Son güncelleme:

OSGB Sağlık Verisini Hangi Dayanakla İşler? — Kısa Cevap

İşe giriş ve periyodik muayeneler üzerinden işlenen çalışan sağlık bilgileri, 6698 sayılı KVKK kapsamında "özel nitelikli kişisel veri"dir ve işlenmeleri genel verilerden daha sıkı şartlara bağlıdır. 7499 sayılı Kanun'la yapılan ve 1 Haziran 2024'te yürürlüğe giren değişiklik sonrası KVKK m.6; özel nitelikli verilerin istihdam, iş sağlığı ve güvenliği, sosyal güvenlik alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması hâlinde ve sağlık verilerinin sır saklama yükümlülüğü altındaki kişilerce koruyucu hekimlik, tıbbî teşhis ve tedavi amaçlarıyla işlenmesine imkân tanır.

Pratik sonucu: İSG mevzuatının zorunlu kıldığı sağlık gözetimi işlemleri için açık rıza tek ve doğru dayanak değildir — dayanak hukuki yükümlülüktür. Açık rıza, ancak bu yükümlülük kapsamını aşan işlemler için gündeme gelir. Yanlış dayanak seçimi (her şeyi açık rızaya bağlamak), rıza geri çekildiğinde yasal zorunlu işlemi dayanaksız bırakma riski üretir.

Saklama Süreleri: 15 Yıl Kuralı ve İstisnaları

Durum Kural
Kişisel sağlık dosyasıÇalışanın işten ayrılma tarihinden itibaren en az 15 yıl saklanır (İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği).
Özel maruziyetlerAsbest ve bazı biyolojik etken maruziyetlerinde ilgili yönetmelikler saklamayı 40 yıla kadar uzatır — maruziyet listeleriyle birlikte.
Çalışan başka işyerine geçerseYeni işveren yazılı talep ederse dosyanın onaylı bir örneği bir ay içinde gönderilir.
İşyeri kapanırsaSağlık kayıtları SGK il müdürlüğüne teslim edilir — çöpe/arşiv deposuna terk edilemez.

OSGB açısından kritik nokta: hizmet sözleşmesi sona erdiğinde dosyaların kime, hangi usulle devredileceği sözleşmede yazılı olmalıdırhizmet sözleşmesi rehberindeki KVKK ve fesih maddelerine bakın.

Gizlilik Sınırı: Ek-2'yi İşveren Görebilir mi?

Sağlık gözetiminin altın kuralı şudur: işveren, çalışanın tanı ve tetkik ayrıntılarını değil, işe uygunluk sonucunu görür. İşe giriş / periyodik muayene raporunun (Ek-2) işverene giden yüzü "çalışabilir / şu şartlarla çalışabilir / çalışamaz" kanaatidir; tahlil sonuçları, tanılar ve muayene notları hekimin sır saklama yükümlülüğü altında kişisel sağlık dosyasında kalır.

  • Erişim matrisi kurun: sağlık verisine yalnız işyeri hekimi ve görevli sağlık personeli erişir; iş güvenliği uzmanı ve OSGB idari personeli tanı ayrıntısı göremez. Elektronik sistemde bu, rol bazlı yetkiyle; kâğıtta kilitli ve ayrı dolapla sağlanır.
  • İşverenle paylaşım şablonlaştırın: işverene giden her belge "kanaat + çalışma koşulu önerisi" formatında olmalı; e-postayla tahlil PDF'i iletmek tipik bir ihlaldir.
  • Aydınlatma yükümlülüğü: muayene sürecinde çalışana verinin hangi amaçla işlendiği ve kimlerle paylaşılacağı bildirilmelidir (KVKK m.10) — işe giriş evrak setine tek sayfalık aydınlatma metni eklemek pratik çözümdür.

Veri Sorumlusu Kim: İşveren mi, OSGB mi?

İki tüzel kişinin de KVKK yükümlülüğü vardır ve rol dağılımı somut işleme göre değişir: işveren, çalışanlarının İSG sürecindeki verileri bakımından veri sorumlusudur; OSGB ise kendi yasal yükümlülükleri (dosya tutma, saklama, bildirimler) yönünden sorumluluk taşır, işveren adına yürüttüğü işlemlerde veri işleyen konumuna yaklaşır. Sınır her zaman keskin olmadığından rol ve sorumluluk paylaşımını hizmet sözleşmesindeki veri işleme hükmüyle netleştirmek iki tarafı da korur.

Pratik yükümlülük listesi (her iki taraf için):

  • Envanter: hangi veri, hangi amaçla, ne kadar süre — kayıt altında olmalı; VERBİS kayıt yükümlülüğünüzü güncel eşiklere göre kontrol edin,
  • Teknik tedbir: şifreli saklama, erişim logları, yedekleme; kâğıt arşivde kilit ve zimmet,
  • İhlal yönetimi: veri ihlalinde Kurul'a ve ilgililere bildirim süreci önceden tanımlı olmalı (Kurul uygulamasında 72 saatlik bildirim esası benimsenmiştir),
  • İmha: saklama süresi dolan kayıtlar için periyodik imha prosedürü.

