-
Mail[email protected]
-
Telefon0 505 918 21 49
- Avukata Sor
Kartal Avukat
İşverenin, çalışanına ait sağlık verilerini işlemesi veya paylaşması, hem Kişisel Verilerin Korunması Kanunu (KVKK) hem de Türk Ceza Kanunu (TCK) kapsamında ciddi hukuki sonuçlar doğurabilir. Özellikle İstanbul, Anadolu Yakası ve Kartal bölgesinde faaliyet gösteren işletmelerin, çalışanlarının kişisel sağlık verilerini izinsiz işlemesi halinde hem idari para cezaları hem de cezai sorumluluklar gündeme gelir.
KVKK’ya göre sağlık verileri, özel nitelikli kişisel veriler arasında yer alır. Bu veriler, bireyin fiziksel veya ruhsal sağlık durumuna, engellilik bilgisine, geçirdiği hastalıklara ya da tıbbi geçmişine ilişkin her türlü bilgiyi kapsar.
Örnekler:
İşe giriş sağlık raporu
Covid-19 test sonucu
Gebelik veya engellilik durumu bilgisi
Psikolojik tedavi geçmişi
Bu tür veriler, sadece belirli hukuki şartlar altında işlenebilir; aksi takdirde hukuka aykırılık söz konusudur.
İşverenin işçinin sağlık verilerini işlemesi, yalnızca kanuni zorunluluk veya açık rıza durumunda mümkündür.
Kanuni zorunluluk: İş sağlığı ve güvenliği mevzuatı gereği, çalışanların işe uygunluk durumunu belirlemek için sağlık raporlarının işlenmesi.
Açık rıza: İşçinin, belirli bir amaçla sağlık verisinin işlenmesine onay vermesi.
Bunun dışında sağlık verilerinin işlenmesi, paylaşılması veya üçüncü kişilere aktarılması hukuka aykırıdır.
KVKK’nın 18. maddesine göre:
Özel nitelikli verilerin hukuka aykırı işlenmesi durumunda, idari para cezası 1.000.000 TL’ye kadar çıkabilir.
Ayrıca Kişisel Verileri Koruma Kurulu (KVK Kurulu), verilerin silinmesi veya imha edilmesine karar verebilir.
TCK m.135-140’a göre kişisel verilerin hukuka aykırı şekilde kaydedilmesi, paylaşılması veya ele geçirilmesi suçtur.
TCK m.136: Kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu; 1 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
TCK m.138: Verilerin yok edilmemesi durumunda ayrıca cezai yaptırım uygulanır.
Yargıtay 12. Ceza Dairesi’nin 2022 tarihli bir kararında, işverenin işçinin sağlık raporunu personel grubuna e-posta ile göndermesi, kişisel verilerin hukuka aykırı paylaşımı olarak değerlendirilmiş ve işveren hakkında hapis cezası verilmiştir.
Bu karar, sağlık verilerinin paylaşımında “iş yeri içi kullanım” gerekçesinin dahi hukuka uygun sayılmadığını açıkça ortaya koymaktadır.
Verilerin toplu olarak paylaşılması
İşçinin rızasının alınmaması
Verilerin saklama süresinin aşılması
Verilerin güvenliği için teknik önlemlerin alınmaması (örneğin şifreleme veya erişim kısıtlaması yapılmaması)
Bu hallerde işverenin hem idari hem cezai sorumluluğu doğar.
İşçinin sağlık verileri izinsiz işlendiğinde şu yolları izleyebilir:
İşverene başvuru: KVKK uyarınca, verilerin silinmesini veya imhasını talep edebilir.
KVK Kurulu’na şikayet: 30 gün içinde sonuç alınmazsa, Kişisel Verileri Koruma Kurulu’na başvurabilir.
Tazminat davası: Verilerin izinsiz kullanımı nedeniyle manevi tazminat talep edebilir.
Savcılığa suç duyurusu: TCK kapsamında cezai yaptırım talep edebilir.
