Kişisel Verileri Koruma Kurumu (“Kurum”), İç İşleri Bakanlığı ve Çalışma ve Sosyal Güvenlik Bakanlığı’nın PCR testi sonucu ile aşı bilgisi talepleri karşısında 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında nasıl bir yol izlenmesi gerektiğine ilişkin olarak 28/09/2021 tarihli ve 2021/980 sayılı Kararı çerçevesinde 28.09.2021 tarihli bir kamuoyu duyurusu yayımlamıştır.

Kamuoyu duyurusu yapılmasına gerekçe olan uygulamalar hakkında kısa bilgi vermek gerekirse;

İçişleri Bakanlığınca 81 İl Valiliğine gereği, ilgili Bakanlıklara da bilgi için gönderilen 20.08.2021 tarihli yazıda; salgının toplum sağlığı ve kamu düzeni açısından oluşturduğu riskin asgari seviyeye düşürülmesi için konser, sinema, tiyatro ve toplu ulaşım araçları gibi insanların toplu olarak bulunduğu faaliyetlere katılım sağlamak isteyen kişilere Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bildirilmesi zorunluluğu getirilmiştir.

Çalışma ve Sosyal Güvenlik Bakanlığının 81 İl Valiliğine gereği için, ilgili Bakanlıklara da bilgi için gönderdiği 02.09.2021 tarihli yazıda ise işyerlerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler kapsamında; Covid-19 aşısı olmayan işçilerden zorunlu olarak haftada bir kez PCR testi yaptırmalarının işyeri/işveren tarafından istenebileceği ve test sonuçlarının gerekli işlemler yapılmak üzere kayıt altında tutulacağı ifade edilmiştir.

Kurum tarafından, yukarıda belirtilen uygulamalar kapsamında kişilerin PCR testi sonuçlarının ve aşı bilgilerinin toplanması ve işlenmesinin Kanun’un istisnasını teşkil ettiğini belirtmiştir.

Duyuru İçeriği

Kurum tarafından yayımlanan duyuruda, kişilerin tahlil, görüntüleme, test, rapor, aşı durumu gibi sağlık durumlarına ilişkin bilgileri Kanunun 6. maddesine göre kişisel sağlık verisi niteliğini haiz olup, özel nitelikli kişisel veri kategorisinde bulunmaktadır. Bu sebeple, söz konusu bilgilerin Kanunun 6. maddesinde yer verilen işleme şartlarına uygun olarak işlenmesi gerektiği, ancak Covid-19 salgınının dünya çapındaki gerek sağlık, gerek sosyal hayat gerek ekonomi üzerindeki etkileri dikkate alındığında, bu salgınla mücadele kapsamında aşı durumu ve PCR test sonucu gibi Covid-19’a ilişkin kişisel sağlık verilerinin; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliğinin ortaya çıkmasının kaçınılmaz olduğu belirtilmiştir.

Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendinde, “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir.

Bu noktadan hareketle salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin de Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında değerlendirilmesi gerektiği bildirilmiştir.

Sonuç

Kurum tarafından yayımlanan duyuru ile Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla, İçişleri Bakanlığı ve Çalışma ve Sosyal Güvenlik Bakanlığı’nın yazılarına dayanarak ve bu yazılar ile sınırlı olacak şekilde, Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin Kanun’un 28. maddesi kapsamında işlenmesinin önünde bir engel bulunmadığı ortaya konmuştur.