Bilindiği üzere, küresel salgın olan COVID-19 virüsü ile mücadele kapsamında İçişleri Bakanlığınca yayımlanan 20.08.2021 tarihli genelge ile; salgının toplum sağlığı ve kamu düzeni açısından oluşturduğu riskin asgari seviyeye düşürülmesi için konser, sinema, tiyatro ve toplu ulaşım araçları gibi insanların toplu olarak bulunduğu faaliyetlere katılım sağlamak isteyen kişilere Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bildirilmesi zorunluluğu getirilmişti. Yine Çalışma ve Sosyal Güvenlik Bakanlığının yayımladığı 02.09.2021 tarihli duyuruda, işyerlerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler kapsamında COVID-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı ifade edilmiştir.
Bu işlemler sırasında ilgili kişilerden elde edilecek özel nitelikli verilerin işlenmesi ve üçüncü kişilerle paylaşılması süreçleri hakkında Kişisel Verileri Koruma Kurulu tarafından 28.09.2021 tarihinde internet sitesinden bir açıklama yayımlamıştır.
Açıklanan kamuoyu duyurusunda da belirtildiği üzere aşılanma bilgisi ve PCR testi sonucu gibi COVID-19’a ilişkin sağlık verilerinin işlenmesinin, kişisel verilerin korunması mevzuatı bakımından akıbetinin ne olacağı sorusu gündeme gelmektedir. Kurul bu kapsamda daha önce 27.03.2020 tarihinde veri sorumlularının başta sağlık verisi olmak üzere kişisel verileri işlerken dikkat etmeleri gereken hususlara ilişkin bir kamuoyu duyurusu yayımlamıştı. Kurul, yazımıza konu olan 28.09.2021 tarihli kamuoyu duyurusunda ise sağlık verileri açısından özellikle PCR testi sonucu ve aşı bilgisi verileri özelinde aynı doğrultuda açıklamalarda bulunarak bu konudaki görüşünü istikrarlı hale getirmiştir.
Kişisel Verilerin Korunması Kanunu, kişilere ait birtakım verileri, konumuz özelinde ise kişilerin sağlık bilgilerini içeren PCR test sonucu ve aşı bilgisi gibi verileri, “özel nitelikli kişisel veri” statüsünde düzenleyerek bunların işlenme şartlarını kişisel verilerden farklı bir rejime tabi tutmuş ve söz konusu bilgilerin ancak Kanunun 6. maddesinde yer verilen işleme şartlarına uygun olarak işlenebileceğini, bu şartların bulunmaması halinde ise özel nitelikli kişisel verilerin işlenmesinin, ancak ilgili kişinin açık rızasının bulunması halinde mümkün olabileceği düzenlenmiştir.
Hal böyle olmakla birlikte Kanun, özel nitelikli kişisel verilerin işlenmelerine ilişkin istisna niteliğinde düzenlemeler de getirmiştir. Bu istisnalardan biri olarak “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” durumlarında Kişisel Verilerin Korunması Kanunu hükümleri uygulanmaz.
Bu doğrultuda Kişisel Verilerin Korunması Kurulu, “salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi Covid-19’a ilişkin kişisel sağlık verilerinin; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğinin” kaçınılmaz olduğundan bahisle, salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında kişisel verilerin işlenmesinin, yukarıda belirtilmiş olan istisna kapsamında değerlendirilmesi gerektiğini ve bu verilerin işlenmesinin önünde herhangi bir engel bulunmadığını belirtmiştir. Bununla birlikte, yine COVID-19 salgını kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun’da düzenlenen genel veri işleme kuralları kapsamında yer alacağı değerlendirilmektedir.
Sonuç olarak Kurul tarafından yayımlanan 28.09.2021 tarihli güncel duyuruda her ne kadar Çalışma ve Sosyal Güvenlik Bakanlığı’nın 02.09.2021 tarihli, işyerlerinde aşılanmamış personellerden PCR testi istenebileceği ve sonuçların kayıt altında tutulacağına dair yazıya atıf yapılmış olsa da, özel hukuk gerçek ve tüzel kişileri olan işverenlerin bu sağlık verilerini, Kanunun 28/1-ç maddesindeki istisna kapsamında işleyebileceğine dair açık bir görüş bildirilmemiş, tam tersi ilgili kanuni düzenlemeden yetkili kamu kurum ve kuruluşlarının faydalanabileceği belirtilmiştir.
Bu noktadan hareketle, özel hukuk tüzel kişilerinin (işverenlerin), Kurul Kararı’nda belirtilen bu istisna kapsamındaki kişilerden olmadığı görüşüyle, PCR testi sonucu ve aşı bilgilerine ilişkin özel nitelikteki kişisel verilerin işlenmesinde kişisel verilerin Kanunun 5’inci ve/veya 6’ncı maddesinde belirtilen şartlara uygun olarak işlenmesi gerektiği öngörülmektedir.
28.09.2021 tarihli Kamuoyu Duyurusunun tamamına aşağıdaki linkten ulaşabilirsiniz:
27.03.2020 tarihli Kamuoyu Duyurusuna ise bu linkten ulaşabilirsiniz:
Comments