Özet: Kişisel Verileri Koruma Kurumu, Covid-19 kapsamında özel nitelikli kişisel veriler başta olmak üzere kişisel verilerin işlenmesine yönelik merak edilen soruların cevaplarını yayımlamıştır.
Açıklamalar
1) Sağlık kuruluşları önceden açık rıza almadan COVID-19 ile ilgili kişilerle iletişim kurabilir mi?
İlgili sağlık kurum ve kuruluşlarının halk
sağlığı ile ilgili mesajlar göndermesinde Kişisel Verilerin Korunması Kanunu (“KVKK”) açısından bir engel
bulunmamaktadır.
Kamu sağlığının ve düzeninin sağlanması amacıyla COVID-19
gibi tüm dünyayı ve ülkemizi etkileyen küresel salgınlar çerçevesinde, kamu
kurum ve kuruluşlarının üzerine düşen görevler neticesinde halk sağlığına
yönelik tehditleri engelleyebilmek adına ek olarak kişisel verilerin
toplanmasına ve paylaşmasına gerek duyabilir.
2)
Kişisel
Verilerin Korunması Kurumu’na ve ilgili kişilerin başvurularına yanıt verme
yükümlülüklerini yerine getirmesi açısından Veri Sorumluları için KVKK ve
ilgili mevzuatta belirlenen süreler hâlâ geçerli midir?
KVKK ve
ilgili mevzuatta, veri sorumluları tarafından şikâyet, ihbar ve veri ihlal
bildirimleri kapsamında uymaları gereken yasal süreler belirlenmiştir.
Kişisel
verilerin korunması mevzuatı kapsamında veri sorumluları tarafından bu sürelere
riayet edilmesi önem arz etmekte olup KVKK ve ilgili mevzuatta belirtilen yasal
sürelerin uzatılması söz konusu değildir.
Ancak ülkemizin de bulunduğu bu olağanüstü
süreç sebebiyle; Kişisel Verilerin Korunması Kurulu her bir başvuru ya da veri
ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları
süreleri değerlendirirken içerisinde bulunduğumuz olağanüstü koşulları gözetecektir.
İşverenler
Ne Yapmalı?
3) İşveren, virüs taşıyan çalışan varsa bu kişinin kim olduğunu diğer meslektaşlarına veya çalışanlara açıklayabilir mi?
Çalışanın isminin açıklanmasının zorunlu
olmadığı hallerde, çalışanın kim olduğu açıkça meslektaşlarına veya diğer
çalışanlara bildirilmemelidir.
COVID-19’a yönelik gerekli koruyucu tedbirlerin alınması için çalışanın isminin açıklanmasının zorunlu olduğu hallerde, ilgili kişiye önceden isminin açıklanacağı bilgisinin verilmesi daha sağlıklı olacaktır. İşverenin, çalışanlarının sağlık ve güvenliğini sağlama ve aynı zamanda özen yükümlülüğünü yerine getirme sorumlulukları bulunmaktadır.
Ancak kişinin isminin açıklanmasının zorunlu olmadığı hallerde; bilgilendirme yapılırken bireylerin isimlerinin verilmesi gerekmeyeceği gibi gereğinden fazla bilgi de verilmemelidir.
İlgili kişinin ismini ifşa etmeden, bildirim şu şekilde de yapılabilir:
“…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…”
Bildirimin içerisinde çalışanının evden çalışıp çalışmadığı, izinde olup olmadığı gibi detaylar yer alabilir. Ancak, zorunlu olmadığı sürece şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini sağlayacak detaylar paylaşılmamalıdır.
4)
Bir
işveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen
ülkelere yakın dönemde gerçekleştirdikleri seyahatler ve ateş vb. virüs
belirtileri hakkında bilgi talebinde bulunabilir mi?
İşverenlerin çalışanlarının sağlığını korumak ve güvenli/sağlıklı bir işyeri sağlamak adına belirli yasal yükümlülükleri bulunduğundan, ilgili kişilerin virüsten etkilenmiş ülkeleri ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçeleri gündeme gelecektir.
Bilgi talebinin gereklilik ve
ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması
gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri,
işyerinde kronik rahatsızlığı olan ya da virüsten daha ağır etkilenme ihtimali
bulunan kişilerin varlığı ve halk sağlığı yetkililerinin talimatları veya
rehberliği gibi belirli unsurlar dikkate alınmalıdır.
Buna ek olarak, kişilerin kısa
bir süre önce virüsten etkilenen bir bölgeye seyahat etmiş olmaları ve/veya
hastalığa dair belirtiler göstermelerine dayanarak uygun önlemler almalarının
istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine
sunulmasında kişisel verilerin korunması mevzuatı açısından bir sakınca
bulunmamaktadır.
5)
COVID-19
salgını sebebiyle birçok personel evden çalışma yöntemine geçmiştir. Peki, evden
çalışılan bu süre zarfında ne tür güvenlik önlemleri alınmalıdır?
Kişisel Verilerin Korunması
mevzuatı bu tarz çalışma şekillerine bir engel teşkil etmeyecektir. Ancak,
evden çalışma yöntemine geçen kurum ve kuruluşlar, kişisel verilerin
güvenliğinin sağlanması adına, gerekli idari ve teknik önlemleri almalıdır.
Evden çalışma sırasında kişi kendi
bilgisayarını veya iletişim ekipmanlarını kullanabilir. Böyle bir durumda da kişisel
verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin
alınması gerekmektedir.
Uzaktan çalışmanın
doğurabileceği risklerin asgariye indirilebilmesi adına, sistemler arasındaki
veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi
bir zafiyet içermemesinin sağlanması başta olmak üzere anti-virüs sistemlerinin
ve güvenlik duvarlarının güncelliğinin sağlanması ve çalışanların kişisel
verilerin güvenliğinin sağlanmasına yönelik bilgilendirilmesi gerekmektedir.
Belirtmek gerekir ki, kişisel
verilerin güvenliğinin sağlanması noktasında veri sorumlusunun yükümlülüğü normalde
olduğu gibi evden çalışma süresince de devam edecektir. Çalışanların almış
olduğu tedbirler veri sorumlusunun yükümlülüklerini ortadan kaldırmayacaktır.
6)
İşveren
tarafından kamu sağlığı amacıyla çalışanların sağlık bilgileri yetkililerle
paylaşılabilir mi?
KVKK madde 8 ve bulaşıcı
hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde,
bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler,
işveren tarafından ilgili makamlar ile paylaşılabilecektir.
Kişisel Verileri Koruma Kurumu'nun ilgili duyurusuna bu linkten ulaşabilirsiniz.
Saygılarımızla,