COVİD 19 Pandemisinin Kişisel Verilerin Korunması Kanunu (“KVKK) Yönünden Değerlendirilmesi

COVİD 19 Pandemisinin Kişisel Verilerin Korunması Kanunu (“KVKK) Yönünden Değerlendirilmesi

COVİD 19 Pandemisinin Kişisel Verilerin Korunması Kanunu (“KVKK) Yönünden Değerlendirilmesi

Kişisel Verileri Koruma Kurulu, Covid-19 pandemisi kapsamında kişisel verilerin işlenmesine yönelik merak edilen soruların cevaplarını yayınlamıştır. Buna göre;

1.         Sağlık kuruluşları önceden rıza almadan COVID-19 ile ilgili kişilerle iletişim kurabilir mi?

Kamu sağlığının ve düzeninin sağlanması amacıyla COVID-19 gibi tüm dünyayı ve ülkemizi etkileyen küresel salgınlar çerçevesinde, kamu kurum ve kuruluşlarının üzerine düşen görevler neticesinde halk sağlığına yönelik tehditleri engelleyebilmek adına ek olarak kişisel verilerin toplanmasına ve paylaşmasına gerek duyabilir.

Bu doğrultuda, sağlık kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde KVKK açısından bir engel bulunmamaktadır.

2.         Salgın nedeniyle birçok personel evden çalışma yöntemine geçmiştir. Evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?

Kişisel Verilerin Korunması mevzuatı, evden çalışma şekline engel değildir. Personel evden çalışabilir. Çalışma esnasında kendi cihazlarını veya iletişim ekipmanlarını kullanabilir. Böyle bir durumda, kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekir.   

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilebilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması başta olmak üzere anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması ve çalışanların kişisel verilerin güvenliğinin sağlanmasına yönelik bilgilendirilmesi gerekmektedir. 

Belirtmek gerekir ki, kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğü normalde olduğu gibi evden çalışma süresince de devam edecektir. Çalışanların almış olduğu tedbirler veri sorumlusunun yükümlülüklerini ortadan kaldırmaz.   

3.         İşveren, bir çalışanının virüs taşıdığını, bu kişinin kim olduğunu diğer çalışanlara açıklayabilir mi?

İşveren, vakalar hakkında personeli bilgilendirmelidir. Ancak, zorunlu olmadıkça, enfekte olmuş çalışanın kim olduğu diğer çalışanlara bildirilmemelidir. COVID-19’a yönelik gerekli koruyucu tedbirlerin alınması için çalışanın isminin açıklanmasının zorunlu olduğu hallerde, ilgili kişiye önceden isminin açıklanacağı bilgisinin verilmesi uygun olur. İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumluluğu vardır.  

Ancak kişinin isminin açıklanmasının zorunlu olmadığı hallerde; bilgilendirme yapılırken bireylerin isimlerinin verilmesi gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Çalışanın kim olduğunun tespitini sağlayacak detaylar paylaşılmamalıdır.

İlgili kişinin ismini ifşa etmeden, örneğin:  

“…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” şeklinde bildirim yapılabilir.

Bildirimin içerisinde çalışanının evden çalışıp çalışmadığı, izinde olup olmadığı gibi detaylar yer alabilir.

4.         Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilir mi?

İşverenlerin çalışanlarının sağlığını korumak ve güvenli bir iş yeri sağlama yükümlülüğü vardır. Bu nedenle,  çalışanlardan ve ziyaretçilerden virüsten etkilenmiş ülkeleri ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtileri gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri vardır.

Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.

Ayrıca, kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca yoktur.

5.         İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle paylaşılabilir mi?

KVKK’nun 8. Maddesi ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilir.

6.         Kişisel Verilerin Korunması Kurulu’na ve ilgili kişilerin başvurularına yanıt verme yükümlülüklerini yerine getirmesi açısından Veri Sorumluları için KVKK ve ilgili mevzuatta belirlenen süreler hâlâ geçerli midir?

KVKK ve ilgili mevzuatta, veri sorumluları tarafından şikâyet, ihbar ve veri ihlal bildirimleri kapsamında uymaları gereken yasal süreler belirlenmiştir. 

Kişisel verilerin korunması mevzuatı kapsamında veri sorumluları tarafından bu sürelere riayet edilmesi önem arz etmekte olup KVKK ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu değildir. 

Ancak ülkemizin de bulunduğu bu olağanüstü süreç sebebiyle; Kişisel Verilerin Korunması Kurulu her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları süreleri değerlendirirken içerisinde bulunduğumuz olağanüstü koşulları gözetecektir.

Saygılarımızla,

Av. Demet Cengiz Uslu