Sağlık verilerinin işlendiği sistemleri şifreleme ve yetki sınırlaması ile korumak
Verilere yalnızca işyeri hekimi veya yetkili personelin erişimini sağlamak
Açık rıza metinlerini açık, sade ve belirli amaçlarla sınırlı hazırlamak
KVKK kapsamında aydınlatma yükümlülüğünü yerine getirmek
Gereksiz sağlık verilerini saklamamak veya anonim hale getirmek
Kartal’daki bir özel hastanede görevli hemşirenin, doğum izninde olan bir çalışanla ilgili sağlık raporunu üçüncü kişilerle paylaşması sonucu KVK Kurulu, hastaneye 250.000 TL idari para cezası uygulamıştır.
Bu karar, özellikle sağlık sektöründeki işverenlerin sorumluluğunun ne kadar yüksek olduğunu göstermektedir.
1. İşveren sağlık raporumu kimlerle paylaşabilir?
Yalnızca işyeri hekimi veya yetkili insan kaynakları personeliyle; üçüncü kişilerle paylaşamaz.
2. Açık rıza olmadan sağlık verim işlenirse ne olur?
KVKK ve TCK kapsamında hem para cezası hem hapis cezası uygulanabilir.
3. İşveren Covid-19 test sonuçlarını paylaşabilir mi?
Hayır, yalnızca kanuni zorunluluk varsa (örneğin kamu sağlığı gerekçesiyle) paylaşabilir.
4. Sağlık verileri ne kadar süre saklanabilir?
İş ilişkisinin gerektirdiği süre kadar, daha sonra imha edilmesi gerekir.
5. İşveren sağlık verilerini şirket içi duyuruda paylaşabilir mi?
Kesinlikle hayır. Bu durum kişisel verilerin hukuka aykırı ifşası sayılır.
6. İşverenin sağlık verilerini koruma yükümlülüğü kimleri kapsar?
Tüm çalışanları, stajyerleri ve iş başvurusu yapan adayları kapsar.
7. İşçi, verilerinin izinsiz işlendiğini nasıl kanıtlar?
E-posta, mesaj, yazılı belge veya tanık beyanı gibi delillerle kanıtlayabilir.
8. İşverenin cezai sorumluluğu nasıl belirlenir?
Verilerin izinsiz paylaşıldığı, işlendiği veya silinmediği somut delillerle ispatlandığında TCK m.136-138 devreye girer.
9. İşveren sağlık verilerini üçüncü bir firmaya gönderirse ne olur?
Veri aktarımı izinsizse, hem KVK Kurulu idari yaptırım hem de savcılık soruşturması başlatabilir.
10. Sağlık verileri ile ilgili davalarda görevli mahkeme hangisidir?
Kişisel verilerin ihlali nedeniyle açılacak tazminat davaları, asliye hukuk mahkemelerinde görülür.
İşverenlerin, çalışanlarının sağlık verilerini izinsiz kullanması, hem KVKK hem de TCK kapsamında ağır sonuçlar doğurur. Bu tür ihlaller, işveren açısından hem maddi hem itibari kayıplara yol açar. Dolayısıyla her işletme, veri koruma politikalarını gözden geçirmeli ve çalışan verilerini hukuka uygun biçimde işlemelidir.
Ofis
Web Sitemiz üzerinde yer alan içerikler genel bilgilendirme amaçlıdır ve spesifik hukuki tavsiye niteliği taşımamaktadır. Ziyaretçiler, web sitemiz üzerinden edindikleri bilgileri hukuki tavsiye olarak kabul etmemeli ve bu bilgilere dayanarak hukuki işlem başlatmamalıdır. Bu doğrultuda avukatkartal.com.tr , web sitesinde ki içeriklerden ve bilgilerden doğabilecek herhangi bir zarar veya kayıptan sorumlu tutulamaz.
Hukuki yardım veya danışmanlık hizmeti almak isteyen ziyaretçilerin, direkt bir avukat ile iletişime geçmeleri tavsiye edilir. Avukatkartal.com.tr
Kartal İş Avukatı 
