Yeni Gelişmeler

Kişisel Verileri Koruma Kurumu (“Kurum“), 27 Mart 2020 tarihli duyurusunda COVID-19 ile mücadele sürecinde Kişisel Verilerin Korunması Kanunu (“Kanun“) kapsamında bilinmesi gerekenleri açıkladı. Kurum, kişisel verilerin işlenmesine ilişkin temel ilkeleri hatırlatarak işverenlerin ve kamu kuruluşlarının COVID-19 sürecindeki işleme faaliyetlerine dair yönlendirmelerde bulundu. Kurum’un duyurusuna buradan ulaşabilirsiniz.

Kurum Ne Diyor?

Temel İlkeler ve Kanuna Uyum

Kurum, COVID-19 salgınının yayılmasının önlenmesi için çok sayıda önlemler alındığını ve bu önlemlerin bir parçası olarak kişisel verilerin işlenmesinin kaçınılmaz olduğunu belirtti. Kurum, bu süreçte yapılacak işleme faaliyetleri için Kanun’un temel ilkelerine atıfta bulunarak işlemenin amaçla bağlantılı, sınırlı ve ölçülü olması gerektiğini belirterek veri minimizasyonu ilkesini hatırlattı ve veri güvenliğine yönelik idari ve teknik tedbirlerin alınmasının önem arz ettiğini ifade etti.

Kurum, işverenlerin sağlık verilerinin işlemesi bakımından çalışanın açık rızasını alma yoluna gidilebileceğini veya salgının yayılma hızı dikkate alınarak çalışanın kendi rızası ile de hastalık bildirimi yapabileceğini belirtti. Kurum ayrıca, sağlık verilerinin iş yeri hekimleri tarafından açık rıza alınmaksızın işlenebileceğini de ifade etti.

Aydınlatma yükümlülüğü kapsamında kişilere yapılacak bilgilendirmenin kısa, kolay erişilebilir, anlaşılır olması ve bilgilendirmede açık ve sade bir dil kullanılması gerekiyor. Sağlık Bakanlığı ve yetkili kamu kurum ve kuruluşlarının işleme faaliyetleri ise Kanun’un 28. maddesinde öngörülen istisnalar kapsamında değerlendirilecek olup bu işleme faaliyetleri için Kanun hükümleri uygulanmayacak.

Sıkça Sorulan Sorular

1.Bir sağlık kuruluşu önceden izin almaksızın COVID-19 ile ilgili kişilerle iletişim kurulabilir mi?

Kamu sağlığı ve kamu düzeninin sağlanması amacıyla ile kamu kurum ve kuruluşları, halk sağlığına yönelik ciddi tehditlerle mücadele etmek için ek olarak kişisel verilerin toplanmasına ve paylaşılmasına gerek duyabilir. Bu kapsamda, ilgili sağlık kurum ve kuruluşlarının kişilere telefon, mesaj veya e-posta yoluyla halk sağlığı ile ilgili mesajlar gönderebilir.

2.Evden çalışma sürecinde ne tür güvenlik önlemleri alınmalıdır?

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin alınması ve kişisel verilerin güvenliği açısından konuya ilişkin çalışanların dikkatle bilgilendirilmesi gerekmektedir. Bu tedbirler veri sorumlularının veri güvenliğine ilişkin yükümlülükleri ortadan kaldırmamaktadır.

3.Bir işveren, bir çalışanın virüs taşıdığını meslektaşlarına/diğer çalışanlarına açıklayabilir mi?

İşveren, vakalar hakkında personelini bilgilendirebilir. Bilgilendirme sırasında bireylerin isimlerinin verilmesi gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir. Virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanlar bu hususta önceden bilgilendirilmelidir.

Kurum’un söz konusu bilgilendirmeye ilişkin vermiş olduğu örnek:

 “…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…”

Bu kapsamda, şirket veya kuruluş bünyesinde yapılacak duyurularda çalışanlara COVID-19 pozitif bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilebilir ancak zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini doğrudan sağlayacak detaylar paylaşılmamalıdır.

  1. Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilir mi?

İşverenlerin, çalışanın sağlığını koruma ve güvenli bir işyeri sağlamaya ilişkin yükümlülükleri kapsamında, personel ve ziyaretçilerden seyahat bilgilerine veya hastalığa dair belirti gösterip göstermediği hususunda bilgi istenmesi için haklı gerekçeleri bulunabilir. Bu kapsamda bilgi talebinin gerekli ve ölçülü olması ve risk değerlendirmesine dayanan güçlü bir gerekçesi bulunması gerekmektedir. Bu hususta özellikle kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişiler ile halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.

5.İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgilerini yetkililerle paylaşılabilir mi?

Kanun’un 8. maddesi uyarınca ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.

6.İlgili kişilerin başvurularına yanıt verme ve Kurum’a karşı yükümlülükleri kapsamında Kanun ve ilgili mevzuatta belirtilen süreler hala geçerli midir?

Kurum, Kanun ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu olmadığını ancak her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından ülkenin içinde bulunduğu olağanüstü koşulların gözetileceğini ifade etti.

Sonuç

COVID-19 salgınının önlenmesine ilişkin çalışmalar hızla devam ediyor. Tüm veri sorumluları, COVID-19 salgını sürecindeki veri işleme faaliyetlerini Kanun hükümlerine ve Kurum’un yönlendirmelerine uygun olarak gerçekleştirmeli ve Kurum’un bu konudaki duyuru ve açıklamalarını takip etmelidir.

 

İlay Yılmaz
Esin Avukatlık Ortaklığından

Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.