Covid-19 ile Mücadele Sürecinde KVKK Kapsamında Kamuoyu Duyurusu Yayımlandı

Kişisel Verileri Koruma Kurumu (“KVK Kurumu”) 27.03.2020 tarihinde yayımladığı Kamuoyu Duyurusu’nda (“Duyuru”) Covid-19 ile mücadele sürecinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında dikkat edilmesi gereken konulara açıklık getirdi.

Duyuru’da, istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerektiğinin altı çizilerek, COVID-19 ile mücadele kapsamında aşağıdaki konulara dikkat çekildi.

  • Kişisel veri işleme faaliyetleri gerekli, amaçla bağlantılı, sınırlı ve ölçülü olmalıdır ve bu konuda alınan kararlar, Sağlık Bakanlığı ve ilgili makamların rehberliği ve talimatları çerçevesinde olmalıdır.
  • Tüm kişisel veri işleme faaliyetleri Kanun’da kişisel verilerin işlenmesinde sayılan genel ilkelere uygun bir şekilde gerçekleştirilmelidir.
  • Kişisel veriler, Kanun’un kişisel verilerin işlenme şartlarına ilişkin 5. ve/veya sağlık verilerinin dahil olduğu özel nitelikli kişisel verilerin işlenme şartlarına ilişkin 6. maddesinde belirtilen şartlara uygun olarak işlenmelidir.
  • Özel nitelikli kişisel verilerin işlenmesi bakımından açık rıza şartı uygulanabileceği gibi; açık rıza dışındaki şartlar dâhilinde ise sağlık verileri ancak iş yeri hekimleri tarafından işlenmelidir.
  • Mevcut durum kamu güvenliği ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve Kanun’un 28/1-ç maddesi kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmamaktadır.
  • Veri sorumluları aydınlatma yükümlülüğünü yerine getirmiş olmalıdır.
  • Bir veri işleme faaliyetinde, kişisel verilerin güvenliğini sağlayacak gerekli idari ve teknik tedbirler alınmalıdır.
  • Veri minimizasyonu bakımından veri işleme faaliyetleri amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır.

KVK Kurumu Duyuru’da, bu süreçte sıkça sorulan soruların cevaplarına da yer verdi. Buna göre;

  • İlgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kanun açısından bir engel bulunmadığı,
  • Salgın sırasında personellerin evden çalışabileceği ve kendi cihazlarını kullanabileceği; ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerektiği,
  • İşverenin, bir çalışanın virüs taşıması durumunda personeli bilgilendirmesi gerektiği; bu kapsamda şirket içerisinde yapılacak duyurularda çalışanlara enfekte bir çalışanın bulunduğunun belirtilmesi ancak zorunlu olmadığı sürece bulunduğu seviye ya da yer aldığı ekip gibi çalışanın kim olduğunun tespitini sağlayacak detayların paylaşılmaması gerektiği,
  • İşverenlerin, çalışanlardan virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri veya hastalığa dair belirtiler gösterip göstermedikleri konusunda bilgi talep edebilmesi için güçlü bir gerekçesi olması gerektiği,
  • İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgilerinin ilgili makamlar ile paylaşılabileceği,
  • Veri sorumlularının ilgili kişilerin taleplerini yerine getirme kapasitesinin COVID-19 nedeniyle kısıtlandığı durumlarda, KVK Kurumu’na intikal eden şikâyet, ihbar ve veri ihlal bildirimleri ile ilgili olarak mevzuatta belirtilen yasal sürelerin uzatılmasının söz konusu olmadığı, ancak sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunulan olağanüstü koşulların gözetileceği

belirtildi. Ayrıntılı bilgi için ilgili Duyuru’nun tam metnine buradan ulaşabilirsiniz.