6698 sayılı KVKK ve Kişisel Sağlık Verileri Hakkında Yönetmelik uyarınca, 'kişisel sağlık verileri'nin ilgilinin açık rızası olmaksızın işlenebilmesi için hangi koşulların bir arada bulunması gerekmektedir (KVKK m.6/3)? Bir işyerinde işyeri hekimi bulunmadığı durumda, işverenin çalışanların ateşini ölçmesi bu koşulları karşılar mı? KVKK'nın bu konudaki tutumunu açıklayınız.

KVKK m.6/3, özel nitelikli kişisel verilerden olan sağlık verilerinin, ilgilinin açık rızası olmaksızın işlenebilmesi için iki kümülatif (bir arada) şartın varlığını aramaktadır: 1) **Amaç Şartı:** Veri işleme faaliyetinin; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarından biri için yapılması. 2) **Veri Sorumlusu Şartı:** Veri işleme faaliyetinin 'sır saklama yükümlülüğü altında bulunan kişiler (hekimler, sağlık personeli vb.) veya yetkili kurum ve kuruluşlar (Sağlık Bakanlığı, hastaneler vb.)' tarafından yapılması. İşyeri hekimi bulunmayan bir işyerinde işverenin veya bir güvenlik görevlisinin çalışanların ateşini ölçmesi, birinci (amaç) şartı 'kamu sağlığının korunması' ve 'koruyucu hekimlik' kapsamında karşılasa da, ikinci şartı karşılamaz. Çünkü işveren veya güvenlik görevlisi, kanunen 'sır saklama yükümlülüğü altında bulunan' kişilerden değildir. Normal şartlarda bu işlem hukuka aykırı olurdu. Ancak Kişisel Verileri Koruma Kurumu, 27 Mart 2020 tarihli kamuoyu duyurusunda, COVID-19 salgınını 'kamu güvenliğini ve kamu düzenini tehdit eden' bir durum olarak nitelendirmiş ve bu tür zorunlu faaliyetlerin KVKK'nın istisnalarını düzenleyen m.28/1-ç kapsamında değerlendirilebileceğini belirterek, salgınla mücadele amacıyla sınırlı ve ölçülü olmak kaydıyla bu tür veri işlemelere cevaz vermiştir. Dolayısıyla, bu uygulama normalde hukuka aykırı iken, salgın gibi olağanüstü bir durumda Kurum tarafından istisnai olarak meşru görülmüştür.