COVID-19 salgını ile etkin mücadele sürecinde çoğu durumda özel nitelikli kişisel veriler de dahil olmak üzere birçok kişisel veri işlenmektedir. Bu çerçevede Kişisel Verileri Koruma Kurumu (“Kurum”), yaptığı kamuoyu duyurusu ile bu süreçte öncelikle sağlık hizmetlerinin sağlanmasının ve kamu sağlığının korunmasının esas olduğunu belirterek, özellikle kişilerin sağlık verilerinin ve diğer kişisel verilerin işlenmesi gerektiği durumlarda veri sorumluları ve veri işleyenler tarafından söz konusu faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hükümlerine uygun yürütülmesinin sağlanması ve veri güvenliğine yönelik gerekli idari ve teknik tedbirlerin alınması gerektiğinin altını çizmiştir.
Bu kapsamda Kurum aşağıdaki hususlara kamuoyu duyurusunda yer vermiştir;
- COVID-19 ile mücadele çerçevesinde yürütülen tüm kişisel veri işleme faaliyetlerinde KVKK madde 4 altında düzenlenen genel prensiplere uyulması esastır. Kişisel veriler (i) hukuka ve dürüstlük kurallarına uygun işlenmeli, (ii) doğru ve gerektiğinde güncel olmalı, (iii) belirli, açık ve meşru amaçlar için işlenmeli, (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı ve (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
- Kişisel veriler KVKK madde 5 ve 6 kapsamında düzenlenen kişisel veri işleme şartlarına uygun olarak işlenmelidir. Ayrıca veri sorumlularının, sağlık verilerini işlerken 31 Ocak 2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin kararı göz önünde bulundurmaları gerektiği vurgulanmıştır.
- KVKK madde 28/1(ç) uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde KVKK hükümleri uygulanmaz. Bu nedenle kişisel verilerin madde 28/1(ç) kapsamında değerlendirilen kamu kurum ve kuruluşları ile Sağlık Bakanlığı tarafından işlenmesinin KVKK hükümlerine tabi olmadığı belirtilmiştir.
- Veri sorumlularının aydınlatma yükümlülüklerini yerine getirmeleri gerektiği hatırlatılmıştır.
- Kişisel verilerin güvenliğini sağlayacak her türlü idari ve teknik tedbirin alınması gerektiği ve etkilenen kişilerin verilerinin açık ve zorunlu bir gerekçe olmaksızın herhangi bir üçüncü tarafa ifşa edilmemesi gerektiği belirtilmiştir.
- Kişisel verilerin sosyal medya gibi mecralarda hukuka aykırı şekilde paylaşılmasının Türk Ceza Kanunu madde 136 kapsamında suç teşkil ettiği vurgulanmıştır.
- COVID-19 salgınının yayılmasını önleme amacına yönelik gerçekleştirilen veri işleme faaliyetlerinin ölçülülük esasına uygun olması ve gereğinden fazla kişisel veri işlenmesinden kaçınılması gerektiğine değinilmiştir.
Veri sorumluları için duyuruda özellikle belirtilen önemli hususlar aşağıdaki gibidir;
- Sağlık verilerinin işlenmesi açısından çalışanın rızasını alma yoluna gidilmesi tercih edilebileceği gibi, salgının yayılma hızı düşünülürse, çalışan kendi rızası ile de hastalık bildirimi yapabilir.
- Sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar göndermesinde KVKK açısından bir engel bulunmadığı belirtilmiştir.
- Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerektiğine değinilmiştir.
- İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumluluğu bulunması nedeniyle şirket içindeki vakalar hakkında çalışanları bilgilendirmelidir. Ancak bilgilendirme sırasında bireylerin isimleri ve gereğinden fazla bilgi verilmemelidir. Koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanlar bu hususta önceden bilgilendirilmelidir.
- İşverenler çalışanlarının sağlığını korumakla yükümlüdür. Bu nedenle, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini isteyebilir.
- KVKK madde 8 ve bulaşıcı hastalıklara ilişkin diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.
Kurum’un 27 Mart 2020 tarihli kamuoyu duyurusunun tam metnine bu bağlantıdan ulaşabilirsiniz.