Ekim 2021

Kvkk Tarafından Covıd-19 Pcr Test Sonucu Ve Aşı Bilgisi Uygulamalarına İlişkin Kamuoyu Duyurusu Yayımlandı

KVKK TARAFINDAN COVID-19 PCR TEST SONUCU VE AŞI BİLGİSİ UYGULAMALARINA İLİŞKİN KAMUOYU DUYURUSU YAYIMLANDI

KVKK, Covid-19’ la mücadele kapsamında yetkili kurumlar ve işverenlerin aşı ve PCR test sonucu bilgisini işlemesinin kanuna aykırı olmadığına karar verdi ve kamu sağlığı adına bu kararın "kaçınılmaz" olduğu belirtildi.

Bilindiği üzere İçişleri Bakanlığınca 81 İl Valiliğine ve bilgi için ilgili Bakanlıklara gönderilen 20.08.2021 tarihli yazıda; salgının toplum sağlığı ve kamu düzeni açısından oluşturduğu riskin asgari seviyeye düşürülmesi için konser, sinema, tiyatro ve toplu ulaşım araçları gibi insanların toplu olarak bulunduğu faaliyetlere katılım sağlamak isteyen kişilere Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bildirilmesi zorunluluğu getirilmiştir.

Aynı şekilde Çalışma ve Sosyal Güvenlik Bakanlığınca 81 İl Valiliğine ve bilgi için ilgili Bakanlıklara gönderilen 02.09.2021 tarihli yazıda da işyerlerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler kapsamında; Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı ifade edilmiştir.

Kurul, yukarıda belirtilen kamu kurumları tarafından yayınlanan genelgelere atıf yaparak ve bu genelgeler kapsamında çok sayıda gelen sorular nedeniyle ilgili kararı almıştır.

Aşı bilgisi ve PCR test sonuçları KVKK’ nin 6. Maddesinde belirtildiği üzere kişinin sağlık durumuna ilişkin bir veri olarak kabul edilmekte ve özel nitelikli bir veri olmalarından kaynaklı veri sorumluları tarafından ancak çalışanların açık rızalarına dayanarak işlenebilmektedir.

Bunun bir istisnası olarak, Kanun’un 28. maddesinin birinci fıkrası Kanun’un uygulanmayacağı ve kapsam dışı kalacağı kişisel veri işleme faaliyetlerini belirlemektedir. İlgili fıkranın (ç) bendinde, “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle Kurul, salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin de Kanun’un 28. maddesinin birinci fıkrasının (ç) bendi kapsamında değerlendirilmesi gerektiğini belirtmiştir.

Kurul, sadece yetkili kamu kurum ve kuruluşları tarafından Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin işlenmesinde Kanun’un uygulanmayacağını, bunun haricinde, Covid-19 salgını kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağını belirtmiştir.

Kurul, veri sorumlusunun özel hukuk gerçek ve tüzel kişisi olduğu durumlarda ve bahsi geçen veri sorumluları tarafından Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin işlenmesinde Kanun’un uygulama alanı bulmayacağını açık bir şekilde belirtmemiştir. Ancak Kurul’un almış olduğu kararda İçişleri Bakanlığı ile Çalışma ve Sosyal Güvenlik Bakanlığı genelgelerine atıf yapılmış, atıf yapılan genelgeler içerisinde veri işleme faaliyetinde bulunacak veri sorumluları arasında sadece yetkili kamu kurum ve kuruluşları bulunmamaktadır.

Bu kapsamda Kurul yetkilileri tarafından iletilen bilgiler doğrultusunda Covid-19’ un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin yetkili kamu kurum ve kuruluşları haricinde kalan veri sorumluları tarafından (Örn, Ticari işletmeler, ticaret şirketleri, kooperatifler vs) işlenmesi halinde de Kanun’un uygulama alanı bulmayacağı sonucu ortaya çıkmaktadır.

Sonuç olarak; Kurum’un duyurusunun ardından, kamu kuruluşları ile özel kuruluşların, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla test sonucu ve aşı bilgilerini işleme faaliyetlerinin Kanun kapsamında değerlendirilmeyeceği söylenebilecektir. Ancak ilgili veri işleme faaliyetlerinin, bu amacın kapsamını aşmamaları önem arz etmektedir. Aksi takdirde, verilerin işlenmesi Kanun kapsamında kabul edilecek ve sağlık verilerinin işlenmesine ilişkin Kanun hükümlerine tabi olacaktır.