Covid-19 ile Mücadele Sürecinde Kisisel Verilerin Korunmasi Kanunu Kapsaminda Bilinmesi Gerekenler

 

Tarih: 8/5/2020

 

 

 

Tarih : 31.03.2020

 

 

Kisisel Verileri Koruma Kurumu tarafindan Covid-19 ile Mücadele Sürecinde Kisisel Verilerin Korunmasi Kanunu Kapsaminda Bilinmesi Gerekenler bir Kamuoyu Duyurusu olarak yayimlanmis olup, asagida bilgilerinize sunulmaktadir.

 

“KAMUOYU DUYURUSU

 

Covid-19 ile Mücadele Sürecinde Kisisel Verilerin Korunmasi Kanunu Kapsaminda Bilinmesi Gerekenler

Tüm Dünya ve Ülkemizi etkileyen COVID-19 virüsü salgininin yayilmasini engellemek ve etkilerini hafifletmek adina kamu kurum ve kuruluslari gerekli adimlari atmakta ve çesitli önlemler alinmasi suretiyle mücadele etmektedir. Bu önlemlerin alindigi çogu durumda özel nitelikli kisisel veriler de (saglikla ilgili veriler vb.) dahil olmak üzere pek çok kisisel verinin (TC kimlik no, ad, adres, isyeri, seyahat bilgileri gibi) islenmesi kaçinilmazdir.

Bu süreçte öncelikli olarak saglik hizmetlerinin saglanmasi ve kamu sagliginin korunmasi esastir. 6698 sayili Kisisel Verilerin Korunmasi Kanunu (Kanun) kapsaminda özellikle kisilerin saglik verilerinin ve diger kisisel verilerin islenmesi gerektigi durumlarda veri sorumlulari ve veri isleyenler tarafindan söz konusu faaliyetlerin Kanun hükümlerine uygun yürütülmesinin saglanmasi ve veri güvenligine yönelik gerekli idari ve teknik tedbirlerin alinmasi önem arz etmektedir.

Belirtmek gerekir ki, bu istisnai zamanlarda dahi veri sorumlulari ve veri isleyenlerin, ilgili kisilerin kisisel verilerinin güvenligini saglamalari gerekmektedir. Bu nedenle kisisel verilerin hukuka uygun olarak islenmesi ve bu konuda alinan herhangi bir önlemin hukukun genel ilkelerine uygun olmasi, bu çerçevede kisilerin temel hak ve özgürlükleri açisindan geri döndürülemez zararlarin ortaya çikmamasi önemlidir. Bu minvalde özellikle COVID-19 virüsüne karsi alinan önlemler kapsaminda gerçeklestirilen kisisel veri isleme faaliyetleri gerekli, amaçla baglantili, sinirli ve ölçülü olmalidir. Bu konuda alinan kararlar, Saglik Bakanligi basta olmak üzere halk sagligi kuruluslarinin veya diger ilgili kurum ve kuruluslarin rehberligi ve / veya talimatlari çerçevesinde olmalidir.

Bu baglamda veri sorumlularinin basta saglik verisi olmak üzere kisisel verileri islerken asagidaki hususlara dikkat etmeleri önem arz etmektedir.

Kisisel Verilerin Islenmesine Iliskin Temel Ilkeler

6698 sayili Kanunda kisisel verilerin islenmesinde sayilan genel (temel) ilkeler hukuka ve dürüstlük kurallarina uygun olma, dogru ve gerektiginde güncel olma, belirli, açik ve mesru amaçlar için islenme, islendikleri amaçla baglantili, sinirli ve ölçülü olma ve ilgili mevzuatta öngörülen veya islendikleri amaç için gerekli olan süre kadar muhafaza edilmedir. Islenmesini gerektiren sebeplerin ortadan kalkmasi halinde ise söz konusu kisisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Söz konusu ilkeler, COVID-19 ile mücadele kapsaminda tüm kisisel veri isleme faaliyetlerinin özünde bulunmali ve tüm kisisel veri isleme faaliyetleri bu ilkelere uygun olarak gerçeklestirilmelidir.

Kanuna Uygunluk

6698 sayili Kisisel Verilerin Korunmasi Kanununun 5 inci maddesinde kisisel verilerin islenme sartlari, 6 nci maddesinde ise saglik verilerinin dahil oldugu özel nitelikli kisisel verilerin islenme sartlari belirlenmistir.

