Kişisel Verileri Koruma Kurumundan alınan bilgiye göre, kurum karar organı Kişisel Verileri Koruma Kurulu (KVKK), işverenlerin çalışanlar ya da müşterilerden aşı olup olmadığı ya da PCR test sonucu istemelerine yönelik genelgelere ilgili Kişisel Verilerin Korunması Kanunu açısından nasıl bir yol izlenmesi gerektiğine ilişkin görüş sorulması üzerine konuyu gündeme aldı.
Kurul, salgınla mücadele kapsamında yetkili kurumlar ve işverenlerin aşı ve PCR test sonucunu işlemesinin kanuna aykırı olmadığına karar verdi.
Kurulun kararında, dünya genelinde yayılma hızı giderek artan Kovid-19 virüsünün neden olduğu hastalıklardan korunmak için aşıların kullanıma sunulduğu hatırlatıldı.
Devletlerin, kamu sağlığının korunmasını teminen iş yerleri de dahil olmak üzere toplu halde bulunulacak alanlarda Kovid-19 aşı bilgisi veya PCR testi sonuçlarının işlenmesi zorunluluğunu getirdiği aktarılan kararda, İçişleri Bakanlığı ile Çalışma ve Sosyal Güvenlik Bakanlığı genelgelerinde de karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler alındığı, iş yeri ya da işveren tarafından Kovid-19 aşı bilgisi veya negatif sonuçlu PCR test bilgisinin istenebileceğinin belirtildiğine işaret edildi.
Bilgiler kanundaki şartlara göre işlenmeli
Kararda, kişilerin tahlil, test, rapor, aşı gibi sağlık durumlarına ilişkin bilgilerin Kanuna göre kişisel sağlık verisi olduğu ve bu bilgilerin Kanunun 6. maddesinde yer verilen işleme şartlarına uygun olarak işlenmesi gerektiği kaydedildi.
Kovid-19'un dünya çapındaki sağlık, sosyal hayat ve ekonomi üzerindeki etkileri dikkate alındığında, salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi kişisel sağlık verilerinin kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğinin ortaya çıktığı ifade edilen kararda, Kanunun 28. maddesinde "kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi" halinde kanun hükümlerinin uygulanmayacağının düzenlendiği aktarıldı.
Kararda, salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek ve salgın hastalığın bulaşıcılığının önüne geçilebilmesini sağlamak amacıyla kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin, Kanunun 28. maddesi kapsamında değerlendirilmesi gerektiği belirtildi.
Kurulun kararında, Kovid-19'un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle ve hastalığın yayılımını engellemek amacıyla, aşı bilgisi, negatif sonuçlu PCR test bilgisinin iş yeri/işverenler tarafından işlenmesinin söz konusu kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında gerçekleştirilebileceği, dolayısıyla bu faaliyetlerin Kanun kapsamı dışında olduğu aktarıldı.
Ayrıca kararda, salgın kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin ise Kanun kapsamında yer alacağı vurgulandı.