KVKK: Aşı ve test sonucu bilgisinin işlenmesi kanuna aykırı değil

DUVAR - Kişisel Verileri Koruma Kurulu (KVKK), korona virüsü tedbirleri kapsamında kişilerden aşı veya PCR testi bilgisi istenmesini gündemine aldı. Kurul, Covid-19 aşı ve test sonucu bilgisinin işlenmesinin kanuna aykırı olmadığına hükmetti.

Kurula, işverenlerin çalışanlar ya da müşterilerden aşı olup olmadığı ya da PCR test sonucu istemelerine yönelik genelgelere ilgili Kişisel Verilerin Korunması Kanunu açısından nasıl bir yol izlenmesi gerektiğine ilişkin görüş soruldu.

Devletlerin, kamu sağlığının korunmasını teminen iş yerleri de dahil olmak üzere toplu halde bulunulacak alanlarda Covid-19 aşı bilgisi veya PCR testi sonuçlarının işlenmesi zorunluluğunu getirdiği aktarılan kararda, "İçişleri Bakanlığı ile Çalışma ve Sosyal Güvenlik Bakanlığı genelgelerinde de karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler alındığı, iş yeri ya da işveren tarafından Covid-19 aşı bilgisi veya negatif sonuçlu PCR test bilgisinin istenebileceğinin belirtildiğine" işaret edildi.

Kararda, kişilerin tahlil, test, rapor, aşı gibi sağlık durumlarına ilişkin bilgilerin kanuna göre kişisel sağlık verisi olduğu ve bu bilgilerin Kişisel Verilerin Korunması Kanunu'nun 6. maddesinde yer verilen işleme şartlarına uygun olarak işlenmesi gerektiği belirtildi.

'KAMU DÜZENİNİN KORUNMASI GEREKLİLİĞİ'

"Covid-19'un dünya çapındaki sağlık, sosyal hayat ve ekonomi üzerindeki etkileri dikkate alındığında, salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi kişisel sağlık verilerinin kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğinin ortaya çıktığı" ifade edilen kararda, kanunun 28. maddesinde "kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi" halinde kanun hükümlerinin uygulanmayacağının düzenlendiği aktarıldı.

Kararda, salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek ve salgın hastalığın bulaşıcılığının önüne geçilebilmesini sağlamak amacıyla kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin, kanunun 28. maddesi kapsamında değerlendirilmesi gerektiği belirtildi.

Kurulun kararında, Covid-19'un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle ve hastalığın yayılımını engellemek amacıyla, aşı bilgisi, negatif sonuçlu PCR test bilgisinin iş yeri/işverenler tarafından işlenmesinin söz konusu kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında gerçekleştirilebileceği, dolayısıyla bu faaliyetlerin kanun kapsamı dışında olduğu aktarıldı.

Ayrıca kararda, salgın kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin ise kanun kapsamında yer alacağı vurgulandı. (AA)