COVID-19 ile etkin mücadele kapsamında devletler sosyal mesafe ve sosyal izolasyon gibi geleneksel tedbirlerin yanında, teknolojik imkânlardan da yararlanmaktadır. Bu kapsamda Kişisel Verileri Koruma Kurumu (“Kurum”) yaptığı kamuoyu duyurusu ile salgının yayılımını önlemek amacıyla kullanılan ve ilgili kişilerin sağlık, konum ve iletişim bilgileri gibi kişisel verilerini işleyen mobil uygulamalar vb. takip yöntemlerine ilişkin genel prensipleri belirlemiştir.
Bu kapsamda Kurum;
- Kamu düzeni ve kamu güvenliğinin korunması kapsamında konum verisinin yetkili kurumlarca işlenmesinin hukuken mümkün olduğunu ancak kişisel verilerin güvenliğinin de gözetilmesi gerektiğini,
- Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik’te yer alan tanım üzerinde de durularak konum verisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında kişisel veri olarak değerlendirildiğini,
- KVKK madde 28/1(ç) uyarınca kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde KVKK hükümlerinin uygulanmayacağını ve salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetlerinin bu madde kapsamında değerlendirileceğini,
- Son olarak her ne kadar ilgili veri işleme faaliyeti KVKK kapsamında değerlendirilmese de kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verileri silmeleri veya yok etmeleri gerektiğini
belirtmiştir.
Kurum’un 9 Nisan 2020 tarihli kamuoyu duyurusunun tam metnine bu bağlantıdan ulaşabilirsiniz.