Kişisel Verileri Koruma Kurulu’ndan Koronavirüs ile İlgili Bilgi Güvenliği Duyurusu

Kısa adı KVKK olan Kişisel Verileri Koruma Kurulu, koronavirüs salgını odağında işlenmesi gerekebilen kişisel verilerin güvenliği ile ilgili kararların yer aldığı detaylı metni kamuoyuyla paylaştı. Söz konusu duyuruda kuruluşlar tarafından alınması ve işlenmesi gerekebilen sağlık verileri ile ad, soy ad, adres, T.C. kimlik numarası gibi kişisel verilerin güvenliğine dair önemli detaylar aktarıldı.

Kanun kapsamında, kişisel sağlık verileri ile diğer kişisel verilerin sağlık kurumları tarafından işlenmesini gerekli kılan durumlarda sürecin kanun hükümlerine uygun şekilde yürütmesi ve bilgi güvenliğine dair gerekli tüm tedbirlerin alınması gerektiği kaydedildi.

Koronavirüse dair alınan önlemlere yönelik kişisel veri işleme faaliyetlerinin T.C. Sağlık Bakanlığı başta olmak üzere ilgili kurum ve kuruluşlarının rehberliğinde gerekli seviyede, belirli amaçla ve ölçülü olması; işlenmesini gerektiren sebeplerin ortadan kalkması durumunda ise silinmesi ya da anonim hale getirilmesi gerektiği vurgulandı.

Öte yandan sağlıkla ilgili kişisel verilerin kamu sağlığının korunması, tıbbi teşhis, bakım hizmetlerinin yürütülmesi gibi amaçlarla ‘sır saklama yükümlülüğüne’ tabi şekilde yetkili kurum ve kuruluşlar tarafından açık rıza olmaksızın işlenebileceği hatırlatıldı. Koronavirüsün kamu güvenliği ve düzeni için risk teşkil ettiği, bu nedenle de kişisel verilerin Sağlık Bakanlığı, ilgili kurum/kuruluşlarca işlenmesinin önünde herhangi bir engel bulunmadığı belirtildi. Bununla birlikte verinin işlenmesi hakkında bireylere özet ve anlaşılır bilgi sağlanabileceğine değinildi.

Sağlık verisi başta olmak üzere bilgi güvenliğinin sağlanmasına yönelik idari ve teknik önlemlerin alınması, salgından etkilenen kimselerin verilerinin ‘zorunlu bir gerekçe yoksa’ üçüncü taraflara ifşa edilmemesi gerektiğinin de altı çizildi.

İlgili verilerde sosyal medya, vb. mecralardaki hukuka aykırı paylaşımların 5237 sayılı Türk Ceza Kanunu’nun 136’ncı maddesi kapsamında suç teşkil edebileceği uyarısında bulunuldu.

Ek olarak KVKK, ‘sık sorulan sorular’ başlığı altında bazı güncel sorulara yanıtlar getirdi.

Sağlık kuruluşları koronavirüs ile ilgili olarak kişilerle izin almaksızın iletişim kurabilir mi?

Evet. İlgili sağlık kurum ve kuruluşları bireyleri arayabilir, SMS ve e-posta gönderebilir.

Uzaktan çalışma sırasında ne gibi güvenlik önlemleri alınmalı?

Kişisel verilerin korunması mevzuatı, evden çalışmanın önünde bir engel değildir. Salgın sırasında çalışan evden çalışabilir. Kişisel verilerin korunması mevzuatı bunu engellemez, ancak kişisel verilerin güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınması gerekmektedir. Uzaktan çalışmanın doğurabileceği risklerin asgariye indirilmesi adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi, herhangi bir zafiyet içermemesinin sağlanması, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere her türlü tedbirin alınması gerekmektedir.

İşverenin herhangi bir çalışanının koronavirüse yakalandığını meslektaşlarına açıklama zorunluluğu var mı?

İşveren, çalışanlarını bilgilendirmelidir. Ancak salgından etkilenen bireylerin isimlerinin açıklanması gerekmez. Ayrıca gereğinden fazla bilgi verilmemelidir.

KVKK, isim verilmeden yapılabilecek bilgi paylaşımlarına dair bir de örnek verdi:

“…Genel Müdürlük binamızın 5. katında çalışan bir arkadaşımızın COVID-19 testinin pozitif çıktığını bildirmek isteriz. Testi pozitif çıkan arkadaşımızın binada bulunduğu tarihler dikkate alınarak, arkadaşımızla temasta bulunan kişiler tespit edilerek kendilerini durum hakkında bilgilendireceğiz…” şeklinde açıklamalarda bulunulması yoluna gidilebilir.

İşveren, çalışan ve ziyaretçilerinden yakın dönemde yabancı ülkelere gerçekleştirdiği seyahatler hakkında bilgi talebinde bulunabilir mi?

Evet.

İşveren, çalışanlarının sağlık bilgilerini kamu sağlığı kapsamında yetkililerle paylaşabilir mi?

Kanun maddesi uyarınca koronavirüs taşıyan çalışanlara ilişkin kişisel veriler ilgili makamlarla paylaşılabilir.

Bilgi güvenliğinin koronavirüs sürecinde de özenle korunması gerektiği vurgusunun öne çıktığı KVKK kamuoyu bilgilendirme metninin tamamını buraya tıklayarak inceleyebilirsiniz.