Kişisel Verileri Koruma Kurulu'nun, pandemi sürecinde işverenlerin çalışanlarından aşı ve PCR testi bilgisi istemesini 6698 sayılı Kanun'un 28/1(ç) maddesi kapsamındaki bir istisna olarak değerlendirmesinin hukuki dayanağı ve bu yaklaşımın eleştirilen yönü nedir?

Kurul'un bu değerlendirmesinin hukuki dayanağı, 6698 sayılı Kanun'un 28/1(ç) maddesidir. Bu madde, 'Kişisel verilerin... kamu güvenliğini, kamu düzenini... sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi' halinde Kanun hükümlerinin uygulanmayacağını belirtir. Kurul, İçişleri ve Çalışma Bakanlıklarının genelgeleri/yazıları ile talep edilen bu veri işlemenin, kamu sağlığı ve düzenini korumaya yönelik bir 'önleyici ve koruyucu faaliyet' olduğunu ve işverenlerin de bu kamusal faaliyete iştirak ettiğini yorumlayarak bu istisna kapsamına sokmuştur. Bu yaklaşımın eleştirilen yönü ise şudur: Temel hak ve hürriyetleri (kişisel sağlık verilerinin gizliliği) sınırlayan bu tür bir uygulamanın, kanun yerine bakanlık yazıları ve Kurul'un bir 'duyurusu' ile düzenlenmesi, 'kanunla sınırlama' ve 'belirlilik' ilkelerine aykırıdır. Kurul, kanuni bir boşluğu, konuyu Kanun kapsamı dışına iterek ve kendisini yetkisiz kılarak çözmeye çalışmış, bu da temel haklar açısından güvencesiz bir alan yaratmıştır.