Selin ÖZBEK CITTONE Avukat / Yönetici Ortak
[email protected]
04 Ekim 2021
A-
A+
Kişisel Verileri Koruma Kurumu (“Kurum”) Covid-19 PCR rest sonuçlarının ve aşı bilgisi uygulamalarına dair uygulamayı rahatlatmak amacıyla 28 Eylül 2021 tarihinde bir kamu duyurusu yayınladı.
Duyuruda özetle, İçişleri Bakanlığı ve Çalışma ve Sosyal Güvenlik Bakanlığının sırasıyla 20.08.2021 ve 02.09.2021 tarihlerilerinde 81 il Valiliğine gönderdikleri tedbirlere dair yazılara atıfta bulunularak, Kişisel Verileri Koruma Kanunu madde 28 (1) (ç) kapsamında Covid-19’un yayılımını engellemek amacıyla aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesinin önünde bir engel bulunmadığı açıklanmıştır.
Kurum’un duyurusundan sonra kamu kurum ve kuruluşları dışındaki kişiler tarafından belirtilen tedbirlere istinaden verilerin işlenmesinin Madde 28 (1) (ç) kapsamına girip girmeyeceği yönünde farklı görüşlere yer verilmiş olsa da, Kurum’un ALO 198 hattından da sorulan sorulara verdiği cevaplardan KVKK 28 1(ç) istisnasından özel tüzel kişilerin de, belirlenen kapsamla sınırlı olmak kaydıyla yararlanacağı anlaşılmaktadır.
Zira Kurum’un duyuru metninde altı çizili yerler özellik arz ediyor.
“Bu kapsamda Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesinin önünde bir engel bulunmadığı, dolayısıyla söz konusu kişisel veri işleme faaliyetlerinin Kanunun 28 inci maddesinin birinci fıkrasının (ç) bendi kapsamında gerçekleştirilebileceği, bununla birlikte, Covid-19 salgını kapsamında yürütülen kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetler dışında kalan ya da bu amacı aşan nitelikteki kişisel veri işleme faaliyetlerinin Kanun kapsamında yer alacağı değerlendirilmektedir.”
Burada aslında veriyi kimin işleyebileceğine dair bir ibareye açık olarak yer verilmemiştir.
Konu “işleme faaliyeti”nin kendisi açısından ele alınmış ve KVKK 28 1(ç) kapsamına giren kamu kurumu olan İçişleri Bakanlığı ve Çalışma ve Sosyal Güvenlik Bakanlığı tarafından yürütülen önleyici ve koruyucu faaliyetler, yani 81 il Valiliğine gönderilen yazılar kapsamında sadece kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin bu yazılarda anılan kişi/tüzel kişi/kuruluşlarca (yani işverenler, konser, sinema, tiyatro ve toplu ulaşım araçları sahipleri) işlenmesinin Kanun kapsamında olan işleme faaliyetleri olmayacağı belirtilmiştir.
Dolayısı ile bir işverenin Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin sadece ve yalnızca söz konusu Bakanlığın yazısında belirtildiği şekilde işlemesi ve kayıt altına alması “faaliyeti” için Kanun’un 28 (1) (ç) maddesi uygulama alanı bulabilecektir.
Ne var ki, işlenen veriler açısından kanaatimizce
geçerli olmaya devam edecektir.
Sonuç olarak bu veriler hala sağlığa ilişkin kişisel veriler olduğundan, özellikle işyeri uygulamaları açısından mümkün olduğu ölçüde işyeri hekimleri tarafından işlenmesi değerlendirilmelidir. Verilerin güvenliği için gerekli tedbirlerin alınmaya devam edilmesi de Türk Ceza Kanunu hükümleri de dikkate alındığında doğru bir uygulama olacaktır. Herhalükarda, Kurum’un duyurusuna göre ve duyuru kapsamında belirtilen sınırlı haller içinde kalınması şartıyla açık rıza olmaksızın verilerin işlenmesi bu veri işleme faaliyetini kanuna aykırı hale getirmeyecektir.
Yayınlara dön