COVID-19 salgını sürecinde işverenlerin, çalışanlarının aşı bilgisi ve/veya negatif PCR test bilgisini işlemesi, Kişisel Verileri Koruma Kanunu (KVKK) açısından nasıl değerlendirilmektedir? Kişisel Verileri Koruma Kurulu'nun 28.09.2021 tarihli kamuoyu duyurusunda, bu tür veri işlemelerinin KVKK'nın hangi maddesi kapsamında Kanun hükümlerinden istisna tutulabileceği belirtilmiştir?

Kişisel Verileri Koruma Kurulu'nun 28.09.2021 tarih ve 2021/980 sayılı kararına (kamuoyu duyurusu) göre, COVID-19 salgınının kamu güvenliği ve kamu düzenini tehdit etmesi sebebiyle, hastalığın yayılımını engellemek amacıyla Covid-19 aşı bilgisi ve/veya negatif sonuçlu PCR test bilgisinin işlenmesi, KVKK'nın 28. maddesinin birinci fıkrasının (ç) bendi kapsamında değerlendirilmiştir. Bu bent, 'Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi' halinde Kanun hükümlerinin uygulanmayacağını düzenler. Kurul, bu kapsamda işverenlerin de (Çalışma ve Sosyal Güvenlik Bakanlığı yazısına atıfla) bu tür verileri işleyebileceğini, bu faaliyetlerin Kanun kapsamı dışında kalabileceğini belirtmiştir. Ancak, bu durumun kamu güvenliğini ve kamu düzenini koruma amacına yönelik faaliyetlerle sınırlı olduğu ve bu amacı aşan nitelikteki veri işleme faaliyetlerinin KVKK kapsamında yer alacağı da vurgulanmıştır. Metinde ayrıca, bu verilerin özel nitelikli veri olması nedeniyle sır saklama yükümlülüğü altında olan iş yeri hekimi tarafından işlenmesi ve gerekirse Kanun'un genel ilkelerine riayet ederek şirket yetkilileriyle paylaşılması gerektiği yönünde bir görüş de ifade edilmiştir. (Kaynak: vonahukuk.com/kisisel-verileri-koruma-kurulunun-28-09-2021-tarihli-kamuoyu-duyurusu/, KVKK md. 28/1-ç)