COVID-19 gibi bir salgın hastalık durumunda, kamu sağlığının korunması amacıyla kişisel sağlık verilerinin işlenmesi, KVKK m.6/3'teki 'sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenme' şartıyla nasıl bağdaştırılmıştır? Kişisel Verileri Koruma Kurumu'nun bu konudaki yaklaşımını ve dayandığı yasal gerekçeyi (KVKK m.28) analiz ediniz.

KVKK m.6/3, sağlık verilerinin rızasız işlenmesini, diğer şartların yanı sıra, 'sır saklama yükümlülüğü altındaki kişiler (örn: hekimler) veya yetkili kurumlar' ile sınırlar. Ancak COVID-19 salgını gibi durumlarda, işyeri girişinde ateş ölçen bir güvenlik görevlisi veya işyeri hekimi olmayan bir işyerinde önlem alan işveren, bu tanıma uymamaktadır. Bu sorunu aşmak için Kişisel Verileri Koruma Kurumu (KVKK), 27 Mart 2020 tarihli kamuoyu duyurusunda, salgın hastalığın 'kamu güvenliğini ve kamu düzenini tehdit eden bir durum' olduğunu belirtmiştir. Bu tespitten hareketle Kurum, KVKK'nın 28. maddesinin 1. fıkrasının (ç) bendine dayanmıştır. Bu bent, 'kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi' halinde Kanun hükümlerinin uygulanmayacağını belirtir. Kurum, salgınla mücadelenin bu kapsamda bir 'önleyici ve koruyucu faaliyet' olduğunu yorumlayarak, Sağlık Bakanlığı ve ilgili diğer kamu kurumlarının (ve onların yönlendirmesiyle hareket eden özel aktörlerin) m.6/3'teki sıkı şartlara birebir uymaksızın, ölçülülük ilkesi çerçevesinde gerekli sağlık verilerini işleyebileceğine cevaz vermiştir. Bu yorum, Anayasa m.20'deki 'kanunda öngörülen haller' şartı açısından tartışmalı olsa da, pratik bir zorunluluğa çözüm üretmiştir. (Kaynak: kisisel-saglik-verilerinin-korunmasi)