Kişisel Verileri Koruma Kurulu Kamuoyu Duyurusu
Tüm dünyada ve Türkiye’de COVID-19 virüsün salgın hastalığın yayılmasını önlemek için birçok önlem ve tedbir alınmıştır. Bu tedbir ve önlemler alınırken salgın hastalıkta kişisel veriler özellikle de özel nitelikli kişisel verilerin işlenmesi kaçınılmaz olmaktadır. Bu durumda kişisel verilerin korunması ve olası bir ihlal durumuna karşı nasıl hareket edileceğine ilişkin olarak Kişisel Verileri Koruma Kurulu (KVKK) 27 Mart 2020’de bir kamuoyu duyurusu yayınlamıştır.
İşbu duyuruda aşağıdaki hususlar belirtilmiştir;
Temel İlkeler ve Tedbirler
- Salgın hastalık sürecinde sağlık hizmetlerinin sağlanması ve kamu sağlığının korunmasının esas olduğu ve sağlık verileri dâhil kişisel veri işlendiğinde bu faaliyetlerin 6698 sayılı Kanun’a uygun yürütülmesi ve gerekli idari ve teknik tedbirlerin alınması gerektiği,
- İlgili kişilerin temel hak ve özgürlükleri açısından COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin gerekli, amaçla bağlantılı, sınırlı ve ölçülü olması gerektiği,
- COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ve işlenmesini gerektiren sebeplerin ortadan kalkması halinde ise söz konusu kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ilkelerine uyulması gerektiği,
- Sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilebileceği; açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesinin söz konusu olabileceğine,
- Kanun’un 28/1 (ç) bendine göre mevcut durumun kamu güvenliğini ve kamu düzenini tehdit ettiği göz önüne alındığında kişisel verilerin Sağlık Bakanlığı ve ilgili kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmadığına,
- Kişisel veriler ile ilgili olmak üzere aydınlatma yükümlülüğünün yerine getirilmiş olması gerektiğine,
- COVID-19 virüsünün yayılmasını önlemek adına, veri sorumlusu ve veri işleyenler tarafından başta sağlık verisi olmak üzere herhangi bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınması ve kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemesi gerektiğine,
- Sağlık kuruluşlarının COVID-19 ile ilgili, kişilerle telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kanun açısından bir engel bulunmadığına,
- Salgın sırasında evden çalışan personelin kendi cihazlarını veya iletişim ekipmanlarını kullanabileceği ancak bu ekipmanlarda da kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerektiğine,
Bilgilendirme
- İşverenin, işyerinde görülen vakalar hakkında personeli bilgilendirebileceği ancak bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği ve gereğinden fazla bilgi verilmemesi gerektiği,
- İşverenlerin, gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması kadıyla, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabileceği,
- İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgilerini, Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde ilgili makamlar ile paylaşılabileceği,
Süreler
- Kurula yapılan şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının mevzuatta yer alan sürelere riayet edilmesi ve söz konusu yasal sürelerde herhangi bir uzatma olmadığı; ancak COVID-19 salgını sebebiyle veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kurulun olağanüstü koşulları gözeteceği.