Kanunun 6 nci maddesinde özel nitelikli kisisel verilerin ilgilinin açik rizasi olmaksizin islenemeyecegi belirtilmekle birlikte saglik ve cinsel hayat disindaki kisisel verilerin, kanunlarda öngörülen hâllerde, saglik ve cinsel hayata iliskin kisisel verilerin ise ancak kamu sagliginin korunmasi, koruyucu hekimlik, tibbî teshis, tedavi ve bakim hizmetlerinin yürütülmesi, saglik hizmetleri ile finansmaninin planlanmasi ve yönetimi amaciyla, sir saklama yükümlülügü altinda bulunan kisiler veya yetkili kurum ve kuruluslar tarafindan ilgilinin açik rizasi aranmaksizin islenebilecegi düzenlenmistir.

Ayrica Kisisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018/10 sayili Karari ile “Özel Nitelikli Kisisel Verilerin Islenmesinde Veri Sorumlularinca Alinmasi Gereken Yeterli Önlemler" belirlenmistir.

Bu noktada, kisisel verilerin Kanunun 5 inci ve/veya 6 nci maddesinde belirtilen sartlara uygun olarak islenmesi gerektigi unutulmamalidir.

Bu çerçevede, özellikle saglik verilerinin islenmesi açisindan çalisanin rizasini alma yoluna gidilmesi tercih edilebilecegi gibi, salginin yayilma hizi düsünülürse, çalisan kendi rizasi ile de hastalik bildirimi yapabilecektir. Açik riza disindaki sartlar dâhilinde ise, saglik verilerinin is yeri hekimleri tarafindan islenmesi söz konusu olacaktir. Bu süreçte dogaldir ki her islenen veri özel nitelikli kisisel veri de olmayabilir (Örnegin kisilerin son olarak seyahat ettikleri ülke bilgisi gibi). Bu durumlarda da Kanunun 5 inci maddesinde kisisel veri isleme sartlarinin dikkate alinmasi gerekecektir.

Öte yandan, Kanunun 28 inci maddesinin (1) numarali fikrasinin (ç) bendinde kisisel verilerin millî savunmayi, millî güvenligi, kamu güvenligini, kamu düzenini veya ekonomik güvenligi saglamaya yönelik olarak kanunla görev ve yetki verilmis kamu kurum ve kuruluslari tarafindan yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsaminda islenmesi halinde Kanun hükümlerinin uygulanmayacagi düzenlenmistir. Bu çerçevede, mevcut durum kamu güvenligini ve kamu düzenini tehdit ettiginden kisisel verilerin Saglik Bakanligi ve yukaridaki madde kapsamina giren kamu kurum ve kuruluslari tarafindan islenmesinin önünde de bir engel bulunmamaktadir.

Aydinlatma Yükümlülügü (Seffaflik)

Bu noktada hatirlatilmasi gereken diger önemli bir konu da islenen kisisel veriler ile ilgili olmak üzere aydinlatma yükümlülügünün yerine getirilmis olmasidir. Bu anlamda, kisisel verileri isleyen veri sorumlulari, kisisel verilerin toplanma amaci ve ne kadar süreyle saklanacagi hususu da dahil olmak üzere, uyguladiklari önlemler konusunda seffaf olmalidir. Bireylere kisisel verilerinin islenmesi hakkinda kisa, kolay erisilebilir, anlasilir, açik ve sade bir dil kullanilmasi suretiyle bilgi saglamalidirlar.

Gizlilik

COVID-19 virüsünün yayilmasini önleme baglaminda, veri sorumlusu ve veri isleyenler tarafindan basta saglik verisi olmak üzere herhangi bir veri isleme faaliyetinde, kisisel verilerin güvenligini saglayacak gerekli idari ve teknik tedbirler alinmalidir. Etkilenen kisilerin verileri açik ve zorunlu bir gerekçe olmaksizin herhangi bir üçüncü tarafa ifsa edilmemelidir.

Öte yandan, sosyal medya hesaplari ve benzeri mecralarda saglik verileri basta olmak üzere kisisel veriler ile ilgili hukuka aykiri olarak yapilacak paylasimlarin ayni zamanda 5237 sayili Türk Ceza Kanununun 136 nci maddesi kapsaminda suç teskil edebilecegi unutulmamalidir.