Bu rehber bilgilendirme amaçlıdır, hukuki danışmanlık değildir; veri envanteriniz ve sözleşme hükümleriniz için KVKK alanında çalışan bir hukukçuya danışın.

OSGB'lerde KVKK hakkında sık sorulan sorular

Sorunuz burada yoksa [email protected] — 24 saat içinde yanıtlıyoruz.

Kişisel sağlık dosyası kaç yıl saklanır?

Çalışanın işten ayrılma tarihinden itibaren en az 15 yıl (İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği). Asbest ve bazı biyolojik etken maruziyetlerinde ilgili yönetmelikler bu süreyi 40 yıla kadar uzatır. İşyeri kapanırsa kayıtlar SGK il müdürlüğüne teslim edilir.

Sağlık verisi işlemek için çalışandan açık rıza almak şart mı?

İSG mevzuatının zorunlu kıldığı sağlık gözetimi için şart değildir: KVKK m.6 (7499 ile değişik, yürürlük 01.06.2024), istihdam ve iş sağlığı ve güvenliği alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu işlemeye ve sır saklama yükümlülüğü altındaki kişilerce koruyucu hekimlik/tıbbi teşhis amaçlı işlemeye imkân tanır. Açık rıza, bu kapsamı aşan işlemler için gündeme gelir; aydınlatma yükümlülüğü (m.10) her durumda geçerlidir.

İşveren çalışanın sağlık raporunu ve tahlillerini görebilir mi?

Tanı ve tetkik ayrıntılarını göremez. İşverene giden belge, işe giriş/periyodik muayene raporunun 'çalışabilir / şu şartlarla çalışabilir / çalışamaz' kanaat kısmıdır; tahlil sonuçları ve muayene notları hekimin sır saklama yükümlülüğü altında kişisel sağlık dosyasında kalır.

Eski işverenden/OSGB'den sağlık dosyası istenebilir mi?

Evet — çalışan yeni bir işyerinde çalışmaya başlarsa ve yeni işveren yazılı talep ederse, dosyanın onaylı bir örneği bir ay içinde gönderilir. Asıl dosya, saklama süresi boyunca önceki tarafta kalır.

Veri sorumlusu işveren mi, OSGB mi?

Somut işleme göre değişir: işveren çalışan verileri bakımından veri sorumlusudur; OSGB kendi yasal yükümlülükleri yönünden sorumluluk taşır, işveren adına yürüttüğü işlemlerde işleyen konumuna yaklaşır. Sınır keskin olmadığı için rol paylaşımını hizmet sözleşmesindeki veri işleme hükmüyle netleştirin.

Sağlık kayıtları dijital ortamda tutulabilir mi?

Evet — mevzuat kâğıt şart koşmaz; şart olan gizlilik, erişim kontrolü ve saklama süresine uyumdur. Dijital sistemde rol bazlı yetki (tanı ayrıntısına yalnız hekim erişir), erişim logları ve şifreli saklama aranır; bu kontroller kâğıt arşivde kilitli dolap ve zimmetle sağlanandan daha denetlenebilirdir.

Sağlık Kayıtlarını 15 Yıl Kâğıtta mı Saklayacaksınız?

15 yıl kuralı, OSGB arşivini hızla fiziksel bir yüke çevirir: taşınan ofisler, yıpranan klasörler, "eski çalışanın dosyası nerede?" aramaları. First İSG'de müşteri firma ve personel kayıtları rol bazlı erişimle tek platformda tutulur; kim neyi ne zaman gördü denetim kaydına işlenir, veriler şifreli altyapıda saklanır. KVKK uyumunu klasör düzenine değil sisteme emanet edin.

OSGB çözümünü inceleyin — 30 gün pilot

Soru & Yorumlar

Bu sayfadaki konuyla ilgili sorunuzu yazın — FirstİSG ekibi yanıtlıyor, onaylanan sorular herkese açık yayınlanıyor.

Henüz yorum yok — ilk soruyu siz sorun, yanıtlayalım.

Soru sorun veya yorum yazın

Adınız yayınlanır, e-postanız yayınlanmaz; iletişim amacıyla saklanır.

Sıradaki adımlar

  • OSGB Hizmet Sözleşmesi

    OSGB ile işyeri arasındaki hizmet sözleşmesinde hangi maddeler olmalı? İSG-KATİP kaydından farkı, dakika taahhüdü, fesih ve KVKK hükümleri — indirilebilir Word iskelet şablonuyla.

  • OSGB İçin First ISG

    5–50 uzmanlı OSGB firmalarına özel AI destekli İSG platformu. Uzman başı 50 saat/ay kazanç, ekip yönetimi, mevzuat otomasyonu. 30 gün ücretsiz pilot.