COVID-19 Kapsamında Kişisel Veriler Nasıl İşlenecek?

Yayınlanma Tarihi: 31 Mart 2020



Özet: Kişisel Verileri Koruma Kurumu, Covid-19 kapsamında özel nitelikli kişisel veriler başta olmak üzere kişisel verilerin işlenmesine yönelik merak edilen soruların cevaplarını yayımlamıştır. 

Açıklamalar

1)    Sağlık kuruluşları önceden açık rıza almadan COVID-19 ile ilgili kişilerle iletişim kurabilir mi?

İlgili sağlık kurum ve kuruluşlarının halk sağlığı ile ilgili mesajlar göndermesinde Kişisel Verilerin Korunması Kanunu (“KVKK”) açısından bir engel bulunmamaktadır.

Kamu sağlığının ve düzeninin sağlanması amacıyla COVID-19 gibi tüm dünyayı ve ülkemizi etkileyen küresel salgınlar çerçevesinde, kamu kurum ve kuruluşlarının üzerine düşen görevler neticesinde halk sağlığına yönelik tehditleri engelleyebilmek adına ek olarak kişisel verilerin toplanmasına ve paylaşmasına gerek duyabilir.

2)    Kişisel Verilerin Korunması Kurumu’na ve ilgili kişilerin başvurularına yanıt verme yükümlülüklerini yerine getirmesi açısından Veri Sorumluları için KVKK ve ilgili mevzuatta belirlenen süreler hâlâ geçerli midir?

KVKK ve ilgili mevzuatta, veri sorumluları tarafından şikâyet, ihbar ve veri ihlal bildirimleri kapsamında uymaları gereken yasal süreler belirlenmiştir.

Kişisel verilerin korunması mevzuatı kapsamında veri sorumluları tarafından bu sürelere riayet edilmesi önem arz etmekte olup KVKK ve ilgili mevzuatta belirtilen yasal sürelerin uzatılması söz konusu değildir.

Ancak ülkemizin de bulunduğu bu olağanüstü süreç sebebiyle; Kişisel Verilerin Korunması Kurulu her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları süreleri değerlendirirken içerisinde bulunduğumuz olağanüstü koşulları gözetecektir.

İşverenler Ne Yapmalı?

3)    İşveren, virüs taşıyan çalışan varsa bu kişinin kim olduğunu diğer meslektaşlarına veya çalışanlara açıklayabilir mi?

Çalışanın isminin açıklanmasının zorunlu olmadığı hallerde, çalışanın kim olduğu açıkça meslektaşlarına veya diğer çalışanlara bildirilmemelidir.

COVID-19’a yönelik gerekli koruyucu tedbirlerin alınması için çalışanın isminin açıklanmasının zorunlu olduğu hallerde, ilgili kişiye önceden isminin açıklanacağı bilgisinin verilmesi daha sağlıklı olacaktır. İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları bulunmaktadır.

Ancak kişinin isminin açıklanmasının zorunlu olmadığı hallerde; bilgilendirme yapılırken bireylerin isimlerinin verilmesi gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir.

İlgili kişinin ismini ifşa etmeden, bildirim şu şekilde de yapılabilir:

“…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…”

Bildirimin içerisinde çalışanının evden çalışıp çalışmadığı, izinde olup olmadığı gibi detaylar yer alabilir. Ancak, zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini sağlayacak detaylar paylaşılmamalıdır.

4)    Bir işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs belirtileri hakkında bilgi talebinde bulunabilir mi?

İşverenlerin çalışanlarının sağlığını korumak ve güvenli/sağlıklı bir işyeri sağlamak adına belirli yasal yükümlülükleri bulunduğundan, ilgili kişilerin virüsten etkilenmiş ülkeleri ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir. 

Bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya rehberliği gibi belirli unsurlar dikkate alınmalıdır.

Buna ek olarak, kişilerin kısa bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca bulunmamaktadır.

5)    COVID-19 salgını sebebiyle birçok personel evden çalışma yöntemine geçmiştir. Peki, evden çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?

Kişisel Verilerin Korunması mevzuatı bu tarz çalışma şekillerine bir engel teşkil etmeyecektir. Ancak, evden çalışma yöntemine geçen kurum ve kuruluşlar, kişisel verilerin güvenliğinin sağlanması adına, gerekli idari ve teknik önlemleri almalıdır.

Evden çalışma sırasında kişi kendi bilgisayarını veya iletişim ekipmanlarını kullanabilir. Böyle bir durumda da kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir.

Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilebilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması başta olmak üzere anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması ve çalışanların kişisel verilerin güvenliğinin sağlanmasına yönelik bilgilendirilmesi gerekmektedir.

Belirtmek gerekir ki, kişisel verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğü normalde olduğu gibi evden çalışma süresince de devam edecektir. Çalışanların almış olduğu tedbirler veri sorumlusunun yükümlülüklerini ortadan kaldırmayacaktır.

6)    İşveren tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle paylaşılabilir mi?

KVKK madde 8 ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabilecektir.


Kişisel Verileri Koruma Kurumu'nun ilgili duyurusuna bu linkten ulaşabilirsiniz.


Saygılarımızla,