Veri Minimizasyonu

Herhangi bir veri isleme faaliyetinde oldugu gibi, COVID-19 virüsünün yayilmasini önleme amacina yönelik gerçeklestirilen veri isleme faaliyetleri de amaçla baglantili ve sinirli ölçüde gerçeklestirilmeli, gereginden fazla kisisel veri islenmesinden kaçinilmalidir. Hedeflenen amaca ulasmak için imkân dâhilindeki en müdahaleci olmayan yolun tercih edilmesi gerekmektedir.

Sikça Sorulan Sorular

  • Bir saglik kurulusu önceden izin almaksizin COVID-19 ile ilgili kisilerle iletisim kurulabilir mi?

Yönetimlerin, COVID-19 virüsü gibi küresel salgin boyutuna ulasan durumlarda kamu sagligini ve kamu düzenini saglamak ile ilgili yükümlülükleri bulunmaktadir. Kamu kurum ve kuruluslari, halk sagligina yönelik ciddi tehditlerle mücadele etmek için ek olarak kisisel verilerin toplanmasina ve paylasilmasina gerek duyabilir.

Bu çerçevede, ilgili saglik kurum ve kuruluslarinin kisilere telefon, mesaj veya e-posta yoluyla halk sagligi ile ilgili mesajlar göndermesinde Kisisel Verilerin Korunmasi Kanunu açisindan bir engel bulunmamaktadir.

  • Salgin sirasinda kuruluslarin personelinin çogunun evden çalistigi bilinmektedir. Evden çalisilan bu süre zarfinda ne tür güvenlik önlemleri alinmalidir?

Kisisel verilerin korunmasi mevzuati, evden çalismanin önünde bir engel degildir. Salgin sirasinda personel evden çalisabilir ve kendi cihazlarini veya iletisim ekipmanlarini kullanabilir. Kisisel verilerin korunmasi mevzuati bunu engellemez, ancak kisisel verilerin güvenligini saglamaya yönelik gerekli idari ve teknik tedbirlerin alinmasi gerekmektedir.

Uzaktan çalismanin dogurabilecegi risklerin asgariye indirilmesi adina, sistemler arasindaki veri trafiginin güvenli iletisim protokolleriyle gerçeklestirilmesi ve herhangi bir zafiyet içermemesinin saglanmasi ile anti-virüs sistemlerinin ve güvenlik duvarlarinin güncelliginin saglanmasi basta olmak üzere, her türlü tedbirin alinmasi ve kisisel verilerin güvenligi açisindan konuya iliskin çalisanlarin dikkatle bilgilendirilmesi gerekmektedir.

Ancak unutulmamalidir ki, çalisanlar tarafindan alinacak tedbirler Kanun kapsaminda kisisel verilerin güvenliginin saglanmasi noktasinda veri sorumlusunun yükümlülügünü ortadan kaldirmamaktadir.

  • Bir isveren, bir çalisanin virüs tasidigini meslektaslarina/diger çalisanlarina açiklayabilir mi?

Isveren, vakalar hakkinda personeli bilgilendirmelidir. Bilgilendirme yapilirken bireylerin isimlerinin verilmesinin gerekmeyecegi gibi gereginden fazla bilgi de verilmemelidir. Koruyucu tedbirlerin alinmasi açisindan virüsün bulastigi çalisanin/çalisanlarin isminin açiklanmasinin zorunlu oldugu hallerde ilgili çalisanlarin bu hususta önceden bilgilendirilmesinde fayda görülmektedir. Isverenin, çalisanlarinin saglik ve güvenligini saglama ve ayni zamanda özen yükümlülügünü yerine getirme sorumluluklari bulunmaktadir.

Bu kapsamda ilk etapta isverenler tarafindan örnegin “…Genel Müdürlük binamizin 5. katinda çalisan bir arkadasimizin COVID-19 testinin pozitif çiktigini bildirmek isteriz. Testi pozitif çikan arkadasimizin binada bulundugu tarihler dikkate alinarak, arkadasimizla temasta bulunan kisiler tespit edilerek kendilerini durum hakkinda bilgilendirecegiz…” seklinde açiklamalarda bulunulmasi yoluna gidilebilir.

