Covid-19 ile Mücadele Sürecinde KVKK Kapsamında Kamuoyu Duyurusu Yayımlandı
Kişisel Verileri Koruma Kurumu (“KVK Kurumu”) 27.03.2020 tarihinde yayımladığı Kamuoyu Duyurusu’nda (“Duyuru”) Covid-19 ile mücadele sürecinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında dikkat edilmesi gereken konulara açıklık getirdi.
Duyuru’da, istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerektiğinin altı çizilerek, COVID-19 ile mücadele kapsamında aşağıdaki konulara dikkat çekildi.
- Kişisel veri işleme faaliyetleri gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır ve bu konuda alınan kararlar, Sağlık Bakanlığı ve ilgili makamların rehberliği ve talimatları çerçevesinde olmalıdır.
- Tüm kişisel veri işleme faaliyetleri Kanun’da kişisel verilerin işlenmesinde sayılan genel ilkelere uygun bir şekilde gerçekleştirilmelidir.
- Kişisel veriler, Kanun’un kişisel verilerin işlenme şartlarına ilişkin 5. ve/veya sağlık verilerinin dahil olduğu özel nitelikli kişisel verilerin işlenme şartlarına ilişkin 6. maddesinde belirtilen şartlara uygun olarak işlenmelidir.
- Özel nitelikli kişisel verilerin işlenmesi bakımından açık rıza şartı uygulanabileceği gibi; açık rıza dışındaki şartlar dâhilinde ise sağlık verileri ancak iş yeri hekimleri tarafından işlenmelidir.
- Mevcut durum kamu güvenliği ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve Kanun’un 28/1-ç maddesi kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.
- Veri sorumluları aydınlatma yükümlülüğünü yerine getirmiş olmalıdır.
- Bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınmalıdır.
- Veri minimizasyonu bakımından veri işleme faaliyetleri amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır.
KVK Kurumu Duyuru’da, bu süreçte sıkça sorulan soruların cevaplarına da yer verdi. Buna göre;
- İlgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kanun açısından bir engel bulunmadığı,
- Salgın sırasında personellerin evden çalışabileceği ve kendi cihazlarını kullanabileceği; ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerektiği,
- İşverenin, bir çalışanın virüs taşıması durumunda personeli bilgilendirmesi gerektiği; bu kapsamda şirket içerisinde yapılacak duyurularda çalışanlara enfekte bir çalışanın bulunduğunun belirtilmesi ancak zorunlu olmadığı sürece bulunduğu seviye ya da yer aldığı ekip gibi çalışanın kim olduğunun tespitini sağlayacak detayların paylaşılmaması gerektiği,
- İşverenlerin, çalışanlardan virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri veya hastalığa dair belirtiler gösterip göstermedikleri konusunda bilgi talep edebilmesi için güçlü bir gerekçesi olması gerektiği,
- İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgilerinin ilgili makamlar ile paylaşılabileceği,
- Veri sorumlularının ilgili kişilerin taleplerini yerine getirme kapasitesinin COVID-19 nedeniyle kısıtlandığı durumlarda, KVK Kurumu’na intikal eden şikâyet, ihbar ve veri ihlal bildirimleri ile ilgili olarak mevzuatta belirtilen yasal sürelerin uzatılmasının söz konusu olmadığı, ancak sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunulan olağanüstü koşulların gözetileceği
belirtildi. Ayrıntılı bilgi için ilgili Duyuru’nun tam metnine buradan ulaşabilirsiniz.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Kişisel Verileri Koruma Kurumu (“Kurum”), Covid-19 PCR Test sonucu ve aşı bilgisi uygulamalarına ilişkin duyuru yayımladı.
Kişisel Verileri Koruma Kurulu, 11.03.2021 tarihli ve 2021/238 sayılı Kararı (“Karar”) ile Veri Sorumluları Sicili’ne (“VERBİS”) kayıt yükümlülüğünün yerine getirilmesi için belirlenen sürelerin Covid-19 salgını nedeniyle uzatılmasına karar verdi.
Avrupa Veri Koruma Kurulu (The European Data Protection Board (EDPB)), 19 Mart 2020 tarihinde, COVID-19 salgını bağlamında kişisel veri işlenmesine ilişkin açıklamada bulundu. EDPB yaptığı açıklamada, veri sorumlusu ve veri işleyenlerin, istisnai zamanlarda dahi, veri sahibinin kişisel verilerinin korunmasını garanti etmek zorunda olduğunun; ancak veri koruma kurallarının (GDPR gibi) coronavirüs salgınına karşı savaşta alınan önlemleri engellememesinin altını çizer.
Sağlık Bakanlığı önderliğindeki Pandemi İzolasyon Takip Projesi’nin uygulamaya geçtiğine dair duyuruyu takiben Kişisel Verileri Koruma Kurumu, 09.04.2020 tarihinde COVID-19 ile Mücadelede Konum Verisinin İşlenmesi ve Kişilerin Hareketliliklerinin İzlenmesi Hakkında Bilinmesi Gerekenler başlıklı bir kamuoyu duyurusu (“Duyuru”) paylaştı.
Kişisel Verileri Koruma Kurulu, 23.06.2020 tarihli ve 2020/482 sayılı Kararı (“Karar”) ile Veri Sorumluları Sicili’ne (“VERBİS”) kayıt yükümlülüğünün yerine getirilmesi için belirlenen sürelerin Covid-19 virüs salgını nedeniyle uzatılmasına karar verdi.