KVKK'dan aşı ve PCR testi kararı: Bilginin işlenmesi kanuna aykırı değil
Kişisel Verileri Koruma Kurulu (KVKK), COVID-19'la mücadele kapsamında yetkili kurumlar ve işverenlerin aşı ve PCR test sonucu bilgisini işlemesinin kanuna aykırı olmadığına karar verdi.
Koronavirüs aşısı ve PCR testlerinin sonucuna ilişkin Kişisel Verileri Koruma Kurulu'ndan (KVKK) çok önemli bir karar çıktı. KVKK, koronavirüsle mücadele kapsamında yetkili kurumlar ve işverenlerin aşı ve PCR test sonucu bilgisini işlemesinin kanuna aykırı olmadığına karar verdi.
KVKK'nın internet sitesinden duyurulan karar şöyle:
"Kanunun şartlarına göre işlenmeli"
Öncelikle belirtmek gerekir ki; kişilerin tahlil, görüntüleme, test, rapor, aşı durumu gibi sağlık durumlarına ilişkin bilgileri Kanunun 6'ncı maddesine göre kişisel sağlık verisi niteliğini haiz olup, özel nitelikli kişisel veri kategorisinde bulunmaktadır. Bu sebeple, söz konusu bilgilerin Kanunun 6'ncı maddesinde yer verilen işleme şartlarına uygun olarak işlenmesi gerekmektedir.
Öte yandan, COVID-19 salgınının dünya çapındaki gerek sağlık, gerek sosyal hayat gerek ekonomi üzerindeki etkileri dikkate alındığında, bu salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi COVID-19’a ilişkin kişisel sağlık verilerinin; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğinin ortaya çıkması kaçınılmazdır.
"Kamu güvenliği için veriler işlenebilir"
Bilindiği üzere Kanunun 28'inci maddesinin birinci fıkrasının (ç) bendinde, “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.
Bu noktadan hareketle salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin de Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında değerlendirilmesi gerektiği düşünülmektedir.
Bu kapsamda COVID-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla COVID-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesinin önünde bir engel bulunmadığı, dolayısıyla söz konusu kişisel veri işleme faaliyetlerinin Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında gerçekleştirilebileceği, bununla birlikte, Covıd-19 salgını kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağı değerlendirilmektedir."