Türkiye’de koronavirüs kapsamında kişisel veriler nasıl işlenecek?

Türkiye’de koronavirüs vaka sayısı 10 bini geçerken, testi pozitif çıkan kişilerin verilerinin paylaşılıp, paylaşılmaması konusunda yaşanan tartışmalar da halen sürüyor. Peki bu konuda yürürlükte olan kanunlar ne diyor? Hangi durumda, hangi sağlık verisi, nasıl paylaşılmalı? İşverenler, Covid-19 vakalarının bilgilendirmesini ne şekilde yapmalı? Kişisel verilerin güvenliği ile ilgili bu ve benzeri sorulara, Kişisel Verileri Korumu Kurumu (KVKK) cevap verdi.

Habertürk’ten Necdet Çalışkan’ın haberine göre KVKK, koronavirüs salgını kapsamında özel nitelikli kişisel veriler başta olmak üzere kişisel verilerin nasıl işleneceğine yönelik olarak kamuoyu açıklaması yaptı. Kurumdan, “Covid-19 ile Mücadele Sürecinde Kişisel Verilerin Korunması Kanunu Kapsamında Bilinmesi Gerekenler” başlığı altında yapılan duyuruda Covid-19 ile mücadele kapsamında, özel nitelikli kişisel veriler de (sağlıkla ilgili veriler vb.) dahil olmak üzere pek çok kişisel verinin (TC kimlik no, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesinin kaçınılmaz olduğu belirtildi.

'ÜÇÜNCÜ TARAFA İFŞA EDİLMEMELİ'

Yaşanan bu süreçte öncelikli olarak kamu sağlığının korunmasının esas olduğuna dikkat çekilen açıklamada, başta sağlık verisi olmak üzere kişisel verileri işlerken şu noktalara dikkat edilmesi gerektiğinin altı çizildi:

- 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler, COVID-19 ile mücadele kapsamında tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmeli.

- Kanunda sağlık verilerinin dahil olduğu özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenemeyeceği belirtilmiştir. Ancak bu verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla, yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği düzenlenmiştir. Bu çerçevede, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde de bir engel bulunmamaktadır.

- COVID-19 virüsünden etkilenen kişilerin verileri açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemelidir. Sosyal medya hesapları ve benzeri mecralarda sağlık verileri başta olmak üzere kişisel veriler ile ilgili hukuka aykırı olarak yapılacak paylaşımların Türk Ceza Kanununun 136 ncı maddesi kapsamında suç teşkil edebileceği unutulmamalı.

- COVID-19 virüsünün yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetleri de amaçla bağlantılı ve sınırlı ölçüde gerçekleştirilmeli, gereğinden fazla kişisel veri işlenmesinden kaçınılmalıdır.

EVDEN ÇALIŞMADA VERİ GÜVENLİĞİNDE SORUMLULUK KİMDE?

KVKK’dan yapılan duyuruda koronavirüs kapsamında kişisel verilerin işlenmesinde sıkça sorulan sorulara da şu cevaplar verildi:

Sağlık kuruluşları önceden izin almaksızın COVID-19 ile ilgili kişilerle iletişim kurulabilir mi?

Yönetimlerin, COVID-19 virüsü gibi küresel salgın boyutuna ulaşan durumlarda kamu sağlığını ve kamu düzenini sağlamak ile ilgili yükümlülükleri bulunmaktadır. Kamu kurum ve kuruluşları, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir. Bu çerçevede, ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde Kişisel Verilerin Korunması Kanunu açısından bir engel bulunmamaktadır.

Salgın sırasında kuruluşların personelinin çoğunun evden çalıştığı bilinmektedir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?

Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir. Salgın sırasında personel evden çalışabilir ve kendi cihazlarını veya iletişim ekipmanlarını kullanabilir. Kişisel verilerin korunması mevzuatı bunu engellemez, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir. Ancak unutulmamalıdır ki, çalışanlar tarafından alınacak tedbirler Kanun kapsamında kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğünü ortadan kaldırmamaktadır.

POZİTİF ÇIKANLAR, NASIL AÇIKLANMALI?

Bir işveren, bir çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilir mi?

İşveren, vakalar hakkında personeli bilgilendirmelidir. Bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Bu kapsamda ilk etapta işverenler tarafından örneğin “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” şeklinde açıklamalarda bulunulması yoluna gidilebilir. Yukarıdaki örnekte olduğu gibi, bir kurum, kuruluş veya şirket içerisinde yapılacak duyurularda çalışanlara COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır.

Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilir mi?

Mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir. Bu bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır. Kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.

İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle paylaşılabilir mi?

Kanunun 8 inci maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.

Salgın sırasında, kuruluşların geçici olarak kapatıldığı veya veri sorumlularının ilgili kişilerin taleplerini yerine getirme kapasitesinin COVID-19 nedeniyle kısıtlandığı durumlarda, yükümlülükler kapsamında KVKK ve ilgili mevzuatta belirtilen süreler hala geçerli midir?

Kanun ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu değildir, ancak ülkemizin içinde bulunduğu bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kişisel Verileri Koruma Kurulu tarafından içerisinde bulunduğumuz olağanüstü koşullar gözetilecektir.

KORONAVİRÜS SON DAKİKA HABERLERİ İÇİN TIKLAYINIZ!