KİŞİSEL VERİLERİ KORUMA KURUMUNDAN KOVİD-19 İLE MÜCADALE SÜRECİNDE KVKK KAPSAMINDA BİLİNMESİ GEREKENLER İLİŞKİN KAMUOYU DUYURUSU

28 Mart 2020

Kişisel Verileri Koruma Kurumu (“Kurum”), 27.03.2020 tarihinde web sitesinde yayınladığı açıklama ile, KOVİD-19 salgını ile mücadele döneminde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) kapsamında bilinmesi gerekenlere ilişkin bir değerlendirmede bulunmuş ve sıkça sorulan bazı soruları cevaplandırmıştır. 

Yapılan kamuoyu duyurusunda; KOVİD-19 salgını ve salgının yayılmasını engellemek amacıyla alınan önlemler sebebiyle özel nitelikli kişisel veriler (sağlık verileri vb.) de dahil olmak üzere pek çok kişisel verinin (T.C. kimlik no, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesine işaret edilmiş ve içinde bulunulan istisnai durumlarda dahi, veri sorumluları ve veri işleyenlerin faaliyetlerini Kanun’a uygun yürütmesi, veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin almaları gerektiği hatırlatılmıştır.

Kurum, alınan önlemlerin hukukun genel ilkelerine uygun olması ve kişilerin temel hak ve özgürlükleri açısından geri döndürülemez zararlar ortaya çıkarmaması gerektiğini vurgulamıştır. Bu konuda alınan kararların, Sağlık Bakanlığı başta olmak üzere halk sağlığı kuruluşlarının ve diğer ilgili kurum ve kuruluşların rehberliği ve/veya talimatları çerçevesinde alınmaları gerektiği ifade edilmiştir.

Kamuoyu duyurusunda, veri sorumlularının başta sağlık verisi olmak üzere kişisel verileri işlerken dikkat etmesi gereken hususlar şu şekilde sıralanmıştır;

  • Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler

Kanunda kişisel verilerin işlenmesinde sayılan temel ilkeler;

  1. hukuka ve dürüstlük kurallarına uygun olma,
  2. doğru ve gerektiğinde güncel olma,
  3. belirli, açık ve meşru amaçlar için işlenme,
  4. işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
  5. ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme olarak sıralanmıştır.

İşlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Söz konusu ilkeler, KOVİD-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

  • Kanuna Uygunluk

Kanun’nun 5 inci maddesinde kişisel verilerin işlenme şartları, 6 ncı maddesinde ise sağlık verilerinin dahil olduğu özel nitelikli kişisel verilerin işlenme şartları belirlenmiştir. Kişisel veriler, ilgili hükümlerde öngörülen şartlara uygun olarak işlenmelidir.

Kanunun 6 ncı maddesinde özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenemeyeceği belirtilmekle birlikte sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir.

Ayrıca, Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayılı Kararı ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" belirlenmiştir.

Kurum, sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı göz önüne alınarak, çalışanın kendi rızası ile de hastalık bildirimi yapabileceğini belirtmiştir.

Açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesi gereklidir. Özel nitelikli kişisel veri niteliğinde olmayan, kişilerin son seyahat ettikleri ülke bilgisi gibi kişisel veriler açısından da Kanunun 5 inci maddesinde kişisel veri işleme şartlarının dikkate alınması gerekecektir.

Ancak Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Bu çerçevede, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmamaktadır.

  • Aydınlatma Yükümlülüğü (Şeffaflık)

Kişisel verileri işleyen veri sorumluları, kişisel verilerin toplanma amacı ve ne kadar süreyle saklanacağı hususu da dahil olmak üzere, uyguladıkları önlemler konusunda şeffaf olmalıdır. Bireylere kişisel verilerinin işlenmesi hakkında kısa, kolay erişilebilir, anlaşılır, açık ve sade bir dil kullanılması suretiyle bilgi sağlamalıdırlar.

  • Gizlilik

KOVİD-19 virüsünün yayılmasını önleme bağlamında, veri sorumlusu ve veri işleyenler tarafından başta sağlık verisi olmak üzere herhangi bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınmalıdır. Etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir.

Ayrıca, sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımlar aynı zamanda 5237 sayılı Türk Ceza Kanunu’nun 136 ncı maddesi[1] kapsamında suç teşkil edebilecektir.

  • Veri Minimizasyonu

KOVİD-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetleri de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır. Hedeflenen amaca ulaşmak için imkân dâhilindeki en müdahaleci olmayan yolun tercih edilmesi gerekmektedir.

Kurum son olarak sıkça sorulan birtakım soruları cevaplandırmıştır:

  • Bir sağlık kuruluşu önceden izin almaksızın KOVİD-19 kapsamında ilgili kişilerle iletişim kurabilir mi?

Yönetimlerin, kamu sağlığını ve kamu düzenini sağlamak ile ilgili yükümlülükleri bulunduğu göz önüne alınarak, kamu kurum ve kuruluşları, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir.

Bu çerçevede, Kurum, ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kişisel Verilerin Korunması Kanunu açısından bir engel bulunmadığına kanaat getirmiştir.

  • Salgın sırasında kuruluşların personelinin çoğunun evden çalıştığı bilinmektedir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?

Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir. Salgın sırasında personel evden çalışabilir ve kendi cihazlarını veya iletişim ekipmanlarını kullanabilir ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.

Kurum, uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, alınması gereken önlemleri şu şekilde sıralamıştır;

  1. sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması,
  2. anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere,
  3. her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi.

Ayrıca, bu konuda çalışanlar tarafından alınacak tedbirlerin Kanun kapsamında veri sorumlusunun yükümlülüğünü ortadan kaldırmayacağı da hatırlatılmıştır.

  • Bir işveren, bir çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilir mi?

İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları gereğince, işveren vakalar hakkında personeli bilgilendirmelidir. Ancak, bilgilendirme yapılırken bireylerin isimlerinin ve gereğinden fazla bilginin verilmemesi gereklidir. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde, ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görülmektedir.

Bu kapsamda yapılabilecek bilgilendirmeler Kurum tarafından şu şekilde örneklendirilmiştir: “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın KOVİD-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…

Bu kapsamda yapılacak bilgilendirmelerde, çalışanlara KOViD-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır.

  • Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilir mi?

İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri gereğince mevcut koşullarda, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri bulunduğu belirtilmiştir.

Ancak bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.

Kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmadığı Kurum tarafından açıklanmıştır.

  • İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle paylaşılabilir mi?

Kanun’un 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.

  • Salgın sırasında, kuruluşların geçici olarak kapatıldığı veya veri sorumlularının ilgili kişilerin taleplerini yerine getirme kapasitesinin KOVİD-19 nedeniyle kısıtlandığı durumlarda, zaman çizelgelerine göre ilgili kişilerin başvurularına yanıt verme ve Kurumumuza karşı yükümlülükleri kapsamında Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta belirtilen süreler hala geçerli midir?

Kurum’a intikal eden şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurum’a gerek ilgili kişilere karşı yükümlülükleri açısından Kanunda ve ilgili alt düzenlemelerde çeşitli sürelerin uzatılması söz konusu değildir, ancak Kurum, veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu’nun içerisinde bulunulan olağanüstü koşullar gözeterek kararlarını vereceğini belirtmiştir.

İlgili kamuoyu duyurusu metnine buradan  ulaşabilirsiniz.

Kişisel Verileri Koruma Kurulunun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" konulu 31/01/2018 tarihli ve 2018/10 sayılı Kararına buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr


[1] TCK – “Verileri hukuka aykırı olarak verme veya ele geçirme”, Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.