Yukaridaki örnekte oldugu gibi, bir kurum, kurulus veya sirket içerisinde yapilacak duyurularda çalisanlara COVID-19 enfekte bir çalisanin bulundugu, evden çalistigi ya da izinde oldugu belirtilmeli; ancak zorunlu olmadigi sürece sirket içi seviye ya da ekip gibi çalisanin kim oldugunun tespitini dogrudan saglayacak detaylar paylasilmamalidir.

  • Bir isveren, binadaki tüm personelden ve ziyaretçilerden virüsten etkilenen ülkelere yakin dönemde gerçeklestirdikleri seyahatler ve ates vb. virüs belirtileri hakkinda bilgi talebinde bulunabilir mi?

Isverenlerin, çalisanin sagligini korumak ve güvenli bir is yeri saglamakla ilgili yasal yükümlülükleri bulunmaktadir. Bu baglamda ve mevcut kosullarda, isverenlerin, çalisanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden oldugu hastaliga dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için hakli gerekçeleri gündeme gelecektir.

Bilgi talebinin gereklilik ve ölçülülüge bagli ve risk degerlendirilmesine dayanan güçlü bir gerekçesi olmasi gerekir. Bu durumda, görevleri ile ilgili olarak personelin seyahatleri, isyerinde kronik rahatsizligi olan ya da virüsten daha agir etkilenme ihtimali bulunan kisilerin varligi ve halk sagligi yetkililerinin talimatlari veya rehberligi gibi belirli unsurlar dikkate alinmalidir.

Kisilerin kisa bir süre önce virüsten etkilenen bir bölgeye seyahat etmis olmalari ve/veya hastaliga dair belirtiler göstermelerine dayanarak uygun önlemler almalarinin istenmesi durumunda, belirli tavsiyelerin personel ve ziyaretçilerin dikkatine sunulmasinda kisisel verilerin korunmasi mevzuati açisindan bir sakinca bulunmamaktadir.

  • Isveren tarafindan kamu sagligi amaciyla çalisanlarin saglik bilgileri yetkililerle paylasilabilir mi?

Kanunun 8 inci maddesi ve bulasici hastaliklara iliskin ilgili diger kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulasici hastaliklari tasiyanlara iliskin kisisel veriler, isveren tarafindan ilgili makamlar ile paylasilabilecektir.

  • Salgin sirasinda, kuruluslarin geçici olarak kapatildigi veya veri sorumlularinin ilgili kisilerin taleplerini yerine getirme kapasitesinin COVID-19 nedeniyle kisitlandigi durumlarda, zaman çizelgelerine göre ilgili kisilerin basvurularina yanit verme ve Kurumumuza karsi yükümlülükleri kapsaminda Kisisel Verilerin Korunmasi Kanunu ve ilgili mevzuatta belirtilen süreler hala geçerli midir?

Kisisel verilerin korunmasi mevzuati kapsaminda Kurumumuza intikal eden sikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularinin gerek Kurumumuza gerek ilgili kisilere karsi yükümlülükleri açisindan Kanunda ve ilgili alt düzenlemelerde çesitli süreler belirlenmis olup, veri sorumlulari tarafindan bu sürelere riayet edilmesi önem arz etmektedir.

Kanun ve ilgili mevzuatta belirtilen yasal sürelerin uzatilmasi söz konusu degildir, ancak Ülkemizin içinde bulundugu bu olaganüstü süreçte veri sorumlulari tarafindan alinan önlemler kapsaminda farkli operasyonel uygulamalara (uzaktan çalisma, dönüsümlü çalisma vb.) gidildigi de dikkate alinarak, her bir basvuru ya da veri ihlal bildirimi özelinde, veri sorumlularinin uymakla yükümlü olduklari sürelerin degerlendirilmesi açisindan Kisisel Verileri Koruma Kurulu tarafindan içerisinde bulundugumuz olaganüstü kosullar gözetilecektir.”

 

 

 

 

 

Covid-19 ile Mücadele Sürecinde Kisisel Verilerin Korunmasi Kanunu Kapsaminda Bilinmesi Gerekenler

Türkiye Toprak, Seramik, Çimento ve Cam Sanayii Isverenleri Sendikasi
Beylerbeyi Mahallesi, Havuzbasi Sokak, No 40 34676 Üsküdar/Istanbul TÜRKIYE

toprak@toprakisveren.org.tr

0216 422 09 39

0216 422 09 49

nem kurutmakoku gidermevaillant servisdemirdöküm servisforklift kiralamawebtasarımrover yedek parçateleviyon servis