Kişisel Verileri Koruma Kurumu 27.03.2020 tarihinde Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler başlığı ile internet sitesinde bir kamuoyu duyurusu yayınlamıştır. Bu duyuruda, son zamanlarda gündemimizde olan Covid-19 Pandemisi ile ilgili olarak yapılan işlemlerin Kişisel Veri İşleme faaliyetleri bakımından incelenmesi ve Kurumun bazı uygulamalara ilişkin yine veri işleme faaliyetleri açısından görüşlerine yer verilmiştir.
İşte Asistan Blog’da 25.03.2020 tarihinde yayınladığımız CORONA VİRÜS ÖNLEMLERİNİN KVKK AÇISINDAN DEĞERLENDİRİLMESİ başlıklı yazımızda salgınla mücadele esnasında uygulamada karşılaştığımız bazı önlemlerin Kişisel Verilerin İşlenmesi Temel İlkelerine göre detaylı bir incelemesini yapılmıştı. Yazımızda yaptığımız değerlendirilmelerde ayrıca “Kişisel Verileri Koruma Kurumunun son bir aydır ülkemizde de süregelen uygulamalar konusunda bir görüş bildirmesi, yapılan uygulamalara bir yön vermesi ve uygulamaları en azından bir hukuka uygunluk zeminine kavuşturması beklenmekte ise de Kurum’un bugüne kadar bu konuda bir açıklama yapmadığı görülmektedir.” denilerek aslında Kurumdan beklentimizi de dile getirmiştik. Bu yazımızdan sonra yayınlanan kamuoyu duyurusu ile Kişisel Verileri Koruma Kurumunun da aynı noktalara değinmesi yorumlarımızın Kurum görüşleriyle paralel olduğu değerlendirmesini yapmamıza vesile olmuştur.
Kurumca, Kişisel Verilerin Korunması Kanunu ile getirilen veri işleme faaliyetlerinin temel ilkelere ve kanuna uygun olması ile ilgili uyum çalışmaları halen devam ediyorken böyle bir bilgilendirme yapılmış olması da son derece yerinde olmuştur. Yeni gelişen durumlara ve uygulamalara Kurumca özel değerlendirilmelerde bulunulması bundan sonra da karşılaşacağımız normal bir süreç olarak algılanmalıdır.
Bu yazımızda hem Kişisel Verileri Koruma Kurumu (KVKK) 27.03.2020 tarihinde Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler başlığı ile yayınlanan kamuoyu duyurusu içeriği incelenerek kısa bir bilgilendirme yapılacak hem de Blog İşte Asistan’da 25.03.2020 tarihinde yayınlanan CORONA VİRÜS ÖNLEMLERİNİN KVKK AÇISINDAN DEĞERLENDİRİLMESİ başlığı altında incelediğimiz konulara kısaca yeniden değineceğiz.
Kurumun yayınladığı duyuruda, “Bu süreçte öncelikli olarak sağlık hizmetlerinin sağlanması ve kamu sağlığının korunması esastır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında özellikle kişilerin sağlık verilerinin ve diğer kişisel verilerin işlenmesi gerektiği durumlarda veri sorumluları ve veri işleyenler tarafından söz konusu faaliyetlerin Kanun hükümlerine uygun yürütülmesinin sağlanması ve veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin alınması önem arz etmektedir.” diyerek her türlü veri işleme faaliyetinin mutlaka Kanun hükümlerine uygun olarak yürütülmesi gerektiğini vurgulamıştır.
Bu uygunluk ise şu şekilde açıklanmıştır; “özellikle sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilecektir. Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi söz konusu olacaktır. Bu süreçte doğaldır ki her işlenen veri özel nitelikli kişisel veri de olmayabilir (Örneğin kişilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanunun 5 inci maddesinde kişisel veri işleme şartlarının dikkate alınması gerekecektir”.
Kurum başlıklar halinde, Aydınlatma Yükümlülüğü (Şeffaflık), Gizlilik, Veri Minimizasyonu konularına da değinerek aslında salgınla mücadelede sırasında gelişen uygulamalarda dikkat edilmesi gereken ilkeleri açıklayarak yol gösterici olmaya çalışmıştır.
İşte Asistan Blog yazımızda, “COVID-19 (Korona virüs) Pandemisi ile mücadele edilmesi veri sorumluları bakımından KVKK’da belirtilen yükümlülüklerin askıya alındığı anlamına gelmemektedir. Özellikle işverenler ziyaretçiler ve çalışanlara yönelik olarak yeni düzenlemeler yapmakta birtakım tedbirler almaktadırlar. Bu doğrultuda işverenlerin bu tedbirleri uygularken işledikleri kişisel veriler bakımından herhangi bir şikâyet ve sonrasında idari para cezasıyla karşılaşmaması adına KVKK kapsamındaki yasal yükümlülüklerini yerine getirmeye devam etmesi gerektiği görüşündeyiz.” Diyerek Kurum ile aynı görüşe yer vermiştik.
Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler başlığı ile yayınlanan kamuoyunda duyurusunda genel açıklamaların dışında ayrıca Sıkça Sorulan Sorular bölümüne de yer verilmiştir. Burada uygulama özelinde bilgilendirmeler yapılmıştır. Bu değerlendirmelerde başlıklar halinde şu açıklamalar yapılmıştır.
- Sağlık Kuruluşları tarafından önceden bir izin almaksızın kişilerle iletişim kurması ile ilgili olarak; Yönetimlerin kamu sağlığını ve kamu düzenini sağlamak ile ilgili yükümlülüklerini yerine getirmek için iletişim kurmasına ve mesaj göndermesinde Kanun açısından bir engel görmemiştir.
- Evden çalışma uygulamaları ile ilgili olarak; idari ve teknik tedbirler alınarak kişisel verilerin güvenliğinin mutlaka sağlanması gerektiği, sistemler arasındaki veri güvenliği için anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması gibi örnekler verilerek veri güvenliğinin herhangi bir zafiyet içermemesine dikkat edilmesi gerektiği vurgulanmıştır. Burada veri sorumlusuna bağlı çalışanların işyeri dışında evden çalışmaları veri sorumlusunun yükümlülüklerini ortadan kaldırmadığına da dikkat çekilmiştir.
- Bir çalışanda virüsün pozitif olması halinde Blog yazımızda belirttiğimiz gibi işverenin veri sahibinin bilgilerinin gizliliğine dikkat ederek ancak sınırlı bilgilendirme yapılarak diğer çalışanların bu şekilde sağlık ve güvenliğinin sağlanması yolunda görüş bildirilmiştir. Burada ayrıca veri sahibinin haklarını ihlal etmeden yapılabilecek örnek bir bilgilendirme metni paylaşmıştır: “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…”
- Yine uygulamada sıkça karşılaştığımız, yapılmasını önerdiğimiz ve Blog yazımızda da belirtiğimiz işyerinde çalışanlardan veya ziyaretçilerden seyahatleri ve sağlık durumları hakkında bilgi talebinde bulunulması uygulaması hakkında Kurum; “Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir” ilkesinden yola çıkarak “kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.” yorumunda bulunmuştur.
- Çok önemli bulduğumuz bir değerlendirme ise “İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle paylaşılabilir mi?” sorusu ile yapılmıştır. Kurum bu soruya verdiği cevabında “Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.” Diyerek çalışanlarının sağlık bilgilerini içeren özel nitelikli kişisel verileri ile kimlik, iletişim bilgileri gibi kişisel verilerinin yetkili kurum ve kuruluşlar ile paylaşılmasında Kanun açısından bir sakınca görmemiştir. Bunun sebebinin salgın ile mücadelede kamu sağlığının gözetilmesinin daha üstün bir yarar olarak değerlendirilmiş olmasını belirtebiliriz.
- Kurum kendisine gelen başvurularda, veri sorumlularının ilgili kişilerin başvurularına yanıt verme ve Kuruma karşı yükümlülüklerinin yerine getirilmesi için belirlenen süreler bakımından bir durma söz konusu olup olmadığını da cevaplamıştır. Buna göre sürelerin durması söz konusu olmasa da Kurumca “veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşullar gözetilecektir” denilerek bir esnek değerlendirme olabileceği sinyalini vermiştir.
Bu değerlendirmelerimize konu olan Kişisel Verileri Koruma Kurumunun 27.03.2020 tarihli Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler başlığı ile yayınlanan kamuoyu duyurusu ile İşte Asistan Blog’da 25.03.2020 tarihinde yayınladığımız CORONA VİRÜS ÖNLEMLERİNİN KVKK AÇISINDAN DEĞERLENDİRİLMESİ başlıklı yazımızın içeriklerine başlıkların üzerine tıklayarak veya aşağıda verilen linkler üzerinden ulaşabilirsiniz.
Yararlı olması dileğimizle.
1- Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler
https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler-
2- CORONA VİRÜS ÖNLEMLERİNİN KVKK AÇISINDAN DEĞERLENDİRİLMESİ
https://blog.isteasistan.com/tr/corona-virus-onlemlerinin-kvkk-acisindan-degerlendirilmesi--45
Yorumlar (0)
Bu içerik için henüz yorum yapılmadı. İlk yorumu siz yapın.
Yorum Yap
Bu içerik hakkında sorularınızı, görüşlerinizi veya eleştirilerinizi bizimle paylaşabilirsiniz. Email adresiniz kimseyle paylaşılmayacaktır.