası her ne kadar kanun koyucunun niyeti ise de, böyle bir niyetin tespit edilemediği hallerde objektif-zamana uygun bir yorum ile ortaya çıkan boşluk doldurulmalıdır. Bu bağlamda hakimin, kanun koyucunun hukuk politikasını, kendi hukuk politikasıyla ikame etmemesi gerekir.

Ancak yukarıda da belirtildiği üzere kanun koyucunun bilinçli bir tercihi söz konusu değildir. Bilakis hukuk düzeninin diğer hükümleriyle çelişen, temel hak ve özgürlükler arasındaki menfaat dengesini isabetli şekilde kuramayan bir düzenleme söz konusudur. Dolayısıyla yasama erkinin yetki alanına tecavüz söz konusu değildir. Aynı şekilde ihlal edilen herhangi bir hukuk güvenliği de söz konusu değildir. Bilakis kanun, mevcut haliyle veri sorumlularını birçok durumda iktisadi açıdan hukuka aykırı davranmaya zorlamaktadır.

IV. Sonuç

Yukarıda etraflıca izah edilmeye çalışıldığı üzere KVKK m. 6 f. 3 c. 2 hükmü, hukuk düzenimizin bir parçası olan diğer kanunlarla açıkça çelişmektedir. Bu çerçevede kanun koyucunun ilk taslakların aksine neden söz konusu nihai düzenlemeye gittiği, bu çerçevede hangi hukuk politikasını güttüğü, işçi-işveren ilişkisinde veri sorumlularının diğer kanunlardan doğan yükümlülüklerini nasıl değerlendirdiği, direktifte üye ülkelere tanınan takdir yetkisinden neden hiçbir şekilde istifade etmediği hususunda herhangi bir bulguya rastlamak mümkün değildir. Bu sebeple de kanunun kanun koyucu tarafından öngörülmeyen bir boşluk içerdiği aşikardır. Bu boşluk, işçi-işveren ilişkilerinde veri sorumlusunun kanunlardan doğan yükümlülükleri kapsamında kişisel sağlık verisi işlemesi zorunluluğuna dair istisna hükmünün olmamasıdır. İşte bu boşluğu doldurmak ve hukuk düzeniyle yeniden uyum sağlayabilmek amacıyla bu boşluğun kanunun amacına ve ruhuna, aynı zamanda hukuk düzenine ve özellikle bu düzeninin ortaya koyduğu değer yargıları bütününe uygun şekilde doldurulması gerekmektedir. Bu çerçevede kural koyma yetkisiyle hakim, KVKK m. 6 f. 3 hükmüne bir istisna hükmü ekleyecek, veri sorumlusunun kanundan doğan kişisel sağlık verileri işleme yükümlülüğünün bulunduğu halleri de, kanuni istisna olarak değerlendirecektir. Bu sayede uygulamada başvurulan açık rıza ya da tek bir işyeri hekimine bütün kişisel sağlık verilerini işletme gibi “sağlıksız” uygulamaların da son bulacağı ümit edilmektedir.

Son olarak belirtelim ki kanaatimiz, sadece kanunda kişisel sağlık verilerinin işlenmesinin açıkça öngörüldüğü hallerle sınırlı olup bunun haricinde (kanun koyucu tarafından kanun değişikliği yapılana kadar) kişisel sağlık verilerinin işlenmesinde KVKK m. 6 f. 3 c. 2 hükmünün aynen uygulanması gerekecektir. Yine veri sorumlusunun aydınlatma yükümlülüğü ve genel ilkelere riayet etme noktasındaki yükümlülüklerinde hiçbir değişiklik söz konusu değildir.


Dipnotlar


  1. İddia odur ki SGK’nın anonim veri “sattığına” dair haberler Meclis Genel Kurulu’na taşınmış, bunun üzerine kişisel sağlık verilerinin işlenmesindeki bütün istisnaların kaldırılması doğrultusunda bir kanaat oluşmuştur. Ne var ki bu çerçevede istisnaların kaldırılmasının diğer kanunlara olan etkisi, kişisel sağlık verilerinin korunmasının hukuk düzenince korunan diğer menfaatlere üstün tutulması gibi hususların hiçbiri tartışma konusu olmamıştır. Dolayısıyla bu bağlamda da kanun koyucunun bilinçli bir hukuk politikası izlediğini iddia etmek zordur. ↩︎